Охрана (информационная безопасность)

В информационной безопасности охранник — это устройство или система, позволяющая компьютерам в разных сетях взаимодействовать с учетом настроенных ограничений. Во многих отношениях защита подобна брандмауэру , и ее функции могут быть аналогичны функциям шлюза .

В то время как межсетевой экран предназначен для ограничения трафика к определенным службам, цель защиты — контролировать обмен информацией, который поддерживает сетевая связь на бизнес-уровне. Кроме того, в отличие от брандмауэра, защита гарантирует, что она эффективно обеспечивает этот контроль даже в условиях атаки и сбоя.

Охранник обычно находится между защищенной сетью и внешней сетью и обеспечивает безопасность защищенной сети от угроз, исходящих от внешней сети, и от утечек конфиденциальной информации во внешнюю сеть.

Охранник обычно имеет двойное подключение , хотя охранники могут подключаться к более чем двум сетям и действуют как полноценный прокси-сервер прикладного уровня , участвуя в отдельном обмене данными на каждом интерфейсе. Охранник будет передавать только бизнес-информацию, передаваемую протоколами, из одной сети в другую, и то только в том случае, если информация пройдет настроенные проверки, обеспечивающие необходимую защиту.

История

Разработка охранников началась в конце 1970-х годов с создания нескольких приложений «Процессоры защищенной связи» и «Защитник». Процессоры защищенной связи представляли собой операционные системы с высоким уровнем надежности и ядра безопасности, разработанные для поддержки управляемого обхода открытого текста для устройств шифрования пакетной сети. Охранные приложения были разработаны для очистки данных, экспортируемых из секретной системы, и удаления из них любой конфиденциальной информации.

Процессор защищенной связи Honeywell (SCOMP) ^[1] была ранней охранной платформой. Центра компьютерной безопасности Министерства обороны США Это было оценено по критериям оценки Оранжевой книги на уровне A1.

Безопасная пользовательская среда RSRE ( SUE ) работала на PDP-11/34 . Это было очень простое ядро разделения, спроектированное и изготовленное подразделением T4 Королевского института сигналов и радиолокации (RSRE) в Малверне, Англия. ^[2]^[3]

Защита Advanced Command and Control Architectural Testbed (ACCAT) была разработана для экспорта электронной почты из секретной системы через этап проверки человеком. ^[4]

Более поздние разработки охранников решили проблему автоматического «понижения» информации, экспортируемой из секретной системы. Mail Guard (SMG) Secure Network Server (SNS) обеспечивает соблюдение белых списков адресов источника/назначения, проверку меток безопасности, фильтрацию типов вложений и цифровые подписи для обеспечения неразглашения конфиденциальной информации. ^[5]

Брандмауэры были более поздней разработкой, появившейся примерно в 1987 году. ^[6] Со временем функциональность межсетевых экранов расширилась, и теперь они предоставляют аналогичные возможности охранникам. Основное остающееся отличие заключается в том, что средства защиты созданы таким образом, чтобы гарантировать, что они эффективны для защиты сети и самих себя.

Набор инструментов межсетевого экрана SWIPSY был разработан Агентством оборонной оценки и исследований в качестве общей платформы охраны. SWIPSY был установлен поверх Trusted Solaris 8.

Функциональность

Первоначально средства защиты были предназначены для контроля за разглашением информации из секретных систем, защищая конфиденциальность конфиденциальной информации, обрабатываемой защищенной системой. С тех пор их сфера действия была расширена и теперь включает контроль над импортом данных, чтобы защитить целостность информации и доступность услуг в защищенной сети.

Охранники обычно предоставляют следующие функции:

аутентификация адреса источника и назначения
белый список адресов источника и назначения
проверка метки безопасности на соответствие разрешениям источника и назначения
белый список форматов данных
проверка согласованности и достоверности формата данных
сканирование данных на наличие известных вредоносных программ
проверка цифровых подписей
проверка зашифрованного контента
проверка текста на черный список фраз
удаление лишних данных
создание журналов регистрации событий, важных для безопасности
механизмы самотестирования

Гарантия

Стражи функционально эквивалентны узлу-бастиону, действующему как прокси-сервер приложения, размещенному в сети DMZ , где прокси-сервер обеспечивает необходимый контроль над данными, которыми обмениваются, для обеспечения защиты от внешних угроз и внутренних утечек. Но их можно отличить по способу изготовления. Сеть DMZ полагается на внешние брандмауэры фильтрации пакетов для маршрутизации трафика к хосту-бастиону. Если брандмауэры работают неправильно, они могут пропускать трафик через DMZ, минуя хост-бастион, поэтому проверки, налагаемые прокси-серверами, обходят. Кроме того, если сетевой стек хоста-бастиона ведет себя неправильно, он может маршрутизировать трафик через DMZ, минуя прокси-серверы.

Защита сконструирована таким образом, чтобы свести к минимуму количество программного обеспечения, которое должно функционировать правильно, а также свести к минимуму работу, необходимую для демонстрации этого третьей стороне. То есть охранники созданы так, чтобы гарантировать, что они применяют соответствующие проверки. ^[7]

Охранники могут использовать доверенную операционную систему, чтобы отделить критические для безопасности компоненты проверки от менее важных компонентов обработки протоколов. Таким образом, отказ компонентов обработки протокола не может привести к тому, что данные пройдут проверку. ^[8] Например, Security-Enhanced Linux используется охранниками . Nexor ^[9] а Solaris 10 с Trusted Extensions используется Radiant Mercury и ISSE Guard, ^[10] и Deep-Secure . Средства контроля соблюдения типов, разработанные для операционной системы LOCK. ^[11] использовались в Sidewinder. ^[12]

Охранники также могут использовать физически отдельные компьютеры, чтобы гарантировать, что критически важные компоненты не будут обойдены. ^[13]

Продукты

Государственная готовая продукция:

Сияющий Меркурий ^[14]
ИССЕ Охрана ^[15]

Готовая к продаже продукция:

Рокуэлл Коллинз Гвардейцы ^[16] ( Роквелл Коллинз )
Глубокая защита почты ^[17] ( Глубокая безопасность )
Нексор CDS ^[18] ( Нексор )
Высокоскоростная защита Raytheon ^[19] ( Рэйтеон )
Шлюз безопасности SDoT ^[20] (Информативно)
Стандартная автоматизированная среда охраны (SAGE) ^[21] ( БАЕ Системс )
СиБард::Sentry ^[22] ( КинетиК )

См. также

Ссылки

^ Стивен Падилья и Терри Бензел , Заключительный отчет об оценке SCOMP , CSC-EPL-85/001, 1985 г.
^ Джон Рашби (1981). «Проектирование и проверка безопасных систем» (PDF) . Обзор операционных систем ACM . 15 (5). Международная лаборатория компьютерных наук НИИ: 12–21. дои : 10.1145/1067627.806586 .
^ Д. Х. Барнс, Исследование процессоров защищенной связи , Procs. 7-я конференция DoDNBS по инициативе компьютерной безопасности, 1 984 г.
^ Вудворд, JPL, Приложения для многоуровневых безопасных операционных систем , Proc. АФИПС 1979 г. Нац. Вычислить. Конференция, июнь 1979 г.
^ RESmith строит высоконадежную почтовую защиту. Архивировано 17 июня 2012 г. в Wayback Machine , 1984 г.
^ Ингхэм, К. и Форрест С.А. История и обзор сетевых брандмауэров.
^ Чарльз Мейни Проблемы безопасности, когда данные пересекают информационные домены: эффективно ли охранники решают проблему?
^ Рик Смит «Вызов многоуровневой безопасности» , Blackhat, октябрь 2003 г.
^ "Общие критерии безопасности системы фильтрации Nexor Sentinel 3E"
^ Шерил Гербер Точечное соединение между доменами. Архивировано 31 января 2016 г. в Wayback Machine , Military Information Technology, том 14, выпуск 1 февраля 2010 г.
^ Ричард Смит [1] Архивировано 6 января 2009 г. на сайте Wayback Machine. Обязательная защита программного обеспечения интернет-сервера.
^ Сайджари, Сами (май 1989 г.). «LOCK Trek: путешествие по неизведанному пространству». Процессы. Безопасность и конфиденциальность IEEE Symp .
^ Прочтите «Компьютеры под угрозой: безопасные вычисления в век информации» на сайте NAP.edu . 1991. дои : 10.17226/1581 . ISBN 978-0-309-04388-5 .
^ «Сияющий Меркурий» (PDF) .
^ «Защита среды сервера поддержки изображений (ISSE)» .
^ «Гвардия высшей охраны Роквелла Коллинза» .
^ «Почтовый страж» . Архивировано из оригинала 21 июля 2012 г. Проверено 6 августа 2012 г.
^ «Междоменные решения» .
^ «Охранники метро» .
^ «Шлюз безопасности SDoT» .
^ Фокке, Мишель. «Технический обзор стандартной автоматизированной охранной среды SAGE». CiteSeerX 10.1.1.133.4225 . {{cite web}}: Отсутствует или пусто |url= ( помощь )
^ «Безопасное междоменное решение: SyBard» . Архивировано из оригинала 28 мая 2012 г. Проверено 23 июля 2012 г.

