7.4. Технический уровень
Технические (логические) меры безопасности – это программные средства, используемые для ограничения доступа субъектов к объектам. Это могут быть компоненты операционных систем, отдельные пакеты безопасности, приложения, аппаратные сетевые устройства, протоколы, механизмы шифрования, матрицы контроля доступа. Эти меры безопасности работают на разных уровнях в сети или системах, но при этом должна быть обеспечена их совместная работа для защиты от несанкционированного доступа к ресурсам и гарантий доступности, целостности и конфиденциальности ресурсов. Технические меры защищают целостность и доступность ресурсов, ограничивая число субъектов, которые могут иметь к ним доступ, а также конфиденциальность ресурсов, предотвращая их раскрытие неавторизованным субъектам.
Доступ к системам
Различные типы средств и механизмов безопасности управляют доступом к ресурсам. Если компания использует архитектуру MAC, определяется уровень допуска пользователя и сравнивается с уровнем классификации ресурса для проверки, может ли пользователь получить доступ к запрашиваемому объекту. Если компания использует архитектуруDAC, операционная система проверяет, имеет ли пользователь разрешение на доступ к запрошенному ресурсу. Критичность данных, уровни допуска пользователей, права и разрешения пользователей используются в качестве логических мер безопасности для управления доступом к ресурсам. В качестве технических мер могут использоваться комбинации имени пользователя ипароля, реализации системыKerberos,биометрические системы, инфраструктуры открытых ключей (PKI),RADIUS,TACACS, системы аутентификации посредствомсмарт-карт. Эти технологии, используя различные механизмы аутентификации, проверяют, что пользователь является именно тем, за кого себя выдает. После успешной аутентификации пользователь может быть авторизован и ему может быть предоставлен доступ к ресурсам.
Сетевая архитектура
Архитектура сети может быть построена и реализована посредством нескольких логических мер защиты, обеспечивающих изоляцию и защиту окружения. Сеть может быть изолирована физически (стенами, выделенными помещениями), либо логически (отдельными адресными пространствами, подсетями, сегментами, управляемыми коммуникационными потоками между сегментами). Часто очень важно контролировать взаимодействие различных сегментов между собой. На рисунке 2 показан пример того, как компания может сегментировать свои сети и организовать взаимодействие между сегментами. В приведенном примере компания не хочет, чтобы между внутренней сетью и демилитаризованной зоной (DMZ) были открытые и неограниченные коммуникационные маршруты. Обычно внутренним пользователям нет необходимости напрямую обращаться к системам в DMZ, а исключение таких маршрутов взаимодействия снижает возможности для внутренних атак на эти системы. Кроме того, если атака из Интернета успешно компрометирует систему в DMZ, атакующий не должен получить при этом возможность простого доступа во внутреннюю сеть, для чего должен применяться соответствующий тип логической изоляции. На этом примере также показано, что управляющий сегмент может взаимодействовать со всеми другими сетевыми сегментами, но эти сетевые сегменты не могут взаимодействовать с управляющим сегментом, так как в нем находятся консоли, управляющие межсетевыми экранами и IDS, и нет причин для взаимодействия с ними пользователей и других администраторов.
Рисунок 2-16. Сегментация сети на техническом уровне управляет порядком взаимодействия различных сегментов сети