ТОР 5 статей: Методические подходы к анализу финансового состояния предприятия Проблема периодизации русской литературы ХХ века. Краткая характеристика второй половины ХХ века Характеристика шлифовальных кругов и ее маркировка Служебные части речи. Предлог. Союз. Частицы КАТЕГОРИИ:
|
Вертикальная модель сетиВ предыдущем разделе была рассмотрена горизонтальная модель сети, отличающаяся от вертикальной тем, что она затрагивает лишь анализ угроз, которые возникают в сети на некотором одном уровне. Это уровень среды функционирования системы, в которой “обитают” конечные пользователи, системные администраторы, программы. Однако, угрозы для системы могут обнаружиться и на разных уровнях, соответствующих семиуровневой сетевой модели (OSI – Open System Interconnection). Рассмотрим меры защиты, которые можно применить на каждом уровене семиуровневой сетевой модели. Физический уровень. Данный уровень отвечает за кодирование передаваемых сигналов в среде передачи данных. На этом уровне происходит преобразование поступающих со всех остальных уровней битов (0 и 1) в электрические сигналы. Для того, чтобы злоумышленники не смогли считать передаваемые данные, находясь за пределами корпусов университета, для связи между ними используется оптоволоконный кабель. В корпусах университета используется витая пара, что хотя и не предотвращает возможность считывания передаваемой информации с помощью специальных устройств, но это и не требуется для класса безопасности 1Г. Канальный уровень. На канальном уровне предприняты следующие меры: Привязка к конкретным портам коммутаторов MAC-адресов, что устраняет угрозу подмены рабочего места пользователя. Привязка MAC-адресов будет выглядеть примерно следующим образом: [привязать MAC - 1 к порту Port - 1] После выполнения такой операции к порту 1 коммутатора будут иметь доступ только компьютеры с адресами сетевых интерфейсов MAC-1. Устройства с другими сетевыми картами уже не смогут получить доступ к порту данного коммутатора. Использование протокола WPA для кодирования информации, передаваемой по радиоканалу. Сетевой уровень. Сетевой уровень отвечает за маршрутизацию, т.е. за выбор оптимального пути и доставку пакета данных адресату. На данном уровне рекомендуется предпринять следующие меры: Организация VLAN: данная технология позволит поставить барьер на пути широковещательных запросов (разгрузить сеть). Для этого необходимо каждый порт коммутаторов уровня распределения (сервиса) приписать к определенному VLAN, а взаимосвязь различных VLAN между собой организовать на маршрутизаторах. Структура VLAN рекомендуется следующая: уровень ядра системы (сервера) и уровень распределения выделить в отдельные VLAN, уровень доступа подразделить на VLAN в соответствии с обрабатываемой информацией. Учебные компьютерные классы не должны иметь доступа к серверу БД (и к системе). Для достижения большего эффекта от разбиения сети необходимо использовать листы доступа (ACCESS – листы). Транспортный уровень. На данном уровне необходимо организовать списки доступа (ACCESS – листы) аналогичные листам доступа на сетевом уровне, однако, здесь можно указывать не адреса сетей, а адреса конкретных сервисов. Такие списки доступа можно настроить на серверах и брандмауэрах. Прокси-сервер, DNS-сервер, ftp-сервер подключены к фаерволу PIX 515, такой же PIX 515 является защитным «барьером» на пути к серверу БД, Web-серверу, контроллеру домена ist. Одной из функций данного межсетевого экрана является функция фильтрации трафика, настраиваемая в соответствии с правилами политики безопасности сети. Прикладной уровень. Это уровень сетевой модели, отвечающий за взаимодействие пользовательского приложения и сетью. На данном уровне при доступе к приложению применяется Windows аутентификация на сервере (проверка наличия данного пользователя в списке Active Directory, проверка достоверности имени и пароля) пользователей, и в соответствии с группой, к которой относится пользователь, ему предоставляются соответствующие права на клиенте и на сервере (доступ к соответствующим данным). Беспарольных пользователей в системе быть не должно. Сюда также можно отнести аудит, который ведется на сервере БД и в самой ИС при экспорте различных отчетов в редакторы (MS Word, MS Excel). Не нашли, что искали? Воспользуйтесь поиском:
|