Сетевая безопасность. Аппаратные межсетевые экраны

Еще один способ получения пароля - это внедрение в чужой компьютер «троян-ского коня». Так называют резидентную программу, работающую без ведома хозяи-на данного компьютера и выполняющую действия, заданные злоумышленником. В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.

Программа-«троянский конь» всегда маскируется под какую-нибудь полезную ути-литу или игру, а производит действия, разрушающие систему. По такому прин-ципу действуют и программы-вирусы, отличительной особенностью которых яв-ляется способность «заражать» другие файлы, внедряя в них свои собственные копии. Чаще всего вирусы поражают исполняемые файлы. Когда такой испол-няемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус. Вирусы могут привести к повреждению или даже полной утрате информации.

Нелегальные действия легального пользователя - этот тип угроз исходит от ле-гальных пользователей сети, которые, используя свои полномочия, пытаются вы-полнять действия, выходящие за рамки их должностных обязанностей. Напри-мер, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам. Однако на предприятии может быть информация, до-ступ к которой администратору сети запрещен. Для реализации этих ограниче-ний могут быть предприняты специальные меры, такие, например, как шифрова-ние данных, но и в этом случае администратор может попытаться получить дос-туп к ключу. Нелегальные действия может попытаться предпринять и обычный пользователь сети. Существующая статистика говорит о том, что едва ли не по-ловина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.

«Подслушиванием внутрисетевого трафика - это незаконный мониторинг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно три-виальной. Еще более усложняется защита от этого типа угроз в сетях с глобаль-ными связями. Глобальные связи, простирающиеся на десятки и тысячи кило-метров, по своей природе являются менее защищенными, чем локальные связи (больше возможностей для прослушивания трафика, более удобная для злоумыш-ленника позиция при проведении процедур аутентификации). Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зави-сит от того, используются собственные, арендуемые каналы или услуги общедос-тупных территориальных сетей, подобных Интернету.

Однако использование общественных сетей (речь в основном идет об Интерне-те) еще более усугубляет ситуацию. Действительно, использование Интернета добавляет к опасности перехвата данных, передаваемых по линиям связи, опас-ность несанкционированного входа в узлы сети, поскольку наличие огромного числа хакеров в Интернете увеличивает вероятность попыток незаконного про-никновения в компьютер. Это представляет постоянную угрозу для сетей, под-соединенных к Интернету.

Интернет сам является целью для разного рода злоумышленников. Поскольку Интернет создавался как открытая система, предназначенная для свободного об-мена информацией, совсем не удивительно, что практически все протоколы стека TCP/IP имеют «врожденные» недостатки защиты. Используя эти недос-| татки, злоумышленники все чаще предпринимают попытки несанкционирован-ного доступа к информации, хранящейся на узлах Интернета.

Системный подход к обеспечению безопасности

Построение и поддержка безопасной системы требует системного подхода. В со-ответствии с этим подходом прежде всего необходимо осознать весь спектр воз-можных угроз для конкретной сети и для каждой из этих угроз продумать тактику. ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы - морально-этические и законодательные, административ-ные и психологические, защитные возможности программных и аппаратных средств сети.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране. Например, подобно тому как в борьбе против пиратского копирова-ния программ в настоящее время в основном используются меры воспитатель-ного плана, необходимо внедрять в сознание людей аморальность всяческих по-кушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.

Законодательные средства защиты - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируют-ся правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил. Правовая регламентация деятельности в области защиты информации имеет целью защи-ту информации, составляющей государственную тайну, обеспечение прав потре-бителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.

Административные меры - это действия, предпринимаемые руководством пред-приятия или организации для обеспечения информационной безопасности. К та-ким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго опре-деляющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам также относятся правила приобретения предпри-ятием средств безопасности. Представители администрации, которые несут от-ветственность за защиту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российски-ми тестирующими организациями.

Психологические меры безопасности могут играть значительную роль в укрепле-нии безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к на-рушениям защиты. Рассмотрим, например, сеть предприятия, в которой работает много удаленных пользователей. Время от времени пользователи должны ме-нять пароли (обычная практика для предотвращения их подбора). В данной системе выбор паролей осуществляет администратор. В таких условиях злоумыш-ленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль. При большом количестве удален-ных пользователей не исключено, что такой простой психологический прием мо-жет сработать.

К физическим средствам защиты относятся экранирование помещений для защи-ты от излучения, проверка поставляемой аппаратуры на соответствие ее специ-фикациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находят-ся носители информации, от незаконного проникновения и т. д. и т. п.

Технические средства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства, называемые также службами сетевой безопасности, решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутен-тификации и авторизации, аудит, шифрование информации, антивирусную за-щиту, контроль сетевого графика и много других задач. Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

Политика безопасности

Важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности, которая подразумевает ответы на сле-дующие вопросы:

  • Какую информацию защищать?
  • Какой ущерб понесет предприятие при потере или при раскрытии тех или иных данных?
  • Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты?
  • Какие средства использовать для защиты каждого вида информации?

Специалисты, ответственные за безопасность системы, формируя политику без-опасности, должны учитывать несколько базовых принципов. Одним из таких принципов является предоставление каждому сотруднику предприятия того ми-нимально уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей. Учитывая, что большая часть нару-шений в области безопасности предприятий исходит именно от собственных со-трудников, важно ввести четкие ограничения для всех пользователей сети, не на-деляя их излишними возможностями.

Следующий принцип - использование комплексного подхода к обеспечению без-опасности. Чтобы затруднить злоумышленнику доступ к данным, необходимо предусмотреть самые разные средства безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппара-туры. Административный запрет на работу в воскресные дни ставит потенциаль-ного нарушителя под визуальный контроль администратора и других пользовате-лей, физические средства защиты (закрытые помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только приписанным ему компьютером, встроенные средства сетевой ОС (система аутентификации и авторизации) предотвращают вход в сеть нелегальных пользователей, а для легального пользователя ограничивают возможности только разрешенными для него операциями (подсистема аудита фиксирует его действия). Такая система защиты с многократным резервированием средств безопасности увеличивает ве-роятность сохранности данных.

