Главная страница
Навигация по странице:

  • Требования к ИСПДн 3 уровня защищенности Средства (механизмы), обеспечивающие выполнение требования

  • 64-разрядная архитектура

  • Network Inspection System

  • Работа в массиве (Arrays)

  • Простота конфигурации

  • Блинов работа 2. Защита от нсд


    Скачать 26.45 Kb.
    НазваниеЗащита от нсд
    Дата04.05.2022
    Размер26.45 Kb.
    Формат файлаdocx
    Имя файлаБлинов работа 2.docx
    ТипДокументы
    #511111

    Задание для ИБ-191

    Тема : «Защита от НСД»

    1. Выявить основные механизмы защиты




    Требования к ИСПДн 3 уровня защищенности

    Средства (механизмы), обеспечивающие выполнение требования

    1.

    Идентификация и аутентификация субъектов и объектов доступа.

    Реализуется с помощью установки соответствующих параметров безопасности механизмов "Идентификации и аутентификации" при настройке операционной системы на сертифицированную конфигурацию для пользователей домена (для сетей ЭВМ) и локальных пользователей (на уровне автономных рабочих мест)..В случае использования других элементов общего программного обеспечения (SQL Server, ExchangeServer и др.) дополнительно используются их встроенные механизмы "Идентификация и аутентификация" и "Защита данных пользователя", а также организационные меры.

    2.

    Управление правами и привилегиями субъектов и объектов доступа.

    3.

    Запуск только разрешенного к использованию в ИС ПО.

    Настройка системы регистрации и разграничения прав Windows (функция AppLocker Windows 7/2008R2)

    4.

    Исключение несанкционированного доступа к машинным носителям и хранящимся на них ПДн.

    5.

    Сбор, запись, хранение и защита информации о событиях безопасности

    Использование механизмов "Аудит безопасности" и "Защита данных пользователя" Windows. Контролируется с использованием журнала событий ОС и другого ПО Microsoft.

    6.

    Антивирусная защита

    Использование антивируса Microsoft Forefront или антивирусов других производителей

    7.

    Обнаружение (предотвращение) вторжений

    Настройка "Защитника Windows" и (или) использование сторонник СОВ

    8.

    Контроль (анализ) защищенности информации

    Применение программ Check из состава пакета сертифицированного ПО

    9.

    Обеспечение целостности ИС и информации

    Выполняется встроенными средствами ОС, дополнительно контролируется программой "Check".

    10.

    Обеспечение доступности информации

    Использование механизмы архивации и воcстановления Windows

    11.

    Защита среды виртуализации

    Использование виртуализации Hyper-V из состава сертифицированных версий Windows server 2008/2008R2

    12.

    Защита ИС, ее средств, систем связи и передачи данных

    Реализуется использованием МЭ Microsoft ISA Server 2006 Standard Edition, сертифицированного по 4-му классу согласно РД МЭ.

    13.

    Выявление инцидентов и реагирование на них

    Настройка "Политик расширенный аудит" Windows

    14.

    Управление конфигурацией информационной систем и системы защиты персональных данных (УКФ)

    Настройка параметров Политик безопасности/Групповых политик безопасности Windows. Применение шаблонов безопасности. Контроль. Аудит и настройка параметров безопасности при помощи программ Check из состава пакета сертифицированного ПО



    1. Проанализировать отличия Microsoft ISA Server от других межсетевых экранов

    Ответ: Во-первых, в ISA 2004 полностью переработана внутренняя архитектура, что позволило не просто повысить производительность, но и обеспечить поддержку нескольких сетей одновременно и виртуальных частных сетей (Virtual Private Network, VPN), что позволяет применять сервер в качестве межсетевого экрана на периметре корпоративной сети или межсетевого экрана подразделения без изменения архитектуры сети. Во-вторых, реализован новый интерфейс пользователя, который за счет расширенных средств администрирования обеспечивает единое управление сетью VPN и межсетевым экраном с помощью удобного средства редактирования политик.

    В отличие от других межсетевых экранов, фильтрация каналов в ISA Server 2004 работает совместно с динамической фильтрацией пакетов, что упрощает ее использование и повышает общую безопасность работы сети.

    В отличие от большинства межсетевых экранов, в ISA Server 2004 зашифрованные данные могут быть проверены до попадания на сервер. Межсетевой экран расшифровывает поток SSL, проводит динамическую проверку, а затем повторно шифрует и пересылает данные опубликованному Web-серверу.

