Защита информации компьютерных сетей

проектная) документация.  Дополнительно  документация
должна содержать описание графического интерфейса для управления  межсетевым
экраном.

      Дополнительные  требования  к  межсетевым   экранам   второго   класса
защищенности.

      Дополнительные  требования  к  межсетевым   экранам   второго   класса
защищенности Управление  доступом.  Межсетевой  экран  дополнительно  должен
обеспечивать:

      - возможность сокрытия субъектов (объектов) и/или  прикладных  функций
защищаемой сети;

      - возможность трансляции сетевых адресов.

      Регистрация. Дополнительно межсетевой экран должен обеспечивать:

      - дистанционную сигнализацию попыток нарушения правил фильтрации;

      - регистрацию и учет запрашиваемых сервисов прикладного уровня;

      - программируемую реакцию на события в межсетевом экране.

      Администрирование: идентификация и  аутентификация.  Межсетевой  экран
должен предоставлять  возможность  идя  идентификации  и  аутентификации  по
идентификатору  (коду)  и  паролю  временного  действия.  Брандмауэр  должен
препятствовать   доступу   ^идентифицированного   субъекта   или   субъекта,
подлинность идентификации которою при аутентификации не  подтвердилась.  При
удаленных запросах на доступ администратора идентификация  и  аутентификация
должны  обеспечиваться  методами,  устойчивыми  к  пассив-нону  и  активному
перехвату информации.

      Целостность. Межсетевой экран должен содержать  средства  контроля  за
целостностью своей программной и информационной части по контрольным  суммам
как в процессе  загрузки,  так  и  динамически.  восстановление.  Межсетевой
экран должен предусматривать процедуру восстановления после сбоев и  отказов
оборудования,  которые  должны   обеспечивать   оперативное   восстановление
свойств   брандмауэра.   Тестирование.   В    межсетевом    экране    должна
обеспечиваться возможность регламентного тестирования:

      - реализации правил фильтрации;

      - процесса регистрации;

      - процесса идентификации и аутентификации запросов;

      - процесса идентификации и аутентификации администратора;

      - процесса регистрации действий администратора;

      - процесса контроля за целостностью программной и информационной части
межсетевого экрана;

      - процедуры восстановления.

      Тестовая документация. Должна содержать описание  тестов  и  испытаний
которым подвергался межсетевой экран, и результаты тестирования.


      Требования к межсетевым экранам пятого класса защищенности.

      Управление доступом. Межсетевой экран должен  обеспечивать  фильтрацию
на сетевом уровне. Решение  по  фильтрации  может  приниматься  для  каждого
сетевого пакета независимо на  основе,  по  крайней  мере,  сетевых  адресов
отправителя и получателя или на основе других эквивалентных атрибутов,

      Администрирование: идентификация и  аутентификация.  Межсетевой  экран
должен обеспечивать идентификацию и аутентификацию  администратора  при  его
локальных запросах на доступ. Брандмауэр  должен  предоставлять  возможность
для  идентификации  и  аутентификации  по  идентификатору  (коду)  и  паролю
условно-постоянного действия.

      Администрирование: регистрация. Межсетевой экран  должен  обеспечивать
регистрацию входа/выхода администратора в  систему  (из  системы),  а  также
события  загрузки  и  инициализации  системы  и  ее  программного  останова.
Регистрация  выхода  из  системы  не  проводится  в  моменты   аппаратурного
отключения брандмауэра. В параметрах регистрации должны указываться:

      - дата, время и код регистрируемого события;

      - результат попытки осуществления регистрируемого события  —  успешная
или неуспешная;

      -  идентификатор  администратора   МЭ,   предъявленный   при   попытке
осуществления регистрируемого события.

      Целостность. Межсетевой экран должен содержать  средства  контроля  за
целостностью  своей  программной  и  информационной  части.  Восстановление.
Межсетевой  экран  должен  предусматривать  процедуру  восстановления  после
сбоев и отказов оборудования,  которые  должны  обеспечивать  восстановление
свойств  МЭ.  Тестирование.  В  межсетевом  экране   должна   обеспечиваться
возможность регламентного тестирования:

      - реализации правил фильтрации;

      - процесса идентификации и аутентификации администратора;

      - процесса регистрации действий администратора;

      - процесса контроля за целостностью программной и информационной части
межсетевого экрана;

      - процедуры восстановления.

      Руководство  администратора  межсетевого   экрана.   Документ   должен
содержать:

      - описание контролируемых функций брандмауэра;

      - руководство по настройке и конфигурированию межсетевого экрана;

      - описание старта брандмауэра и процедур проверки правильности старта;

      - руководство по процедуре восстановления.

      Тестовая документация. Должна содержать описание тестов  и  испытаний,
которым   подвергался   межсетевой   экран,   и   результаты   тестирования.
Конструкторская (проектная) документация. Должна содержать:

      - общую схему межсетевого экрана;

      - общее описание принципов работы брандмауэра;

      - описание правил фильтрации;

      - описание средств и процесса идентификации и аутентификации;

      - описание средств и процесса регистрации;

      - описание средств и процесса контроля за целостностью  программной  и
информационной части межсетевого экрана;

      - описание процедуры восстановления свойств брандмауэра.


      Разработка политики межсетевого взаимодействия.

      Политика  межсетевого  взаимодействия  является  той  частью  политики
безопасности в организации, которая  определяет  требования  к  безопасности
информационного  обмена  с  внешним  миром.  Данные  требования  обязательно
должны отражать два аспекта:

      - политику доступа к сетевым сервисам;

      - политику работы межсетевого экрана.

      Политика доступа к сетевым сервисам определяет правила  предоставления
а также использования всех возможных сервисов защищаемой компьютерной  сети.
Соответственно в рамках данной политики  должны  быть  заданы  все  сервисы,
предоставляемые через  сетевой  экран,  и  допустимые  адрес;  клиентов  для
каждого сервиса. Кроме того, должны быть указаны правша  для  пользователей,
описывающие,  когда  и  какие  пользователи  каким  сервисом  и   на   каком
компьютере    могут    воспользоваться.    Отдельно    определяют    правила
аутентификации  пользователей  и  компьютеров,  а   также   условии   работы
пользователей вне локальной сети организации.

      Политика работы межсетевого экрана задает базовый  принцип  управления
межсетевым   взаимодействием,   положенный   в    основу    функционирований
брандмауэра. Может быть выбран один из двух таких принципов:

      - запрещено все, что явно не разрешено;

      - разрешено все, что явно не запрещено.

      В зависимости от выбора, решение  может  быть  принято  как  в  пользу
безопасности  в  ущерб  удобству  использования  сетевых  сервисов,  так   и
наоборот В первом случае межсетевой экран должен быть сконфигурирован  таким
образом,  чтобы   блокировать   любые   явно   не   разрешенные   межсетевые
взаимодействия. Учитывая, что такой подход позволяет  адекватно  реализовать
принцип минимизации привилегий, он, с точки  зрения  безопасности,  является
лучшим. Здесь администратор не сможет по забывчивости оставить  разрешенными
какие-либо полномочия, так как по умолчанию они будут  запрещены.  Доступные
лишние сервисы могут быть использованы во вред  безопасности,  что  особенно
характерно для закрытого и  сложного  программного  обеспечения,  в  котором
могут быть различные ошибки и некорректности. Принцип  "запрещено  все,  что
явно не разрешено", в  сущности  является  признанием  факта,  что  незнание
может причинить вред.

      При выборе принципа "разрешено все, что явно не запрещено"  межсетевой
экран  настраивается  таким   образом,   чтобы   блокировать   только   явно
запрещенные межсетевые взаимодействия. В  этом  случае  повышается  удобство
использования  сетевых  сервисов  со  стороны  пользователей,  но   снижаете
безопасность межсетевого взаимодействия. Администратор может  учесть  и  все
действия, которые запрещены пользователям. Ему  приходится  работать  режиме
реагирования, предсказывая и запрещая те межсетевые взаимодействия,  которые
отрицательно воздействуют на безопасность сети.

      Определение схемы подключения межсетевого экрана.

      Для подключения  межсетевых  экранов  могут  использоваться  различные
схемы, которые зависят  от  условий  функционирования,  а  также  количества
сетевых интерфейсов брандмауэра.

      Брандмауэры с одним сетевым интерфейсом не достаточно эффективны как с
точки зрения безопасности, так и с позиций  удобства  конфигурирования.  Они
физически не разграничивают внутреннюю и внешнюю сети, а  соответственно  не
могут обеспечивать  надежную  защиту  межсетевых  взаимодействий.  Настройка
таких  межсетевых  экранов,  а  также  связанных  с   ними   маршрутизаторов
представляет собой довольно сложную задачу, иена решения  которой  превышает
стоимость замены брандмауэра с одним сетевым  интерфейсом  на  брандмауэр  с
двумя  или  тремя  сетевыми  интерфейсами.  Поэтому  рассмотрим  лишь  схемы
подключения межсетевых экранов с двумя и тремя  сетевыми  интерфейсами.  При
этом  защищаемую  локальную  сеть  будем  рассматривать   как   совокупность
закрытой  и  открытой  подсетей.  Здесь  под  открытой  подсетью  понимается
подсеть, доступ к которой со стороны потенциально  враждебной  внешней  сети
может  быть  полностью  или  частично  открыт.  В  открытую  подсеть  могут,
например,  входить  общедоступные  WWW-.  FTP-  и  SMTP-серверы,   а   также
терминальный сервер с модемным пу

1 2 3 4 5

скачать работу

Отправка СМС бесплатно