Используя многоуровневую систему защиты, важно обеспечивать баланс надеж-ности защиты всех уровней. Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Или если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уров-не отдельных файлов, но имеется возможность получить жесткий диск и устано-вить его на другой машине, то все достоинства средств защиты файловой систе-мы сводятся на нет. Если внешний трафик сети, подключенной к Интернету, проходит через мощный брандмауэр, но пользователи имеют возможность свя-зываться с узлами Интернета по коммутируемым линиям, используя локально установленные модемы, то деньги (как правило, немалые), потраченные на бранд-мауэр, можно считать выброшенными на ветер.

Следующим универсальным принципом является использование средств, кото-рые при отказе переходят в состояние максимальной защиты. Это касается самых различных средств безопасности. Если, например, автоматический пропускной пункт в какое-либо помещение ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти на защищаемую территорию. А если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть. Неприемлемым следова-ло бы признать устройство, которое бы при отказе пропускало в сеть весь внеш-ний трафик.

Принцип единого контрольно-пропускного пункта - весь входящий во внутрен-нюю сеть и выходящий во внешнюю сеть трафик должен проходить через един-ственный узел сети, например через межсетевой экран (firewall ). Только это позволяет в достаточной степени контролировать трафик. В противном случае, когда в сети имеется множество пользовательских станций, имеющих независи-мый выход во внешнюю сеть, очень трудно скоординировать правила, ограничи-вающие права пользователей внутренней сети по доступу к серверам внешней сети и обратно - права внешних клиентов по доступу к ресурсам внутренней сети.

Принцип баланса возможного ущерба от реализации угрозы и затрат на ее пре-дотвращение. Ни одна система безопасности не гарантирует защиту данных нг уровне 100 %, поскольку является результатом компромисса между возможны-ми рисками и возможными затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной за-трат, требуемых на обеспечение безопасности этих данных. Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стан-дартных средств фильтрации обычного маршрутизатора, в других же можно пой-ти на беспрецедентные затраты. Главное, чтобы принятое решение было обосно-вано экономически.

При определении политики безопасности для сети, имеющей выход в Интернет, специалисты рекомендуют разделить задачу на две части: выработать политику доступа к сетевым службам Интернета и выработать политику доступа к ресур-сам внутренней сети компании.

Политика доступа к сетевым службам Интернета включает следующие пункты:

  • Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.
  • Определение ограничений на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol ) и РРР (Point -to -Point Proto -col ). Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к «запрещенным» службам Интернета обходными путями. Например, если для ограничения доступа к Интернету в сети устанавлива-ется специальный шлюз, который не дает возможности пользователям рабо-тать в системе WWW , они могут устанавливать с Web-серверами РРР-соеди-нения по коммутируемой линии. Во избежание этого надо просто запретить использование протокола РРР.
  • Принятие решения о том, разрешен ли доступ внешних пользователей из Ин-тернета во внутреннюю сеть. Если да, то кому. Часто доступ разрешают толь-ко для некоторых, абсолютно необходимых для работы предприятия служб, например электронной почты.

Политика доступа к ресурсам внутренней сети компании может быть выражена в одном из двух принципов:

· запрещать все, что не разрешено в явной форме;

· разрешать все, что не запрещено в явной форме.

В соответствии с выбранным принципом определяются правила обработки внеш-него графика межсетевыми экранами или маршрутизаторами. Реализация защи-ты на основе первого принципа дает более высокую степень безопасности, одна-ко при этом могут возникать большие неудобства у пользователей, а кроме того, такой способ защиты обойдется значительно дороже. При реализации второго принципа сеть окажется менее защищенной, однако пользоваться ею будет удоб-нее и потребуется меньше затрат.


В современном глобальном мире сетевая безопасность имеет решающее значение. Предприятиям необходимо обеспечивать безопасный доступ для сотрудников к сетевым ресурсам в любое время, для чего современная стратегия обеспечения сетевой безопасности должна учитывать ряд таких факторов, как увеличение надежности сети, эффективное управление безопасностью и защиту от постоянно эволюционирующих угроз и новых методов атак. Для многих компаний проблема обеспечения сетевой безопасности становится все более сложной, т.к. сегодняшние мобильные сотрудники, использующие личные смартфоны, ноутбуки и планшеты для работы, привносят новые потенциальные проблемы. При этом, хакеры тоже не сидят сложа руки и делают новые киберугрозы все более изощренными.

Недавний опрос ИТ-специалистов, управляющих сетевой безопасностью, [проведенный Slashdotmedia ] показал, что среди важных факторов при выборе сетевых решений безопасности почти половина опрошенных на первое место поставила надежность выбранного сетевого решения.

Заданный вопрос: Когда вы выбираете решение по сетевой безопасности, какие факторы наиболее важны для вашей компании?

Уязвимости, связанные с сетевой безопасностью, оставляют открытым целый ряд потенциальных проблем и подвергают компанию различным рискам. ИТ системы могут быть скомпрометированы через них, информация может быть украдена, работники и клиенты могут получить проблемы с доступом к ресурсам, которые они уполномочены использовать, что может заставить заказчиков перейти к конкуренту.

Простой сервиса, связанный с проблемами с безопасностью, можете иметь и другие финансовые последствия. Например, неработающий в час-пик веб-сайт может генерировать как прямые убытки, так и мощный отрицательный PR, что очевидно скажется на уровне продаж в будущем. Кроме того, в некоторых отраслях есть строгие критерии по доступности ресурсов, нарушение которых может привести к регуляторным штрафам и другим неприятным последствиям.

Помимо надежности решений, есть еще целый ряд вопросов, вышедших сегодня на первый план. Например, около 23% опрошенных ИТ-специалистов выделяют стоимость решения, как одну из основных проблем, связанных с сетевой безопасностью; что не удивительно, учитывая, что ИТ-бюджеты последних нескольких лет были существенно ограничены. Далее, около 20% опрошенных выделили простоту интеграции, как приоритетный параметр при выборе решения. Что естественно в условиях, когда от ИТ отдела требуют выполнять больше меньшими ресурсами.

