Экранирование

Протоколирование и сетевой аудит

Управление доступом

Профаммные средства управления доступом позволяют специфи­цировать и контролировать действия, которые пользователи или процессы в соответствии с полномочиями, назначенными им системой защиты, могут выполнять над информацией и другими ресурсами системы. Это основной механизм обеспечения целост­ности и конфиденциальности объектов в многопользовательских информационных системах.

Имеется несколько уровней доступа к информационному объекту:

• редактирование (удаление, добавление, изменение);

• просмотр (чтение);

• запрет доступа.

 
 

 

Протоколирование — это сбор и накопление информации о событиях, происходящих в информационной системе в процессе ее функционирования.

Аудит это анализ накопленной информации, проводимый оперативно или периодически (например, один раз в день).

Реализация протоколирования и аудита в системах защиты преследует следующие основные цели:

• обеспечение подотчетности пользователей и администра­торов;

• обеспечение возможности реконструкции последователь­ности событий;

• обнаружение попыток нарушения информационной без­опасности;

• предоставление информации для выявления анализа проблем.

Принцип работы систем обнаружения нарушения информа­ционной безопасности заключается в том, что отслеживаются аномалии сетевого трафика. Отклонения в большинстве случаев являются признаком сетевой атаки. Например, нетипичная длина сетевого пакета, неполная процедура установления соедине­ния - все эти критерии фиксируются системами обнаружения атак (СОВ). У данного способа обнаружения атак был и остается один существенный недостаток — он имеет дело с уже свершив­шимися событиями, т.е. с уже реализованными атаками. Знания о совершенных несанкционированных действиях позволяют предотвратить повторение этих действий.

Примеры вопросов

1. Протоколирование действий пользователей дает возможность:

• решать вопросы управления доступом;

• восстанавливать утерянную информацию;

• обеспечивать конфиденциальность информации;

реконструировать ход событий при реализации угрозы безопас­ности информации?

 

 

2.Сетевой аудит включает:

• выборочный анализ действий пользователей в сети;

• протоколирование действий всех пользователей в сети;

• анализ всех действий пользователей в сети;

• анализ безопасности каждой новой системы (как программной, так и аппаратной) при ее инсталляции в сеть?

Экран контролирует информационные потоки между узлами сети. Контроль потоков состоит в их фильтрации с выполнением некоторых преобразований.

Фильтрация информационных потоков осуществляется межсетевыми экранами на основе набора правил, определяемых политикой безопасности организации. Межсетевые экраны про­изводят логический анализ получаемой информации. При этом учитываются содержание информации, порт, через который по­ступил сетевой запрос, и т.д.

Примеры вопросов

1. Какое средство наиболее эффективно для защиты от сетевых
атак:

использование сетевых экранов, или Firewall;

• посещение только «надежных» интернет-узлов;

• использование антивирусных программ;

• использование только сертифицированных программ-браузеров при доступе к сети Интернет?

2. Принципиальное отличие межсетевых экранов (МЭ) от систем обнаружения атак (СОВ) заключается в том, что:

• принципиальных отличий МЭ от СОВ нет;

• МЭ работают только на сетевом уровне, а СОВ — еще и на физическом;

• МЭ были разработаны для активной или пассивной защиты, а СОВ -для активного или пассивного обнаружения;

• МЭ были разработаны для активного или пассивного обнару­жения, а СОВ — для активной или пассивной защиты?