Межсетевые экраны. Защита от нсд. Показатели защищенности.
Межсетевой экран — это локальное или распределенное средство, реализующее контроль за информацией, поступающей в АС и выходящей из АС, а также обеспечивает защиту АС посредством фильтрации информации.
Устанавливается 5 классов защищенности межсетевых экранов. Самый низкий класс — 5, который применяется для безопасного взаимодействия с АС класса 1Д. 4 класс — для АС класса 1Г. 3 класс — для АС класса 1В. 2 класс — 1Б. 1 класс — 1А.
При включении межсетевого экрана в АС определенного класса защищенности, класс защищенности совокупности АС, полученный из исходной путем добавления межсетевого экрана, не должен понижаться.
Требования к 5 классу защищенности межсетевого экрана.
Управление доступом. Межсетевой экран должен обеспечивать фильтрацию на сетевом уровне. Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.
Администрирование (идентификация и аутентификация). Межсетевой экран должен обеспечивать идентификация и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ. Межсетевой экран должен предоставлять возможность для идентификации и аутентификации по коду и паролю условно-постоянного действия.
Администрирование (регистрация). Межсетевой экран должен обеспечивать регистрацию как входа, так и выхода администратора межсетевого экрана в систему и из системы или загрузку и инициализацию системы и ее программный останов. В параметрах регистрации указывается дата, время, код регистрируемого события, результат попытки, идентификатор администратора межсетевого экрана.
Целостность. Межсетевой экран должен содержать средства контроля за целостностью как программной, так и информационной части межсетевого экрана.
Восстановление. Межсетевой экран должен предусматривать процедуру восстановления как после сбоев, так и после отказов оборудования, которые должны обеспечивать восстановление свойств межсетевого экрана.
Тестирование. Должна обеспечиваться возможность регламентного тестирования следующих функций:
Реализация правил фильтрации.
Тестирование процессов идентификации и аутентификации администратора межсетевого экрана.
Тестирование процесса регистрации и действий администратора.
Тестирование процесса контроля за целостностью программной и информационной части межсетевого экрана.
Тестирование процедуры восстановления.
Документация. Должно быть 3 документа: руководство администратора, тестовая документация и конструкторская документация.
Требования к 4 классу защищенности межсетевого экрана.
Управление доступом — аналогично 5 классу, дополнительно межсетевой экран должен обеспечивать:
Фильтрацию пакетов служебных протоколов, которые служат для диагностики и управления работой сетевых устройств.
Фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов.
Фильтрацию с учетом любых значимых полей сетевых пакетов.
Регистрация. Межсетевой экран должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметрах регистрации указывается адрес, время и результат фильтрации.
Администрирование (идентификация и аутентификация) — аналогично 5 классу.
Администрирование (регистрация) — аналогично 5 классу, дополнительно межсетевой экран должен обеспечивать регистрацию запуска программ и процессов.
Тестирование — аналогично 5 классу.
Требования к 3 классу защищенности межсетевого экрана.
Управление доступом — аналогично 4 классу, дополнительно межсетевой экран должен обеспечивать:
Фильтрацию на транспортном уровне запросов на установление виртуальных соединений, должны учитываться как минимум транспортные адреса отправителя и получателя.
Фильтрацию на прикладном уровне запросов прикладным задачам. При этом должны учитываться прикладные адреса отправителя и получателя.
Фильтрацию с учетом даты и времени.
Идентификация и аутентификация. Межсетевой экран должен обеспечивать возможность аутентификации как входящих, так и исходящих запросов методами, которые устойчивы к пассивному и активному прослушиванию сети.
Регистрация — аналогично 4 классу, дополнительно межсетевой экран должен обеспечивать:
Регистрацию и учет запросов на установление виртуальных соединений.
Локальную сигнализацию попыток нарушения правил фильтрации.
Администрирование (идентификация и аутентификация) — аналогично 4 классу, дополнительно межсетевой экран должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого не подтвердилась. При этом при удаленных запросов администратора межсетевого экрана на доступ идентификация и аутентификация должна обеспечиваться методами, которые устойчивы как к пассивному, так и к активному перехвату информации.
Администрирование (регистрация) — аналогично 4 классу, дополнительно межсетевой экран должен обеспечивать регистрацию действий администратора по изменению правил фильтрации.
Администрирование, простота использования. Многокомпонентный межсетевой экран должен обеспечивать возможность дистанционного управления своими компонентами, в том числе возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров и анализа регистрационной информации.
