1.1 Основные цели сетевой безопасности

Второй главной целью сетевой безопасности является обеспечение конфиденциальности данных. Не все данные можно относить к конфиденциальной информации. Существует достаточно большое количество информации, которая должна быть доступна всем. Но даже в этом случае обеспечение целостности данных, особенно открытых, является основной задачей. К конфиденциальной информации можно отнести следующие данные:

Личная информация пользователей.

Учетные записи (имена и пароли).

Данные о кредитных картах.

Данные о разработках и различные внутренние документы.

Бухгалтерская информация.

Доступность данных

Рассмотрим некоторые известные модели безопасности.

1. Модель дискреционного доступа "Средства вычислительной техники. Защита от несанкционированного доступа и информации. Показатели защищенности от несанкционированного доступа к информации". Руководящий документ. Гостехкомиссия России. Москва,Военное издательство, 1992.. В рамках модели контролируется доступ субъектов к объектам. Для каждой пары субъект-объект устанавливаются операции доступа (READ, WRITE и другие).

Контроль доступа осуществляется посредством механизма, который предусматривает возможность санкционированного изменения правил разграничения доступа. Право изменять правила предоставляется выделенным субъектам.

2. Модель дискретного доступа. В рамках модели рассматриваются механизмы распространения доступа субъектов к объектам.

3. Модель мандатного управления доступом Белла-Лападула.

Формально записана в терминах теории отношений. Описывает механизм доступа к ресурсам системы, при этом для управления доступом используется матрица контроля доступа. В рамках модели рассматриваются простейшие операции READ и WRITE доступа субъектов к объектам, на которые накладываются ограничения.

Множества субъектов и объектов упорядочены в соответствии с их уровнем полномочий и уровнем безопасности, соответственно.

Состояние системы изменяется согласно правилам трансформации состояний.

4. Модели распределенных систем (синхронные и асинхронные). В рамках моделей субъекты выполняются на нескольких устройствах обработки. Рассматриваются операции доступа субъектов к объектам READ и WRITE, которые могут быть удаленными, что может вызвать противоречия в модели Белла-Лападула.

В рамках асинхронной модели в один момент времени несколько субъектов могут получить доступ к нескольким объектам.

Переход системы из одного состояния в другое состояние в один момент времени может осуществляться под воздействием более, чем одного субъекта.

5. Модель безопасности военной системы передачи данных (MMS -модель). Формально записана в терминах теории множеств. Субъекты могут выполнять специализированные операции над объектами сложной структуры. В модели присутствует администратор безопасности для управления доступом к данным и устройствам глобальной сети передачи данных. При этом для управления доступом используются матрицы контроля доступа. В рамках модели используются операции READ, WRITE, CREATE, DELETE доступа субъектов к объектам, операции над объектами специфической структуры, а также могут появляться операции, направленные на специфическую обработку информации.

Состояние системы изменяется с помощью функции трансформации.

6. Модель трансформации прав доступа. Формально записана в терминах теории множеств. В рамках модели субъекту в данный момент времени предоставляется только одно право доступа. Для управления доступом применяются функции трансформации прав доступа.

Механизм изменения состояния системы основывается на применении функций трансформации состояний.

7. Схематическая модель. Формально записана в терминах теории множеств и теории предикатов. Для управлением доступа используется матрица доступа со строгой типизацией ресурсов. Для изменения прав доступа применяется аппарат копирования меток доступа.

8. Иерархическая модель. Формально записана в терминах теории предикатов.

Описывает управление доступом для параллельных вычислений, при этом управление доступом основывается на вычислении предикатов.

9. Модель безопасных спецификаций. Формально описана в аксиоматике Хоара.

10. Модель информационных потоков. Формально записана в терминах теории множеств. В модели присутствуют объекты и атрибуты, что позволяет определить информационные потоки. Управление доступом осуществляется на основе атрибутов объекта.

Изменением состояния является изменение соотношения между объектами и атрибутами.

12. Вероятностные модели Ездаков А., О. Макарова, Как защитить информацию. //Сети, 2000.- № 8. -с.11-19. В модели присутствуют субъекты, объекты и их вероятностные характеристики. В рамках модели рассматриваются операции доступа субъектов к объектам READ и WRITE. Операции доступа также имеют вероятностные характеристики.

13. Модель элементарной защиты. Предмет защиты помещен в замкнутую и однородную защищенную оболочку, называемую преградой. Информация со временем начинает устаревать, т.е. цена ее уменьшается. За условие достаточности защиты принимается превышение затрат времени на преодоление преграды нарушителем над временем жизни информации. Вводятся вероятность непреодоления преграды нарушителем РСЗИ, вероятность обхода преграды нарушителем Робх, и вероятность преодоления преграды нарушителем за время, меньшее времени жизни информации Рнр. Для введенной модели нарушителя показано,

что РСЗИ= min[(1 - Рнр)(1-Робх)], что является иллюстрацией принципа слабейшего звена. Развитие модели учитывает вероятность отказа системы и вероятность обнаружения и блокировки действий нарушителя.

14. Модель системы безопасности с полным перекрытием. Отмечается, что система безопасности должна иметь по крайней мере одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему. Модель описана в терминах теории графов. Степень обеспечения безопасности системы можно измерить, используя лингвистические переменные. В базовой системе рассматривается набор защищаемых объектов, набор угроз, набор средств безопасности, набор уязвимых мест, набор барьеров.

15. Модель гарантированно защищенной системы обработки информации. В рамках модели функционирование системы описывается последовательностью доступов субъектов к объектам. Множество субъектов является подмножеством множества объектов. Из множества объектов выделено множество общих ресурсов системы, доступы к которым не могут привести к утечке информации. Все остальные объекты системы являются порожденными пользователями, каждый пользователь принадлежит множеству порожденных им объектов. При условиях, что в системе существует механизм, который для каждого объекта устанавливает породившего его пользователя; что субъекты имеют доступ только к общим ресурсам системы и к объектам, порожденным ими, и при отсутствии обходных путей политики безопасности модель гарантирует невозможность утечки информации и выполнение политики безопасности.

16. Субъектно-объектная модель. В рамках модели все вопросы безопасности описываются доступами субъектов к объектам. Выделены множество объектов и множество субъектов. Субъекты порождаются только активными компонентами (субъектами) из объектов. С каждым субъектом связан (ассоциирован) некоторый объект (объекты), т.е. состояние объекта влияет на состояние субъекта. В модели присутствует специализированный субъект-монитор безопасности субъектов (МБС), который контролирует порождение субъектов.

Из упомянутых моделей для нас наибольший интерес представляет дискреционные и мандатные механизмы разграничения доступа (как наиболее распространенные), модель гарантированно защищенной системы (в силу гарантированности) и субъектно-объектная модель (рассматривающая не только доступы, но и среду, в которой они совершаются).

Под сущностью понимается любая составляющая компьютерной системы Зегжда П.Д., Зегжда Д.П., Семьянов П.В., Корт С.С., Кузьмич В.М.,Медведовский И.Д., Ивашко А.М., Баранов А.П. Теория и практика обеспечения информационной безопасности. -Москва, Яхтсмен, 2001.-с.32.

Субъект определяется как активная сущность, которая может инициировать запросы ресурсов и использовать их для выполнения каких-либо вычислительных заданий.

Объект определяется как пассивная сущность, используемая для хранения и получения информации.

Доступ - взаимодействие между объектом и субъектом, в результате которого происходит перенос информации между ними. Взаимодействие происходит при исполнении субъектами операций. Существуют две фундаментальные операции: операция чтения (перенос информации от объекта к субъекту) и операция записи (перенос информации от субъекта к объекту).

Данные операции являются минимально необходимым базисом для описания моделей, описывающих защищенные системы.

1.3 Виды угроз и методы защиты

Каждый ИТ-сервис или объект в совокупной инфраструктуре компании имеет определенный коэффициент риска, поэтому разработку концепции безопасности вашей корпорации следует начинать именно с всестороннего их анализа.

Другим немаловажным фактором при планировании концепции безопасности следует считать различные типы угроз каждому ключевому сервису ИТ-инфраструктуры. Эти аспекты напрямую соотносятся с факторами оценки объектов и позволяют получить информацию для последующих действий по мерам защиты. Важное правило эффективности мер - защита не должна быть избыточной!

Результаты всестороннего анализа типов угроз и оценки каждого объекта сетевой ИТ-инфраструктуры являются основой для разработки и внедрения политики безопасности. Она будет включать в себя политику управления конфигурациями и обновлениями, мониторинг и аудит систем, а также другие превентивные меры операционных политик и процедур. Обязательным условием является наличие тестовой лаборатории с уменьшенным аналогом типичной ИТ-среды корпорации. Накопленные знания и опыт, полученные при анализе угроз и уязвимостей систем, являются, по сути, уникальной базой знаний и будут служить фундаментом в построении надежной и защищенной инфраструктуры и последующем обучении персонала. Однако следует учесть, что при изменении (модернизации) инфраструктуры, добавлении новых объектов необходимо произвести повторную оценку и анализ и впоследствии модифицировать политику безопасности. Зима В.М., Молдавян А.А., Молдавян Н.А. Компьютерные сети и защита передаваемой информации. -Санкт-Петербург.-с.82

Идентификация угроз

Повышение привилегий - Получение системных привилегий через атаку с переполнением буфера, незаконное получение административных прав.

Фальсификация - Модификация данных, передаваемых по сети, модификация файлов.

Имитация - Подделка электронных сообщений, подделка ответных пакетов при аутентификации.

Раскрытие информации - Несанкционированный доступ или незаконная публикация конфиденциальной информации.

Отречение - Удаление критичного файла или совершение покупки с последующим отказом признавать свои действия.

Отказ в обслуживании - Загрузка сетевого ресурса большим количеством поддельных пакетов.

Защита на всех уровнях

Чтобы уменьшить возможность успешного вторжения в ИТ-среду корпорации, надо создать комплексные меры защиты на всех возможных уровнях. Такая концепция информационной безопасности подразумевает, что нарушение одного уровня защиты не скомпрометирует всю систему в целом.

Проектирование и построение каждого уровня безопасности должны предполагать, что любой уровень может быть нарушен злоумышленником. Кроме того, каждый из уровней имеет свои специфические и наиболее эффективные методы защиты. Из перечня доступных и разработанных многими известными вендорами технологий можно выбрать наиболее подходящую по техническим и экономическим факторам. Например:

Защита данных - списки контроля доступа, шифрование.

Приложения - защищенные приложения, антивирусные системы.

Компьютеры - защита операционной системы, управление обновлениями, аутентификация, система обнаружения вторжений на уровне хоста.

Внутренняя сеть - сегментация сети, IP Security, сетевые системы обнаружения вторжений.

Периметр - программные и программно-аппаратные межсетевые экраны, создание виртуальных частных сетей с функциями карантина.

Физическая защита - охрана, средства наблюдения и разграничения доступа.

Политики и процедуры - обучение пользователей и технического персонала.

Таким образом, в результате комплексных мер защиты на всех уровнях упрощается процесс обнаружения вторжения и снижаются шансы атакующего на успех Козлов В. Критерии информационной безопасности и поддерживающие их стандарты: состояние и тенденции. Стандарты в проектах современных информационных систем. Сборник трудов II-й Всероссийской практической конференции. Москва, 27-28 марта 2002 года..

Человеческий фактор

Многие уровни защиты имеют в своей основе программно-аппаратные средства, однако влияние "человеческого фактора" вносит в общую картину серьезные коррективы.

Уровень физической защиты

Требования физической защиты являются базовыми и первоочередными для внедрения.

Имея физический доступ к оборудованию, злоумышленник может легко обойти последующие уровни защиты. Для доступа могут использоваться телефоны компании или карманные устройства. Особо уязвимыми с точки зрения утечки важной информации являются портативные компьютеры, которые могут находиться за пределами корпорации.

