Защищенные информационные технологии в экономике - Программирование, компьютеры и кибернетика реферат

Главная

Программирование, компьютеры и кибернетика
Защищенные информационные технологии в экономике

Защищенные информационные технологии в Internet. Защита архитектуры "клиент - сервер". Анализ защищенности операционных систем. Защита каналов связи в Internet. Отечественные защищенные системы. Интегральные устройства защиты информации.


посмотреть текст работы


скачать работу можно здесь


полная информация о работе


весь список подобных работ


Нужна помощь с учёбой? Наши эксперты готовы помочь!
Нажимая на кнопку, вы соглашаетесь с
политикой обработки персональных данных

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Реферат «Защищенные информационные технологии в экономике»
Под термином "информационная безопасность", согласно оп-ределению Гостехкомиссии при Президенте РФ, понимают со-стояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз: от нежелательного ее разглашения (нарушения конфиденциальности), искажения (нарушения целост-ности), утраты или снижения степени доступности информации, а также ее незаконного тиражирования, которые приводят к материальному или моральному ущербу владельца или пользова-теля информации. Соответственно, под защитой информации подразумевается комплекс мероприятий, проводимых с целью предотвращения от действий угроз безопасности информации, где угроза является потенциальной возможностью нарушения безо-пасности информации.
Когда говорят об информационной безопасности, то имеют в виду широкий спектр проблем: от стихийных бедствий и проблем с электропитанием до искушенных злоумышленников, которые используют вычислительные системы к своей выгоде, или шпио-нов, которые охотятся за государственными и коммерческими сек-ретами [2].
Функционирование современной информационной системы определяется взаимодействием различных приложений, работающих в распределенной среде с использованием механизмов различных операционных систем, которые установлены на серверах и рабочих станциях. Чтобы эффективно реализовать преимущества работы с распределенными ресурсами, используются сетевые решения, зачастую достаточно сложные как структурно, так и функционально. Обеспечение безопасности такой системы требует проведения целого комплекса мероприятий в соответствии с разработанной на предприятии политикой информационной безопасности.[5]
Важнейшими на практике являются следующие три аспекта информационной безопасности:
доступность (возможность за разумное время получить требуемую информационную услугу);
целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
конфиденциальность (защита от несанкционированного ознакомления).
В основе общения с сетью Internet лежит технология кли-ент/сервер. Определений архитектуры клиент/сервер очень много. В общем случае это такой способ проектирования информацион-ной системы, при котором она может быть рассмотрена как сово-купность некоторого числа подсистем двух видов -- клиентской и серверной. Клиентская часть системы инициирует запросы, а сер-верная обрабатывает запросы и при необходимости генерирует от-веты клиенту.
Принято разделять классическую и многозвенную архитектуру клиент/сервер. В первом случае имеется выделенный сервер, который полностью обрабатывает запросы некоторого числа кли-ентов. Типичным примером такого сервера является сервер баз данных. Такой подход требует высоких аппаратных затрат для оборудования сервера. Также должна обеспечиваться бесперебой-ная работа самого сервера, что требует очень серьезного подхода к его администрированию и разработке ПО для него.
Программы управления безопасностью в распределенных сис-темах - мониторы безопасности - используют глобальные таблицы безопасности (ГТБ), в ко-торых хранятся пользовательские пароли для доступа ко всем уз-лам системы. Если пользователь правильно вводит первый пароль, от ввода остальных он освобождается. Всю работу за него выпол-няет монитор, который следит за тем, к какой подсистеме обраща-ется пользователь, выбирает нужный пароль из таблицы и переда-ет его на вход соответствующей подсистемы. В сложных сетевых средах для реализации процедур однократной регистрации приме-няются также доверительные отношения между серверами разных доменов[2].
На российском рынке представлены, в основном, программные средства компьютерной защиты среды «клиент - сервер»[2].
