Оглавление:
У вас нет времени на реферат или вам не удаётся написать реферат? Напишите мне в whatsapp — согласуем сроки и я вам помогу!
В статье «Как научиться правильно писать реферат», я написала о правилах и советах написания лучших рефератов, прочитайте пожалуйста.
Собрала для вас похожие темы рефератов, посмотрите, почитайте:
- Реферат на тему: Первая помощь при травмах
- Реферат на тему: Умный дом
- Реферат на тему: Корь
- Реферат на тему: Вода
Введение
В современном мире плата за всеобщее пользование Интернетом является всеобщим снижением уровня информационной безопасности. Интернет и информационная безопасность по своей природе несовместимы с Интернетом. Всемирная паутина» — Интернет зародился как чисто корпоративная сеть, но сегодня, используя единый стек протоколов TCP/IP и единое адресное пространство, он объединяет не только корпоративные и ведомственные сети (образовательные, правительственные, коммерческие, военные и т.д.), которые по определению являются сетями с ограниченным доступом, но и обычных пользователей, которые могут получить доступ в Интернет непосредственно со своих домашних компьютеров через модемы и телефонную сеть общего пользования.
Для предотвращения несанкционированного доступа к вашим компьютерам необходимы средства идентификации и разграничения доступа к информации.
Информационная безопасность и технические меры защиты
Информация является результатом отражения движения объектов материального мира в системах живой природы.
Информация обращается к коллективу подобных организмов в виде информации и сообщений. Информация возникает в результате отражения организмами объектов материального мира, в том числе и сообщений. Сообщения формируются организмами для передачи информации другим организмам, содержат количество передаваемой информации и представляют собой количество признаков, при помощи которых информация может быть передана другому организму и воспринята этим организмом.
Преобразование информации в сообщения и сообщений в информацию осуществляется человеком, который использует алгоритмы кодирования и декодирования входящего набора символов в элементы своей «информационной» модели мира.
Важным событием последнего десятилетия в области технической защиты информации является появление и развитие концепции аппаратной защиты.
Основные идеи аппаратной защиты следующие:
- Признание мультипликативной парадигмы защиты и, как следствие, равное внимание к реализации контрольных процедур на всех этапах работы информационной системы (защита системы не выше защиты самого слабого звена);
- материалистическое решение «ключевого вопроса» информационной безопасности: «Что первое — жесткое или мягкое? »;
- Последовательный отказ от методов управления программами из-за их очевидной ненадежности (попытка контролировать правильность других программ равносильна попытке решить неразрешимую проблему самоприменения) и перенос наиболее критичных процедур управления на аппаратный уровень;
- максимально возможное разделение условно-постоянных (программы) и условно-переменных (данные) элементов операций управления
Необходимость защиты информационных технологий была признана совсем недавно.
В процессе информационного взаимодействия на разных его этапах люди (операторы, пользователи) заняты и используются средства информатизации — технические (ПК, ЛВС) и программные (ОС, ПП). Информация создается людьми, затем трансформируется в данные и представляется в автоматизированных системах в виде электронных документов, которые объединяются в информационные ресурсы. Данные между компьютерами передаются по каналам связи. Во время работы автоматизированной системы данные преобразуются в соответствии с используемой информационной технологией.
Меры технической защиты могут быть дифференцированы соответствующим образом:
- аутентификация участников информационного взаимодействия;
- защита технических средств от несанкционированного доступа;
- разграничение доступа к документам, ресурсам ПК и сети;
- защита электронных документов;
- защита данных в каналах связи;
- защита информационных технологий;
- дифференциация доступа к потокам данных.
Информационная система собирается из готовых элементов, и, как правило, разрабатывается только небольшой прикладной компонент (самый важный, конечно, поскольку он определяет функциональность системы). Здесь полезно вспомнить мультипликаторную парадигму защиты, а именно — уровень информационной безопасности, не превышающий уровня самого слабого звена. Для нас это означает, что в случае использования готовых «блоков», они должны подбираться таким образом, чтобы уровень защиты каждого отдельного блока не был ниже уровня защиты, необходимого для системы в целом, который включает в себя как защиту информационных технологий, так и защиту электронных документов. Если не удастся защитить как одно, так и другое, то усилия в других областях будут сорваны.
В следующем разделе рассматриваются виды мер по выявлению и разграничению информации, относящейся к нашей теме.
Методы идентификации и разграничения информации
Идентификация/аутентификация (ИА) участников информационного взаимодействия должна осуществляться на аппаратном уровне до этапа загрузки операционной системы. Базы данных ИА должны храниться в энергонезависимой памяти ЛВС, организованной таким образом, чтобы доступ к ним с помощью ПК был невозможен, т.е. энергонезависимая память должна размещаться вне адресного пространства ПК. Программное обеспечение блока управления должно храниться в памяти блока управления и быть защищено от несанкционированного изменения. Целостность программного обеспечения контроллера должна быть гарантирована технологией производства контроллера LPG. Идентификация производится с помощью отчужденных носителей.
