Автор работы: Пользователь скрыл имя, 26 Сентября 2012 в 09:41, реферат
Объективные причины проблемы обеспечения информационной безопасности:
1. Расширение сферы применения средств вычислительной техники.
2. Развитие и распространение вычислительных сетей.
3. Доступность средств вычислительной техники (прежде всего ПК) в широких слоях населения.
4. Отставание в области создания непротиворечивой системы законодательно-правового регулирования отношений в сфере накопления, использования и защиты информации.
5. Развитие и широкое распространение компьютерных вирусов.
1 1 ОСНОВЫ БЕЗОПАСНОСТИ СЕТЕВЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ 1
1.1 Актуальность проблемы обеспечения безопасности сетевых информационных технологий 1
1.2 Основные механизмы защиты компьютерных систем 1
1.3 Цели создания системы обеспечения информационной безопасности 6
1.4 Задачи, решаемые средствами защиты информации от НСД 7
1.5 Основные организационные мероприятия по созданию комплексной системы защиты 8
2 ОБЕСПЕЧЕНИЕ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ 9
3 ПРОЕКТИРОВАНИЕ И ПОСТРОЕНИЕ СИСТЕМ ЗАЩИТЫ 10
3.1 Определение исходных данных 11
3.2 Анализ исходных данных 12
3.3 Построение общей модели системы защиты информации 14
3.4 Формирование вариантов систем защитыинформации 14
3.5 Поиск наилучшего набора правил системы защиты 15
3.6 Определение критериев работы разработанной модели 18
3.7 Формализация модели системы безопасности 20
4 РАСПРЕДЕЛЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ 21
4.1 Модульная система защиты 22
4.2 Расширение функций системы защиты информации 22
5 МЕТОДИКА МЭ, РЕАЛИЗУЕМАЯ НА БАЗЕ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ 25
5.1 Понятие межсетевого экрана 25
5.2 Фильтрация трафика 28
5.3 Политика межсетевого взаимодействия, 28
5.4 Определение схемы подключения межсетевого экрана 29
5.5 Операционная система МЭ 31
5.6 Общие требования к МЭ 31
5.7 Особенности межсетевого экранирования на различных уровнях OSI 32
При проектировании системы защиты информации в ВС решаются следующие задачи:
1. Для определенных
типов (приоритетов)
2. Разбивка корпоративной сети на виртуальные сети и взаимодействие между ними. Контроль трафика виртуальных вычислительных сетей. Обеспечение аутентифицированного доступа в защищаемую локальную сеть для удаленных пользователей с динамически выделяемыми адресами, а также контроль доступа к открытым ресурсам внешней сети.
3. Разработка механизма доступа из сети Internet к объектам ВС предприятия
Для решения этих задач необходимо разработать систему защиты информации. Решение должно основываться на оценке уровней безопасности данных, экономической эффективности и стоимости.
Проектирование и построение системы защиты включает следующие этапы:
Определяются исходные данные для построения, параметры каждый сети (подсети, объекты сети):
В число защищаемых объектов
могут входить обычные
Политика доступа к сетевым сервисам определяет правила предоставления, а также использования всех возможных сервисов защищаемой ВС. Соответственно в рамках данной политики должны быть заданы все сервисы, предоставляемые через сетевой экран, и допустимые адреса клиентов для каждого сервиса. Кроме того, должны быть указаны правила для пользователей, описывающие, когда и какие пользователи каким сервисом и на каком компьютере могут воспользоваться. Отдельно определяются правила аутентификации пользователей и компьютеров, а также условия работы пользователей вне ВС организации.
Политика работы межсетевого экрана задает базовый принцип управления межсетевым взаимодействием, положенный в основу функционирования брандмауэра. Может быть выбран один из двух таких принципов: запрещено все, что явно не разрешено; разрешено все, что явно не запрещено.
Схемы подключения могут зависеть от условий функционирования, а также количества сетевых интерфейсов.
Система защиты информации с одним сетевым интерфейсом не достаточно эффективны как по безопасности, так и удобству конфигурирования. Они физически не разграничивают внутреннюю и внешнюю сети, а соответственно не могут обеспечивать надежную защиту межсетевых взаимодействий. Настройка таких систем, а также связанных с ними маршрутизаторов представляет собой довольно сложную задачу, цена решения которой превышает стоимость замены МЭ с одним сетевым интерфейсом на МЭ с двумя или тремя сетевыми интерфейсами. При этом локальные сети рассматриваются как совокупность закрытой и открытой подсетей. Под открытой подсетью понимается подсеть, доступ к которой со стороны потенциально враждебной внешней сети может быть полностью или частично открыт.