    Характеристика

    SonicWALL Pro 3060

    Cisco PIX-515E-R-DMZ

    Network Engines NS6200

    ISA Server

    Цена в долларах

    2319

    2699

    2499

    133

    Контроль на прикладном уровне с учетом состояния

    Нет

    Да (ограничено)

    Да (умеренно)

    Да

    Контроль прикладного протокола

    Да

    Да

    Да

    Да

    Проверка пакетов на соответствие заданным условиям

    Да

    Да

    Да

    Да

    Прозрачная аутентификация Windows

    Нет

    Нет

    Да

    Да

    Протоколирование всех имен пользователей и приложений Web и Winsock

    Нет

    Нет

    Да

    Да

    Контроль на прикладном уровне через туннели SSL

    Нет

    Нет

    Да

    Да

    Поддержка Exchange

    Нет

    Нет

    Да

    Да

    Контроль шлюзового и клиентского трафика VPN на прикладном уровне

    Нет

    Нет

    Да

    Да

    Обнаружение и предотвращение несанкционированного доступа

    Да

    Да

    Да

    Да

    Сервер удаленного доступа VPN и шлюз VPN

    Да

    Да

    Да

    Да

    VPN-клиент

    Нет

    Да

    Да

    Да



    1. Рассмотреть Microsoft Forefront TMG ( Threat Management Gateway ) - наследник и преемник Internet Security and Acceleration Server. Обозначить нововведения.

    Ответ: Forefront TMG включает в себя улучшения существующих, а также множество новых функций. Рассмотрим нововведения, представленные в Forefront TMG.

    • 64-разрядная архитектура. Исключительно 64-разрядная реализация. Forefront TMG устанавливается только на ОС Microsoft Windows Server 2008 / R2 x64.

    • HTTPS Inspection. Инспекция HTTP / HTTPS -трафика на наличие вирусного и шпионского кода, а также анализ веб-контента на соответствие корпоративным политикам ( фильтрация ресурсов на основе классификации).

    • ISP Link Redundancy. Поддержка нескольких интернет-каналов. ISP Link Redundancy позволяет организовать отказоустойчивое подключение к сети Интернет посредством сразу двух ISP -каналов. Возможно как горячее резервирование интернет-канала, так и балансировка сетевой нагрузки между интернет-каналами.

    • Network Inspection System. Технология обнаружения и предотвращения сетевых вторжений, основанная на IPS GAPA ( Generic Application Layer Protocol Analyzer ) . NIS представляет собой полноценное IDS / IPS -решение уровня предприятия. NIS производит анализ сетевого трафика на основе сигнатурного метода, а также методом определения аномальных действий. Сигнатуры сетевых атак обновляются на регулярной основе через службу Microsoft Update.

    • Enhanced NAT. Возможность трансляции адресов по схеме 1-to-1 NAT. Это позволит опубликовать для внешнего доступа, к примеру, почтовый сервер на специально выделенном адресе.

    • VoIP Traversal. Полноценная поддержка протокола SIP. Появился специальный мастер, позволяющий настроить Forefront TMG на работу с IP PBX -системой, использующей SIP.

    • Email Protection. Возможность интеграции с ролью Microsoft Exchange Server 2007 Edge Transport Server почтовой системы Microsoft Exchange Server 2007 для защиты электронной почты от вредоносного ПО и спама на уровне сетевого периметра. Консоль управления Forefront TMG обладает всем необходимым для настройки данного функционала.

    • Работа в массиве (Arrays). Появилась возможность создавать массив из стандартных редакций Forefront TMG Standard Edition.Теперь добавлять Forefront TMG в массив или выводить из массива можно в любой момент прямо из консоли управления.

    • Простота конфигурации. Настройка производится с широким использованием интуитивно понятных мастеров ( Wizards ).

    • Возможность интеграции с Forefront Security Suite (codename Stirling)Forefront TMG может обмениваться информацией о состоянии защиты с другими системами безопасности посредством механизма Security Assessment Sharing. Это позволяет интегрировать Forefront TMG в целостную систему защиты всех типов информационных активов компании.

    • URL Filtering. Важное нововведение Forefront TMG Beta 3 - встроенная функция фильтрации доступа к определенным веб-ресурсам на основе более чем 80 предустановленных и динамически обновляемых категорий .


    написать администратору сайта