Рекомендации по применению программных и программно-аппаратных мер и средств защиты информации, составляющих коммерческую тайну, от несанкционированного доступа

Рекомендации по применению программных и программно-аппаратных мер и средств защиты информации, составляющих коммерческую тайну, от несанкционированного доступа

 

Программные и аппаратно-программные меры и средства защиты информации от НСД и несанкционированных воздействий предназначаются:

-          для разграничения доступа к программно-аппаратной среде и данным;

-          для защиты от преднамеренного или непреднамеренного воздействия на информацию с применением программных или аппаратно-программных средств.

В связи с интенсивным развитием сетевых технологий и резким возрастанием опасности НСД по сети с использованием протоколов межсетевого взаимодействия в настоящее время наибольшее внимание уделяется мерам и средствам разграничения доступа, направленную на защиту от сетевых атак.

 

Краткая характеристика некоторых систем обнаружения сетевых атак (СОА)

 

Наименование

Изготовитель

Функциональные возможности

NFR NID

Компания «NFR»

поиск сигнатур атак в трафике; централизованное хранение информации о выявленных атаках; гибкий язык описания сигнатур сетевых атак

Intruder Flert

Компания «AXENT»

поиск сигнатур атак в журналах регистрации ОС; централизованное управление СОА; объединение агентов СОА в домены; создание и применение правил обнаружения атак по отношению к доменам; импортирование новых правил обнаружения с Web-сайта компании-разработчика; разграничение доступа к функциям управления СОА; реализация активного и пассивного способов реагирования на выявленные атаки

NetProwler

Компания «AXENT»

поиск сигнатур атак в трафике; централизованное управление СОА; обновление базы данных сигнатур с Web-сайта компании разработчика; формирование отчетов о выявленных атаках; определение сигнатур администратором СОА; активное или пассивное реагирование на выявленные атаки

Sekuri IIS

Компания «еЕуе igital Security»

поиск сигнатур атак в трафике прикладного уровня стека TCP/IP, адресованном Web-cepверу компании Microsoft IIS; сбор статистики о выявленных атаках

Snort

Группа программистов во главе с Мартином Рошем

поиск сигнатур атак в трафике; обновление базы данных сигнатур с Web-сайта группы разработчиков; активное или пассивное реагирование на выявленные атаки

ReflSecure

Компания «Internet Security Systems»

поиск сигнатур атак в трафике и журналах аудита узла; централизованное управление СОА; объединение агентов СОА в домены; создание и применение правил обнаружения по отношению к доменам; подробное описание выявленных атак; удаленное обновление базы данных сигнатур; активное и пассивное реагирование на выявленные атаки

Cisko Secure IDS

Компания «Cisco»

поиск сигнатур атак в трафике; централизованное управление СОА; контроль одновременно нескольких компьютерных сетей

Форпост

Компания «РНТ»

поиск сигнатур атак и аномалий в трафике; обеспечение безопасности служебной информации, передаваемой между компонентами СОА; активное и пассивное реагирование на выявленные атаки

 

Рекомендуемые способы применения средств разграничения доступа включают:

- межсетевое экранирование;

- применение мер и средств построения частных виртуальных сетей;

- применение других средств защиты информации от несанкционированного доступа.

Межсетевое экранирование реализуется программными и аппаратно-программными межсетевыми экранами (брандмауэрами или средствами FireWall). Межсетевой экран              (далее – МЭ) устанавливается между защищаемой сетью, называемой внутренней, и потенциально враждебной внешней сетью. Организационно МЭ входит в состав защищаемой сети. В общем случае работа МЭ основана на динамическом выполнении двух групп функций:

  1. Фильтрации проходящих через МЭ информационных потоков.
  2. Посредничества при реализации межсетевых взаимодействий.

