Главная | Обратная связь
МегаЛекции

Защита информации в Интернете

Сейчас вряд ли кому-то надо доказывать, что при подключении к Internet Вы подвергаете риску, безопасность Вашей локальной сети и конфиденциальность, содержащейся в ней информации.

Internet - глобальная компьютерная сеть, охватывающая весь мир. Сегодня Internet имеет около 15 миллионов абонентов в более чем 150 странах мира. Ежемесячно размер сети увеличивается на 7-10%. Internet образует как бы ядро, обеспечивающее связь различных информационных сетей, принадлежащих различным учреждениям во всем мире, одна с другой.

Если ранее сеть использовалась исключительно в качестве среды передачи файлов и сообщений электронной почты, то сегодня решаются более сложные задачи распределенного доступа к ресурсам. Около двух лет назад были созданы оболочки, поддерживающие функции сетевого поиска и доступа к распределенным информационным ресурсам, электронным архивам.

Internet, служившая когда-то исключительно исследовательским и учебным группам, чьи интересы простирались вплоть до доступа к суперкомпьютерам, становится все более популярной в деловом мире.

Компании соблазняют быстрота, дешевая глобальная связь, удобство для проведения совместных работ, доступные программы, уникальная база данных сети Internet. Они рассматривают глобальную сеть как дополнение к своим собственным локальной сетям.

При низкой стоимости услуг (часто это только фиксированная ежемесячная плата за используемые линии или телефон) пользователи могут получить доступ к коммерческим и некоммерческим информационным службам США, Канады, Австралии и многих европейских стран. В архивах свободного доступа сети Internet можно найти информацию практически по всем сферам человеческой деятельности, начиная с новых научных открытий до прогноза погоды на завтра.

Вместе с тем, интерактивный характер общения с сетью, особенно в WWW, приводит к появлению дистанционных торговых служб, где можно ознакомиться с предложением товаров, посмотреть их фотогра­фии на экране компьютера – и тут же заказать товар, заполнив соот­ветствующую экранную форму. Подобные службы дополняются сред­ствами дистанционной оплаты товара – по той же Сети, с использованием в начале обычных пластиковых карточек, а затем и специально разработанной для Internet механизмов расчета.

Разработка средств электронных расчетов для Сети финансируется банками, некоторые из которых создают службы расчетов, целиком ориентированные на Internet.

Сеть Internet в принципе применима для самых разных областей ра­боты банка – от взаимодействия с клиентом до обмена информацией с другими банками.

Первым этапом работы в Internet для любой финансовой организа­ции обычно становиться использование World Wide Web для опублико­вания рекламной и прочей информации. Сегодня примерно 300 финан­совых организаций применяют WWW как средство рекламы

Второй этап – представление клиентам базового доступа в банк. Клиенты получают возможность просмотреть относящуюся к ним фи­нансовую информацию, при этом они ничего не могут с ней сделать

Взаимодействие с клиентом - третий этап. Благодаря такому взаи­модействию, клиент получит не только доступ к финансовой информа­ции, но и сможет внести коррективы в информацию и провести различ­ные расчеты. При такой реализации системы на базе Internet могут придти на смену специализированным системам «банк-клиент» или, по крайней мере, взять на себя часть их функций. На Западе уже есть при­меры так называемых «виртуальных» банков, которые вообще не имеют обычных филиалов, и ведут все дела с клиентами через Internet.

Помимо удешевления транзакций Интернет - банкинг позволяет:

ü привлечь новых клиентов. Теперь это могут быть жители других штатов, удаленных на тысячи километров от ближайшего отделения банка;

ü удержать старых клиентов. Переезжая на новое место, клиент отрывается от старого банка, если он управляет счетом по телефону или модему. Благодаря Интернету создается впечатление, что ничего не произошло – банк остался на месте, поэтому подавляющее большинство клиентов остаются со своим старым банком и после переезда;

ü поощрять наиболее выгодных клиентов. Если клиент управляет счетом по Интернету, все его действия можно зафиксировать, восстановить карту его предпочтений и в соответствии с этим строить индивидуальную политику банка.

Поскольку Интернет-банкинг выгоден, то создаются новые банки, работающие только в Интернете, не имеющие не собственных зданий, ни филиалов, ни банкоматов. Он может предложить своим клиентам более выгодные, чем в обычных банках, условия, например, меньшие проценты по кредиту или более высокие выплаты по депозитным сертификатам.

