Верхнее

Z-2

Сертификат ФСТЭК №1352 от 09.03.2007 (до 09.03.2016)

Специальное программное обеспечение межсетевой экран «Z-2», версия 2 на соответствие ЗБ 17801922.Z-2.002.ЗБ.0.7.0 и имеет оценочный уровень доверия ОУД 4 (усиленный) — РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» и по 2 классу для МЭ и по 2 уровню для НДВ.

Описание

НАЗНАЧЕНИЕ МЕЖСЕТЕВОГО ЭКРАНА «Z-2»

Межсетевой экран (МЭ) «Z-2» предназначен для защиты внутреннего информационного пространства корпоративных информационных систем (в том числе территориально распределенных) при межсетевом информационном взаимодействии в соответствии с принятой в компании политикой информационной безопасности. Межсетевой экран «Z-2» позволяет разграничить доступ к ресурсам компьютерной сети и обеспечивает контроль информационных потоков между защищаемой сетью компании и внешними сетями.

Основные возможности МЭ «Z-2» по обеспечению информационной безопасности корпоративной информационной системы включают:

  1. контроль входящих (исходящих) информационных потоков на сетевом, транспортном и прикладном уровнях модели информационного обмена OSI (ISO);
  2. идентификацию и аутентификацию пользователей с защитой от прослушивания сетевого трафика;
  3. трансляцию сетевых адресов и сокрытие структуры защищаемой сети; 4) обеспечение доступности сетевых сервисов;
  4. регистрацию запросов на доступ к ресурсам и результатов их выполнения;
  5. обнаружение и реагирование на нарушения политики информационной безопасности.

СОСТАВ МЕЖСЕТЕВОГО ЭКРАНА «Z-2» 

Межсетевой экран «Z-2» представляет собой программный комплекс, функционирующий под управлением операционной системы Solaris компании Sun Microsystems на аппаратной платформе БРАКС или Intel. В состав комплекса МЭ «Z-2» входят следующие программные компоненты:

  1. фильтр сетевых пакетов;
  2. шлюзы прикладного уровня;
  3. средства идентификации и аутентификации пользователей;
  4. средства регистрации и учета запрашиваемых сервисов;
  5. средства оповещения и сигнализации о случаях нарушения правил фильтрации;
  6. средства контроля целостности программной и информационной среды МЭ;
  7. средства управления программным комплексом МЭ.

МЭ «Z-2» устанавливается на границе между защищаемой сетью компании и внешними открытыми сетями либо между сегментами защищаемой сети (разного уровня конфиденциальности или служащих для решения различных задач и потому требующих изоляции) и осуществляет контроль входящих (исходящих) информационных потоков на основе заданных правил управления доступом.

ФУНКЦИОНИРОВАНИЕ МЕЖСЕТЕВОГО ЭКРАНА Z-2»

Фильтрация информационных потоков

Разграничение доступа и контроль входящих (исходящих) информационных потоков осуществляются путем фильтрации данных, т. е. их анализа по совокупности критериев и принятия решения об их распространении в (из) защищаемой сети или сегменте. Фильтрация производится на основе правил, задаваемых администратором, в соответствии с принятой в компании политикой информационной безопасности. Для проверки списка правил фильтрации на избыточность и непротиворечивость в состав МЭ «Z-2» входят средства проверки правил по адресам, портам и протоколам источника или точки назначения пакета.

Информационная безопасность

На сетевом и транспортном уровнях фильтрация соединений осуществляется пакетным фильтром на основе транспортных адресов отправителя и получателя с сохранением состояния сессии. При этом осуществляется контроль доступа в соответствии с установленными правилами разграничения доступа к сетевым ресурсам и сервисам.

Фильтрация на уровне приложений осуществляется набором фильтров прикладного уровня, каждый из которых отвечает за фильтрацию информационного обмена по одному отдельному протоколу и между одним определенным типом приложений. Фильтрация осуществляется по дате и времени запроса, IP-адресам источников запроса, типу протокола, отдельным командам и другим атрибутам, характерным для данного протокола. МЭ «Z-2» включает шлюзы прикладного уровня для протоколов НТТР, FTP, SMTP, TELNET и SNMP. Межсетевой экран также включает прикладные шлюзы общего назначения, которые являются нейтральными по отношению к содержимому протокола и могут быть использованы для различных типов приложений, применяющих в качестве транспорта протоколы ТСР и UDP. Универсальные шлюзы Generic ТСР и Generic UDP обеспечивают фильтрацию по сетевым адресам (портам) источника (получателя) запроса и протоколирование соединений.

Разграничение доступа к шлюзам приложений производится с помощью списков управления доступом (Access Control Lists) на основании заданного диапазона IP-адресов и портов разрешенных источников запросов. Шлюзы приложений могут также производить аутентификацию запроса на установление соединения на сервере аутентификации и авторизации.

Идентификация и аутентификация пользователей МЭ «Z-2»

МЭ «Z-2» включает две схемы аутентификации пользователей — по простому паролю и паролю временного действия. Использование временных паролей позволяет обеспечить защиту от пассивных атак, таких как прослушивание сетевого трафика и перехват идентификаторов и паролей пользователей, поскольку информация, которая потенциально может быть использована для попыток получения несанкционированного доступа, не передается по сетиа используемые для аутентификации пароли не хранятся на каком-либо компьютере.

Аутентификация и проверка прав доступа пользователей при обращении к прикладным сервисам реализуются с помощью сервера аутентификации и авторизации, к которому обращаются шлюзы приложений МЭ «Z-2». На сервере аутентификации и авторизации хранится база данных пользователей, в которой описана схема аутентификации каждого конкретного пользователя и иная необходимая информация. Доступ к запрашиваемому сервису может быть разрешен только в случае успешной проверки подлинности на сервере аутентификации.

