ФСТЭК: Межсетевые экраны
Принцип действия Firewall
Контроль доступа в Интернет c помощью интернет-шлюза
Типы межсетевых экранов: Существуют три основных типа межсетевых экранов: межсетевые экраны прикладного уровня ; межсетевые экраны с пакетной фильтрацией; гибридные.
Определение типов межсетевых экранов : межсетевой экран прикладного уровня
Межсетевые экраны с пакетной фильтрацией
Межсетевой экран с интегрированными сервисами : Безопасная публикация содержимого для удаленного доступа )
Межсетевой экран с интегрированными сервисами : Подключение и обеспечение безопасности филиалов
Межсетевой экран с интегрированными сервисами : Защита имеющейся среды от внешних и внутренних Интернет-угроз
на конференции ТБ Форум коллеги из ФСТЭК России отвечали обсудили ряд вопросов : Совершенствование нормативного и методического обеспечения вопросов защиты информации Проблемные вопросы сертификации средств защиты информации. Подходы по совершенствованию качества ССЗИ Особенности аккредитации испытательных лабораторий и органов по сертификации Совершенствование требований по защите информации, предъявляемых к межсетевым экранам О мерах по повышению лицензионных требований к соискателям лицензий и лицензиатам Банк данных угроз безопасности информации и уязвимостей программного обеспечения: реалии и перспективы
Документ ФСТЭК 1997 года 1. Устанавливается пять классов защищенности МЭ (самый низкий 5-й класс) 2. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. 3.Требования, предъявляемые к МЭ, не исключают требований, предъявляемых к средствам вычислительной техники (СВТ) и АС в соответствии с руководящими документами Гостехкомиссии России Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации и Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. 4. При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться. Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса
Документ ФСТЭК 2016 года 1. Число классов защищенности МСЭ стало 3 для гостайны и 3 для обычных информационных систем (вместо 5-ти по прежнему РД на МСЭ). 2. Выделяется 5 типов : А( уровень сети), Б (уровня логических границ сети), В (уровень узла) Г (уровень Web-сервера) и Д (промышленные МСЭ). 3. Усилены основные, функциональные требования к МСЭ, переработаны и расширены требования к доверию (анализ уязвимостей ) 4. Не принимается на оценку соответствия МСЭ, для которого не расписана процедура его обновления - устранения уязвимостей, установки патчей, обновления ядра системы защиты и т.п.
Типизация межсетевых экранов: Тип А – уровня сети Тип Б – уровня логических границ сети Тип В – уровня узла Тип Г – уровня веб-сервера Тип Д – уровня промышленной сети
Типизация межсетевых экранов: Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности: 1. Управление доступом 2. Идентификация и аутентификация 3. Регистрация событий и оповещение 4. Контроль целостности 5. Восстановление работоспособности
Типизация межсетевых экранов: На основании показателей защищенности определяется следующие пять классов защищенности МЭ: 1. Простейшие фильтрующие маршрутизаторы - 5 класс 2. Пакетные фильтры сетевого уровня - 4 класс 3. Простейшие МЭ прикладного уровня - 3 класс 4. МЭ базового уровня - 2 класс 5. Продвинутые МЭ - 1 класс
Типизация межсетевых экранов: МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т. п. В настоящее время описанные РД уже устарели и содержащаяся в них классификация АС, СВТ и МЭ не может признаваться состоятельной. Проект РД ФСТЭК России "Специальные требования и рекомендации по защите конфиденциальной информации" (СТР-К), официально еще не принятый, содержит достаточно полный набор требований и рекомендаций организационного уровня по защите речевой информации, информации, обрабатываемой средствами вычислительной техники, а также по защите информации при подключении к сетям общего пользования. В документе рассматриваются в том числе следующие вопросы:
Типизация межсетевых экранов: Защита информации на рабочих местах на базе автономных ПЭВМ; Защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ; Защита информации в локальных вычислительных сетях; Защита информации при межсетевом взаимодействии; Защита информации при работе с системами управления базами данных.
Выводы 1. Межсетевые экраны значительно увеличивают уровень безопасности локальной сети. Но этим их функциональность не ограничивается, МЭ выполняют различные задачи, которые необходимы пользователю или организации на данный момент. 2. Несмотря на четкое определение понятия «межсетевой экран», свойства которого сводятся к фильтрации нежелательной информации, которая может пересечь сетевую границу, разработчики не всегда создают функциональное средство, отвечающее параметрам сертификации. Это может быть по причине недобросовестности продавца, а также при некомпетентности разработчика, допустившего ошибку (одну или несколько) во время создания аппаратного обеспечения. 3. Регулятор определяет основные показатели, которым должен соответствовать каждый МЭ, относящийся к определенному сертифицированному классу. Существуют нормативные акты, в которых четко прописаны требования к предлагаемым пользователям средствам защиты. 4. Отсюда следует вывод, что в соответствии с требованиями по сертификации средств защиты информации – межсетевой экран должен быть сертифицирован, как межсетевой экран определенного класса на соответствие РД ФСТЭК.
Выводы: В качестве основы построения системы межсетевой защиты информации используются межсетевые экраны. На сегодняшний день существует не одна сотня семейств межсетевых экранов, что приводит к усложнению проведения процедуры сертификации в связи с определением уровня межсетевого экрана по отношению к РД ФСТЭК России. Набор методик, который применяется в настоящее время и является типовым и, как правило, он разрабатывается отдельно для каждого испытуемого межсетевого экрана в отдельной испытательной лаборатории. Подобные методики сертификационных испытаний носят схематичный характер, и это приводит к усложнению оптимизации действий по оценке соответствия применяемых средств межсетевой защиты и компьютерных сетей.
Ключевые слова: межсетевой экран, межсетевой экран firewall, сеть, пункт, управление безопасностью, управление безопасностью пакетная фильтрация, система общего назначения, правила политики безопасности, подключение модуля, FTP, интерфейс, TCP, SYN, ACK, RST, UDP, исходный пакет, состояние соединения. СОВ ГИС
Спасибо за внимание!