Міжмережні екрани дозволяють установлювати гнучкі правила для доставки пакетів у кожній із сегментів.
Робота всіх між мережних екранів заснована на використанні інформації різних рівнів моделі OSI. Модель OSI, розроблена Міжнародною організацією по стандартизації (International Standards Organization – ISO), визначає сімох рівнів, на яких комп'ютерні системи взаємодіють один з одним, – починаючи з рівня фізичного середовища передачі даних і, закінчуючи рівнем прикладних програм, використовуваних для комунікацій. У загальному випадку, чим вище рівень моделі OSI, на якому брандмауер фільтрує пакети, тим вище і забезпечуваний їм рівень захисту.
Більшість з існуючих комерційних систем МЕ передбачає також приховання внутрішньої структури IP-мережі організації (так називаний network address translation). Звичайно, МЕ набудовується як мінімум на два інтерфейси: внутрішній – для локальної мережі і зовнішній. Крім того, МЕ може мати інтерфейс для підключення так званих демілітаризованих зон – Web і FTP серверів.
В якості апаратного міжмережного екрана ми вибираємо D-Link DFL-2500.
Пристрої серії NetDefend являють собою закінчене рішення в сфері безпеки, яке включає вбудовану підтримку міжмережного екрану, балансування навантаження, функції стійкості механізму Zone-Defense, фільтрації змісту, аутентифікації користувачів, блокування «миттєвих» повідомлень та додатків Р2Р, захисту від атак «відмова в обслуговуванні» DoS та віртуальних локальних мереж VPN. Ці пристрої відповідають вимогам підприємства до безпеки та віддаленому доступу, забезпечуючи високовиробниче рішення по розумній ціні.
4.5.3 Впізнання та розмежування прав доступу до інформації, і контроль цілісності програмного забезпечення
Один з найважливіших пунктів захисту інформації є впізнання та розмежування доступу до інформації.
Основна задача системи впізнання та розмежування доступу – це перекриття несанкціонованого і контроль санкціонованого доступу до інформації, що підлягає захистові. При цьому розмежування доступу до інформації і програмних засобів її обробки повинне здійснюватися відповідно до функціональних обов'язків і повноваженнями посадових осіб-користувачів, що обслуговує персоналу, просто користувачів.
Основний принцип побудови системи полягає в тому, що допускаються й виконуються тільки такі звертання до інформації, у яких утримуються відповідні ознаки дозволених повноважень.
Система впізнання і розмежування доступу до інформації містить, функціональні задачі програмного забезпечення, що реалізують на програмному рівні ідентифікацію й аутентифікацію користувачів, а також розмежування їхніх повноважень по доступу до інформації й функцій керування.
Розподіл інформації і функцій її обробки звичайно, виробляється по наступних ознаках:
по ступені важливості;
- по ступені таємності;
- по виконуваних функціях користувачів, пристроїв;
- по найменуванню документів;
- по видах документів;
- по видах даних;
- по найменуванню томів, файлів, масивів, записів;
- по імені користувача;
- по функціях обробки інформації: читанню, записові, виконанню
- по областях оперативної й довгострокової пам'яті;
- за часом дня.
Для реалізації зазначеної процедури в захищеній області пам'яті обчислювальної системи зберігаються таблиці повноважень, що містять профілі повноважень кожного користувача, термінала, процедури, процесу і т.д. Ці профілі встановлюються в системі за допомогою спеціальної програми, і їхній можна представити у виді матриці встановлення повноважень.
В основі нашої схеми авторизації лежать три компоненти:
- база даних, що містить інформацію з усіх мережних ресурсів, користувачам, паролям, шифрувальним ключам і т.д.
- авторизаціонний сервер, що обробляє всі запити користувачів на предмет одержання того або іншого виду мережних послуг. Авторизаціонний сервер, одержуючи запит від користувача, звертається до бази даних і визначає, чи має користувач право на здійснення даної операції. Примітно, що паролі користувачів по мережі не передаються, що також підвищує ступінь захисту інформації.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.