межсетевые экраны и требования к ним.


перейти к полному списку дипломных проектов

Ссылка на скачивания файла в формате .doc находится в конце странички

межсетевые экраны и требования к ним.

Проблема межсетевого экранирования формулируется следующим образом. Пусть имеется две информационные системы или два множества информационных систем. Экран (firewall) - это средство разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве.

Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем, работая как некоторая “информационная мембрана”. В этом смысле экран можно представлять себе как набор фильтров, анализирующих проходящую через них информацию и, на основе заложенных в них алгоритмов, принимающих решение: пропустить ли эту информацию или отказать в ее пересылке. Кроме того, такая система может выполнять регистрацию событий, связанных с процессами разграничения доступа. в частности, фиксировать все “незаконные” попытки доступа к информации и, дополнительно, сигнализировать о ситуациях, требующих немедленной реакции, то есть поднимать тревогу.

Рассмотрим требования к реальной системе, осуществляющей межсетевое экранирование. В большинстве случаев экранирующая система должна:

Обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;

Обладать мощными и гибкими средствами управления для полного и, насколько возможно, простого воплощения в жизнь политики безопасности организации. Кроме того, экранирующая система должна обеспечивать простую реконфигурацию системы при изменении структуры сети;

Работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий;

Работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в "пиковых" режимах. Это необходимо для того, чтобы firewall нельзя было, образно говоря, "забросать" большим количеством вызовов, которые привели бы к нарушению работы;

Обладать свойствами самозащиты от любых несанкционированных воздействий, поскольку межсетевой экран является ключом к конфиденциальной информации в организации;

Если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики безопасности;

Иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна надежно распознавать таких пользователей и предоставлять им необходимый виды доступа.

При конфигурировании межсетевых экранов основные конструктивные решения заранее задаются политикой безопасности, принятой в организации. В описываемом случае необходимо рассмотреть два аспекта политики безопасности: политику доступа к сетевым сервисам и политику межсетевого экрана При формировании политики доступа к сетевым сервисам должны быть сформулированы правила доступа пользователей к различным сервисам, используемым в организации. Этот аспект, таким образом состоит из двух компонент. База правил для пользователей описывает когда, какой пользователь (группа пользователей) каким сервисом и на каком компьютере может воспользоваться. Отдельно определяются условия работы пользователей вне локальной сети организации равно как и условия их аутентификации. База правил для сервисов описывает набор сервисов, проходящих через сетевой экран, а также допустимые адреса клиентов серверов для каждого сервиса (группы сервисов). В политике, регламентирующей работу межсетевого экрана, решения могут быть приняты как в пользу безопасности в ущерб легкости использования, так и наоборот. Есть два основных:

Все, что не разрешено, то запрещено.

Все, что не запрещено, то разрешено.

В первом случае межсетевой экран должен быть сконфигурирован таким образом, чтобы блокировать все, а его работа должна быть упорядочена на основе тщательного анализа опасности и риска. Это напрямую отражается на пользователях и они, вообще говоря, могут рассматривать экран просто как помеху. Такая ситуация заставляет накладывать повышенные требования на производительность экранирующих систем и повышает актуальность такого свойства, как "прозрачность" работы межсетевого экрана с точки зрения пользователей. Первый подход является более безопасным, поскольку предполагается, что администратор не знает, какие сервисы или порты безопасны, и какие "дыры" могут существовать в ядре или приложении разработчика программного обеспечения. Ввиду того, что многие производители программного обеспечения не спешат публиковать обнаруженные недостатки, существенные для информационной безопасности (что характерно для производителей так называемого "закрытого" программного обеспечения, крупнейшим из которых является Microsoft), этот подход является, несомненно, более консервативным. В сущности, он является признанием факта, что незнание может причинить вред. Во втором случае, системный администратор работает в режиме реагирования, предсказывая, какие действия, отрицательно воздействующие на безопасность, могут совершить пользователи либо нарушители, и готовит защиту против таких действий. Это существенно восстанавливает администратора firewall против пользователей в бесконечных "гонках вооружений", которые могут оказаться весьма изматывающими. Пользователь может нарушить безопасность информационной системы, если не будет уверен в необходимости мер, направленных на обеспечение безопасности

Но в любом случае хорошо сконфигуированный межсетевой экран в состоянии остановить большинство известных компьютерных атак.

скачать бесплатно ПРИНЦИПЫ ЗАЩИТЫ ЭЛЕКТРОННОЙ ИНФОРМАЦИИ

Содержание дипломной работы

6.7.1. Квалификация администратора брандмауэра
ИНИСТЕРСТВО ОБЩЕГО И ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
СОДЕРЖАНИЕ
ВВЕДЕНИЕ
МЕРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ.
АППАРАТНЫЕ СРЕДСТВА ЗАЩИТЫ.
защита от сбоев в электропитании
защита от сбоев процессоров
защита от сбоев устройств для хранения информации.
защита от утечек информации электромагнитных излучений.
ПРОГРАММНЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
Средства архивации информации.
Антивирусные программы.
Файловые вирусы
Загрузочные вирусы
Макро-вирусы
Сетевые вирусы
Троянские кони (логические бомбы или временные бомбы)
Методы обнаружения и удаления компьютерных вирусов.
Профилактика заражения компьютера
Восстановление пораженных объектов
Классификация антивирусных программ.
Сканеры
CRC-сканеры
Блокировщики
Иммунизаторы
Перспективы борьбы с вирусами.
Криптографические методы защиты
Требования к криптосистемам.
Симметричные криптосистемы 
Системы с открытым ключом
Электронная подпись.
Управление ключами.
Генерация ключей.
Накопление ключей.
Распределение ключей.
Реализация криптографических методов.
Идентификация и аутентификация
Управление доступом
Протоколирование и аудит
БЕЗОПАСНОСТЬ БАЗ ДАННЫХ
Управление доступом в базах данных
Управление целостностью данных
Управление параллелизмом
Восстановление данных
Транзакция и восстановление
Откат и раскрутка транзакции
ЗАЩИТА ИНФОРМАЦИИ ПРИ РАБОТЕ В СЕТЯХ
межсетевые экраны и требования к ним.
Использование электронной почты
ЗАКЛЮЧЕНИЕ.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ.

заработать

Закачай файл и получай деньги