Реферат: Защищенные информационные технологии в экономике

--PAGE_BREAK--Система SSS позволят производить распределенное сканирова­ние нескольких удаленных систем с одной управляющей рабочей станции. При этом, конфигурация механизмов сканирования уда­ленных систем и обработка результатов производится на управ­ляющем ПК, а на удаленных системах запускается только скани­рующий агент. Результаты сканирования удаленных систем пере­даются по протоколу TCP в закодированном виде.
Возможности тестирования системы определяются выбранны­ми для сканирования уязвимостями. SSS позволяет производить сканирование системы с различными специально созданными конфигурациями сканирования, что позволяет заранее настраивать через несколько файлов конфигурации разноуровневое сканирова­ние для периодического тестирования системы. Все обнаруженные уязвимости рассортированы по типам, соответствующим областям системы, и выделены определенным цветом, обозначающим уро­вень важности.[1]
Пакет программ Internet Scanner SAFEsuite (ISS) предназначен для проведения комплексной оценки эффективности политики безопасности на уровне сетевых сервисов. Он предоставляет возможности для идентификации и коррекции более 140 известных слабых мест и постоянного наблюдения за состоянием безопасности для широкого диапазона сетевых устройств — от Web-узлов и брандмауэров до серверов и рабочих станций, работающих в средах UNIX, Windows 95, Windows NT, и всех других устройств, работающих с протоколом TCP/IP.
Пакет ISS состоит из трех программ: Web Security Scanner, Firewall Scanner, Intranet Scanner. Отметим некоторые общие характеристики пакета ISS.
1. Автоматизированное и конфигурируемое сканирование:
·        автоматическая идентификация и создание отчетов по слабым местам;
·        плановое периодическое сканирование или сканирование после определенных событий;
·        конфигурация сканирования по адресам IP, типам слабых мест, рискам и другим устанавливаемым пользователями критериям;
·        автоматическая коррекция ключевых слабых мест;
·        надежность и повторяемость.
2. Обеспечение безопасности:
·        возможность управления рисками;
·        инвентаризация всех сетевых устройств и идентификация существующих базовых слабых мест;
·        распределение приоритетов по степеням риска (высокий, средний, низкий);
·        анализ и сравнение базовых отчетов для использования в будущих оценках;
·        создание цепи обратной связи при реализации политики безопасности.
3. Простота пользования:
·        графические интерфейсы пользователя Windows NT и Motif UNIX;
·        создание отчетов в формате HTML с упорядочением по типам слабых мест, классам рисков, host-именам и адресам IP;
·        двухмерная сетевая карта, облегчающая поиск слабых мест;
·        централизация процедур сканирования, управления и мониторинга.[5]
Программа Web Secure Scanner предназначена для поиска слабых мест безопасности на Web-серверах. Обеспечивает аудит ОС, под управлением которой работает Web-сервер, программ приложений, установленных на Web-сервере, и сценариев CSI в Web-приложениях. Проводит тестирование конфигурации Web-сервера, оценивает уровень безопасности основной файловой системы и просматривает сценарии CSI на наличие слабых мест. По итогам тестирования создается отчет с описанием обнаруженных слабых мест и рекомендациями по корректирующим действиям.
Программа Firewall Scanner обеспечивает поиск слабых мест в брандмауэрах, прежде всего в их конфигурации, и предоставляет рекомендации по их коррекции. Проводит тестирование реакции брандмауэров на различные типы попыток нарушения безопасности. Выполняет сканирование сервисов – идентификацию всех сетевых сервисов, доступ к которым осуществляется через брандмауэр. Программу Firewall Scanner рекомендуется сделать частью установки брандмауэра и составной частью программы обеспечения безопасности.
