Размещено на http://www.allbest.ru
ЗАХИСТ ІНФОРМАЦІЇ В ГЛОБАЛЬНІЙ СИСТЕМІ ІНТЕРНЕТ
Очіченко Р.А., Шемендюк О.В.,
Коротков М.М., Прис Г.П.,
Процюк Ю.О., Сидоркін П.Г.,
Панченко С.М., Самелюк В.П.
Військовий інституту телекомунікацій
та інформатизації, м. Київ
Вступ
Захист інформації в сучасному світі стає однією з найбільш відкритих проблем в сучасних інформаційно-обчислювальних системах. На сьогоднішній день сформульовано три базові принципи інформаційної безпеки, завданням якої є забезпечення:
цілісності даних - захист від збоїв, що ведуть до втрати інформації або її знищення; інформаційний безпека інтернет мережа
конфіденційності інформації;
доступності інформації для авторизованих користувачів.
Розглядаючи проблеми, пов’язані із захистом даних в мережі, виникає питання про класифікацію збоїв і несанкціонованого доступу, що веде до втрати або небажаного зміни даних. Це можуть бути збої устаткування (кабельної системи, дискових систем, серверів, робочих станцій і т.д.), втрати інформації (через інфікування комп'ютерними вірусами, неправильного зберігання архівних даних, порушень прав доступу до даних), некоректна робота користувачів і обслуговуючого персоналу. Перераховані порушення роботи в мережі викликали необхідність створення різних видів захисту інформації. Умовно їх можна розділити на три класи:
засоби фізичного захисту;
програмні кошти (антивірусні програми, системи розмежування повноважень, програмні засоби контролю доступу);
адміністративні заходи захисту (доступ до приміщень, розробка стратегій безпеки фірми і т.д.).
1. Загальні аспекти захисту інформації
Одним із засобів фізичного захисту є системи архівування і дублювання інформації. У локальних мережах, де встановлені один-два сервери, найчастіше система встановлюється безпосередньо у вільні слоти серверів. У великих корпоративних мережах перевага віддається виділеному спеціалізованому архіваціонному сервера, який автоматично архівує інформацію з жорстких дисків серверів і робочих станцій в певний час, встановлений адміністратором мережі, видаючи звіт про проведене резервному копіюванні. Найбільш поширеними моделями архівуються серверів є Storage Express System корпорації Intel ARCserve for Windows.
Для боротьби з комп'ютерними вірусами найбільш часто застосовуються антивірусні програми, рідше -апаратні засоби захисту. Однак, останнім часом спостерігається тенденція до поєднання програмних і апаратних методів захисту. Серед апаратних пристроїв використовуються спеціальні антивірусні плати, вставлені в стандартні слоти розширення комп'ютера. Корпорація Intel запропонувала перспективну технологію захисту від вірусів в мережах, суть якої полягає в скануванні систем комп'ютерів ще до їх завантаження. Крім антивірусних програм, проблема захисту інформації в комп'ютерних мережах вирішується введенням контролю доступу та розмежуванням повноважень користувача. Для цього використовуються вбудовані засоби мережевих операційних систем, найбільшим виробником яких є корпорація Novell. В системі, наприклад, NetWare, крім стандартних засобів обмеження доступу (зміна паролів, розмежування повноважень), передбачена можливість кодування даних за принципом відкритого ключа” з формуванням електронного підпису для переданих по мережі пакетів.
Однак, така система захисту слабомощна, тому що рівень доступу і можливість входу в систему визначаються паролем, який легко підглянути або підібрати. Для виключення несанкціонованого проникнення в компьютерную мережу використовується комбінований підхід -пароль + ідентифікація користувача по персональному ключу”. Ключ” являє собою пластикову карту (магнітна або з вбудованою мікросхемою -смарт-карта) або різні пристрої для ідентифікації особи за біометричної інформації -по райдужній оболонці ока, відбитками пальців, розмірами кисті руки і т.д. Сервери і мережеві робочі станції, оснащені пристроями читання смарт-карт і спеціальним програмним забезпеченням, значно підвищують ступінь захисту від несанкціонованого доступу.
Смарт-карти управління доступом дозволяють реалізувати такі функції, як контроль входу, доступ до пристроїв ПК, до програм, файлів і команд. Одним з вдалих прикладів створення комплексного рішення для контролю доступу в відкритих системах, заснованого як на програмних, так і на апаратних засобах захисту, стала система Kerberos, в основу якої входять три компоненти:
база даних, яка містить інформацію по всіх мережних ресурсів, користувачам, паролів, інформаційним ключам і т.д.;
авторизаційний сервер (authentication server), завданням якого є обробка запитів користувачів на надання того чи іншого виду мережевих послуг. Отримуючи запит, він звертається до бази даних і визначає повноваження користувача на здійснення певної операції. Паролі користувачів по мережі не передаються, тим самим, підвищуючи ступінь захисту інформації;
тicket-granting server (сервер видачі дозволів) отримує від авторизаційного сервера перепустка” з ім'ям користувача і його мережевою адресою, часом запиту, а також унікальний ключ”. Пакет, що містить ”перепустку”, передається також в зашифрованому виду. Сервер видачі дозволів після отримання та розшифровки перепустки” перевіряє запит, порівнює ключі” і при тотожності дає добро” на використання мережевої апаратури або програм.
