Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим...
Состав сооружений: решетки и песколовки: Решетки – это первое устройство в схеме очистных сооружений. Они представляют...
Топ:
Отражение на счетах бухгалтерского учета процесса приобретения: Процесс заготовления представляет систему экономических событий, включающих приобретение организацией у поставщиков сырья...
Оснащения врачебно-сестринской бригады.
Когда производится ограждение поезда, остановившегося на перегоне: Во всех случаях немедленно должно быть ограждено место препятствия для движения поездов на смежном пути двухпутного...
Интересное:
Финансовый рынок и его значение в управлении денежными потоками на современном этапе: любому предприятию для расширения производства и увеличения прибыли нужны...
Берегоукрепление оползневых склонов: На прибрежных склонах основной причиной развития оползневых процессов является подмыв водами рек естественных склонов...
Инженерная защита территорий, зданий и сооружений от опасных геологических процессов: Изучение оползневых явлений, оценка устойчивости склонов и проектирование противооползневых сооружений — актуальнейшие задачи, стоящие перед отечественными...
Дисциплины:
2022-10-10 | 19 |
5.00
из
|
Заказать работу |
|
|
Приведемдалеенескольковыдержекизметодическогодокумента
«Профильзащитымежсетевыхэкрановтипа«Д»шестогоклассазащитыИТ.МЭ.Д6.ПЗ».
Согласно Профилю ИТ.МЭ.Д6.ПЗ МЭ типа «Д» шестого класса защи-ты — это «программное или программно-техническое средство, реализу-ющее функции контроля и фильтрации в соответствии с заданными прави-лами проходящих через него информационных потоков и используемое вцелях обеспечения защиты (некриптографическими методами) информа-ции, содержащей сведения, составляющие государственную тайну, и инойинформацииограниченногодоступа».
МЭ «должен обеспечивать нейтрализацию следующих угроз безопас-ностиинформации:
- несанкционированный доступ к информации, содержащейся в ав-томатизированнойсистемеуправления;
- отказ в обслуживании автоматизированной системы управления и(или)ееотдельныхкомпонентов;
- несанкционированная передача информации из автоматизирован-ной системы управления в информационно-телекоммуникационные сетиилииные информационные системы;
- несанкционированное воздействие на МЭ, целью которого являетсянарушение его функционирования, включая преодоление или обход егофункцийбезопасности».
Отмечается, что в МЭ не должно содержаться программ, не выполня-ющихфункций безопасности или не предназначенных дляобеспеченияфункционированияМЭ(стороннихпрограмм).Далееперечисляютсяфункциибезопасности,которые должныбытьреализованыМЭ:
- контрольифильтрация;
- идентификацияиаутентификация;
- регистрациясобытийбезопасности(аудит);
- обеспечениебесперебойногофункционированияивосстановление;
- управление(администрирование).
Приводятсятакжетребованияксреде,вкоторойфункционируетМЭ.ВнейдолжныбытьреализованыследующиефункциибезопасностиМЭ:
|
- исключениеканаловсвязивобходправилфильтрации;
- обеспечениедоверенногоканала;
- обеспечениедоверенногомаршрута;
- физическаязащита;
- обеспечениебезопасногофункционирования;
- обеспечениевзаимодействияссертифицированнымисредствамизащитыинформации.
Функции безопасности МЭ должны обладать функциональными воз-можностями(функциональнымитребованиямибезопасности),которыеобеспечиваютреализациюэтихтребований.
В ПЗ перечислены следующие виды требований безопасности, предъ-являемыек МЭМЭ:
- функциональныетребованиябезопасностиМЭ;
- требованиядовериякбезопасностиМЭ.
ФункциональныетребованиябезопасностиМЭ,изложенныевПЗ,включают:
- требованиякуправлениюпотокамиинформации;
- требованиякидентификациииаутентификациисубъектовмежсе-тевого взаимодействия;
- требованиякрегистрациисобытийбезопасности(аудиту);
- требованиякобеспечениюбесперебойногофункционированияМЭивосстановлению;
- требованиякуправлениюМЭ.