Программа Intranet Scanner предназначена для автоматического обнаружения потенциальных слабых мест внутри сетей с использованием различных тестов для проверки реакции на несанкционированные проникновения. Обеспечивает проверку различных сетевых устройств, включая UNIX-компьютеры, системы, работающие под управлением ОС Windows NT/95 фирмы Microsoft, маршрутизаторы, Web-серверs и X-терминалы.
1.3. Защита каналов связи в Internet В июле 1997 г. вышел руководящий документ «Средства вы­числительной техники. Межсетевые экраны. Защита от несанк­ционированного доступа к информации. Показатели защищенно­сти от несанкционированного доступа» Гостехкомиссии при Пре­зиденте РФ (полный текст можно найти в информационном бюл­летене   «Jet  Info»  №   17-18   1997   г.   и   на  узле www.infotecs.ru/gtc/RD_ekran.htm ). В этом документе дана классификация МЭ в зависимости от степени обеспечиваемой ими защиты от НСД. Определение самого МЭ таково: МЭ — это ло­кальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, по­ступающей в автоматизированную систему (АС) и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации ин­формации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.
Устанавливается пять классов защищенности МЭ: 5 (самый низкий) — применяется для безопасного взаимодействия АС клас­са 1 Д с внешней средой, 4 — для 1 Г, 3 — 1 В, 2 — 1 Б, 1 (самый вы­сокий) — для 1А. (Напомним, что Гостехкомиссией РФ установ­лено девять классов защищенности АС от НСД, каждый из кото­рых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отли­чающиеся спецификой обработки информации. Класс с цифрой «1» включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней кон­фиденциальности, и не все пользователи имеют равные права дос­тупа.)
В [2] приведена некоторая справочная информация, где даны описания не­скольких систем МЭ. Список сертифицированных Гостехкомиссией РФ МЭ на июнь 1999 г. состоял из десяти наименований:
1) автоматизированная система разграничения доступа Black Hole (Milkyway Networks) версии BSDI-OS;
2) средство защиты от НСД в сетях передачи данных по про­токолу TCP/IP «ПАНДОРА» на базе Gauntlet 3.1.Н (Trusted Information Systems) и компьютера 02 (Silicon Graphics) под управлением IRIX 6.3;
3) аппаратно-программный комплекс «Застава-Джет» компа­нии Jet Infosystems и ЦНИИ-27 Министерства обороны РФ;
4) МЭ «Застава» FortE+ фирмы ЭЛВИС+;
5) партия средств программного обеспечения межсетевого эк­рана FireWall-1 фирмы Checkpoint Software Technologies;
6) комплекс защиты информации от НСД «Data Guard/24S»;
7) программный продукт SKIP для регулирования доступа на интерфейсе локальная/глобальная сеть под управлением ОС Windows 3.11 и Solaris 2.4;
8) единичные образцы программного обеспечения МЭ AltaVista Firewall 97 фирмы AltaVista Internet Software;
9) партия из 20 экземпляров МЭ «Cyber Guard» версия 4.0, по­зволяющего создавать защищенные корпоративные сети на базе протокола Х.25 и Frame Relay;
10) Firewall/Plus фирмы Network-1 Software and Technologies.
Список МЭ, сертифицированных Международной ассоциацией компьютерной   безопасности,   можно   найти   по   адресу www.icsa.net. Ниже более подробно описаны функции одного из них.
Межсетевой экран защиты интрасети ПАНДОРА на базе Gauntlet 3.1.1i фирмы Trusted Information Systems и компьютера 02 фирмы Silicon Graphics под управлением IRIX 6.3 надежно ре­шает проблему безопасности сети и позволяет:
• скрыть от пользователей глобальной сети структуру интра­сети (IP-адреса, доменные имена и т.д.);
• определить, каким пользователям, с каких хостов, в на­правлении каких хостов, в какое время, какими сервисами можно пользоваться;
• описать для каждого пользователя, каким образом он дол­жен аутентифицироваться при доступе к сервису;
• получить полную статистику по использованию сервисов, попыткам НСД, графику через ПАНДОРУ и т.д.