У міру розширення діяльності підприємств, зростання чисельності абонентів і появи нових філій, виникає необхідність організації доступу віддалених користувачів (груп користувачів) до обчислювальних або інформаційних ресурсів до центрів компаній. Для організації віддаленого доступу найчастіше використовуються кабельні лінії та радіоканали. У зв’язку з цим захист інформації, переданої по каналах віддаленого доступу, вимагає особливого підходу. У мостах і маршрутизаторах віддаленого доступу застосовується сегментація пакетів -їх поділ і передача паралельно по двох лініях, - що унеможливлює перехоплення” даних при незаконному підключенні хакера” до однієї з ліній. Використовувана при передачі даних процедура стиснення переданих пакетів гарантує неможливість розшифровки "перехоплених" даних. Мости і маршрутизатори віддаленого доступу можуть бути запрограмовані таким чином, що віддаленим користувачам не всі ресурси центру компанії можуть бути доступні.
В даний час розроблені спеціальні пристрої контролю доступу до обчислювальних мереж по комутованих лініях. Прикладом може служити, розроблений фірмою AT & T модуль Remote Port Securiti Device (PRSD), що складається з двох блоків розміром зі звичайний модем: RPSD Lock (замок), що встановлюється в центральному офісі, і RPSD Key (ключ), що підключається до модему віддаленого користувача. RPSD Key і Lock дозволяють встановлювати декілька рівнів захисту і контролю доступу:
шифрування даних, що передаються по лінії за допомогою генеруються цифрових ключів;
контроль доступу з урахуванням дня тижня або часу доби.
Пряме відношення до теми безпеки має стратегія створення резервних копій і відновлення баз даних. Зазвичай ці операції виконуються в неробочий час в пакетному режимі. У більшості СУБД резервне копіювання і відновлення даних дозволяються тільки користувачам з широкими повноваженнями (права доступу на рівні системного адміністратора, або власника БД), вказувати настільки відповідальні паролі безпосередньо в файлах пакетної обробки небажано. Щоб не зберігати пароль в явному вигляді, рекомендується написати простеньку прикладну програму, яка сама б викликала утиліти копіювання / відновлення. В такому випадку системний пароль повинен бути зашитий” в код зазначеного додатка. Недоліком даного методу є те, що всякий раз при зміні пароля цю програму слід перекомпілювати.
Стосовно до засобів захисту від несанкціонованого доступу визначені сім класів захищеності (1-7) засобів обчислювальної техніки (ЗОТ) і дев’ять класів (1А, 1Б, 1В, 1Г, 1Д, 2А, 2Б, 3А, 3Б) автоматизованих систем (АС). Для ЗОТ найнижчим є сьомий клас, а для АС -3Б.
Розглянемо більш докладно наведені сертифіковані системи захисту від несанкціонованого доступу.
Система КОБРА” відповідає вимогам 4-го класу захищеності (для ЗОТ), реалізує ідентифікацію і розмежування повноважень користувачів і криптографічне закриття інформації, фіксує спотворення еталонного стану робочого середовища ПК (викликані вірусами, помилками користувачів, технічними збоями і т.д.) і автоматично відновлює основні компоненти операційного середовища терміналу.
Підсистема розмежування повноважень захищає інформацію на рівні логічних дисків. Користувач отримує доступ до певних дискам А, В, С, ..., Z. Всі абоненти розділені на 4 категорії:
привілейований користувач (доступні всі дії в системі);
адміністратор (доступні всі дії в системі, за винятком зміни імені, статусу і повноважень суперкористувача, введення або виключення його зі списку користувачів);
програмісти (може змінювати особистий пароль);
колега (має право на доступ до ресурсів, встановленим йому суперкористувачем).
Крім санкціонування та розмежування доступу до логічних дисків, адміністратор встановлює кожному користувачеві повноваження доступу до послідовного і паралельного портів. Якщо послідовний порт закритий, то неможлива передача інформації з одного комп'ютера на інший. При відсутності доступу до паралельного порту, неможливий висновок на принтер.
2. Захист інформації в глобальній мережі Internet
Internet і інформаційна безпека несумісні по самій природі Internet. Вона народилася як чисто корпоративна мережа, однак, у даний час за допомогою єдиного стека протоколів TCP/IP і єдиного адресного простору поєднує не тільки корпоративні і відомчі мережі (освітні, державні, комерційні, військові і т.д.), що є, за визначенням, мережами з обмеженим доступом, але і рядових користувачів, які мають можливість отримати прямий доступ в Internet зі своїх домашніх комп'ютерів за допомогою модемів і телефонної мережі загального користування.
Як відомо, чим простіше доступ у мережу, тим гірше її інформаційна безпека, тому з повною підставою можна сказати, що початкова простота доступу в Internet -гірше злодійства, тому що користувач може навіть і не дізнатися, що у нього були скопійовані -файли і програми, не кажучи вже про можливість їхнього псування і коректування.
Що ж визначає бурхливий ріст Internet, що характеризується щорічним подвоєнням числа користувачів? Відповідь проста -халява”, тобто дешевизна програмного забезпечення (TCP/IP), яке в даний час включено в Windows 95, легкість і дешевизна доступу в Internet (або за допомогою IP-адреси, або за допомогою провайдера) і до всіх світових інформаційних ресурсів.
Платою за користування Internet є загальне зниження інформаційної безпеки, тому для запобігання несанкціонованого доступу до своїх комп'ютерів усі корпоративні і відомчі мережі, а також підприємства, що використовують технологію intranet, ставлять фільтри (fire-wall) між внутрішньою мережею і Internet, що фактично означає вихід з єдиного адресного простору. Ще більшу безпеку дасть відхід від протоколу TCP/IP і доступ в Internet через шлюзи.
Цей перехід можна здійснювати одночасно з процесом побудови всесвітньої інформаційної мережі загального користування, на базі використання мережних комп'ютерів, які за допомогою мережевої карти 10Base-T і кабельного модему забезпечують високошвидкісний доступ (10 Мбіт/с) до локального Web-сервера через мережу кабельного телебачення.
Для вирішення цих та інших питань при переході до нової архітектури Internet потрібно передбачити наступне:
По-перше, ліквідувати фізичний зв'язок між майбутньої Internet (яка перетвориться у Світову організацію інформаційну мережу загального користування) і корпоративними і відомчими мережами, зберігши між ними лише інформаційний зв’язок через систему World Wide Web.
По-друге, замінити маршрутизатори на комутатори, виключивши обробку в вузлах IP-протоколу і замінивши його на режим трансляції кадрів Ethernet, при якому процес комутації зводиться до простої операції порівняння MAC-адрес.
По-третє, перейти в новий єдиний адресний простір на базі фізичних адрес доступу до середовища передачі (MAC-рівень), прив’язане до географічного розташування мережі, і дозволяє в рамках 48-біт створити адреси понад 64 трильйонів незалежних вузлів.
Безпека даних є однією з головних проблем в Internet. З’являються все нові і нові страшні історії про те, як комп'ютерні зломщики, що використовують усе більш витончені прийоми, проникають в чужі бази даних. Зрозуміло, все це не сприяє популярності Internet у ділових колах. Одна тільки думка про те, що якісь хулігани або, що ще гірше, конкуренти, зможуть отримати доступ до архівів комерційних даних, змушує керівництво корпорацій відмовлятися від використання відкритих інформаційних систем. Фахівці стверджують, що такі побоювання безпідставні, тому що в компаній, що мають доступ і до відкритих, і приватним мереж, практично рівні шанси стати жертвами комп’ютерного терору.
Кожна організація, що має справу з якими б то не було цінностями, рано чи пізно стикається з зазіханням на них. Завбачливі починають планувати захист заздалегідь, непередбачливі-після першого великого проколу”. Так чи інакше, постає питання про те, що, як і від кого захищати.
Зазвичай перша реакція на погрозу-прагнення сховати цінності в недоступне місце і приставити до них охорону. Це відносно нескладно, якщо мова йде про такі цінності, які вам довго не знадобляться: забрали і забули. Куди складніше, якщо вам необхідно постійно працювати з ними. Кожне звернення в сховище за вашими цінностями зажадає виконання особливої процедури, відніме час і створить додаткові незручності. Така дилема безпеки: доводиться робити вибір між захищеністю вашого майна і його доступністю для вас, а значить, і можливістю корисного використання.
Все це справедливо і по відношенню до інформації. Наприклад, база даних, що містить конфіденційні відомості, лише тоді повністю захищена від зазіхань, коли вона знаходиться на дисках, знятих з комп’ютера і прибраних в охороняється місце. Як тільки ви встановили ці диски в комп'ютер і почали використовувати, з’являється відразу кілька каналів, по яких зловмисник, в принципі, має можливість отримати до вашим таємниць доступ без вашого відома. Іншими словами, ваша інформація або недоступна для всіх, включаючи і вас, або не захищена на сто відсотків.
Може скластися враження, що з цієї ситуації немає виходу, але інформаційна безпека те саме безпеки мореплавання: і те, і інше можливо лише з урахуванням деякої допустимої ступеня ризику.
В області інформації дилема безпеки формулюється наступним чином: слід вибирати між захищеністю системи і її відкритістю. Правильніше, втім, говорити не про вибір, а про баланс, так як система, яка не володіє властивістю відкритості, не може бути використана.
У банківській сфері проблема безпеки інформації ускладнюється двома факторами: по-перше, майже всі цінності, з якими має справу банк (крім готівки і ще дечого), існують лише у вигляді тієї чи іншої інформації. По-друге, банк не може існувати без зв’язків із зовнішнім світом: без клієнтів, кореспондентів і т. п. При цьому із зв’язків обов’язково передається та сама інформація, що виражає собою цінності, з якими працює банк (або відомості про ці цінності і їх русі, які іноді коштують дорожче самих цінностей). Ззовні приходять документи, за якими банк переводить гроші з одного рахунку на інший. Зовні банк передає розпорядження про рух коштів за кореспондентськими рахунками, так що відкритість банку задана a priori.
Варто відзначити, що ці міркування справедливі по відношенню не тільки до автоматизованих систем, але і до систем, побудованим на традиційному паперовому документообігу і використовує інших зв’язків, крім кур’єрської пошти. Автоматизація додала головного болю службам безпеки, а нові тенденції розвитку сфери банківських послуг, цілком засновані на інформаційних технологіях, збільшують проблему.
3. Інформаційна безпека в Intranet
Intranet це технологія створення корпоративної локальної мережі підвищеної надійності з обмеженим доступом, що використовує мережеві стандарти і мережеві програмно-апаратні засоби, аналогічні Internet.
Архітектура Intranet має на увазі підключення до зовнішніх відкритих мереж, використання зовнішніх сервісів і надання власних сервісів зовні, що висуває підвищені вимоги до захисту інформації.
У Intranet-системах використовується підхід клієнт-сервер, а головна роль на сьогоднішній день відводиться Web-сервісу. Web-сервери повинні підтримувати традиційні захисні засоби, такі як аутентифікації і розмежування доступу; крім того, необхідне забезпечення нових властивостей, особливо безпеки програмного середовища і на серверної, і на клієнтської сторонах.
Такови, якщо говорити зовсім коротко, завдання у сфері інформаційної безпеки, що виникають у зв'язку з переходом на технологію Intranet. Далі ми розглянемо можливі підходи до їх решенію.
Формірованіе режиму інформаційної безпеки - проблема комплексная.
Мери для її рішення можна розділити на чотири рівні:
законодавчий (закони, нормативні акти, стандарти тощо.);
адміністративний (дії загального характеру, вживає керівництво організації);
процедурний (конкретні міри безпеки, що мають справу з людьми);
програмно-технічний (конкретні технічні заходи).
ЗАКОНОДАТЕЛЬНИЙ РІВЕНЬ
В даний час багатьох країнах світу прийнято низку законодавчих документом в області інформаційної безпеки. У багатьох кримінальний кодексах з’являються розділи начебто Злочини у сфері комп'ютерної інформації”, Порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі”.
Кримінальний кодекс стоїть на сторожі всіх аспектів інформаційної безпеки -доступності, цілісності, конфіденційності, передбачаючи покарання за знищення, блокування, модифікацію і копіювання інформації, порушення роботи ЕОМ, системи ЕОМ або їх мережі”.
РОЗРОБКА МЕРЕЖЕВИХ АСПЕКТІВ ПОЛІТИКИ БЕЗПЕКИ
Політика безпеки визначається як сукупність документованих управлінських рішень, спрямованих на захист інформації та асоційованих з нею ресурсов.
Прі розробці і проведенні її в життя доцільно керуватися такими принципами:
неможливість минати захисні засоби;
посилення найслабшої ланки;
неможливість переходу в небезпечний стан;
мінімізація привілеїв;
поділ обов'язків;
ешелонування оборони;
різноманітність захисних засобів;
простота і керованість інформаційної системи;
забезпечення загальної підтримки заходів безопасності.
Еслі у зловмисника незадоволеного користувача з’явиться можливість минати захисні засоби, він, зрозуміло, так і зробить. Стосовно до міжмережевих екранів даний принцип означає, що всі інформаційні потоки в мережу, що захищається і з неї повинні проходити через екран. Не повинно бути таємних” модемних чи входів тестових ліній, що йдуть в обхід екрана.
Надійність будь -який оборони визначається найслабшою ланкою. Зловмисник не боротиметься проти сили, він віддасть перевагу легкій перемозі над слабкістю. Часто самою слабкою ланкою виявляється не чи комп’ютер програма, а людина, і тоді проблема забезпечення інформаційної безпеки здобуває нетехнічний характер.
Принцип неможливості переходу в небезпечний стан означає, що при будь-яких обставинах, в тому числі позаштатних, захисне засіб або повністю виконує свої функції, або повністю блокує доступ. Образно кажучи, якщо в міцності механізм звідного моста ламається, міст повинен залишатися в піднятому стані, перешкоджаючи проходу непріятеля.
Принцип мінімізації привілеїв наказує виділяти користувачам і адміністраторам тільки ті права доступу, які необхідні їм для виконання службових обязанностей.
Принцип поділу обов’язків припускає такий розподіл ролей і відповідальності, при якому одна людина не може порушити критично важливий для організації процес. це особенн про важливо, щоб запобігти зловмисні або некваліфіковані дії системного адміністратора.
Принцип ешелонування оборони наказує не покладатися на один захисний рубіж, яким би надійним він не здавався. За засобами фізичного захисту повинні випливати програмно-технічні засоби, за ідентифікацією й аутентифікації - керування доступом і, як останній рубіж, -протоколювання і аудит. Ешелонована оборона здатна принаймні затримати зловмисника, а наявність такого рубежу, як протоколювання і аудит, істотно утрудняє непомітне виконання злочинних действій.
Принцип розмаїтості захисних засобів рекомендує організовувати різні за своїм характером оборонні рубежі, щоб від потенційного зловмисника було потрібно оволодіння різноманітними і, по можливості, несумісними між собою навичками (наприклад умінням переборювати високу огорожу і знанням слабостей декількох операційних систем). Дуже важливий принцип простоти і керованості інформаційної системи в цілому і захисних засобах особливо. Тільки для простого захисного кошти можна формально чи неформально довести його коректність. Тільки в простій і керованій системі можна перевірити погодженість конфігурації різних компонентів і здійснити централізоване адміністрування. У зв'язку з цим важливо відзначити інтегруючу роль Web-сервісу, ховає розмаїтість об'єктів і надає єдиний, наочний інтерфейс. Відповідно, якщо об’єкти деякого виду (скажімо таблиці бази даних) доступні через Web, необхідно заблокувати прямий доступ до них, оскільки в іншому випадку система буде складною.
Останій принцип - загальна підтримка заходів безпеки -носить нетехнічний характер. Якщо користувачі і/або системні адміністратори вважають інформаційну безпеку чимось зайвим чи навіть ворожим, режим безпеки сформувати свідомо не удасться. Слід з самого початку передбачити комплекс заходів, спрямований на забезпечення лояльності персоналу, на постійне навчання, теоретичне і, головне, практіческое.
Аналіз ризиків -найважливіший етап вироблення політики безпеки. При оцінці ризиків, до яких схильні Intranet-системи, потрібно враховувати наступні обставини:
нові погрози стосовно старих сервісам, що випливають з можливості пасивного чи активного прослуховування мережі. Пасивне прослуховування означає читання мережного трафіку, а активне -його зміна (крадіжку, дублювання модифікацію переданих даних). Наприклад, аутентифікація вилученого клієнта за допомогою пароля багаторазового використання не може вважатися надійної в мережевому середовищі, незалежно від довжини пароля;
нові (мережні) сервіси й асоційовані з ними угрози.
Как правило, в Intranet-системах слід дотримуватися принципу все, що не дозволено, заборонено”, оскільки зайвий” мережний сервіс може надати канал проникнення в корпоративну систему. В принципі, ту ж думку виражає положення усе незрозуміле небезпечне”.
ПРОЦЕДУРНІ ЗАХОДИ
В загальному і цілому Intranet-технологія не пред’являє яких-небудь специфічних вимог до мір процедурного рівня. На наш погляд, окремого розгляду заслуговують лише дві обставини:
опис посад, пов'язаних з визначенням, наповненням і підтримкою корпоративної гіпертекстової структури офіційних документів;
підтримка життєвого циклу інформації, що наповняє Intranet.
Прі описі посад доцільно виходити з аналогії між Intranet і видавництвом. У видавництві існує директор, що визначає загальну спрямованість діяльності. У Intranet йому відповідає Web-адміністратор, що вирішує, яка корпоративна інформація повинна бути присутнім на Web-сервері і як випливає структурне дерево (точніше, граф) HTML-документів.
У багато профільних видавництвах існують редакції, займаються конкретними напрямками (математичні книги, книги для дітей і т.п.). Аналогічно, в Intranet доцільно виділити посада публікатора, що відає появою документів окремих підрозділів і визначального перелік і характер публікацій.
У кожної книги є титульний редактор, що відповідає перед видавництвом за свою роботу. У Intranet редактори займаються вставкою документів у корпоративне дерево, їхньою корекцією і видаленням. У великих організаціях шар” публікатор/редактор може складатися з декількох рівнів.
Нарешті, і у видавництві, і в Intranet повинні бути автори, що створюють документи. Підкреслимо, що вони не повинні мати прав на модифікацію корпоративного дерева і окремих документів. Їхня справа -передати свою працю редактору.
Крім офіційних, корпоративних, в Intranet можуть бути присутнім групові й особисті документи, порядок роботи з якими (ролі, права доступу) визначається, відповідно, груповими та особистими інтересамі.
Переходячи до питань підтримки життєвого циклу Intranet-інформації, нагадаємо про необхідність використання засобів конфігураційного управління. Важливе значення Intranet-технології з варто в тому, що основні операції конфігураційного керування -внесення змін (створення нової версії) і витяг старої версії документа -природним чином вписуються в рамки Web-інтерфейсу. Ті, для кого це необхідно, можуть працювати з деревом усіх версій усіх документів, підмножиною якого є дерево самих свіжих версій.
УПРАВЛІННЯ ДОСТУПОМ ШЛЯХОМ ФІЛЬТРАЦІЇ ІНФОРМАЦІІ
Переходім до розгляду мір програмно-технічного рівня, спрямованих на забезпечення інформаційної безпеки систем, побудованих в технології Intranet. На перше місце серед таких мір ми поставимо міжмережеві екрани -засіб розмежування доступу, що служить для захисту від зовнішніх загроз і від погроз з боку користувачів інших сегментів корпоративних мереж.
Відзначимо, що боротися з погрозами, властивому мережному середовищу, засобами універсальних операційних систем не представляється можливим. Універсальна ОС -це величезна програма, що напевно містить, крім явних помилок, деякі особливості, які можуть бути використані для отримання нелегальних привілеїв. Сучасна технологія програмування не дозволяє зробити настільки великі програми безпечними. Крім того, адміністратор, має справу зі складною системою, далеко не завжди в змозі врахувати всі наслідки вироблених змін (як і лікар, що не відає всіх побічних впливів лік). Нарешті, в універсальної системі пролому в безпеці постійно створюються самими користувачами (слабкі і/чи рідко змінювані паролі, невдало встановлені права доступу, залишений без догляду термінал і т.п.). Як зазначалося вище, єдиний перспективний шлях зв'язаний з розробкою спеціалізованих захисних коштів, які в силу своєї простоти допускають формальну чи неформальну верифікацію. Брандмауер якраз і є таким засобом, що допускає подальшу декомпозицію, пов'язану з обслуговуванням різних мережевих протоколов.
Межсетевой екран -це напівпроникна мембрана, яка розташовується між що захищається (внутрішньої) мережею і зовнішнім середовищем (зовнішніми мережами іншими сегментами корпоративної мережі) і контролює всі інформаційні потоки у внутрішню мережу і з неї. Контроль інформаційних потоків складається в їхній фільтрації, тобто у вибірковому пропущенні через екран, можливо, з виконанням деяких перетворень і повідомленням відправника про те, що його даним у пропуску відмовлено. Фільтрація здійснюється на основі набору правил, попередньо завантажених в екран і є вираженням мережевих аспектів політики безпеки організаціі.
Целесообразно розділити випадки, коли екран встановлюється на границі з зовнішньої (звичайно загальнодоступної) чи мережею на границі між сегментами однієї корпоративної мережі. Відповідно, ми буде говорити про зовнішньому і внутрішньому міжмережевих екранах.
Как правило, при спілкуванні з зовнішніми мережами використовується виняткове сімейство протоколів TCP/IP. Тому зовнішній міжмережевий екран повинен враховувати специфіку цих протоколів. Для внутрішніх екранів ситуація складніше, тут варто брати до уваги крім TCP/IP принаймні протоколи SPX/IPX, застосовувані в мережах Novell NetWare. Іншими словами, від внутрішніх екранів нерідко потрібно багато протокольність.
Сітуаціі, коли корпоративна мережа містить лише один зовнішній канал, є, скоріше, винятком, ніж правилом. Навпаки, типова ситуація, при якій корпоративна мережа складається з декількох територіально рознесених сегментів, кожен з яких підключений до мережі загального користування. У цьому випадку кожне підключення повинне захищатися своїм екраном. Точніше кажучи, можна вважати, що корпоративний зовнішній міжмережевий екран є складеним, і потрібно вирішувати задачу погодженого адміністрування (керування й аудита) усіх компонентов.
Прі розгляді будь-якого питання, що стосується мережних технологій, основою служить еталонна модель ISO/OSI. Міжмережеві екрани також доцільно класифікувати по тому, на якому рівні виробляється фільтрація -канальному, мережному, транспортному чи прикладному. Відповідно, можна говорити про концентратори, що екранують (рівень 2), маршрутизаторах (рівень 3), про транспортне екранування (рівень 4) і про прикладні екрани (рівень 7). Існують також комплексні екрани, що аналізують інформацію на декількох уровнях.
В даній роботі ми не будемо розглядати екранують концентратори, оскільки концептуально вони мало відрізняються від екранують маршрутізаторів.
Прі ухваленні рішення пропустити/не пропустити”, міжмережеві екрани можуть використовувати не тільки інформацію, що міститься в фільтруючих потоках, але і дані, отримані з оточення, наприклад поточний время.
Такім чином, можливості брандмауера безпосередньо визначаються тим, яка інформація може використовуватися в правилах фільтрації і яка може бути потужність наборів правил. Взагалі кажучи, чим вище рівень в моделі ISO/OSI, на якому функціонує екран, тим більше змістовна інформація йому доступна і, отже, тим тонше і надійніше екран може бути налаштований. У той же час фільтрація на кожному з перерахованих вище рівнів має свої достоїнства, такими як дешевизна, висока ефективність прозорість для користувачів. В силу цієї, а також деяких інших причин, в більшості випадків використовуються змішані конфігурації, в яких об’єднані різнотипні екрани. Найбільш типовим є поєднання екрануючих маршрутизаторів і прикладного екрана.
Пріведенная конфігурація називається що екранує під сіткою. Як правило, сервіси, що організація надає для зовнішнього застосування (наприклад представницький” Web-сервер), доцільно виносити саме в що екранує підсеть.
Помімо виразних можливостей і припустимої кількості правил якість міжмережевого екрану визначається ще двома дуже важливими характеристиками -простотою застосування і власною захищеністю. У плані простоти використання першорядне значення мають наочний інтерфейс при завданні правил фільтрації і можливість централізованого адміністрування складених конфігурацій. У свою чергу, в останньому аспекті хотілося б виділити кошти централізованого завантаження правил фільтрації і перевірки набору правил на несуперечність. Важливий і централізований збір і аналіз реєстраційної інформації, а також отримання сигналів про спроби виконання дій, заборонених політикою безопасності.
Собственная захищеність брандмауера забезпечується тими ж засобами, що і захищеність універсальних систем. При виконанні централізованого адміністрування варто ще подбати про захист інформації від пасивного і активного прослуховування мережі, тобто забезпечити її (інформації) цілісність і конфіденціальность.
Прірода екранування (фільтрації), як механізму безпеки, дуже глибока. Крім блокування потоків даних, що порушують політику безпеки, міжмережевий екран може приховувати інформацію про мережі, що захищається, тим самим ускладнюючи дії потенційних зловмисників. Так, прикладний екран може здійснювати дії від імені суб'єктів внутрішньої мережі, в результаті чого з зовнішньої мережі здається, що має місце взаємодія виняткова з фаєрволом. При такому підході топологія внутрішньої мережі схована від зовнішніх користувачів, тому задача зловмисника істотно усложняется.
Более загальним методом приховання інформації про топологію мережі, що захищається, є трансляція внутрішніх” мережних адрес, що попутно вирішує проблему розширення адресного простору, виділеного організаціі.
Огранічівающій інтерфейс також можна розглядати як різновид екранування. На невидимий об’єкт важко нападати, особливо за допомогою фіксованого набору засобів. У цьому сенсі Web-інтерфейс має природний захист, особливо в тому випадку, коли гіпертекстові документи формуються динамічно. Кожен бачить лише те, що йому положено.
Екранірующая роль Web-сервісу наочно проявляється і тоді, коли цей сервіс здійснює посередницькі (точніше, що інтегрують) функції при доступі до інших ресурсів, зокрема таблицям бази даних. Тут не тільки контролюються потоки запитів, але і ховається реальна організація баз данних.
БЕЗОПАСНОСТЬ ПРОГРАМНОЇ СРЕДИ
Ідея мереж з так званими активними агентами, коли між комп'ютерами передаються не тільки пасивні, але й активні виконуючі дані (тобто програми), зрозуміло, не нова. Спочатку мета полягала в тому, щоб зменшити мережевий трафік, виконуючи основну частину обробки там, де розташовуються дані (наближення програм до даних). На практиці це означало переміщення програм на сервери. Класичний приклад реалізації подібного підходу -це збережені процедури в реляційних СУБД.
Для Web-серверів аналогом збережених процедур є програми, що обслуговують загальний шлюзовий інтерфейс (Common Gateway Interface -CGI).
