Файл: Конспект лекций профессиональная образовательная программа.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 09.11.2023

Просмотров: 378

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Тема 3.2. Методы реализации основных требований политики информационной безопасности в элементах ИС

3.2.1.1. Операционная система HP-UX

3.2.1.2. Система управления базами данных Oracle


Настройка СЗИ от НСД должна обеспечивать:

  • создание изолированной программной среды для каждого пользователя (обеспечивающей возможность запуска только заданного набора программ и/или процессов). Создание изолированной программной среды на АРМ пользователя предполагает настройку СЗИ от НСД в режиме, обеспечивающем запуск только технологического программного обеспечения и запрет выполнения программ, не предусмотренных технологическим процессом;

  • контроль целостности файлов системного и прикладного программного обеспечения, размещаемых локально;

  • разграничение доступа к локальным каталогам и файлам ЭВМ, защиту от модификации системного и прикладного программного обеспечения ЭВМ.



3.2.2. Корпоративная сеть

3.2.2.1. Общие принципы.
При проведении мероприятий по обеспечению информационной безопасности в корпоративной сети, являющейся транспортной средой передачи информации ИС, должны быть реализованы следующие требования политики безопасности:

  1. Пользователи должны иметь доступ к серверам сети, выделенным в отдельный сегмент, по строго определенному набору коммуникационных и прикладных протоколов с использованием механизмов proxy;

  2. Внешние по отношению к сети пользователи не должны иметь доступа к ресурсам корпоративной сети области кроме ресурсов демилитаризованных зон «открытого» контура ЛВС по строго определенному набору коммуникационных и прикладных протоколов;

  3. Дистанционное администрирование систем защиты в сети должно производиться с использованием шифрования управляющего трафика на уровне IP или с помощью использования управляющих протоколов, поддерживающих шифрование данных (SNMPv3);

  4. Администрирование активного сетевого оборудования корпоративной сети должно контролироваться специалистами подразделения информационной безопасности с помощью механизмов штатного аудита сетевого оборудования. Подсистемы аудита должна администрироваться подразделениями информационной безопасности.

В основу защиты сети положено:

  • построение системы защиты сетевого уровня, основанной на технологии виртуальных частных сетей (Virtual Private Network - VPN), в т.ч. магистральное шифрование сетевого трафика в региональном сегменте сети;

  • применение межсетевых экранов, обеспечивающих защиту сетевого и транспортного уровня, как средства объединения и разграничения ресурсов физических и виртуальных сетей подразделений;

  • применение наряду с пакетными фильтрами, средств фильтрации информации прикладного уровня, и proxy-систем;

  • построение сегментов сетей на базе активного сетевого оборудования структурированной кабельной системы, и обеспечение на этой базе защиты физического уровня;

  • минимизация числа точек открытого доступа в периметр корпоративной защищенной сети и их обязательный контроль;

  • применение средств усиленной аутентификации пользователей и ресурсов корпоративной сети;

  • применение систем обнаружения вторжений на сетевом, системном и прикладном уровнях;

  • обеспечение дистанционного администрирования и аудита всех компонент системы защиты, организация событийного протоколирования и подотчетности пользователей и администраторов.

Для защиты от почтовых вирусов и «бомб» необходимо применять специальное антивирусное программное обеспечение ко всей почтовой корреспонденции, а также осуществлять автоматический антивирусный контроль на серверах ЛВС и почтовых серверов.

3.2.2.2. Защита на уровне сетевого оборудования.
При разворачивании сегментов локальных сетей на активном оборудовании с помощью встроенных в это оборудование средств защиты должны быть реализованы:

  • использование авторизации адресов оконечных систем портами концентраторов, обеспечивающей доступ к данному порту только с определенной оконечной системы. Следует использовать автоматическое отключение порта при обнаружении неавторизованного адреса;

  • установка режима работы портов концентратора, к которым подключены рабочие станции, обеспечивающего прием пакетов, адресованных только данной оконечной системы.

В ЛВС выделяются сети, используемый для разных функциональных целей (например, сеть конфиденциальной информации, сеть общего пользования, демилитаризованные зоны). Сервера ИКС должны быть выделены в отдельный сегмент ЛВС. Демилитаризованные зоны должны быть подключены непосредственно к компьютеру, обеспечивающему межсетевое экранирование и шифрование IP-пакетов корпоративной сети.

Во внутренней демилитаризованной зоне должны размещаться:

  • сервер DNS, «заявляющий» внешним сетям некоторое, строго регламентируемое адресное пространство, используемое приложениями для взаимодействия внешних и внутренних абонентов сети;

  • прочие сервера, доступ к которым должен быть обеспечен по незащищенным каналам удаленным пользователям.

Во внешней демилитаризованной зоне должны размещаться:

  • сервер доступа внешних абонентов;

  • сервер авторизации внешних абонентов.


Серверы, находящиеся в демилитаризованной зоне и предоставляющие свои ресурсы для открытого доступа, конфигурируются специальным образом для того, чтобы на них не могли использоваться так называемые “опасные” сервисы (приложения), которые могут дать потенциальному нарушителю возможность реконфигурировать систему, компрометировать ее, и, опираясь на скомпрометированные ресурсы, атаковать корпоративную сеть.

Какой либо доступ извне к ресурсам, размещенным в ИС вне демилитаризованных зон, должен быть запрещен. Возможно транслирование незашифрованного трафика извне только в демилитаризованные зоны и обратно. Размещение доступных извне регионального информационных ресурсов и служб в иных сетях, кроме демилитаризованных зон, должно быть запрещено.


Доступ из «открытого» контура ЛВС минуя межсетевое экранирование уровня приложений, должен быть запрещен.

Контролируемый доступ из одного «открытого» контура сети ЛВС в другой должен осуществляться с фильтрацией трафика. Фильтрация на межсетевых экранах основывается на принципе «все, что не разрешено, то запрещено».

Обязательно должно быть определено правило фильтрации, указывающее подавление пришедших из внешних сетей пакетов с исходными IP-адресами компьютеров внутренней сети, а так же пакеты с установленным битом маршрутизации.

Настройка межсетевых экранов уровня приложений должна скрыть от пользователей внешних сетей структуру корпоративной сети (IP-адреса, доменные имена и т.д.). На этих межсетевых экранах определяется, каким пользователям, с каких хостов, в направлении каких хостов, в какое время, какими сервисами можно пользоваться. Межсетевые экраны должны описать для каждого пользователя, каким образом он должен аутентифицироваться при доступе к сервису. Администратор информационной безопасности должен получать полную статистику по использованию сервисов, попыткам несанкционированного доступа и т.д. Межсетевые экраны должны фильтровать протоколы Telnet, Rlogin, FTP, SMTP, POP3, HTTP, LP, Rsh, Finger, NNTP, Sql*Net и другие, а также поддерживать внешнюю авторизацию и аккаунтинг на базе протоколов RADIUS/TACACS и интегрироваться в систему обнаружения вторжений.

Так как для построения системы защиты от НСД в пределах сети, фильтрации трафика на сетевом уровне (IP) между сегментами недостаточно (хотя бы ввиду незащищенности в локальной сети соответствия IP-адрес – рабочее место), то для контроля доступа необходимо использовать сетевой экран более высокого уровня с дополнительной авторизацией клиентов и proxy-службами, поэтому доступ в сегмент серверов должен быть организован только через межсетевой экран уровня приложений.

Применение межсетевого экранирования уровня приложений для защиты выделенного сегмента серверов обеспечивает защиту серверов от многих видов атак типа Denial of Service и дополнительно защищает как СУБД Oracle с помощью фильтрации на уровне запросов Sql*Net, так и других сервисов ОС HP-UX.

Применение межсетевых экранов, магистральное шифрование трафика обеспечивают невозможность навязывания ложных пакетов из внешних телекоммуникационных сетей, что надежно защищает корпоративную сеть от атаки извне.


Для администрирования оборудования необходимо или пользоваться локальной консолью, или использовать средства шифрования управляющего трафика.

Необходимо минимизировать число сервисов, запускаемых на хостах, оставив только необходимые сервисы.

Для обеспечения надежности функционирования системы защиты следует резервировать межсетевые экраны.

Необходимо минимизировать число открытых для TCP-соединений портов маршрутизаторов и межсетевых экранов, запретить прохождение через маршрутизаторы и межсетевые экраны пакетов c опцией source-routed (маршрутизации от источника), запретить прохождение пакетов directed-broadcast.

Управление другим активным сетевым оборудованием ЛВС должно осуществляться с применением аналогичных описанным выше мерами информационной безопасности.

Контрольные вопросы по теме 3.2.

  1. Методы реализации основных требований политики информационной безопасности в элементах ИС;

  2. Технические решения по защите от НСД компьютерных ресурсов на уровне операционной системы HP-UX;

  3. Технические решения по защите от НСД компьютерных ресурсов на уровне сервера системы управления базами данных Oracle

  4. Технические решения по защите от НСД компьютерных ресурсов на уровне АРМ пользователей ИС;

  5. Технические решения по защите от НСД компьютерных ресурсов на уровне корпоративной сети.



Внедрение и настройка описанных выше средств защиты информации позволить существенно увеличить уровень информационной безопасности ИС. Вместе с тем следует отметить, что основным фактором обеспечения безопасности в ИС является «человеческий». Поэтому особое внимание надо уделить постоянному ознакомлению персонала с принципами политики информационной безопасности, а также их обучению работы со средствами защиты информации.
Литература

  1. В. Зима, А. Молдовян, Н. Молдовян «Безопасность глобальных сетевых технологий», БХВ-Петербург, 2000 г.

  2. А.Ю. Щеглов «Защита компьютерной информации от несанкционированного доступа», Наука и техника, Санкт-Петербург, 2004 г.

  3. Мошак Н.Н. Формализация и оценка процессов представления механизмов защиты в мультисервисной сети. Общий подход // «Электросвязь», №3, 2012.

  4. Мошак Н.Н. Модели услуг аутентификации в задаче анализа инфокоммуникационной сети. Известие вузов России, Радиоэлектроника, 2007,вып. №5, с.18-25

  5. К.В. Ребриков, В.З. Шнитман. Протоколы автоматического установления контекстов безопасности и управления ключами в Интернет. Работа выполнена при финансовой поддержке РФФИ в рамках проекта № 04-07-90308 "Верификация функций безопасности и мобильности протоколов IP".

  6. Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321, April 1992.

  7. Atkinson, R., "Security Architecture for the Internet Protocol", RFC 1825, August 1995.

  8. Kent, S., and R. Atkinson, "IP Authentication Header", RFC 2402, November 1998.

  9. D. Maughan, M. Schertler, M. Schneider, J. Turner, “Internet Security Association and Key Management Protocol (ISAKMP)”, 1998.

  10. C. Madson, N. Doraswamy, “The ESP DES-CBC Cipher Algorithm With Explicit IV”, RFC 2405, 1998.

  11. D.Whiting, B.Schneier, S.Bellovin, “AES Key Agility in High-speed IPSec Implementations”, 2000.

Смотрите также файлы