Реферат: Защищенные информационные технологии в экономике

9) партия из 20 экземпляров МЭ "CyberGuard" версия 4.0, по­зволяющего создавать защищенные корпоративные сети на базе протокола Х.25 и FrameRelay;

10) Firewall/Plus фирмы Network-1 Software and Technologies.

Список МЭ, сертифицированных Международной ассоциацией компьютерной безопасности, можно найти по адресу http://www.icsa.net. Ниже более подробно описаны функции одного из них.

Межсетевой экран защиты интрасети ПАНДОРА на базе Gauntlet 3.1.1i фирмы TrustedInformationSystems и компьютера 02 фирмы SiliconGraphics под управлением IRIX 6.3 надежно ре­шает проблему безопасности сети и позволяет:

• скрыть от пользователей глобальной сети структуру интра­сети (IP-адреса, доменные имена и т.д.);

• определить, каким пользователям, с каких хостов, в на­правлении каких хостов, в какое время, какими сервисами можно пользоваться;

• описать для каждого пользователя, каким образом он дол­жен аутентифицироваться при доступе к сервису;

• получить полную статистику по использованию сервисов, попыткам НСД, графику через ПАНДОРУ и т.д.

ПАНДОРА устанавливается на компьютер с двумя Ethernet-интерфейсами на выходе между интраеетью и сетью общего поль­зования.

ПАНДОРА построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы: TELNET, Riogin (терминалы); FTP (передача данных); SMTP, POP3 (почта);

HTTP (WWW); Gopher; XI 1 (X WindowSystem); LP (сетевая пе­чать); Rsh (удаленное выполнение задач); Finger; NNTP (новости Usenet); Whois; RealAudio. Кроме того, в состав ПАНДОРЫ входит сервер общего назначения TCP-уровня, который позволяет безо­пасно транслировать через ПАНДОРУ запросы от базирующихся на TCP протоколов, для которых нет proxy-серверов, а также сер­вер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.

Для аутентификации пользователей ПАНДОРА позволяет при­менять следующие схемы аутентификации:

· обычный Unix-пароль;

· S/Key, MDauth (одноразовые пароли).

· РОРЗ-ргоху дает возможность использовать АРОР-авторизацию и тем самым избежать передачи по сети открытого пароля.

· FTP-proxy позволяет ограничить применение пользователями отдельных команд (например RETR, STOR и т.д.)

· HTTP-proxy позволяет контролировать передачу через ПАНДОРУ фреймов; описаний на языке Java; описаний на языке JavaScript; html-конструкций, не попадающих под стандарт HTML версии 2 и т.д.

Система сбора статистики и генерации отчетов позволяет со­брать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя (если есть), а также аномалии в самой системе.

ПАНДОРА не требует ни внесения изменений в клиентское ПО, ни использования специального ПО.

Прозрачный режим работы proxy-серверов позволяет внутрен­ним пользователям соединяться с нужным хостом за один шаг (т.е. без промежуточного соединения с ПАНДОРОЙ).

Система контроля целостности позволяет контролировать безопасность модулей самой системы.

Графический интерфейс управления служит для настройки, администрирования и просмотра статистики ПАНДОРЫ.

ПАНДОРА поставляется вместе с исходными текстами основ­ных программ, для того чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.

ПАНДОРА сертифицирована Государственной Технической Комиссией при Президенте России. Сертификат N 73 выдан 16 ян­варя 1997 г. и действителен до 16 января 2000 г: " ...система защи­ты информации от НСД в сетях передачи данных по протоколу TCP/IP - межсетевой экран "ПАНДОРА" (ТУ N 1-97) на базе меж­сетевого экрана "Gauntlet" версии 3.1.Н..., функционирующая на платформе операционной системы IRIXv.6.3 фирмы SiliconGraphics, является средством зашиты информации и обеспечивает защиту участка интрасети от доступа извне, не снижая уровня за­щищенности участка интрасети, соответствует техническим усло­виям № 1-97 и требованиям Руководящего документа Гостехко-миссии России "Автоматизированные системы. Защита от несанк­ционированного доступа к информации. Классификация автомати­зированных систем и требования по защите информации" в части администрирования для класса ЗБ".

Задача выбора МЭ для каждого конкретного применения - это, главным образом, вопрос верного соотношения требований пользователей к доступу и вероятности несанкционированного доступа. В идеале система должна предотвращать всякое несанк­ционированное вторжение. Однако, учитывая широкий спектр не­обходимых пользователям сервисов (Web, ftp, telnet, SNMP, NFS, телефония и видео в Internet, электронная почта и др.), наряду с изначальной открытостью комплекта протоколов TCP/IP, - этого идеала достигнуть очень тяжело. В действительности, мерой эф­фективности МЭ служит вовсе не его способность к отказу в пре­доставлении сервисов, но его способность предоставлять сервисы пользователям в эффективной, структурированной и надежной среде. МЭ должны уметь анализировать приходящий и исходящий сетевой трафик и правильно определять, какие действия санкцио­нированы без ненужного замедления работы системы.[2]

И в заключение данного раздела приведем некоторые рекомен­дации по выбору МЭ, которые выработала Ассоциация "Конфидент".

1).Цена. Она колеблется существенно — от 1000 до 15000 долл. при покупке непосредственно у фирм-производителей, большинство которых находится в США; у российских дилеров эти цифры значительно выше из-за таможенных и налоговых сборов. Интересна и такая цифра - цена МЭ для WindowsNT в сред­нем составляет 6000 долл. К этой цене надо добавить расходы на аппаратную платформу и ОС, которые могут быть весьма значи­тельными и соизмеримыми со стоимостью самого МЭ — напри­мер, как в случае использования компьютеров Sun под управлени­ем ОС Solaris. Поэтому с точки зрения экономии разумно приме­нять МЭ, ориентированные на Intel-платформу и ОС DOS, WindowsNT, Novel 1NetWare.

2).Фильтрация. Большинство МЭ работает только с семейст­вом протоколов TCP/IP, что связано с ориентацией разработчиков на потребности западного рынка. Этого достаточно, если МЭ при­меняется в классическом варианте — для контроля графика между интрасетью и Internet. Но в России, согласно имеющейся статисти­ке, 90 % рынка сетевых ОС составляет NovellNetware и поэтому важна фильтрация IPX-трафика. Кроме того, совершенно необхо­димой для внутреннего МЭ является способность фильтрации на уровне соединения — например, фильтрации Ethernet-фреймов. К сожалению, эта возможность реализована в очень немногих про­дуктах (например. Firewall Plus и Eiron Firewall).

3).Построение интрасети — при объединении сети организа­ции с Internet в качестве транспортной магистрали нужно исходить из имеющейся инфраструктуры. С этой точки зрения много воз­можностей, имеется в Netware: службы каталогов, управления, пе­чати, защиты и работы с файлами; GroupWise и ManageWise управляют электронным документооборотом и сетью; входящий в состав IntranetWare шлюз IPX/IP организует прозрачный доступ с IPX-станций к сервисам TCP/IP с помощью Winsock-совместимого клиентского ПО. Тогда IPX-сервер и IPX-станция не имеют IP-адресов и из Internet в принципе не видны. Поэтому организация атаки на их информационные ресурсы практически невозможна и защита IP-хостов гетерогенной сети IP-IPX решается проще, так как шлюз выполняет по отношению к ним функции МЭ. Примеры таких МЭ: BorderManager фирмы Novell и NetRoadFireWALL фирмы UkiahSoft.