46648 (588411), страница 10
Текст из файла (страница 10)
Различают три типа брандмауэров:
-
Шлюз уровня приложений. Шлюз уровня приложений часто называют прокси – сервером (proxy server) - выполняет функции ретранслятора данных для ограниченного числа приложений пользователя. То есть, если в шлюзе не организована поддержка того или иного приложения, то соответствующий сервис не предоставляется, и данные соответствующего типа не могут пройти через брандмауэр.
-
Фильтрирующий маршрутизатор. Фильтрующий маршрутизатор. Точнее это маршрутизатор, в дополнительные функции которого входит фильтрование пакетов (packet-filtering router). Используется на сетях с коммутацией пакетов в режиме дейтаграмм. То есть, в тех технологиях передачи информации на сетях связи, в которых плоскость сигнализации (предварительного установления соединения между УИ и УП) отсутствует (например, IP V 4). В данном случае принятие решения о передаче по сети поступившего пакета данных основывается на значениях его полей заголовка транспортного уровня. Поэтому брандмауэры такого типа обычно реализуются в виде списка правил, применяемых к значениям полей заголовка транспортного уровня.
-
Шлюз уровня коммутации. Шлюз уровня коммутации – защита реализуется в плоскости управления (на уровне сигнализации) путем разрешения или запрета тех или иных соединений.
Шифрование является одним из самых надежных способов защиты данных от несанкционированного ознакомления. Особенностью применения криптографических средств в России является жесткая законодательная регламентация. В настоящее время в корпоративных сетях они устанавливаются только на тех рабочих местах, где хранится информация, имеющая очень высокую степень важности.
Для защиты информации в корпоративной сети «Северного объединения по эксплуатации газового хозяйства» разработана система паролей и ограничений доступа пользователей к информации.
Для разграничения доступа извне (из информационной системы предприятия - для внутренних пользователей и из сети Интернет - для мобильных) к рабочему месту пользователя и информирования пользователя о попытках подключения к его компьютеру, с возможностью принятия решения о блокировке или разрешении доступа необходимо использовать добавочные средства защиты.
Попытки несанкционированного доступа позволяет выявить защита информации через межсетевой экран.
Основные требования к средствам защиты информации:
- защита должна быть многоцелевой, т.е. эффективно защищать от широкого спектра вредоносных приложений;
- защита должна обеспечивать не только обнаружение, но и эффективное предотвращение атаки в любой момент времени, в том числе в процессе загрузки операционной системы;
- защита должна находиться непосредственно на компьютере пользователя, а не в самой сети соединяющей компьютеры, обнаружение атаки на сетевом уровне часто оказывается бесполезным из-за невозможности её блокирования;
- защита должна быть "высокоинтеллектуальной" и "обучаемой", способной обнаруживать сложные атаки и сводя к минимуму ложные срабатывания;
- защита должна иметь точную информацию о состоянии и конфигурации компьютера.
В таблице 4.1 представлены результаты тестирования самых известных программ Firewall а также их общая оценка.
Таблица 4.1
| Продукт | Результат | Оценка |
| Comodo Firewall Pro 2.4.16.174 | 9475 | Отлично |
| Jetico Personal Firewall 2.0.0.16 beta | 9125 | Отлично |
| ZoneAlarm PRO 7.0.302.000 | 8850 | Очень хорошо |
| Kaspersky Internet Security 6.0.2.614 | 7950 | Очень хорошо |
| Privatefirewall 5.0.8.11 | 7625 | Очень хорошо |
| Trend Micro PC-cillin Internet Security 2007 | 7500 | Очень хорошо |
| F-Secure Internet Security 2007 7.01.128 | 6625 | Хорошо |
| Outpost Firewall PRO 4.0 (1007.591.145) | 6550 | Хорошо |
| Lavasoft Personal Firewall 1.0.543.5722 (433) | 6500 | Хорошо |
| BlackICE PC Protection 3.6.cpv | 5750 | Удовлетворительно |
| Sunbelt Kerio Personal Firewall 4.3.268 | 4825 | Удовлетворительно |
| Look 'n' Stop 2.05p2 | 4800 | Удовлетворительно |
| Norton Personal Firewall 2006 9.1.0.33 | 4600 | Удовлетворительно |
| Safety.Net 3.61.0002 | 4000 | Удовлетворительно |
| Avira Premium Security Suite 7 build 98 | 2450 | Неудовлетворительно |
| Sygate Personal Firewall 5.6.2808 | 2350 | Неудовлетворительно |
| McAfee Internet Security Suite 2006 8.0 | 2325 | Неудовлетворительно |
| CA Personal Firewall 2007 3.0.0.196 | 1000 | Очень плохо |
| BitDefender Internet Security 10.108 | 750 | Очень плохо |
| Panda Antivirus + Firewall 2007 6.00.00 | 650 | Очень плохо |
| AVG Anti-Virus plus Firewall 7.5.431 | 500 | Очень плохо |
| Ashampoo FireWall Pro 1.14 | 500 | Очень плохо |
| Filseclab Personal Firewall 3.0.0.8686 | 500 | Очень плохо |
| Windows Firewall XP SP2 | 0 | Очень плохо |
Из результатов тестирования видно, что одним из лучших сетевых экранов является Comodo Firewall Pro.