Аппаратная реализация также необходима для IA удаленных пользователей. Аутентификация возможна несколькими способами, включая электронную цифровую подпись (ЭЦП). Обязательным становится требование «расширенной аутентификации», т.е. периодического повторения процедуры в ходе работы с такими небольшими интервалами, что злоумышленник не может причинить значительный вред при преодолении защиты.
Современные операционные системы все чаще содержат встроенные средства разграничения доступа. Как правило, эти инструменты используют функции конкретной файловой системы (ФС) и основаны на атрибутах, которые тесно связаны с одним из уровней API операционной системы. Это неизбежно приводит к проблемам, по крайней мере, следующим.
Привязка к свойствам файловой системы
Современные операционные системы обычно используют не одну, а несколько ФС — как новые, так и устаревшие. В этом случае, как правило, работает на новой ТС, встроенной в операционную систему, а на старой — может не работать, так как встроенный разъединитель доступа использует существенные отличия новой ТС. Этот факт обычно явно не упоминается в сертификате, что может ввести пользователя в заблуждение. И на самом деле, представим себе, что на компьютере с новой операционной системой используется программное обеспечение, разработанное для предыдущей версии, которое фокусируется на особенностях предыдущей ФС. Пользователь имеет право верить, что установленные механизмы безопасности, сертифицированные и специально разработанные для используемой операционной системы, выполняют свои функции, когда на самом деле они отключены. В реальной жизни такие случаи могут встречаться довольно часто — зачем переписывать задание приложения после смены операционной системы? Кроме того, она должна обеспечить совместимость со старой FS и быть включена в новую операционную систему.
Привязка к API операционной системы
Обычно операционные системы меняются очень быстро — раз в полтора года. Возможно, что они будут меняться еще чаще. Некоторые из этих изменений связаны с изменениями, включая API — например, переход с Win9x на WinNT. Если атрибуты разграничения доступа отражают состав API — при переходе на современную версию операционной системы, настройки безопасности придется переустанавливать, персонал будет проходить переподготовку и т.д. и т.п.
Таким образом, можно сформулировать общее требование — подсистема разграничения доступа должна быть наложена на операционную систему и при этом независима от файловой системы. Конечно, структура атрибутов должна быть достаточной для описания политики безопасности, и описание не должно быть в таких терминах, как API операционной системы, а также в терминах, где обычно работают администраторы безопасности.
Теперь рассмотрим конкретный комплекс мероприятий на программно-аппаратном уровне, направленных на обеспечение информационной безопасности информационных систем.
Здесь можно назначить следующие группы:
- универсальные инструменты для ОС;
- Брандмауэры.
Борьба с угрозами, присущими сетевой среде, с помощью универсальных операционных систем невозможна. Универсальная операционная система — это огромная программа, которая, помимо очевидных недостатков, вероятно, содержит некоторые возможности, которые могут быть использованы для получения незаконных привилегий. Современные технологии программирования не позволяют сделать такие большие программы безопасными. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии учесть все последствия внесенных изменений (а также врач, который не знает всех побочных эффектов рекомендуемых препаратов). Наконец, в универсальной многопользовательской системе дыры в безопасности постоянно создаются самими пользователями (слабые и/или редко меняющиеся пароли, плохо настроенные права доступа, необслуживаемый терминал и т.д.).
Как упоминалось выше, единственным перспективным направлением является разработка специальных средств защиты, которые в силу своей простоты позволяют проводить формальную или неформальную проверку. Брандмауэр как раз и является таким инструментом, который позволяет осуществлять дальнейшую декомпозицию в связи с работой различных сетевых протоколов.
Брандмауэр — это полупроницаемая мембрана, расположенная между защищенной (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети), которая контролирует все информационные потоки, входящие и выходящие из внутренней сети (Рисунок 1). Управление информационными потоками заключается в их фильтрации, т.е. избирательном прохождении экрана, возможно, с некоторыми проведенными преобразованиями и уведомлением отправителя о том, что его данные в паспорте будут отклонены. Фильтрация основана на наборе предустановленных на экране правил, которые представляют собой выражение сетевых аспектов политики безопасности организации.
Рекомендуется разделять случаи, когда экран устанавливается на границе внешней (обычно публичной) сети или на границе между сегментами корпоративной сети. Соответственно, мы поговорим о внешних и внутренних брандмауэрах.
При общении с внешними сетями обычно используется только семейство протоколов TCP/IP. Поэтому внешний брандмауэр должен учитывать особые функции этих протоколов. Для внутренних брандмауэров ситуация более сложная; здесь, помимо TCP/IP, следует учитывать, по крайней мере, протоколы SPX/IPX, используемые в сетях Novell NetWare. Другими словами: Внутренние экраны часто должны быть многопротокольными. Ситуации, когда корпоративная сеть содержит только один внешний канал, являются скорее исключением, чем правилом. Напротив, типичная ситуация, когда корпоративная сеть состоит из нескольких географически рассредоточенных сегментов, каждый из которых подключен к публичной сети (Рисунок 2). В этом случае каждое соединение должно быть защищено отдельным экраном. Точнее, можно предположить, что внешний корпоративный брандмауэр составлен и что он должен решить проблему скоординированного управления (управления и аудита) всеми компонентами.
