Конспекты
по Основам управления информационной безопасности
Изучение методов построения комплексной системы организационных и технических мер по защите информации
Цель работы
Изучить методы построения защищённой сетевой файловой системы.
Теоретическая часть
Модель ISO/OSI
Особенности архитектуры компьютерных сетей описаны семиуровневой моделью взаимодействия открытых систем (Open Systems Interconnection, OSI), разработанная Международным комитетом по стандартизации ISO (чаще всего используется сокращенное наименование – «модель ISO/OSI» или просто «модель OSI»). В соответствии с концептуальными положениями этой модели процесс информационного обмена в компьютерных сетях можно разделить на семь этапов в зависимости от того, каким образом, и между какими объектами происходит информационный обмен. Эти этапы называются уровнями модели взаимодействия открытых систем. Термин «открытая система» означает, то, что при построении этой системы были использованы доступные и открыто опубликованные стандарты и спецификации. Каждому уровню модели соответствует определенная группа стандартов и спецификаций.
Физический уровень
Самый низкий уровень модели взаимодействия открытых систем описывает процессы, происходящие на физическом уровне или уровне среды передачи. Информация, обрабатываемая в компьютерных сетях, представлена дискретными сигналами и при передаче в зависимости от характеристик среды представляется кодированием или модуляцией. Стандарты физического уровня устанавливают требования к составляющим среды: кабельной системе, разъемам, модулям сопряжения со средой, формату сигналов при кодировании и модуляции.
Канальный уровень
Обеспечение безопасности разделения среды передачи коммуникационными средствами канального уровня. Протоколы и стандарты этого уровня описывают процедуры проверки доступности среды передачи и корректности передачи данных. Осуществление контроля доступности среды необходимо т.к. спецификации физического уровня не учитывают то, что в некоторых сетях линии связи могут разделяется между несколькими взаимодействующими узлами и физическая среда передачи может быть занята. Подавляющее большинство компьютерных сетей построено на основе технологий Ethernet, Fast Ethernet и Gigabit Ethernet. Алгоритм определения доступности среды для всех технологий одинаков и основан на постоянном прослушивании среды передачи всеми подключенными к ней узлами. Эта особенность используется злоумышленниками для организации различных видов атак на компьютерные сети. Даже при условии соблюдения рекомендаций относительно исключения разделения среды передачи злоумышленник может осуществить прослушивание трафика между произвольно выбранной парой узлов компьютерной сети. Причем использование простых коммутаторов не является серьезной преградой для злоумышленника. Утверждение о полной защищенности сетей, построенных на основе топологии физических связей «звезда» и оснащенных простыми коммутаторами, является серьезным заблуждением.
Сетевой уровень
Использование в компьютерной сети протоколов сетевого уровня является необходимым условием для обеспечения взаимодействия между узлами сетей с различными канальными протоколами. Сетевые протоколы позволяют преодолеть ограничения, накладываемые спецификациями канального уровня. Например, позволяют объединить компьютерную сеть предприятия с сетью интернет-провайдера с использованием телефонных сетей общего пользования. Сделать это только средствами канальных протоколов достаточно сложно. Кроме того, объединение двух различных по назначению сетей с использованием мостов крайне отрицательно сказывается на уровне защищенности объединяемых сетей. В большинстве случаев администратор и служба безопасности предприятия не могут полностью проинвентаризировать узлы подключаемой сети, и, следовательно, формализовать правила обмена кадрами канального уровня.
Транспортный уровень
Использование свойств транспортных протоколов создает наиболее эффективную преграду деятельности злоумышленника. Здесь для защиты используются признаки, содержащиеся в заголовках сегментов (сегмент – блок данных с которыми работает транспортный протокол) транспортного протокола. Этими признаками являются тип транспортного протокола, номер порта и флаг синхронизации соединения.