AutoSecure фирмы Platinum Technology. ПО AutoSecure (пер-воначально известное под именем SeOS компании Метсо Software) представляет собой набор средств защиты вычислитель-ных систем с серверами под ОС Unix, HP-UX, AIX и SunOS/Solaris и клиентскими станциями с интерфейсом Motif.
В состав программы входят три независимых модуля:
1) AutoSecure Access Control -- контролирует доступ пользо-вателей к защищаемым программам и файлам, а в случае попыток несанкционированного доступа извещает о них администратора системы;
2) AutoSecure Security Administrator -- служит для ведения списков пользователей, групп пользователей, защищаемых ресур-сов, настройки прав доступа пользователей к ресурсам;
3) AutoSecure Single Sign On - открывает пользователям дос-туп к данным, хранящимся на мэйнфреймах. В этом случае администратор и пользователи получают такой же уровень безопасно-сти и комфортности, как и на больших машинах, где используются системы RACF корпорации IBM или ACF2 от Computer Associates.
Ниже приведены основные особенности продукта фирмы Platinum:
* защита корпоративных данных от НСД за счет идентифи-кации пользователей и проверки их полномочий;
* предотвращение случаев нарушения системы защиты и уведомление системного администратора при обнаружении попы-ток "взлома" и подозрительного поведения пользователей (вроде попыток подбора пароля, запуска приложений из закрытых ката-логов и пр.);
* фиксация пользовательской активности в системных журналах;
* возможность администрирования системы защиты с ло-кальных или удаленных компьютеров;
* масштабируемость системы в зависимости от размера ком-пьютерной сети;
* минимизация сетевого графика без снижения общей произ-водительности за счет обработки авторизованного запроса на том компьютере, откуда он поступил;
* возможность адаптации к промышленным стандартам за счет поддержки технологии защиты, принятой в распределенной вычислительной среде DCE;
* возможность ограничения прав суперпользователя (пользо-ватель Unix с максимальными правами доступа).
Guardian DataLynx . Guardian за короткий срок стал стандартом де-факто для систем учета и контроля доступа в среде Unix. Про-грамма поддерживает около 20 версий этой ОС и имеет общий для всех платформ графический интерфейс Motif. С помощью ПО Guardian администратор системы может назначить временные рамки, в пределах которых пользователи могут регистрироваться в системе. Как только время работы истекает, Guardian вынуждает пользователя закончить работу.
Большое внимание система уделяет дисциплине ведения паро-лей. Так, программа регулярно напоминает пользователям о необходимости смены паролей, заставляет всех или некоторых пользо-вателей изменять пароли при очередной регистрации, ведет учет ранее вводимых паролей, автоматически генерирует миллионы па-ролей с форматным контролем (FIPS-181). Когда пользователь превышает число допустимых попыток ввода паролей, Guardian блокирует его вход в систему. Предусмотрено постоянное ведение журналов, в которых фиксируется история работы пользователей.
Программа функционирует на компьютерах HP, IBM и Sun Microsystems.
OmniGuard фирмы Axent Technologies - комплект продуктов, предназначенный для решения проблем безопасности в системах клиент/сервер. Пакет состоит из шести компонентов, позволяющих администрировать базы данных в распределенных сетях масштаба предприятия.
Функции продукта охватывают все аспекты проблемы безо-пасности в архитектурах клиент/сервер, включая управление за-щитой данных, идентификацию и администрирование пользовате-лей, мониторинг графика, контроль за вторжением в систему из-вне, обеспечение безопасного обмена сообщениями и файлами.
OmniGuard реализован в архитектуре клиент/сервер, поддер-живает несколько платформ и конструктивно состоит из трех час-тей: презентационной части, управляющего сервера и интеллекту-ального агента. По желанию интерфейс пользователя может быть настроен под X/Motif или Windows. Управляющий сервер работает на платформах NetWare, OpenVMS и различных вариантах Unix.