Завершая разговор про ключевые параметры в выборе решения, хотелось бы отметить, что только примерно 9% респондентов назвали сетевые функции как ключевой фактор при выборе решений в области сетевой безопасности. При выборе решения по обеспечению сетевой безопасности корпоративных систем и минимизации связанных с этим рисков, одним из важнейших факторов для почти половины (около 48%) опрошенных, была надежность сети и связанного с ней решения.

Заданный вопрос: Какой тип сетевых атак больше всего беспокоит вашу ИТ организацию?

Сегодня хакеры используют разнообразные методы атаки на сети компаний. Исследование показало, что ИТ-специалисты наиболее обеспокоены двумя конкретными типами атак: атаки на отказ в обслуживании (DoS) и подслушивание (Eavesdropping) - эти атаки указаны как наиболее опасные и приоритетные примерно у 25% респондентов. И по 15% респондентов выбрали в качестве ключевых угроз атаки типа IP Spoofing и MITM (man-in-the-middle). Остальные типы угроз оказались приоритетны менее чем для 12% респондентов.

Заданный вопрос: В плане мобильных уязвимостей, что больше всего беспокоит вашу ИТ-команду?

Сегодня растёт число мобильных сотрудников и адаптация политики использования собственных электронных устройств для работы (BOYD) предъявляют новые требования к сетевой безопасности. При этом, к сожалению, очень быстро растет число небезопасных сетевых приложений. В 2013 году компания HP провела тестирование более 2000 приложений, в результате которого было обнаружено, что 90% приложений имеют уязвимости в системах защиты. Эта ситуация представляет серьезную угрозу корпоративной безопасности и не удивительно, что 54% респондентов оценили угрозы от вредоносных приложений как наиболее опасные.

Поводя промежуточный итог вышесказанному, можно сделать следующий вывод: современные решения по обеспечению сетевой безопасности в числе прочего обязательно должны обладать следующими свойствами:

  • уметь работать на седьмом уровне модели OSI (на уровне приложений);
  • уметь связывать конкретного пользователя с содержанием трафика;
  • иметь интегрированную в решение систему защиты от сетевых атак (IPS)
  • поддерживать встроенную защиту от атак типа DoS и прослушивания;
  • в целом обладать высокой степенью надежности.
Несколько слов о практике обеспечения Информационной безопасности в нашей стране; опишем кратко текущее правовое поле, определяющее в РФ аспекты ИБ. В Российской федерации все вопросы, связанные с ИБ, регулируются следующими основными законами:
  • ФЗ 149 «О информации, информационных технологиях и защите информации»;
  • ФЗ 152 «О защите персональных данных»;
  • ФЗ 139 (поправки в ФЗ 149, закон о связи и ФЗ 436 о защите от информации детей);
  • ФЗ 436 (о защите от информации детей);
  • ФЗ 187 (о защите интеллектуальной собственности и Интернете);
  • ФЗ 398 (о блокировке экстремистских сайтов);
  • ФЗ 97 (о блогерах, приравнявших их к СМИ);
  • ФЗ 242 (о размещении персональных данных на территории РФ).
При этом законы, регламентирующие деятельность в областях, связанных с ИБ, предполагают серьезную ответственность за нарушение тех или иных положений, например:
  • по статье 137 УК РФ (незаконное собирание или распространение сведений о частной жизни лица) - лишение свободы на срок до четырех лет;
  • по статье 140 УК РФ (неправомерный отказ в предоставлении собранных в установленном порядке документов и материалов) – штраф или лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет;
  • по статье 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) - лишение свободы на срок до 5 лет.
Для большинства российских предприятий актуальность вопросов сетевой безопасности связана прежде всего с тем, что они так или иначе обрабатывают данные физических лиц (как минимум, данные своих работников). Следовательно, независимо от вида деятельности, любая компания должна учитывать требования законодательства РФ и обязана применять различные организационно-технические меры защиты информации. Конкретные меры по защите той или иной информации определяются в соответствующих российских стандартах ИБ (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р ИСО 27001 и т.д.), а также руководящих документах Федеральной службы по техническому и экспортному контролю (например, приказ ФСТЭК №58 от 05.02.10, определяющий методы и способы защиты систем, обрабатывающих персональные данных).

Соблюдение предприятиями требований федерального законодательства контролируют сегодня три государственных органа: Федеральная служба безопасности (ФСБ), Роскомнадзор и ФСТЭК. Контроль осуществляется путем проведения плановых и внезапных проверок, по итогам которых компания может быть привлечена к ответственности.

Таким образом, игнорирование проблемы обеспечения сетевой безопасности в нашей стране может не только принести большие убытки бизнесу, но и повлечь за собой уголовную ответственность конкретных руководителей компании.

Заключение

Угрозы информационной безопасности становятся все сложнее, хакеры и киберпреступники используют новые приемы и реализуют все более изощренные атаки с целью взлома систем и кражи данных.

Борьба с новыми атаками требует решений по обеспечению сетевой безопасности и разработки сетевой стратегии безопасности, отвечающей требованиям надежности, стоимости и вопросам интеграции с другими ИТ системами. Выработанные решения должны быть надежными, обеспечивать защиту от атак на уровне приложений и позволять идентифицировать трафик.

Из всего вышесказанного напрашивается простой вывод – в современном мире нельзя игнорировать вопросы информационной безопасности; в ответ на новые угрозы нужно искать новых подходы к реализации стратегии защиты информации и использовать новые методы и средства обеспечения сетевой безопасности.

Наши предыдущие публикации:
»

Программные решения для сетевой безопасности

Сетевая безопасность - это термин достаточно общего плана. Он подразумевает как ограничение нежелательного доступа в сеть и сохранность данных, так и эффективное функционирование компьютерной сети в целом.

На сегодняшний день существует масса рисков утечки ценной информации. Для динамично развивающихся бизнес-процессов "онлайнового" характера,одинаково важны все аспекты, которые помогли бы свести данные риски к минимуму. Компания "Профи-СП" предлагает вам современные программные решения, при помощи которых обеспечиваются сетевая безопасность и конфиденциальность при передаче через сеть коммерческой информации, а также при обороте денежных средств через интернет.

Программные решения от разработчика Symantec, которые мы предлагаем, являются гарантией того, что информация, носящая конфиденциальный характер, окажется доступной только тем, кому она и предназначена. Этому способствуют характерные особенности данных программных решений - многоуровневая защита и удобство настроек и управления.

