Автор: Павел | 88661 | 02.03.2018 10:12 |
Согласно приказу ФСТЭК Росси от 9 февраля 2016 г. № 9, который устанавливает новые требования к МЭ, вводятся типы МЭ: А,Б и т.д.
Для чего ввели данное разграничение понятны, тип "А" для физического периметра, а тип "Б" для логического. Возникает вопрос в каком случае нужно опираться на физику, а в каком на логику? (Если я правильно понимаю, то в контексте требований: физика - L2 уровень, а логика - L3 уровень). И еще один вопрос... весь входящий трафик от провайдера приходит на коммутатор (L2), за которым стоит МЭ (SG), не противоречит ли это руководящим документам? |
Автор: malotavr | 88677 | 02.03.2018 13:39 |
Нет, вы понимаете неправильно :) Речь не об уровнях модели OSI - см., например, описание использования:
"Состав функциональных требований безопасности, включенных в настоящий ПЗ, обеспечивает следующие функциональные возможности МЭ типа «А»: ... возможность осуществлять фильтрацию, основанную на следующих типах атрибутов безопасности субъектов: сетевой адрес узла отправителя; сетевой адрес узла получателя; и информации: сетевой протокол, который используется для взаимодействия;" Перечислены атрибуты, как минимум, L3. Принципиальной разницы между типами А и Б нет, потому что нет принципиальной разницы между "физическим" и "логическим" сегментирования сети. Пример типа Б в чистом виде - ACL на коммутаторе L2/L3, когда вы фильтруете трафик между двумя VLAN, настроенными на этом же самом коммутаторе. Физической границы между VLAN нет, она "внутри" коммутатора, но есть "логическое" представление о границе между сегментами. Соответственно, по второму вопросу, если трафик от провайдера приходит на коммутатор и через транк заворачивается на МЭ, вы можете считать этот транк как физической, таки логической границей, никто вам слова плохого не скажет. |
Автор: oko | 88687 | 02.03.2018 17:11 |
*в сторону*
Чтобы КодБезопасности смог законно пропихнуть свой криптокоммутатор... |
Просмотров темы: 2248