Смекни!
smekni.com

Комплексное управление безопасностью информационной системы в ЛВС ОАО ХК Дальзавод (стр. 5 из 8)

- отсутствие средств выявления и защиты от вирусов,

5.Раскрытие трафика ЛВС - происходит в результате получения доступа к информации или ее чтения человеком и возможного ее разглашения случайным или неавторизованным намеренным образом тогда, когда информация передается через ЛВС.

Уязвимые места:

- неадекватная физическая защита устройств ЛВС и среды передачи,

- передача открытых данных с использованием широковещательных протоколов передачи,

- передача открытых данных (незашифрованных) по среде ЛВС.

6.Подмена трафика ЛВС - происходит в результате появлений сообщений, которые имеют такой вид, как будто они посланы законным заявленным отправителем, а на самом деле сообщения посланы не им.

Уязвимые места:

- передача трафика ЛВС в открытом виде,

- отсутствие отметки даты / времени (показывающей время посылки и время получения),

- отсутствие механизма кода аутентификации сообщения или цифровой подписи,

- отсутствие механизма аутентификации в реальном масштабе времени (для защиты от воспроизведения).

7.Неработоспособность ЛВС - происходит в результате реализации угроз, которые не позволяют ресурсам ЛВС быть своевременно доступными.

Уязвимые места:

- неспособность обнаружить необычный характер трафика (то есть намеренное переполнение трафика),

- неспособность перенаправить трафик, выявить отказы аппаратных средств ЭВМ, и т.д.,

- конфигурация ЛВС, допускающая возможность выхода из строя из-за отказа в одном месте,

- неавторизованные изменения компонентов аппаратных средств ЭВМ (переконфигурирование адресов на автоматизированных рабочих местах, изменение конфигурации маршрутизаторов или хабов, и т.д.),

- неправильное обслуживание аппаратных средств ЛВС,

- недостаточная физическая защита аппаратных средств ЛВС.

6.2. Службы и механизмы защиты

Служба защиты - совокупность механизмов, процедур и других управляющих воздействий, реализованных для сокращения риска, связанного с угрозой. Например, службы идентификации и аутентификации (опознания) помогают сократить риск угрозы неавторизованного пользователя. Некоторые службы обеспечивают защиту от угроз, в то время как другие службы обеспечивают обнаружение реализации угрозы. Примером последних могут служить службы регистрации или наблюдения. Следующие службы будут обсуждены в этом разделе:

1. идентификация и установление подлинности - является службой безопасности, которая помогает гарантировать, что в ЛВС работают только авторизованные лица.

Механизмы защиты:

- механизм, основанный на паролях,

- механизм, основанный на интеллектуальных картах

- механизм, основанный на биометрии,

- генератор паролей,

- блокировка с помощью пароля,

- блокировка клавиатуры,

- блокировка ПК или автоматизированного рабочего места,

- завершение соединения после нескольких ошибок при регистрации,

- уведомление пользователя о "последней успешной регистрации" и "числе ошибок при регистрации",

- механизм аутентификации пользователя в реальном масштабе времени,

- криптография с уникальными ключами для каждого пользователя.

2. управление доступом - является службой безопасности, которая помогает гарантировать, что ресурсы ЛВС используются разрешенным способом.

Механизмы защиты:

- механизм управления доступом, использующий права доступа (определяющий права владельца, группы и всех остальных пользователей),

- механизм управления доступом, использующий списки управления доступом, профили пользователей и списки возможностей,

- управление доступом, использующее механизмы мандатного управления доступом,

- детальный механизм привилегий.

3. конфиденциальность данных и сообщений - является службой безопасности, которая помогает гарантировать, что данные ЛВС, программное обеспечение и сообщения не раскрыты неавторизованным лицам.

Механизмы защиты:

- технология шифрования файлов и сообщений,

- защита резервных копий на лентах, дискетах, и т.д.,

- физическая защита физической среды ЛВС и устройств,

- использование маршрутизаторов, которые обеспечивают фильтрацию для ограничения широковещательной передачи (или блокировкой, или маскированием содержания сообщения).

4. целостность данных и сообщений - является службой безопасности, которая помогает гарантировать, что данные ЛВС, программное обеспечение и сообщения не изменены неправомочными лицами.

