Автор работы: Пользователь скрыл имя, 26 Сентября 2012 в 09:41, реферат
Объективные причины проблемы обеспечения информационной безопасности:
1. Расширение сферы применения средств вычислительной техники.
2. Развитие и распространение вычислительных сетей.
3. Доступность средств вычислительной техники (прежде всего ПК) в широких слоях населения.
4. Отставание в области создания непротиворечивой системы законодательно-правового регулирования отношений в сфере накопления, использования и защиты информации.
5. Развитие и широкое распространение компьютерных вирусов.
1 1 ОСНОВЫ БЕЗОПАСНОСТИ СЕТЕВЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ 1
1.1 Актуальность проблемы обеспечения безопасности сетевых информационных технологий 1
1.2 Основные механизмы защиты компьютерных систем 1
1.3 Цели создания системы обеспечения информационной безопасности 6
1.4 Задачи, решаемые средствами защиты информации от НСД 7
1.5 Основные организационные мероприятия по созданию комплексной системы защиты 8
2 ОБЕСПЕЧЕНИЕ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ 9
3 ПРОЕКТИРОВАНИЕ И ПОСТРОЕНИЕ СИСТЕМ ЗАЩИТЫ 10
3.1 Определение исходных данных 11
3.2 Анализ исходных данных 12
3.3 Построение общей модели системы защиты информации 14
3.4 Формирование вариантов систем защитыинформации 14
3.5 Поиск наилучшего набора правил системы защиты 15
3.6 Определение критериев работы разработанной модели 18
3.7 Формализация модели системы безопасности 20
4 РАСПРЕДЕЛЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ 21
4.1 Модульная система защиты 22
4.2 Расширение функций системы защиты информации 22
5 МЕТОДИКА МЭ, РЕАЛИЗУЕМАЯ НА БАЗЕ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ 25
5.1 Понятие межсетевого экрана 25
5.2 Фильтрация трафика 28
5.3 Политика межсетевого взаимодействия, 28
5.4 Определение схемы подключения межсетевого экрана 29
5.5 Операционная система МЭ 31
5.6 Общие требования к МЭ 31
5.7 Особенности межсетевого экранирования на различных уровнях OSI 32
Подключение терминального сервера должно осуществляться таким образом, чтобы его работа выполнялась исключительно через межсетевой экран. Такое подключение возможно, если терминальный сервер включить в состав открытой подсети при использовании схем подключения МЭ с раздельной защитой открытой и закрытой подсетей.
Программно-аппаратный МЭ – это совокупность функционирующих на нем операционной системы (ОС) и специального программного обеспечения. Специальное программное обеспечение часто также называют брандмауэром.
Операционная система МЭ также должна удовлетворять ряду требований:
- иметь средства разграничения доступа к ресурсам системы;
- блокировать доступ к компьютерным ресурсам в обход предоставляемого программного интерфейса;
- запрещать привилегированный доступ к своим ресурсам из локальной сети;
- содержать средства
мониторинга/аудита любых
Функциональные — решение требуемой совокупности задач защиты: требования к фильтрации на сетевом уровне; требования к фильтрации на прикладном уровне; требования по настройке правил фильтрации и администрированию; требования к сетевой аутентификации; требования по внедрению журналов и учету.
Требования по надежности — способность своевременно, правильно и корректно выполнять все предусмотренные функции защиты;
Требования по адаптируемости — способность к целенаправленной адаптации при изменении структуры, технологических схем и условий функционирования МЭ;
Эргономические — требования по удобству администрирования, эксплуатации и минимизации помех пользователям;
Экономические — минимизация финансовых и ресурсных затрат.
Межсетевые экраны должны
удовлетворять следующим
По целевым качествам — обеспечивать безопасность защищаемой внутренней сети и полный контроль над внешними подключениями и сеансами связи. Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им требуется доступ к некоторым ресурсам сети организации. МЭ должен надежно распознавать таких пользователей и предоставлять им необходимые виды доступа.
По управляемости и гибкости — обладать мощными и гибкими средствами управления для полного воплощения в жизнь политики безопасности организации. МЭ должен обеспечивать простую реконфигурацию системы при изменении структуры сети. Если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики межсетевых взаимодействий.
По производительности и прозрачности — работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик при максимальной нагрузке. Это необходимо для того, чтобы МЭ нельзя было перегрузить большим количеством вызовов, которые привели бы к нарушению его работы. Система безопасности должна работать незаметно для пользователей сети и не затруднять выполнение легальных действий.
По самозащищенности — обладать свойством самозащиты от любых несанкционированных воздействий. Поскольку межсетевой экран является и ключом и дверью к конфиденциальным данным в организации, он должен блокировать любые попытки несанкционированного изменения его параметров настройки, а также включать развитые средства самоконтроля состояния и сигнализации. Средства сигнализации должны обеспечивать своевременное уведомление службы безопасности при обнаружении любых несанкционированных действий, а также нарушении работоспособности системы безопасности.
