Файл: Контрольная работа по дисциплине Программноаппаратные средства обеспечения информационной безопасности.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 09.11.2023

Просмотров: 24

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Получить доступ к частной сети несложно. Стоимость подключения начинается от 5 долларов в месяц, доступны решения для домашнего использования. В такой сети можно также установить собственный сервер, при условии, что рабочие параметры, используемые брандмауэры и приложения совместимы с решениями, доступными на рынке.
Некоторые протоколы безопасной связи позволяют установить эмуляцию VPN на вашем устройстве. Хотя установка и настройка программного обеспечения занимает время, веб-сервер, реализованный таким образом, более безопасен.
Решения VPN хорошо работают до тех пор, пока компания не достигнет определенного этапа своего развития, после чего стоимость передачи информации по частной сети может оказаться дороже желания владельца сети сохранить репутацию бизнеса, после чего для обеспечения необходимого уровня безопасности требуется только собственный центр аутентификации. Крупные компании больше не используют протоколы VPN для передачи данных удаленным сотрудникам.
PKI- и SSL/TLS-шифрование

PKI- и SSL/TLS-шифрование также широко используются в качестве способа защиты информации, поступающей на серверы и с серверов. PKI (Public Key Infrastructure) расшифровывается как "инфраструктура открытых ключей". Это механизм создания необходимых сертификатов для идентификации пользователей и шифрования передачи информации.
Для того чтобы реализовать систему безопасности на сервере, необходимо создать центр сертификации или центр управления сертификатами. Это гарантирует, что всем внешним пользователям будет предоставлен доступ, а входящий и исходящий трафик будет зашифрован. Кроме того, SSL-шифрование гарантирует защиту от "человека посередине" (т.е. сетевого вторжения), который может имитировать работу сервера в локальной сети, перехватывая сообщения или подменяя содержащуюся в них информацию.
Сервер настроен таким образом, что все пользователи получают доступ к нему через центр сертификации, задачей которого является генерация и проверка двух ключей: открытого и закрытого. Открытый ключ выдается пользователям, которые заинтересованы в безопасности данных на сервере. Этими данными могут быть номера банковских карт, финансовые транзакции или даже игровые коммуникации. Закрытый ключ хранится на сервере, и его безопасность заранее доверяется людям, участвующим в коммуникации.
Если на компьютере или виртуальной машине установлено программное обеспечение PKI и SSL/TLS, нет необходимости приобретать VPN-сервис, работающий на аналогичных принципах. Проблема в том, что установка и настройка этих протоколов требует больших знаний и усилий и требует очень квалифицированных программистов и системных администраторов. Процесс генерации сертификатов требует дополнительных усилий для дальнейшего управления системой, а также для создания, распространения и прекращения действия ключей в некоторых случаях.

Создание центра генерации сертификатов экономически целесообразно только для многих интернет-проектов с разветвленной сетевой инфраструктурой и большим количеством пользователей.
Изолированные среды выполнения

В некоторых случаях безопасность сервера обеспечивается путем изоляции среды, в которой выполняются и работают программы; в ИТ-среде запуск процессов в изолированной среде выполнения известен как "песочница".
В этом случае выполнение отдельных приложений или программ изолируется от соответствующих серверов. Необходимым условием безопасного выполнения процессов является их изоляция друг от друга. Изоляция может варьироваться от разрешения процессам работать в одной среде до полной изоляции. Выбор режима зависит от системных требований каждого приложения и его значимости для работы инфраструктуры. Запуск приложений в изолированной среде может повысить безопасность сервера по нескольким причинам:
Отдельные угрозы изолированы друг от друга;

Злоумышленники не могут получить несанкционированный доступ к одному процессу, затрагивая при этом другой, что снижает их способность нарушить работу сервера.

Создание изолированной среды - задача разной степени сложности, в зависимости от типа выбранной оболочки. Самый простой метод - это создание среды chroot в корневом каталоге. В этом случае программа запускается только в своем каталоге и не может получить доступ к другим файлам, что позволяет решить проблему безопасности локально. Лучшим, но более дорогим вариантом является запуск каждого процесса на отдельной машине.
Все вышеперечисленные варианты защиты локальной сети могут быть реализованы по отдельности или вместе, за исключением аудита, который необходим для каждой модели безопасности. Это решение всегда остается на усмотрение руководства организации.

Ниже представлена сравнительная таблица универсальных решений большинства задач для защиты web-серверов компании, не считая аудита.

