- •Экзаменационные вопросы по курсу «Безопасность информационных систем»
- •Функционально-структурная организация информационных систем на архитектуре «клиент-сервер»
- •Функционально-структурная организация информационных систем на web-архитектуре
- •Структура построения политика информационной безопасности объекта защиты.
- •Описание объекта защиты. Определение основных приоритетов информационной безопасности.
- •Анализ рисков. Формирование перечня критичных ресурсов.
- •Определение основных приоритетов информационной безопасности в инфокоммуникационной системе
- •Модель нарушителя в инфокоммуникационной системе в закрытом контуре лвс
- •Модель нарушителя в инфокоммуникационной системе в открытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в закрытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в открытом контуре лвс
- •Общие требования построения защищенной инфокоммуникационной системе
- •3.1. Общие требования к подсистемам «закрытого» и «открытого» контуров ис
- •3.1.1. Общие требования к подсистеме резервирования и восстановления информации
- •3.1.4. Подсистема антивирусного контроля
- •Общие требования к подсистеме обеспечения безопасности сетевого взаимодействия
- •Требования к подсистеме аутентификации и управления доступом
- •Требования к подсистеме криптографической защиты информации
- •Требования к подсистеме антивирусной защиты
- •Требования к подсистеме резервирования и восстановления информации
- •Требования к подсистеме контроля эталонного состояния информации и рабочей среды
- •Требования к подсистеме управления безопасностью
- •Требования к средствам построения защищенных виртуальных сетей (vpn)
- •Технические решения по защите от нсд межсетевого взаимодействия и передаваемой информации
- •Протокол формирования защищенного туннеля на канальном уровне pptp (Point-to-PointTunnelingProtocol),
- •Протокол формирования защищенного туннеля на канальном уровне l2f (Layer-2 Forwarding)
- •Протокол формирования защищенного туннеля на канальном уровне l2tp (Layer-2 TunnelingProtocol)
- •Общее описание стека протоколов защиты межсетевого уровня iPsec (InternetProtocolSecurity).
- •Протокол обмена ключевой информацией ike (InternetKeyExchange)
- •Протокол аутентифицирующего заголовка (AuthenticationHeader, ан);
- •Протокол инкапсулирующей защиты содержимого (EncapsulatingSecurityPayload, esp).
- •Технические решения по защите от нсд компьютерных ресурсов на уровне серверов и рабочих станций лвс
- •4.1. Технические решения для защиты компьютерных ресурсов серверов и арм
- •4.1.2. Решения по ос hp-ux для обеспечения корпоративной безопасности
- •4.1.3. Организационно-технические решения для защиты субд Oracle
- •4.1.4. Организационно-технические решения для защиты сервера бд
- •4.1.5. Организационно-технические решения для защиты арм пользователей ис
- •Технические решения по реализации подсистемы аутентификации и идентификации
- •Построение системы управления информационной безопаснстью
Требования к средствам построения защищенных виртуальных сетей (vpn)
(из вопроса про сетевые (межсетевые) взаимодействия)
Подсистема защиты межсетевого взаимодействия «открытого» контура предназначена для защиты и управления потоками данных между ЛВС «открытого» контура ИС организации и ЛВС «открытых» контуров ее удаленных филиалов через сети общего пользования (сети Интернет, мобильные сети 2G, 3G, 4G и д. р.).
Подсистема защиты межсетевого взаимодействия, открытого «открытого» контура должна обеспечивать:
– управление потоками между ЛВС «открытого» контора и системами внешних взаимодействующих сегментов ИС осуществляется построением защищенных виртуальных сетей (Virtual Private Network, VPN) с возможностью осуществлять централизованное управление компонентами VPN, а именно:
а) должна быть реализована архитектура клиент-сервер, включающая центр управления компонентами VPN;
б) должно быть реализовано централизованное управление конфигурацией компонента VPN (механизм удаленной конфигурации);
в) дистанционная настройка должна осуществляться по защищенному каналу с аутентификацией абонентов канала;
г) осуществляется централизованное распространение криптографических ключей на основе сертификационного органа;
д) должен быть реализован графический интерфейс для создания и модификации профилей конфигурации VPN;
е) должна быть реализована возможность создания резервной копии конфигурации VPN;
ж) должен обеспечиваться непрерывный мониторинг функций защиты агентами, установленными на рабочих станциях и серверах VPN.
Технические решения по защите от нсд межсетевого взаимодействия и передаваемой информации
Организационно-технические решения для организации защиты межсетевого взаимодействия
Одной из базовых задач построения защищенных корпоративных сетей является проблема защиты информации в процессе ее передачи по открытым каналам связи. Использование технологии защищенных виртуальных сетей VPN позволяет обеспечить криптозащиту информации при организации защищенных каналов связи или защищенных туннелей между «открытыми» контурами ЛВС взаимодействующих систем [18, 25 - 29]. VPN-агенты могут осуществлять функции шифрования/расшифрования, аутентификации, а также контроль целостности сообщения посредством электронной цифровой подписи (ЭЦП) или имитовставки (ИВ).
Как правило, VPN-агенты поддерживают несколько стандартных протоколов организации защищённых туннелей, которые могут применяться на разных уровнях логической структуры эталонной модели архитектуры BOC. Хотя эти протоколы могут находиться на всех уровнях эталонной модели, средства VPN являются только теми, которые полностью прозрачны для сетевых служб и приложений пользователя. Это протоколы защищенных туннелей канального, сетевого и транспортного уровней. Эти три уровня, которые в терминах модели BOC образуют логическую структуру транспортной системы зоны взаимодействия открытых систем, также называются уровнями VPN. Чем ниже уровень эталонной модели, на которой реализована защита, тем она прозрачнее для приложений и невидима для пользователей. Однако снижение этого уровня снижает количество реализуемых услуг по обеспечению безопасности и усложняет управление. Чем выше уровень безопасности по модели OSI, тем шире спектр услуг безопасности, тем надежнее контроль доступа и проще настроить систему безопасности. Однако в этом случае увеличивается зависимость от используемых протоколов обмена и приложений.
Существует два способа создания безопасных туннелей данных на уровне LAN и оконечных устройств [18].
Туннели уровня LAN обычно прозрачны для рабочих станций. В этом случае рабочие станции отправляют все сообщения в виде обычного текста. Кодер отбирает и кодирует пакеты, а декодер на противоположном конце канала декодирует сообщения и передает их сетевому серверу.
Шифрование на уровне целевой системы выполняется на рабочей станции или сервере. В незашифрованном виде пакеты вообще не передаются по сети. Существует два типа такой связи: «клиент-клиент» (кодер и декодер установлены на конечных системах, а незашифрованных пакетов вообще нет) и «клиент-сеть» (клиент взаимодействует с системой шифрования сетевого уровня).
Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих функций:
– аутентификация взаимодействующих сторон;
– криптографическое закрытие передаваемых данных;
– подтверждение подлинности и целостности доставленной информации;
– защита от повтора, задержки и удаления сообщений;
– защита от отрицания фактов отправления и приема сообщений.
Примечание 4.1. Выбор методов и средств защиты технологии виртуализации следует проводить с учетом требований [30].