- •Возможности технических средств разведки по перехвату информации в ас.
- •Особенности построения систем защиты информации от тср в ас.
- •Методы несанкционированного доступа в компьютерных сетях.
- •1.1. Неавторизованный доступ к кс
- •1.2. Несоответствующий доступ к ресурсам кс
- •1.3. Раскрытие данных
- •1.4. Неавторизованная модификация данных и программ
- •1.5. Раскрытие трафика кс
- •1.6. Подмена трафика кс
- •1.7. Разрушение функций кс
- •Методы и средства защиты от несанкционированного межсетевого доступа.
- •Анализ информационного обмена и политика безопасности
- •Межсетевые экраны
- •Средства vpn
- •Технология защищенных виртуальных сетей.
- •Построение защищенных виртуальных сетей.
- •Варианты построения vpn
- •Способы создания защищенных виртуальных каналов
- •Обзор протоколов Модель взаимодействия открытых систем
- •Функции межсетевого экранирования.
- •1. Фильтрация трафика
- •2. Выполнение функций посредничества
- •3. Особенности межсетевого экранирования на различных уровнях модели osi
- •3.1. Экранирующий маршрутизатор
- •1.3.2. Шлюз сеансового уровня
- •1.3.3. Прикладной шлюз
- •Схемы подключения межсетевых экранов.
- •Установка и конфигурирование систем мэ
- •Разработка политики межсетевого взаимодействия
- •1.2 Определение схемы подключения межсетевого экрана
- •Защита локальной сети мэ с одним сетевым интерфейсом
- •1.3. Настройка параметров функционирования мэ
- •Общие требования к межсетевым экранам.
- •Классификация межсетевых экранов по уровню защищенности информации от нсд.
- •1. Общие положения
- •2. Требования к межсетевым экранам
Общие требования к межсетевым экранам.
Основными критериями выбора межсетевого экрана являются три: глубина анализа трафика, собственная защищенность экрана и соответствие требованиям производительности.
Глубина анализа определяется степенью осмысленной обработки передаваемой информации. В простейшем случае это фильтрация данных на сетевом уровне, в более сложных — фильтрация на уровне виртуального соединения; самый детальный анализ проводят МЭ, работающие на прикладном уровне. Именно последние обеспечивают максимальную защищенность узлов КС и могут быть рекомендованы для установки почти во всех случаях. Экраны с меньшими возможностями анализа информации оказываются эффективными при установке у провайдера информационных услуг, который не может в полной мере определять политику безопасности своих клиентов, но должен гарантировать получение ими информационных сервисов.
Собственная защищенность означает принципиальную невозможность перехода системы в открытое состояние. Полностью исключить такую ситуацию можно опять-таки только с помощью шлюзов приложений, где пакеты всякий раз переформировываются заново. Это, кстати, исключает и попадание во внутренние узлы КС пакетов, содержащих некорректные поля или опасные опции.
Важным моментом является соответствие МЭ требованиям к производительности. Поскольку не существует общепризнанной методики измерения производительности межсетевых экранов, стоит провести испытания в условиях реальной среды информационного обмена. Нужно обратить внимание на устойчивость к пиковым нагрузкам, которая традиционно высока для систем на Unix-платформе.
Классификация межсетевых экранов по уровню защищенности информации от нсд.
Вырезка из РД Межсетевые экраны.Защита от несанкционированного доступа к информации.
1. Общие положения
1.1. Данные показатели содержат требования к средствам защиты, обеспечивающим безопасное взаимодействие сетей ЭВМ, АС посредством управления межсетевыми потоками информации, и реализованных в виде МЭ.
1.2. Показатели защищенности применяются к МЭ для определения уровня защищенности, который они обеспечивают при межсетевом взаимодействии.
Конкретные перечни показателей определяют классы защищенности МЭ.
1.3. Деление МЭ на соответствующие классы по уровням контроля межсетевых информационных потоков с точки зрения защиты информации необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей ЭВМ, АС.
1.4. Дифференциация подхода к выбору функций защиты в МЭ определяется АС, для защиты которой применяется данный экран.
1.5. Устанавливается пять классов защищенности МЭ.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.
1.6. Требования, предъявляемые к МЭ, не исключают требований, предъявляемых к средствам вычислительной техники (СВТ) и АС в соответствии с руководящими документами Гостехкомиссии России “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации” и “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации”.
При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться.
Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.
Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов: - при обработке информации с грифом “секретно” - не ниже 3 класса; - при обработке информации с грифом “совершенно секретно” - не ниже 2 класса; - при обработке информации с грифом “особой важности” - не ниже 1 класса.