Методы и средства защиты информации в глобальных сетях
Автор: Шумаков А.С.
Журнал: Экономика и социум @ekonomika-socium
Рубрика: Современные технологии управления организацией
Статья в выпуске: 4 (35), 2017 года.
Бесплатный доступ
Интернет и информационная безопасность несовместны по самой природе интернет. Она родилась как чисто корпоративная сеть, однако, в настоящее время с помощью единого стека протоколов TCP/IP и единого адресного пространства объединяет не только корпоративные и ведомственные сети являющиеся, по определению, сетями с ограниченным доступом, но и рядовых пользователей, которые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования.
Интернет, информационная безопасность
Короткий адрес: https://sciup.org/140123306
IDR: 140123306
Текст научной статьи Методы и средства защиты информации в глобальных сетях
Как известно, чем проще доступ в Сеть, тем хуже ее информационная безопасность, поэтому с полным основанием можно сказать, что изначальная простота доступа в интернет - хуже воровства, так как пользователь может даже и не узнать, что у него были скопированы -файлы и программы, не говоря уже о возможности их порчи и корректировки.
Бурный рост интернета характеризуется ежегодным удвоением числа пользователей дешевизна программного обеспечения (TCP/IP), легкость и дешевизна доступа в интернет (либо с помощью IP-адреса, либо с помощью провайдера) и ко всем мировым информационным ресурсам. Разработка политики безопасности также важна, как и определение диапазона требований или потребностей резервирования данных. Она определяет и устанавливает руководящие принципы, которых должен придерживаться персонал, получивший доступ к технологическим и информационным ресурсам организации.
Для обеспечения политики безопасности разработаны различные методы и средства.
К методам обеспечения безопасности информации относятся: препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение
Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом включает следующие функции защиты:
идентификация специалистов, персонала и ресурсов (присвоение каждому объекту персонального идентификатора опознание (аутентификация) объекта или субъекта по предъявленному им идентификатору (например, проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей);
Регистрация (протоколирование) обращений к защищаемым ресурсам;
Реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытке несанкционированных действий.
Маскировка – метод защиты информации путем ее криптографического закрытия. Этот метод широко применяется как при обработке, так и при хранении информации. При передаче информации по каналам связи большой протяженности данный метод является единственно надежным.
Регламентация – метод защиты информации, создающий по регламенту такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
Принуждение – метод защиты, при котором специалисты и технический персонал вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение – метод защиты, побуждающий специалистов и технический персонал не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.
К средствам защиты относятся методика Firewall реализуемая на базе программно-аппаратных средств. Firewall осуществляет следующие основные три функции:
Многоуровневая фильтрация сетевого трафика.
Фильтрация осуществляется на трех уровнях модели OSI:
сетевом (IP);
транспортном (TCP,UDP);
прикладном (FTP,TELNET,HTTP,SMTP и т.д.)
Фильтрация сетевого трафика является основной функцией систем Firewall и позволяют администратору сети централизованно осуществлять необходимую политику безопасности в выделенном сегменте. То есть можно разрешить или запретить пользователям, как доступ из внешней сети к соответствующим службам машин или к машинам находящихся в защищенном сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети. В качестве объектов ограничений и фильтрации будут выступать IP адреса машин, транспортные службы и службы предоставления удаленного доступа.
Защищенные сетевые криптопротоколы (к ним относятся SKIP , SSL, S-HTTP) являются основным средством зашиты соединения и передаваемых данных по Internet.
SKIP (Secure Key Internet Protocol) - технологией называется стандарт инкапсуляции пакетов IP, позволяющей на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных. SKIP - пакет это обычный IP пакет, поле данных которого представляет из себя SKIP заголовок определенного спецификацией формата и криптограмму (зашифрованные данные). Такая структура SKIP - пакета позволяет беспрепятственно направлять его любой машине в сети Internet. Конечный получатель SKIP - пакета по заранее заданному алгоритму расшифровывает криптограмму и формирует обычный TCP или UDP - пакет который и передается обычному модулю ядра операционной системы.
S-HTTP (Secure HTTP) - это разработанный компанией Enterprise Integration Technologies специально для Web защищенный HTTP - протокол. Этот протокол позволяет обеспечить надежную криптозащиту только HTTP- документов Web-сервера и функционирует на прикладном уровне модели OSI.
SSL (Secure Socket Layer) разработка компании Netscape -универсальный протокол защиты соединения, функционирующий на сеансовом уровне OSI. Этот протокол, использующий криптографию с открытым ключом, позволяет динамически защитить любое соединение с использованием любого прикладного протокола (DNS,FTP,TELNET,SNMP и т.д.)
Протокол SSL формируется в качестве официального стандарта защиты для HTTP - соединений, то есть для защиты Web-серверов. Кроме поддержки браузера необходима поддержка протокола и Web-сервером. Такие Web-сервера существуют (это например SSL-apache).
Задача программно-аппаратных анализаторов сетевого трафика состоит не в отражении осуществляемых по каналу связи удаленных атак, а в их обнаружении, протоколировании (ведение файла аудита с протоколированием в удобной для последующего визуального анализа форме всех событий связанных с удаленными атаками на данный сегмент сети) и незамедлительным сигнализированием администратору безопасности в случае обнаружения удаленной атаки. К таким средствам можно отнести программы типа «tcpdump», «portmaper» в системах UNIX и программу «LinkView PRO» компании Tinwald Networking Technologies Inc.
Защищенные сетевые OS. К такому типу операционных систем можно отнести IOS и аппаратный маршрутизатор компании CISCO.
Proxy-сервера снижает загрузку внешних каналов на 30- 40%. Кроме того это позволяет скрыть внутреннее устройство сети и имена пользователей. Дополнительно к этому во-первых осуществляет идентификацию и аутентификацию пользователя при доступе к защищенному Firewall сегменту сети, во-вторых являются основой для создания приватных сетей с виртуальными IP адресами. Смысл прокси - схемы состоит в создании соединения с конечным адресатом через промежуточный прокси сервер на машине с Firewall.
При завершении рассмотрении методов и средств в глобальных сетях необходимо еще раз отметить важность сочетания административных и программно-технических методов для создания и поддержания режима безопасности.
Список литературы Методы и средства защиты информации в глобальных сетях
- Зима В., Молдовян А., Молдовян Н. Безопасность глобальных сетевых технологий. -СПб., 2000. -С.56.
- Юсупова, Н. И. Методы и средства обеспечения безопасности современных информационных систем /Н. И. Юсупова//Защита информации в вычислительных системах. -Уфа., 2000. -С 125-153