В некоторых случаях фактор доступа нацелен на нанесение вреда. Однако при наличии физического доступа можно устанавливать программные средства контроля и мониторинга за особо важной корпоративной информацией, которые будут накапливать ее в течение длительного времени.

Для обеспечения безопасности уровня физической защиты можно использовать любые доступные средства, которые позволит бюджет компании. Элементы защиты должны охватывать все компоненты ИТ-инфраструктуры. Например, инженер сервисной службы заменил вышедший из строя дисковый массив уровня RAID1, содержавший важные данные пользователей корпорации. После этого диск может быть отправлен в сервисный центр, где его можно восстановить и получить доступ к данным. В таком случае уровень физической защиты корпорации можно считать скомпрометированным.

Первым шагом в обеспечении надежного уровня защиты является физическое разнесение серверной и пользовательской инфраструктуры. Обязательным при этом становится наличие отдельного, надежно закрытого помещения, с процедурами жесткого контроля доступа и мониторинга. Наличие персонифицированного доступа на основе магнитных карт или биометрических устройств резко уменьшает шансы злоумышленника. Серверная комната должна быть оснащена автоматическими системами пожаротушения и климат-контроля. Доступ можно дополнительно контролировать с помощью системы видеонаблюдения с возможностью записи событий.

Удаленный доступ к консолям серверов также подлежит тщательному контролю. Имеет смысл выделять административную группу в отдельный физический сегмент сети с постоянным мониторингом доступа и на сетевом уровне управляемых коммутаторов и хостов, и на логическом уровне персональной идентификации.

Последующие меры по обеспечению полного спектра физической защиты должны быть направлены на удаление и изъятие устройств ввода (приводов флоппи- и компакт-дисков) из тех компьютеров, где в них нет необходимости. Если это невозможно, обязательно следует использовать программные средства блокировки доступа к съемным носителям. В конечном итоге следует обеспечить гарантию физической защиты активного сетевого оборудования (коммутаторы, маршрутизаторы) в специальных шкафах с контролем доступа. Кроме этого, необходимо обеспечить коммутацию только тех устройств и розеток, которые действительно необходимы. Лапонина О.Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия Интернет-университет информационных технологий - ИНТУИТ.ру, 2005 .-с.113

Воздействие при физическом доступе

Просмотр, изменение, удаление файлов

Установка вредоносного программного кода

Порча оборудования

Демонтаж оборудования

Безопасность периметра

Периметр информационной системы является той частью сетевой инфраструктуры, которая наиболее открыта для атак извне. В периметр входят подключения к:

* интернету

* филиалам

* сетям партнеров

* мобильным пользователям

* беспроводным сетям

* интернет-приложениям.

Важно рассматривать безопасность данного уровня в целом, а не только для конкретного направления. Возможные направления атак через периметр:

* на сеть организации

* на мобильных пользователей

* со стороны партнеров

* со стороны филиалов

* на сервисы интернета

* из интернета Лапонина О.Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия Интернет-университет информационных технологий - ИНТУИТ.ру, 2005 .

Традиционно считается, что наиболее уязвимым является направление из интернета, однако угроза из других направлений не менее существенна. Важно, чтобы все входы и выходы в (из) вашей сети были надежно защищены. Нельзя быть уверенным в отношении мер защиты в сетевых инфраструктурах бизнес-партнеров или филиалов, поэтому данному направлению также следует уделить пристальное внимание.

Обеспечение безопасности периметра достигается, прежде всего, использованием межсетевых экранов. Их конфигурация, как правило, технически достаточно сложна и требует высокой квалификации обслуживающего персонала, а также тщательного документирования настроек. Современные операционные системы позволяют легко блокировать неиспользуемые порты, чтобы уменьшить вероятность атаки.

Трансляция сетевых адресов (NAT) позволяет организации замаскировать внутренние порты. При передаче информации через незащищенные каналы надо использовать методы построения виртуальных частных сетей (VPN) на основе шифрования и туннелирования.

