Файл: Программные и аппаратные средства ограничения доступа к ресурсам ПК и сетей.pdf
Добавлен: 22.04.2023
Просмотров: 126
Скачиваний: 1
СОДЕРЖАНИЕ
Глава 1. Характеристика средств ограничения доступа
1.1 Классификация средств ограничения доступа
1.2 Аппаратные средства ограничения доступа
1.3 Программные средства ограничения доступа
1.4 Аппаратно-программные средства ограничения доступа
Глава 2. Примеры средств ограничения доступа
Преимущества контент-фильтра KWF:
- 70 категорий трафика;
- 7 миллионов вредоносных и фишинговых веб-адресов;
- обновления баз данных каждые 14 дней;
- фильтрация по спискам Минюста;
- фильтрация иноязычного контента.
Интернет Контроль Сервер с модулем KWF в коммерческих организациях и бюджетных учреждениях позволит сократить нецелевое использование трафика, повысить производительность сотрудников.
2.3 Программно-аппаратные средства
Электронные ключи
eToken — это полнофункциональный аналог смарт-карты, выполненный в виде брелока. Он напрямую подключается к компьютеру через USB-порт и не требует наличия дорогостоящих карт-ридеров и других дополнительных устройств. Основное назначение eToken — аутентификация пользователя при доступе к защищенным ресурсам сети и безопасное хранение цифровых сертификатов, ключей шифрования, а также любой другой секретной информации[Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].
Каждому брелоку eToken можно присвоить уникальное имя, например имя его владельца. Чтобы узнать имя владельца eToken, достаточно подключить брелок к USB-порту и открыть окно «Свойства». Однако получить доступ к защищенной памяти eToken и воспользоваться этим брелоком без знания специального PIN-кода нельзя [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.].
Кроме того, eToken выполнен в прочном водонепроницаемом корпусе и защищен от воздействия окружающей среды. Он имеет защищенную энергонезависимую память (модели PRO и RIC снабжены микропроцессором). Небольшой размер позволяет носить его на связке с ключами [Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы ограничения доступа: Учебное пособие./ Варлатая С.К - Владивосток: Изд-во ДВГТУ, 2007. - 318 с.].
Если нужно подключить к компьютеру несколько ключей одновременно, а USB-портов не хватает, то можно воспользоваться концентратором (USB-HUB). Для удобства применения eToken поставляется вместе с удлинителем для USB-порта.
Таким образом, eToken может стать универсальным ключом, легко интегрируемым в различные системы для обеспечения надежной аутентификации. С его помощью можно осуществлять безопасный доступ к защищенным Web-страницам, к сетям, отдельным приложениям и т.д. Универсальность применения, легкость в использовании, удобство для пользователей и администраторов, гарантированное качество делают его прекрасным средством при необходимости использовать цифровые сертификаты и защищенный доступ [Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы ограничения доступа: Учебное пособие./ Варлатая С.К - Владивосток: Изд-во ДВГТУ, 2007. - 318 с.].
В случае если объем конфиденциальной информации довольно значителен, можно воспользоваться устройством Secret Disk, выполненным с применением технологии eToken. Secret Disk — это разработка компании Aladdin Software Security R.D., предназначенная для защиты конфиденциальной информации на персональном компьютере с ОС Windows 2000/XP [Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].
Принцип защиты данных при помощи системы Secret Disk заключается в создании на компьютере пользователя защищенного ресурса — секретных дисков, предназначенных для безопасного хранения конфиденциальной информации. Доступ к этой информации осуществляется посредством электронного ключа eToken, подсоединяемого к USB-порту компьютера. Доступ к информации, защищенной системой Secret Disk, получают только непосредственный владелец информации и авторизованные им доверенные лица, имеющие электронный ключ eToken и знающие его PIN-код. Для других пользователей защищенный ресурс будет невидим и недоступен. Более того, они даже не догадаются о его наличии.
Устанавливая на компьютере систему Secret Disk, пользователь может быть уверен в сохранности защищаемых данных. Конфиденциальная информация не может быть просмотрена, скопирована, уничтожена или повреждена другими пользователями. Она не может быть использована посторонними при ремонте или краже компьютера, а также при утере съемного зашифрованного диска [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.].
Для защиты корпоративных серверов используется специальная версия — Secret Disk Server. Особенностью системы Secret Disk Server также является отсутствие следов закрытого «контейнера с информацией» в файловой системе. Таким образом, если злоумышленники снимут диск с вашего сервера, то они не только не смогут расшифровать данные — они даже не увидят, где именно находится информация [Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы ограничения доступа: Учебное пособие./ Варлатая С.К - Владивосток: Изд-во ДВГТУ, 2007. - 318 с.].
Межсетевые экраны
Межсетевые экраны используются в качестве первой линии защиты сетей уже более 25 лет. Они ставят барьер между защищенными, контролируемыми внутренними сетями, которым можно доверять, и ненадежными внешними сетями, такими как Интернет [Петренко С.А., Курбатов В.А. - Политики безопасности компании при работе в интернет/ С.А. Петренко, - ДМК Пресс, 2014 ,- 396 с.].
Межсетевой экран может быть аппаратным, программным или смешанного типа.
Типы межсетевых экранов
Прокси-сервер
Это один из первых типов МСЭ. Прокси-сервер служит шлюзом между сетями для конкретного приложения. Прокси-серверы могут выполнять дополнительные функции, например кэширование и защиту контента, препятствуя прямым подключениям из-за пределов сети. Однако это может отрицательно сказаться на пропускной способности и производительности поддерживаемых приложений[Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].
