Как видно из схемы, число двоичных разрядов, используемых в процессе преобразования, определяет число дискретных уровней, с помощью которых можно представлять




Скачать 17,32 Kb.
НазваниеКак видно из схемы, число двоичных разрядов, используемых в процессе преобразования, определяет число дискретных уровней, с помощью которых можно представлять
страница6/23
Дата03.02.2016
Размер17,32 Kb.
ТипДокументы
1   2   3   4   5   6   7   8   9   ...   23

3. Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.

4. Процессор межсетевого экрана должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтобы его нельзя было блокировать большим количеством вызовов и нарушить его работу.

5. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.

6. Система управления экранами должна иметь возможность централизованно обеспечивать проведение для удаленных филиалов единой политики безопасности.

7. Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения, что является необходимым в случаях работы сотрудников организации в командировках.


5.5.2. Классификация анализируемых межсетевых экранов

Как известно, для проведения сравнительного анализа необходимо в первую очередь провести классификацию анализируемых средств. Поскольку межсетевые экраны ориентированы на защиту информации в открытых сетях типа Интернета/Интранета, основой подхода служит 7-уровневая модель ISO/OSI - Международной организации по стандартизации. В соответствии с этой моделью МЭ классифицируются по тому, на каком уровне производится фильтрация: канальном, сетевом, транспортном, сеансовом или прикладном. Поэтому можно говорить об экранирующих концентраторах (канальный уровень), маршрутизаторах (сетевой уровень), транспортном экранировании (транспортный уровень), шлюзах сеансового уровня (сеансовый уровень) и прикладных экранах (прикладной уровень).

Необходимо отметить, что в настоящее время наряду с одноуровневыми межсетевыми экранами все большую популярность приобретают комплексные экраны, охватывающие уровни от сетевого до прикладного, поскольку подобные продукты соединяют в себе лучшие свойства одноуровневых экранов разных видов. На рис. 5.11 представлена структура информационного экранирования между двумя системами при использовании эталонной модели ISO/OSI.



Рис. 5.11. Структура информационного экранирования с использованием эталонной модели


5.5.3. Особенности современных межсетевых экранов

Результаты более тонкого сравнительного анализа различных типов межсетевых экранов приведены в табл. 5.12.

Таблица 5.12. Особенности межсетевых экранов

Тип


Принцип работы


Достоинства


Недостатки


Экранирующий маршрутизатор (брандмауэр с фильтрацией пакетов)


Фильтрация пакетов осуществ­ляется в соответствии с IP-заго­ловком пакета по критерию: то, что явно не запрещено, является разрешенным. Анализируемой информацией являются: адрес отправителя; адрес получателя; информация о приложении или протоколе; номер порта источника; номер порта получателя


Низкая стоимость. Минимальное влияние на произ­водительность сети. Простота конфигурации и уста­новки. Прозрачность для программного обеспечения


Уязвимость механизма защиты для различных видов сетевых атак, таких, как подделка исходных адресов пакетов, несанк­ционированное измене­ние содержимого паке­тов. Отсутствие в ряде продук­тов поддержки журнала регистрации событий и средств аудита


Тип

Экранирующий шлюз (ЭШ)


Принцип работы

Информационный обмен происходит через хост-бастион, установленный между внутренней и внешней сетями, который принимает решения о возможности маршрутизации графика. ЭШ бывают двух типов: сеансового и прикладного уровня


Достоинства

Отсутствие сквозного прохождения пакетов в случае сбоев. Усиленные, по сравнению с ЭМ, механизмы защиты, позволяющие использовать дополнительные средства аутентификации, как программные, так и аппаратные. Использование процедуры трансляции адресов, позволяющей скрытие адресов хостов закрытой сети


Недостатки

Использование только мощных хостов-бастионов из-за большого объема вычислений. Отсутствие прозрачности из-за того, что ЭШ вносят задержки в процесс передачи и требуют от пользователя процедур аутентификации


Экранирующая подсеть (ЭП)


Создается изолированная подсеть, расположенная между внутренней и открытой сетями. Сообщения из открытой сети обрабатываются прикладным шлюзом и попадают в ЭП. После успешного прохождения контроля в ЭП они попадают в закрытую сеть. Запросы из закрытой сети обрабатываются через ЭП аналогично. Фильтрование осуществляется из принципа: то, что не разрешено, является запрещенным


