ГОСТ Р ИСО ТО 13569— 2007
жений контракта часто является первой и наиболее важной мерой зашиты. Следующей наиболее важной
мерой защиты сети является система мер защиты границ организации (см. 10.5). используемая для обес
печения безопасности, мониторинга и управления соединениями между внутренними и внешними сетями
организации.
10.5 Меры защиты границ организации и ее связанности с внутренними и внешними сетями
10.5.1 Общие положения
Анализ источников [1]—[26] показывает увеличение открытости корпоративных сетей. То. что когда-то
было прочной, жесткой контролируемой границей организации, стало открытодля веб-сервисов, делового
сотрудничества, поддержки сторонними организациями, а также для взаимодействия клиентов с система
ми регистрации, временных работников с работниками по договору, и для доступа сотрудников — как
удаленного из дома, так и их внешних соединений сдругими фирмами. Все увеличивающаяся проницае
мость границы организации означает, что она и системы взаимодействия продолжают являться критически
ми элементами информационной безопасности организации. Проницаемость границы организации также
означает, что все больше устройств являются местами возможного проникновения для злоумышленников.
Необходимо рассмотреть возможность применения для данных устройств межсетевых экранов, систем
обнаружения вторжения и. возможно, других мер защиты (см. конечные системы в приложении D. раздел
D.1).
Все границы между организацией и более крупной средой с сетевой структурой являются критичны
ми. любая граница представляет возможность угрозам совершить атаку, используя уязвимости систем
организации. Организации должны определить собственную политику, касающуюся путей применения мер
защиты границы. Например, организация может потребовать изолирования корпоративной сети для созда
ния безопасной среды с высокой степенью защиты, например, такой, при которой все пользователи и
конечные системы будут физически связаны внутри здания организации. С другой стороны, организация
может обеспечить защиту всех своих активов вбезопасной базеданных за защитным сервером веб-прило
жений. при помощи многоуровневых межсетевых экранов и программныхсредств обнаружения вторжения
или строгой аутентификации пользователей. Что из этих средств защиты является приемлемым, зависит от
активов организации, оценки риска и принятых политик.
10.5.2 Межсетевые экраны
Межсетевые экраны представляют собой развитую технологию обеспечения защиты границы на се
тевом уровне. В то время как существуют варианты реальных возможностей и способов функционирова
ния. все межсетевые экраны располагаются между граничным маршрутизатором или коммутатором, со
единяющими предприятие с другими объектами или Интернетом, и внутренними сетевыми маршрутизато
рами организации. Хорошо спроектированный межсетевой экран является необходимым элементом обес
печения защиты сети организации.
Межсетевой экран осуществляет мониторингсетевого трафика на основе адресации, портов, прото
колов и, в некоторых случаях, содержания пакетов. Для многих организаций межсетевой экран открыт
толькодля очень небольшого набора из всех доступных адресов, портов и протоколов. В качестве примера
межсетевой экран, защищающий комплекс веб-сервера, может разрешать только протокол HTTP для пор та
80 или протокол HTTPS для порта 443 (также известный как SSL).Другие обычные порты для FTP серви сов.
SMTP (электронной почты) могут быть также открыты или закрыты в соответствии с потребностями и
политиками организации.
Многие организации применяютдва уровня межсетевых экранов для создания так называемой «де
милитаризационной» зоны. Веб-серверы и другие направленные вовне серверы и сервисы размещают
между уровнями межсетевых экранов и переформатируют и перенаправляют запросы трафика на услуги
или данные внутри более крупного предприятия. Внешний межсетевой экран может поддерживатьтолько
http трафик, тогда как внутренний межсетевой экран может разрешать SSH или другие сервисы для под
держки доступа к управлению веб-серверами или разрешать доступ веб-серверов к внутренним базам
данных. Обычной практикой является использование межсетевых экранов двух различных типов (произво
дителей) на внутренних и внешних позициях.
Изначально межсетевые экраны считали программными средствами специального назначения или
специальными устройствами, размещающимися на сетевом тракте и защищающими крупные участки
организации. Межсетевые экраны были важным элементом прочности укрепленных периметров. В послед
ние два-три года межсетевые экраны были включены в состав конечных систем, часто в качестве так
называемых персональных межсетевых экранов. Обе тенденции — использование межсетевых экранов
специального назначения для важных сетевых соединений и персональных межсетевых экранов на пер-
8— 2590
25