- •Актуальность проблемы обеспечения безопасности информационных технологий Место и роль информационных систем в управлении бизнес-процессами
- •Основные причины обострения проблемы обеспечения безопасности информационных технологий
- •Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков
- •Особенности современных автоматизированных систем как объектов защиты
- •Основные понятия в области безопасности информационных технологий Что такое безопасность информационных технологий
- •Информация и информационные отношения
- •Субъекты информационных отношений, их безопасность
- •Цель защиты автоматизированной системы и циркулирующей в ней информации
- •Угрозы безопасности информационных технологий Уязвимость основных структурно-функциональных элементов распределённых автоматизированных систем
- •Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Классификация каналов проникновения в автоматизированную систему и утечки информации
- •Неформальная модель нарушителя
- •Виды мер и основные принципы обеспечения безопасности информационных технологий Виды мер противодействия угрозам безопасности
- •Достоинства и недостатки различных видов мер защиты
- •Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе
- •Правовые основы обеспечения безопасности информационных технологий Введение
- •Защищаемая информация
- •Лицензирование
- •Сертификация средств защиты и аттестация объектов информатизации
- •Новое поколение нормативно-технических документов (гост р исо/мэк 15408-2008)
- •Часть 2 рд содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
- •Специальные требования и рекомендации по технической защите конфиденциальной информации
- •Юридическая значимость электронных документов с электронной подписью
- •Ответственность за нарушения в сфере защиты информации
- •Государственная система защиты информации Введение
- •Государственная система защиты информации
- •Организация защиты информации в системах и средствах информатизации и связи
- •Контроль состояния защиты информации
- •Финансирование мероприятий по защите информации
- •Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты Основные механизмы защиты информационных систем
- •Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированной системы
- •Регистрация и оперативное оповещение о событиях безопасности
- •Криптографические методы защиты информации
- •Контроль целостности программных и информационных ресурсов
- •Обнаружение атак
- •Защита периметра компьютерных сетей
- •Управление механизмами защиты
- •Страхование информационных рисков
- •Организационная структура системы обеспечения безопасности информационных технологий Понятие технологии обеспечения (управления) безопасности информации и ресурсов в автоматизированной системе
- •Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала автоматизированной системы
- •Политика безопасности организации
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Распределение функций по обеспечению безопасности информационных технологий
- •Система организационно-распорядительных документов по обеспечению безопасности информационных технологий
- •Документы , регламентирующие правила парольной и антивирусной защиты Инструкция по организации парольной защиты
- •Инструкция по организации антивирусной защиты
- •Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы Допуск сотрудников подразделений к работе с ас
- •Обеспечение и контроль физической целостности и неизменности конфигурации аппаратно-программных средств автоматизированной системы
- •Регламентация процессов обслуживания и осуществления модификации аппаратных и программных средств автоматизированной системы
- •Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций
- •Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач Основы процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
- •Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
- •Назначение, возможности, и основные защитные механизмы межсетевых экранов Введение
- •Мэ - основные сведения
- •Классификация мэ
- •Варианты расположения мэ
- •Политика безопасности и мэ
- •Недостатки мэ
- •Что такое «HoneyNet»?
Варианты расположения мэ
Вопрос размещения МЭ в корпоративной сети рассматривается с учетом конкретных особенностей уже имеющихся средств защиты, целей подключения и т. д. Однако можно выделить несколько общих схем, приемлемых для большинства конфигураций.
Простейшая схема подключения 1 приведена на Рис. 4.23.2 Внутренняя сеть отделена от внешней маршрутизатором с фильтрацией пакетов. Разумеется, этого недостаточно для организации полноценной защиты.
В схеме 2 (Рис. 4.23.3) дополнительно используется МЭ 2-го или 3-го типа (посредник) или 4-го типа (Stateful Inspection). Это, вероятно, одна из самых популярных схем подключения МЭ.
Область сети между пакетным фильтром и основным МЭ часто используется для расположения там дополнительных МЭ. Например, это может быть выделенный посредник для какой-либо службы (Web, почта) как на Рис. 4.23.4
Это может быть и система анализа содержимого (МЭ 5-го типа) как на Рис 4.23.5
Область между пакетным фильтром и основным МЭ играет существенную роль при построении защиты периметра. Эта область называется демилитаризованной зоной и служит для размещения в ней следующих узлов:
Средств защиты (дополнительных МЭ, систем обнаружения атак)
Серверов Web, SMTP, DNS и других, требующих доступа снаружи.
Существует два способа организации демилитаризованной зоны:
Граничная сеть (рассмотренная в схемах выше)
Тупиковая сеть (Рис. 4.23.6)
Второй вариант (тупиковая сеть) предполагает использование отдельного сетевого интерфейса МЭ для организации демилитаризованной зоны. По соображениям производительности первый вариант (граничная сеть) предпочтительнее. Приведённые схемы расположения МЭ могут быть дополнены с учётом особенностей подключения к Internet, требований к безопасности и других факторов.
Политика безопасности и мэ
МЭ - это воплощение в жизнь политики безопасности, принятой в организации в вопросах обмена информацией с «чужими» сетями. Правила политики безопасности формулируются без учёта особенностей используемого МЭ, его синтаксиса и т. п. Политика безопасности гласит «как должно быть», а МЭ - это техническая реализация этой политики. Далее приводится пример реализации политики безопасности.
Допустим, политика безопасности содержит следующие требования:
Пользователи внутренней сети имеют неограниченный доступ в Internet
Из Internet доступ возможен только к корпоративному Web-cepeepy и почтовому серверу
Удалённое управление должно быть аутентифицировано и зашифровано.
Для получения списка правил МЭ на основе предлагаемой политики необходимо проанализировать перечисленные требования и выбрать подходящий вариант размещения МЭ.
Первое требование тривиально и его реализация проста. Второе требование предполагает наличие web-cepeepa и почтового сервера. Лучшим местом для их размещения является DMZ. Выше рассматривалось два варианта DMZ. Допустим, в данном случае используется DMZ типа «тупиковая сеть».
Третье требование можно реализовать, предоставив, например, удалённый доступ для администраторов к отдельным узлам внутренней сети по протоколу SSH.
Дополнительно может потребоваться разрешить прохождение трафика, необходимого для работы перечисленных правил, например, DNS. Также следует обеспечить доступ к МЭ для управления им.
Следующий момент - порядок следования правил. Многие МЭ просматривают правила подряд (сверху вниз) до первого совпадения. Общий принцип здесь - размещать более общие правила в конце списка, более конкретные - в начале списка.
Далее приведён пример реализации правил на МЭ Check Point Firewall-1, но, в общем случае, это может быть и любой другой МЭ. Первое правило разрешает доступ к МЭ с рабочей станции администратора
Второе правило блокирует доступ к МЭ для всех остальных узлов
Третье правило разрешает доступ к Web-cepeepy по протоколу http
Четвёртое правило разрешает доступ к почтовому серверу по протоколу SMTP
Пятое правило разрешает удалённый доступ к внутренним узлам только с определённых узлов администраторов.
Шестое правило разрешает доступ к почтовому серверу по протоколу POP3 для пользователей внутренней сети
Седьмое правило разрешает пользователям внутренней сети доступ в Internet (при этом исключается DMZ).
Восьмое правило блокирует доступ из DMZ к узлам внутренней сети.
И последнее (9-е) правило запрещает весь остальной трафик (для МЭ Check Point Firewall-1 оно излишне, поскольку запрет работает неявно, но здесь это сделано с целью записи в журнал фактов срабатывания этого правила).