Механизмы защиты:

- коды аутентификации сообщения, используемые для программного обеспечения или файлов,

- использование электронной подписи, основанной на секретных ключах,

- использование электронной подписи, основанной на открытых ключах,

- детальный механизм привилегий,

- соответствующее назначение прав при управлении доступом (то есть отсутствие ненужных разрешений на запись),

- программное обеспечение для обнаружения вирусов,

- бездисковые автоматизированные рабочие места (для предотвращения локального хранения программного обеспечения и файлов),

- автоматизированные рабочие места без накопителей для дискет или лент для предотвращения появления подозрительного программного обеспечения,

5. контроль участников взаимодействия - является службой безопасности, посредством которой гарантируется, что объекты, участвующие во взаимодействии, не смогут отказаться от участия в нем. В частности, отправитель не сможет отрицать посылку сообщения (контроль участников взаимодействия с подтверждением отправителя) или получатель не сможет отрицать получение сообщения (контроль участников взаимодействия с подтверждением получателя).

Механизмы защиты:

- использование электронных подписей с открытыми ключами.

6. регистрация и наблюдение - является службой безопасности, с помощью которой может быть прослежено использование всех ресурсов ЛВС.

7. Обзор и анализ существующих программно-аппаратных средств пригодных для решения поставленной задачи.

Реализация системы защиты информации осуществляется, исходя из предпосылки, что невозможно обеспечить требуемый уровень защищенности информационной системы только с помощью одного отдельного средства

(мероприятия) или с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение). В этом случае реализация любой угрозы сможет воздействовать на защищаемый объект только в случае преодоления всех установленных уровней защиты.

Структура КСЗИ

Проектирование проводится с учетом всех аспектов информационной безопасности, требований нормативных документов по защите информации РФ и конкретных условий применения, что позволяет получить целостную систему защиты информации, интегрированную в объект информатизации и подобрать оптимальный режим работы системы защиты.

7.1. Межсетевой экран

7.1.1. Cisco PIX

Широкий спектр моделей Cisco Pix Firewall, ориентированных на защиту сетей предприятия разного масштаба, от предприятий малого бизнеса и заканчивая крупными корпорациями и операторами связи, обеспечивающих безопасность, производительность и надежность сетей любого масштаба.

В отличие от обычных proxy-серверов, выполняющих обработку каждого сетевого пакета в отдельности с существенной загрузкой центрального процессора, PIX Firewall использует специальную не UNIX-подобную операционную систему реального времени, обеспечивающую более высокую производительность.

Основой высокой производительности межсетевого экрана PIX Firewall является схема защиты, базирующаяся на применении алгоритма адаптивной безопасности (adaptive security algorithm – ASA), который эффективно скрывает адреса пользователей от хакеров.

Благодаря применению технологии «сквозного посредника» (Cut-Through Proxy) межсетевой экран Cisco PIX Firewall также обеспечивает существенное преимущество в производительности по сравнению с экранами-«посредниками» на базе ОС UNIX. Такая технология позволяет межсетевому экрану PIX работать значительно быстрее, чем обычные proxy-экраны.

Межсетевой экран Cisco Secure PIX Firewall также позволяет избежать проблемы нехватки адресов при расширении и изменении IP сетей. Технология трансляции сетевых адресов Network Address Translation (NAT) делает возможным использование в частной сети как существующих адресов, так и резервных адресных пространств. Например, это позволяет использовать всего лишь один реальный внешний IP адрес для 64 тысяч узлов внутренней частной сети. PIX также может быть настроен для совместного использования транслируемых и нетранслируемых адресов, позволяя использовать как адресное пространство частной IP сети, так и зарегистрированные IP адреса.

Для повышения надежности межсетевой экран PIX Firewall предусматривает возможность установки в сдвоенной конфигурации в режиме «горячего» резервирования, за счет чего в сети исключается наличие единой точки возможного сбоя. Если два PIX-экрана будут работать в параллельном режиме и один из них выйдет из строя, то второй в прозрачном режиме подхватит исполнение всех функций обеспечения безопасности.

Основные возможности:

- Производительность до 1,67 Гбит/сек, поддержка интерфейсов Ethernet, Fast Ethernet и Gigabit Ethernet

- Строгая система защиты от НСД на уровне соединения

- Технология Cut Through Proxy – контроль входящих и исходящих соединений

- До 10 сетевых интерфейсов (до 100 виртуальных интерфейсов для Firewall Services Module для Catalyst 6500 и Cisco 7600) для применения расширенных правил защиты

- Поддержка протокола сетевого управления SNMP

- Учетная информация с использованием ведения журнала системных событий (syslog)

- Прозрачная поддержка всех основных сетевых услуг (WWW, FTP, Telnet, Archie, Gopher)