Сетевая безопасность

Для любого вида бизнеса существует востребованность в программных продуктах, при помощи которых обеспечивается сетевая (в самом широком плане) безопасность.

Основные принципы сетевой безопасности:

  • защита внутренних сетей от несанкционированного доступа;
  • обеспечение безопасного подключения к сети Интернет и безопасного удаленного доступа;
  • контроль за работой различных онлайн-приложений, через которые также возможен доступ к персональным компьютерам.
  • предоставление возможности осуществления коммерческих операций через Интернет.

Аппаратные межсетевые экраны

Компания "Профи-СП" предлагает вам обратить внимание на другое, не менее надёжное средство защиты, как аппаратные межсетевые экраны.

Наряду с термином "сетевая безопасность" , понятие "аппаратный межсетевой экран" также имеет довольно обширное значение. Нередко под "межсетевым экраном" понимают абсолютно любые системы, которые обеспечивают защиту от внешних вторжений всем находящимся в сети компьютерам.

Это "пограничники" интернета. Они представляют собой совокупность аппаратных и программных средств, разделяющих сеть на несколько частей. Они мониторят все проходящие сетевые пакеты из одной части сети в другую, при необходимости блокируя прохождение.

Разделение сети обычно происходит между внутренней, корпоративной сетью предприятия и "глобальной паутиной". В особых случаях границу возможно создать и между различными отделами конкретной корпоративной сети.

Сетевая безопасность выполняется брандмауэром при помощи контроля за портами и активностью различных приложений. Кроме этого, брандмауэры осуществляют:

  • блокировку всех вторжений внешнего характера;
  • блокировку возможностей кражи информации (посредством проникшего в сеть вируса);
  • обеспечение защиты при работе в локальных сетях и пиринговых ресурсах.

На сегодняшний день происходит постоянное совершенствование аппаратных межсетевых экранов. К примеру, появилась возможность встраивания аппаратных межсетевых экранов в отдельные приложения, например, в программное обеспечение серверов. Помимо этого, производителями брандмауэров всё больше учитывается сегмент электроники для домашнего использования. В выпускаемых брандмауэрах имееется всё больше упрощённых характеристик и широкий функционал.

Сетевая безопасность корпоративных сетей - вопрос №1 на подавляющем большинстве предприятий. При построении корпоративной сети аппаратные межсетевые экраны продолжают оставаться одним из наиболее популярных средств обеспечения её безопасности. Приобретая самые современные программные решения для охраны вашей деловой информации, вы укрепляете свой бизнес и делаете огромный шаг вперёд в его развитии. Компания "Профи-СП" - ваш шанс безопасно обмениваться информацией в сети!

А также предлагаем услуги создания .

В условиях взрывного роста онлайновых приложений, таких как электронная коммерция, электронное правительство и удаленный доступ, компании получили возможность добиваться высочайшей эффективности при упрощенной обработке и снижении текущих расходов. Сегодня сети передачи данных состоят из множества различных типов аппаратного и программного обеспечения и протоколов, являющихся взаимосвязанными и интегрированными. Профессионал по сетевой безопасности должен иметь возможность получить более глубокое и полного понимание того, где могут возникать уязвимости сетей, чтобы предотвратить возможность злонамеренного проникновения.

Требующие безотказного функционирования сети разрешают работу большего количества приложений и доступны широкому кругу пользователей, что делает их, как никогда ранее, уязвимыми для широкого диапазона угроз безопасности. Сети уязвимы со стороны неправомочных, деструктивных вторжений: от вирусов до атак отказа в обслуживании (denial-of-service attack). Чтобы обеспечить защиту от неправомочного доступа и порчи или воровства информации, при разработке и управлении сложными сетями, специалистам по работе с сетями приходится испытывать все возрастающую нагрузку. Источники угроз могут быть очень разными. Вопросы обеспечения безопасности претерпели эволюцию от непризнаваемого излишества до полностью осознанной необходимости. Существует огромное число онлайновых ресурсов, посвященных документированию нарушений сетевой безопасности.

Цель сетевой безопасности

Как правило, целью обеспечения информационной безопасности является предоставление авторизованным пользователям доступа к нужной информации и обеспечение уверенности в том, что эта информация правильна и что система доступна. Эти аспекты приводят нас r понятиям конфиденциальности, целостности и доступности (CIA, confidentiality, integrity and availability). Как критически важная часть информационной безопасности, сетевая безопасность - это защита сетей передачи данных от неправомочного доступа. Ограничение доступа к сетевым службам, управление сетевым трафиком и полосой пропускания, а также шифрование данных являются основными методами обеспечения сетевой безопасности.

Прежде всего, давайте рассмотрим архитектуру типичной сети. Затем мы обсудим потенциальные уязвимости, а также технологии и практические приемы, используемые для защиты от этих потенциальных угроз.

Обзор архитектуры современных компьютерных сетей

Критически важно ясно представлять себе архитектуру современных компьютерных сетей. Мы должны рассмотреть перемещение данных "в" и "из" сети и то, как сетевые устройства, программное обеспечение и оборудование взаимодействуют друг с другом для достижения определенных экономических или операционных целей.

Модель OSI

Стандартной моделью для сетевых протоколов и распределенных приложений является модель Open System Interconnect (OSI) организации International Standard Organization (ISO). Понимание модели OSI является полезным для понимания того, каким образом различные сетевые протоколы включены в мозаику компьютерных сетей. Как мы увидим далее, основная часть сетевых атак может быть отнесена к одному (или более) из семи уровней модели OSI.

