Защита информации

Автор работы: Пользователь скрыл имя, 26 Сентября 2012 в 09:41, реферат

Описание работы

Объективные причины проблемы обеспечения информационной безопасности:
1. Расширение сферы применения средств вычислительной техники.
2. Развитие и распространение вычислительных сетей.
3. Доступность средств вычислительной техники (прежде всего ПК) в широких слоях населения.
4. Отставание в области создания непротиворечивой системы законодательно-правового регулирования отношений в сфере накопления, использования и защиты информации.
5. Развитие и широкое распространение компьютерных вирусов.

Содержание работы

1 1 ОСНОВЫ БЕЗОПАСНОСТИ СЕТЕВЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ 1
1.1 Актуальность проблемы обеспечения безопасности сетевых информационных технологий 1
1.2 Основные механизмы защиты компьютерных систем 1
1.3 Цели создания системы обеспечения информационной безопасности 6
1.4 Задачи, решаемые средствами защиты информации от НСД 7
1.5 Основные организационные мероприятия по созданию комплексной системы защиты 8
2 ОБЕСПЕЧЕНИЕ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ 9
3 ПРОЕКТИРОВАНИЕ И ПОСТРОЕНИЕ СИСТЕМ ЗАЩИТЫ 10
3.1 Определение исходных данных 11
3.2 Анализ исходных данных 12
3.3 Построение общей модели системы защиты информации 14
3.4 Формирование вариантов систем защитыинформации 14
3.5 Поиск наилучшего набора правил системы защиты 15
3.6 Определение критериев работы разработанной модели 18
3.7 Формализация модели системы безопасности 20
4 РАСПРЕДЕЛЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ 21
4.1 Модульная система защиты 22
4.2 Расширение функций системы защиты информации 22
5 МЕТОДИКА МЭ, РЕАЛИЗУЕМАЯ НА БАЗЕ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ 25
5.1 Понятие межсетевого экрана 25
5.2 Фильтрация трафика 28
5.3 Политика межсетевого взаимодействия, 28
5.4 Определение схемы подключения межсетевого экрана 29
5.5 Операционная система МЭ 31
5.6 Общие требования к МЭ 31
5.7 Особенности межсетевого экранирования на различных уровнях OSI 32

Файлы: 1 файл

защита информации.doc

— 377.00 Кб (Скачать файл)
    • на сетевом уровне - Network-based (RealSecure, защищает целый сегмент сети);
    • на уровне операционной системы – Host-based (RealSecure, защищает конкретный узел сети).
  1. Проектирование и построение систем защиты

 

При проектировании системы защиты информации в ВС решаются следующие задачи:

1. Для определенных  типов (приоритетов) защищаемых  данных и объектов, находятся параметры фильтрации на различных уровнях и требования к сетевой аутентификации, компоненты системы защиты данных, чтобы максимально приближенно достигались требования к защите данных.

2. Разбивка корпоративной  сети на виртуальные сети и  взаимодействие между ними. Контроль трафика виртуальных вычислительных сетей. Обеспечение аутентифицированного доступа в защищаемую локальную сеть для удаленных пользователей с динамически выделяемыми адресами, а также контроль доступа к открытым ресурсам внешней сети.

3. Разработка механизма  доступа из сети Internet к объектам ВС предприятия

Для решения этих задач  необходимо разработать систему защиты информации. Решение должно основываться на оценке уровней безопасности данных, экономической эффективности и стоимости.

Проектирование и построение системы защиты включает следующие  этапы:

    1. Определение исходных данных

Определяются исходные данные для построения, параметры каждый сети (подсети, объекты сети):

  • типы защищаемых данных: текстовые, графические, видео и аудио файлы, запросы к БД, архивные файлы, ответы на запросы БД, файлы типа install и setup, командные файлы, Html –файлы, электронные таблицы;
  • база правил работы системы защиты, которая представляет собой формализованное отражение разработанной политики межсетевого взаимодействия. Компонентами правил являются защищаемые объекты, пользователи и сервисы.