Чисто сетевые банки так же надежны, как и любой американский банк, потому что надежность банка определяется гарантиями государства, которое страхует вклады до 100000 долларов в любом американском банке.

Использование средств Интернета становиться привлекательным для клиентов налоговых органов, страховых компаний и др.

Однако чем проще доступ в Сеть, тем сложнее обеспечить ее информационную безопасность, так как пользователь может даже и не узнать, что у него были скопированы файлы и программы, не говоря уже о возможности их порчи и корректировки.

Платой за пользование Internet является всеобщее снижение информационной безопасности.

Безопасность данных является одной из главных проблем в Internet. Появляются сведения о том, как компьютерные взломщики, использующие все более изощренные приемы, проникают в чужие базы данных или получают доступ в архивам коммерческих данных.

В банковской сфере проблема безопасности информации осложняется двумя факторами: во-первых, почти все ценности, с которыми имеет дело банк (кроме наличных денег и еще кое-чего), существуют лишь в виде той или иной информации. Во-вторых, банк не может существовать без связей с внешним миром: без клиентов, корреспондентов и т.п. При этом по внешним связям обязательно передается та самая информация, выражающая собой ценности, с которыми работает банк (либо сведения об этих ценностях и их движении, которые иногда стоят дороже самих ценностей). Извне приходят документы, по которым банк переводит деньги с одного счета на другой. Вовне банк передает распоряжения о движении средств по корреспондентским счетам, так что открытость банка задана, a priori.

Платой за пользование Internet являются следующие информационные угрозы:

§ организация внешних атак на корпоративную сеть;

§ несанкционированный доступ к сети организации со стороны рабочих станций, удаленных и передающих серверов, включенных в сеть Internet;

§ потеря информации в каналах связи Internet в результате заражения вредоносными программами, некомпетентности сотрудников, отказа канала связи, стихийных бедствий;

§ несанкционированный программно-аппаратный доступ к информации, находящейся в канале связи Internet;

§ несанкционированный доступ к информации через электромагнитные излучения каналов связи и средств передачи информации Internet;

§ несанкционированный доступ к информации, размещенной на удаленных и передающих серверах Internet;

§ сбор и мониторинг сетевой информации в интересах третьих лиц;

§ переизбыток ненужной и вредоносной информации в системе.

Из всего вышеперечисленного следует, что если ваш компьютер или корпоративная сеть является носителем ценной информации необходимо серьезно подумать перед подключением ее в Internet. И перед выполнением следующих рекомендаций выполнить по возможности все рекомендации по средствам защиты перечисленные выше. Провести тщательный анализ и изъятие конфиденциальной информации из подключаемой сети или персонального компьютера. Проконсультироваться со специалистами, занимающимися информационной безопасностью, и выполнить нижеизложенные рекомендации до подключения к Internet. Итак, пути решения:

§ При работе в сети Internet на первое место выходит "межсетевой экран" или брандмауэр. Брандмауэр - неотъемлемая часть системы защиты, без которой невозможна разработка ее политики. Брандмауэр позволяет значительно снизить число эффективных внешних атак на корпоративную сеть или персональный компьютер, несанкционированный доступ к сети организации со стороны рабочих станций, удаленных и передающих серверов, включенных в сеть Internet, снизить вероятность сбора и мониторинга сетевой информации в интересах третьих лиц, блокировать доступ ненужной и вредоносной информации в систему;

§ использование VPN технологии, алгоритмов криптографирования (электронной подписи, сжатия с паролем, шифрования), позволяет снизить потери от несанкционированного программно-аппаратного доступа к информации, находящейся в канале связи Internet, доступ к информации через электромагнитные излучения каналов связи и средств передачи информации Internet, также доступа к информации, размещенной на удаленных и передающих серверах Internet, сбор и мониторинг информации в интересах третьих лиц;

§ дублирование канала Internet и сжатие информации позволяет повысить надежность системы в случае отказа или перегрузки канала связи и в случае стихийных бедствий;

§ использование антивирусных средств, не без оснований, считается необходимым условием при подключении к Internet, позволяет значительно снизить потери информации в результате заражения вредоносными программами;

§ использование автоматизированных средств проверки сети на возможные уязвимости в системе защиты и аудита безопасности корпоративных серверов позволяет установить источники угроз и значительно снизить вероятность эффективных атак на корпоративную сеть или персональный компьютер;

§ использование Proxy и анонимных серверов позволяет оставаться условно анонимным при действиях в Internet и снизить риски, связанные со сбором и мониторинг сетевой информации в интересах третьих лиц, потоком ненужной и вредоносной информации в систему;

§ использование систем ограничения доступа сотрудников к сетевым ресурсам Internet, использование маршрутизаторов и надежных поставщиков сетевых услуг, кратковременного канала связи позволяют сократить сбор и мониторинг сетевой информации в интересах третьих лиц, поток ненужной и вредоносной информации в систему.

Одним из наиболее распространенных механизмов защиты является применение межсетевых экранов - брандмауэров (firewalls).

Стоит отметить, что вследствие непрофессионализма администраторов и недостатков некоторых типов брандмауэров порядка 30% взломов совершается после установки защитных систем.

Проблема межсетевого экранирования формулируется следующим образом. Пусть имеется две информационные системы или два множества информационных систем. Экран (firewall) - это средство разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве.

Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем, работая как некоторая "информационная мембрана". В этом смысле экран можно представлять себе как набор фильтров, анализирующих проходящую через них информацию и, на основе заложенных в них алгоритмов, принимающих решение: пропустить ли эту информацию или отказать в ее пересылке. Кроме того, такая система может выполнять регистрацию событий, связанных с процессами разграничения доступа, в частности, фиксировать все "незаконные" попытки доступа к информации и, дополнительно, сигнализировать о ситуациях, требующих немедленной реакции, то есть поднимать тревогу.

Обычно экранирующие системы делают несимметричными. Для экранов определяются понятия "внутри" и "снаружи", и задача экрана состоит в защите внутренней сети от "потенциально враждебного" окружения. Важнейшим примером потенциально враждебной внешней сети является Internet.

Рассмотрим более подробно, какие проблемы возникают при построении экранирующих систем. При этом мы будем рассматривать не только проблему безопасного подключения к Internet, но и разграничение доступа внутри корпоративной сети организации.

Первое,очевидное требование к таким системам, это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.

Во-вторых,экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного воплощения в жизнь политики безопасности организации и, кроме того, для обеспечения простой реконфигурации системы при изменении структуры сети.

В-третьих,экранирующая система должна работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.

В-четвертых,экранирующая система должна работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в "пиковых" режимах. Это необходимо для того, чтобы firewall нельзя было, образно говоря, "забросать" большим количеством вызовов, которые привели бы к нарушению ее работы.

Пятое.Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.

Шестое.В идеале, если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики безопасности.

Седьмое.Система Firewall должна иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им, тем немение, требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна уметь надежно распознавать таких пользователей и предоставлять им необходимый доступ к информации.

 

СТРУКТУРА СИСТЕМЫ SOLSTICE FIREWALL- 1

Классическим примером, на котором хотелось бы проиллюстрировать все вышеизложенные принципы, является программный комплекс Solstice FireWall-1 компании Sun Microsystems. Данный пакет неоднократно отмечался наградами на выставках и конкурсах. Он обладает многими полезными особенностями, выделяющими его среди продуктов аналогичного назначения.

Рассмотрим основные компоненты Solstice FireWall- 1 и функции, которые они реализуют.

Центральным для системы Fire Wall- 1 является модуль управления всем комплексом. С этим модулем работает администратор безопасности сети. Следует отметить, что продуманность и удобство графического интерфейса модуля управления отмечалось во многих независимых обзорах, посвященных продуктам данного класса.

Администратору безопасности сети для конфигурирования комплекса FireWall-1 необходимо выполнить следующий ряд действий:

  • Определить объекты, участвующие в процессе обработки информации. Здесь имеются в виду пользователи и группы пользователей, компьютеры и их группы, маршрутизаторы и различные подсети локальной сети организации.
  • Описать сетевые протоколы и сервисы, с которыми будут работать приложения. Впрочем, обычно достаточным оказывается набор более чем из 40 описаний, поставляемых с системой FireWall-1.
  • Далее, с помощью введенных понятий описывается политика разграничения доступа в следующих терминах: "Группе пользователей А разрешен доступ к ресурсу Б с помощью сервиса или протокола С, но об этом необходимо сделать пометку в регистрационном журнале". Совокупность таких записей компилируется в исполнимую форму блоком управления и далее передается на исполнение в модули фильтрации.

Модули фильтрации могут располагаться на компьютерах - шлюзах или выделенных серверах - или в маршрутизаторах как часть конфигурационной информации. В настоящее время поддерживаются следующие два типа маршрутизаторов: Cisco IOS 9.x, 10.x, а также BayNetworks (Wellfleet) OS v.8.

Модули фильтрации просматривают все пакеты, поступающие на сетевые интерфейсы, и, в зависимости от заданных правил, пропускают или отбрасывают эти пакеты, с соответствующей записью в регистрационном журнале. Следует отметить, что эти модули, работая непосредственно с драйверами сетевых интерфейсов, обрабатывают весь поток данных, располагая полной информацией о передаваемых пакетах.

Система Solstice FireWall-1 имеет собственный встроенный объектно -ориентированный язык программирования, применяемый для описания поведения модулей - Фильтров системы. Собственно говоря, результатом работы графического интерфейса администратора системы является сгенерированный сценарий работы именно на этом внутреннем языке. Он не сложен для понимания, что допускает непосредственное программирование на нем. Однако на практике данная возможность почти не используется, поскольку графический интерфейс системы и так позволяет сделать практически все, что нужно.

FireWall-1 полностью прозрачен для конечных пользователей. Еще одним замечательным свойством системы Solstice FireWall-1 является очень высокая скорость работы. Фактически модули системы работают на сетевых скоростях передачи информации, что обусловлено компиляцией сгенерированных сценариев работы перед подключением их непосредственно в процесс фильтрации.

Компания Sun Microsystems приводит такие данные об эффективности работы Solstice FireWall-1. Модули фильтрации на Internet-шлюзе, сконфигурированные типичным для многих организаций образом, работая на скоростях обычного Ithernet в 10 Мб/сек, забирают на себя не более 10% вычислительной мощности процессора SPARCstation 5,85 МГц или компьютера 486DX2-50 с операционной системой Solaris/x86.

Solstice FireWall-1 - эффективное средство защиты корпоративных сетей и их сегментов от внешних угроз, а также от несанкционированных взаимодействий локальных пользователей с внешними системами.

Solstice FireWall-1 обеспечивает высокоуровневую поддержку политики безопасности организации по отношению ко всем протоколам семейства ТСР/IР.

Solstice FireWall-1 характеризуется прозрачностью для легальных пользователей и высокой эффективностью.

По совокупности технических и стоимостных характеристик Solstice FireWall-1 занимает лидирующую позицию среди межсетевых экранов.

Рассмотрим 2 способа ограничения доступа в WWW серверах:

· Ограничить доступ по IP адресам клиентских машин;

· ввести идентификатор получателя с паролем для данного вида документов.

Такого рода ввод ограничений стал использоваться достаточно часто, т.к. многие стремятся в Internet, чтобы использовать его коммуникации для доставки своей информации потребителю. С помощью такого рода механизмов по разграничению прав доступа удобно производить саморассылку информации, на получение которой существует договор.

Ограничения по IP адресам

Доступ к приватным документам можно разрешить, либо наоборот запретить используя IP адреса конкретных машин или сеток, например:

123.456.78.9

123.456.79.

В этом случае доступ будет разрешен (или запрещен в зависимости от контекста) для машины с IP адресом 123.456.78.9 и для всех машин подсетки 123.456.79.

Ограничения по идентификатору получателя

Доступ к приватным документам можно разрешить, либо наоборот запретить используя присвоенное имя и пароль конкретному пользователю, причем пароль в явном виде нигде не хранится. Рассмотрим такой пример: Агентство печати предоставляет свою продукцию, только своим подписчикам, которые заключили договор и оплатили подписку. WWW Сервер находится в сети Internet и общедоступен.

Выберем Вестник предоставляемый конкретному подписчику. На клиентском месте подписчик получает сообщение.

Если он правильно написал свое имя и пароль, то он допускается до документа, в противном случае - получает сообщение Authorization failed. Retry?





©2015- 2017 megalektsii.ru Права всех материалов защищены законодательством РФ.