Технологии цифровых подписей 3 страница

Лекция 8.

Название: Фильтры и защитные экраны. Современные комплексные системы.

Фильтры и защитные экраны

Межсетевой экран (firewall, брандмауэр) - это устройство, как правило, представляющее собой универсальный компьютер с установленным на нем специальным программным обеспечением, который размещается между защищаемой (внутренней) сетью и внешними сетями, потенциальными источниками опасности. Межсетевой экран контролирует все информационные потоки между внутренней и внешними сетями, пропуская данные, в соответствии с заранее установленными правилами. Эти правила являются формализованным выражением политики безопасности, принятой на данном предприятии.
Межсетевые экраны базируются на двух основных приемах защиты:

• пакетной фильтрации;

• сервисах-посредниках (proxyservices).

Эти две функции можно использовать как по отдельности, так и в комбинации.
Пакетная фильтрация. Использование маршрутизаторов в качестве firewall
Фильтрация осуществляется на транспортном уровне: все проходящие через межсетевой экран пакеты или кадры данных анализируются, и те из них, которые имеют в определенных полях заданные ("неразрешенные") значения, отбрасываются.

Пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального уровня по адресам (MAC-адреса, IP-адреса, IPX-адреса) или номерам портов TCP, соответствующих приложениям. Например, для того, чтобы трафик telnet не пересекал границу внутренней сети, межсетевой экран должен отфильтровывать все пакеты, в заголовке TCP которых указан адрес порта процесса-получателя, равный 23 (этот номер зарезервирован за сервисом telnet). Сложнее отслеживать трафик FTP, который работает с большим диапазоном возможных номеров портов, что требует задания более сложных правил фильтрации.

Конечно, для фильтрации пакетов может быть использован и обычный маршрутизатор, и действительно, в Internet 80% пакетных фильтров работают на базе маршрутизаторов. Однако маршрутизаторы не могут обеспечить ту степень защиты данных, которую гарантируют межсетевые экраны.

Главные преимущества фильтрации межсетевым экраном по сравнению с фильтрацией маршрутизатором состоят в следующем:

межсетевой экран обладает гораздо более развитыми логическими способностями, поэтому он в отличие от маршрутизатора легко может, например, обнаружить обман по IP-адресу;

у межсетевого экрана большие возможности аудита всех событий, связанных с безопасностью.

Сервисы - посредники (Proxy-services)

Сервисы-посредники не допускают возможности непосредственной передачи трафика между внутренней и внешней сетями. Для того, чтобы обратиться к удаленному сервису, клиент-пользователь внутренней сети устанавливает логическое соединение с сервисом-посредником, работающим на межсетевом экране. Сервис-посредник устанавливает отдельное соединение с "настоящим" сервисом, работающим на сервере внешней сети, получает от него ответ и передает по назначению клиенту - пользователю защищенной сети.
Для каждого сервиса необходима специальная программа: сервис-посредник. Обычно, защитный экран включает сервисы-посредники для FTP, HTTP, telnet. Многие защитные экраны имеют средства для создания программ-посредников для других сервисов. Некоторые реализации сервисов-посредников требуют наличия на клиенте специального программного обеспечения. Пример: Sock - широко применяемый набор инструментальных средств для создания программ-посредников.

Сервисы-посредники не только пересылают запросы на услуги, например, разработанный CERN сервис-посредник, работающий по протоколу HTTP, может накапливать данные в кэше межсетевого экрана, так что пользователи внутренней сети могут получать данные с гораздо меньшим временем доступа.

Журналы событий, поддерживаемые сервисами-посредниками, могут помочь предупредить вторжение на основании записей о регулярных неудачных попытках. Еще одним важным свойством сервисов-посредников, положительно сказывающимся на безопасности системы, является то, что при отказе межсетевого экрана защищаемый посредником сервис-оригинал остается недоступным.

Трансляция сетевых адресов - новый вид сервиса-посредника. Трансляторы адресов заменяют "внешние" IP-адреса серверов своих сетей на "внутренние". При таком подходе топология внутренней сети скрыта от внешних пользователей, вся сеть может быть представлена для них одним-единственным IP-адресом. Такая непрозрачность сети усложняет задачу несанкционированного доступа. Кроме этого, трансляция адресов дает еще одно преимущество - позволяет иметь внутри сети собственную систему адресации, не согласованную с Internet, что снимает проблему дефицита IP-адресов.