Доступ к серверу аутентификации разрешен только шлюзам приложений в соответствии со списками управления доступом на основании IP-адресов и портов разрешенных источников запросов на аутентификацию.

Трансляция сетевых адресов

Помимо фильтрации информационных потоков, МЭ «Z-2» выполняет трансляцию сетевых адресов (Network Address Translation, NAT) на основании заданного набора правил. Это позволяет скрыть структуру внутренней сети от внешних субъектов и расширить возможности использования произвольных внутренних IP-адресов.

Обеспечение доступности ресурсов

Для предотвращения угроз доступности ресурсов при внешнем информационном обмене МЭ «Z-2» осуществляет управление информационными потоками. В качестве параметра управления выступает количество обрабатываемых запросов на предоставление сервисов в зависимости от приоритета ресурса, определенного политикой безопасности компании.

АДМИНИСТРИРОВАНИЕ МЕЖСЕТЕВОГО ЭКРАНА «Z-2»

Средства управления

Управление компонентами одного или нескольких межсетевых экранов «Z-2» осуществляется централизованно с рабочего места администратора на основе технологии «клиент — сервер», где в качестве сервера выступает программа управления, запускаемая на МЭ, а в качестве клиента — графический интерфейс управления МЭ, установленный на рабочем месте администратора. Графический интерфейс и программа управления написаны на языке Java, что обеспечивает многоплатформенность интерфейса управления МЭ.

Графический интерфейс управления позволяет производить:

  1. настройку фильтра сетевых пакетов МЭ;
  2. настройку сервисов фильтрации, их запуск и остановку, а также перемену статуса их работы;
  3. редактирование базы данных пользователей сервера аутентификации;
  4. полный или выборочный просмотр системных журналов в реальном времени;
  5. настройку системного планировщика задач.

Информационная безопасность

Разграничение доступа и защита функций администрирования

Доступ к функциям конфигурирования и администрирования МЭ «Z-2» предоставляется только уполномоченному администратору, который должен пройти процедуру проверки подлинности. Кроме того, осуществляется защита данных и команд управления, передаваемых между МЭ «Z-2» и рабочим местом администратора.

В качестве аутентификационной информации для задач администрирования МЭ «Z-2» используются сертификат открытого ключа Х.509 и одноразовый пароль S / key. Конфиденциальность и целостность информации управления обеспечиваются средствами протокола SSLv3.

Обеспечение надежности функционирования

Надежность работы МЭ «Z-2» обеспечивается следующим комплексом мер:

1) регистрацией событий. МЭ «Z-2» осуществляет регистрацию событий, связанных с его функционированием, включая все виды входящих (исходящих) запросов и процессов их обработки, изменения конфигурации МЭ и прочие административные действия, события загрузки и выключения МЭ, регистрации и выхода из системы администратора и других пользователей. При этом обеспечивается защита хранимых данных аудита от несанкционированного удаления. Полный или выборочный просмотр протоколов регистрации осуществляется только уполномоченным администратором. МЭ «Z-2» включает также средства анализа регистрационной информации и генерации отчетов на ее основе;

2) оповещением администратора МЭ о попытках НСД. Для обеспечения оперативного реагирования на нарушения политики информационной безопасности компании при обнаружении событий, отвечающих определенным критериям (например, интерпретируемых как попытки НСД), МЭ «Z-2» осуществляет одно из заданных действий, например:

  • локальное оповещение администратора, осуществляющего мониторинг работы МЭ;
  • удаленное оповещение (передачу администратору сообщения по электронной почте);
  • другие настраиваемые администратором действия;

3) контролем целостности МЭ «Z-2». МЭ «Z-2» обеспечивает динамический контроль целостности своей программной части (исполняемых модулей и компонентов операционной системы) и информационной среды (конфигурационных файлов, баз данных пользователей и аутентификационной информации). Возможность проверки целостности компонентов МЭ «Z-2» предоставляется только уполномоченному администратору;

4) резервным копированием и восстановлением МЭ. При выходе из строя компонентов фильтрации МЭ в результате сбоя или отказа происходят приостановка связи по соответствующему протоколу и прекращение доступа к защищаемым ресурсам. Тем самым реализован принцип невозможности перехода в небезопасное состояние защищаемой информационной системы. Для быстрого возобновления выполнения функций защиты корпоративной сети в случае сбоев и отказов программно-аппаратного обеспечения МЭ «Z-2» предусмотрена возможность резервного копирования компонентов самого МЭ (конфигурационных файлов, файлов протоколирования, баз данных пользователей), файловой системы (средствами операционной системы), а также оперативного восстановления работоспособности МЭ.

МЭ «Z-2» также выполняет набор операций самотестирования при запуске, восстановлении после сбоев и запросах уполномоченного администратора.

Использование МЭ «Z-2» для защиты корпоративной информационной системы позволяет обеспечить высокий уровень безопасности внутреннего информационного пространства компании и возможность детального разграничения доступа к ресурсам и сервисам на основании корпоративной политики информационной безопасности.

Возможность построения комплексных решений по защите от НСД заключается в интеграции МЭ «Z-2» с системами блокировки несанкционированных рассылок (спама), а также комплексного использования со средствами создания виртуальных защищенных сетей (VPN), антивирусными решениями и средствами контекстного анализа.

Источник: http://library.tuit.uz/skanir_knigi/book/inf_bez/informat_bezopas_3.htm

Возможно Вас также заинтересует…