Возможность скрытия адреса внутренней сети. Увеличение надежности защиты. Возможность создания большого графика между внутренней и открытой сетями при использовании нескольких хостов-бастионов в ЭП. Прозрачность работы для любых сетевых служб и любой структуры внутренней сети


Использование только мощных хостов-бастионов из-за большого объема вычислений. Техническое обслуживание (установка, конфигурирование) может осуществляться только специалистами


Как видно из табл. 5.12, межсетевой экран является наиболее распространенным средством усиления традиционных средств защиты от несанкционированного доступа и используется для обеспечения защиты данных при организации межсетевого взаимодействия. Конкретные реализации МЭ в значительной степени зависят от применяемых вычислительных платформ, но тем не менее все системы этого класса используют два механизма, один из которых обеспечивает блокировку сетевого графика, а второй, наоборот, разрешает обмен данными. При этом некоторые версии МЭ делают упор на блокировании нежелательного графика, а другие - на регламентировании разрешенного межмашинного обмена.

Типовые варианты включения межсетевых экранов представлены на рис. 5.12 - 5.14.



Рис. 5.12. Включение МЭ в системе маршрутизатор — концентратор



Рис. 5.14. Включение МЭ в системе Интернет/Интранет


5.5.4. Сравнительные характеристики современных

межсетевых экранов

По результатам анализа российского рынка в табл. 5.13 приведены сравнительные характеристики современных межсетевых экранов.

Как видно из таблицы, в настоящее время на российском рынке межсетевых экранов представлена обширная номенклатура технических и программных средств сетевой защиты с достаточно широким диапазоном технических характеристик. По существу, любая организация, выбирающая межсетевой экран, может найти оптимальное решение в доступном для нее ценовом диапазоне и с приемлемыми характеристиками.

Таблица 5.13. Сравнительные характеристики современных межсетевых экранов

Продукт


Тип


Платформы


Компания


Особенности


Solstice Firewall-1


Контексный экран


SunOS, Unix, Solaris


Sun Microsystems


Реализует политику безопасности: все данные, не имеющие явного разрешения, отбрасываются. В процессе работы фильтры пакетов на шлюзах и серверах генерируют записи обо всех событиях, запускают механизмы тревоги, требующие реакции администратора


BlackHote


Экранирующий шлюз прикладного уровня


Различные аппаратные платформы


Milkyway Networks Corporation


Не использует механизма фильтрации пакетов. Принцип действия: то, что явно не разрешено, является запрещенным. Регистрирует все действия сервера, предупреждает о возможных нарушениях. Может использоваться как двунаправленный шлюз


BorderWare Firewall Server


Тоже


Unix, Windows, DOS


Secure Computing Corporation


Программное средство защиты, обеспечивающее работу под управлением ОС (собственная разработка). Позволяет фиксировать адреса, время, попытки, используемый протокол


ALF (Application Layer Filter)


м


BSDI


SOS

Corporation


Может фильтровать IP-пакеты по адресам, диапазонам портов, протоколам и интерфейсам. Приходящий пакет может пропустить, ликвидировать или отослать по его адресу


ANS Interlock Service





Unix


ANS CO + RE Systems


Использует программы-посредники для служб Telnet. FTR, HTTR. Поддерживает шифрование соединения точка-точка, причем в качестве средств аутентификации могут использоваться аппаратные


Brimstone


Комплексный экран


SunOS, BSDI на Intel, IRIX Ha INDY и Challenge


SOS Corporation


Для анализа использует время, дату, адрес, порт и т. д. Включает программы-посредники прикладного уровня для служб Telnet FTR, SMTP, Xll, HTTP, Gopher и др. Поддерживает большинство пакетов аппаратной аутентификации


Centri


Экранирующий шлюз прикладного уровня


SunOS, BSDI, Solaris, HP-UX, AIX


Global Internet


Закрытая сеть видится извне как единственный хост. Имеет программы-посредники для служб: электронной почты, протокола FTR и др. Регистрирует все действия сервера, предупреждает о нарушениях


Connect


Экранирующий шлюз прикладного уровня


Unix


Sterling Software


Является программным продуктом, обеспечивающим защиту информации от НСД при соединении закрытой и открытой сетей. Позволяет регистрировать все действия сервера и предупреждать о возможных нарушениях


CyberGuard Firewall


Двунаправленный шлюз комплексного тала (хост-бастион как фильтр, шлюз прикладного уровня или комплексный экран)


RISC OS Unix


Harris Computer Systems Corporation


Использованы комплексные решения, включающие механизмы защиты ОС Unix и интегрированные сетевые средства, предназначенные для RISC-компьютеров. Для анализа используется исходный адрес, адрес назначения и др.


