32414

Классификация и показатели защищенности межсетевых экранов согласно руководящему документу ФСТЭК

Реферат

Информатика, кибернетика и программирование

Деление МЭ на соответствующие классы по уровням контроля межсетевых информационных потоков с точки зрения защиты информации необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей ЭВМ АС. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Для АС класса 3А 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов: при обработке информации с грифом...

Русский

2013-09-04

19.97 KB

17 чел.

Классификация и показатели защищенности межсетевых экранов согласно руководящему документу ФСТЭК.

Деление МЭ на соответствующие классы по уровням контроля межсетевых информационных потоков с точки зрения защиты информации необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей ЭВМ, АС.

Дифференциация подхода к выбору функций защиты в МЭ определяется АС, для защиты которой применяется данный экран.

Устанавливается пять классов защищенности МЭ.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.

Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.

При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться.

Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.

Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:
- при обработке информации с грифом “секретно” - не ниже 3 класса;
- при обработке информации с грифом “совершенно секретно” - не ниже 2 класса;
- при обработке информации с грифом “особой важности” - не ниже 1 класса.

МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

( Межсетевой экран (МЭ) - это локальное (однокомпонентное) или функционально - распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола. )

Показатели защищенности:

1.Управление доступом (фильтрация данных и трансляция адресов) - МЭ должен обеспечивать фильтрацию на сетевом уровне.

2.Идентификация и аутентификация - МЭ должен обеспечивать возможность аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети.

3.Регистрация - МЭ должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.

4.Администрирование: идентификация и аутентификация - МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ. (для определенного класса добавляются новые возможности).

5.Администрирование: регистрация -МЭ должен обеспечивать регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова (для определенного класса добавляются новые возможности).

6.Администрирование: простота использования - Многокомпонентный МЭ должен обеспечивать возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.

7.Целостность - МЭ должен содержать средства контроля за целостностью своей программной и информационной части.

8.Восстановление - МЭ должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств МЭ.

9.Тестирование - В МЭ должна обеспечиваться возможность регламентного тестирования.

10.Руководство администратора защиты - Документ содержит:
- описание контролируемых функций МЭ;
- руководство по настройке и конфигурированию МЭ;
- описание старта МЭ и процедур проверки правильности старта;
- руководство по процедуре восстановления.

11.Тестовая документация - Должна содержать описание тестов и испытаний, которым подвергался МЭ ,и результаты тестирования.

12.Конструкторская (проектная) документация - Должна содержать:
- общую схему МЭ;
- общее описание принципов работы МЭ;
- описание правил фильтрации;
- описание средств и процесса идентификации и аутентификации;
- описание средств и процесса регистрации;
- описание средств и процесса контроля за целостностью программной и информационной части МЭ;
- описание процедуры восстановления свойств МЭ.

Определения из ФСТЭК:

Администратор МЭ - лицо, ответственное за сопровождение МЭ.

Дистанционное управление компонентами МЭ - выполнение функций по сопровождению МЭ (компоненты) администратором МЭ с узла (рабочей станции) сети, на котором не функционирует МЭ (компонента) с использованием сетевых протоколов.

Критерии фильтрации - параметры, атрибуты, характеристики, на основе которых осуществляется разрешение или запрещение дальнейшей передачи пакета (данных) в соответствии с заданными правилами разграничения доступа (правилами фильтрации). В качестве таких параметров могут использоваться служебные поля пакетов (данных), содержащие сетевые адреса, идентификаторы, адреса интерфейсов, портов и другие значимые данные, а также внешние характеристики, например, временные, частотные характеристики, объем данных и т.п.

Локальное (местное) управление компонентами МЭ - выполнение функций по сопровождению МЭ (компоненты) администратором МЭ на том же узле (платформе), на котором функционирует МЭ (компонента) с использованием интерфейса МЭ.

Правила фильтрации - перечень условий по которым с использованием заданных критериев фильтрации осуществляется разрешение или запрещение дальнейшей передачи пакетов (данных) и перечень действий, производимых МЭ по регистрации и/или осуществлению дополнительных защитных функций.

Трансляция адреса - функция МЭ, скрывающая внутренние адреса объектов (субъектов) от внешних субъектов

Сетевые адреса - адресные данные, идентифицирующие субъекты и объекты и используемые протоколом сетевого уровня модели международной организации по стандартизации взаимодействия открытых систем (ISO OSI).