CGI–процедури розташовуються на серверах і звичайно використовуються для динамічного породження HTML-документів. Політика безпеки організації і процедурні заходи повинні визначати, хто має право поміщати на сервер CGI-процедури. Жорсткий контроль тут необхідний, оскільки виконання сервером некоректної програми може привести до як завгодно важких наслідків. Розумна міра технічного характеру складається в мінімізації привілеїв користувача, від імені якого виконується Web-сервер.
В технології Intranet, якщо піклуватися про якість і виразну силу користувальницького інтерфейсу, виникає потреба в переміщенні програм з Web-серверів на клієнтські комп’ютери - для створення анімації, виконання семантичного контролю при введенні даних і т.д. Взагалі, активні агенти -невід’ємна частина технології Intranet.
В якому би напрямку не переміщалися програми по мережі, ці дії становлять підвищену небезпеку, тому що програма, отримана з ненадійного джерела, може містити ненавмисно внесені помилки цілеспрямовано створений шкідливий код. Така програма потенційно загрожує в сем основним аспектам інформаційної безпеки:
приступності (програма може поглинути всі наявні ресурси);
цілісності (програма може видалити зашкодити дані);
конфіденційності (програма може прочитати дані і передати їх по мережі).
Проблему ненадійних програм усвідомлювали давно, але, мабуть, тільки в рамках системи програмування Java уперше запропонована цілісна концепція її решенія.
Java пропонує три оборонні рубежі:
надійність мови;
контроль при одержанні програм;
контроль при виконанні программ.
Впрочем, існує ще одне, дуже важливий засіб забезпечення інформаційної безпеки -безпрецедентна відкритість Java-системи. Вихідні тексти Java-компілятора й інтерпретатора доступні для перевірки, тому велика ймовірність, що помилки і недоліки першими будуть виявляти чесні фахівці, а не злоумишленнікі.
В концептуальному плані найбільші труднощі представляє контрольоване виконання програм, завантажених по мережі. Перш за все, необхідно визначити, які дії вважаються для таких програм припустимими. Якщо виходити з того, що Java -це мова для написання клієнтських частин додатків, одним з основних вимог до яких є мобільність, завантажена програма може обслуговувати тільки користувальницький інтерфейс і здійснювати мережну взаємодію з сервером. Програма не може працювати з файлами хоча б тому, що на Java-терміналі їх, можливо, не буде. Більш змістовні дії повинні вироблятися на серверній чи стороні здійснюватися програмами, локальними для клієнтської системи. Цікавий підхід пропонують фахівці компанії Sun Microsystems для забезпечення безпечного виконання командних файлів. Йдеться про середовище Safe-Tcl (Tool Comman Language, інструментальний командна мова). Sun запропонувала так звану коміручну модель інтерпретації командних файлів. Існує головний інтерпретатор, якому доступні всі можливості мови.
Якщо в процесі роботи додатка необхідно виконати сумнівний командний файл, породжується підлеглий командний інтерпретатор, що володіє обмеженою функціональністю (наприклад, з нього можуть бути вилучені засоби роботи з файлами і мережні можливості). В результаті потенційно небезпечні програми виявляються ув'язненими в осередки, що захищають користувальницькі системи від ворожих дій. Для виконання дій, які вважаються привілейованими, підлеглий інтерпретатор може звертатися із запитами до головного. Тут, очевидно, проглядається аналогія з поділом адресних просторів операційної системи і користувальницьких процесів і використанням останніми системних викликів. Подібна модель уже близько 30 років є стандартної для ОС.
ЗАХИСТ WEB-СЕРВЕРІВ
Наряду із забезпеченням безпеки програмного середовища, найважливішим буде питання про розмежування доступу до об’єктів Web-сервісу. Для вирішення цього питання необхідно усвідомити, що є об’єктом, як ідентифікуються суб’єкти. У Web-серверах об’єктами доступу виступають універсальні локатори ресурсів (URL -Uniform (Universal) Resource Locator). За цими локаторами можуть стояти різні сутності -HTML-файли, CGI-процедури і т.п.
Як правило, суб’єкти доступу ідентифікуються по IP-адресами і/або іменам комп'ютерів і областей управління. Крім того, може використовуватися парольна аутентифікації чи користувачів більш складні схеми, засновані на криптографічних технологіях.
В більшості Web-серверів права розмежовуються з точністю до каталогів (директорій) із застосуванням довільного управління доступом. Можуть надаватися права на читання HTML-файлів, виконання CGI-процедур і т.д.
Для раннього виявлення спроб нелегального проникнення в Web-сервер важливий регулярний аналіз реєстраційної інформаціі.
Разумеется, захист системи, на якій функціонує Web-сервер, повинна слідувати універсальним рекомендаціям, головною з яких є максимальне спрощення. Всі непотрібні сервіси, файли, пристрої повинні бути вилучені. Число користувачів, що мають прямий доступ до сервера, повинне бути зведене до мінімуму, а їхні привілеї -упорядковані у відповідності зі службовими обязанностямі.
Еще один загальний принцип полягає в тому, щоб мінімізувати обсяг інформації про сервер, яку можуть одержати користувачі. Багато серверів у випадку звертання по імені каталогу і відсутності файлу index. HTML в ньому, видають HTML-варіант змісту каталогу. У цьому змісті можуть зустрітися імена файлів з вихідними текстами CGI-процедур з іншою конфіденційною інформацією. Такого роду додаткові можливості” доцільно відключати, оскільки зайве знання (зловмисника) множить суму (власника сервера).