Целостность — аналогично 4 классу, дополнительно должен обеспечиваться контроль целостности программной и информационной части межсетевого экрана по контрольным суммам.
Тестирование. В межсетевом экране должна обеспечиваться возможность тестирования следующих функций:
Реализация правил фильтрации.
Функция процесса регистрации.
Функция процесса идентификации и аутентификации запросов.
Функция процесса идентификации и аутентификации администратора.
Функция процесса регистрации действий администратора.
Функция процессов контроля за целостностью программной и информационной частями межсетевого экрана.
Функция восстановления.
Документация: тестовая и эксплуатационная.
Требования ко 2 классу защищенности межсетевого экрана.
Управление доступом — аналогично 3 классу, дополнительно межсетевой экран должен обеспечивать:
Возможность сокрытия субъектов и объектов, а также прикладных функций защищаемой сети.
Возможность трансляции сетевых адресов.
Регистрация — аналогично 3 классу, дополнительно межсетевой экран должен обеспечивать:
Дистанционную сигнализацию попыток нарушения правил фильтрации.
Регистрацию и учет запрашиваемых сервисов прикладного уровня.
Программируемую реакцию на события в межсетевом экране.
Администрирование (идентификация и аутентификация). Межсетевой экран должен обеспечивать идентификацию и аутентификацию администратора при его запросах на доступ. Межсетевой экран должен предоставлять возможность для идентификации и аутентификации по коду и паролю временного действия. Межсетевой экран должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого не подтвердилась. При удаленных запросах на доступ администратора идентификация и аутентификация должны обеспечиваться методами, которые устойчивы к пассивному и активному перехвату информации.
Целостность. Межсетевой экран должен содержать средства контроля за целостностью программной и информационной части по контрольным суммам как в процессе загрузки, так и динамически.
Восстановление. Межсетевой экран должен предусматривать процедуру восстановления после сбоев и отказов оборудования. Процедура восстановления должна обеспечивать оперативное восстановление свойств межсетевого экрана.
Тестирование — аналогично 3 классу.
Документация: тестовая и эксплуатационная.
Требования к 1 классу защищенности межсетевого экрана — аналогично 2 классу.
Идентификация и аутентификация — аналогично 2 классу, дополнительно межсетевой экран должен обеспечивать идентификацию и аутентификацию всех субъектов прикладного уровня.
Администрирование (идентификация и аутентификация) — аналогично 2 классу, дополнительно межсетевой экран должен предоставлять возможность для идентификации и аутентификации по биометрическим характеристикам или специальным устройствам и паролю временного действия.
Администрирование, простота использования. Многокомпонентный межсетевой экран должен обеспечивать возможность централизованного управления своими компонентами, в том числе конфигурирование фильтров, проверки взаимной согласованности всех фильтров и анализа регистрационной информации. При этом должен быть предусмотрен графический интерфейс для управления межсетевым экраном.
Целостность. Межсетевой экран должен содержать средства контроля за целостностью программной и информационной частями по контрольным суммам аттестованного алгоритма. Контроль должен осуществляться как в процессе загрузки, так и динамически.
Тестирование — аналогично 2 классу, дополнительно должна тестироваться функция централизованного управления компонентами межсетевого экрана, а также графический интерфейс управления межсетевым экраном.
Документация: тестовая и эксплуатационная.
СТРК
Подсистема ЗИ в современных ОС.
Файловая система как основа защиты.
Права доступа.
Создание и удаление бюджетов пользователей.
Основные проблемы с безопасностью в ОС.
Понятие безопасности БД, критерии защищенности и модели безопасности СУБД, механизмы обеспечения целостности и конфиденциальности СУБД.
- Документ ГосТехКомиссии «Защита он нсд. Термины и определения»
- Рд гостехкомиссии «Средства вт. Защита от нсд к информации. Показатели защищенности от нсд к информации.»
- Оценка класса защищенности свт
- Документ Гостехкомиссии «Автоматизированная система защиты он нсд. Классификация автоматизированных систем»
- 6 Основных принципов программно-аппаратной защиты, заложенной в скзи «Аккорд»:
- Рд гостехкомиссии «Классификация по уровню контроля отсутствия недекларированных возможностей»
- Межсетевые экраны. Защита от нсд. Показатели защищенности.
- Достоинства электронного документооборота:
- Недостатки электронного документооборота:
- Основные принципы разработки модели угроз
- Основные требования к скзи
- Требования к контролю встраивания криптосредств
- Технология открытого распределения ключей (технология pki)
- Атаки на цифровую подпись