Прикладной уровень
Большинство телекоммуникационного оборудования поддерживают сетевой протокол Secure Shell (SSH). SSH протокол является протоколом для безопасной сети связи предназначены для относительно простой и недорогой в реализации. Первоначальная версия, SSH1, направлены на обеспечение безопасного удаленного объекта входа в систему для замены Telnet и других удаленных схем входа в систему, не представила безопасности. SSH также предоставляет более общий клиент-серверных возможностей и может быть использован для обеспечения таких сетевых функций, как передача файлов и электронной почты. Новая версия, SSH2, обеспечивает стандартизированный определение SSH и улучшает SSH1 во многих отношениях. SSH2 описана в качестве предлагаемого стандарта в документах RFC 4250 по 4256.
Доступ к сетевым ресурсам организации можно регулировать путем создания списков контроля доступа Login ACL, которые позволяют точно определить конкретные разрешения и условия для получения доступа к ресурсам внутренней сети
Контрольные вопросы
Что называется телекоммуникационной инфраструктурой предприятия?
Телекоммуникационная инфраструктура — это совокупность взаимосвязанных подсистем, решающих задачи передачи различной информации от множества источников как внутри организации, так и при взаимодействии с внешним миром.
Назовите основные уровни модели OSI, используемые для защиты телекоммуникационной инфраструктуры.
- Физический
- Канальный
- Сетевой
- Транспортный
- Прикладной
Назовите основные компоненты защищенной телекоммуникационной инфраструктуры.
- Программно-аппаратный комплекс информационной безопасности
- Телекоммуникационная инфраструктура, обеспечивающая внешнюю связь
- Внутренняя телекоммуникационная инфраструктура
- Средства печати и копирования данных, издательские системы
- Рабочие станции общего назначения
Перечислите основные методы защиты телекоммуникационной инфраструктуры на канальном уровне.
- Администратор службы безопасности должен вести инвентаризационную ведомость соответствия аппаратных и сетевых адресов всех узлов сети предприятия.
- Службой безопасности, совместно с отделом информационных технологий, должна быть разработана политика защиты компьютерной сети средствами канального уровня, определяющая допустимые маршруты передачи кадров канального уровня. Разработанная политика должна запрещать связи типа «один-ко-многим», не обоснованные требованиями информационной поддержки деятельности предприятия. Политикой также должны быть определены рабочие места, с которых разрешено конфигурирование средств коммутации канального уровня.
- Средства коммутации канального уровня, используемые в компьютерной сети предприятия, должны быть настраиваемыми и обеспечивать разграничение доступа между узлами сети в соответствии с разработанной политикой. Как правило, такие средства поддерживают технологию VLAN, позволяющую в рамках одного коммутатора выделить группы аппаратных адресов и сформировать для них правила трансляции кадров.
- Администратор сети должен выполнить настройку подсистемы управления VLAN коммутатора, и других подсистем, необходимых для реализации разработанной политики защиты. В обязанности администратора входит также отключение неиспользуемых подсистем коммутатора.
- Администратор сети должен регулярно контролировать соответствие конфигураций коммутаторов разработанной политике защиты.
- Администратор сети должен вести мониторинг сетевой активности пользователей с целью выявления источников аномально высокого количества широковещательных запросов.
- Служба безопасности должна контролировать регулярность смены реквизитов авторизации администратора в подсистемах управления коммутаторами.
- Служба безопасности должна контролировать регулярность выполнения администратором мероприятий, связанных с мониторингом сети, осуществлением профилактических работ по настройке коммутаторов, а также созданием резервных копий конфигураций коммутаторов.
- Служба безопасности должна обеспечить строгий контроль доступа в помещения, в которых расположены коммутаторы и рабочие станции, с которых разрешено управление коммутаторами.
Перечислите основные методы защиты телекоммуникационной инфраструктуры на сетевом уровне.
- Мониторинг сети.
- Поддержка виртуальных узлов в резервном диапазоне адресов.
- Формализация правил обмена кадрами канального уровня (максимально инвентаризовать узлы подключаемой сети, если есть такая возможность)
- Использование таких протоколов безопасности, как IPSec