Методы и средства защиты информации в глобальных сетях

Как известно, чем проще доступ в Сеть, тем хуже ее информационная безопасность, поэтому с полным основанием можно сказать, что изначальная простота доступа в интернет - хуже воровства, так как пользователь может даже и не узнать, что у него были скопированы -файлы и программы, не говоря уже о возможности их порчи и корректировки.

Бурный рост интернета характеризуется ежегодным удвоением числа пользователей дешевизна программного обеспечения (TCP/IP), легкость и дешевизна доступа в интернет (либо с помощью IP-адреса, либо с помощью провайдера) и ко всем мировым информационным ресурсам. Разработка политики безопасности также важна, как и определение диапазона требований или потребностей резервирования данных. Она определяет и устанавливает руководящие принципы, которых должен придерживаться персонал, получивший доступ к технологическим и информационным ресурсам организации.

Для обеспечения политики безопасности разработаны различные методы и средства.

К методам обеспечения безопасности информации относятся: препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение

Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом включает следующие функции защиты:

идентификация специалистов, персонала и ресурсов (присвоение каждому объекту персонального идентификатора опознание (аутентификация) объекта или субъекта по предъявленному им идентификатору (например, проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей);

Регистрация (протоколирование) обращений к защищаемым ресурсам;

Реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытке несанкционированных действий.

Маскировка – метод защиты информации путем ее криптографического закрытия. Этот метод широко применяется как при обработке, так и при хранении информации. При передаче информации по каналам связи большой протяженности данный метод является единственно надежным.

Регламентация – метод защиты информации, создающий по регламенту такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Принуждение – метод защиты, при котором специалисты и технический персонал вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение – метод защиты, побуждающий специалистов и технический персонал не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

К средствам защиты относятся методика Firewall реализуемая на базе программно-аппаратных средств. Firewall осуществляет следующие основные три функции:

Многоуровневая фильтрация сетевого трафика.

Фильтрация осуществляется на трех уровнях модели OSI:

сетевом (IP);

транспортном (TCP,UDP);

прикладном (FTP,TELNET,HTTP,SMTP и т.д.)

Фильтрация сетевого трафика является основной функцией систем Firewall и позволяют администратору сети централизованно осуществлять необходимую политику безопасности в выделенном сегменте. То есть можно разрешить или запретить пользователям, как доступ из внешней сети к соответствующим службам машин или к машинам находящихся в защищенном сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети. В качестве объектов ограничений и фильтрации будут выступать IP адреса машин, транспортные службы и службы предоставления удаленного доступа.

Защищенные сетевые криптопротоколы (к ним относятся SKIP , SSL, S-HTTP) являются основным средством зашиты соединения и передаваемых данных по Internet.

SKIP (Secure Key Internet Protocol) - технологией называется стандарт инкапсуляции пакетов IP, позволяющей на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных. SKIP - пакет это обычный IP пакет, поле данных которого представляет из себя SKIP заголовок определенного спецификацией формата и криптограмму (зашифрованные данные). Такая структура SKIP - пакета позволяет беспрепятственно направлять его любой машине в сети Internet. Конечный получатель SKIP - пакета по заранее заданному алгоритму расшифровывает криптограмму и формирует обычный TCP или UDP - пакет который и передается обычному модулю ядра операционной системы.

S-HTTP (Secure HTTP) - это разработанный компанией Enterprise Integration Technologies специально для Web защищенный HTTP - протокол. Этот протокол позволяет обеспечить надежную криптозащиту только HTTP- документов Web-сервера и функционирует на прикладном уровне модели OSI.

SSL (Secure Socket Layer) разработка компании Netscape -универсальный протокол защиты соединения, функционирующий на сеансовом уровне OSI. Этот протокол, использующий криптографию с открытым ключом, позволяет динамически защитить любое соединение с использованием любого прикладного протокола (DNS,FTP,TELNET,SNMP и т.д.)

Протокол SSL формируется в качестве официального стандарта защиты для HTTP - соединений, то есть для защиты Web-серверов. Кроме поддержки браузера необходима поддержка протокола и Web-сервером. Такие Web-сервера существуют (это например SSL-apache).

Задача программно-аппаратных анализаторов сетевого трафика состоит не в отражении осуществляемых по каналу связи удаленных атак, а в их обнаружении, протоколировании (ведение файла аудита с протоколированием в удобной для последующего визуального анализа форме всех событий связанных с удаленными атаками на данный сегмент сети) и незамедлительным сигнализированием администратору безопасности в случае обнаружения удаленной атаки. К таким средствам можно отнести программы типа «tcpdump», «portmaper» в системах UNIX и программу «LinkView PRO» компании Tinwald Networking Technologies Inc.

Защищенные сетевые OS. К такому типу операционных систем можно отнести IOS и аппаратный маршрутизатор компании CISCO.

Proxy-сервера снижает загрузку внешних каналов на 30- 40%. Кроме того это позволяет скрыть внутреннее устройство сети и имена пользователей. Дополнительно к этому во-первых осуществляет идентификацию и аутентификацию пользователя при доступе к защищенному Firewall сегменту сети, во-вторых являются основой для создания приватных сетей с виртуальными IP адресами. Смысл прокси - схемы состоит в создании соединения с конечным адресатом через промежуточный прокси сервер на машине с Firewall.

При завершении рассмотрении методов и средств в глобальных сетях необходимо еще раз отметить важность сочетания административных и программно-технических методов для создания и поддержания режима безопасности.