 

А также другие работы, которые могут Вас заинтересовать

33349. Принципы формирования МКЛС с временным разделением каналов (ВРК) 25.94 KB
  Временное разделение каналов Принцип временного разделения каналов ВРК состоит в том что групповой тракт предоставляется поочередно для передачи сигналов каждого канала многоканальной системы Рис. Принцип временного разделения каналов В зарубежных источниках для обозначения принципа временного разделения каналов используется термин Time Division Multiply ccess TDM. Для этого один из каналов занимают под передачу специальных импульсов синхронизации.
33350. Особенности построения цифровых многоканальных систем передачи. Плезиохронная цифровая иерархия (ПЦИ). Cинхронная цифровая иерархия 72.37 KB
  Особенности построения цифровых систем передачи Основной тенденцией развития телекоммуникаций во всем мире является цифровизация сетей связи предусматривающая построение сети на базе цифровых методов передачи и коммутации. Это объясняется следующими существенными преимуществами цифровых методов передачи перед аналоговыми. Представление информации в цифровой форме позволяет осуществлять регенерацию восстановление этих символов при передаче их по линии связи что резко снижает влияние помех и искажений на качество передачи информации.
33351. Виды и тенденции развития направляющих систем электросвязи (НСЭ) 90.94 KB
  Тенденции развития направляющих систем электросвязи НСЭ Построение сети базируется на направляющих средах передачи рис. В направляющие среды передачи входят вся номенклатура действующих металлических кабелей связи волоконнооптические кабели воздушные линии волноводы линии поверхностной волны высоковольтные линии электропередачи электрофицированные железные дороги радиорелейные линии и спутниковые линии. Направляющими системами передачи НСП имеющими первостепенное значение при построении сетей электросвязи являются электрические...
33352. Металлические кабели и их основные параметры 42.52 KB
  проводников К линиям связи предъявляются следующие основные требования: осуществление связи на практически требуемые расстояния; пригодность для передачи различных видов сообщений как по номенклатуре так и по пропускной способности; защищенность цепей от взаимных влияний и внешних помех а также от физических воздействий атмосферных явлений коррозии и пр. В простейшем случае проводная ЛС физическая цепь образуемая парой металлических проводников. По конструкции и взаимному расположению проводников различают симметричные СК и...
33353. Волоконно-оптические кабели и их основные параметры 13.74 KB
  Многомодовое волокно со ступенчатым изменением показателя преломления диаметр сердечника 40 100 мкм. Многомодово волокно с плавным изменение показателя преломления диаметр сердечника 40 100 мкм. Одномодовое волокно диаметр сердечника 5 15 мкм. В одномодовом кабеле используется центральный проводник очень малого диаметра соизмеримый с длинной волной света от 5 до 10 мкм.
33354. Общие сведения о радиолиниях связи. Основные понятия и определения. Классификация диапазонов радиочастот и радиоволн. Особенности распространения радиоволн метрового и миллиметрового диапазонов 18.21 KB
  Классификация диапазонов радиочастот и радиоволн. Особенности распространения радиоволн метрового и миллиметрового диапазонов. Классификация диапазонов радиочастот и радиоволн. Радиосвязь вид электросвязи осуществляемый с помощью радиоволн.
33355. Обеспечение дальности связи. Радиорелейные, тропосферные и спутниковые линии (системы) передачи (связи). Магистральные кабельные линии (системы) передачи 64.86 KB
  Радиорелейные тропосферные и спутниковые линии системы передачи связи. Магистральные кабельные линии системы передачи. Радиолинии передачи 6. Радиорелейные линии передачи Радиолиния передачи в которой сигналы электросвязи передаются с помощью наземных ретрансляционных станций называется радиорелейной линией передачи.
33356. Открытые системы и их взаимодействие. Эталонная модель взаимодействия открытых систем. Основные понятия и определения 27.2 KB
  Прикладной процесс Системы А сообщается с Уровнем 7 Системы А верхний уровень который сообщается с Уровнем 6 Системы А который в свою очередь сообщается с Уровнем 5 Системы А и так далее до Уровня 1 Системы А. После того как информация проходит через физическую среду и принимается Системой В она поднимается через слои Системы В в обратном порядке сначала Уровень 1 затем Уровень 2 и т. пока она наконец не достигнет прикладного процесса Системы В.
33357. Характеристика уровней эталонной модели (назначение, основные функции) 14.34 KB
  Описание уровней эталонной модели OSI Каждый уровень имеет заранее заданный набор функций которые он должен выполнить для проведения связи. Прикладной уровень уровень 7 это самый близкий к пользователю уровень OSI. Прикладной уровень идентифицирует и устанавливает наличие предполагаемых партнеров для связи синхронизирует совместно работающие прикладные процессы а также устанавливает и согласовывает процедуры устранения ошибок и управления целостностью информации. Прикладной уровень также определяет имеется ли в наличии достаточно...