Научная литература
booksshare.net -> Добавить материал -> Электротехника -> Мельников В.П. -> "Информационная безопасность и защита информации" -> 132

Информационная безопасность и защита информации - Мельников В.П.

Мельников В.П. Информационная безопасность и защита информации: Учебное пособие для вузов — М.: Академия, 2008. — 336 c.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка): infbezopas2008.djvu
Предыдущая << 1 .. 126 127 128 129 130 131 < 132 > 133 134 135 136 137 138 .. 143 >> Следующая

306
5. Система обеспечения безопасности должна быть надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.
6. В идеале, если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой стратегии безопасности.
7. Система Firewall должна иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки и в процессе работы им требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна уметь надежно распознавать таких пользователей и предоставлять им необходимый доступ к информации.
Примером реализации ИБ в Интернете является программный комплекс Solstice FireWaIl-I компании Sun Microsystems. Данный пакет неоднократно отмечался наградами на выставках и конкурсах. Он обладает многими полезными особенностями, выделяющими его среди продуктов аналогичного назначения.
Функциональная схема и основные компоненты Solstice FireWaIl-I представлены нарис. 5.4.
Центральным для системы FireWaIl-I является модуль управления всем комплексом. С этим модулем работает администратор безопасности сети. Следует отметить, что продуманность и удобство графического интерфейса модуля управления отмечалось во многих независимых обзорах, посвященных продуктам данного класса.
Администратору безопасности сети для конфигурирования комплекса Fire Wall-1 необходимо выполнить следующие действия:
• определить объекты, участвующие в процессе обработки информации (имеются в виду пользователи и группы пользователей, компьютеры и их группы, маршрутизаторы и различные подсети локальной сети организации);
• описать сетевые протоколы и сервисы, с которыми будут работать приложения (обычно достаточным оказывается набор из более чем 40 описаний, поставляемых с системой FireWall-1);
• с помощью введенных понятий описать технологию разграничения доступа в следующих терминах: «Группе пользователей А разрешен доступ к ресурсу Б с помощью сервиса или протокола С, но об этом необходимо сделать пометку в регистрационном журнале». Совокупность таких записей компилируется в исполнимую форму блоком управления и затем передается на исполнение в модули фильтрации.
307
Модули фильтрации могут располагаться на компьютерах — шлюзах или выделенных серверах — или в маршрутизаторах как часть конфигурационной информации. В настоящее время поддерживаются два типа маршрутизаторов: Cisco IOS 9.x, 10.x; BayNetworks (Wellfleet) OS v.8.
Модули фильтрации просматривают все пакеты, поступающие на сетевые интерфейсы, и в зависимости от заданных правил пропускают или отбрасывают эти пакеты с соответствующей записью в регистрационном журнале. Эти модули, работая непосредственно с драйверами сетевых интерфейсов, обрабатывают весь поток данных, располагая полной информацией о передаваемых пакетах.
Технологический процесс практической реализации стратегии безопасности организации с помощью программного пакета FireWaIl-I представлен на рис. 5.5.
Центральный офис
Интернет (внешние подключения)
Журнал администратора
Управление маршрутизаторами
Удаленный офис
Интернет
Рабочая станция
Рабочая станция
Сервер -О-
Рис. 5.4. Функциональная схема и основные компоненты Solstice
FireWall-1:
1 — шлюз; 2 — журнал регистрации событий; 3 — компьютер; 4 — спутника-модуль фильтрации потоков; і-1 — лист доступа маршрутизатора
308
у-
ень іациі гов
а С"
о *х
Ур ІИЛІ й с
Принятие политики компьютерной безопасности
Формулировка правил доступа I
X
зм
Генерация листов доступа
Генерация сценариев 3 фильтрации
Распределение листов доступа маршрутизаторов
4M
Компиляция 4 сценариев
Распределение исполнимых 5 кодов


Фильтрация на маршру-5 M тизаторах Фильтрация на шлюзах 6 и серверах
Расширение мер компьютерной 10 безопасности


Анализ создаш 9 и пред событий, де отчетов щожений
Cp g анализ едства а событий


Регистрация ^ событий и тревоги
Рис. 5.5. Технологический процесс практической реализации стратегии безопасности организации с помощью программного пакета FireWall-1
На уровне руководства разрабатываются и утверждаются правила стратегии безопасности организации. После утверждения эти правила переводят на уровень подотдела компьютерной безопасности, который формирует структуру типа «откуда, куда и каким способом доступ разрешен или, наоборот, запрещен». Такие структуры легко переносятся в базы правил системы FireWall-1.
Затем на основе этой базы правил на уровне управления в FireWaIl-I формируются списки доступа для маршрутизаторов и сценарии работы фильтров на сетевых шлюзах. Списки и сценарии затем переносятся на физические компоненты сети, после чего правила стратегии безопасности вступают в силу.
В процессе работы по уровню фильтрации пакетов на шлюзах и серверах генерируют записи обо всех событиях, которые им приказали отслеживать, а также запускают механизмы тревоги, требующие от администратора немедленной реакции (см. рис. 5.5, этап 7).
Предыдущая << 1 .. 126 127 128 129 130 131 < 132 > 133 134 135 136 137 138 .. 143 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed