Программные и организационные задачи защиты информации в глобальной сети Интернет
3 сентября 2014
Рубрика: Обзоры и мнения.
Автор: М. Лазарева.

int_03_09_2014

Интернет и информационная безопасность несовместны по самой природе Интернет. Она родилась как чисто корпоративная сеть, однако, в настоящее время она объединяет не только корпоративные и ведомственные сети, но и рядовых пользователей, которые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров.

Как известно, чем проще доступ в сеть, тем хуже ее информационная безопасность, поэтому с полным основанием можно сказать, что изначальная простота доступа в Internet — хуже воровства, так как пользователь может даже и не узнать, что у него были скопированы файлы и программы, не говоря уже о возможности их порчи и корректировки.

Сейчас вряд ли кому-то надо доказывать, что при подключении к Internet вы подвергаете риску безопасность вашей локальной сети и конфиденциальность содержащейся в ней информации.

Одним из наиболее распространенных механизмов защиты от интернетовских бандитов — хакеров, является применение межсетевых экранов — брэндмауэров (firewalls).

Стоит отметить, что вследствие непрофессионализма администраторов и недостатков некоторых типов брэндмауэров, порядка 30% взломов совершается после установки защитных систем.

int_03_09_2014_1

Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:

  • невозможность миновать защитные средства;
  • усиление самого слабого звена;
  • невозможность перехода в небезопасное состояние;
  • минимизация привилегий;
  • разделение обязанностей;
  • эшелонированность обороны;
  • разнообразие защитных средств;
  • простота и управляемость информационной системы;
  • обеспечение всеобщей поддержки мер безопасности.

Одной из важнейших задач является защита потоков корпоративных данных, передаваемых по открытым сетям. Открытые каналы могут быть надежно защищены лишь одним методом — криптографическим.

Так называемые выделенные линии не обладают особыми преимуществами перед линиями общего пользования в плане информационной безопасности. Выделенные линии хотя бы частично будут располагаться в неконтролируемой зоне, где их могут повредить или осуществить к ним несанкционированное подключение. Единственное реальное достоинство — это гарантированная пропускная способность выделенных линий, а вовсе не какая-то повышенная защищенность.

Представляется естественным возложить на межсетевой экран задачу шифрования и дешифрования корпоративного трафика на пути во внешнюю сеть и из нее. Чтобы такое шифрование/дешифрование стало возможным, должно произойти начальное распределение ключей. Современные криптографические технологии предлагают для этого целый ряд методов.

После того, как межсетевые экраны осуществили криптографическое закрытие корпоративных потоков данных, территориальная разнесенность сегментов сети проявляется лишь в разной скорости обмена с разными сегментами. В остальном вся сеть выглядит как единое целое, а от абонентов не требуется привлечение каких-либо дополнительных защитных средств.

Проблема защиты информации в Internet ставится и с той или иной степенью эффективности решается с момента появления сетей.

В эволюциях технологий защиты можно выделить три основных направления. Первое — разработка стандартов, вставляющих в сеть определенные средства защиты. Второе — это культура межсетевых экранов (firewalls), давно применяемых для регулирования доступа к подсетям. Третье направление — это так называемые технологии виртуальных защищенных сетей (VPN, virtual private network, или intranet).

Выбор технологии защиты информации для большой открытой системы — сети масштаба Internet, крупной корпоративной сети, сети коммуникационного провайдера, должен удовлетворять ряду специфических требований:

  • наличие открытой спецификации, отсутствие монополизма;
  • широкая масштабируемость решений по техническим параметрам;
  • универсальность технологии, переносимость, многоплатформенность;
  • совместимость аппаратных, программных, коммуникационных решений;
  • обеспечение, при необходимости, комплексной защиты информации;
  • простота управления ключами и организации защищенных коммуникаций для вновь подключенных пользователей.

Такими возможностями обладают брандмауэры — выделенные компьютеры с активными функциями фильтрации информационных потоков в точке связи локальной сети с внешним миром. Основная задача систем этой категории — изолировать сеть от посягательств извне путем просмотра пакетов данных, блокировки подозрительных видов трафика и использования специальных средств подтверждения полномочий на доступ. Таким образом, брандмауэр выступает в роли сторожа, не пропускающего любые входные или выходные данные, которые не соответствуют явно сформулированным критериям. Сегодня на рынке имеется широкий выбор средств защиты данных на основе брандмауэров.

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте