Лекции.Орг


Поиск:




Категории:

Астрономия
Биология
География
Другие языки
Интернет
Информатика
История
Культура
Литература
Логика
Математика
Медицина
Механика
Охрана труда
Педагогика
Политика
Право
Психология
Религия
Риторика
Социология
Спорт
Строительство
Технология
Транспорт
Физика
Философия
Финансы
Химия
Экология
Экономика
Электроника

 

 

 

 


Зоны доверия и сегментация




 

 

Типовая архитектура безопасности должна определять области сети с различными уровнями доверия. Некоторые компьютеры или сети должны быть полностью доверенными, как правило, в них хранятся важные данные. Другие требуют частичного доверия, и в них хранится важная информация, но они также доступны сетям без доверия. Есть сети, которые являются полностью недоверенными (беспроводные соединения). Средства контроля безопасности должны тщательно отслеживать интерфейсы между этими сетями. Приведенные определения уровней доверия сетей и компьютеров принято называть зонами доверия (рис. 2.5).

Определив риски, угрозы и критичные для ведения бизнеса функции, можно распределять эти функции по зонам доверия. Для этого необходимо присвоить уров­ни доверия каждой функции бизнеса (т.е. указать, какой уровень риска является приемлемым для работы каждой функции бизнеса). Этот процесс включает в себя поиск оптимального решения относительно того, чем можно пожертвовать, и что можно предотвратить.

Определив риски, угрозы и критичные для ведения бизнеса функции, можно распределять эти функции по зонам доверия. Для этого необходимо присвоить уров­ни доверия каждой функции бизнеса (т.е. указать, какой уровень риска является приемлемым для работы каждой функции бизнеса). Этот процесс включает в себя поиск оптимального решения относительно того, чем можно пожертвовать, и что можно предотвратить.

 

 

Рис.2.5 Зоны доверия

 

Зоны доверия связаны друг с другом, и растущие бизнес-требования обуслав­ливают необходимость соединения различных сетей, систем и других объектов в сетях. Корпоративные слияния и партнерские взаимоотношения усложняют работу сетевой среды, которую можно организовать только на основе доверительных взаимоотношений.

Определив уровни доверенности лиц, можно начать разработку стратегии распределения объектов доверия по зонам.

IТ-ресурсы различаются по степени оказываемого им доверия. Распределив их по зонам доверия, можно варьировать уровни безопасности в зависимости от индиви­дуальных требований ресурсов к защите. Одни зоны предусматривают меньшее доверие, другие большие.

Для минимального уровеня доверия, необходимо, чтобы устрой­ства в каждой зоне имели определенный эквивалентный уровень защиты; этот уровень за­щиты определяется технологиями и процедурами, предназначенными для отсле­живания атак, вторжений и нарушений политики безопасности.

Доверие тесно связано с транзакциями. В процессе транзак­ции несколько систем могут взаимодействовать через различные зоны доверия. Если представить эти доверительные взаимоотношения в виде схемы, получится полная картина межсистемных доверительных отношений. На рис. 2.6 представлен пример доверительных взаимоотношений. Наборы систем, доверяющих друг другу, обозначены одним цветом.[8]

 

Рис.2.6 Установка доверительных отношений

 

В модели доверия уровня транзакций, вместо распределения систем по разным зонам доверия посредством изменения их расположения в сети (как в случае с Ин­тернетом, демилитаризованной зоной и внутренней сетью), системы разделены на функциональные категории в зависимости от типов обрабатываемых ими транзак­ций. Например, транзакция с кредитной картой может проходить через веб-сервер, сервер приложения, базу данных и кредитно-чековую службу в Интернете. Во вре­мя транзакции все эти системы должны в равной степени доверять друг другу даже, несмотря на то, что транзакция пересекает несколько границ областей доверия в сети. Поэтому средства контроля безопасности на системном и сетевом уровнях должны позволять каждой из этих систем выполнять авторизованные функции, в то же время запрещая доступ к этим ресурсам другим системам, не участвующим в транзакции.

