32414

Классификация и показатели защищенности межсетевых экранов согласно руководящему документу ФСТЭК

Реферат

Информатика, кибернетика и программирование

Деление МЭ на соответствующие классы по уровням контроля межсетевых информационных потоков с точки зрения защиты информации необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей ЭВМ АС. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Для АС класса 3А 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов: при обработке информации с грифом...

Русский

2013-09-04

19.97 KB

19 чел.

Классификация и показатели защищенности межсетевых экранов согласно руководящему документу ФСТЭК.

Деление МЭ на соответствующие классы по уровням контроля межсетевых информационных потоков с точки зрения защиты информации необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей ЭВМ, АС.

Дифференциация подхода к выбору функций защиты в МЭ определяется АС, для защиты которой применяется данный экран.

Устанавливается пять классов защищенности МЭ.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.

Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.

При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться.

Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.

Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:
- при обработке информации с грифом “секретно” - не ниже 3 класса;
- при обработке информации с грифом “совершенно секретно” - не ниже 2 класса;
- при обработке информации с грифом “особой важности” - не ниже 1 класса.

МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

( Межсетевой экран (МЭ) - это локальное (однокомпонентное) или функционально - распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола. )

Показатели защищенности:

1.Управление доступом (фильтрация данных и трансляция адресов) - МЭ должен обеспечивать фильтрацию на сетевом уровне.

2.Идентификация и аутентификация - МЭ должен обеспечивать возможность аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети.

3.Регистрация - МЭ должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.

4.Администрирование: идентификация и аутентификация - МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ. (для определенного класса добавляются новые возможности).

5.Администрирование: регистрация -МЭ должен обеспечивать регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова (для определенного класса добавляются новые возможности).

6.Администрирование: простота использования - Многокомпонентный МЭ должен обеспечивать возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.

7.Целостность - МЭ должен содержать средства контроля за целостностью своей программной и информационной части.

8.Восстановление - МЭ должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств МЭ.

9.Тестирование - В МЭ должна обеспечиваться возможность регламентного тестирования.

10.Руководство администратора защиты - Документ содержит:
- описание контролируемых функций МЭ;
- руководство по настройке и конфигурированию МЭ;
- описание старта МЭ и процедур проверки правильности старта;
- руководство по процедуре восстановления.

11.Тестовая документация - Должна содержать описание тестов и испытаний, которым подвергался МЭ ,и результаты тестирования.

12.Конструкторская (проектная) документация - Должна содержать:
- общую схему МЭ;
- общее описание принципов работы МЭ;
- описание правил фильтрации;
- описание средств и процесса идентификации и аутентификации;
- описание средств и процесса регистрации;
- описание средств и процесса контроля за целостностью программной и информационной части МЭ;
- описание процедуры восстановления свойств МЭ.

Определения из ФСТЭК:

Администратор МЭ - лицо, ответственное за сопровождение МЭ.

Дистанционное управление компонентами МЭ - выполнение функций по сопровождению МЭ (компоненты) администратором МЭ с узла (рабочей станции) сети, на котором не функционирует МЭ (компонента) с использованием сетевых протоколов.

Критерии фильтрации - параметры, атрибуты, характеристики, на основе которых осуществляется разрешение или запрещение дальнейшей передачи пакета (данных) в соответствии с заданными правилами разграничения доступа (правилами фильтрации). В качестве таких параметров могут использоваться служебные поля пакетов (данных), содержащие сетевые адреса, идентификаторы, адреса интерфейсов, портов и другие значимые данные, а также внешние характеристики, например, временные, частотные характеристики, объем данных и т.п.

Локальное (местное) управление компонентами МЭ - выполнение функций по сопровождению МЭ (компоненты) администратором МЭ на том же узле (платформе), на котором функционирует МЭ (компонента) с использованием интерфейса МЭ.

Правила фильтрации - перечень условий по которым с использованием заданных критериев фильтрации осуществляется разрешение или запрещение дальнейшей передачи пакетов (данных) и перечень действий, производимых МЭ по регистрации и/или осуществлению дополнительных защитных функций.

Трансляция адреса - функция МЭ, скрывающая внутренние адреса объектов (субъектов) от внешних субъектов

Сетевые адреса - адресные данные, идентифицирующие субъекты и объекты и используемые протоколом сетевого уровня модели международной организации по стандартизации взаимодействия открытых систем (ISO OSI).


 

А также другие работы, которые могут Вас заинтересовать

77740. Интерфейс eSATA и высокоскоростной внешний кейс для десктопных винчестеров любой емкости 1.15 MB
  Интерфейс eST externl Seril T Вместе с тем с некоторых пор проблема выбора интерфейса для внешнего накопителя или контейнера для жестких дисков обрела очень симпатичное и оптимальное решение: внедрение последовательного дискового интерфейса Seril T изначально ориентированного на горячее подключение накопителей и увеличенную по сравнению с IDE длину сигнального кабеля позволило почти даром создавать внешние накопители и контейнеры просто выводя внутренний порт Seril T наружу компьютера. Именно так и поступали некоторые производители...
77741. ИССЛЕДОВАТЕЛЬСКИЙ ПОТЕНЦИАЛ И ПРИНЦИПЫ ЭФФЕКТИВНОСТИ ИССЛЕДОВАТЕЛЬСКОГО ПРОЦЕССА 42 KB
  Методологическая готовность проявляется в наличии цели и миссии исследования. Миссия исследования рассматривается как доминанта его проведения обеспечивающая последовательное движение к цели. Большое значение имеют: опыт исследования информационная база его проведения методика моделирования и оценок процессов или явлений доступность методов исследования наличие соответствующих технических средств квалификация исследователей.
77742. ФАКТОЛОГИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ИССЛЕДОВАНИЯ 42.5 KB
  От наличия и достаточности фактов зависит качество управленческих решений а следовательно и эффективность управления. Исследование управления также невозможно без фактов на которых оно строится. Роль фактов в исследовании заключается в том что они: очерчивают явление позволяют распознавать проблему определяют саму необходимость исследования создают мотивационное поле исследования.
77743. ОЦЕНКИ В ИСУ 52 KB
  Средством оценки является показатель. Оценки могут быть: программно-тестовые с использованием компьютерной техники; экспертные на основе работы группы экспертов. коллективные и индивидуальные; точные и приблизительные; эпизодические и периодические; общие и локальные; простые и сложные последние построены на специальных расчетах агрегировании информации построении синтетических показателей; Для достижения успеха исследования нужно уметь правильно выбирать вид оценки.
77744. МЫШЛЕНИЕ ИССЛЕДОВАТЕЛЯ 55 KB
  мышление абсолютно индивидуально Именно в мышлении проявляются особенности личности Однако любое разнообразие можно классифицировать. Это качество может быть как положительным так и отрицательным в зависимости от того по каким факторам мышление проявляет это качество.1 Индивидуализированное мышление ярко проявляющее черты личности индивидуальность неординарность.
77745. КРЕАТИВНОЕ ОБРАЗОВАНИЕ СОВРЕМЕННОГО МЕНЕДЖЕРА 72.5 KB
  Образование: определяет уровень развития способностей корректирует и формирует индивидуальность специалиста. Креативное образование образование ориентированное на развитие творческих способностей человека на закрепление в его профессиональном сознании установки на инновации включающее анализ проблем и вариантов деятельности. Это образование мотивирующее самостоятельное осмысление действительности самопознание индивидуальности превращения знаний в потенциал мышления и саморазвития.
77746. ПРОГРАММА И ПЛAH ИССЛЕДОВАНИЯ 37 KB
  Она должна содержать: обоснование предмета исследования важность и актуальность проблемы общее содержание исследуемой проблемы роль ее относительно других проблем необходимые условия для успешного решения проблемы финансирование кадровое обеспечение организационные условия временные ограничения и пр. Программа как правило состоит из следующих разделов: Цель проведения исследований Содержание проблемы ее актуальность и важность Парадигма и рабочая гипотеза решения проблемы в процессе исследования Обеспечение исследования...
77747. ФОРМЫ И ФАКТОРЫ ОРГАНИЗАЦИИ ИССЛЕДОВАНИЯ 65.5 KB
  Организация исследования определяет дифференциацию и интеграцию деятельности исследователей или исследовательских групп. В ней находят свое отражение распределение и комбинация ресурсов по времени видам работ кадрам проблемам Формы организации исследования Увеличение нагрузки персонала дополнительными обязанностями исследовательской работы. Такие исследования возможны если: у персонала управления есть резервы времени; его исследовательский потенциал достаточно высок.
77748. ИССЛЕДОВАНИЯ И ИХ РОЛЬ В НАУЧНОЙ И ПРАКТИЧЕСКОЙ ДЕЯТЕЛЬНОСТИ ЧЕЛОВЕКА 49.5 KB
  Исследования как бы проникают в повседневную практику. Исследования это задача только научных работников. Исследования позволяют увидеть: где находятся резервы; что мешает развитию; чего надо опасаться; что надо поддерживать и т.