[1] Стивен Падилья и Терри Бензел , Заключительный отчет об оценке SCOMP , CSC-EPL-85/001, 1985 г.

[2] Джон Рашби (1981). «Проектирование и проверка безопасных систем» (PDF) . Обзор операционных систем ACM . 15 (5). Международная лаборатория компьютерных наук НИИ: 12–21. дои : 10.1145/1067627.806586 .

[3] Д. Х. Барнс, Исследование процессоров защищенной связи , Procs. 7-я конференция DoDNBS по инициативе компьютерной безопасности, 1 984 г.

[4] Вудворд, JPL, Приложения для многоуровневых безопасных операционных систем , Proc. АФИПС 1979 г. Нац. Вычислить. Конференция, июнь 1979 г.

[5] RESmith строит высоконадежную почтовую защиту. Архивировано 17 июня 2012 г. в Wayback Machine , 1984 г.

[6] Ингхэм, К. и Форрест С.А. История и обзор сетевых брандмауэров.

[7] Чарльз Мейни Проблемы безопасности, когда данные пересекают информационные домены: эффективно ли охранники решают проблему?

[8] Рик Смит «Вызов многоуровневой безопасности» , Blackhat, октябрь 2003 г.

[9] "Общие критерии безопасности системы фильтрации Nexor Sentinel 3E"

[10] Шерил Гербер Точечное соединение между доменами. Архивировано 31 января 2016 г. в Wayback Machine , Military Information Technology, том 14, выпуск 1 февраля 2010 г.

[11] Ричард Смит [1] Архивировано 6 января 2009 г. на сайте Wayback Machine. Обязательная защита программного обеспечения интернет-сервера.

[12] Сайджари, Сами (май 1989 г.). «LOCK Trek: путешествие по неизведанному пространству». Процессы. Безопасность и конфиденциальность IEEE Symp .

[13] Прочтите «Компьютеры под угрозой: безопасные вычисления в век информации» на сайте NAP.edu . 1991. дои : 10.17226/1581 . ISBN 978-0-309-04388-5 .

[14] «Сияющий Меркурий» (PDF) .

[15] «Защита среды сервера поддержки изображений (ISSE)» .

[16] «Гвардия высшей охраны Роквелла Коллинза» .

[17] «Почтовый страж» . Архивировано из оригинала 21 июля 2012 г. Проверено 6 августа 2012 г.

[18] «Междоменные решения» .

[19] «Охранники метро» .

[20] «Шлюз безопасности SDoT» .

[21] Фокке, Мишель. «Технический обзор стандартной автоматизированной охранной среды SAGE». CiteSeerX 10.1.1.133.4225 . {{cite web}}: Отсутствует или пусто |url= ( помощь )

[22] «Безопасное междоменное решение: SyBard» . Архивировано из оригинала 28 мая 2012 г. Проверено 23 июля 2012 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]