  • Уровень 1: физический (Physical) уровень: Этот уровень определяет электрические, механические, процедурные и функциональные технические условия для активации и поддержки физической связи между взаимодействующими сетевыми системами. Технические условия физического уровня определяют такие характеристики, как уровни питания, физические скорости передачи данных и физические соединители.
  • Уровень 2: канальный (Data Link) уровень: Этот уровень обеспечивает синхронизацию, контроль ошибок и управление потоками данных по физическим каналам, включая физические и логические соединители с местами доставки пакетов, как правило, с помощью сетевых адаптеров (NIC, network interface card). Этот уровень разделен на два подуровня: уровень управления логической связью (MAC, Media Access Control) и уровень управления доступа к устройствам (LLC, Logical Link Control). На этом уровне работают такие протоколы, как Point-to-Point Protocol (PPP), Layer 2 Tunneling Protocol (L2TP) и Fiber Distributed Data Interface (FDDI).
  • Уровень 3: уровень сети (Network): Этот сети определяет сетевой адрес и обеспечивает маршрутизацию и перенаправление (forwarding) данных. На этом уровне работают такие протоколы, как Internet Protocol (IP), Internet Control Message Protocol (ICMP) и Routing Information Protocol (RIP).
  • Уровень 4: уровень транспорта (Transport): Этот уровень обеспечивает сквозное (end-to-end) управление, включая проверку на наличие ошибок и управление потоками. Он получает данные с уровня сеанса (см. уровень 5) и разбивает данных для транспортировки по сети. На уровне транспорта работают протоколы Transmission Control Protocol (TCP) и User Datagram Protocol (UDP). TCP отслеживает состояние соединения, например, порядок доставки пакетов и то, какие пакеты должны передаваться следующими. UDP, напротив, является протоколом, который не устанавливает соединения и не проверяет, дошел ли пакет до адресата.
  • Уровень 5: уровень сеанса (Session): Этот уровень устанавливает, поддерживает и прекращает сеансы связи. Сеансы связи состоят из запросов служб и их ответов, происходящих между приложениями, расположенными на различных сетевых устройствах. Эти запросы и ответы согласовываются с помощью протоколов, реализованных на уровне сеанса. На этом уровне работают протоколы Secure Socket Layer (SSL), Remote Procedure Call (RPC) и AppleTalk Protocol.
  • Уровень 6: уровень представления данных (Presentation): Этот уровень форматирует данные, представляемые уровнем приложения. Он может рассматриваться в качестве переводчика для сети (упорядочение битов данных). Этот уровень может переводить данные из формата, используемого уровнем приложения в общий для посылающей и принимающей стороны формат. На этом уровне работают такие хорошо известные графические форматы, как Graphics Interchange Format (GIF) и Joint Photographic Experts Group (JPEG). Этот уровень также выполняет сжатие и шифрование данных.
  • Уровень 7: уровень приложения (Application): Этот уровень обычно обеспечивает идентификацию партнеров по взаимодействию, определяет доступность ресурсов и синхронизует взаимодействие. Этот уровень не включает самих приложений, но только протоколы, поддерживающие их. На уровне приложения работают такие протоколы, как Simple Mail Transfer Protocol (SMTP), Hypertext Transfer Protocol (HTTP) Telnet и FTP.

Информация, передаваемая из программного приложения на одной компьютерной системе программному приложению на другой, должна пройти через все уровни модели OSI. Приложение на передающем узле будет пересылать информацию на уровень приложения и вниз по модели, до тех пор, пока она не достигнет физического уровня. На физическом уровне эта информация помещается в физическую среду и пересылается по ней на принимающий узел. Физический уровень принимающего узла получает эту информацию из физической среды, а затем пересылает ее вверх по уровням модели, пока она не достигнет уровня приложения для обработки.

Классификация уязвимостей по уровням модели OSI

Получив базовое представление о том, как структурированы сети и как происходит обмен данными, давайте теперь посмотрим на некоторые конкретные уязвимости сетей и возможные виды атак. Существует множество способов классификации уязвимостей систем безопасности и атак. Будет полезным сделать их небольшой обзор с точки зрения уровней OSI. Мы рассмотрим уязвимости с другой точки зрения в следующем разделе статьи.

Львиная доля уязвимостей приходится на уровень приложения, расположенный в непосредственной близости к самому пользовательскому приложению. Яркими примерами этого являются такие протоколы как Telnet и FTP. Эти приложения пересылаю пользовательские пароли таким образом, что любой, кто может "прослушивать" сетевой трафик, получит пользовательское регистрационное имя и пароль, а следовательно неправомочный доступ. На уровне представления данных существует множество способов атак против шифрованных данных. На уровне сеанса в Remote Procedure Call (RPC) существует одна из самых серьезных уязвимостей компьютерных систем по версии института SANS. На уровне транспорта выполняются атаки с помощью SYN flood или подмены одного из участниковTCP-соединения (ТСР-hijacking). Сканирование портов является распространенной техникой, используемой хакерами для выявления уязвимых систем. Подмена IP-адреса - обычная атака для уровня сети. Частое прослушивание трафика и перехват сообщений - атаки, осуществляемые на Уровне 1 и 2. Появление беспроводных сетей открыло новые возможности для хакеров.

Сетевые уязвимости и угрозы

Поскольку фактически все сетевые уровни содержат уязвимости, злонамеренные хакеры имеют изобилие возможностей для осуществления различных атак. Без создания надлежащей защиты любая часть любой сети может оказаться уязвимой для атак или другой несанкционированной деятельности. Угроза может исходить из широкого круга источников, включая профессиональных хакеров, конкурентов или даже собственных работников. Для определения наилучшего способа нейтрализации этих угроз и защиты сетей от осуществляемых атак, ИТ-менеджеры должны знать множество типов возможных атак и тот вред, который эти атаки могут нанести сетевой инфраструктуре вашей организации.

Вирусы и черви составляют подавляющее большинство хорошо известных атак. Вирус - это небольшой кусочек программного кода, присоединенный к легальной программе. Например, вирус может присоединить себя к таким программам, как программы табличных вычислений. Вирусы Melissa и "ILOVEYOU" попали в заголовки международных новостей вследствие того ущерба, который они вызвали. Червь - это небольшой кусочек программного кода, использующий "дыры" в безопасности для своего тиражирования. Копия червя сканирует сеть в поисках другого компьютера, имеющего определенную "дыру" в системе безопасности. Он копирует себя на новую машину через эту уязвимость, а затем начинает распространяться так же и с нее. W32/Blaster и W32/Slammer - вот только два примера из получивших известность в последнее время червей.