Угрозы и защита локальной сети

Атаки могут производиться не только из внешних источников. По статистике, очень большой процент удачных атак принадлежит вторжениям изнутри сетевой среды. Очень важно построить внутреннюю сетевую безопасность, чтобы остановить злонамеренные и случайные угрозы. Неконтролируемый доступ к внутренней сетевой инфраструктуре позволяет атакующему получить возможность доступа к важным данным корпорации, контролировать сетевой трафик. Полностью маршрутизируемые сети позволяют злоумышленнику получить доступ к любому ресурсу из любого сегмента сети. Сетевые операционные системы имеют множество установленных сетевых сервисов, каждый из которых может стать объектом атаки. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. - СПб.: Питер, 2001. - 672 с.: ил. (С.36-61. Раздел 1.2. Основные проблемы построения компьютерных сетей).

Для защиты внутреннего сетевого окружения надо обеспечить механизмы надежной аутентификации пользователей в глобальной службе каталогов (едином центре входа). Взаимная аутентификация на уровне сервера и сетевой рабочей станции значительно поднимает качество сетевой безопасности. Современные требования подразумевают наличие управляемой коммутируемой сетевой среды и разделение на логические сегменты (VLAN). Для администрирования удаленных устройств надо всегда использовать подключение по защищенному протоколу (например SSH). Трафик Telnet-подключений может быть легко перехвачен, а имена и пароли передаются в открытом виде. Максимум внимания - защите резервных копий конфигураций сетевых устройств, - они могут многое рассказать о топологии сети злоумышленнику.

Рисунок 1.3. Угрозы локальной сети

Защищать сетевой трафик следует даже после проведения сегментации сети. И для проводных, и для беспроводных подключений можно использовать протокол 802.1X, чтобы обеспечить зашифрованный и аутентифицированный доступ. Это решение может использовать учетные записи и пароли в глобальной службе каталогов (Microsoft Active Directory, Novell e-Directory и т. п.) либо цифровые сертификаты. Технология цифровых сертификатов обеспечивает очень высокий уровень защиты сетевого транспорта, однако требует развертывания инфраструктуры публичных ключей (Public Key Infrastructure) в виде сервера и хранилища сертификатов.

Внедрение технологий шифрования и цифровых подписей типа IPSec или Server Message Block (SMB) Signing воспрепятствует перехвату сетевого трафика и его анализу.

Защита локальной сети

Взаимная аутентификация пользователей и сетевых ресурсов

Сегментация локальной сети

Шифрование сетевого трафика

Блокировка неиспользуемых портов

Контроль доступа к сетевым устройствам

Цифровая подпись сетевых пакетов

Компрометация и защита компьютеров Прокофьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы компьютерной безопасности.- Москва, МИФИ, 1998.-с.84

Компьютерные системы в сетевой среде выполняют некоторые задачи, которые и определяют требования защиты. Сетевые хосты могут подвергаться нападению, поскольку они является публично доступными. Злоумышленники могут распространять вредоносный код (вирусы) для осуществления распределенной атаки. Установленное на рабочих станциях и серверах программное обеспечение может иметь уязвимости в программ-ном коде, поэтому своевременная установка обновлений - один из важных шагов в общей концепции защиты.

Настройки политики защиты уровня компьютера необходимо обеспечивать и контролировать централизованно, например, с помощью групповой политики (Group Policy). Защита серверных систем на этом уровне будет включать в себя установку атрибутов безопасности для файловых систем, политики аудита, фильтрации портов и других мер в зависимости от роли и назначения сервера.

Наличие всех доступных обновлений для операционной системы и программного обеспечения кардинально улучшает общий уровень обеспечения безопасности. Можно использовать любые способы автоматической установки и контроля обновлений, от самых простых - Windows Update, Software Update Service (SUS), Windows Update Service (WUS) до наиболее сложных и мощных - Systems Management Server (SMS).

Использование антивирусного пакета с актуальными обновлениями, персональных брандмауэров с фильтрацией портов позволит резко сократить шансы на атаку.