Продукт


Тип


Платформы


Компания


Особенности


Digital Firewall for UNIX


Комплексный экран


Digital Alpha


Digital Equipment Corporation


Предустанавливается на системы Digital Alpha и предоставляет возможности экранирующего фильтра и шлюза прикладного уровня


Eagle Enterprise


Экранирующий шлюз прикладного уровня


Реализация технологии Virtual Private Networking


Raptor Systems


Включает в себя программы-посредники прикладного уровня для служб FTR, HTTP, Telnet. Регистрирует все действия сервера и предупреждает о нарушениях


Firewall IRX Router


Экранирующий маршрутизатор


DOS, MS-Windows


Livingston


Позволяет произвести анализ сети в целях оптимизации сетевого трафика, безопасно связать локальную сеть с удаленными сетями на основе открытых сетей


Firewall


Комплексный межсетевой экран


Intel x86. Sun Spare и др.


Check Point Software Technologies


Обеспечивает защиту от хакерских нападений типа address-spoofing (подделка адресов пакетов) и предоставляет комбинацию средств защиты сетевого и прикладного уровней


Firewall-1/ VPN-1


Тоже


Тоже


Тоже


Представляет собой открытый интерфейс приложения OPSEC API. Обеспечивает: выявление компьютерных вирусов, сканирование URL, блокирование Java и ActiveX, поддержку протокола SMTP, фильтрацию HTTP, обработку протокола FTP


TIS Firewall Toolkit


Набор программ для создания и управления системами firewall


BSD Unix


Trusted Information Systems


Распространяется в исходном коде, все модули написаны на языке С. Набор предназначен для программистов-экспертов


Gauntlet Internet Firewall


Экранирующий шлюз прикладного уровня


Unix, Secured BSD


Trusted Information Systems


Поддерживает сервисы: электронная почта, Web-сервис, терминальные сервисы и др. Возможности: шифрование на сетевом уровне, защита от хакерских нападений типа address-spoofing, защита от попыток изменения маршрутизации


FireWall/Plus


Мульти-протокольный межсетевой экран


Различные аппаратные платформы


Network-1 Software and Technology


Контроль реализован на уровне кадров, пакетов, каналов и приложений (для каждого протокола). Позволяет работать с более чем 390 протоколами, дает возможность описать любые условия фильтрации для последующей работы


«Застава-Джет»


Комплексный межсетевой экран


SPARC, Solaris, Unix


Jet Infоsystems


Реализует политику безопасности: все данные, не имеющие явного разрешения, отбрасываются. Имеет российский сертификат по II классу защиты



5.5.5. Практическая реализация современного

межсетевого экрана

В качестве примера более подробно рассмотрим возможности использования мультипротокольного межсетевого экрана FireWall/Plus, который предназначен для решения трех основных задач:

• защиты ресурсов корпоративных сетей от атак со стороны Интернета;

• реализации мер безопасности (для выделенного сервера/группы серверов);

• разделения сегментов внутренней сети для предотвращения попыток НСД со стороны внутреннего пользователя.

Существенной особенностью данного МЭ является возможность работы с более 390 протоколами различных уровней. Благодаря мощному встроенному языку написания фильтров имеется возможность описать любые условия фильтрации. Такая особенность позволяет более эффективно решать задачи разделения сегментов корпоративной сети, в которой используются продукты, работающие со стеками TCP/IP, IPX, DECNet протоколов. Механизм описания протоколов прикладного уровня позволяет создать специфические схемы разграничения доступа пользователей. FireWall/Plus обеспечивает защиту при работе с Web, FTR, URL, приложениями ActiveX и Java, а также с электронной почтой.

Межсетевой экран FireWall/Plus обеспечивает обнаружение и борьбу с такими атаками, как:

• атаки на аутентификацию сервера;

• атаки на протокол finger (с внешней и внутренней стороны);

• определение номера начального пакета соединения TCP;

• незаконная переадресация;

• атаки на DNS-доступ;

• атаки на FTR-аутентификацию;

• атаки на несанкционированную пересылку файлов;

• атаки на удаленную перезагрузку;

• подмена IP-адресов;

• спуфинг МАС-адреса;

• в атаки на доступность (шторм запросов);

• атаки на резервный порт сервера;

В атаки с помощью сервисов удаленного доступа;

• атаки на анонимный FTR-доступ.