DBA - Xpert for Oracle фирмы Compuware -- средство центра-лизованного администрирования и обеспечения защиты информа-ции в распределенных системах.
Продукт поддерживает работу с произвольным числом баз данных. Имеются средства анализа и навигации для БД Oracle.
Состоит из трех компонентов: Secure-Xpert (централизованное управление системой безопасности для распределенных данных), Change-Xpert (функции синхронизации) и Reorg-Xpert (операции по загрузке/выгрузке данных).
SQL Secure 3.1 фирмы BrainTree Technology -- приложение класса клиент/сервер для администрирования средств защиты ин-формации в базах данных Oracle. Программа фиксирует попытки внедрения в систему извне, синхронизирует пароли пользователей в нескольких БД, позволяет гибко настроить процесс внутреннего аудита, регламентирует доступ пользователей к таблицам базы данных на уровне строк.
Благодаря компоненту Password Manager пользователь может работать с несколькими базами данных на разных аппаратных платформах, используя единый пароль. Кроме того, возможна на-стройка механизма управления паролями пользователей в соответ-ствии с принятыми в конкретной организации стандартами: преду-смотрено задание минимальной длины пароля и срока его дейст-вия, допустимого числа попыток подбора пароля при регистрации в базе данных.
Администратор может запрограммировать ряд действий, вы-полняемых в случае обнаружения в системе несанкционированно-го пользователя или попыток ее "взлома", к которым относятся за-прет дальнейшей работы с БД и активизация аварийной процедуры.
Программный модуль Audit Manager предназначен для про-смотра аудиторских журналов. При этом возможно наложение фильтра просмотра и определение порядка сортировки записей в журналах. Дополнительно можно описать критические события и действия, которые должны выполняться в случае их возникновения.
Secure Network Services фирмы Oracle -- набор сервисных средств, предназначенный для работы с продуктом SQL*Net кор-порации Oracle и поддерживающий стандарт шифрования инфор-мации R4 компании RSA Data Security. Аппаратные платформы -- DEC, Hewlett-Packard, Silicon Graphics и др.
Для анализа защищенности ОС разрабатываются специализи-рованные средства. Средства данного класса позволяют произво-дить ревизию перечисленных выше механизмов защиты ОС: под-системы разграничения доступа, механизмов идентификации и ау-тентификации, средств мониторинга, аудита и других компонент с точки зрения соответствия их конфигурации требуемому уровню защищенности системы. Кроме этого, производится контроль це-лостности ПО (включая неизменность программного кода и сис-темных установок с момента предыдущего анализа) и проверка наличия уязвимостей системных и прикладных служб. Такая про-верка производится с использованием базы данных об уязвимостях сервисных служб или определенных версий программного обеспе-чения, которая входит в состав средств анализа.
Кратко рассмотрены в [2] некоторые средства анализа защищенности ОС.
ASET ( Automated Security Tool ) -- это программное средство администратора ОС Solaris, обеспечивающее автоматизированное выполнение задач мониторинга и контроля уровня безопасности указанной ОС.
ASET поддерживает три уровня безопасности, накладывающие определенные требования к защищенности системы в целом: низ-кий, средний и высокий. Низкий уровень после последовательных проверок гарантирует, что атрибуты всех системных файлов соот-ветствуют стандартным установкам. ASET выдает отчет о потен-циальных уязвимостях системы, но на данном уровне не произво-дит каких-либо действий по устранению обнаруженных уязвимо-стей. Средний уровень обеспечивает контроль большинства объек-тов системного окружения. ASET модифицирует некоторые атри-буты системных файлов и переменных окружения, а также ограничивает доступ в систему, уменьшая таким образом возможность успешного проведения атак. ASET выдает отчет об обнару-женных уязвимостях, о произведенных изменениях атрибутов файлов и об введенных ограничениях доступа в систему. Измене-ния сервисных служб на данном уровне не производятся. При вы-соком уровне гарантируется высокая защищенность системы и мо-дифицируются атрибуты всех системных файлов и переменных окружения. Большинство системных приложений и команд про-должает функционировать в обычном режим, но задачи обеспече-ния безопасности обладают наивысшим приоритетом над систем-ными и пользовательскими задачами.