Атака отказа в обслуживании (DoS, denial-of-service) генерирует фальшивые сетевые запросы с целью загрузки сетевых ресурсов и лишения других пользователей возможности их использования. DoS-атаки могут осуществляться на уровне сети с помощью посылки искусно подделанных пакетов, приводящих к отказу в работе сетевых соединений. Они могут также быть выполнены на уровне приложения, когда искусно подделанные команды приложения передаются программе, что приводит к ее чрезмерной загрузке или остановке работы. Атака может исходить из единственного источника (DoS) или быть распределенной между многими машинами (DdoS, distributed denial of service), предварительно подготовленными к этому. Эти неосведомленные компьютеры-соучастники, проводящие DoS-атаки, известны под именем "зомби". За работу "зомби" могут привлечь к судебной ответственности, даже если ваша организация не являлась инициатором атаки. Smurf, Trinoo, tribe flood network (TFN) и Slammer являются примерами DdoS-атак.

Исторически, атаки на пароль, в которых злоумышленник получает несанкционированный доступ к сети, являются наиболее распространенным типом атаки. Когда хакер "ломает" пароль законного пользователя, он получает доступ к его сетевым ресурсам. Хакер может легко получить пароль, потому что пользователи обычно выбирают простые слова или числа в качестве паролей, давая возможность хакеру использовать специальные программы для их методического перебора и угадывания. "Подслушивание" - другой способ получения пароля "жертвы", если сеть использует незащищенные удаленные соединения. Тщательно разработанные программы для "подслушивания" могут извлекать имя пользователя и его пароль в ходе сеанса входа в систему. Для получения доступа к паролям хакеры также используют технологии социального инжиниринга.

Переполнение буфера (buffer overflow) происходит в том случае, если программа или процесс пытаются использовать большее количество данных, чем объем буфера (область временного хранения данных), предназначенный для их хранения. В атаках переполнения буфера избыточные данные могут запускать код по желанию атакующего, например, получение прав пользователя root, позволяющих атакующему установить полный контроль над системой.

Скрипт-киддеры (script kiddy) используют широко распространенные программы или сценарии для случайного поиска уязвимостей через Интернет. Зачастую они слабо подготовлены в техническом отношении, но, к сожалению, представляют не меньшую угрозу, чем опытные хакеры.

Другая, часто остающаяся неразглашаемой угроза, исходит от своих сотрудников. Одно из исследований CSI говорит о том, что 45 процентов опрошенных респондентов регистрировали несанкционированный доступ со стороны собственных сотрудников. Эти злоумышленники обладают детальным знанием сети и вторгаются в нее со слабо-защищенной внутренней стороны (где брандмауэры теряют большую часть своей силы, а шифрование почти совсем не используется). Поэтому, внутренние злоупотребления остаются незамеченными и от них труднее всего защищаться.

Основные элементы обеспечения безопасности сети

Существует множество практических приемов и технологий для ослабления уязвимостей и угроз, описанных выше. Как профессионалы в области безопасности, мы должны понимать, что не существует единственной "панацеи" в этом чрезвычайно сложном и динамичном сетевом мире. Лучшей реализацией обычно является высоко специализированное решение, подходящее к особым нуждам именно вашей организации.

Практические приемы обеспечения безопасности

В каждодневной практике, администраторы по сетевой безопасности, намеренно или ненамеренно, идут на компромисс между уровнем защищенности, стоимостью и удобством для пользователей. Однако, при аккуратном планировании, безопасность может быть обеспечена технически и не является помехой.

Политика безопасности в масштабах предприятия - это руководящий принцип обеспечения безопасности в организации. Она диктует, как сеть должна быть спроектирована и какие технологии должны быть выбраны. Обычно, политики безопасности адресована к двум основным проблемам: требованиям по безопасности, управляемым запросами бизнеса организации и реализацией руководящих принципов, относящихся к доступной технологии обеспечения безопасности. Например, политика безопасности обычно включает в себя политику аутентификации, определяющую уровни паролей и прав, требуемых для различных типов пользователей. Она также включает политику шифрования сетевого трафика и данных. Политика безопасности должна обновляться регулярно для того, чтобы отражать изменения требований бизнеса и развитие технологий обеспечения безопасности.

Когда организации разрабатывают свою архитектуру сетевой безопасности, соответствующую требованиям, определенным в политиках безопасности, они должны принимать во внимание целый ряд факторов. Не все сети и связанные с ними приложения имеют одинаковую степень риска быть подверженными атакам или возможную стоимость восстановления ущерба, нанесенного подобными атаками. Не существует абсолютной безопасности. Следовательно, организации должны осуществлять анализ затрат и результатов для оценки потенциальной отдачи от инвестирования в различные технологии и компоненты обеспечения сетевой безопасности по сравнению со скрытыми издержками, к которым приведет неиспользование этих элементов.

Довольно регулярно архитектура безопасности организации должна модифицироваться в зависимости от ИТ-служб, предлагаемых в сетевой инфраструктуре. Архитектура безопасности определяет, какие общие службы безопасности должны быть реализованы для этой сети. Зачастую для ограничения ущерба от нарушения системы безопасности применяется уровневый подход (или "защита в глубину"), что сказывается на благополучии всей сети. В подобном подходе, требования безопасности подразделяются на модули или уровни с определенными явно уровнями прав. Каждый уровень может рассматриваться отдельно и относиться к различным моделям безопасности. Целью является обеспечение уровней безопасности, которые ограничат возможности "успешного" взломщика небольшой частью сети, определяемой только этим уровнем.

Технологии обеспечения безопасности

Выбор технологии обеспечения безопасности напрямую определяется политикой безопасности и архитектурой и, наряду с ними, такими факторами, как стоимость, простота интеграции и т.д. Технологический ландшафт должен быть быстроизменяющимся полем битвы с тем, чтобы сдерживать постоянно растущий арсенал инструментов хакеров и вновь открываемые уязвимости в аппаратных и программных продуктах. Можно утверждать, что сетевая безопасность - это соревнование между специалистами по безопасности и хакерами.

