Материалы курса В. И. Королёва / 5_Zaschita_informatsii_v_otkrytom_konture
.docЗащита информации в открытом контуре
Открытый контур «О» разделяется на два логических сегмента:
-
внутренний сегмент;
-
демилитаризованная зона, в которой размещаются доступные для сети Интернет сервера.
Разделение осуществляется посредством межсетевого экрана (МЭ), который обеспечивает фильтрацию пакетов, базируясь на адресах отправителя и получателя информации, последовательности нумерации пакетов протокола управления передачей (Transmission Control Protocol - TCP), номерах портов добавочных флагов TCP.
Внутренний сегмент строится на основе домена. Средствами контроллера домена осуществляется централизованное управление профилями пользователей, имеющих АРМ во внутреннем сегменте контура.
Разграничение доступа к ресурсам файлового сервера производится средствами самого сервера и управляется через контроллер домена.
Разграничение доступа к ресурсам серверов приложений и БД производится их встроенными средствами.
Доступ к Web-серверу и почтовому серверу со стороны Интернет контролируется средствами МЭ.
Для защиты от сетевых атак на информационные ресурсы открытого контура необходимо применение средств обнаружения сетевых атак с функциями:
-
выявление сетевых атак;
-
блокирование пакетов данных, нарушающих заданную политику безопасности;
-
мониторинг трафика, циркулирующего на сетевом, транспортном и прикладном уровнях модели взаимодействия открытых систем;
-
выявление аномалий сетевого трафика;
-
оповещение администратора об обнаруженных атаках и аномалиях.
Связь с Интернет требует мощной антивирусной защиты.
Для почтового сервера должна быть выполнена настройка, обеспечивающая мониторинг и фильтрацию содержимого электронной почты, чтобы обеспечить:
-
блокировку пересылки файлов запрещённого формата;
-
защиту от спама;
-
обнаружение писем с ложными адресами;
-
блокировку или доставку данных в зависимости от подтверждения их подлинности;
-
подтверждение цифровых подписей и отклонения писем с нарушениями ЭЦП.