Такое количество блокируемых атак определяется прежде всего тем, что. FireWall/Plus поддерживает 3 метода преобразования сетевых адресов: один к одному; один ко многим; многие ко многим. Ему не нужен собственный IP-адрес. Эта особенность делает его полностью прозрачным в сети и практически неуязвимым при различных атаках. Рассмотренные возможности межсетевого экрана FireWall/Plus, являющегося представителем современного» поколения МЭ, показывают, насколько динамично развивается данное направление средств защиты.


5.5.6. Сертификация межсетевых экранов

В настоящее время Гостехкомиссией России принят рабочий документ "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Этот документ позволяет не только упорядочить требования по защите информации, предъявляемые к межсетевым экранам, но и сопоставлять защитные свойства изделий этого вида.

С учетом перспектив в области сертификации средств защиты информации Центром безопасности информации (г. Юбилейный Московской области) под руководством Гостехкомиссии России организована разработка типовой методики по проведению сертификационных испытаний межсетевых экранов. Эта методика прошла испытания в ряде лабораторий, аккредитованных в системе сертификации Гостехкомиссии России. В настоящее время на российском рынке уже появились сертифицированные межсетевые экраны высокого класса защищенности, в том числе "Застава-Джет" (II класс), "Застава", AltaVista Firewall 97, Check Point FireWall (III-IV класс защищенности) и др. Эти изделия обеспечивают надежную защиту информационных ресурсов от несанкционированного доступа.


5.5.7. Антивирусы для межсетевых экранов

Лаборатория Касперского создала первый отечественный антивирус для межсетевых экранов. Он представляет собой систему централизованной антивирусной защиты корпоративной сети в точках ее подключения к Интернету и другим внешним сетям. Эта программа способна в режиме реального времени обнаруживать и удалять из файлов, поступающих по протоколам HTTP, FTR, SMTP и др., любые виды вредоносных кодов (компьютерные вирусы всех видов, Интернет-черви, троянские программы и другие вредоносные программы).

AVP для Firewall работает с межсетевыми экранами Checkpoint Firewall-1, Gauntler Firewall, Alta Vista Firewall, SecureIT Firewall и др., поддерживающими протоколы обмена данными, такие, как CVP и Content Vectoring Protocol. Основными особенностями данного антивирусного программного обеспечения являются:

• возможность динамического изменения конфигурации программы без необходимости ее дополнительной перезагрузки;

• наличие функции изолирования (карантина), инфицированных и подозрительных файлов;

• гибкая система формирования отчетов и рассылки предупреждений по электронной почте.

Новая антивирусная технология содержит мощное средство администрирования, позволяющее сетевому инженеру или администратору безопасности максимально упростить и автоматизировать использование и обновление программы. Кроме того, программой можно управлять с удаленной консоли. Ориентировочная цена годовой подписки на AVP для Firewall - 799 долл.

Таким образом, в настоящее время межсетевые экраны являются достаточно эффективным средством защиты корпоративных сетей и их сегментов от внешних угроз, а также от несанкционированных взаимодействий локальных пользователей с внешними системами. Они обеспечивают высокоуровневую поддержку политики безопасности организации по отношению ко всем протоколам семейства TCP/IP. Кроме того, современные межсетевые экраны характеризуются прозрачностью для легальных пользователей, большим быстродействием и высокой эффективностью. Основной тенденцией развития средств сетевой защиты является интеграция, в частности межсетевых экранов с криптографическими и антивирусными средствами, а также средствами анализа уровня обеспечении безопасности.

Однако наряду с достоинствами, присущими межсетевым экранам, не следует забывать, что в настоящее время МЭ хотя и является наиболее проработанным средством защиты в сетях Интернет/Интранет, но не решает всего комплекса задач по обеспечению безопасности в открытых сетях. Поэтому при решении задач, связанных с обеспечением информационной безопасности, по большому счету необходимо всегда использовать комплексный подход, включающий в себя не только технические средства, но и правовые методы, а также организационные меры защиты информации.


5.6. Биометрическая зашита информации

Как показывает анализ современного российского рынка технических средств обеспечения безопасности, в развитии индустрии безопасности сегодня обозначился новый этап. На общем фоне стабилизировавшегося рынка наиболее динамично продолжают развиваться современные системы идентификации личности и защиты информации. Особое внимание привлекают к себе биометрические средства защиты информации (БСЗИ), что определяется их высокой надежностью идентификации и значительным прорывом в области снижения их стоимости.


