12. Общие требования к подсистеме обеспечения безопасности сетевого взаимодействия

Ответ:

Требования к подсистеме обеспечения безопасности сетевого взаимодействия

2.1.2.1. Требования к подсистеме защиты межсетевого взаимодействия, закрытого «закрытого» контура

Подсистема защиты межсетевого взаимодействия, закрытого «закрытого» контура предназначена для защиты однонаправленной передачи данных из «открытого» контура в «закрытый» контур и сегментирования ЛВС указанных контуров.

Подсистема защиты межсетевого взаимодействия, закрытого «закрытого» контура должна обеспечивать:

1. 
   Сегментацию ЛВС «закрытого» контора и ЛВС «открытого» контура на канальном, сетевом и прикладном уровнях семиуровневой модели OSI.
   
2. 
   Управление потоками между ЛВС «закрытого» контора и ЛВС «открытого» контура в соответствии со следующими принципами:
   

а) однонаправленная фильтрация потока данных между «открытым» контуром и «закрытым» контуром;

б) фильтрация на канальном уровне:

• 
  должна обеспечиваться фильтрация потока данных на основе MAC-адресов отправителя и получателя;
  
• 
  средства защиты должны выполнять фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов. В настройках параметров фильтрации должна присутствовать возможность допускать или запрещать прохождение сетевыми пакетами из списка адресов указанный  сетевой интерфейс;
  
• 
  должна обеспечиваться фильтрация с учетом даты/времени и возможности определения временных интервалов для  выполнения правил фильтрации.
  

в) фильтрация на сетевом уровне:

• 
  решение по фильтрации должно приниматься для каждого сетевого пакета независимо на основе  сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов. Фильтрация производится по IP-адресам и MAC-адресам;
  
• 
  межсетевые экраны должны обеспечивать фильтрацию с учетом любых значимых  полей сетевых пакетов;
  
• 
  должна обеспечиваться фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств «закрытого» контура. Должна обеспечиваться поддержка фильтрации протокола ICMP;
  
• 
  должна обеспечиваться фильтрация с учетом даты/времени и   возможность определения временных интервалов для  выполнения правил фильтрации;
  
• 
  должна обеспечиваться регистрация и учет фильтруемых пакетов. В параметры регистрации должны включаться адрес, время и результат фильтрации.
  

---

г) фильтрация на транспортном уровне:

• 
  должна обеспечиваться возможность фильтрации запросов на установление виртуальных соединений. При этом должны учитываться транспортные адреса отправителя и получателя. Фильтрация должна производиться по IP-адресам для TCP и UDP соединений;
  
• 
  должна обеспечиваться фильтрация с учетом даты/времени и  возможность определения временных интервалов для  выполнения правил фильтрации;
  
• 
  должна обеспечиваться регистрация и учет запросов на установление виртуальных соединений.
  

д) фильтрация на прикладном уровне:

• 
  должна обеспечиваться возможность фильтрации на прикладном уровне запросов к прикладным сервисам. При этом должны учитываться прикладные адреса отправителя и получателя; Фильтрация производится по сокетам (sockets) для TCP и UDP соединений;
  
• 
  должна обеспечиваться возможность сокрытия субъектов (объектов) и/или прикладных функций «закрытого» контура.
  
• 
  должна обеспечиваться фильтрация с учетом даты/времени и возможность определения временных интервалов для  выполнения правил фильтрации;
  
• 
  должна обеспечиваться регистрация и учет запрашиваемых сервисов прикладного уровня (посредством связки IP-адреса и номера порта удаленного сервера для устанавливаемого сеанса связи).
  

1. 
   Авторизацию МАС-адресов АРМ пользователей «закрытого» контура при их подключении к ЛВС контура. При обнаружении неавторизованного МАС-адреса порт соответствующего устройства должен автоматически отключаться.
   
2. 
   Использование режима работы концентраторов, обеспечивающего прием пакетов, адресованных только авторизованному МАС-адресу.
   
3. 
   Исключение возможности несанкционированного удаленного подключения к локальным ресурсам «закрытого» контура и управление доступом к этим ресурсам.
   