ASET выполняет семь основных задач по мониторингу и управлению уровнем безопасности системы. Для каждой из задач производятся свои специфические проверки и модификации, а также генерируются отчеты по обнаруженным уязвимостям и вы-полненным изменениям в системных файлах. Проверке подвер-гаются:
* атрибуты доступа и использования системных файлов;
* соответствие системных файлов их описаниям в шаблонах безопасности:
* уровень защиты низкоуровневой конфигурации eeprom;
* уровень защищенности при использовании системы в каче-стве МЭ.
ASET можно использовать как в интерактивном режиме с вы-зовом из командной строки, так и в автоматическом режиме с оп-ределенной периодичностью.
Пакет программ COPS (Computer Oracle and Password System) Д. Фармера -- свободно распространяемое средство администра-тора безопасности Unix-систем для обнаружения уязвимостей в подсистеме безопасности ОС SunOS, FreeBSD, IRIX, AIX, 4.3BSD, Ultrix, HP-Unix, NeXT и некоторых других. Ядро системы - это собрание приблизительно десятка программ, каждая из которых находит различные проблемы в Unix-безопасности. Эти програм-мы проверяют:
* файлы, директории и устройства по разрешенному доступу;
* надёжность паролей методом перебора с использованием словаря;
* содержание, формат и безопасность паролей и групп паролей;
* файлы с атрибутом смены идентификатора пользователя;
* программы и файлы, запускаемые в /etc/rc/*;
* наличие root - SUID файлов, возможность их записи, и яв-ляются ли они подлинными;
* контрольные суммы ключевых файлов, чтобы выявлять любые изменения;
* целостность исполнимого кода системных программ;
* возможность записи файлов пользователей и файлов запус-ка (.profile, cshrc и т.д.);
* неограниченный ftp, вымышленное имя в sendmail;
* проводит различные проверки root;
* наличие отношений доверия с удаленными системами;
* права доступа к домашним каталогам и стартовым файлам пользователей;
* даты ознакомления с материалами CERT по безопасности;
* содержит набор правил и попыток для определения того, как может быть скомпрометирована система.
Результатом работы COPS является отчет, который может быть представлен в виде текстового файла либо автоматически отправ-лен заданному адресату по электронной почте. Устранения обна-руженных уязвимостей данным продуктом не производятся. Вме-сто этого по результатам сканирования создается командный файл, содержащий последовательность команд по ликвидации выявлен-ных уязвимостей.
COPS может быть запущено от лица пользователя, не обла-дающего привилегированными правами, однако в данном случае тестирование системы будет неполным.
Среди недостатков можно отметить следующее. Работа COPS приводит к уменьшению производительности системы. При про-ведении оценки стойкости паролей значительно увеличиваются вычислительные и временные затраты, поэтому запуск COPS ре-комендуется производить в часы наименьшей загрузки системы.
Система System Security Scanner ( SSS ) фирмы Internet Security Systems Inc . -- средство разового или регулярного анали-за степени безопасности ОС Solaris 2.x, SunOS 4.1.x, Linux 1.2/1.3, AIX 3.2.5, HP-UX 9.05, 10.Х (beta) и управления защищенностью этих систем в соответствии с политикой безопасности организа-ции. SSS осуществляет контроль прав доступа к файлам, проверку владельцев файлов, анализ конфигурации сетевых служб, настрой-ку пользовательских и системных бюджетов. Кроме этого, иссле-дуется возможность наличия закладок и других следов проникно-вения злоумышленников. Отчеты о результатах анализа содержат детализированное описание найденных уязвимостей и последова-тельностей действий администратора по их устранению. SSS не производит запуск корректирующего сценария самостоятельно, а только предлагает возможность его применения. Хранение резуль-татов тестирования производится в специальной базе данных, со-держащей информацию об известных уязвимостей (их более 250) и способах их устранения.
