7.3.5 Реалізація захисту
На фізичному та канальному рівнях основний механізм захисту - шифрування з'єднання або трафіка (зашифровуватися може як весь трафік, так і його частина), що забезпечує конфіденційність інформації, яка передається. Для захисту інформації на фізичному рівні застосовують скремблювання, шифрувальні модеми, спеціалізовані адаптери.
Достоїнство реалізації засобів захисту:
апаратна реалізація;
простота застосування;
повний захист трафіка;
прозорість виконання засобами захисту своїх функцій. Недоліки застосування засобів захисту:
негнучкість рішень (фіксований тип каналу, складність адаптації до мережної топології, фіксована продуктивність);
низька сумісність;
висока вартість.
Завдання захисту інформації на мережаному рівні:
захист інформації безпосередньо в пакетах, що передаються по мережі;
захист трафіка мережі, тобто шифрування всієї інформації у каналі;
контроль доступу до ресурсів мережі, тобто захист від несанкціонованих користувачів і від доступу санкціонованих користувачів до інформації, що їм не призначена.
Для вирішення завдань захисту на мережаному можуть використовуватись:
312
Розділ 7 Основи безпеки інформаційних ресурсів
п
акетні
фільтри;адміністративний захист на маршрутизаторах (у тому числі таих, що шифрують);
протоколи захисту інформації мережного рівня (захист і автен-тифікація трафіка);
тунелювання;
векторизація;
динамічний розподіл мережних адрес;
захист топології. Достоїнство засобів захисту:
повнота контролю трафіка;
універсальність;
прозорість;
сумісність;
адаптація до топології мережі.
Недолік — неповнота контрольованих подій (непідконтрольність транспортних та прикладних протоколів).
Для усунення загроз на транспортному рівні можуть використовуватись наступні рішення:
захист у складі міжмережних екранів (контроль доступу до додатків, керування доступом до серверів);
proxy-системи;
протоколи захисту транспортного рівня (захист і автентифікація даних).
Достоїнства захисту:
розвинена функціональність;
висока гнучкість захисту. Недоліки засобів захисту:
неповнота захисту;
непідконтрольність подій у рамках прикладних і мережних протоколів.
Засоби захисту на представницькому рівні:
вбудований захист додатків;
міжмережні екрани з фільтрацією прикладних протоколів;
proxy-системи і т.ін.
Достоїнства захисту: повнота і висока функціональність у рамках конкретного додатку та контроль на рівні дій конкретного користувача (процесу).
Недоліки розташування засобів захисту на прикладному рівні:
• відсутність універсальності;
313
Частина II Основи безпеки інформаційних технологій
о
бмеженість
рамками заданого набору додатків;непідконтрольність подій на нижчих рівнях керування.
314
Розділ 8
КРИТЕРІЇ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
8.1 Загальні відомості про вимоги та критерії оцінки безпеки інформаційних технологій
8.1.1 Основні поняття про стандарти інформаційної безпеки
Одними з найбільш важливих нормативно-технічних документів, які стимулюють розвиток захищених інформаційних систем, мереж і засобів є документи, що стандартизують вимоги та критерії оцінки безпеки.
Стандарти інформаційної безпеки — це стандарти забезпечення захисту, призначені для взаємодії між виробниками, споживачами і експертами з кваліфікації продуктів інформаційних технологій у процесі створення та експлуатації захищених систем оброблення інформації.
Стандарт забезпечення захисту звичайно містять опис послідовності оцінок, які необхідно виконати, щоб вважати дану характеристику безпеки підтвердженою з точки зору атестації захисту або множину характеристик безпеки, які повинна забезпечити система захисту, щоб її можна було використовувати в даному конкретному режимі забезпечення безпеки або у відповідності до загальної стратегії захисту.
Найбільш значними стандартами інформаційної безпеки є (у хронологічному порядку): Критерії безпеки комп'ютерних систем, Європейські критерії безпеки інформаційних технологій, Федеральні критерії безпеки інформаційних технологій, Канадські критерії безпеки комп'ютерних систем, Загальні критерії безпеки інформаційних технологій.