Защита компьютеров:

Взаимная аутентификация пользователей, серверов и рабочих станций

Защита операционной системы

Установка обновлений безопасности

Аудит успешных и неуспешных событий

Отключение неиспользуемых сервисов

Установка и обновление антивирусных систем

Защита приложений Прокофьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы компьютерной безопасности.- Москва, МИФИ, 1998.-с.93

Сетевые приложения дают возможность пользователям получать доступ к данным и оперировать ими. Сетевое приложение - это точка доступа к серверу, где это приложение выполняется. В этом случае приложение обеспечивает определенный уровень сетевого сервиса, который должен быть устойчив к атакам злоумышленников. Следует провести тщательное исследование как собственных разработок, так и используемых коммерческих продуктов на наличие уязвимостей. Целью атаки может быть и разрушение кода приложения (как следствие - его недоступность), и исполнение вредоносного кода. Нападавший также может применить тактику распределенной атаки, направленной на перегрузку производительности приложения. Результатом может стать отказ в облуживании (Denial of Service).

Приложение также может быть использовано в непредусмотренных задачах, например маршрутизация почтовых сообщений (открытый почтовый релей). Приложения должны быть установлены и настроены только с необходимым уровнем функциональности и сервиса, а работу программного кода можно контролировать системами мониторинга и антивирусными пакетами. Чтобы уменьшить уровень угроз, выполнение приложения следует ограничить минимальными сетевыми привилегиями.

Копрометация и защита приложений:

Использование только необходимых служб и функций приложений

Настройка параметров защиты приложений

Установка обновлений безопасности

Запуск приложений в контексте с минимальными привилегиями

Установка и обновление антивирусных систем

Защита данных

Финальный уровень - это защита данных, которые могут располагаться и на серверных хостах, и на локальных. На этом уровне следует защитить информацию, используя современные файловые системы с контролем атрибутов доступа на уровне томов, папок и файлов. Расширенные функции файловой системы, такие как аудит и шифрование, позволят более надежно построить систему разграничения доступа и осуществить надежную сохранность данных. Злоумышленник, получивший доступ к файловой системе, может причинить огромный ущерб в виде хищения, изменения или удаления информации. Особое внимание следует уделить файловым системам главной сетевой опорной архитектуры - глобальным службам каталогов. Похищение или удаление этой информации может иметь печальные последствия.

Например, служба каталогов Active Directorу использует для хранения своей информации файлы. По умолчанию эти файлы располагаются в известном каталоге, имя которого указывается по умолчанию при генерации контроллера домена. Изменив месторасположение данных файлов путем перенесения на другой том, можно возвести огромный барьер для атакующего.

Шифрованная файловая система является еще одним важным элементом надежного бастиона защиты. Однако следует помнить, что файлы только хранятся в зашифрованном виде, а передаются через сеть открыто. Кроме того, шифрование защищает от неправомерного чтения, а защиты от удаления оно не дает. Чтобы предотвратить несанкционированное удаление, следует использовать атрибуты доступа. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. -Москва, Радио и связь, 2002.-с.99

Поскольку данные являются основой современного бизнеса, очень важно предусмотреть процедуры резервного копирования и восстановления. Важно также обеспечить регулярность проведения этих действий. Но следует учесть, что резервные копии являются ценным источником и лакомым куском для хищения, поэтому их сохранности нужно уделить внимание на уровне безопасности серверной комнаты.

После переноса файлов на другой, например сменный, носитель атрибуты доступа теряются. Есть, правда, технология контроля доступа к цифровым документам Windows Rights Management Services (RMS), которая обеспечивает уровень защиты независимо от месторасположения документа. RMS обладает расширенными возможностями, такими как, например, возможность просмотра документа, но запрет печати или копирования содержимого, запрет пересылки содержимого письма другому адресату, если речь идет о почтовых сообщениях.

Защита данных:

Защита файлов средствами шифрующей файловой системы (EFS)

Настройка ограничений в списках контроля доступа

Система резервного копирования и восстановления

Защита на уровне документов с помощью Windows Right Management Services.