ПАНДОРА устанавливается на компьютер с двумя Ethernet-интерфейсами на выходе между интраеетью и сетью общего поль­зования.
ПАНДОРА построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы: TELNET, Riogin (терминалы); FTP (передача данных); SMTP, POP3 (почта);
HTTP (WWW); Gopher; XI 1 (X Window System); LP (сетевая пе­чать); Rsh (удаленное выполнение задач); Finger; NNTP (новости Usenet); Whois; RealAudio. Кроме того, в состав ПАНДОРЫ входит сервер общего назначения TCP-уровня, который позволяет безо­пасно транслировать через ПАНДОРУ запросы от базирующихся на TCP протоколов, для которых нет proxy-серверов, а также сер­вер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.
Для аутентификации пользователей ПАНДОРА позволяет при­менять следующие схемы аутентификации:
·        обычный Unix-пароль;
·        S/Key, MDauth (одноразовые пароли).
·        РОРЗ-ргоху   дает   возможность   использовать   АРОР-авторизацию и тем самым избежать передачи по сети открытого пароля.
·        FTP-proxy позволяет ограничить применение пользователями отдельных команд (например RETR, STOR и т.д.)
·        HTTP-proxy позволяет контролировать передачу через ПАНДОРУ фреймов; описаний на языке Java; описаний на языке JavaScript; html-конструкций, не попадающих под стандарт HTML версии 2 и т.д.
Система сбора статистики и генерации отчетов позволяет со­брать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя (если есть), а также аномалии в самой системе.
ПАНДОРА не требует ни внесения изменений в клиентское ПО, ни использования специального ПО.
Прозрачный режим работы proxy-серверов позволяет внутрен­ним пользователям соединяться с нужным хостом за один шаг (т.е. без промежуточного соединения с ПАНДОРОЙ).
Система контроля целостности позволяет контролировать безопасность модулей самой системы.
Графический интерфейс управления служит для настройки, администрирования и просмотра статистики ПАНДОРЫ.
ПАНДОРА поставляется вместе с исходными текстами основ­ных программ, для того чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.
ПАНДОРА сертифицирована Государственной Технической Комиссией при Президенте России. Сертификат N 73 выдан 16 ян­варя 1997 г. и действителен до 16 января 2000 г: "… система защи­ты информации от НСД в сетях передачи данных по протоколу TCP/IP — межсетевой экран «ПАНДОРА» (ТУ N 1-97) на базе меж­сетевого экрана «Gauntlet» версии 3.1.Н..., функционирующая на платформе операционной системы IRIX v.6.3 фирмы Silicon Graphics, является средством зашиты информации и обеспечивает защиту участка интрасети от доступа извне, не снижая уровня за­щищенности участка интрасети, соответствует техническим усло­виям № 1-97 и требованиям Руководящего документа Гостехко-миссии России «Автоматизированные системы. Защита от несанк­ционированного доступа к информации. Классификация автомати­зированных систем и требования по защите информации» в части администрирования для класса ЗБ".
Задача выбора МЭ для каждого конкретного применения-это, главным образом, вопрос верного соотношения требований пользователей к доступу и вероятности несанкционированного доступа. В идеале система должна предотвращать всякое несанк­ционированное вторжение. Однако, учитывая широкий спектр не­обходимых пользователям сервисов (Web, ftp, telnet, SNMP, NFS, телефония и видео в Internet, электронная почта и др.), наряду с изначальной открытостью комплекта протоколов TCP/IP, — этого идеала достигнуть очень тяжело. В действительности, мерой эф­фективности МЭ служит вовсе не его способность к отказу в пре­доставлении сервисов, но его способность предоставлять сервисы пользователям в эффективной, структурированной и надежной среде. МЭ должны уметь анализировать приходящий и исходящий сетевой трафик и правильно определять, какие действия санкцио­нированы без ненужного замедления работы системы.[2]
И в заключение данного раздела приведем некоторые рекомен­дации по выбору МЭ, которые выработала Ассоциация «Конфидент».