Периметр защиты контролирует доступ к критически важным сетевым приложениям, данным и службам, поэтому только легальные пользователи и информация должны иметь возможность перемещаться по сети. Брандмауэры обеспечивают барьер для пересечения трафиком "периметра" сети и разрешают прохождение только санкционированного трафика в соответствии с предварительно установленной политикой безопасности. Дополнительные инструменты, включая такие, как сканеры вирусов и фильтры содержания, также помогают контролировать периметр сети для отражения вирусов, червей и других вторжений. Должным образом сконфигурированные брандмауэры могут также препятствовать потенциальным DDoS-атакам, включая попытки "зомбирования" компьютеров вашей организации. Следовательно, брандмауэры и сканеры вирусов являются одними из первых продуктов безопасности, которые организации развертывают для улучшения безопасности своих сетей. С помощью реализации виртуальных частных сетей (VPN, virtual private network) организации могут организовать защищенное взаимодействие через публичные сети, например, через Интернет. Технологии шифрования помогают обеспечить конфиденциальность и целостность сообщений, передаваемых по VPN.

Чтобы нейтрализовать связанные с паролями нарушения, реализуются механизмы идентификации, позволяющие убедиться в том, что только полномочные пользователи получают доступ к необходимым им сетевым ресурсам, в то время как неправомочным пользователям доступ запрещен. Решения по идентификации обычно включают в себя аутентификацию, авторизацию и учет. Среди прочего, они определяют правильную идентификацию сетевых пользователей, узлов, служб и ресурсов. Эта технология может обращаться к инфраструктуре открытого ключа (PKI, public key infrastructure), шифрованию и другим, связанным с обеспечением безопасности службам. Некоторые смарт-карты могут генерировать одноразовый динамический пароль для противодействия различным атакам на пароли.

Системы обнаружения вторжений (IDS, Intrusion detection system) обеспечивают дополнительный уровень сетевой безопасности. В то время как традиционные брандмауэры разрешают или запрещают трафик, исходя из оценки источника, цели, порта или других критериев, они обычно не могут анализировать трафик на наличие атаки или исследовать сеть на присутствие в ней уязвимостей. Дополнительный уровень анализа наличия шаблонов в трафике, обеспечиваемый IDS, необходим для обнаружения более завуалированных атак. Аудит безопасности позволяет убедиться, что подозрительное поведение контролируется как извне, так и изнутри сети за брандмауэром.

Важно помнить, что технологии, обсуждаемые здесь, являются самыми базовыми и, хотя они чрезвычайно важны для инфраструктуры сетевой безопасности, но не являются всесторонними. Эволюция требований по безопасности управляет большинством технологических нововведений в области сетевой безопасности.

Сертификационные программы по сетевой безопасности

Сложность проблем сетевой безопасности нуждается в специалистах по безопасности различных уровней и специализаций.

Среди специальных сертификационных программ конкретных производителей широкое признание и уважение в индустрии получил статус Sun Certified Security Administrator для операционной системы Solaris OS, предлагающий его обладателю широкий круг преимуществ. Для его получения требуется глубокие знания вопросов безопасности, включая основные концепции безопасности, управления устройствами обнаружения, атак на системы безопасности, защиты файлов и системных ресурсов, предохранения узлов и сетей и сетевых соединений, аутентификации и шифрования. Этот экзамен включает знания по безопасности в сетевых средах, а не только на изолированных системах и доступен на английском, японском и немецком языках. Он предназначен для продвинутых сетевых администраторов, сетевых администраторов и специалистов по безопасности, ответственных за управление безопасностью на одном или более компьютерах, работающих под управлением ОС Solaris. Эта сертификация подтверждает навыки, необходимые для обеспечения конфиденциальности, усиления идентифицируемости и уменьшения суммарного риска появления уязвимостей в системе безопасности.

Сертификационная программа Cisco Certified Security Professional (CCSP) сфокусирована на вопросах идентификации, брандмауэрах, VPN, системах защиты от вторжений и управлении безопасностью. Она оценивает понимание основных сетевых протоколов и процедур и то, как устройства защиты интегрируются с сетями. Специалисты, обладающие статусом CCSP, подготовлены для построения безопасных сетей, что защищает инвестиции организаций в ИТ-области. Компания Cisco также предлагает другой статус - Cisco Certified Internetwork Expert - Security (CCIE), предназначенный для сертификации специалистов по различным продуктам для обеспечения безопасности компании, например, брандмауэров, VPN и IDS.

Компании Check Point, Symantec, RSA Security, IBM и ряд других также предлагают ценные сертификационные программы в таких технологических областях, как брандмауэры, сканирование вирусов, PKI и управлении вопросами безопасности.

Различные индустриальные ассоциации и консорциумы предлагают сертификационные программы, не зависящие от конкретного производителя. Сертификационная программа CompTIA Security+ является такой программой начального уровня, включающей в себя такие темы, как безопасность сетевых соединений, контроль доступа, аутентификацию, внешние атаки, операционную и организационную безопасность. Сертификационные программы (ISC)2 Certified Information Systems Security Professional (CISSP) и Systems Security Certified Practitioner (SSCP) были разработаны для оценки владения интернациональными стандартами информационной безопасности и понимания Общепринятого Объема Знаний (CBK, common body of knowledge) в диапазоне от сетевой безопасности до безопасности операций и шифрования. Программа Global Information Assurance Certifications (GIAC) института SANS посвящена широкому диапазону навыков, включающих в себя широкий круг вопросов по безопасности начального уровня, а также более продвинутые области знаний, например, аудит, законодательство и технологии, применяемые хакерами.

Обладание этими сертификационными статусами помогает специалистам подтвердить технические навыки по общим проблемам сетевой безопасности и служит хорошим основанием для карьеры в этой многообещающей и динамично развивающейся области.

Кевин Сонг, доктор философии, CISSP, Sun Certified Security Administrator, является инженером по сетевой безопасности компании Sun Microsystems Inc. Его электронный адрес: [email protected].