Межсетевой экран осуществляет разрешение или запрещение дальнейшей передачи данных и выполнение дополнительных защитных функций. При необходимости доступа из внутренней сети во внешнюю или наоборот вначале должно быть установлено логическое соединение с программой-посредником. Программа-посредник проверяет допустимость запрошенного межсетевого взаимодействия и при его разрешении сама устанавливает отдельное соединение с требуемым компьютером. Дальнейший обмен осуществляется через программу-посредника. При этом могут осуществляться фильтрация потока сообщений и выполняться другие защитные функции (идентификация, аутентификация пользователей, проверка подлинности передаваемых данных, разграничение доступа к ресурсам внутренней и внешней сети, динамический поиск вирусов и шифрование информации, трансляция внутренних сетевых адресов для исходящих пакетов сообщений и др.)

 

Краткая характеристика некоторых сертифицированный межсетевых экранов

 

Наименование МЭ

Краткая характеристика

Cisco PIX Firewall

Аппаратный межсетевой экран. Поддерживает более 64 тысяч одновременных соединений и, соответственно, обеспечивает поддержку сотен и тысяч пользователей без уменьшения производительности. Полностью загруженный сетевой экран PIX обеспечивает пропускную способность до 170 Мб/с. Графический интерфейс администратора Firewall Manager предназначен для настройки до 25 сетевых экранов РГХ с единой консоли. Динамические и статические трансляции адресов. Учетная информация с использованием ведения журнала системных событий. Безопасная встроенная система реального времени

Firewall Brick 1100

Аппаратный межсетевой экран. При работе в виртуальных корпоративных IP-сетях (IP VPN) Brick 1100 обеспечивает пропускную способность 1 Гбит/с и позволяет организовать более 7 тыс. параллельных VPN-туннелей. Работает под управлением фирменной ОС. Имеет до четырех оптических или 13 электрических портов Gigabit Ethernet, семь портов 10/100 Ethernet. Поддерживает до 4 млн одновременных сеансов связи, а также организацию до 1 тыс. виртуальных МЭ. Пропускная способность - 3 Гбит/с. Пропускная способность с шифрованием 3DES -1 Гбит/с

Check Point FireWall-1

Поддерживает более 150 сетевых сервисов, протоколов и приложений. Обеспечивает скрытие сетевой топологии защищаемой сети, защиту от вирусов, враждебного мобильного кода (Java, ActiveX, ShockWave), централизованное управление безопасностью удаленных офисов и филиалов. Осуществляет аутентификацию внешних и внутренних пользователей для доступа к защищаемым ресурсам корпоративной сети и ресурсам Internet, позволяет транслировать сетевые адреса и сканировать потоки данных на наличие недопустимой информации

Cisco PIX 501 Firewall

Поддерживает до 3500 соединений. Одновременно поддерживает до 5 клиентов, использующих VPN или инфраструктуру открытых ключей. Скорость передачи открытого текста через экран - 10 Мбит/с. Скорость передачи по VPN при однократном DES-шифровании - 6 Мбит/с. Скорость передачи по VPN при тройном DES-шифровании - 3 Мбит/с. Поддержка архитектуры AWID. Масштабируемость управления с помощью Web-технологий, которые поддерживают стандарты для дистанционного управления, такие как telnet/SSH, SNMP и syslog. Широкополосное подсоединение для совместной работы сразу нескольких устройств с помощью интегрированного 4-портового коммутатора 10/100 Мбит/с

Firebox V10

Динамическая пакетная фильтрация с запоминанием состояний. Блокировка портов и доступа к сайтам. VPN-туннель между офисами. Защита от синхронных атак (SYNflood). Планировщик пакетов (Quality of Service). Защита от подмены IP (Spoofing). Предотвращение атак на отказ в обслуживании (DoS и DDoS). Графическое представление информации. Система уведомлений. Контроль трафика в режиме реального времени. Ведение защищенного журнала. Интерфейсы 2 10/100 Fast Ethernet. Пропускная способность межсетевого экрана 75 Мбит/с. Пропускная способность VPN 20 Мбит/с. Количество межофисных VPN 10. Количество пользовательских мест 10, возможность увеличения до 25 или без ограничений