Сегментация информационных ресурсов по требованиям доступа к ним является одним из рекомендуемых подходов к обеспечению безопасности. Она позволяет добиться более гибкого контроля над доступом в зависимости от аудитории пользо­вателей каждой конкретной системы и помогает ограничить соединения между в зависимости от уровня доверия при выполнении транзакций. Сегментация также уменьшает ущерб от взлома системы безопасности. При злонамеренном проник­новении в определенную систему сетевая сегментация со списками контроля дос­тупа снижает число и разнообразие атак.

Сегментация может быть реализована многими способами. Чем больше степень сегментации, там строже налагаемые ограничения. В идеальном случае каждый сер­вер должен находиться в своем собственном сетевом сегменте, и в списках контроля доступа должно указываться, какие сетевые протоколы осуществляют доступ к сегментам и с каких IP адресом. В средах, где сегментация каждой системы непрак­тична, полезно группировать системы в сетевых сегментах согласно их функциональности. Например, серверы, доступные из Интернета, могут находиться в одном сегменте, а базы данных — в другом.

На рис. 2.7 показан пример сегментации сети в большой организации, в кото­рой присутствуют три зоны доверия.

Эти зоны доверия организованы в сетевые «уровни» для общего доступа, доступа к приложениям и доступа к данным. Здесь на уровне общего доступа располагаются системы, соединяющиеся с пользовате­лями через Интернет с использованием межсетевого экрана и относящиеся к низ­шему уровню доверия. Списки контроля доступа (ACL) используются для защиты каждого отдельного сервера на данном уровне, что позволяет соединяться только с нужными системами и сетями. Прикладной уровень содержит системы, которым требуются соединения с системами, находящимися в общем уровне, но не с сами­ми пользователями общей среды. Им не нужно непосредственное подключение к Интернету, поэтому им присваивается более высокий уровень доверия и обеспечи­вается более надежная защита. Списки контроля доступа также используются для контроля внутрисистемных соединений.

 

Рис.2.7 Доверительные отношения уровня транзакции (оплата по карте)

 

Многоуровневая сегментация также представляет собой полезную концептуаль­ную модель для сетевых администраторов. Несколько групп сетевых сегментов могут формировать уровень, определенный общим типом систем и данных, содержащихся на этом уровне. Прикладной уровень может содержать системы, принимающие соединения из общего уровня. Уровень данных может принимать соединения из прикладного уровня. Списки контроля доступа могут контролировать трафик между всеми наборами уровней. Эти списки располагаются на маршрутизаторе или межсетевом экране, но детали реализации могут быть различными в зависимости от рассматриваемой среды.[9]

 

 

Контрольные вопросы

1. Какие три этапа анализа рисков?

2. Что означает термин «вектор угроз»?

3. Что представляет собой «периметровая защита»?

4. Что представляет собой «многоуровневая защита»?

5. На какие основные «зоны доверия» можно разделить сеть компании?

6. Как Вы понимаете «сегментацию информационных ресурсов по требованиям доступа»?

 

 

Библиографический список

Основная литература:

1. Ярочкин В.И. Информационная безопасность: учебник для студентов высших учеб. заведений, обучающихся по гуманитарным и социально-экономическим специальностям / В. И. Ярочкин. - М.: Акад. проект, 2008. – C.98-112.

Дополнительная литература:

1. Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оусли, К. Страссберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006.

2. Мэйволд Э. Безопасность сетей: практическое пособие / Э. Мэйволд; [пер. с англ.] – М.: «СП ЭКОМ», 2005.






Поделиться с друзьями:


Дата добавления: 2016-11-12; Мы поможем в написании ваших работ!; просмотров: 1165 | Нарушение авторских прав


Поиск на сайте:

Лучшие изречения:

Неосмысленная жизнь не стоит того, чтобы жить. © Сократ
==> читать все изречения...

2268 - | 1978 -


© 2015-2024 lektsii.org - Контакты - Последнее добавление

Ген: 0.012 с.