Наименование средства защиты
Компания производитель
(адрес, сайт)
Характеристики
Наличие сертификатов ФСТЭК, ФСБ и др.
Стоимость, руб./шт.

Интернет Контроль Сервер
198097, Санкт-Петербург, проспект Стачек, д.48, кор. 2, оф. 202. БЦ «Империал»

  1. межсетевой экран;

  2. IDS/IPS Suricata;

  3. сеть защищена от вирусов и спама;

  4. прокси-сервер контролирует трафик, работающий по протоколам HTTP/HTTPS/FTP.

  5. Web Application Firewall - защита от взлома веб-приложений.

  6. fail2ban - защита от атак методом перебора паролей.
Сертификат ФСТЭК России №2623 от 19 апреля 2012 года
От 1.500 до 168.000 руб.

Ideco UTM ФСТЭК
620137, Россия, Екатеринбург, ул. Блюхера 59 , А/Я 27

  1. Межсетевой экран

  2. Система предотвращения вторжений

  3. IDS/IPS

  4. Контроль приложений

  5. Защита от подбора паролей к сервисам brute force

  6. Интеграция с внешними решениями

  7. Active Directory / LDAP

  8. Авторизация пользователей

  9. Identity-Based Control

  10. Отчеты

  11. Удаленные офисы и филиалы \ протоколы site-to-site VPN

  12. Мобильные сотрудники \ протоколы client-to-site VPN

  13. Расширенный контент-фильтр

  14. Декодирование и

проверка HTTPS-

трафика

  1. Блокировка файлов

  2. Маршрутизация

трафика

  1. Подключение к провайдерам, резервирование и

балансировка каналов

  1. Управление полосой пропускания

  2. Кэширование трафика

  3. и DNS-запросов

  4. Публикация ресурсов

  5. Reverse Proxy, DNAT,

  6. SMTP relay

  7. Режим работы

  8. Поддержка протоколов

  9. Антиспам

  10. Отказоустойчивая конфигурация

  11. WEB-интерфейс

  12. Консольный интерфейс

  13. Active Directory / LDAP
Сертификат ФСТЭК России

4503,

срок

действия

28.12.2026
От 67.000 руб

ViPNet xFirewall 4
680030, г. Хабаровск, ул. Постышева 22а

  1. Межсетевой экран с контролем состояния сеансов

  2. Прокси-сервер

  3. Поддержка трансляции адресов для протоколов прикладного уровня: FTP, H.323, SCCP, SIP путем реализации шлюза прикладного уровня — ALG

  4. Работа в виртуальных локальных сетях (VLAN IEEE 802.1Q)

  5. Объединение нескольких физических сетевых интерфейсов в один логический

  6. Приоритизация обработки IP-трафика в соответствии с QoS

  7. Функции DHCP-, DNS- и NTP-сервера

  8. Функции маршрутизатора IP-пакетов

  9. Функции кластера горячего резервирования

  10. Взаимодействие с источником бесперебойного питания UPS

  11. Диагностика основных параметров ViPNet xFirewall по протоколу SNMP

  12. Взаимодействие с программным обеспечением управления сетью ViPNet
Сертификат ФСТЭК России № 4093 от 13.02.2019, действует до 13.02.2024
От 168.000 руб


Вывод:

Для обеспечения полноценной защиты web-серверов предприятия требуется целый комплекс мер. Некоторые из них, такие, как аудит различных частей системы безопасности, невозможно выполнить только внедренными программными или аппаратными комплексами. Однако именно на ПО и аппаратные решения, в последствии, ложится основная задача по защите сети.

Как мы видим из сравнительного анализа в таблице, наиболее полным решением, обладающим сертификатом ФСТЭК, для защиты web-серверов на предприятии является Ideco UTM ФСТЭК, которое так же является вполне доступным, на фоне аналогов от ViPNet. В таблицу не вошли программно-аппаратные комплексы от Cisco и других зарубежных производителей, так как статус их поддержки сейчас не определён, несмотря на наличие сертификатов ФСТЭК, устанавливать их сейчас не рекомендуется. Комплекс Ideco UTM же является достаточно универсальным, предоставляет множество возможностей и детальной настройки, а так же для полноценного гибкого управления не требует дополнительных модулей, как, например, VIPNet, который для удобства управления требует дополнительное ПО, такое как ViPNet Administrator и ViPNet Policy Manager.

Смотрите также файлы