Так согласно классификации средств криптографической защиты информационных ресурсов в корпоративных они делятся на:
-
Криптосистемы с одним ключом, их часто называют традиционной, симметричной или с одним ключом. Пользователь создает открытое сообщение, элементами которого являются символы конечного алфавита. Для шифрования открытого сообщения генерируется ключ шифрования. С помощью алгоритма шифрования формируется шифрованное сообщение
Приведенная модель предусматривает, что ключ шифрования генерируется там же, где само сообщение. Однако, возможно и другое решение создания ключа – ключ шифрования создается третьей стороной (центром распределения ключей), которой доверяют оба пользователя. В данном случае за доставку ключа обоим пользователям ответственность несет третья сторона. Вообще говоря, данное решение противоречит самой сущности криптографии – обеспечение секретности передаваемой информации пользователей.
Криптосистемы с одним ключом используют принципы подстановки (замены), перестановки (транспозиции) и композиции. При подстановке отдельные символы открытого сообщения заменяются другими символами. Шифрование с применением принципа перестановки подразумевает изменение порядка следования символов в открытом сообщении. С целью повышения надежности шифрования шифрованное сообщение, полученное применением некоторого шифра, может быть еще раз зашифровано с помощью другого шифра. Говорят, что в данном случае применен композиционный подход. Следовательно, симметричные криптосистемы (с одним ключом) можно классифицировать на системы, которые используют шифры подстановки, перестановки и композиции.
-
Криптосистема с открытым ключом. Она имеет место только еесли пользователи при шифровании и дешифровании используют разные ключи KО и KЗ. Эту криптосистему называют асимметричной, с двумя ключами или с открытым ключом.
Получатель сообщения (пользователь 2) генерирует связанную пару ключей:
KО – открытый ключ, который публично доступен и, таким образом, оказывается доступным отправителю сообщения (пользователь 1);
Kз – секретный, личный ключ, который остается известным только получателю сообщения (пользователь 1).
Пользователь 1, имея ключ шифрования KО, с помощью определенного алгоритма шифрования формирует шифрованный текст.
Пользователь 2, владея секретным ключом Kс, имеет возможность выполнить обратное действие.
В этом случае пользователь 1 готовит сообщение пользователю 2 и перед отправлением шифрует это сообщение с помощью личного ключа Kз. Пользователь 2 может дешифрировать это сообщение, используя открытый ключ Kо. Так как, сообщение было зашифровано личным ключом отправителя, то оно может выступать в качестве цифровой подписи. Кроме того, в данном случае невозможно изменить сообщение без доступа к личному ключу пользователя 1, поэтому сообщение решает так же задачи идентификации отправителя и целостности данных.
Напоследок хотелось бы сказать, что посредством установки криптографических средств защиты можно достаточно надежно защитить рабочее место сотрудника организации, который непосредственно работает с информацией, имеющей особое значение для существования этой организации, от несанкционированного доступа.
4.3 Защита данных в Access
Средства защиты БД, реализованные в Access, позволяют предотвратить умышленные или случайные просмотр, изменение и удаление информации лицами, которые не имеют ответствующих прав доступа. Эти средства особенно важны при функционировании БД в сети.
В Access предусмотрены различные уровни защиты данных и администрирования доступа к ним. Возможности Access позволяют обеспечить безопасность, как самого приложения, так и файла БД. Простейшим средством защиты БД от несанкционированного доступа является пароль.
После того как пароль установлен, при каждом открытии БД будет появляться диалоговое окно, в которое требуется ввести пароль. Пользователи смогут открыть БД, только после ввода правильного пароля. Этот способ достаточно надежен, поскольку Access шифрует пароль, так что к нему нет прямого доступа при чтении файла БД. Недостаток такого способа защиты в том, что он применяется только при открытии БД. После открытия БД все объекты становятся доступными для пользователя (если не определена защита на уровне пользователей). Для БД, которая совместно используется небольшой группой пользователей или на автономном компьютере, установка пароля обычно оказывается достаточной.
Усовершенствовать защиту позволяют средства поддержки рабочих групп, ведения учетных (регистрационных) записей, задания прав владения и прав доступа. С помощью средств защиты можно указать, какие операции по обработке объектов БД разрешается выполнять пользователю или группе пользователей. О каждом пользователе или группе ведутся учетные записи с указанием прав доступа.
4.4 Защита данных в SQL Server
SQL Server 2005 имеет улучшенные в модели безопасности платформы базы данных, с намерением предоставить более точный и гибкий контроль для обеспечения безопасности данных. Значительные вложения были сделаны в большое количество функций для обеспечения высокого уровня безопасности данных вашего предприятия, включая:
-
Применение политик для паролей учётных записей SQL Server в области аутентификации
-
Обеспечение большей модульности дл указания разрешений на различных уровнях в области авторизации
-
Разделение владельца и схемы в области управления безопасностью.
Авторизация
Новая модель безопасности SQL Server 2005 позволяет администраторам управлять разрешениями на модульном уровне и в указанной области, делая управление разрешениями проще, а также обеспечивает выполнения принципа наименьших привилегий. SQL Server 2005 позволяет указать контекст, в котором будут выполняться операторы модуля. Эта функция также работает как отличный механизм для модульного управления разрешениями.
Аутентификация
Кластеры SQL Server 2005 поддерживают аутентификацию Kerberos для виртуальных серверов SQL Server 2005. Администраторы могут указать политики типа Windows для стандартных учётных записей, так что единообразная политика применяется ко всем учётным записям домена.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
