Смекни!
smekni.com

Защита информации компьютерных сетей (стр. 1 из 5)

Защита информации

компьютерных сетей

Содержание:

1. Межсетевые экраны

- Дополнительные требования к межсетевым экранам первого класса защищенности.

- Дополнительные требования к межсетевым экранам второго класса защищенности.

- Требования к межсетевым экранам пятого класса защищенности.

- Разработка политики межсетевого взаимодействия.

- Определение схемы подключения межсетевого экрана.

- Настройка параметров функционирования брандмауэра.

2. Криптография

1. Межсетевые экраны

Общие требования.

Предъявляемые требования к любому средству зашиты информации в компьютерной сети можно разбить на следующие категории:

- функциональные - решение требуемой совокупности задач зашиты;

- требования по надежности — способности своевременно, правильно и корректно выполнять все предусмотренные функции зашиты;

- требования по адаптируемости — способности к целенаправленной адаптации при изменении структуры, технологических схем и условий функционирования компьютерной сети;

- эргономические — требования по удобству администрирования, эксплуатации и минимизации помех пользователям;

- экономические — минимизация финансовых и ресурсных затрат.

Межсетевые экраны должны удовлетворять следующим группам более детальных требований. По целевым качествам — обеспечивать безопасность защищаемой внутренней сети и полный контроль над внешними подключениями и сеансами связи. Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, кагда часть персонала организации должна выезжать, например, в командировку, и в процессе работы им требуется доступ к некоторым ресурсам внутренней компьютерной сети организации. Брандмауэр должен надежно распознавать таких пользователей и предоставлять им необходимые виды доступа.

По управляемости и гибкости — обладать мощными и гибкими средствам управления для полного воплощения в жизнь политики безопасности организации. Брандмауэр должен обеспечивать простую реконфигурацию системы при изменении структуры сети. Если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики межсетевых взаимодействий.

По производительности и прозрачности — работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик при максимальной нагрузке. Это необходимо для того, чтобы брандмауэр нельзя было перегрузить большим количеством вызовов, которые привели бы к нарушению его работы. Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий. В противном случае пользователи будут пытаться любыми способами обойти установленные уровни защиты.

По самозащищенности — обладать свойством самозащиты от любых несанкционированных воздействий. Поскольку межсетевой экран является и ключом и дверью к конфиденциальной информации в организации, он должен блокировать любые попытки несанкционированного изменения его параметров настройки, а также включать развитые средства самоконтроля своего состояния и сигнализации. Средства сигнализации должны обеспечивать своевременное уведомление службы безопасности при обнаружении любы* несанкционированных действий, а также нарушении работоспособности межсетевого экрана.

В настоящее время общеупотребительным подходом к построению критериев оценки средств информационно-компьютерной безопасности является использование совокупности определенным образом упорядоченных качественных требований к подсистемам защиты, их эффективности и эффективности реализации. Подобный подход выдержан и в руководящем документе Гостехкомиссии России, где устанавливается классификация межсетевых экранов по уровню защищенности от несанкционированного доступа к информации. Данная классификация построена на базе перечня показателей защищенности и совокупности описывающих их требований.

Показатели защищенности применяются к брандмауэрам для определения уровня защищенности, который они обеспечивают при межсетевом взаимодействии. Конкретные перечни показателей определяют классы межсетевых экранов по обеспечиваемой защищенности компьютерных сетей. Деление брандмауэров на соответствующие классы по уровням контроля межсетевых информационных потоков необходимо в целях разработки и принятия обоснованных и экономически оправданных мер по достижению требуемой степени защиты информации при межсетевых взаимодействиях.

Устанавливается пять классов межсетевых экранов по показателям защищенности. Самый низкий класс защищенности — пятый, применяемый для безопасного взаимодействия автоматизированных систем класса 1Д с внешней средой, четвертый — для 1Г, третий — 1В, второй — 1Б, самый высокий — первый, применяемый для безопасного взаимодействия автоматизированных систем класса 1А с внешней средой. При включении брандмауэра в автоматизированную систему (АС) определенного класса защищенности, класс защищенности совокупной системы, полученной из исходной путем добавления в нее межсетевого экрана, не должен понижаться. Для АС класса ЗБ, 2Б должны применяться брандмауэры не ниже 5-го класса. Для АС класса ЗА, 2А в зависимости от важности обрабатываемой информации должны применяться брандмауэры следующих классов:

- при обработке информации с грифом "секретно" — не ниже 3-го класса;

- при обработке информации с грифом "совершенно секретно" — не ниже 2-го класса;

- при обработке информации с грифом "особой важности". — не ниже 1-го класса.

Вспомним, что в соответствии с руководящим документом Гостехкомиссии России, устанавливается девять классов защищенности АС от несанкционированного доступа к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом NA, где N — номер группы от 1 до 3. Следующий класс обозначается NБ и т. д.

Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Данная группа содержит два класса ЗБ и ЗА. Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности. Эта группа содержит два класса 2Б и 2А. Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Данная группа содержит пять классов 1Д, 1Г. 1В, 1Б и 1А.

Дополнительные требования к межсетевым экранам первого класса защищенности.

Идентификация а аутентификация. Дополнительно межсетевой экран должен обеспечивать идентификацию и аутентификацию всех субъектов прикладного уровня. Администрирование; идентификация и аутентификация. Межсетевой экран должен обеспечивать идентификацию и аутентификацию администратора при его запросах на доступ. Межсетевой экран обязан предоставлять возможность для идентификации и аутентификации по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия. Межсетевой экран должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась. При удаленных запросах на доступ администратора идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.

Администрирование: простота использования. Многокомпонентный межсетевой экран должен обеспечивать возможность централизованного управления своими компонентами, в том числе, конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации. Должен быть предусмотрен графический интерфейс для управления межсетевым экраном.

Целостность. Межсетевой экран должен содержать средства контроля за целостностью своей программной и информационной части по контрольным суммам аттестованного алгоритма как в процессе загрузки, так и динамически. Тестирование. В межсетевом экране дополнительно должна обеспечиваться возможность регламентного тестирования процесса централизованного управления компонентами брандмауэра и графического интерфейса для управления межсетевым экраном. Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования.

Конструкторская (проектная) документация. Дополнительно документация должна содержать описание графического интерфейса для управления межсетевым экраном.

Дополнительные требования к межсетевым экранам второго класса защищенности.

Дополнительные требования к межсетевым экранам второго класса защищенности Управление доступом. Межсетевой экран дополнительно должен обеспечивать:

- возможность сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети;

- возможность трансляции сетевых адресов.

Регистрация. Дополнительно межсетевой экран должен обеспечивать:

- дистанционную сигнализацию попыток нарушения правил фильтрации;