Составфункциональныхтребованийбезопасности,включенныхвПЗ,обеспечиваетследующиефункциональныевозможностиМЭтипа«Д»МЭ:
- возможность осуществлять фильтрацию сетевого трафика для от-правителей информации, получателей информации (в том числе исполни-тельных устройств) и всех операций передачи контролируемой МЭ ин-формациикузламавтоматизированнойсистемы управленияиотних;
- возможность обеспечения фильтрации для всех операций переме-щения через МЭ информации к узлам автоматизированной системы управ-ленияи отних;
- возможность осуществлять фильтрацию, основанную на следую-щихтипахатрибутовбезопасностисубъектов:сетевойадресузлаотправи-
теля, сетевой адрес узла получателя, сетевой протокол, который использу-етсядля взаимодействия;
- возможность явно разрешать информационный поток, базируясь наустанавливаемых администратором МЭ наборе правил фильтрации, осно-ванномна идентифицированныхатрибутах;
|
- возможность явно запрещать информационный поток, базируясь наустанавливаемых администратором МЭ наборе правил фильтрации, осно-ванномна идентифицированныхатрибутах;
- возможность регистрации и учета выполнения проверок информа-циисетевоготрафика;
- возможность читать информацию из записей аудита уполномочен-нымадминистраторам;
- возможностьвыборасовокупностисобытий,подвергающихсяаудиту, из совокупности событий, в отношении которых возможно осу-ществлениеаудита;
- возможность оповещения уполномоченных лиц о критичных видахсобытий безопасности, в том числе сигнализация о попытках нарушенияправилмежсетевогоэкранирования;
- возможность регистрации возникновения событий, которые в соот-ветствииснациональнымстандартомРоссийскойФедерацииГОСТРИСО/МЭК 15408-2-2013 «Информационная технология. Методы и сред-ства обеспечения безопасности. Критерии оценки безопасности информа-ционных технологий. Часть 2. Функциональные компоненты безопасно-сти» включены вминимальный уровеньаудита;
- возможность (для предусмотренных сценариев функционирования)выполнения определенных действий по управлению МЭ без прохожденияпроцедурыидентификации;
- возможность идентификации администратора МЭ до разрешениядействий (по администрированию), выполняемого при посредничестве МЭотимени этогоадминистратора;
- возможность (для предусмотренных сценариев функционирования)выполнения определенных действий по управлению МЭ без прохожденияпроцедурыаутентификации;
- возможность аутентификации администратора МЭ до разрешениядействий (по администрированию), выполняемого при посредничестве МЭотимени этогоадминистратора;
- поддержкаопределенныхролейпоуправлениюМЭ;
- возможностьсостороныадминистраторовМЭуправлятьрежимомвыполненияфункций безопасности МЭ;
- возможностьсостороныадминистраторовМЭуправлятьданнымиМЭ,используемыми функциямибезопасности МЭ;
- возможностьсостороныадминистраторовМЭуправлятьатрибу-тамибезопасности;
- возможность обеспечения перехода в режим аварийной поддержки,которыйпредоставляетвозможностьвозвратаМЭкштатномурежимуфункционирования.
Существенным отличием профилей защиты МЭ класса 6 от профилейзащиты более высоких классов является отсутствие описания угроз без-опасности, которые должен нейтрализовывать МЭ, требований к политикебезопасности и перечня предположений безопасности. Например, требова-ния к политике безопасности сформулированы в виде набора правил ипредположений.
|
Политика безопасности- 1. Должно обеспечиваться блокирование пе-редачи защищаемой информации, сетевых запросов и трафика, несанкцио-нированно исходящих из информационной системы и (или) входящих винформационнуюсистему,путемфильтрацииинформационныхпотоков.
Политикабезопасности- 2. Должно осуществлятьсяприсвоение ин-формациисостояниясоединениятолько допустимых значений.
Политикабезопасности- 3.Должнаобеспечиватьсяинтерпретацияуправляющих сигналов от средств защиты информации и блокированиесоответствующего трафика.
Политикабезопасности- 4.Должноосуществлятьсяразграничениедоступа к управлению МЭ и параметрами МЭ на основе ролей уполномо-ченных лиц.
Политикабезопасности- 5.Должнаобеспечиватьсявозможностьуправления работой МЭ и параметрами МЭ со стороны администраторовМЭ.
Политика безопасности- 6. Должны обеспечиваться идентификация иаутентификацияадминистраторовМЭ.
Политика безопасности- 7. Должны обеспечиваться механизмы реги-страциивозможныхнарушенийбезопасности.
Политикабезопасности- 8.Должныобеспечиватьсяустановкабез-опасногосостоянияфункцийбезопасностиобъектаилипредотвращениеих перехода в опасное состояние после сбоев, прерывания функциониро-ванияилиперезапуска.
Политика безопасности- 9. Должно осуществляться ведение отдель-ных профилей проверок для типовых мест расположения узла информаци-оннойсистемы сустановленным МЭ.
Политикабезопасности- 10.Должнаосуществлятьсявыдачапреду-преждающихсообщенийпользователюобобнаружениивозможногонарушения безопасности и предоставлять пользователю возможность осу-ществить определенные действия при обнаружении возможного наруше-ниябезопасности.
