2015-07-03
1441
К основным функциональным требованиям относятся следующие.
1. Многоуровневость СОБ, предусматривающая наличие нескольких рубежей защиты, реализованных в разных точках сети.
2.Распределенность средств защиты по разным элементам сети с обеспечением автономного управления каждым из этих средств.
3.Разнородность или разнотипность применяемых средств защиты. Предпочтение должно отдаваться аппаратным средствам, так как они не поддаются прямому воздействию из внешней сети. Однако на разных уровнях защиты должны использоваться и программные средства. Требование разнотипности относится и к использованию различных механизмов защиты: нельзя ограничиваться, например, одной криптографической защитой или построением сверхзащищенной технологии аутентификации, необходимо реализовать и другие механизмы защиты.
4. Уникальность защиты, являющаяся ее краеугольным камнем. Степень защищенности КВС можно оценить сложностью и, главное, оригинальностью алгоритма защиты, деленному на количество реализаций такого алгоритма.и на время его использования. Это означает, что с течением времени любой механизм защиты будет вскрыт, особенно если он многократно тиражирован, т.е. представлен для исследования большому количеству хакеров. Следовательно, предпочтение следует отдать собственному механизму защиты, уникальность которого ослабит интерес со стороны хакеров, поскольку их в гораздо большей степени привлекают массовые, типовые решения (для них можно создать стандартные средства вскрытия, допускающие тиражирование).
|
|
|
5. Непрерывность развития СОБ, т.е. постоянное наращивание возможностей и модификация системы защиты с течением времени. Развитие должно быть заложено в самом механизме защиты. Разработка СОБ — это не одноразовое действие, а постоянный процесс.
6. Распределение полномочий, в соответствии с которым ни один человек персонально не имеет доступ ко всем возможностям системы. Такие возможности открываются только группе уполномоченных лиц. Один из аспектов этого требования заключается в том, что сменный дежурный администратор сети не может обладать теми же полномочиями по конфигурированию системы защиты, которыми обладает администратор по управлению безопасностью сети.
7. Прозрачность и простота средств защиты. Это требование трудно реализовать на практике, оно достаточно противоречиво. Для эксплуатации СОБ лучше иметь много простых и понятных средств, чем одно сложное и трудновоспринимаемое средство. Однако для защиты от хакеров предпочтительными могут оказаться сложные и «непрозрачные» решения.
|
|
|
8. Физическое разделение (подключение к различным связным ресурсам) серверов и рабочих мест, т.е. организация подсетей рабочих мест и серверов.
9. Обеспечение предотвращения несанкционированного доступа к информационным ресурсам КВС со стороны внутренних и внешних недоброжелателей. Для этого следует предусмотреть такие мероприятия:
• снабдить КВС межсетевыми средствами защиты от несанкционированного доступа, которые должны обеспечить сокрытие структуры защищаемых объектов, в частности IP-адресов (шифрование этих адресов недопустимо при использовании средств коммутации ТСС общего пользования);
• обеспечить закрытие и несовместимость протоколов верхних уровней (5-го и 7-го уровней модели ВОС) с протоколами телекоммуникационных служб Internetпри установлении соединения и открытие при обмене информацией;
• обеспечить защиту от возможной подмены алгоритма взаимодействия клиента с сервером при установлении соединения между ними;
• исключить сервер Internet(коммуникационный сервер доступа кInternet) из подсети функциональных серверов КВС; он должен иметь собственную группу рабочих станций, исключенных из подсети функциональных рабочих мест КВС.
10. Организация централизованной службы административного управления сети, включающей службы управления: эффективностью функционирования; конфигурацией и именами; учетными данными; при отказах и сбоях. Создание единого центра управления сетью связи (ЦУС).
11. Организация централизованной службы административного управления безопасностью сети, обеспечивающая высокий уровень защищенности КВС. Создание выделенного центра управления безо-
пасностью (ЦУБ) сети, основные функции которого: сбор информации о зарегистрированных нарушениях, ее обработка и анализ с целью удаленного управления всеми техническими средствами защиты информации. Функции ЦУБ и ЦУС не должны быть совмещены на одном рабочем месте администратора сети, хотя они и являются службами сетевого управления. Необходимо предусмотреть алгоритм взаимодействия между ними, с тем чтобы предотвратить принятие прямо противоположных решений, принимаемых администраторами для управления и защиты ВКС в процессе ее функционирования.
Ориентация на эти требования и их реализация обеспечивают безопасность информации в КВС, т.е. создают такие условия ввода-вывода, хранения, обработки и передачи, при которых гарантируется достаточная степень защиты от утечки, модификации и утраты, а также свободный доступ к данным только их владельца и его доверенных лиц. Удовлетворение перечисленных требований позволяет формировать систему обеспечения безопасности корпоративной сети, которая представляет собой совокупность правил, методов и аппаратно-программных средств, создаваемых при ее проектировании, непрерывно совершенствуемых и поддерживаемых в процессе эксплуатации для предупреждения нарушений нормального функционирования при проявлении случайных факторов или умышленных действий, когда возможно нанесение ущерба пользователям путем отказа в обслуживании, раскрытия или модификации защищаемых процессов, данных или технических средств.
Количественная оценка прочности защиты (вероятности ее преодоления) может осуществляться с помощью временного фактора. Если время контроля и передачи сообщения в ЦУБ о несанкционированном доступе меньше ожидаемого времени, затрачиваемого нарушителем на преодоление средств защиты и блокировки доступа к информации, то вероятность преодоления этих средств приближается к единице, в противном случае прочность защиты выше. Средства защиты обеспечивают приемлемую прочность, если ожидаемые затраты времени на их преодоление будут больше времени жизни информации, подлежащей защите.
