- •1. Классификация сетевых атак
- •2. Классификация сетевых угроз
- •3. Основные непреднамеренные искусственные угрозы
- •4. Основные преднамеренные искусственные угрозы
- •5. Основные принципы построения систем защиты
- •Принцип комплексности
- •Принцип непрерывности защиты
- •Разумная достаточность
- •Гибкость системы защиты
- •Открытость алгоритмов и механизмов защиты
- •Принцип простоты применения средств защиты
- •7. Протоколы прикладного уровня tcp/ip
- •8. Протоколы транспортного уровня tcp/ip
- •10. Протокол ipSec
- •11. Протокол tls
- •12. Стандарт set
- •13. Межсетевые экраны. Преимущества и недостатки.
- •14. Межсетевые экраны с фильтрацией пакетов
- •15. Межсетевые экраны уровня приложений
- •16. Шлюзы уровня соединений
- •17. Межсетевые экраны с адаптивной проверкой пакетов (или мэ с запоминанием состояния пакетов)
- •18. Разграничение доступа пользователей к ресурсам ас
- •19. Способы нсд к информации
- •20. Методы и средства защиты от нсд в сети
- •21. Аутентификация пользователей
- •22. Аутентификация в протоколе smb
- •23. Управление ключами. Kdc
- •24. Прикладные протоколы и службы
- •25. Безопасность www
- •26. Безопасность электронной почты
- •27. Виды каналов связи
- •28. Канал связи isdn
- •29. Беспроводные каналы связи
- •30. Спутниковые каналы передачи данных
- •31. Защита мобильной связи
- •32. Построение vpn на базе сетевой операционной системы
- •33. Построение vpn на базе маршрутизаторов
- •34. Построение vpn на базе межсетевых экранов
- •35. Vpn продукты застава
- •40. Понятие политики безопасности
34. Построение vpn на базе межсетевых экранов
Многие считают, что построение VPN на базе межсетевых экранов является наиболее оптимальным решением с целью обеспечения комплексной безопасности корпоративной информационной системы от атак из открытых сетей.
Действительно, объединение функций МЭ и VPN-шлюза в одной точке под контролем единой системы управления и аудита является технически грамотным и удобным для администрирования.
Рассмотрим типовую схему построения корпоративной VPN на базе популярного в России программного продукта компании CheckPoint-Firewall-1/VPN-1.
МЭ Firewall-1 позволяет в рамках единого комплекса построить глубокоэшелонированный рубеж обороны для корпоративных информационных ресурсов. В состав входят как МЭ Firewall-1, так и набор продуктов для построения корпоративной VPN – CheckPoint VPN-1, средства обнаружения вторжений, средства управления полосой пропускания и др.
Подсистема построения VPN на базе Firewall-1 включает в себя программные продукты VPN-1 Gateway и VPN-1 Appliance, предназначенные для построения интранет – VPN; VPN-1 Secure-Server, предназначенные для защиты выделенных серверов, а также VPN-1 Secure-Remote и VPN-1 SecureClient – для построения VPN в локальных сетях и в Интернете. Для шифрования трафика в каналах Firewall-1 используются известные криптоалгоритмы DES, CAST, IDEA, FWZ и др.
Весь ряд продуктов CheckPoint VPN-1 реализован на базе открытых стандартов (IPSec), имеет развитую систему аутентификации пользователей, поддерживает взаимодействие с внешними системами распределения открытых ключей (PKI), позволяет строить централизованную схему управления и аудита.
CheckPoint-Firewall-1/VPN-1
35. Vpn продукты застава
Линейка программных продуктов ЗАСТАВА (версия 2.5) включает в себя девять программных продуктов различного назначения, работающих под управлением ОС Windows 95/NT и Solaris Spars/Intel:
- МЭ ЗАСТАВА (с возможной организацией VPN);
- ЗАСТАВА – персональный клиент;
- ЗАСТАВА – корпоративный клиент;
- центр управления ЗАСТАВА;
- ЗАСТАВА – сервер;
- ЗАСТАВА – офис;
- персональный центр сертификации ЗАСТАВА;
- корпоративный центр сертификации ЗАСТАВА;
- сервер сертификатов ЗАСТАВА.
ЗАСТАВА для организации защищенных каналов использует протокол SKIP (соответствующий стандартам IPSec/IKE). Наличие полного продуктового ряда – клиент – сервер – шлюз позволяет строить на базе ЗАСТАВА разнообразные VPN решения как по функциональности, так и по стоимости. При этом защищенные каналы могут быть организованы как вне, так и внутри защищаемой сети.
36. Механизмы безопасной операционной системы семейства Windows
37. Механизмы безопасной операционной системы семейства UNIX
38. Механизмы безопасной операционной системы семейства NetWare
39. Стандарты безопасности вычислительных сетей и их компонентов
В 1992 году Гостехкомиссия при Президенте РФ опубликовала девять Руководящих документов, посвященных проблеме защиты от несанкционированного доступа (НСД) к информации.
Руководящий документ «Концепция защиты средств вычислительной техники и АС от НСД к информации» (Гостехкомиссия России, 1992г.);
Руководящий документ «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1992 г.);
Руководящий документ «Защита от НСД к информации. Термины и определения» (Гостехкомиссия России, 1992 г.);
Руководящий документ «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ» (Гостехкомиссия России, 1992 г.);
Руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (Утверждено Председателем Гостехкомиссии России 25.11.1994 г.);
Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации» (Гостехкомиссия России, 1997 г.);
Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997 г.);
Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.);
Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (Гостехкомиссия России, 2001г.).