МЭ поддерживают безопасность межсетевого взаимодействия на различных уровнях модели OSI. При этом функции защиты, выполняемые на разных уровнях, отличаются друг от друга. Поэтому комплексный межсетевой экран удобно представить в виде совокупности неделимых экранов, каждый из которых ориентирован на отдельный уровень модели OSI. Чаще всего экран функционирует на сетевом, сеансовом и прикладном уровнях модели. Соответственно различают МЭ: экранирующий маршрутизатор, экранирующий транспорт (шлюз сеансового уровня), а также экранирующий шлюз (шлюз прикладного уровня).
Так как используемые в сетях протоколы (ТСР/IP, SPX/IPX) не однозначно соответствуют модели OSI, то экраны всех типов при выполнении своих функций могут охватывать и соседние уровни OSI. Например, прикладной экран может осуществлять автоматическое зашифровывание сообщений при их передаче во внешнюю сеть, а также автоматическое расшифровывание криптографически закрытых принимаемых данных. В этом случае экран функционирует не только на прикладном уровне, но и на уровне представления. Шлюз сеансового уровня при своем функционировании охватывает транспортный и сетевой уровни модели OSI. Экранирующий маршрутизатор при анализе пакетов сообщений проверяет их заголовки не только сетевого, но и транспортного уровня.
Экранирующий маршрутизатор, называемый еще пакетным фильтром, предназначен для фильтрации пакетов сообщений и обеспечивает прозрачное взаимодействие между внутренней и внешней сетями. Он функционирует на сетевом уровне модели OSI, но для выполнения своих отдельных функций может охватывать и транспортный уровень. Решение о том, пропустить или отбраковать данные, принимается для каждого пакета независимо на основе заданных правил фильтрации. Для принятия решения анализируются заголовки пакетов сетевого и транспортного уровней. В качестве анализируемых полей IP- и ТСР (UDP)- заголовков каждого пакета выступают:
Первые четыре параметра относятся к IP-заголовку пакета, а следующие – к ТСР- или UDP-заголовку.
Шлюз сеансового уровня (экранирующий транспорт) предназначен для контроля виртуальных соединений и трансляции IP-адресов при взаимодействии с внешней сетью. Он функционирует на сеансовом уровне модели OSI, охватывая в процессе своей работы также транспортный и сетевой уровни эталонной модели. Защитные функции экранирующего транспорта относятся к функциям посредничества.
Контроль виртуальных соединений заключается в контроле квотирования связи, а также контроле передачи информации по установленным виртуальным каналам.
При контроле квитирования связи шлюз сеансового уровня следит за установлением виртуального соединения между рабочей станцией внутренней сети и компьютером внешней сети, определяя, является ли запрашиваемый сеанс связи допустимым. Такой контроль основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола ТСР. Однако если пакетный фильтр при анализе ТСР-заголовков проверяет только номера портов источника и получателя, то экранирующий транспорт анализирует другие поля, относящиеся к процессу квотирования связи.
Чтобы определить, является ли запрос на сеанс связи допустимым, шлюз сеансового уровня выполняет следующие действия. Когда рабочая станция (клиент) запрашивает связь с внешней сетью, шлюз принимает этот запрос, проверяя, удовлетворяет ли он базовым критериям фильтрации, например, может ли DNS-сервер определить IP-адрес клиента и ассоциированное с ним имя. Затем, действуя от имени клиента, шлюз устанавливает соединение с компьютером внешней сети и следит за выполнением процедуры квотирования связи по протоколу ТСР.
Прикладной шлюз, называемый также экранирующим шлюзом, функционирует на прикладном уровне модели OSI, охватывая также уровень представления, и обеспечивает наиболее надежную защиту межсетевых взаимодействий. Защитные функции прикладного шлюза, как и экранирующего транспорта, относятся к функциям посредничества. Однако прикладной шлюз, в отличие от шлюза сеансового уровня, может выполнять существен- но большее количество функций защиты, к которым относятся следующие:
Учитывая, что функции прикладного шлюза относятся к функциям посредничества, он представляет собой универсальный компьютер, на котором функционируют программные посредники (экранирующие агенты) — по одному для каждого обслуживаемого прикладного протокола (HTTP, FTP, SMTP, NNTP и др.).
Посредник каждой службы ТСР/IP ориентирован на обработку сообщений и выполнение функций защиты, относящихся именно к этой службе. Так же, как и шлюз сеансового уровня, прикладной шлюз перехватывает с помощью соответствующих экранирующих агентов входящие и исходящие пакеты, копирует и перенаправляет информацию через шлюз, и функционирует в качестве сервера-посредника, исключая прямые соединения между внутренней и внешней сетью. Однако посредники, используемые прикладным шлюзом, имеют важные отличия от канальных посредников шлюзов сеансового уровня. Во-первых, посредники прикладного шлюза связаны с конкретными приложениями (программными серверами), а во-вторых, они могут фильтровать поток сообщений на прикладном уровне модели OSI.
Прикладные шлюзы используют в качестве посредников специально разработанные для этой цели программные серверы конкретных служб ТСР/IP— серверы HTTP, FTP, SMTP, NNTP и др. Эти программные серверы функционируют на брандмауэре в резидентном режиме и реализуют функции защиты, относящиеся к соответствующим службам ТСР/IP. Трафик UDP обслуживается специальным транслятором содержимого UDP-пакетов.