Технология межсетевого экранирования

Средства защиты ИБ ГСПД и их возможности

В настоящее время на отечественном рынке ИБ существует большое число средств обеспечения безопасности информационных технологий, к которым можно отнести:

• средства межсетевого экранирования;

• средства построения виртуальных частных сетей;

• средства анализа защищённости ПО автоматизированных систем (АС);

• средства обнаружения ВН;

• средства защиты информации от НСД;

• средства антивирусной защиты.

Рассмотрим возможность использования каждого из этих средств защиты в целях решения задач обеспечения ИБ ГСПД, включающих в себя:

• обеспечение конфиденциальности информации управления, передаваемой между ЦУС и узлами ГСПД;

• обеспечение контроля целостности сообщений, содержащих информацию управления и информацию пользователя;

• обеспечение локализации места и источника ВН, направленного на нарушение целостности передаваемых сообщений, содержащих информацию пользователя и информацию управления;

• обеспечение защиты от возможности активизации нарушителем аппаратных, программных и аппаратно-программных «закладок», внедрённых в узлы ГСПД и ЦУС;

• обеспечение защиты информационных ресурсов и инфраструктур ЦУС и узлов ГСПД от НСД по каналам связи;

• обеспечение защиты информационных ресурсов и инфраструктур ЦУС и узлов ГСПД от НСД с консоли управления;

• обеспечение защиты ЦУС и узлов ГСПД от ВН, реализуемых по каналам связи и направленных на нарушение работоспособности;

• обеспечение защиты ГСПД от НСД к услугам связи.

Технология межсетевого экранирования представляет собой совокупность методов контроля за информацией, поступающей в АС и/или выходящей из АС, и обеспечения защиты АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

В качестве АС, защита которых может обеспечиваться при помощи средств, реализующих технологию межсетевого экранирования, выступают рабочие станции пользователей, Web-сервера, сервера БД, компьютеры, объединённые в ЛВС, и др. Технология межсетевого экранирования реализуется посредством специальных систем, называемых межсетевыми экранами (или брандмауэрами, firewall-системами, шлюзами с функциями фильтрования, экранирующими узлами). Основная функция межсетевых экранов (МЭ) заключается в фильтрации проходящего через них потока сообщений. Процедура фильтрации включает в себя просмотр и анализ каждого сообщения, проходящего через МЭ, и передачу его дальше по маршруту следования только в случае, если он удовлетворяет правилам фильтрации, определённым администратором безопасности. Каждое правило МЭ запрещает или разрешает передачу сообщений определённого типа между двумя АС, находящимися по разные стороны от МЭ. Таким образом, МЭ позволяют предотвратить возможные ВН на информационные ресурсы и инфраструктуры АС путём отфильтровывания тех сообщений, посредством которых нарушитель может реализовать воздействие.

МЭ, как правило, устанавливаются на границе между ГСПД (например, сетью Интернета) и АС, ресурсы и инфраструктуры которых должны быть защищены (рис. 18.1).

Необходимо отметить, что МЭ, имеющиеся в настоящее время на отечественном рынке ИБ, позволяют организовать фильтрацию только тех сообщений, которые сформированы на основе стека протоколов TCP/IP.

Рисунок 18.1 – Стандартная схема установки МЭ

В зависимости от методов функционирования все МЭ могут быть разделены на два основных типа:

• МЭ, функционирующие на базе пакетных фильтров (packet filters);

• МЭ, функционирующие на базе прокси-серверов (proxy-server).

Дата добавления: 2014-01-20; Просмотров: 1604; Нарушение авторских прав?; Мы поможем в написании вашей работы!