Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5133 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный электротехнический университет "ЛЭТИ"
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
otchyot-zvereva.rtf
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
145.41 Кб
Скачать
►Содержание►

Безопасность сетевых технологий

В банке организована своя собственная (а не арендованная) внутренняя сеть. Она связывает отделения банка в городе в единую локальную вычислительную сеть. Связь с другими регионами осуществляется по внешним каналам . Допускается организация связи через интернет и телефонные линии.

  • Выделенные каналы выгодно отличаются от интернет-каналов наличием договора с провайдером, в котором, к примеру, предусматривается юридическая ответственность за съём (копирование) информации, передаваемой по каналу, с целью передачи третьим лицам.

Основные компоненты стратегии построения безопасных сетей:

  1. Обеспечение безопасности сетей на уровне архитектуры построения сети, применяемых сетевых протоколов и применяемом сетевом оборудовании.

  2. Использование сертифицированных государством средств защиты и технологий администрирования сети, учёт международных стандартов и стандартов Банка России.

  3. Привлечение к работе квалифицированных специалистов и применение рекомендаций по обеспечению безопасности при конфигурации системы управления сетью и сетевых сервисов.

  4. Определение политики обеспечения безопасности сети на этапе её начального проектирования и при внедрении новых информационных технологий, автоматизированных систем.

  5. Изучение (анализ) случаев нарушения безопасности и информирование соответствующих служб о собственных происшествиях, проведение служебных расследований.

Существуют две основные задачи защиты информационного взаимодействия компьютеров и сетей. Первая – защита подключённых к открытым каналам связи локальных сетей и компьютеров от несанкционированных доступа со стороны внешней среды (к примеру, на территории оборудования оператора связи). Вторая – защита информации в процессе передачи по открытым каналам связи (обеспечение конфиденциальности). Решением первой задачи являются межсетевые экраны (МЭ), поддерживающие безопасность информационного воздействия путём фильтрации двустороннего потока сообщений и выполнения функций посредничества при обмене информацией. Решение второй задачи – криптографическая защита передаваемых данных, аутентификация взаимодействующих сторон, с подтверждение подлинности и целостности доставленной информации, защита от повтора, задержки и удаления сообщения, защита от отрицания факта отправления и приёма сообщений.

Средства защиты в сетях

  • активный мониторинг и фильтрация трафика (межсетевые экраны)

  • системы обнаружение сетевых атак

  • аутентификация и сетевая аутентификация

  • центры сертификации

  • шифрование файлов и сессий

  • технология виртуальных сетей и защита коммуникационного оборудования

  • защищённые web-серверы и приложения

  • сканеры уязвимостей

  • осведомлённость о защите и реакция на инциденты в реальном времени

  • механизмы защищенного управления средствами защиты.

Средства защиты информации в сети можно разделить на активные и пассивные.

Политика безопасности на средстве защиты информации (СЗИ) зависит от того, где оно расположено и какие функциональные задачи оно выполняет.

Активные СЗИ.

Роль «первой линии обороны» сетей играют ФПСУ-IP. Они выполняют следующие функции:

  • защита от НСД – туннелирование с помощью ФПСУ (сокрытие топологии локальных сетей удаленных офисов), шифрование в открытых сетях;

  • обеспечение качества связи (информация может быть приоритизирована с помощью ФПСУ);

  • фильтрация трафика по заданным критериям;

  • сокрытие топологий с применением NAT (network address translation).

Для распределения нагрузки могут использоваться параллельно несколько ФПСУ, которые делятся на группы по территориальному признаку (городские, областные каналы связи) , для видео-информации выделен специальный ФПСУ.

ФПСУ также осуществляет proxy-управление удаленными маршрутизаиторами с шифрование управляющего трафика в открытых каналах связи.

Для обеспечения удаленного доступа по открытым каналам связи от отдельного рабочего места к ресурсам защищенной локальной сети используется специальное клиентское ПО – ПАК ФПСУ-IP/Клиент, которое устанавливается на удалённый компьютер, - таким образом создаётся защищённое соединение.

В локальной сети существуют отдельные сегменты. В некоторых из них расположены рабочие станции, обрабатывающие критичную информацию. Такие ПК требуют создания специальных мер по информационной защите. Эти сегменты создаются посредством ФПСУ или другого межсетевого экрана (МЭ), имеющего больше возможностей по настройке, чем ФПСУ,. (к примеру, ФПСУ не «умеет» контролировать направление установления TCP-соединения, на порядок ниже общая пропускная способность).

Для работы с клиентами – юридическими и физическими лицами в ЛВС Управления банка создана специальная зона – DMZ, которая представляет собой отдельные сервера, необходимые для работы с определённой сторонней организацией или клиентами. По сути, она представляет собой отдельный интерфейс, с организованной и применяемой политикой доступа.. DMZ может быть несколько (чтобы избежать доступа различных серверов независимых технологий друг к другу).

Таким образом, реализован способ работы с внешними объектами без прямого подключения к защищенной локальной вычислительной сети банка.

Клиенты – физические лица работают с банком через Vpn-ключи.

На пути от удалённого рабочего места сотрудника, например, в сберкассе, до локальной сети управления (или определённой DMZ) расположены, как минимум, два ФПСУ. Включение IP-адреса в список разрешённых адресов в ФПСУ осуществляется по заявкам.

Если количество клиентов сотни или тысячи, целесообразно организовать фильтры доступа не по IP-адресам, а по типу требуемого доступа.

Пассивные СЗИ.

К пассивным средствам относятся: сетевые анализаторы (частный случай - система обнаружения атак - IDS), сетевые сканеры.

1. Сетевые сканеры. Выявляют уязвимости на компьютерах и серверах, определяют открытые порты, действующие службы (службы и сетевые ресурсы на обычных рабочих ПК сотрудников должны быть отключены).

2. Сетевые анализаторы (анализаторы протокола, сетевые мониторы). Следят за тем, что происходит в сети. Сниффер - это программа, которая позволяет перехватывать сетевой трафик. Это программа может анализировать только то, что проходит через его сетевую карту. С одной стороны снифферы - мощное оружие, с помощью которого можно осуществить пассивное слежение. С другой стороны снифферы помогают системным администраторам осуществлять диагностику сети и отслеживать атаки компьютерных злоумышленников. Кроме того, они служат для проверки и детального анализа правильности конфигурации сетевого программного обеспечения.

3. Системы обнаружения атак. Отличаются от снифферов наличием шаблона атаки (нештатной ситуации). IDS - Intrusion detection system

4. IPS - Intrusion prevention system. Предотвращают атаки. Их особенность в наличии возможности активного вмешательства в сетевое взаимодействие - система даёт команду на блокировку хоста в некоторых случаях обнаружения, например, вируса (его поведение характеризуется перебором портов и т.п.) Эта система, как и любая другая шаблонная система обнаружения, требует постоянного обновления сигнатур атак.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности