Мельников Д.А. Лекция №23: Основные технические модели обеспечения безопасности ИТС
Подождите немного. Документ загружается.
Лекция
Лекция
№
№
2
2
3
3
:
:
Основные
Основные
технические
технические
модели
модели
обеспечения
обеспечения
безопасности
безопасности
ИТС
ИТС
Этот процесс, скорее всего, будет инициирован, или на
уровне операционной системы, или на уровне
представления, или сеансовом уровне, или даже на
сетевом уровне архитектуры ЭМВОС. Нередко
информация собирается и формируется на одном
компьютере и затем передаётся через сеть на другой
компьютер (например, на сервер сетевой
аутентификации). Указанный пример идентификации и
аутентификации с использованием сервера сетевой
аутентификации порождает применение служб
обеспечения ИБ, которые как минимум распределены
между двумя компьютерами и “задействуют” способы и
средства защиты данных на всех семи уровнях
архитектуры ЭМВОС.
Этот процесс, скорее всего, будет инициирован, или на
уровне операционной системы, или на уровне
представления, или сеансовом уровне, или даже на
сетевом уровне архитектуры ЭМВОС. Нередко
информация собирается и формируется на одном
компьютере и затем передаётся через сеть на другой
компьютер (например, на сервер сетевой
аутентификации). Указанный пример идентификации и
аутентификации с использованием сервера сетевой
аутентификации порождает применение служб
обеспечения ИБ, которые как минимум распределены
между двумя компьютерами и “задействуют” способы и
средства защиты данных на всех семи уровнях
архитектуры ЭМВОС.
Лекция
Лекция
№
№
2
2
3
3
:
:
Основные
Основные
технические
технические
модели
модели
обеспечения
обеспечения
безопасности
безопасности
ИТС
ИТС
Сегменты безопасности. Основой безопасности ИТС
является принцип создания сегментов безопасности и
принудительный запрет передачи данных и технологических
потоков между такими сегментами (рис.23.9).
Сегмент представляет собой совокупность активных
субъектов (пользователей, процессов или технических
комплексов), их информационных объектов и единой
стратегии (политики) безопасности.
Сегменты могут быть логическими и физическими.
Разделение корпоративной ИТС на сегменты аналогично
построению ограждений (различных типов барьеров
безопасности), установке ворот в элементах ограждения
(например, сетевых фильтров, шлюзов и разделение
внутренних процессов) и назначению охраны с целью
контроля трафика, проходящего через ворота (технические
или процедурные службы обеспечения безопасности).
Сегменты безопасности. Основой безопасности ИТС
является принцип создания сегментов безопасности и
принудительный запрет передачи данных и технологических
потоков между такими сегментами (рис.23.9).
Сегмент представляет собой совокупность активных
субъектов (пользователей, процессов или технических
комплексов), их информационных объектов и единой
стратегии (политики) безопасности.
Сегменты могут быть логическими и физическими.
Разделение корпоративной ИТС на сегменты аналогично
построению ограждений (различных типов барьеров
безопасности), установке ворот в элементах ограждения
(например, сетевых фильтров, шлюзов и разделение
внутренних процессов) и назначению охраны с целью
контроля трафика, проходящего через ворота (технические
или процедурные службы обеспечения безопасности).
Лекция
Лекция
№
№
2
2
3
3
:
:
Основные
Основные
технические
технические
модели
модели
обеспечения
обеспечения
безопасности
безопасности
ИТС
ИТС
Интранет-сеть
(под управлением
организации)
Интранет-сеть
(под управлением
организации)
Сегмент безопасности
(например,
финансовая система)
Сегмент безопасности
(например,
финансовая система)
Сегмент безопасности
(например, сегмент сетевой
информационной системы)
Сегмент безопасности
(например, сегмент сетевой
информационной системы)
Сегмент безопасности
(например, лаборатория
технологий безопасности)
Сегмент безопасности
(например, лаборатория
технологий безопасности)
Рис.23.9. Перекрывающиеся сегменты безопасности
Рис.23.9. Перекрывающиеся сегменты безопасности
Лекция
Лекция
№
№
2
2
3
3
:
:
Основные
Основные
технические
технические
модели
модели
обеспечения
обеспечения
безопасности
безопасности
ИТС
ИТС
Сегменты определяются на основе использования
одного или нескольких из следующих факторов:
Сегменты определяются на основе использования
одного или нескольких из следующих факторов:
физический (например, отдельное здание,
университетский городок (квартал/микрорайон/район),
регион и т.д.);
бизнес-процесс (например, административный,
финансовый и т.п.);
способы и средства обеспечения безопасности.
физический (например, отдельное здание,
университетский городок (квартал/микрорайон/район),
регион и т.д.);
бизнес-процесс (например, административный,
финансовый и т.п.);
способы и средства обеспечения безопасности.
Ключевыми элементами при описании сегмента
безопасности являются гибкость, предпринятые меры
защиты, внешние связи сегмента и использование
нескольких подходов к решению задач с целью
определения наиболее важного компонента в
обеспечении безопасности ИТС.
Ключевыми элементами при описании сегмента
безопасности являются гибкость, предпринятые меры
защиты, внешние связи сегмента и использование
нескольких подходов к решению задач с целью
определения наиболее важного компонента в
обеспечении безопасности ИТС.
Лекция
Лекция
№
№
2
2
3
3
:
:
Основные
Основные
технические
технические
модели
модели
обеспечения
обеспечения
безопасности
безопасности
ИТС
ИТС
Сетевые аспекты. Распределённые
Интранет-сети. Интранет-сеть
организации является, как правило,
территориально распределённой и
очень часто её сегменты соединены
между собой с помощью линий и
каналов связи, которые не находятся
под контролем организации. Указанная
ситуация отображена на рис.23.10.
Сетевые аспекты. Распределённые
Интранет-сети. Интранет-сеть
организации является, как правило,
территориально распределённой и
очень часто её сегменты соединены
между собой с помощью линий и
каналов связи, которые не находятся
под контролем организации. Указанная
ситуация отображена на рис.23.10.
Лекция
Лекция
№
№
2
2
3
3
:
:
Основные
Основные
технические
технические
модели
модели
обеспечения
обеспечения
безопасности
безопасности
ИТС
ИТС
Выделенные широкополосные
линии/каналы связи под
внешним управлением
Выделенные широкополосные
линии/каналы связи под
внешним управлением
Глобальные сети
передачи данных под
внешним управлением
Глобальные сети
передачи данных под
внешним управлением
Выделенные арендованные
каналы/линии связи под
внешним управлением
Выделенные арендованные
каналы/линии связи под
внешним управлением
Администратор Интранет-сети может определять политику и процедуры
обеспечения безопасности и требовать их выполнения пользователями
Администратор
Администратор
Интранет
Интранет
-
-
сети
сети
может
может
определять
определять
политику
политику
и
и
процедуры
процедуры
обеспечения
обеспечения
безопасности
безопасности
и
и
требовать
требовать
их
их
выполнения
выполнения
пользователями
пользователями
Сегмент Интранет-сети
(под управлением
администратора
организации)
Сегмент Интранет-сети
(под управлением
администратора
организации)
Сегмент Интранет-сети
(под управлением
администратора
организации)
Сегмент Интранет-сети
(под управлением
администратора
организации)
Сегмент
Интранет-сети
(под управлением
администратора
организации)
Сегмент
Интранет-сети
(под управлением
администратора
организации)
Рис.23.10. Распределённая Интранет-сеть
Рис.23.10. Распределённая Интранет-сеть
Лекция
Лекция
№
№
2
2
3
3
:
:
Основные
Основные
технические
технические
модели
модели
обеспечения
обеспечения
безопасности
безопасности
ИТС
ИТС
Изолирование Интранет-сети. С точки зрения
внутренней структуры и топологии ИТС,
организация должна предусматривать изоляцию
своей Интранет-сети, по аналогии с
использованием водонепроницаемых люков и
переборок на корабле. Такой подход
обеспечивает принудительную реализацию
стратегии (политики) обеспечения безопасности
организации и снижение возможного ущерба
вследствие возникновения уязвимостей в
системе обеспечения ИБ ИТС (рис.23.11).
Изолирование Интранет-сети
. С точки зрения
внутренней структуры и топологии ИТС,
организация должна предусматривать изоляцию
своей Интранет-сети, по аналогии с
использованием водонепроницаемых люков и
переборок на корабле. Такой подход
обеспечивает принудительную реализацию
стратегии (политики) обеспечения безопасности
организации и снижение возможного ущерба
вследствие возникновения уязвимостей в
системе обеспечения ИБ ИТС (рис.23.11).
Лекция
Лекция
№
№
2
2
3
3
:
:
Основные
Основные
технические
технические
модели
модели
обеспечения
обеспечения
безопасности
безопасности
ИТС
ИТС
Рис.23.11. Изолированная Интранет-сеть
Рис.23.11. Изолированная Интранет-сеть
ЛВС
ЛВС
ЛВС
ЛВС
Внешний
интерфейс
Внешний
интерфейс
Внешний
интерфейс
Внешний
интерфейс
Корпоративный
шлюз
Корпоративный
шлюз
Корпоративный
шлюз
Корпоративный
шлюз
Региональный
центр управления
Региональный
центр управления
Интранет-сеть
(под управлением
администратора
организации)
Интранет-сеть
(под управлением
администратора
организации)
Региональный
шлюз
Региональный
шлюз
Локальный
шлюз
Локальный
шлюз
Локальный
шлюз
Локальный
шлюз
Офисный
шлюз
Офисный
шлюз
Концентратор
Концентратор
SMTP-сервер
SMTP-сервер
W
3
-сервер
W
3
-сервер
Лекция
Лекция
№
№
2
2
3
3
:
:
Основные
Основные
технические
технические
модели
модели
обеспечения
обеспечения
безопасности
безопасности
ИТС
ИТС
“Внутренняя среда” отражает “внешнюю среду”.
Термин “внешний(яя)” становиться весьма не
простым, с точки зрения его определения.
Очевидно, что различия могут быть сделаны
только между теми транзакциями (процедурами
информационного обмена), которые являются
надёжными со стороны “внешней среды”, итеми,
которые отражают существующую “внутреннюю
среду”. На рис.23.12 показано использование
сквозного соединения, защищённого с помощью
криптографических способов и средств, что может
быть одним из вариантов решения для сказанного
выше.
“Внутренняя среда” отражает “внешнюю среду”
.
Термин “внешний(яя)” становиться весьма не
простым, с точки зрения его определения.
Очевидно, что различия могут быть сделаны
только между теми транзакциями (процедурами
информационного обмена), которые являются
надёжными со стороны “внешней среды”, итеми,
которые отражают существующую “внутреннюю
среду”. На рис.23.12 показано использование
сквозного соединения, защищённого с помощью
криптографических способов и средств, что может
быть одним из вариантов решения для сказанного
выше.
Лекция
Лекция
№
№
2
2
3
3
:
:
Основные
Основные
технические
технические
модели
модели
обеспечения
обеспечения
безопасности
безопасности
ИТС
ИТС
ЛВС
ЛВС
Внешний
интерфейс
Внешний
интерфейс
Внешний
интерфейс
Внешний
интерфейс
Корпоративный
шлюз
Корпоративный
шлюз
Региональный
центр управления
Региональный
центр управления
Интранет-сеть
(под управлением
администратора
организации)
Интранет-сеть
(под управлением
администратора
организации)
Региональный
шлюз
Региональный
шлюз
Локальный
шлюз
Локальный
шлюз
Локальный
шлюз
Локальный
шлюз
Офисный
шлюз
Офисный
шлюз
Сервер СОИБ
(например, для
выдачи
сертификатов
внутреннего
доступа)
Сервер СОИБ
(например, для
выдачи
сертификатов
внутреннего
доступа)
Сервер СОИБ
(например, для
выдачи
сертификатов
внешнего
доступа)
Сервер СОИБ
(например, для
выдачи
сертификатов
внешнего
доступа)
Соединение не
защищённое
криптографически
Соединение не
защищённое
криптографически
Соединение
защищённое
криптографически
Соединение
защищённое
криптографически
Рис.23.12. “Внешние” транзакции
Рис.23.12. “Внешние” транзакции