Система SSS позволят производить распределенное сканирова-ние нескольких удаленных систем с одной управляющей рабочей станции. При этом, конфигурация механизмов сканирования уда-ленных систем и обработка результатов производится на управ-ляющем ПК, а на удаленных системах запускается только скани-рующий агент. Результаты сканирования удаленных систем пере-даются по протоколу TCP в закодированном виде.
Возможности тестирования системы определяются выбранны-ми для сканирования уязвимостями. SSS позволяет производить сканирование системы с различными специально созданными конфигурациями сканирования, что позволяет заранее настраивать через несколько файлов конфигурации разноуровневое сканирова-ние для периодического тестирования системы. Все обнаруженные уязвимости рассортированы по типам, соответствующим областям системы, и выделены определенным цветом, обозначающим уро-вень важности.[1]
Пакет программ Internet Scanner SAFEsuite (ISS) предназначен для проведения комплексной оценки эффективности политики безопасности на уровне сетевых сервисов. Он предоставляет возможности для идентификации и коррекции более 140 известных слабых мест и постоянного наблюдения за состоянием безопасности для широкого диапазона сетевых устройств - от Web-узлов и брандмауэров до серверов и рабочих станций, работающих в средах UNIX, Windows 95, Windows NT, и всех других устройств, работающих с протоколом TCP/IP.
Пакет ISS состоит из трех программ: Web Security Scanner, Firewall Scanner, Intranet Scanner. Отметим некоторые общие характеристики пакета ISS.
1. Автоматизированное и конфигурируемое сканирование:
· автоматическая идентификация и создание отчетов по слабым местам;
· плановое периодическое сканирование или сканирование после определенных событий;
· конфигурация сканирования по адресам IP, типам слабых мест, рискам и другим устанавливаемым пользователями критериям;
· автоматическая коррекция ключевых слабых мест;
· инвентаризация всех сетевых устройств и идентификация существующих базовых слабых мест;
· распределение приоритетов по степеням риска (высокий, средний, низкий);
· анализ и сравнение базовых отчетов для использования в будущих оценках;
· создание цепи обратной связи при реализации политики безопасности.
· графические интерфейсы пользователя Windows NT и Motif UNIX;
· создание отчетов в формате HTML с упорядочением по типам слабых мест, классам рисков, host-именам и адресам IP;
· двухмерная сетевая карта, облегчающая поиск слабых мест;
· централизация процедур сканирования, управления и мониторинга.[5]
Программа Web Secure Scanner предназначена для поиска слабых мест безопасности на Web-серверах. Обеспечивает аудит ОС, под управлением которой работает Web-сервер, программ приложений, установленных на Web-сервере, и сценариев CSI в Web-приложениях. Проводит тестирование конфигурации Web-сервера, оценивает уровень безопасности основной файловой системы и просматривает сценарии CSI на наличие слабых мест. По итогам тестирования создается отчет с описанием обнаруженных слабых мест и рекомендациями по корректирующим действиям.
Программа Firewall Scanner обеспечивает поиск слабых мест в брандмауэрах, прежде всего в их конфигурации, и предоставляет рекомендации по их коррекции. Проводит тестирование реакции брандмауэров на различные типы попыток нарушения безопасности. Выполняет сканирование сервисов - идентификацию всех сетевых сервисов, доступ к которым осуществляется через брандмауэр. Программу Firewall Scanner рекомендуется сделать частью установки брандмауэра и составной частью программы обеспечения безопасности.