Семиуровневая референсная модель ISO/OSI является основой для любого рассмотрения сетевых технологий. Также полезно классифицировать брандмауэры в соответствии с тем, осуществляется ли фильтрация на уровне соединения, сети, транспорта или приложения. Соответственно, можно сделать ссылку на экранирующие концентраторы (уровень 2), маршрутизаторы (уровень 3), транспортное экранирование (уровень 4) и прикладное экранирование (уровень 7). Существуют также сложные экраны, которые анализируют информацию на нескольких слоях.
В этой статье мы не будем рассматривать экранирующие концентраторы, так как они концептуально очень сильно отличаются от экранирующих маршрутизаторов.
При принятии решения «пропустить/не пропустить» брандмауэры могут использовать не только информацию, содержащуюся в отфильтрованных потоках, но и данные из окружающей среды, например, текущее время.
Таким образом, возможности брандмауэра напрямую определяются тем, какую информацию можно использовать в правилах фильтрации и насколько мощными могут быть наборы правил. В целом, чем выше уровень в модели ISO/OSI, на котором работает экран, тем больше информации доступно на экране и тем тоньше и надежнее можно настроить экран. В то же время, фильтрация на каждом из вышеупомянутых уровней имеет свои преимущества, такие как низкая стоимость, высокая эффективность или прозрачность для пользователей. По этой причине, как и по некоторым другим причинам, в большинстве случаев используются смешанные конфигурации, сочетающие различные типы экранов. Наиболее распространенной является комбинация экранирующих маршрутизаторов и экрана приложений.
Эта конфигурация называется подсетью скрининга. Как правило, имеет смысл внедрять службы, которые организация предоставляет для внешнего использования (например, «репрезентативный» Web-сервер) только в скрининговой подсети.
Помимо выразительности и допустимого количества правил, качество брандмауэра определяется двумя другими очень важными характеристиками — удобством использования и самозащитой. С точки зрения удобства использования, четкий интерфейс при настройке правил фильтрации и возможность централизованного управления сложными конфигурациями имеют первостепенное значение. В последнем аспекте, с другой стороны, было бы желательно предусмотреть средства для централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. Также важным является централизованный сбор и анализ регистрационной информации и получение сигналов о попытках совершения действий, запрещенных политикой безопасности.
Собственная защита брандмауэра обеспечивается теми же средствами, что и защита универсальных систем. При выполнении централизованного управления все равно необходимо обеспечить защиту информации от пассивного и активного перехвата сети, то есть обеспечить ее (информации) целостность и конфиденциальность.
Вид экранирования (фильтрации) как защитного механизма очень глубокий. Помимо блокирования потоков данных, нарушающих политики безопасности, брандмауэр также может скрывать информацию о защищаемой сети, что затрудняет действия потенциальных злоумышленников. Например, окно приложения может действовать от имени субъектов внутренней сети, создавая впечатление, что только брандмауэр взаимодействует (рисунок 4). Такой подход скрывает топологию внутренней сети от внешних пользователей, что значительно усложняет задачу злоумышленника.
Более общим способом сокрытия информации о топологии защищаемой сети является трансляция «внутренних» сетевых адресов, что также решает проблему расширения адресного пространства, выделенного организации. Интерфейс также можно рассматривать как своего рода экран. Сложно атаковать невидимый объект, особенно с фиксированным набором средств. В этом смысле веб-интерфейс имеет естественную защиту, особенно когда гипертекстовые документы формируются динамически. Все видят только то, что должны видеть. Роль экранирования веб-сервиса проявляется и в том, что этот сервис выполняет посреднические (точнее: интегрирующие) функции при доступе к другим ресурсам, в частности, к таблицам БД. Здесь контролируются не только потоки запросов, но и скрыта реальная организация баз данных.
Заключение
В области защиты компьютерной информации дилемма безопасности сформулирована следующим образом: Необходимо выбирать между безопасностью системы и открытостью. Однако правильнее говорить о равновесии, чем о выборе, поскольку система, не обладающая свойством открытости, не может быть использована.
Соблюдение вышеуказанных требований обеспечивает адекватный уровень безопасности сообщений, обрабатываемых в информационных системах.
В современных условиях для разграничения доступа к потокам данных обычно используются маршрутизаторы с функцией «VPN — Builder». Эта функция может быть надежно реализована только с помощью криптографических средств. Как всегда в таких случаях — особое внимание следует уделять системе ключей и надежности хранения ключей. Конечно, требования к политике доступа при разграничении потоков данных полностью отличаются от требований при разграничении доступа к файлам и директориям. Здесь возможен только самый простой механизм — доступ к пользователю разрешен или запрещен.
Список литературы
- А.А. Стрельцов, Информационная безопасность России. Теоретические и методологические основы. — МОСКВА: «MZNMO», 2001.
- Гадасин В.А., Конявский В.А. От документа к электронному документу. Основы системы. — М.: Лаборатория «РФК-Имадж», 2002.
- Конявский В.А. Управление защиты информации на базе НКО ЗАО НРД «Соглашение». — М.: «Радио и связь», 1994.