Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
14*
420
Приложение 2
• стандарты. Реализации технологии WWW все еще изменяются, и стандарты окончательно не устоялись. Так, например, в настоящее время ожидается расширение HTML языком описания Web-документов XML.
При реализации корпоративных информационных систем на базе технологий Internet/intranet важнейшими вопросами являются: организация защиты информации, централизованное управление информационными ресурсами, разграничение доступа к ресурсам. Особенно это важно при организации доступа пользователей из внешних сетей к ресурсам корпоративной ИС, так называемая extranet-технология (рис. П.2.1).
Общепринятый подход к решению вопросов защиты - использование в корпоративных сетях, имеющих выход в публичные сети Internet, систем и устройств, объединенных под общим названием Firewall (брандмауэр, межсетевой экран). Firewall - это система или группа систем, которая предписывает определенную стратегию управления доступом между двумя сетями. Она обладает следующими свойствами:
• весь трафик, как из внутренней сети во внешний мир, так и в обратном направлении, должен контролироваться системой;
• пройти через систему может только авторизованный трафик, который определяется стратегией защиты..
Другими словами, Firewall - это механизм, используемый для защиты доверенной сети от сети, доверия не имеющей. Обычно в качестве двух таких объектов рассматриваются внутренняя сеть организации (доверенная сеть) и Internet (недоверенная сеть), хотя в определении Firewall нет
Сервер доступа
CGI
Q Q
*0
Сервер
Традиционные приложения
Internet-клиенты: браузеры, java-апплеты
Файлы баз Ресурсы данных,
корпоративной приложения ИС Intranet "заднего края'
"Передний "Задний
край" край"
Рис. П.2.1. Extranet-технология
Система доступа к ресурсам информационной системы
421
ничего, что жестко привязывало бы ее именно к Internet. Несмотря на то что большинство брандмауэров в настоящее время развернуто между Internet и внутренними сетями (intranet), имеет смысл использовать их в любой сети, базирующейся на технологии Internet, например в распределенной корпоративной сети.
Не детализируя функции систем Firewall, рассмотрим возможность их использования внутри корпоративной сети для организации защиты и управления доступом к ресурсам. При этом следует отметить, что основными объектами, с которыми оперирует типовая система firewall, являются:
• пакеты IP, TCP, UDP и других протоколов;
• сервисы, реализуемые прикладными протоколами Telnet, FTP, SMTP, РОРЗ, HTTP, NNTP, Gopher и т.д.;
• пользователи, которым предоставляется (или запрещается) доступ к тому или иному ресурсу или VPN (Virtual Private Networks).
С пакетами работают системы Firewall, относящиеся к типу пакетных фильтров, пропускающих или не пропускающих через себя пакеты в зависимости от содержимого заголовков этих пакетов.
Понятие сервиса и пользователей используется системами Firewall типа серверов прикладного уровня или уровня соединения для предоставления пользователям, прошедшим процедуры аутентификации, тех или иных типов сервисов.
Оценивая возможность использования систем Firewall (PIX, ФПСУ-IP, «Застава», «Застава-Джет», Net-pro и др.) для управления и разграничения доступа к внутренним информационным ресурсам, следует отметить, что для данного случая наиболее подходят Firewall уровня соединения и уровня приложений. Это связано с тем, что контроль в данном случае осуществляется на уровне «сервисов» (например, WWW (HTTP), SMTP, FTP) и в предельном случае имен host-машин. Одновременно следует отметить, что контроль в данных Firewall не распространяется на другие атрибуты ресурсов (каталоги, файлы, программы, типы доступа, допустимые значения параметров и т.п.). Исходя из этого, управление и разграничение доступа к ресурсам отнесено непосредственно к серверам этих ресурсов (HTTP, FTP и т.п.), которые реализуют только локальные (по отношению к собственным ресурсам) стратегии управления и разграничения доступа. При этом недоступными являются следующие возможности:
• создания и управления централизованным каталогом ресурсов предприятия;
• поддержки каталога прав доступа пользователей к ресурсам;
• поддержки единой политики разграничения доступа к ресурсам;
422
Приложение 2
• протоколирования сеансов работы пользователей (по отношению к ресурсам) и централизованного получения статистической информации о работе пользователей с ресурсами корпоративной информационной системы.
1. Система санкционированного доступа к ресурсам
Наличие большого числа информационных и вычислительных ресурсов (баз данных и приложений), используемых на предприятии и функционирующих на различных аппаратных и программных платформах, делает особо актуальной задачу создания и внедрения системы санкционированного доступа к ресурсам, цель которой - построение единого информационного пространства предприятия.
Кроме перечисленных ранее основных критериев построения корпоративных информационных систем, при создании системы санкционированного доступа к ресурсам необходимо учитывать следующие требования:
