Руководство по выработке правил разграничения доступа к ЭВМ

       

Сетевые соединения и "горящие стены"


Термин "горящая стена" обозначает что-либо, преграждающее путь в какое-либо место, позволяющее добраться до него только тем, кому можно, и делающее для всех остальных это место недоступным. Этот термин вполне можно применить к компьютеризированной организации, особенно он подходит для сетевых соединений.

В некоторых организациях отделы расположены в одном месте и должны соединяться только друг с другом, и не должны соединяться с другими организациями. Такие организации менее чувствительны к угрозам извне, хотя проникновение и может произойти через модем. С другой стороны много других организаций соединены с другими организациями через глобальные сети, такие, как Интернет. Эти организации чувствительны к целому ряду угроз, связанных с сетевой средой.

Следует тщательно сопоставить выгоды от соединения с внешними сетями с риском такого соединения. Может быть желательно ограничить соединение с внешними сетями только теми СВТ, на которых нет конфиденциальной информации, оставив "жизненно важные" ЭВМ (например, те на которых считается заработная плата) изолированными. Если есть необходимость соединения с глобальной сетью, следует ограничить доступ к вашей местной сети таким образом, чтобы он осуществлялся через одну ЭВМ. То есть, все обращения в вашу сеть или из вашей сети должны проходить через одну ЭВМ, являющуюся как бы горящей стеной между вами и внешним миром. Такая горящая стена должна быть строго контролируемой и защищенной паролем, а доступ к ней внешних пользователей также должен быть ограничен путем наложения ограничений на возможности, доступные удаленным пользователям. Используя этот подход, ваша организация может ослабить некоторые внутренние меры по защите местной сети, но при этом будет оставаться защищенной с помощью этой промежуточной машины.

Отметим, что даже при наличии горящей стены ее компрометация может привести к компрометации всей сети за этой стеной. В нескольких местах была осуществлена работа по созданию горящей стены, которая даже будучи скомпрометированной, все еще защищает местную сеть[6, CHESWICK].



Содержание раздела