Программа Intranet Scanner предназначена для автоматического обнаружения потенциальных слабых мест внутри сетей с использованием различных тестов для проверки реакции на несанкционированные проникновения. Обеспечивает проверку различных сетевых устройств, включая UNIX-компьютеры, системы, работающие под управлением ОС Windows NT/95 фирмы Microsoft, маршрутизаторы, Web-серверs и X-терминалы.
В июле 1997 г. вышел руководящий документ "Средства вы-числительной техники. Межсетевые экраны. Защита от несанк-ционированного доступа к информации. Показатели защищенно-сти от несанкционированного доступа" Гостехкомиссии при Пре-зиденте РФ (полный текст можно найти в информационном бюл-летене "Jet Info" № 17-18 1997 г. и на узле http://www.infotecs.ru/gtc/RD_ekran.ht m ). В этом документе дана классификация МЭ в зависимости от степени обеспечиваемой ими защиты от НСД. Определение самого МЭ таково: МЭ - это ло-кальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, по-ступающей в автоматизированную систему (АС) и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации ин-формации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.
Устанавливается пять классов защищенности МЭ: 5 (самый низкий) -- применяется для безопасного взаимодействия АС клас-са 1 Д с внешней средой, 4 -- для 1 Г, 3 -- 1 В, 2 -- 1 Б, 1 (самый вы-сокий) -- для 1А. (Напомним, что Гостехкомиссией РФ установ-лено девять классов защищенности АС от НСД, каждый из кото-рых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отли-чающиеся спецификой обработки информации. Класс с цифрой "1" включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней кон-фиденциальности, и не все пользователи имеют равные права дос-тупа.)
В [2] приведена некоторая справочная информация, где даны описания не-скольких систем МЭ. Список сертифицированных Гостехкомиссией РФ МЭ на июнь 1999 г. состоял из десяти наименований:
1) автоматизированная система разграничения доступа Black Hole (Milkyway Networks) версии BSDI-OS;
2) средство защиты от НСД в сетях передачи данных по про-токолу TCP/IP "ПАНДОРА" на базе Gauntlet 3.1.Н (Trusted Information Systems) и компьютера 02 (Silicon Graphics) под управлением IRIX 6.3;
3) аппаратно-программный комплекс "Застава-Джет" компа-нии Jet Infosystems и ЦНИИ-27 Министерства обороны РФ;
4) МЭ "Застава" FortE+ фирмы ЭЛВИС+;
5) партия средств программного обеспечения межсетевого эк-рана FireWall-1 фирмы Checkpoint Software Technologies;
6) комплекс защиты информации от НСД "Data Guard/24S";
7) программный продукт SKIP для регулирования доступа на интерфейсе локальная/глобальная сеть под управлением ОС Windows 3.11 и Solaris 2.4;
8) единичные образцы программного обеспечения МЭ AltaVista Firewall 97 фирмы AltaVista Internet Software;
9) партия из 20 экземпляров МЭ "Cyber Guard" версия 4.0, по-зволяющего создавать защищенные корпоративные сети на базе протокола Х.25 и Frame Relay;
10) Firewall/Plus фирмы Network-1 Software and Technologies.
Список МЭ, сертифицированных Международной ассоциацией компьютерной безопасности, можно найти по адресу http://www.icsa.net. Ниже более подробно описаны функции одного из них.
Межсетевой экран защиты интрасети ПАНДОРА на базе Gauntlet 3.1.1i фирмы Trusted Information Systems и компьютера 02 фирмы Silicon Graphics под управлением IRIX 6.3 надежно ре-шает проблему безопасности сети и позволяет:
* скрыть от пользователей глобальной сети структуру интра-сети (IP-адреса, доменные имена и т.д.);
* определить, каким пользователям, с каких хостов, в на-правлении каких хостов, в какое время, какими сервисами можно пользоваться;
* описать для каждого пользователя, каким образом он дол-жен аутентифицироваться при доступе к сервису;
* получить полную статистику по использованию сервисов, попыткам НСД, графику через ПАНДОРУ и т.д.