4. 
   Обязательный контроль точек открытого доступа в периметр «закрытого» контура. При организации однонаправленных соединений из «открытого» контура в «закрытый» контур с целью обеспечения доступа к секретной информации, обрабатываемой на серверах «закрытого» контура, предварительно должен быть решен вопрос о криптографической защите трафика этих соединений (организация VPN) с помощью сертифицированных средств ФСБ России. При этом для разрешенных исходящих из «открытого» контура TCP-соединений должны конкретно задаваться адрес назначения, исходный адрес и номер IP порта, соответствующий внешнему по отношению к контуру «О» сервису. При управлении доступом к серверам «закрытого» контура МЭ – в access-листах должны конкретно задаваться адрес назначения, исходный адрес и номер IP порта, соответствующий сервису «закрытого» контура.
   
5. 
   Регистрацию входящих пакетов в «закрытый» контур, не соответствующих правилам access-листов маршрутизатора и внутреннего МЭ за счет вывода в syslog  соответствующих событий.
   
6. 
   Контроль в «закрытом» контуре передаваемой по системе обмена электронными сообщениями информации путем фильтрации протоколов передачи электронной почты специализированными средствами, устанавливаемыми на серверах, обеспечивающих функционирование почтовой системы внутри «закрытого» контура. Правила фильтрации должны быть регламентированы. Данные о работе фильтров должны передаваться подсистеме управления безопасности.
   
7. 
   Программируемую реакцию на события в средстве защиты (возможность формирования заданного уровня детализации событий в журнале регистрации АИБ. Регистрация категорий событий, таких как  установка связи, изменение конфигурации и т.д.).
   
8. 
   Оперативную сигнализацию на основе защищенного протокола SNMPv.3:
   

---

• 
  локальную сигнализацию попыток нарушения правил фильтрации (АИБ «закрытого» контура о попытках установления запрещенных соединений непосредственно фильтрующим модулем (звуковое сопровождение, вывод сообщения на экран, световая индикация и т.п.));
  
• 
  дистанционную сигнализацию попыток нарушения правил фильтрации (информирование АИБ «закрытого» контура и уполномоченных лиц о попытках установления запрещенных соединений с помощью электронной почты, пейджинговой службы, SMS-сообщений, popup-сообщений или внешних систем оповещения).
  

        9. Организацию событийного протоколирования и подотчетности пользователей и администраторов «закрытого» контура.

13. Требования к подсистеме аутентификации и управления доступом

Ответ:

Требования к подсистеме управления доступом

Подсистема управления доступом должна обеспечить:

-идентификацию и проверку подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю, и запрет работы ЭВМ с незарегистрированным пользователем;

-идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по их логическим адресам (номерам);

-идентификация программ, каталогов, файлов, записей, полей записей по именам;

-разграничение доступа к файлам для работающего в данный момент зарегистрированного пользователя по отношению к операциям: чтение файла, запись файла, выполнение файла;

-разграничение доступа к каталогам для работающего в данный момент зарегистрированного пользователя по отношению к операциям: использование каталога в качестве текущего или в качестве промежуточного звена при доступе к файлу, чтение информации о файлах, принадлежащих данному каталогу, изменение информации о файлах, принадлежащих данному каталогу, изменение информации о файлах принадлежащих данному каталогу, создание или удаление файлов в данном каталоге;

-разграничение доступа к драйверам для работающего в данный момент зарегистрированного пользователя.

Подсистема разграничения доступа должна контролировать:

-вход пользователя в подсистему разграничения доступа (регистрация в системе);

-выход пользователя из подсистемы разграничения доступа (завершение сеанса работы);

-подтверждение личности пользователя по истечении паузы не активности.

---

14. Требования к подсистеме криптографической защиты информации

Ответ:

Требования к подсистеме криптографической защиты информации

Подсистема криптографической защиты (кодирования) информации должна включать:

-комплекс средств криптографической защиты (кодирования) информации от несанкционированного доступа по каналам связи телекоммуникационной сети;

-комплекс средств криптографической защиты (кодирования) информации баз данных и автоматизированных рабочих мест пользователей ЛВС.

