Оқулық Қазақстан Республикасы Білім жəне ғылым министрлігі бекіткен Алматы, 2011 2
жүктеу/скачать 1,47 Mb. Pdf көрінісі
|
2-дәріс
| 20-сурет. Ауқымды қауіпсіздік саясаты ережесінің құрылымы
Бұл ретте жекелеген жұмыс стансалары мен ішкі желілер, сол сияқты компаниялардың тұтас құрылымдық бөлімшелері (мысалы, маркетинг немесе қаржы департаменті) кіруі мүмкін объектілер топтары немесе тіпті, жекелеген компаниялар (мыса- лы, холдингке кіретін) ауқымды қауіпсіздік ережелерінің объек- тілері болуы мүмкін. Бөлінген корпоративтік жүйелер бизнес-объектілерін қорғауды ережелер терминдерімен тұжырымдауға болады, өйткені желі- лік өзара əрекетті Р параметрлерінің көмегімен бапталған SecSrv қорғаудың кейбір желілік сервисі негізінде қатынаудың Subj субъектісі мен Obj объектісі арасындағы ақпараттарды қарапайым түрде беру ретінде қөз алдыға елестетуге болады. Нəтижесінде кəсіпорынның ауқымды қауіпсіздік саясаты: 246 $(Subj, Obj, SecSrv (P)) түріндегі ережелер жиыны ретінде көрінеді. Бұл ретте Obj объекті үшін ережелердің жоқтығы аталған Obj- ға кез келген қатынауға тыйым салынатынын білдіреді. GSM-де кəсіпорын қауіпсіздігінің мақсаттарын анықтау- дың қарапайымдылығы үшін, Subj жəне Obj түрінде қатысатын объектілердің екі түрі қарастырылған. Бұл – пайдаланушы (£/) жəне қор (/?). R қоры (ресурс) ақпараттық (//?) немесе желілік (NR) болуы мүмкін. Пайдаланушы мен қор (ресурс), жүйеде ұсталып тұратын: топ, домендер, рөлдер, департаменттер, каталог бөлімдері агрега- цияларының кез келген формасында қатысуы мүмкін. Мысал: ереже (U, IR, S\) U пайдаланушының IR ақпараттық қорға қатынауы кезінде қамтамасыз етілетін, SI қорғау ережесі болып көрінеді. Ереже (//?!, IR2, S2) S2 қорғау қасиеттерін қам- та масыз ету қажеттілігімен екі ақпараттық модульдердің (бағдар- ламалардың) желілік өзара əрекеттеріне рұқсат етуді білдіреді. Үнемдеу саясаты корпоративтік жүйелердің кез келген қорға- латын объектісіне қатынау үшін тыйым салу ережесі болып көрінеді: не анық рұқсат етілмеген, не соның бүлінуіне – тыйым салынған. Осындай ереже кəсіпорын желісінде ақпараттардың толық қорғалуын қамтамасыз етеді. Желілердегі құрылғылардың өзара əрекетін қамтамасыз ету үшін, оған, оларды бір орталықтан басқаруға ғана арналған құ- рыл ғыларды баптаудың қажетті ережелерінен тұратын старт- тық конфигурация – құрылғылар қауіпсіздігінің старттық саяса- ты əзірленеді жəне беріледі (жалпы желілер арналары бойынша емес). Ауқымды қауіпсіздік саясатының ережелері желілік өзара əрекет етуге, сол сияқты жүйенің өзін бақылау жəне басқару функцияларына қолданылуы мүмкін. Ауқымды қауіпсіздік саясаты ережесі функционалдық тұрғы- дан мынадай топтарға бөлінген: • VPN ережесі. Аталған тир ережесі IPSec хаттамалары кө ме- гімен жүзеге асырылады; клиенттік құрлығының немесе қауіп- сіздік шлюзінің (IP\, IP2, VPNRule) стегіндегі VPN драйвер ере- жені орындау агенті болып саналады; 247 • дестелік (пакеттік) сүзгі ережесі. Олар stateful жəне stateless түріндегі дестелік сүзгіден өткізуді қамтамасыз етеді; • осы ережелерді орындау, VPN-ережені (IP\, IP2, PacketRule) орындайтын, сол агенттерді қамтамасыз етеді; • «жазға» антивирустық қорғауды қоса алғанда, proxy – ереже. Бұл ереже, берілген қолданбалы хаттамаларды басқару жолымен берілетін, трафикті сүзгіден өткізуге жауап береді; proxy-агент олардың орындаушы агенті болып саналады, мысалы (User, Protocol, ProxyRule) немесе (Application, Protocol, Proxy-Rule); • Single Sign-On ережесін қоса алғанда, аутентификациялан- ған/авторланған қатынау ережесі. Single Sign-On қатынауды бас- қару аталған пайдаланушыға бірыңғай парольде жұмысты не- месе көптеген ақпараттық қорлармен өзге аутентификациялық ақпа раттарды қамтамасыз етеді; желілік қатынау ережесінің символикалық жазуы Single Sign-On (User, Application, Authenti- cation Scheme)-да оңай таралады. Осы топ ережелері, VPN-драй- верден proxy-агенттерге дейін, əртүрлі деңгейдегі агенттермен аралас, сұрау-жауап қайтаруды аутентификациялау жүйелері жə- не үшінші əзірлеушілердің өнімдері осындай ережелерді орын- дайтын агенттер болуы мүмкін; • сигнализация мен оқиғаларға жауап беретін, ереже. Хатта- малау саясатын хаттама жасау агенті жедел жəне бір орталықтан басқаруы мүмкін; жүйенің бүкіл құраушылары ережелерді орын- даушылар болып саналады. Ауқымды қауіпсіздік саясаты ережелерінің жиыны, жеке- леген құрылғылар қауіпсіздігінің жергілікті саясаты соның не- гізінде құрылуы мүмкін, желілер масштабтарында қауіпсіздік саясатының логикалық тұтастықтағы жəне семантикалық толық сипаттамасы болып саналады. жүктеу/скачать 1,47 Mb. Достарыңызбен бөлісу:
|