Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Требования к условиям эксплуатации системы защиты и межсетевые экраны

Предполагается, что для эффективного применения системы защиты и поддержания необходимого уровня защищенности ЛВС специальной службой (администрацией безопасности системы) осуществляется непрерывное управление и организационно-административная поддержка ее функционирования по реализации принятой в организации политики безопасности.

Система функционирует на ПЭВМ, совместимых с IBM РС/АТ/386/486. В состав ПЭВМ каждой рабочей станции должен входить накопитель на жестком диске и сетевая плата ЛВС.

Затраты ресурсов. Объем занимаемой оперативной памяти под резидентные части Системы защиты:

1) на рабочей станции - до 19-25 Кбайт (в зависимости от используемого драйвера);
2) на файловом сервере - до 500 Кбайт.

Относительные затраты производительности процессора:

1) на рабочей станции - до 2 %;
2) на файловом сервере - до 3 %.

Объем дисковой памяти для программ и данных:

1) на рабочей станции - до 500 Кбайт;
2) на файловом сервере - до 10 Мбайт.

Межсетевые экраны - брандмауэры (FireWall)

Гостехкомиссией при Президенте РФ разработан Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» в дополнение к руководящим документам «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». В указанном документе межсетевой экран (МЭ) определяется как локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему (АС) и /или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации (как минимум на сетевом уровне), т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС.

Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.

Выделяются пять классов МЭ, где пятый - низший, а первый - высший. Классифицируемый экран должен фильтровать потоки данных, по крайней мере, на сетевом уровне. При умеренных требованиях по защите информации можно ограничиться МЭ пятого или четвертого классов, реализованных в виде маршрутизаторов с включенными средствами фильтрации (экранирующих маршрутизаторов).

Для обеспечения контроля доступа к определенным массивам информации во многих точках Intranet-сети наиболее целесообразно применять так называемые аппаратные брандмауэры. Они являются специализированными компьютерами, как правило, встраиваемыми в стойку с сетевой ОС, адаптированной под выполняемые функции (загрузка ОС производится с гибкого диска или же из постоянной памяти). Чтобы представить, какие возможности имеют аппаратные брандмауэры, достаточно рассмотреть функциональные возможности следующих изделий:

Брандмауэр FireBox (производства WatchGuard) имеет смешанную архитектуру - динамической фильтрации пакетов и «прозрачного» прокси (proxy) (при этом с глобальной сетью организуется двухсторонняя связь, о proxy-технологии более подробно будет сказано далее).

В архитектуре брандмауэра:

• обеспечивается оптимальный баланс между безопасностью и производительностью;
• динамическая фильтрация пакетов отслеживает состояние соединения, что позволяет «отфильтровывать» не только пакеты, но и соединения;
• наборы правил являются динамическими и могут быть изменены во время работы (в набор входит 28 стандартных правил типа DNS, Telnet и др. и могут определяться правила пользователями в зависимости от потребностей и угроз безопасности);
• прокси анализирует график на сетевом уровне, что дает возможность получить более надежную защиту;
• могут распознаваться подмены сервисов и пакетов;
• имеется функция регистрации пользователей (это позволяет не только повысить безопасность, но и вести мониторинг сети на основе имен пользователей, а не IP-адресов и имен хостов);
• обеспечивается поддержка VPN (Virtual Private Network - виртуальная частная сеть), т.е. безопасный доступ в корпоративную сеть через Internet (для авторизованных удаленных пользователей. При этом используется протокол РРТР (Point-to-Point Tunelling Protocol - туннельный протокол точка-точка), который создает в общей сети безопасный «туннель», через который «прозрачно» проходит весь трафик.

Брандмауэр от компаний Bay Network отличается тем, что он входит в состав маршрутизатора BCN. Так как маршрутизатор является устройством, которое выполняет функции передачи пакетов, вычислительные возможности указанного маршрутизатора таковы, что ему можно поручить и решение задачи сортировки пакетов.

Маршрутизаторы работают на сетевом уровне модели OSI и поэтому должны иметь высокопроизводительную ОС, а она вполне может одновременно выполнять указанную дополнительную задачу. Следовательно, брандмауэр от Bay Networks, с одной стороны, представляется чисто программным средством, но, с другой стороны, он не использует никакого компьютера общего назначения (рабочую станцию), устанавливается в стойке и всем остальным похож на другие брандмауэры (кроме заботы о безопасности он выполняет еще и другие функции). Этот маршрутизатор-брандмауэр является специализированным компьютером, но его специализация оказалась гораздо шире, чем было изначально задумано.

Как правило, брандмауэры обеспечивают многоуровневую защиту и используют механизмы предупреждения, сообщают сетевым менеджерам о случаях попытки несанкционированного доступа к сети. Необходимо также подчеркнуть, что некоторые брандмауэры поддерживают частные виртуальные сети (например, между головным и дочерним офисами через общедоступную сеть).

Для защиты сетей разработано большое количество разнообразных довольно сложных и дорогих продуктов, реализующих множество механизмов защиты. Естественно, мы не сможем (и такая цель и не ставилась) их рассмотреть. Но на следующей странице сайта коротко рассмотрим еще одно, широко применяемое сейчас средство.


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна