スパム対策ツール
SZIの認証の分野に興味があるので、ファイアウォールの認証に関するいくつかの考えを述べることにしました。 この記事では、何らかの理由で現在のところしぶしぶ対処されている問題に焦点を当てています。 このトピックもあなたにとって興味深いものであり、それについて議論したい場合は、catへようこそ。
ファイアウォール-通過するネットワークパケットの量と品質を適切なセキュリティレベルで制御できる包括的なソフトウェアまたはハードウェア。 ファイアウォールは、特定のルールセットに基づいてネットワークトラフィックを分析し、それに基づいてすべてのデータがフィルタリングされます。
したがって、ME(ファイアウォール、ファイアウォール、ファイアウォール)の主なタスクは、自律ノードまたは共有コンピューターネットワークを無許可の不正アクセスから保護することです。これは、データを独自の目的で使用したり、ネットワーク所有者に回復不可能な損害を与えたりする可能性があります。 そのため、ファイアウォールは、構成で指定された基準に適さないデータパケットを許可しないフィルターとも呼ばれます。 ネットワークトラフィックは、OSIモデルの任意のレベルでフィルタリングできます。 基準として、ポート番号、データフィールドの内容、送信者/受信者アドレスなど、さまざまなレベルの情報を使用できます。
情報技術を制御する国家機関は、ファイアウォールをより具体的に定義します-効果的な運用を保証するための多くの追加機能を含む、広範な情報セキュリティシステムのコンポーネントの1つとして。 ネットワークの所有者がファイアウォールを購入する必要はありません。 彼は機密情報の保存に完全に責任があるという事実にもかかわらず、現時点では、ロシア連邦のそのような保護システムは適切なレベルで普及していません。 理想的には、24時間体制で着信/発信情報フローを監視するために、各内部ネットワークに実装する必要があります。 情報セキュリティ監視システムは、現在のところ追加のネットワーク保護ツールに取って代わりますが、これは個人用セキュリティシステムを高レベルのハードウェアの組み合わせとして定義するには不十分です。
MEの有病率
保護は常に包括的である必要があることは誰もが長い間知っており、すべての必要なルールのセットで正しく構成されたMEでさえ、ユーザーに絶対的な保護を与えません。 したがって、MEの使用は、さまざまな悪意のあるプログラムの検出と無効化、感染ファイルの検出、疑わしいファイルの分離、システム内の実行可能プロセスの監視を行うウイルス対策プログラムを使用して実行する必要があります。 このアプローチの複雑さは、各ツールが特定のセキュリティの脅威のみを防ぐのに役立つ場合、情報セキュリティツールの専門化に関連して発生する問題を解決します。
MEのタイプに応じて、外部インターネットネットワークからの不要なトラフィックから内部ネットワークのアプリケーション、マシン、およびサービスを隔離および保護し、内部ネットワーク上のホストの外部Webサービスへのアクセスを禁止または制限し、ネットワークアドレスの変換をサポートして、内部ネットワークでプライベートネットワークを使用できますIPアドレス ファイアウォールは、各ユーザーの個人システムを通過するすべての着信/発信トラフィックをフィルタリングします。 いくつかの追加の特性に応じて、それらは特定のセキュリティクラスに属する場合があります。このため、証明書を取得する必要があります。
MEは、1つまたは複数のインストールセットによってプロセス内で「ガイド」できます。これにより、各ネットワークパケットがチェックおよびフィルタリングされます。 このプロセスは、ネットワーク接続チャネルを介したパケットの入力と出力の両方で実行されます。 スキャンの結果に基づいて、トラフィックはさらにトラフィックへのアクセスを取得し、ブロックされます。 同時に、ファイアウォール自体の設定には、フィルタリング中にチェックされるネットワークパケットの特定の特性を示す設定があります。 プロトコルのタイプは制限ではなく、宛先またはソースのホストアドレスとポートでもありません。
ファイアウォールは、ローカルネットワークのセキュリティレベルを大幅に向上させます。 しかし、これはそれらの機能に限定されず、MEは現時点でユーザーまたは組織に必要なさまざまなタスクを実行します。
有効なMEの特性
現在、ファイアウォールの市場は、異なる機能を備えた多くの異なるモデルによって表されています。 ネットワーク保護は、ユーザーと開発者、サプライヤの両方にとって重要です(多数の人の大量の販売に関心があります)。 個人データに関する法律が施行されるまで、必須の製品証明書は必要なかったため、ハードウェアの販売はずっと簡単でした。 現在、状況はやや複雑になっており、ハードウェアに必要な保護パラメーターを含めることはできなくなりましたが、高レベルのセキュリティ製品として高コストで販売することはできなくなりました。 個人データを保護するために使用される各タイプのファイアウォールの使用は、個々の特性と同様に明確に規制されています。 すべての規制は、5つのセキュリティクラスの1つに属し、最終的にファイアウォールがどうあるべきかをユーザーと開発者に自由に通知します。
立法者は最終的に、個人データを効果的に保護するには、認定されたハードウェア保護のみを使用する必要があると結論付けています。 これはファイアウォールにも適用されます。 検証されていない製品を購入すると、ユーザーは偽物を入手する可能性があります。 たとえば、最小限の機能セットを備えたファイアウォールは、低コストで購入できます。
MEの認証分野の問題
「ファイアウォール」の概念は明確に定義されていますが、その特性はネットワーク境界を越えてしまう可能性のある不要な情報のフィルタリングに限定されますが、開発者は認証パラメーターを満たす機能的なツールを常に作成するとは限りません。 これは、売り手の不誠実、およびハードウェアの作成中にミス(1つ以上)を行った開発者の無能が原因である可能性があります。