1). Цена. Она колеблется существенно — от 1000 до 15000 долл. при покупке непосредственно у фирм-производителей, большинство которых находится в США; у российских дилеров эти цифры значительно выше из-за таможенных и налоговых сборов. Интересна и такая цифра — цена МЭ для Windows NT в сред­нем составляет 6000 долл. К этой цене надо добавить расходы на аппаратную платформу и ОС, которые могут быть весьма значи­тельными и соизмеримыми со стоимостью самого МЭ — напри­мер, как в случае использования компьютеров Sun под управлени­ем ОС Solaris. Поэтому с точки зрения экономии разумно приме­нять МЭ, ориентированные на Intel-платформу и ОС DOS, Windows NT, Novel 1 NetWare.
2). Фильтрация. Большинство МЭ работает только с семейст­вом протоколов TCP/IP, что связано с ориентацией разработчиков на потребности западного рынка. Этого достаточно, если МЭ при­меняется в классическом варианте — для контроля графика между интрасетью и Internet. Но в России, согласно имеющейся статисти­ке, 90 % рынка сетевых ОС составляет Novell Netware и поэтому важна фильтрация IPX-трафика. Кроме того, совершенно необхо­димой для внутреннего МЭ является способность фильтрации на уровне соединения — например, фильтрации Ethernet-фреймов. К сожалению, эта возможность реализована в очень немногих про­дуктах (например. Firewall Plus и Eiron Firewall).
3). Построение интрасети — при объединении сети организа­ции с Internet в качестве транспортной магистрали нужно исходить из имеющейся инфраструктуры. С этой точки зрения много воз­можностей, имеется в Netware: службы каталогов, управления, пе­чати, защиты и работы с файлами; GroupWise и ManageWise управляют электронным документооборотом и сетью; входящий в состав IntranetWare шлюз IPX/IP организует прозрачный доступ с IPX-станций к сервисам TCP/IP с помощью Winsock-совместимого клиентского ПО. Тогда IPX-сервер и IPX-станция не имеют IP-адресов и из Internet в принципе не видны. Поэтому организация атаки на их информационные ресурсы практически невозможна и защита IP-хостов гетерогенной сети IP-IPX решается проще, так как шлюз выполняет по отношению к ним функции МЭ. Примеры таких МЭ: BorderManager фирмы Novell и NetRoad FireWALL фирмы UkiahSoft.
4). Простота эксплуатации. Чтобы снизить текущие эксплуа­тационные расходы, лучше отдать предпочтение простым в экс­плуатации продуктам с интуитивно понятным графическим ин­терфейсом, иначе богатые возможности по настройке МЭ могут оказаться невостребованными. Этому критерию хорошо соответ­ствуют два продукта — Firewall Plus фирмы Network-1 и NetRoad FireWALL фирмы UkiahSoft.
1.4 Отечественные защищенные системы Российский стандарт шифрования данных ГОСТ 28147-89
Единственный в настоящее время коммерческий российский алгоритм ГОСТ 28147-89 является универсальным алгоритмом криптографической защиты данных как для крупных информационных систем, так и для локаль­ных вычислительных сетей и автономных компьютеров.
Многолетний опыт использования данного алгоритма показал его высокую надежность и удачную конструкцию. Этот алгоритм может реализовываться как аппаратным, так и программным способом, удовлетворяет всем крипто­графическим требованиям, сложившимся в мировой практике. Он также по­зволяет осуществлять криптозащиту любой информации, независимо от сте­пени ее секретности.
В алгоритме ГОСТ 28147-89 используется 256-разрядный ключ, представляемый в виде восьми 32-разрядных чисел, причем, расшифровываются данные с помощью того же ключа, посредством которого они были зашифрованы.
    продолжение
--PAGE_BREAK--