Планирование сетевой защиты

Планирование сетевой защиты. Администрация предприятия должна определить политику информационной безопасности, которая включает ответы на следующие вопросы: • какую информацию и от кого следует защищать; • кому и какая информация требуется для выполнения служебных обязанностей; • какая степень защиты требуется для каждого вида информации; • чем грозит потеря того или иного вида информации; • как организовать работу по защите информации.

К организационным (или процедурным) мерам обеспечения безопасности относятся конкретные правила работы сотрудников предприятия, например, строго определенный порядок работы с конфиденциальной информацией на компьютере.

К техническим средствам обеспечения информационной безопасности могут быть отнесены: • системы контроля доступа, включающие средства аутентификации и авторизации пользователей; • средства аудита; • системы шифрования информации; • системы цифровой подписи, используемые для аутентификации документов; • средства доказательства целостности документов (использующие, например, дайджест-функции); • системы антивирусной защиты; • межсетевые экраны.

Все указанные выше средства обеспечения безопасности могут быть реализованы как в виде специально разработанных для этого продуктов (например, межсетевые экраны), так и в виде встроенных функций операционных систем, системных приложений, компьютеров и сетевых коммуникационных устройств. Сетевая ОС Windows Server 2003 имеет средства обеспечения безопасности, встроенные в операционную систему. С точки зрения технологии, концепция платформы Windows заключаются в том, чтобы обеспечить защиту информации на всех уровнях информационной системы по трем основным направлениям.

А именно: аутентификация субъектов, которые функционируют в информационной системе; 2) обеспечение контроля доступа к объектам (разграничение прав доступа и контроль исполнения этих прав со стороны субъекта); 3) защита информации с помощью средств шифрования. 1) В Windows 2003 все операции, которые исполняются в информационной системе, аутентифицированы в ОС. Будь то встроенная системная учетная запись, либо учетная запись пользователя, который запустил приложение, важно, что всегда абсолютно точно известно в контексте, какой учетной записи исполняется данный программный продукт (поток). Права доступа и привилегии данного исполняемого кода ограничены исключительно тем контекстом безопасности, который назначен учетной записи, от имени которой действует код. Аутентификация Windows 2000 и Windows 2003 может осуществляться по нескольким протоколам.

Когда мы говорим об аутентификации в домене, который является основной процедурой регистрации пользователей, то мы говорим о протоколе Kerberos, который на сегодняшний день является общепризнанным мировым стандартом.

Чтобы в системе работал протокол Kerberos, необходима служба под названием Центр Распределения Ключей (KDC, Key Distribution Center). Она состоит из двух компонент: Центр Аутентификации (Authentication Service), который выдает билет TGT, и служба Ticket Granting, которая выдает билет на доступ в ресурс. 2) С точки зрения контроля доступа к объекту Microsoft использует концепцию, основанную на требованиях, которые сформулированы в Common Criteria.

Common. Windows построена в соответствии с требованием профиля, который называется "Controlled Access" - операционная система, обеспечивающая контроль доступа. Главное требование этого профиля заключается в том, чтобы обеспечить контроль доступа к объектам (с помощью назначения этим объектам списка контроля доступа), а также проведение обязательного аудита операций (которые выполняются с объектами) и обеспечение разграничения административных полномочий. 3)Третье направление - средства шифрования, которые реализованы в системе безопасности.

На самом деле, если представить себе в комплексе все службы, которые отвечают за защиту информации в составе ОС, то только одна из этих служб не использует никак шифрование. Это система контроля доступа. Она использует список контроля доступа.

Все остальные службы, так или иначе, используют шифрование. Это шифрующая файловая система (которая защищает файлы на жестком диске), поддержка протокола IP Security (который защищает информацию на уровне сетевых пакетов), поддержка смарт-карт, весь процесс аутентификации служб удаленного доступа и, в частности, виртуальные сети. Большая часть из этих служб базируется на шифровании с открытым ключом, то есть для их работы необходима инфраструктура открытых ключей. С точки зрения такой системы, все средства шифрования реализованы в виде специальных модулей, которые называются Cryptographic Service Providers.

Они лежат в основе всей этой пирамиды. CSP - это закрытый модуль, который выполняет криптографические операции и хранит личные ключи пользователей. Нет никой возможности напрямую получить доступ к информации, которая находится внутри криптографического провайдера, а уж тем более модифицировать его поведение. Это внутренняя закрытая структура. С другой стороны, есть стандартный интерфейс, который называется CryptoAPI. Все операции, которые выполняют шифрование, используют вызовы CryptoAPI для того, чтобы зашифровать/расшифровать какой-то поток данных.

Итак, еще раз взглянем на службы безопасности в целом. Это аутентификация, авторизация, управление политиками и управление хранилищем учетных записей. На рисунке 3 представлен список всего, что можно сгруппировать в рамках службы безопасности. Рисунок 2. Службы безопасности ОС Windows Server 2003. Вопросы безопасности сетевых ресурсов также включают защиту от вирусов, нежелательных сетевых вторжений и действий хакеров.

Поэтому для защиты от внешних угроз будет использоваться комплекс антивирусных средств Symantec AntiVirus™ 9.0 with Multi-Tier Protection, а также брандмауэр 3 Com SuperStack 3 Firewall. При избыточной архитектуре сети также будет использован фильтр веб-сайтов 3Com SuperStack 3 Firewall Web Site Filter. Symantec AntiVirus 9.0 Multi-Tier Protection обеспечивает улучшенную защиту от вирусов для всего предприятия и мониторинг с единой консоли управления.

Функция Expanded Threat Detection and Threat Categorization (Расширенные возможности выявления и классификации угроз) распознает нежелательные