Предположение безопасности- 1. Должна обеспечиваться физическаязащитасредствавычислительнойтехники,накоторомфункционируетМЭ.
Предположение безопасности- 2. Должно обеспечиваться исключениеканалов связи защищаемой информационной системы с иными информа-ционнымисистемами вобходМЭ.
|
Предположение безопасности- 3. Должен обеспечиваться доверенныйканал передачи данных между защищаемой информационной системой иМЭ, а также между МЭ и терминалом, с которого выполняется его управ-ление.
Предположение безопасности- 4. Должен обеспечиваться доверенныймаршрутмеждуМЭи администраторами МЭ.
Предположение безопасности- 5. Должно обеспечиваться взаимодей-ствие МЭ с сертифицированными на соответствие требованиям безопасно-сти информации по соответствующему классу защиты средствами защитыинформации (системами обнаружения вторжений, средствами антивирус-нойзащитыидругими),откоторыхМЭполучаетуправляющиесигналы.
Предположениебезопасности- 6.Должныбытьобеспеченысовме-стимость компонентов МЭ с компонентами средств вычислительной тех-ники информационной системы, а также необходимые ресурсы для выпол-нения функций безопасности МЭ (в том числе изоляция данных и процес-сов МЭ от иных данных и процессов средства вычислительной техники, накоторомон функционирует).
Предположение безопасности- 7. Должно быть обеспечено функцио-нирование МЭ в среде сертифицированной на соответствие требованиямбезопасности информации по соответствующему классу защиты операци-онной системы или в среде, защищенной путем принятия мер защиты ин-формации, соответствующих классу защищенности информационной си-стемы (автоматизированной системы управления), для использования в ко-торойпредназначается МЭ.
Предположение безопасности- 8. Должны быть обеспечены тестиро-вание и контроль целостности аппаратных средств, а также программногообеспечения базовой системы ввода-вывода, загрузчика и операционнойсистемы МЭ или средства вычислительной техники, на котором он функ-ционирует.
Предположение безопасности- 9. Персонал, ответственный за функ-ционирование ОО, должен обеспечивать установку, настройку и эксплуа-тацию МЭ в соответствии с правилами по безопасной настройке и руко-водствомпользователя(администратора).
Сделаем некоторые замечания относительно определения типа и клас-саконкретногоМЭ.Рассмотрим,например,встроенныйвLinuxМЭNetfilter.СуществуютотдельныесертифицированныеОСспециальногоназначения,основанныенадистрибутивахОСLinux,например,AstraLinux SE, «Заря», МСВС, но входящие в их состав МЭ отдельно не серти-фицированы.ДистрибутивыОСLinux,используемыенаобычныхрабочих
местах (не используемые в ГИС, ИСПДн и так далее), не проходят серти-фикацию ФСТЭК. Соответственно, встроенный в них МЭ не является сер-тифицированным. Теоретически (согласно представленным выше требова-ниям)МЭNetfilterмогбыбытьотнесенктипуВ(есликомпьютерсОСLinuxрассматриватькак узелинформационной системы).
|
Вопросыкразделу5
1. Охарактеризуйтенормативнуюбазу,определяющуютребованиякмежсетевымэкранам вРоссийской Федерации.
2. Чтоучитывалосьвновыхтребованияхпомежсетевымэкранам?
3. Какклассызащитымежсетевыхэкрановсоотносятсясклассамизащищенностиинформационныхсистем?
4. Чтотакоепрофилизащиты?Охарактеризуйтеих.
5. Какиетребованиявыдвигаютсяксреде,вкоторойфункционируетмежсетевойэкран?
6. ПеречислитеосновныетребованияФСТЭКкмежсетевымэкранам.
7. Какиеугрозыдолженнейтрализовыватьмежсетевойэкрантипа
«Д» шестого классазащиты?
Заключение
Правильная настройка межсетевого экрана является важным шагом впостроениинадежнойибезопаснойIT-инфраструктуры. Пониманиеос-новных принципов фильтрации трафика и отслеживания соединений сете-вой подсистемой ОС позволяет специалисту по информационной безопас-ности обнаруживать потенциальные уязвимости и своевременно устранятьвозможность реализации атак. В настоящем пособии указанные принципырассмотрены на примере системы Netfilter ядра ОС Linux как наиболее по-пулярногорешения в различныхприкладных областяхвычислительныхсистеми сетей связи.
Многие вопросы, имеющие отношение к Netfilter, но требующие бо-лее глубокого погружения в предмет, не были рассмотрены в настоящемпособии. К их числу относятся, прежде всего, специфичные для IPv6 иредкоприменяемыхтранспортныхпротоколов(DCCP,SCTP)критериифильтрации пакетов, использование BPF, возможность связи правил с под-системой cgroup, особенности настройки правил для протоколов туннели-рования (таких как IPSec, GRE и других), поддержка прозрачного прокси-рования и сбора статистики соединений. Также не были рассмотрены во-просы ограничения скорости соединений, которые в большинстве систем,использующих ядро Linux, решаются с помощью системы Netfilter: осо-бенности организации шейпинга и полисинга, отличия дисциплин очере-дей пакетов и т.д. Читателю предлагается самостоятельно ознакомиться сэтимивопросами.
Система Netfilter и ядро ОС Linux постепенно развиваются и совер-шенствуются для того, чтобы адекватно решать новые проблемы и слу-житьнадежнымфундаментомобеспечениясетевойбезопасностивОСLinux. В то же время значительное внимание уделяется обеспечению об-ратной совместимости. C 2009 года ведется работа по замене значительнойчасти подсистем Netfilter более функциональными и производительнымиреализациями, которые доступны с ядра Linux 3.13 в виде пакета nftables.Есть основания полагать, что в ближайшее время эти разработки будутвключенывосновнуюветкуядра.
Списоклитературы
1. АлиевТ.И.СетиЭВМителекоммуникации.—СПб:СПбГУИТМО,2011. —400с.
2. Лапонина О.Р. Межсетевое экранирование. — М.: «Бином. Лаборато-риязнаний»,2007.—343с.—ISBN5-94774-603-4.
3. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, техноло-гии, протоколы / Римицан Н.А. — 5-е изд. — СПб: Изд-во «Питер»,2019.—992с.—ISBN978-5-4461-1343-9.
4. ШаньгинВ.Ф. Защита информациив компьютерныхсистемахисетях.
—М.: «ДМК-Пресс»,2012.—592 с.—ISBN978-5-94074-833-5.
5. ГОСТ Р ИСО/МЭК 15408-2-2013. Информационная технология. Ме-тодыисредстваобеспечениябезопасности.Критерииоценкибез-опасностиинформационныхтехнологий.Часть2.Функциональныекомпонентыбезопасности.
6. ГОСТ Р ИСО/МЭК 15408-3-2013. Информационная технология. Ме-тодыисредстваобеспечениябезопасности.Критерииоценкибез-опасности информационных технологий. Часть 3. Компоненты дове-рияк безопасности.
7. ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология. Мето-ды и средства обеспечения безопасности. Критерии оценки безопас-ности информационных технологий. Часть 3. Компоненты доверия кбезопасности.
8. Документы по сертификации средств защиты информации и аттеста-ции объектов информатизации по требованиям безопасности инфор-мации.—URL:https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty.
9. Информационное сообщение «Об утверждении Требований к межсе-тевымэкранам»,№240/24/1986,28.04.2016.
10. Информационное сообщение по вопросам разработки, производства,поставкииприменениямежсетевыхэкранов,сертифицированныхФСТЭКРоссиипотребованиямбезопасностиинформации,24.03.2017.
11. Информационное сообщение ФСТЭК России «Об утверждении мето-дическихдокументов,содержащихпрофилизащитымежсетевыхэкранов»,№240/24/4278,12.09.2016.
12. Методическийдокумент«Профильзащитымежсетевыхэкрановтипа
«В»четвертогоклассазащитыИТ.МЭ.Д6.ПЗ»,12.09.2016.
13. Методическийдокумент«Профильзащитымежсетевыхэкрановтипа
«д»шестогоклассазащитыИТ.МЭ.Д6.ПЗ»,12.09.2016.
14. МетодическийдокументФСТЭК«Мерызащитыинформациивгосу-дарственныхинформационныхсистемах».
15. СОИБ.Проектирование.Новыетребованиякмежсетевымэкранам.—URL:https://www.securitylab.ru/blog/personal/sborisov/294638.php.
Будько Марина БорисовнаБудько Михаил ЮрьевичГирикАлексейВалерьевич
|
|
Типы сооружений для обработки осадков: Септиками называются сооружения, в которых одновременно происходят осветление сточной жидкости...
Типы оградительных сооружений в морском порту: По расположению оградительных сооружений в плане различают волноломы, обе оконечности...
Механическое удерживание земляных масс: Механическое удерживание земляных масс на склоне обеспечивают контрфорсными сооружениями различных конструкций...
Таксономические единицы (категории) растений: Каждая система классификации состоит из определённых соподчиненных друг другу...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!