ПАНДОРА устанавливается на компьютер с двумя Ethernet-интерфейсами на выходе между интраеетью и сетью общего поль-зования.
ПАНДОРА построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы: TELNET, Riogin (терминалы); FTP (передача данных); SMTP, POP3 (почта);
HTTP (WWW); Gopher; XI 1 (X Window System); LP (сетевая пе-чать); Rsh (удаленное выполнение задач); Finger; NNTP (новости Usenet); Whois; RealAudio. Кроме того, в состав ПАНДОРЫ входит сервер общего назначения TCP-уровня, который позволяет безо-пасно транслировать через ПАНДОРУ запросы от базирующихся на TCP протоколов, для которых нет proxy-серверов, а также сер-вер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.
Для аутентификации пользователей ПАНДОРА позволяет при-менять следующие схемы аутентификации:
· S/Key, MDauth (одноразовые пароли).
· РОРЗ-ргоху дает возможность использовать АРОР-авторизацию и тем самым избежать передачи по сети открытого пароля.
· FTP-proxy позволяет ограничить применение пользователями отдельных команд (например RETR, STOR и т.д.)
· HTTP-proxy позволяет контролировать передачу через ПАНДОРУ фреймов; описаний на языке Java; описаний на языке JavaScript; html-конструкций, не попадающих под стандарт HTML версии 2 и т.д.
Система сбора статистики и генерации отчетов позволяет со-брать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя (если есть), а также аномалии в самой системе.
ПАНДОРА не требует ни внесения изменений в клиентское ПО, ни использования специального ПО.
Прозрачный режим работы proxy-серверов позволяет внутрен-ним пользователям соединяться с нужным хостом за один шаг (т.е. без промежуточного соединения с ПАНДОРОЙ).
Система контроля целостности позволяет контролировать безопасность модулей самой системы.
Графический интерфейс управления служит для настройки, администрирования и просмотра статистики ПАНДОРЫ.
ПАНДОРА поставляется вместе с исходными текстами основ-ных программ, для того чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.
ПАНДОРА сертифицирована Государственной Технической Комиссией при Президенте России. Сертификат N 73 выдан 16 ян-варя 1997 г. и действителен до 16 января 2000 г: " ...система защи-ты информации от НСД в сетях передачи данных по протоколу TCP/IP - межсетевой экран "ПАНДОРА" (ТУ N 1-97) на базе меж-сетевого экрана "Gauntlet" версии 3.1.Н..., функционирующая на платформе операционной системы IRIX v.6.3 фирмы Silicon Graphics, является средством зашиты информации и обеспечивает защиту участка интрасети от доступа извне, не снижая уровня за-щищенности участка интрасети, соответствует техническим усло-виям № 1-97 и требованиям Руководящего документа Гостехко-миссии России "Автоматизированные системы. Защита от несанк-ционированного доступа к информации. Классификация автомати-зированных систем и требования по защите информации" в части администрирования для класса ЗБ".
Задача выбора МЭ для каждого конкретного применения - это, главным образом, вопрос верного соотношения требований пользователей к доступу и вероятности несанкционированного доступа. В идеале система должна предотвращать всякое несанк-ционированное вторжение. Однако, учитывая широкий спектр не-обходимых пользователям сервисов (Web, ftp, telnet, SNMP, NFS, телефония и видео в Internet, электронная почта и др.), наряду с изначальной открытостью комплекта протоколов TCP/IP, - этого идеала достигнуть очень тяжело. В действительности, мерой эф-фективности МЭ служит вовсе не его способность к отказу в пре-доставлении сервисов, но его способность предоставлять сервисы пользователям в эффективной, структурированной и надежной среде. МЭ должны уметь анализировать приходящий и исходящий сетевой трафик и правильно определять, какие действия санкцио-нированы без ненужного замедления работы системы.[2]
И в заключение данного раздела приведем некоторые рекомен-дации по выбору МЭ, которые выработала Ассоциация "Конфидент".