Среди всего множества возможных схем подключения типовыми являются следующие:
МЭ представляет собой программно-аппаратный комплекс защиты, состоящий из компьютера, а также функционирующих на нем операционной системы (ОС) и специального программного обеспечения. Следует отметить, что это специальное программное обеспечение часто также называют брандмауэром.
Компьютер брандмауэра должен быть достаточно мощным и физически защищенным, например, находиться в специально отведенном и охраняемом помещении. Кроме того, он должен иметь средства защиты от загрузки ОС с несанкционированного носителя.
Операционная система брандмауэра также должна удовлетворять ряду требований:
После установки на компьютер брандмауэра выбранной операционной системы, ее конфигурирования, а также инсталляции программного обеспечения можно приступать к настройке всего межсетевого экрана. Этот процесс включает:
Предъявляемые требования к любому средству системы защиты можно разбить на следующие категории:
Функциональные — решение требуемой совокупности задач защиты. Функциональные требования к разрабатываемой системе включают: требования к фильтрации на сетевом уровне; требования к фильтрации на прикладном уровне; требования по настройке правил фильтрации и администрированию; требования к сетевой аутентификации; требования по внедрению журналов и учету.
Требования по надежности — способности своевременно, правильно и корректно выполнять все предусмотренные функции защиты;
Требования по адаптируемости — способности к целенаправленной адаптации при изменении структуры, технологических схем и условий функционирования СОИ АСУП;
Эргономические — требования по удобству администрирования, эксплуатации и минимизации помех пользователям;
Экономические — минимизация финансовых и ресурсных затрат.
Межсетевые экраны должны
удовлетворять следующим
По целевым качествам — обеспечивать безопасность защищаемой внутренней сети и полный контроль над внешними подключениями и сеансами связи. Система должна иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им требуется доступ к некоторым ресурсам СОИ АСУП организации. Брандмауэр должен надежно распознавать таких пользователей и предоставлять им необходимые виды доступа.
По управляемости и гибкости — обладать мощными и гибкими средствами управления для полного воплощения в жизнь политики безопасности организации. Система должна обеспечивать простую реконфигурацию при изменении структуры сети. Если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления должна иметь возможность централизованно обеспечивать для них проведение единой политики межсетевых взаимодействий.
По производительности и прозрачности — работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик при максимальной нагрузке. Система должна работать незаметно для пользователей сети и не затруднять выполнение ими легальных действий. В противном случае пользователи будут пытаться любыми способами обойти установленные уровни системы безопасности.
По самозащищенности — обладать свойством самозащиты от любых несанкционированных воздействий, должна блокировать любые попытки несанкционированного изменения параметров настройки, а также включать развитые средства самоконтроля своего состояния и сигнализации. Средства сигнализации должны обеспечивать своевременное уведомление службы безопасности при обнаружении любых несанкционированных действий, а также нарушении работоспособности самой системы.
Большинство компонентов системы защиты на основе межсетевых экранов относятся к одной из трех категорий:
Эти категории можно
рассматривать как базовые
Система защиты информации должна обеспечивать возможность количественно обоснованного выбора набора правил фильтрации, необходимого для ее функционирования, то в связи с этим предлагается каждому правилу подставить в соответствие его эффективность. При этом под эффективностью понимают вероятность уничтожения несанкционированных пакетов, вероятность пропуска разрешенных для пропуска пакетов. Для оценки экономической эффективности безопасности, и уровня расходов, связанных с тем или иным вариантом набора правил фильтрации, предлагается каждому набору правил ставиться в соответствие его стоимость. Это позволит осуществлять количественную оценку ожидаемого уровня фильтрации пакетов, экономической эффективности и стоимости.
Большинство современных систем защиты информации строится на основе аппаратно-программных средств. В качестве таких средств рассматриваются межсетевые экраны, которые должны обеспечить доступ к сети и ограничит доступ внешних пользователей к внутренним ресурсам. И так, межсетевой экран – это система межсетевой защиты, позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую.
Принятие решения о правилах фильтрации и разграничений доступа зависит от принятой в защищаемой сети политики безопасности. Эффективность защиты ресурсов внутренней сети зависит как от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, так и рациональности выбора и использования основных компонентов. Таким образом суть фильтрации системы защиты информации сводится к разграничению доступа субъектов вне данной сети (подсети) к объектам данной сети (подсети).
На практике существует широкий спектр различных подходов и методов реализации системы защиты с применением средств разграничения доступа (СРД), для которых присущи некоторые общие черты и единообразные базисные компоненты.