Программно технические средства обеспечения безопасности компьютерных сетей

7.3.4. Программно-технические средства защиты информации

Требования к программно-техническим средствам защиты информации сформулированы в руководящих документах Государственной технической комиссии (ГТК) при Президенте РФ. Основой всего набора таких документов является «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа (НСД) к информации». Этим документом вводится понятие «штатные средства», под которыми понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники и компьютерных сетей. Главным средством защиты считается система разграничения доступа (СРД) субъектов к объектам доступа. Подключение компьютерных сетей к другим информацион- 290

ным системам и сетям производится через межсетевые экраны не ниже 3 класса защищенности, сертифицированные по требованиям руководящего документа Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Показатели защищенности от несанкционированного доступа к информации». Объектам компьютерных сетей присваивается различная степень защищенности для определения требуемых организационнотехнических мероприятий по защите информации в зависимости от ее важности, реальных условий размещения элементов компьютерных сетей, возможных каналов утечки информации, а также для минимизации затрат на защиту информации. Допускается присваивать различные степени защищенности по отдельным элементам компьютерных сетей при обработке ими информации различной степени конфиденциальности. Установлены следующие степени (категории) защищенности объектов компьютерных сетей в соответствии со степенью конфиденциальности обрабатываемой информации: • 1 степень – объекты, связанные с обработкой строго конфиденциальной информации; • 2 степень – объекты, связанные с обработкой конфиденциальной информации; • 3 степень – объекты, связанные с обработкой служебной информации. Наиболее совершенные информационные системы ведения реестра (ИСВР) и информационные депозитарные системы (ИДС) предусматривают функции, обеспечивающие многоуровневую защиту данных, которая включает в себя: • защиту данных от несанкционированного доступа, то есть использование процедуры аутентификации пользователя по идентификатору и паролю при входе в систему; • наличие процедур кодирования и шифровки информации; • многоуровневый доступ к данным – наличие нескольких типов пользователей в соответствии с их полномочиями; • защиту информации от случайного уничтожения при сбое системы или неправильных действиях персонала; • наличие средств контроля достоверности и непротиворечивости данных; • возможность резервного сохранения и последующего восстановления данных. 291

Читайте также:  Объем одного пакета в компьютерной сети internet обычно не превышает

7.3.4.1. Защита компьютерных сетей с помощью брандмауэров

Брандмауэр – это совокупность аппаратных средств и программного обеспечения, которая связывает две и больше сетей и одновременно разделяет защищенную и незащищенную сети или защищенную область сети от незащищенной области той же сети. Является центральным пунктом управления безопасностью. Обеспечивает контроль взаимного доступа сетей друг к другу и защиту этого соединения сетей от несанкционированного вмешательства. Брандмауэры могут реализовываться как программно, так и аппаратно-программно. Аппаратные брандмауэры являются специализированными компьютерами. При присоединении сети к сети Интернет основой безопасности этого соединения должен стать брандмауэр. Он обеспечивает возможность центрального управления безопасностью сети. Обычно брандмауэр строится на основе компьютера-бастиона. Компьютер-бастион – это компьютер, специально установленный для защиты от атак на локальную сеть. Обычно брандмауэр устанавливается между локальной сетью и интернетом. Он препятствует проникновению пользователей всего мира в локальную сеть и контролирует доступ к данным, хранящимся в ней. В дополнение к традиционному аппаратному и программному обеспечению брандмауэров для большей безопасности используют экранирующий маршрутизатор. Экранирующий маршрутизатор (screening router) – это специ- альный компьютер (созданный, как правило, на базе персонального компьютера) или электронное устройство, экранирующее (фильтрующее) пакеты данных, основываясь на заданных администратором критериях. Критерии для выбора пакетов устанавливаются с помощью специального программного обеспечения или аппаратно. Для защиты различных N отделов внутри локальной сети от вторжений друг к другу применяется конфигурация брандмауэра, в которой используется один компьютер-бастион с N сетевыми картами. Для защиты локальной сети от внешних пользователей (сети Интернет) и обеспечения достаточно простой связи с интернетом тем пользователям локальной сети, которым это требуется, приме- 292

няется сетевая конфигурация, в которой используется сервер (ком- пьютер-бастион) с двумя сетевыми картами. В этом случае сетевые карты подсоединяются к компьютеру через разные, изолированные друг от друга порты. Чтобы удовлетворить требования широкого диапазона пользователей, существует три типа брандмауэров: • сетевого уровня; • уровня приложений; • уровня соединения. Брандмауэр сетевого уровня – это обычно экранирующий мар- шрутизатор или специальный компьютер, который исследует адреса пакетов, чтобы определить, передать пакет в локальную сеть или из нее, либо отклонить его. Пакеты наряду с другой информацией содержат IP-адреса отправителя и получателя, а также массу другой информации, которую брандмауэр использует для управления доступом к пакету. Настройка экранирующего маршрутизатора на блокирование определенных пакетов происходит с помощью файла, который содержит IP-адреса внешних сайтов (мест назначения), чьи пакеты следует блокировать. Брандмауэр (или маршрутизатор) должен блокировать пакеты, в которых эти адреса фигурируют как адреса отправителя или получателя. Подобное блокирование конкретных узлов называют методом черного списка (blacklisting). Брандмауэр уровня приложения – это главный компьютер се- ти, использующий программное обеспечение сервера-посредника . Сервер-посредник – это программа, управляющая трафиком и контролирующая передачу данных между двумя сетями, обеспечивая связь между пользователями локальной сети и серверами внешней сети. Брандмауэры уровня приложения позволяют контролировать тип и объем трафика (передач данных), поступающего на сайт. Эти брандмауэры обеспечивают определенное физическое разделение между локальной сетью и интернетом и тем самым отвечают самым высоким требованиям безопасности. Брандмауэр уровня соединения подобен брандмауэру уровня приложения – оба они являются серверами-посредниками. Однако для брандмауэра уровня соединения не нужно использовать специальные приложения, поддерживающие режим связи между сервером-посредником и клиентом. Здесь клиент и сервер сообща- 293

Читайте также:  Типология компьютерных сетей реферат

ются через брандмауэр уровня соединения без сообщения с самим брандмауэром. Наилучшей защитой для сети является использование в архитектуре брандмауэра как маршрутизатора, так и серверапосредника. Существует три наиболее популярных типа архитектуры брандмауэра: • двусторонний главный брандмауэр; • фильтрующий главный брандмауэр; • фильтрующий брандмауэр подсети. Двусторонний главный брандмауэр использует две отдельные сетевые карты. Это простая, но обеспечивающая очень высокую степень безопасности конфигурация, в которой один главный компьютер играет роль разделительной линии между локальной сетью и интернетом. Такой брандмауэр использует набор серверовпосредников уровня приложений или уровня соединения. Фильтрующий главный брандмауэр использует комбинацию маршрутизаторов и серверов-посредников. Он может обеспечивать более высокую степень безопасности, чем двусторонний главный брандмауэр. Здесь для пользователей локальной сети имеется прямой доступ в интернет, в то время как сервер этой сети будет ограничивать доступ внешних пользователей в локальную сеть. Фильтрующий брандмауэр подсети использует также комби- нацию маршрутизаторов и серверов-посредников. Он еще более изолирует локальную сеть от интернета, включая между ними периферийную промежуточную сеть. В этом брандмауэре главный компьютер помещается на периферийной сети, к которой пользователи имеют доступ через два отдельных маршрутизатора. Серверпосредник помещается в сеть, состоящую из двух экранирующих маршрутизаторов. Один из них контролирует трафик (передачу данных) по локальной сети, а второй контролирует входящие и выходящие из интернета сообщения. Фильтрующий брандмауэр подсети обеспечивает наиболее эффективную защиту от возможных атак через интернет. В дополнение к этому маршрутизатор, находящийся в локальной сети, обеспечивает защиту от внутреннего доступа к серверу. 294

Источник

Программно-технические способы и средства обеспечения информационной безопасности.

В литературе предлагается следующая классификация средств защиты информации.

  • Средства защиты от несанкционированного доступа (НСД):
    • Средства авторизации;
    • Мандатное управление доступом;
    • Избирательное управление доступом;
    • Управление доступом на основе ролей;
    • Журналирование (так же называется Аудит).
    • Системы обнаружения и предотвращения вторжений (IDS/IPS).
    • Системы предотвращения утечек конфиденциальной информации (DLP-системы).
    • Шифрование;
    • Цифровая подпись.
    • Источники бесперебойного питания;
    • Резервирование нагрузки;
    • Генераторы напряжения.
    • Пароль;
    • Ключ доступа (физический или электронный);
    • Сертификат;
    • Биометрия.
    • Мониторинговый программный продукт.

    Организационная защита объектов информатизации.

    • организацию охраны, режима, работу с кадрами, с документами;
    • использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
    • организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
    • организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
    • организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
    • организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
    • организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
    • организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

    Источник

Оцените статью
Adblock
detector