Устанавливается пять классов защищенности МЭ.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.
При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться.
Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.
Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:
§ при обработке информации с грифом "секретно" - не ниже 3 класса;
§ при обработке информации с грифом "совершенно секретно" - не ниже 2 класса;
§ при обработке информации с грифом "особой важности" - не ниже 1 класса.
Перечень показателей по классам защищенности МЭ приведен в таблице 1.
|
|
Обозначения:
«-» - нет требований к данному классу;
«+» - новые или дополнительные требования,
«=» - требования совпадают с требованиями к МЭ предыдущего класса.
Таблица 1. Показатели защищенности для МЭ.
Показатели защищенности | Классы защищенности | ||||
5 | 4 | 3 | 2 | 1 | |
Управление доступом (фильтрация данных и трансляция адресов) | + | + | + | + | = |
Идентификация и аутентификация | - | - | + | = | + |
Регистрация | - | + | + | + | = |
Администрирование: идентификация и аутентификация | + | = | + | + | + |
Администрирование: регистрация | + | + | + | = | = |
Администрирование: простота использования | - | - | + | = | + |
Целостность | + | = | + | + | + |
Восстановление | + | = | = | + | = |
Тестирование | + | + | + | + | + |
Руководство администратора защиты | + | = | = | = | = |
Тестовая документация | + | + | + | + | + |
Конструкторская (проектная) документация | + | = | + | = | + |
В общем случае для обеспечения сетевой защиты между двумя множествами информационных систем ставится экран, который является средством разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве. В этом смысле межсетевые экраны можно представить как набор фильтров, анализирующих проходящую через них информацию и принимающих решение: пропустить информацию или ее заблокировать. Одновременно с этим производится регистрация событий и тревожная сигнализация в случае обнаружения угрозы. Для экранов определяются понятия "внутри" и "снаружи", причем в задачу экрана входит защита внутренней сети от потенциального враждебного окружения. Межсетевой экран может использоваться в качестве корпоративной открытой части сети, видимой со стороны Интернета. Так, например, во многих организациях межсетевые экраны используются для хранения данных с открытым доступом, как, например, информация о продуктах и услугах, файлах из баз, сообщений об ошибках и т.д.
|
|
Основные требования, предъявляемые к межсетевым экранам
1. Основное требование - обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.
2. Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного проведения в жизнь политики безопасности организации.
3. Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.
4. Процессор межсетевого экрана должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтобы его нельзя было блокировать большим количеством вызовов и нарушить его работу.
5. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.
6. Система управления экранами должна иметь возможность централизованно обеспечивать проведение для удаленных филиалов единой политики безопасности.
7. Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения, что является необходимым в случаях работы сотрудников организации в командировках.
В результате конкуренции среди производителей межсетевых экранов и их попыток усовершенствовать свой продукт брандмауэры наделялись новыми свойствами. Поскольку межсетевой экран служит как бы воротами во внешний мир, он должен выполнять множество задач, в том числе и не связанных с обеспечением безопасности.