Комплекс средств криптографической защиты (кодирования) информации от несанкционированного доступа по каналам связи должен обеспечивать шифрование и расшифрование потока информации и включать:

- программно-аппаратный комплекс шифрования потоков информации;

- программно-аппаратный комплекс управления ключевой системой.

Средства криптографической защиты (кодирования) информации, устанавливаемые в ЛВС, должны иметь интерфейс, обеспечивающий формирование запросов на выполнение криптографических функций, передачу средствам защиты подлежащих обработке данных (файлов и/или участков памяти) и получение криптографически обработанных результатов обработки обратно.

Должны быть использованы СКЗИ сертифицированные и рекомендованные ФАПСИ.

15. Требования к подсистеме антивирусной защиты

Ответ:

Требования к подсистеме антивирусной защиты

Подсистема антивирусной защиты должна обеспечивать надежный контроль над всеми потенциальными источниками проникновения вредоносных программ в ИС Э-Управления, максимально автоматизировать антивирусную защиту компьютеров и локальной сети, а также обеспечить централизованное управление всеми антивирусными продуктами.

Эта подсистема должна соответствовать следующим требованиям. Она должна выполнять:

· антивирусную защиту рабочих станций;

· антивирусную защиту файловых серверов;

· антивирусную защиту электронной почты;

· антивирусную защиту шлюзов Интернет;

· антивирусную защиту Web серверов.

При этом желательно организовать двухуровневую антивирусную защиту с применением антивирусного ПО различных производителей.

Подсистема антивирусной защиты должна обеспечивать:

---

· централизованное управление сканированием, удалением вирусов и протоколированием вирусной активности;

· централизованную автоматическую инсталляцию клиентского ПО на АРМ пользователей;

· централизованное автоматическое обновление вирусных сигнатур на АРМ пользователей;

· возможность обнаружения и удаления вирусов в режиме реального времени при работе с информационными ресурсами серверов;

· возможность выявления вирусной активности в режиме реального времени при осуществлении связи с сетями общего пользования по протоколам SMTP, HTTP и FTP;

· ведение журналов вирусной активности в ИС Э-Управления;

· автоматическое уведомление администратора по электронной почте о вирусной активности;

· администрирование всех антивирусных продуктов, установленных в сети.

Выводы по третьей главе

В главе 3 была проведена работа по предотвращению незаконных действий моделей нарушителя к системе Э-Управления, в ходе которой выработаны характерные методы воздействия нарушителя на систему, а так же предложены основные способы и технологии защиты. Наибольшую опасность для системы Э-Управления несет пользователь внутренней сети, так как по статистке утечки информации согласно глобальных исследований утечек конфиденциальной информации за 2013 год от аналитического центра "InfoWatch" эта цифра приближается к 50% из которых 44% это умышленные действия и 45% случайные, т.е. ошибки пользователей сети [24].

Из предложенных пяти типов возможных нарушителей были предложены средства и технологии по предотвращению или осложнению доступа к конфиденциальной информации Э-Управления. Далее произведена научная работа по созданию и формированию подсистем и решений безопасности системы Э-Управления:

· Подсистема Управление доступом

· Инфраструктура открытых ключей

· Подсистема криптографической защиты информации

· Подсистема защиты компонентов сетевой инфраструктуры

· Подсистема анализа защищенности

· Подсистема регистрации и мониторинга

· подсистема резервного копирования и архивирования

· подсистема антивирусной защиты

· инженерно-технические системами безопасности

Ко всем предложенным подсистемам даны рекомендательные характеристики с учетом соблюдения необходимого уровня безопасности АС, так же возможность интегрирования с другими ведомствами КР.

16. Требования к подсистеме резервирования и восстановления информации

---

Смотрите также файлы

• Внешняя политика Это деятельность на международной арене, регулирующая взаимоотношения с другими государствами и народами.docx

• Жасспірімдерді нашаорлыа атынасы сауалнамасы.docx

• Программа среднего профессионального образования 39. 02. 01 Социальная работа (базовая подготовка).rtf

• азастан республикасы білім жне ылым министрлігі м.Уезов атындаы ОТстік азастан университеті филология факультеті.docx

• Методические приемы обучения решению задач в начальной школе.pptx