Глава 2. Проектирование политики информационной безопасности в локальной сети

В столь важной задаче, как обеспечение безопасности информационной системы, нет и не может быть полностью готового решения. Это связано с тем, что структура каждой организации, функциональные связи между ее подразделениями и отдельными сотрудниками практически никогда полностью не повторяются. Только руководство организации может определить, насколько критично нарушение безопасности для компонент информационной системы, кто, когда и для решения каких задачах может использовать те или иные информационные сервисы.

Ключевым этапом для построения надежной информационной системы является выработка политики безопасности.

Под политикой безопасности мы будем понимать совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов.

С практической точки зрения политику безопасности целесообразно разделить на три уровня:

Решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации.

Вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией.

Конкретные сервисы информационной системы.

Третий уровень включает в себя два аспекта - цели (политики безопасности) и правила их достижения, поэтому его порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, третий должен быть гораздо детальнее. У отдельных сервисов есть много свойств, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти свойства настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне. Средства вычислительной техники. Защита от несанкционированного доступа и информации. Показатели защищенности от несанкционированного доступа к информации. Руководящий документ. Гостехкомиссия России. Москва,Военное издательство, 1999.

В рассматриваемом случае существенна политика безопасности, формируемая на двух нижних уровнях. Для того, чтобы рассмотреть ее более конкретно, необходимо определить сущность и основные функциональные свойства межсетевого экрана - инструмента проведения этой политики.

Рассмотрим структуру информационной системы предприятия (организации). В общем случае она представляет собой неоднородный набор (комплекс) из различных компьютеров, управляемых различными операционными системами и сетевого оборудования, осуществляющего взаимодействие между компьютерами. Поскольку описанная система весьма разнородна (даже компьютеры одного типа и с одной ОС могут, в соответствии с их назначением, иметь совершенно различные конфигурации), вряд ли имеет смысл осуществлять защиту каждого элемента в отдельности. В связи с этим предлагается рассматривать вопросы обеспечения информационной безопасности для локальной сети в целом. Это оказывается возможным при использовании межсетевого экрана (firewall).

Концепция межсетевого экранирования формулируется следующим образом.

Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем (Рис. 2.1.) Тарасюк М.В. Защищенные информационные технологии. Проектирование и применение. -М.:Слон-пресс, 2004.-с.77.

В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует (то есть осуществляет перемещение данных).

Рис. 2.1. Экран как средство разграничения доступа.

В более общем случае экран (полупроницаемую оболочку) удобно представлять себе как последовательность фильтров. Каждый из них может задержать (не пропустить) данные, а может и сразу "перебросить" их "на другую сторону". Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат результата отправителю (Рис. 2.2.).

Рис. 2.2. Экран как последовательность фильтров. Тарасюк М.В. Защищенные информационные технологии. Проектирование и применение. М.:Слон-пресс, 2004.-с.83-

Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов.

Обычно экран не является симметричным, для него определены понятия "внутри" и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример экрана - устройство защиты порта, контролирующее доступ к коммуникационному порту компьютера до и независимо от всех прочих системных защитных средств. Экранирование позволяет поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности.

Чаще всего экран реализуют как сетевой сервис на третьем (сетевом), четвертом (транспортном) или седьмом (прикладном) уровнях семиуровневой эталонной модели OSI. В первом случае мы имеем экранирующий маршрутизатор, во втором - экранирующий транспорт, в третьем - экранирующий шлюз. Каждый подход имеют свои достоинства и недостатки; известны также гибридные экраны, где делается попытка объединить лучшие качества упомянутых подходов.

Экранирующий маршрутизатор имеет дело с отдельными пакетами данных, поэтому иногда его называют пакетным фильтром. Решения о том, пропустить или задержать данные, принимаются для каждого пакета независимо, на основании анализа полей заголовков сетевого и (быть может) транспортного уровней, путем применения заранее заданной системы правил. Еще один важный компонент анализируемой информации - порт, через который пакет поступил в маршрутизатор.