Англоязычные ресурсы по данной теме:

Сертификационные программы:

  • Security Certified Network Professional (SCNP)
  • Security Certified Network Architect (SCNA)
  • Check Point Certified Security Principles Associate (CCSPA)
  • Check Point Certified Security Administrator (CCSA)
  • Check Point Certified Security Expert (CCSE) & CCSE Plus
  • Check Point Certified Managed Security Expert (CCMSE) & CCMSE Plus VSX
  • Cisco Certified Security Professional (CCSP)
  • Cisco Certified Internetwork Expert - Security (CCIE)
  • Cisco Certified Specialist designations
  • Security+
  • Certified Ethical Hacker (CEH)
  • Certified Information Systems Auditor (CISA)
  • Certified Information Security Manager (CISM)
  • Systems Security Certified Practitioner (SSCP)
  • Certified Information Systems Security Professional (CISSP)

Microsoft www.microsoft.com/traincert

  • Microsoft Certified Systems Administrator: Security (MCSA: Security)
  • Microsoft Certified Systems Engineer: Security (MCSE: Security)
  • Certified Wireless Security Professional (CWSP)
  • Certified Internet Webmaster (CIW) Security Analyst
  • RSA Certified Systems Engineer
  • RSA Certified Administrator
  • GIAC Security Essentials Certification (GSEC)
  • GIAC Certified Firewall Analyst (GCFW)
  • GIAC Certified Intrusion Analyst (GCIA)
  • GIAC Certified Incident Handler (GCIH)
  • GIAC Certified Windows Security Administrator (GCWN)
  • GIAC Certified UNIX Security Administrator (GCUX)
  • GIAC Information Security Fundamentals (GISF)
  • GIAC Systems and Network Auditor (GSNA)
  • GIAC Certified Forensic Analyst (GCFA)
  • GIAC IT Security Audit Essentials (GSAE)
  • GIAC Certified ISO-17799 Specialist (G7799)
  • GIAC Security Engineer (GSE)
  • Sun Certified Security Administrator
  • Symantec Certified Security Engineer (SCSE)
  • Symantec Certified Security Practitioner (SCSP)
  • TruSecure ICSA Certified Security Associate (TICSA)

Здравствуйте, уважаемые читатели блога сайт! Поговорим сегодня о такой важной теме, как сетевая безопасность, ведь именно она определяет возможность плодотворно и безбоязненно “гулять” по дебрям, скажем, осуществлять личную и деловую переписку, зная, что никто другой не сможет получить доступ к вашей конфеденциальной информации, делать покупки в Интернет-магазинах, аукционах, зарабатывать на товарных или валютных биржах, оплачивать счета и прочие расходы и т.д.

Сетевая инфраструктура, службы и данные, хранимые на компьютерах, подключенных к являются критическими персональными и деловыми активами. Попытка скомпрометировать целостность этих активов могла бы иметь серьезные деловые и финансовые последствия.

Обеспечение Сетевой Безопасности

Последствия бреши в сетевой безопасности могли бы включать:

  • Сетевые простои, препятствующие осуществлению коммуникаций и транзакций, с последующими убытками для бизнеса
  • Неверное перенаправление и потеря личных и деловых фондов
  • Интеллектуальная собственность компании (исследовательские идеи, патенты, проекты, чертежи и т.п.), которые могут быть украдены и использованы конкурентом
  • Детали контактов с клиентом, которые становятся известны конкуренту или сделаны общедоступными, что приведет к потере рыночного доверия в бизнесе

Отсутствие доверия общественности к степени секретности в бизнесе, к конфиденциальности и целостности могут привести к снижению товарооборота и возможности банкротства компании. Есть два типа вопросов, связанных с сетевой безопасностью, которые должны быть рассмотрены для предотвращения серьезных последствий: безопасность сетевой инфраструктуры и безопасность контента.

Защита сетевой инфраструктуры включает физическую защиту , которые обеспечивают сетевые соединения, а также предотвращение несанкционированного доступа к программному обеспечению, установленному на них.

Безопасность контента включает защиту информации, хранящейся внутри пакетов, передаваемых по сети, а также информации, которая хранится на устройствах, подключенных к сети. При передаче информации через содержимое отдельных пакетов не легко прочитать на устройствах или средствах передачи, по которым путешествуют пакеты. Инструменты, обеспечивающие безопасность контента отдельных сообщений, должны быть реализованы на верхнем уровне лежащих в основе протоколов, управляющих тем, как пакеты форматируются, адресуются и доставляются. Поскольку пересборка и интерпретация содержимого осуществляется программами, запущенными на отдельных системах (источнике и назначении), большая часть инструментов безопасности и протоколов должна быть реализована и в этих системах также.

Меры безопасности, предпринимаемые в , должны:

  • Препятствовать несанкционированному доступу или краже информации
  • Препятствовать несанкционированному изменению информации
  • Предотвращать Отказ Службы

Средства для достижения этих целей включают:

Гарантия конфиденциальности

Конфиденциальность информации поддерживается посредством разрешения доступа к ней только определенным и авторизованным адресатам – людям, процессам или устройствам, которые имеют право считывать данную информацию.

Наличие надежной системы пользовательской аутентификации , предполагающей создание паролей, которые сложно угадать, и смену паролей пользователями через определенные интервалы времени (чем чаще, тем лучше), помогает ограничить доступ к и , которые хранятся на . При необходимости шифрование контента гарантирует конфиденциальность и минимизирует возможность несанкционированного доступа или кражи информации.

Поддержание Целостности Коммуникации

Целостность данных означает уверенность в том, что информация не была изменена во время передачи от отправителя к получателю. Целостность данных может быть нарушена, когда информация была искажена – случайно или умышленно – прежде, чем подразумеваемый адресат получил ее.

Целостность источника – это уверенность в том, что подлинность отправителя была потверждена. Целостность источника нарушается, когда пользователь или устройство маскируется под другого и отправляет некорректную информацию адресату.

Использование цифровых подписей , алгоритмов хэширования и механизмов контрольных сумм – это способы обеспечения целостности источника и информации при передаче для предотвращения несанкционированного изменения информации.

Гарантия Доступности

Гарантия конфиденциальности и целостности бесполезны, если сетевые ресурсы оказываются перегруженными или вообще не доступны. Доступность означает уверенность в своевременном и надежном доступе к службам данных для авторизованных пользователей. Ресурсы могут стать недоступными в результате атаки “Отказ Сервиса” (англ. Denial of Service или DoS) или из-за распространения



 

Возможно, будет полезно почитать: