Организация использования средств межсетевого экранирования в информационной системе ИББ и исследование их эффективности
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
? позволяет администраторам, отвечающим за безопасность, настраивать устройство для работы в конкретных условиях.
Политика сетевой безопасности каждой организации должна включать две составляющие:
политика доступа к сетевым сервисам;
политика реализации межсетевых экранов.
Политика доступа к сетевым сервисам должна быть уточнением общей политики организации в отношении защиты информационных ресурсов в организации. Для того чтобы межсетевой экран успешно защищал ресурсы организации, политика доступа пользователей к сетевым сервисам должна быть реалистичной. Таковой считается политика, при которой найден гармоничный баланс между защитой сети организации от известных рисков и необходимостью доступа пользователей к сетевым сервисам. В соответствии с принятой политикой доступа к сетевым сервисам определяется список сервисов Интернета, к которым пользователи должны иметь ограниченный доступ. Задаются также ограничения на методы доступа, необходимые для того, чтобы пользователи не могли обращаться к запрещенным сервисам Интернета обходными путями.
Межсетевой экран может реализовать ряд политик доступа к сервисам. Но обычно политика доступа к сетевым сервисам основана на одном из следующих принципов:
запретить доступ из Интернета во внутреннюю сеть и разрешить доступ из внутренней сети в Интернет;
разрешить ограниченный доступ во внутреннюю сеть из Интернета, обеспечивая работу только отдельных авторизованных систем, например информационных и почтовых серверов [5].
В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Прежде всего необходимо установить, насколько доверительной или подозрительной должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:
запрещать все, что не разрешено в явной форме;
разрешать все, что не запрещено в явной форме.
Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рациональности выбора и использования основных компонентов межсетевого экрана.
Функциональные требования к межсетевым экранам охватывают следующие сферы:
фильтрация на сетевом уровне;
фильтрация на прикладном уровне;
настройка правил фильтрации и администрирование;
средства сетевой аутентификации;
внедрение журналов и учет.
Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:
фильтрующие маршрутизаторы;
шлюзы сетевого уровня;
шлюзы прикладного уровня.
Эти категории можно рассматривать как базовые компоненты реальных межсетевых экранов. Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Тем не менее, эти категории отражают ключевые возможности, отличающие межсетевые экраны друг от друга.
Для защиты корпоративной или локальной сети применяются следующие основные схемы организации межсетевых экранов:
межсетевой экран - фильтрующий маршрутизатор;
межсетевой экран на основе двупортового шлюза;
межсетевой экран на основе экранированного шлюза;
межсетевой экран - экранированная подсеть.
Для защиты информационных ресурсов и обеспечения оптимальной работы распределенных корпоративных информационных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства межсетевых экранов и компенсировать их недостатки с помощью других средств безопасности.
Полнофункциональная защита корпоративной сети должна обеспечить:
безопасное взаимодействие пользователей и информационных ресурсов с внешними сетями;
технологически единый комплекс мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия;
наличие иерархической системы защиты, предоставляющей средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети.
Характер современной обработки данных в корпоративных системах интернет требует наличия у межсетевых экранов следующих основных качеств:
мобильность и масштабируемость относительно различных аппаратно-программных платформ;
возможность интеграции с аппаратно-программными средствами других производителей;
простота установки, конфигурирования и эксплуатации;
управление в соответствии с централизованной политикой безопасности.
В зависимости от масштабов организации и принятой на предприятии политики безопасности могут применяться различные межсетевые экраны. Для небольших предприятий, использующих до десятка узлов, подойдут межсетевые экраны с удобным графическим интерфейсом, допускающие локальное конфигурирование без применения централизованного управления. Для крупных предприятий предпочтительнее системы с консолями и менеджерами управления, которые обеспечивают оперативное управление локальными межсетевыми экранами, поддержку виртуальных частных сетей.
Увеличение потоков информации, передаваемых по Интернету компаниями и частными пользователями, а также потребность в организации удаленного доступа к корпоративным сетям являются причинами постоянного совершенствования технологий подключе