5.6.1. Классификация современных биометрических средств зашиты информации

В настоящее время отечественной промышленностью и рядом зарубежных фирм предлагается достаточно широкий набор различных средств контроля доступа к информации, в результате чего выбор оптимального их сочетания для применения в каждом конкретном случае вырастает в самостоятельную проблему. По своему происхождению на российском рынке в настоящее время представлены как отечественные, так и импортные БСЗИ, хотя существуют и совместно разработанные средства. По конструктивным особенностям можно отметить системы, выполненные в виде моноблока, нескольких блоков и в виде приставок к компьютерам. Возможная классификация биометрических средств защиты информации, представленных на российском рынке, по биометрическим признакам, принципам действия и технологии реализации приведена на рис. 5.15.

Сравнительный анализ показывает, что наиболее надежными системами контроля доступа к информации, в которых не используются карточки, ключи, жетоны, пароли и которые нельзя выкрасть или потерять, являются биометрические системы контроля доступа к информации.


1   2   3   4   5   6   7   8   9   ...   23

Похожие:

Как видно из схемы, число двоичных разрядов, используемых в процессе преобразования, определяет число дискретных уровней, с помощью которых можно представлять iconИгры и упражнения для коррекции и развития внимания
Называется число, бросается мяч одному из учеников, который должен назвать следующее или предыдущее число в зависимости от команды....
Как видно из схемы, число двоичных разрядов, используемых в процессе преобразования, определяет число дискретных уровней, с помощью которых можно представлять iconЗадача Сколько серых мышей у Йозефа?
Четверо ребят обсуждали ответ к задаче. Коля сказал: "Это число 9". Роман: "Это простое число". Катя: "Это четное число". А наташа...
Как видно из схемы, число двоичных разрядов, используемых в процессе преобразования, определяет число дискретных уровней, с помощью которых можно представлять iconIv математическая олимпиада имени леонарда эйлера решения заданий регионального этапа, критерии проверки
Назовем четырехзначное число X забавным, если каждую его цифру можно увеличить или уменьшить на 1 (при этом цифру 9 можно только...
Как видно из схемы, число двоичных разрядов, используемых в процессе преобразования, определяет число дискретных уровней, с помощью которых можно представлять iconКонтрольная работа №1 Строение атома и периодический закон
Число заполняющихся электронных слоев (энергетических уровней) в атоме равно
Как видно из схемы, число двоичных разрядов, используемых в процессе преобразования, определяет число дискретных уровней, с помощью которых можно представлять iconИнформатика и икт план урока
Фишка может двигаться по полю из n клеток только вперёд. Длина хода фишки не более k клеток за один раз. Найти число различных вариантов...
Как видно из схемы, число двоичных разрядов, используемых в процессе преобразования, определяет число дискретных уровней, с помощью которых можно представлять iconЛекция №1. Введение Архитектура ЭВМ
Архитектура ЭВМ – это многоуровневая иерархия аппаратно-программных средств, из которых строится ЭВМ. Каждый из уровней допускает...
Как видно из схемы, число двоичных разрядов, используемых в процессе преобразования, определяет число дискретных уровней, с помощью которых можно представлять iconSpecific features of procedures for the analysis of geological samples by txrf
В литературе можно найти большое число примеров применения txrf в различных областях исследования. Однако применение txrf при решении...
Как видно из схемы, число двоичных разрядов, используемых в процессе преобразования, определяет число дискретных уровней, с помощью которых можно представлять iconB называется пределом функции f ( X )
Постоянное число b называется пределом функции f(X) при, если для любого малого, наперёд заданного, положительного числа найдётся...
Как видно из схемы, число двоичных разрядов, используемых в процессе преобразования, определяет число дискретных уровней, с помощью которых можно представлять iconИнструкция о соблюдении единого орфографического режима в начальных классах
В 1 классе дата работ по русскому языку и математике пишет учитель. Во 2-4-м классе обозначается время выполнения работы: число –...
Как видно из схемы, число двоичных разрядов, используемых в процессе преобразования, определяет число дискретных уровней, с помощью которых можно представлять iconМаркетинг. Что это такое?
Эти вопросы сегодня, можно планировать деятельность фирмы, исправлять недочеты, оттачивать качество услуг, а, следовательно, привлекать...
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib2.znate.ru 2012
обратиться к администрации
Библиотека
Главная страница