Сервисы-посредники намного надежнее фильтров, однако они снижают производительность обмена данными между внутренней и внешней сетями, они также не обладают той степенью прозрачности для приложений и конечных пользователей, которая характерна для фильтров.

Современные комплексные системы

При создании корпоративных информационных систем в условиях современного рынка неизбежно возникает вопрос о защищенности и устойчивости этих систем к угрозам информационной безопасности.

В Федеральном Законе РФ «Об участии в международном информационном обмене» под «информационной безопасностью» понимается состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. На уровне вычислительных систем, в соответствии с Руководящим документом Гостехкомиссии РФ «Защита от несанкционированного доступа к информации".

При проектирование систем защиты информации важно учитывать глобальность и разнородность современных корпоративных сетей. Многообразие технологических и организационных решений, заставляет рассматривать создание системы обеспечения информационной безопасности как комплексную задачу по обеспечению информационной безопасности информационной системы в целом. Соответственно для решения таких задач нужны комплексные системы защиты информации.

Можно выделить несколько основных угроз для информационных систем:

• Внешняя опасность: вирусы, хакерские атаки, спам;

• Внутренняя опасность: хищение данных, невнимательное и неосторожное действие сотрудников, саботаж;

• Технологическая опасность: сбой, выход из строя оборудования, потеря данных;
Под стратегией информационной безопасности принято понимать совокупность мероприятий (юридических, технических, организационных), направленных на предотвращение утечки и использования информации. Говоря о механизмах защиты информации, рассматриваются те или иные превентивные, охранные меры в отношении информационных ресурсов, ограничивающие их использование или доступ к ним.
К техническим мерам относятся: использование защищенных подключений, использование межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от НСД; в соответствии с разными уровнями конфиденциальности обрабатываемой информации.
К организационным мерам относятся:

- поднятие общего уровня грамотности пользователей сети в вопросах информационной безопасности;
- четко оговоренная ответственность сотрудников, использующих в своей деятельности конфиденциальную информацию;
- периодическое плановое обучение, профилактическая работа администраторов безопасности с пользователями и персоналом вычислительных сетей, выработка единых правил безопасного использования информационных ресурсов предприятия.

Анализ безопасности информационных систем проводится для четкого определения, что, от кого и зачем необходимо защищать. Оценивая состояние защиты информационных систем, предлагаются различные решения организации информационной безопасности. Рекомендации формируются с учетом особенностей и потребностей клиента.

Только оценив риски, возможно, правильно определить баланс между затратами на информационную безопасность и убытками, связанными с бездействием по отношению к защите критически важных ресурсов организации. Оценка рисков позволяет в дальнейшем принять правильное решение по выявлению и устранению существующих угроз информационной безопасности.
Проектирование и внедрение систем защиты информации.

Решения по обеспечению информационной безопасности информационных систем строятся на базе продукции ведущих производителей. В числе партнеров компании "ИКС-Бизнес", компании ОКБ САПР, Аладдин, АНКАД, Лаборатория Касперского, Symantec. Все решения реализуемые компанией «Икс-Бизнес» обладают сертификатами соответствия государственным и отраслевым стандартам. Имея большой опыт работы в области информационной безопасности, компания "ИКС-Бизнес" гарантирует высокое качество и надежность предоставляемых решений.

Эффективная система защиты неосуществима без единой корпоративной политики в области информационной безопасности. Разработка регламентной документации заключается в реализации пакета документов, отражающих правила работы и ответственность персонала при работе с информацией. В общем случае пакет документов включает в себя:

• концепцию информационной безопасности компании;

• распределение обязанностей по обеспечению информационной безопасности;

• регламент уведомлений о случаях нарушения защиты;

• регламент защиты от вирусов, внешних и внутренних атак;

• регламент использования программного обеспечения, защищенного законом об авторском праве;

• регламент резервного копирования информации

Дата добавления: 2015-06-04; Просмотров: 385; Нарушение авторских прав?; Мы поможем в написании вашей работы!