1). Цена. Она колеблется существенно -- от 1000 до 15000 долл. при покупке непосредственно у фирм-производителей, большинство которых находится в США; у российских дилеров эти цифры значительно выше из-за таможенных и налоговых сборов. Интересна и такая цифра - цена МЭ для Windows NT в сред-нем составляет 6000 долл. К этой цене надо добавить расходы на аппаратную платформу и ОС, которые могут быть весьма значи-тельными и соизмеримыми со стоимостью самого МЭ -- напри-мер, как в случае использования компьютеров Sun под управлени-ем ОС Solaris. Поэтому с точки зрения экономии разумно приме-нять МЭ, ориентированные на Intel-платформу и ОС DOS, Windows NT, Novel 1 NetWare.
2). Фильтрация. Большинство МЭ работает только с семейст-вом протоколов TCP/IP, что связано с ориентацией разработчиков на потребности западного рынка. Этого достаточно, если МЭ при-меняется в классическом варианте -- для контроля графика между интрасетью и Internet. Но в России, согласно имеющейся статисти-ке, 90 % рынка сетевых ОС составляет Novell Netware и поэтому важна фильтрация IPX-трафика. Кроме того, совершенно необхо-димой для внутреннего МЭ является способность фильтрации на уровне соединения -- например, фильтрации Ethernet-фреймов. К сожалению, эта возможность реализована в очень немногих про-дуктах (например. Firewall Plus и Eiron Firewall).
3). Построение интрасети -- при объединении сети организа-ции с Internet в качестве транспортной магистрали нужно исходить из имеющейся инфраструктуры. С этой точки зрения много воз-можностей, имеется в Netware: службы каталогов, управления, пе-чати, защиты и работы с файлами; GroupWise и ManageWise управляют электронным документооборотом и сетью; входящий в состав IntranetWare шлюз IPX/IP организует прозрачный доступ с IPX-станций к сервисам TCP/IP с помощью Winsock-совместимого клиентского ПО. Тогда IPX-сервер и IPX-станция не имеют IP-адресов и из Internet в принципе не видны. Поэтому организация атаки на их информационные ресурсы практически невозможна и защита IP-хостов гетерогенной сети IP-IPX решается пр
Защищенные информационные технологии в экономике реферат. Программирование, компьютеры и кибернетика.
Реферат: Rock N Roll Essay Research Paper Rock
Реферат по теме Система образов в пьесе А.Н. Островского 'Гроза'
Реферат по теме Использование искусственных спутников Земли в метеорологических наблюдениях и прогнозах погоды
Реферат: Hamlet Essay Research Paper Sex without Meaning
Реферат По Предмету Русского Языка И Литературы
Сочинение Текст Описание
Сочинение На Тему Воображение 9.3 По Тексту
Методичка На Тему Анализ Диаграмм Состояния Двойных Сплавов
Реферат: Международный инжиниринг значение и развитие в современных условиях
Реферат по теме Кавказ в период Великой Отечественной войны
Реферат На Тему Электрооптические Модуляторы Света
Реферат по теме Синдром Патау
Отчет по практике: Использование АСУ в ОАО "Концерн Стирол"
Русские Рефераты
Реферат На Тему Святой
Реферат по теме Руководство и структура организации
Курсовая работа: Инновационные цели и инновационный потенциал организации. Скачать бесплатно и без регистрации
Реферат по теме Граничные условия общего вида
Статья: Современные антигистаминные препараты в лечении аллергических заболеваний
Статья: Правовое обеспечение участия спортсменов-любителей в соревнованиях
Статистические характеристики пространственно-временной изменчивости направления ветра в приземном слое - Геология, гидрология и геодезия курсовая работа
Правовое регулирование профессиональной переподготовки - Государство и право реферат
Наука и культура в межвоенное время - История и исторические личности конспект урока