Многоуровневая защита компьютерных сетей

10.1 Реализации многоуровневой комплексной защиты

Идея МНОГОУРОВНЕВОЙ ЗАЩИТЫ В КОРПОРАТИВНОЙ СЕТИ состоит в том, что между злоумышленником и защищаемым объектом УСТАНАВЛИВАЕТСЯ техническое СЗИ (в общем случае несколько), ИМЕЮЩЕЕ (по НАПРАВЛЕННОСТИ) ТАКУЮ ЖЕ АРХИТЕКТУРУ, что и защищаемый информационный сервер.

При этом злоумышленник не может осуществить информационное взаимодействие с информационным сервером, минуя соответствующие уровни защиты.

ДЛЯ РЕАЛИЗАЦИИ МНОГОУРОВНЕВОЙ КОМПЛЕКСНОЙ ЗАЩИТЫинформации необходимо следующее:

а) архитектура защищаемого объекта, заданная имеющейся на нём технологией – определены типы ОС, СУБД (ФПО), ССВ;

б) архитектура технического средства защиты определяется при построении системы.

10.1.1 Многоуровневая защита от ошибок

Предположим, что злоумышленнику известна ошибка на одном из уровней защищаемого объекта.

В этом случае многоуровневая защита эффективна, ЕСЛИ В техническом СРЕДСТВЕ ЗАЩИТЫ ОТСУТСТВУЕТ АНАЛОГИЧНАЯ одноуровневая ошибка. Иначе, несмотря на число уровней защиты, злоумышленник все их преодолеет, используя свои знания об ошибке.

ДЛЯ ПОСТРОЕНИЯ МНОГОУРОВНЕВОЙ ЗАЩИТЫ информации от ошибок необходимо:

1) один и тот же уровень в защищаемом объекте и в техническом средстве защиты должен иметь различную реализацию;

2) уровень ССВ у технического средства защиты и санкционированного пользователя должен отличаться от уровня ССВ, используемого злоумышленником – этот принцип обусловливает ЦЕЛЕСООБРАЗНОСТЬ ПРИМЕНЕНИЯ ЗАКРЫТЫХ ПРОТОКОЛОВ.

3) Компромиссное решение – использование ЗАКРЫТОГО ПРОТОКОЛА В ФАЗЕ УСТАНОВЛЕНИЯ СОЕДИНЕНИЯ, а затем ИСПОЛЬЗОВАНИЕ ОТКРЫТОГО ПРОТОКОЛА ДЛЯ информационного ВЗАИМОДЕЙСТВИЯ клиент-сервер по установленному с точки зрения обеспечения безопасности каналу связи.

Данный подход, с одной стороны, позволяет использовать закрытые для злоумышленника принципы взаимодействия, с другой стороны, обеспечивает возможность использования открытых информационных технологий (в частности, сервисов и команд Internet) при взаимодействии клиент-сервер по установленному каналу.

Сетевое средство (программное) УСТАНОВЛЕНИЯ ЗАЩИЩЕННОГО СОЕДИНЕНИЯ (ССУЗС) устанавливается, наряду со стандартным ССВ (например, реализующим соответствующую команду Internet), НА КЛИЕНТЫ (пользователи) и НА ВЫДЕЛЕННОЕ СРЕДСТВО ЗАЩИТЫинформации.

Читайте также:  Номер компьютерной сети как найти

При установлении защищенного соединения используется ССУЗС, после чего – стандартное (открытое) ССВ.

4) Если программные средства защищаемого объекта подвержены ЧАСТОЙ ЗАМЕНЕ, то я техническом средстве защиты необходимо ИСПОЛЬЗОВАТЬ НАИБОЛЕЕ ПРОВЕРЕННЫЕ, имеющие большие гарантии в отсутствии ошибок программные средства.

НАИЛУЧШИМ РЕШЕНИЕМ ДЛЯ технического СРЕДСТВА ЗАЩИТЫ информации будет ИСПОЛЬЗОВАНИЕ ЗАКРЫТЫХ (малоизвестных, реализуемых не по общепринятым в открытых информационных технологиях стандартам) ПРОГРАММНЫХ СРЕДСТВ на всех уровнях архитектуры.

5) Обязательно НЕПРЕРЫВНОЕ ОТСЛЕЖИВАНИЕ СТАТИСТИКИ по найденным ошибкам в программных средствах, используемых как в защищаемом объекте, так и в средстве защиты, ИХ НЕМЕДЛЕННОЕ УСТРАНЕНИЕ при обнаружении!

6) Необходимо ОБЕСПЕЧЕНИЕ ГАРАНТИЙ НЕВОЗМОЖНОСТИ ПОДМЕНЫ злоумышленником ЛЮБОЙ ПРОГРАММНОЙ КОМПОНЕНТЫна ту, в которой присутствует ошибка, прежде всего на выделенном средстве защиты, что должно ОБЕСПЕЧИВАТЬСЯ НЕПРЕРЫВНЫМ КОНТРОЛЕМ ЦЕЛОСТНОСТИ программных средств.

7) С целью ПРЕДОТВРАЩЕНИЯ ВОЗМОЖНОСТИ НАКОПЛЕНИЯ злоумышленником ИНФОРМАЦИИ ОБ ОШИБКАХ необходимо:

a) засекречивание информации о составе программных средств, расположенных как на объекте защиты, так и на техническом средстве защиты;

b) регистрация попыток несанкционированного доступа с целью ПОЛУЧЕНИЯ ИНФОРМАЦИИ О СОСТАВЕ программных средств, расположенных на объекте защиты и техническом средстве защиты;

с) оперативный ПОИСК ЗЛОУМЫШЛЕННИКОВ ПРИ РЕГИСТРАЦИИ ПОПЫТОК взлома.

Источник

Оцените статью
Adblock
detector