В число защищаемых объектов могут входить обычные компьютеры с одним сетевым интерфейсом, шлюзы (компьютеры с несколькими  сетевыми интерфейсами), маршрутизаторы, сети, области управления. Защищаемые объекты могут объединяться в группы. Каждый объект имеет набор атрибутов, таких как сетевой адрес, маска подсети и т. п. Часть этих атрибутов следует задать вручную, остальные извлекаются автоматически из информационных баз, например NIS/NIS+, SNMP MIB, DNS. Следует обратить внимание на необходимость полного описания объектов, так как убедиться в корректности заданных правил экранирования можно только тогда, когда определены все сетевые интерфейсы шлюзов и маршрутизаторов. Подобную информацию можно получить автоматически от SNMP-агентов.

  • политика межсетевого взаимодействия, является той частью политики безопасности в организации, которая определяет требования к безопасности информационного обмена с внешним миром. Данные требования обязательно должны отражать два аспекта:

Политика  доступа к сетевым сервисам определяет правила предоставления, а также использования всех возможных сервисов защищаемой ВС. Соответственно в рамках данной политики должны быть заданы все сервисы, предоставляемые через сетевой экран, и допустимые адреса клиентов для каждого сервиса. Кроме того, должны быть указаны правила для пользователей, описывающие, когда и какие пользователи каким сервисом и на каком компьютере могут воспользоваться. Отдельно определяются правила аутентификации пользователей и компьютеров, а также условия работы пользователей вне ВС организации.

Политика  работы межсетевого экрана задает базовый принцип управления межсетевым взаимодействием, положенный в основу функционирования брандмауэра. Может быть выбран один из двух таких принципов: запрещено все, что явно не разрешено; разрешено все, что явно не запрещено.

  • программные и аппаратные средства ее защиты. Бороться с угрозами межсетевого взаимодействия средствами универсальной операционной системы (ОС) не представляется возможным. Поэтому проблема безопасности ВС при взаимодействии с внешними системами успешно может быть решена только с помощью специализированных программно-аппаратных комплексов, обеспечивающих целостную безопасность сетей передачи данных – разрабатываемая система;
  • угрозы данным: несанкционированный доступ к данным, нарушение целостности и конфиденциальности данных и т. п.;
  • наборы правил фильтрации (зависят от требований, поставленных системе безопасности ВС, от компонентов этой системы) и т.д.
    1. Анализ исходных данных

      1. Определение схемы подключения системы защиты

Схемы подключения могут зависеть от условий функционирования, а также количества сетевых интерфейсов.

Система защиты информации с одним сетевым интерфейсом не достаточно эффективны как по безопасности, так и удобству конфигурирования. Они физически не разграничивают внутреннюю и внешнюю сети, а соответственно не могут обеспечивать надежную защиту межсетевых взаимодействий. Настройка таких систем, а также связанных с ними маршрутизаторов представляет собой довольно сложную задачу, цена решения которой превышает стоимость замены МЭ с одним сетевым интерфейсом на МЭ с двумя или тремя сетевыми интерфейсами. При этом локальные сети рассматриваются как совокупность закрытой и открытой подсетей. Под открытой подсетью понимается подсеть, доступ к которой со стороны потенциально враждебной внешней сети может быть полностью или частично открыт.

Среди всего множества возможных схем подключения типовыми являются следующие:

  • схема единой защиты локальной сети;
  • схема с защищаемой закрытой и не защищаемой открытой подсетями;
  • схема с раздельной защитой закрытой и открытой подсетей.
      1. Настройка параметров функционирования системы защиты информации

МЭ представляет собой программно-аппаратный комплекс защиты, состоящий из компьютера, а также функционирующих на нем операционной системы (ОС) и специального программного обеспечения. Следует отметить, что это специальное программное обеспечение часто также называют брандмауэром.

Компьютер брандмауэра  должен быть достаточно мощным и физически  защищенным, например, находиться в  специально отведенном и охраняемом помещении. Кроме того, он должен иметь средства защиты от загрузки ОС с несанкционированного носителя.

Операционная система брандмауэра также должна удовлетворять ряду требований:

  • - иметь средства разграничения доступа к ресурсам системы;
  • - блокировать доступ к компьютерным ресурсам в обход предоставляемого программного интерфейса;
  • - запрещать привилегированный доступ к своим ресурсам из локальной сети;
  • - содержать средства мониторинга/аудита любых административных действий.

После установки на компьютер брандмауэра выбранной операционной системы, ее конфигурирования, а также инсталляции программного обеспечения можно приступать к настройке всего межсетевого экрана. Этот процесс включает:

  • Выработку правил работы межсетевого экрана
  • Проверку заданных правил на непротиворечивость;
  • Проверку соответствия параметров настройки выбранной политике межсетевого взаимодействия.
      1. Общие требования

Предъявляемые требования к любому средству системы защиты можно разбить на следующие категории:

Функциональные — решение требуемой совокупности задач защиты. Функциональные требования к разрабатываемой системе включают: требования к фильтрации на сетевом уровне; требования к фильтрации на прикладном уровне; требования по настройке правил фильтрации и администрированию; требования к сетевой аутентификации; требования по внедрению журналов и учету.

Требования  по надежности — способности своевременно, правильно и корректно выполнять все предусмотренные функции защиты;

Требования  по адаптируемости — способности к целенаправленной адаптации при изменении структуры, технологических схем и условий функционирования СОИ АСУП;

Эргономические — требования по удобству администрирования, эксплуатации и минимизации помех пользователям;

Экономические — минимизация финансовых и ресурсных затрат.

Межсетевые экраны должны удовлетворять следующим группам  более детальных требований.

По  целевым качествам — обеспечивать безопасность защищаемой внутренней сети и полный контроль над внешними подключениями и сеансами связи. Система должна иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им требуется доступ к некоторым ресурсам СОИ АСУП организации. Брандмауэр должен надежно распознавать таких пользователей и предоставлять им необходимые виды доступа.

По  управляемости и гибкости — обладать мощными и гибкими средствами управления для полного воплощения в жизнь политики безопасности организации. Система должна обеспечивать простую реконфигурацию при изменении структуры сети. Если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления должна иметь возможность централизованно обеспечивать для них проведение единой политики межсетевых взаимодействий.

По  производительности и прозрачности — работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик при максимальной нагрузке. Система должна работать незаметно для пользователей сети и не затруднять выполнение ими легальных действий. В противном случае пользователи будут пытаться любыми способами обойти установленные уровни системы безопасности.

По  самозащищенности — обладать свойством самозащиты от любых несанкционированных воздействий, должна блокировать любые попытки несанкционированного изменения параметров настройки, а также включать развитые средства самоконтроля своего состояния и сигнализации. Средства сигнализации должны обеспечивать своевременное уведомление службы безопасности при обнаружении любых несанкционированных действий, а также нарушении работоспособности самой системы.

      1. Выбор компонентов системы защиты

Большинство компонентов системы защиты на основе межсетевых экранов относятся к одной из трех категорий:

  • фильтрующие маршрутизаторы;
  • шлюз сетевого уровня;
  • шлюз прикладного уровня.

Эти категории можно  рассматривать как базовые компоненты реальной системы защиты информации. Лишь немногие системы включают только одну из перечисленных категорий. Тем не менее, эти категории отражают ключевые возможности, отличающие системы безопасности СОИ АСУП друг от друга.

Система защиты информации должна обеспечивать возможность количественно обоснованного выбора набора правил фильтрации, необходимого для ее функционирования, то в связи с этим предлагается каждому правилу подставить в соответствие его эффективность. При этом под эффективностью понимают вероятность уничтожения несанкционированных пакетов, вероятность пропуска разрешенных для пропуска пакетов. Для оценки экономической эффективности безопасности, и уровня расходов, связанных с тем или иным вариантом набора правил фильтрации, предлагается каждому набору правил ставиться в соответствие его стоимость. Это позволит осуществлять количественную оценку ожидаемого уровня фильтрации пакетов, экономической эффективности и стоимости.

    1. Построение общей модели системы защиты информации

Большинство современных  систем защиты информации строится на основе аппаратно-программных средств. В качестве таких средств рассматриваются межсетевые экраны, которые должны обеспечить доступ к сети и ограничит доступ внешних пользователей к внутренним ресурсам. И так, межсетевой экран – это система межсетевой защиты, позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую.

Принятие решения о  правилах фильтрации и разграничений доступа зависит от принятой в защищаемой сети политики безопасности. Эффективность защиты ресурсов внутренней сети зависит как от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, так и рациональности выбора и использования основных компонентов. Таким образом суть фильтрации системы защиты информации сводится к разграничению доступа субъектов вне данной сети (подсети) к объектам данной сети (подсети).

На практике существует широкий спектр различных подходов и методов реализации системы защиты с применением средств разграничения доступа (СРД), для которых присущи некоторые общие черты и единообразные базисные компоненты.

    1. Формирование вариантов систем защиты информации

Информация о работе Защита информации