МЭ Z-2

Представляет собой программный комплекс, функционирующий под управлением операционной системы Solaris компании Sun Microsystems на аппаратной платформе SPARC или Intel. В состав комплекса МЭ Z-2 входят следующие программные компоненты: фильтр сетевых пакетов, шлюзы прикладного уровня, средства идентификации и аутентификации пользователей, средства регистрации и учета запрашиваемых сервисов, средства оповещения и сигнализации о случаях нарушения правил фильтрации, средства динамического контроля целостности программной и информационной среды МЭ, средства управления программным комплексом МЭ

«Застава-Джет»

Программно-аппаратный комплекс, предоставляющий компоненты защиты, которые  обеспечивают безопасность коммуникаций в обоих направлениях в соответствии с  регламентом политики безопасности. В состав комплекса входят: операционная система Solaris, фильтры сетевых пакетов, средства идентификации и аутентификации, шлюзы  приложений, средства регистрации и учета запрашиваемых сервисов, средства оповещения  и сигнализации о случаях нарушения правил фильтрации, средства контроля действий администратора МЭ, средства поддержки удаленной регистрации по паролю временного действия, средства динамического контроля целостности программной информационной среды МЭ, средства резервного копирования и восстановления. Компьютер-шлюз построен на платформе Sun Ultra 5 или Sun Ultra 10 и включает в себя следующие компоненты: процессор UltraSPARC (тактовая частота 270, 300 или 333 МГц), оперативное запоминающее устройство объемом 64 или 128 Мбайт, жесткий диск (возможно, дублированный) объемом 4 Гбайта, 2 или более сетевых интерфейсов (как правило, Ethernet или FastEthernet), монитор

ФПСУ-IP

Обрабатываемые уровни ЭМВОС: сетевой + транспортный, сеансовый и прикладной (выборочно). Управление и мониторинг: локальное и удаленное, с механизмами «отката» сбоев. До 1024 комплексов на один АРМ. Полный аудит событий и действий персонала, разграничение доступа с помощью iButton и USB Key. Сокрытие топологии, NAT, сокрытие факта присутствия комплекса, проксирование протоколов управления. Производительность более 90 Мб/с. Число  абонентов/подсетей на порту до 3000. Число независимых VPN-туннелей до 1024x8

«Цитадель МЭ», версия 2.0

Представляет собой аппаратно-программный комплекс, основанный на платформе : Intel Pentium П/Ш и управляемый специально разработанной операционной системой. В типовой конфигурации экран «Цитадель МЭ» имеет 4 интерфейса 10/100BaseTX Ethernet. Возможна поддержка до 16 интерфесов Ethernet в одном устройстве. Опциональной возможностью является установка интерфейсного модуля WAN (V.35 или Х.21), поддерживающего SOP, РРР, HDLC и Frame Relay. Пакетный фильтр (Packet Filtering Firewall) фильтрует TCP/IP трафик по критериям, задаваемым списком правил фильтрации, (Access control list). Шейпинг трафика позволяет искусственно ограничивать пропускную  способность канала для выбранных видов трафика. Механизм пассивных фильтров. Механизм динамического порождения самонастраивающихся правил контроля доступа, предназначенный для обеспечения корректной обработки протокола FTP. Механизм трансляции сетевых адресов (Network Address Translation) - прямой и обратный. Автоматический контроль, протоколирование и отчетность. Устойчивость к сетевым атакам. Специальная реализация стека протоколов TCP/IP делает МЭ устойчивым к сетевым атакам, что подтверждено результатами сертификационных испытаний

«Континент»

Обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов). Скрытие внутренней структуры сети, технология NAT. Пропускная способность до 100 Мбит/с и разграничения информационных потоков в современных информационных системах. Централизованное управление сетью осуществляется при помощи ЦУС и программы управления, которая позволяет в диалоговом режиме изменять настройки всех криптошлюзов сети и вести оперативный мониторинг их текущего состояния. Удаленное обновление ПО. Высокая надежность и отказоустойчивость