規制当局は、特定の認定クラスに関連する各MEが準拠しなければならない主要な指標を決定します。 ユーザーに提供される救済策の要件を明確に規定する規制法があります。
開発者は、任意のハードウェアをファイアウォールと呼ぶことができますが、これらに表示されるすべてのパラメーター、および多くの追加条項と公式文書を満たすまで、認証されません。
ソフトウェア製品が販売される前に、ソフトウェア製品の予備テストが必要です。 規制機関による適切な証明書の発行は、経済開発省へのコンプライアンスの主な確認です。
ただし、多くの専門家は、この問題の研究に対する時代遅れのアプローチに焦点を当てており、管理文書は変更されておらず、長期間調整されていません。 これは、情報技術の分野の状況が現在10年前とは多少異なることを意味します。 ただし、このような懐疑的な見方は、多くの開発者やサプライヤーが証明書を取得したいという欲求を妨げるものではありません。
認定MEは、個人情報の5つのセキュリティクラスのいずれかに属します。 そのような分類は、情報への不正アクセスから保護するための要件の策定と実装に使用するために、ME、およびコンピューターネットワーク、分散自動システムの顧客と開発者を対象としています。
ファイアウォールのクラスが高ければ高いほど、より多くの要件が課され、一般的に分析される特性はより厳しくなります。 すべての標準は、ガイド文書「コンピューター施設。 ファイアウォール。 情報への不正アクセスに対する保護。 1997年7月25日に承認された、情報への不正アクセスに対するセキュリティの指標。 これまでのところ、FSTECはこのドキュメントに修正を加えていません。これは、特にファイアウォールで開発者によって導入されたイノベーションを無視していることを示しています。
文書の出現以来FSTECによって認証された各救済策は、州の登録に含まれています。 この文書は誰でも読むことができるため、購入前であっても、購入者は登録簿またはその同等物に入力された製品に関する予備的な概観を得ることができます。 文書内の一部のハードウェアコードでは省略があり、すべてのユニットが時間通りに一般リストに含まれているわけではないことに注意してください。 これにより、情報が歪む可能性があります。
現在、すべてのファイアウォール開発者が製品を認証できるわけではありません。ロシア連邦RDの要件に準拠していないためです。 認定を拒否される最も一般的な理由の1つは、トランスポートレベルとネットワークレベルでトラフィックをフィルタリングできる機能がないことです(これは、統合されたアプローチと各レベルの個別の検討の両方を指します)。 このようなMEは、アプリケーションレベルでのみネットワークパケットを制御するため、ファイアウォールが統合ハードウェアとして機能する効率が大幅に低下します。 このような製品は開発が簡単で、多大な時間と材料コストを必要としません。 このような「狭い」特性を持つファイアウォールには、NDVがないことを証明する機会がありますが、証明自体は「ファイアウォール」の概念を考慮していません。
このことから、RD FSTECに準拠するために、情報セキュリティツールの認証要件(ファイアウォールは特定のクラスのファイアウォールとして認証される必要があります)に従っていることになります。 この場合、NDVがないこと、またはAC / ISDN / IPでNDVを使用する可能性があることを証明しても、ファイアウォールとして考慮されている情報セキュリティシステムの正しい評価は提供されません。
MEが証明書に表示される特定のセキュリティクラスに対応するほど重要ではない場合、購入時にこのドキュメントを要求しません。 これは、以前にテストされていない情報セキュリティツールを使用する一部の業界で当てはまります。
製品が技術仕様に従って認証されている場合は、着信/発信情報フローの管理に関する管理文書の明確な要件が反映されており、機能がチェックされます。 現在、FSTECは、そのようなファイアウォールが一般的に定義されている情報保護クラスの製品として認定されているとは考えていません。
ファイアウォールを取得する前であっても、製造業者の完全性と能力だけに頼らずに、顧客が上記のニュアンスに注意を払うことが重要です。 事前に、MEが標準に準拠しているかどうかを確認するメカニズムを理解できるようにする規制文書に精通する必要があります。
証明書に規定されている機能の存在が疑われる場合は、FSTECに連絡して製品を再認証し、製品の真正性を確認または拒否できます。 さらに、現在の認証システムの機能を調べて、将来製品に問題がないようにします。 ハードウェアユーザーには主な責任があります。
必要な機能が不足しているためにMEの機能に障害が発生した場合、またはその非効率性が発生した場合、ファイアウォールの開発者ではなく、MEの管理者または製品の購入者に問題が発生します。
情報セキュリティツール(特にファイアウォール)の認証は、特別な認定および連邦政府の認証機関によってのみ実行できます。 システムのテストの申請を受け取った後、手綱は必要な認証レベルのテストセンター、およびハードウェア情報保護システムでこのようなテストを実行できるようにする特定の材料と技術ベースに転送されます。 場合によっては、申請者に基づいてMEテストを実施することもできますが、このプロセスは、厳格な管理下にある連邦当局の許可を得て行われます。 規制当局が研究結果の信頼性に疑問を抱いている場合、発行された証明書の真正性は他の研究所で確認できます。
結論の代わりに
ファイアウォールは、ファイアウォール情報システムを構築するための基礎として使用されます。 これまでに100を超えるファイアウォールファミリがあり、ロシアのFSTECに関連してファイアウォールのレベルを決定することに関連して、認証プロセスが複雑になっています。 現在使用されている標準のメソッドのセットであり、原則として、個別のテストラボでテストされたファイアウォールごとに個別に開発されます。 このような認証テスト方法は本質的に図式的であり、これにより、適用されたファイアウォールとコンピューターネットワークの適合性を評価するためのアクションの最適化が複雑になります。