твий всех категорий пользователей, использования процедур и триггеров для заданных категорий пользователей и модификации информации, избыточности данных и т.п.), так и с использованием наложенных механизмов защиты (программно-технических средств ПИБ).
Контроль доступа, в первую очередь, должен ограничить набор используемых пользователями прикладных сервисов - HTTP, SMTP и направлений информационного обмена (в особенности в части возможности модификации информации). Ограничивается доступ к технологическим системам для размещения информации. Скрывается топология сети проекта "Инфоград".
Реализация таких механизмов осуществляется с использованием межсетевых экранов. Возможно использование как МЭ, осуществляющих только фильтрацию сетевых соединений, так и МЭ, обеспечивающих, кроме фильтрации трафика на сетевом уровне, фильтрацию на уровне приложений (т.е. с учетом команд используемых протоколов). Последний вариант обеспечивает более полный и эффективный контроль над пользователями, но может снизить производительность системы (или потребует более высокопроизводительного оборудования для установки МЭ).
Если для массового доступа пользователей (речь идет о миллионах запросов) добиться контроля на прикладном уровне без потери производительности не удастся, то необходимо говорить о разделении общедоступных и технологических сервисов на физическом и логическом уровне с разной политикой контроля для запросов к общедоступной информации (уровень фильтрации на сетевом уровне и доступ только к пользовательскому порталу) и выполнения технологических и административных функций (уровень фильтрации на прикладном уровне) при публикации информации и управлении системой.
При этом МЭ должен обеспечить сетевую трансляцию адресов для технологического сегмента системы в целях сокрытия топологии системы и дополнительную аутентификацию внешнего пользователя при доступе к ресурсам системы.
Целостность и доступность системы обеспечиваются на разных уровнях системы:
1. За счет резервирования системно-технической платформы системы (либо за счет горячего, либо за счет холодного резервирования).
2. За счет резервного копирования данных системы.
3. За счет применения средств обнаружения вторжений (активного аудита и антивирусной защиты), обеспечивающих контроль за системой в режиме реального времени.
Применение средств обнаружения вторжений не является обязательным для информационных систем, в то же время, учитывая, что к системе будут иметь доступ миллионы пользователей, а сама система будет иметь выход в Интернет, имеется 100% вероятность того, что система будет подвержена атакам со стороны внешних злоумышленников.
Применение средств обнаружения вторжений позволяет уже на ранней стадии обнаруживать деятельность злоумышленников по сканированию и выявлению структуры и уязвимостей системы.
Несмотря на то что эффективных средств защиты от сетевых атак типа DoS практически нет, своевременное обнаружение такой атаки позволяет совместно с поставщиками телекоммуникационных услуг снизить ущерб от возможной атаки или даже заблокировать атакующий сетевой трафик или непосредственно злоумышленника.
Использование средств обнаружения вторжений позволяет эффективно бороться с попытками НСД к ресурсам системы, но требует больших затрат.
Сами средства обнаружения вторжений могут контролировать:
1. Входящий внешний трафик.
2. Трафик внутри защищаемого сегмента за межсетевым экраном.
3. Активность на узлах системы - серверах и рабочих станциях.
4. Вирусную активность:
a) на серверах и рабочих станциях;
б) при передаче почтовых сообщений или HTTP и FTP трафика.
В целях экономии средств состав контролируемых узлов и сегментов сети определяется после детальной проработки архитектуры и структуры системы и выделения наиболее критичных ресурсов.
Уровень антивирусной защиты может
> 1 2 3 ... 57 58 59 ... 63 64 65
Zaki.ru законы и право
поиск по сайту
каталог документов
добавить сайт Zaki.ru в избранное
Правовые акты международные
Правовые акты Москвы