Межсетевой экран с контролем состояния сеансов
Сегодня МСЭ с контролем состояния сеансов считается «традиционным». Он пропускает или блокирует трафик с учетом состояния, порта и протокола. Он осуществляет мониторинг всей активности с момента открытия соединения и до его закрытия. Решения о фильтрации принимаются на основании как правил, определяемых администратором, так и контекста. Под контекстом понимается информация, полученная из предыдущих соединений и пакетов, принадлежащих данному соединению [Рашид Ачилов Построение защищенных корпоративных сетей/ Ачилов Р., ДМК-Пресс, 2013].
Межсетевой экран UTM
Типичное устройство UTM, как правило, сочетает такие функции, как контроль состояния сеансов, предотвращение вторжений и антивирусное сканирование. Также оно может включать в себя дополнительные службы, а зачастую — и управление облаком. Основные достоинства UTM — простота и удобство [Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].
Межсетевой экран нового поколения (NGFW)
Современные межсетевые экраны не ограничиваются фильтрацией пакетов и контролем состояния сеансов. Большинство компаний внедряет межсетевые экраны нового поколения, чтобы противостоять современным угрозам, таким как сложное вредоносное ПО и атаки на уровне приложений.
Согласно определению компании Gartner, Inc., межсетевой экран нового поколения должен иметь:
- стандартные функции МСЭ, такие как контроль состояния сеансов;
- встроенную систему предотвращения вторжений;
- функции учета и контроля особенностей приложений, позволяющие распознавать и блокировать приложения, представляющие опасность;
- схему обновления, позволяющую учитывать будущие каналы информации;
- технологии защиты от постоянно меняющихся и усложняющихся угроз безопасности.
- И хотя эти возможности постепенно становятся стандартными для большинства компаний, межсетевые экраны нового поколения способны на большее.
NGFW с активной защитой от угроз
Эти межсетевые экраны сочетают в себе функции традиционного NGFW с возможностями обнаружения и нейтрализации сложных угроз [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.].
Межсетевые экраны нового поколения с активной защитой от угроз позволяют:
- определять благодаря полному учету контекста, какие ресурсы наиболее подвержены риску;
- быстро реагировать на атаки благодаря интеллектуальной автоматизации безопасности, которая устанавливает политики и регулирует защиту в динамическом режиме;
- с большей надежностью выявлять отвлекающую или подозрительную деятельность, применяя корреляцию событий в сети и на оконечных устройствах;
- значительно сократить время с момента распознавания до восстановления благодаря использованию ретроспективных средств обеспечения безопасности, которые осуществляют непрерывный мониторинг на предмет подозрительной деятельности и поведения даже после первоначальной проверки;
- упростить администрирование и снизить уровень сложности с помощью унифицированных политик, обеспечивающих защиту на протяжении всего жизненного цикла атаки.
Межсетевым экранам свойственен определенный набор функций. Вот и посмотрим, какие функции предоставляет (или не предоставляет) тот или иной межсетевой экран. Основная функция любого межсетевого экрана — это фильтрация пакетов на основании определенного набора правил. Не удивительно, но эту функцию поддерживают все брандмауэры [Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы ограничения доступа: Учебное пособие./ Варлатая С.К - Владивосток: Изд-во ДВГТУ, 2007. - 318 с.].
Также все рассматриваемые брандмауэры поддерживают NAT. Но есть довольно специфические (но от этого не менее полезные) функции, например, маскировка портов, регулирование нагрузки, многопользовательских режим работы, контроль целостности, развертывание программы в ActiveDirectory и удаленное администрирование извне. Довольно удобно, согласитесь, когда программа поддерживает развертывание в ActiveDirectory — не нужно вручную устанавливать ее на каждом компьютере сети [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.].
Также удобно, если межсетевой экран поддерживает удаленное администрирование извне — можно администрировать сеть, не выходя из дому, что будет актуально для администраторов, привыкших выполнять свои функции удаленно. Безопасность у всех межсетевых экранов примерно одинаковая, иначе у них бы не было сертификата.
Криптозащита
Криптографический ключ (криптоключ) — совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе (определение из «розовой инструкции – Приказа ФАПСИ № 152 от от 13 июня 2001 г., далее по тексту – ФАПСИ 152).
Ключевая информация — специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической ограничения доступа в течение определенного срока [Фомичёв В., Мельников Д. Криптографические методы ограничения доступа. Часть 1 и 2. / В. Фомичёв, - Юрайт, 2017, - 399 с].
Понять принципиальное отличие между криптоключем и ключевой информации можно на следующем примере. При организации HTTPS, генерируются ключевая пара открытый и закрытый ключ, а из открытого ключа и дополнительной информации получается сертификат. Так вот, в данной схеме совокупность сертификата и закрытого ключа образуют ключевую информацию, а каждый из них по отдельности является криптоключом [Грибунин В.Г., Чудовский В.В. - Комплексная система ограничения доступа на предприятии/ В.Г. Грибунин, - Академия, 2014,- 416 с.].
Тут можно руководствоваться следующим простым правилом – конечные пользователи при работе с СКЗИ используют ключевую информацию, а криптоключи обычно используют СКЗИ внутри себя. В тоже время важно понимать, что ключевая информация может состоять из одного криптоключа [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.].
Ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах. (определение из Постановления Правительства № 313 от от 16 апреля 2012 г. , далее по тексту – ПП-313)
Простым языком, ключевой документ — это ключевая информация, записанная на носителе. При анализе ключевой информации и ключевых документов следует выделить, что эксплуатируется (то есть используется для криптографических преобразований – шифрование, электронная подпись и т.д.) ключевая информация, а передаются работникам ключевые документы ее содержащие [Фомичёв В., Мельников Д. Криптографические методы ограничения доступа. Часть 1 и 2. / В. Фомичёв, - Юрайт, 2017, - 399 с.].