АУТЕНТІФІКАЦІЯ У ВІДКРИТИХ МЕРЕЖАХ
Методи, застосовувані у відкритих мережах для підтвердження і перевірки дійсності суб’єктів, повинні бути стійкі до пасивного й активного прослуховування мережі. Суть їх зводиться до наступного.
Суб’єкт демонструє знання секретного ключа, при цьому ключ або взагалі не передається по мережі, або передається в зашифрованому вигляді.
Суб’єкт демонструє володіння програмним чи апаратним засобом генерації одноразових паролів засобом, що працює в режимі запит-відповідь”. Неважко помітити, що перехоплення і наступне відтворення одноразового пароля відповіді на запит нічого не дає зловмиснику.
Суб’єкт демонструє дійсність свого місця розташування, при цьому використовується система навігаційних спутніков.
ВІРТУАЛЬНІ ПРИВАТНІ МЕРЕЖІ
Однією з найважливіших завдань є захист потоків корпоративних даних, переданих по відкритих мережах. Відкриті канали можуть бути надійно захищені ліше одним методом -кріптографіческім.
Відзначимо, що так звані виділені лінії не мають особливі переваги перед лініями загального користування в плані інформаційної безпеки. Виділені хоча б частково будуть розташовуватися в неконтрольованій зоні, де їх можуть пошкодити або здійснити до них несанкціоноване підключення. Єдине реальне гідність -це гарантована пропускна здатність виділених ліній, а зовсім не якась підвищена захищеність. Втім, сучасні оптоволоконні канали здатні задовольнити потреби багатьох абонентів, тому і зазначене достоїнство не завжди прибраний в реальну форму.
Цікаво згадати, що в мирний час 95% трафіка Міністерства оборони США передається через мережі загального користування (зокрема через Internet). У воєнний час ця частка повинна складати лише” 70%. Можна припустити, що Пентагон -не найбідніша організація. Американські військові покладаються на мережі загального користування тому, що розвивати власну інфраструктуру в умовах швидких технологічних змін -заняття дуже дороге і безперспективне, виправдане навіть для критично важливих національних організацій тільки у виняткових случаях.
Представляється природним покласти на міжмережевий екран задачу шифрування і дешифрування корпоративного трафіку на шляху в зовнішню мережу і з неї. Щоб таке шифрування/дешифрування стало можливим, має відбутися початковий розподіл ключів. Сучасні криптографічні технології пропонують для цього цілий ряд методів.
Після того як міжмережеві екрани здійснили криптографічне закриття корпоративних потоків даних, територіальна разнесенность сегментів мережі виявляється лише в різній швидкості обміну з різними сегментами. В іншому вся мережа виглядає як єдине ціле, а від абонентів не потрібно залучення яких-небудь додаткових захисних засобів.
ПРОСТОТА І ОДНОРІДНІСТЬ АРХІТЕКТУРИ
Найважливішим аспектом інформаційної безпеки є керованість системи. Керованість - це і підтримка високої доступності системи за рахунок раннього виявлення і ліквідації проблем, і можливість зміни апаратної і програмної конфігурації відповідно до змінилися, чи потребами, і оповіщення про спроби порушення інформаційної безпеки практично в реальному часі, і зниження числа помилок адміністрування, і багато, багато друге.
Наібільш гостро проблема керованості встає на клієнтських робочих місцях і на стику клієнтської і серверної частин інформаційної системи. Причина проста -клієнтських місць набагато більше, ніж серверних, вони, як правило, розкидані по значно більшій площі, їх використовують люди з різною кваліфікацією і звичками. Обслуговування та адміністрування клієнтських робочих місць -заняття надзвичайно складне, дороге і чревате помилками. Технологія Intranet за рахунок простоти й однорідності архітектури дозволяє зробити вартість адміністрування клієнтського робочого місця практично нульовий. Важливо і те, що заміна і повторне введення в експлуатацію клієнтського комп'ютера можуть бути здійснені дуже швидко, оскільки це клієнти без стану”, у них немає нічого, що вимагало б тривалого відновлення або конфігурірованія.
На стику клієнтської і серверної частин Intranet-системи знаходиться Web-сервер. Це дозволяє мати єдиний механізм реєстрації користувачів і наділення їх правами доступу з наступним централізованим адмініструванням. Взаємодія з численними різнорідними сервісами виявляється прихованим не тільки від користувачів, але і в значній мірі від системного адміністратора.
Задача забезпечення інформаційної безпеки в Intranet виявляється простіший, ніж у випадку довільних розподілених систем, побудованих в архітектурі клієнт/сервер. Причина тому - однорідність і простота архітектури Intranet. Якщо розробники прикладних систем зуміють повною мірою скористатися цією перевагою, то на програмно-технічному рівні їм буде досить декількох недорогих і простих в освоєнні продуктів. Правда, до цього необхідно додати продуману політику безпеки і цілісний набір заходів процедурного рівня.
Висновок
Зараз навряд чи комусь треба доводити, що при підключенні до Internet Ви піддаєте ризику безпеку Вашої локальної мережі і конфіденційність міститься в ній інформації. За даними CERT Coordination Ce nter в 1995 році було зареєстровано 2421 інцидентів -зломів локальних мереж і серверів. За результатами опитування, проведеного Computer Security Institute (CSI) серед 500 найбільш великих організацій, компаній і університетів з 1991 число незаконних вторгнень зросло на 48.9%, а втрати, викликані цими атаками, оцінюються в 66 млн. доларів США.
Однім з найбільш поширених механізмів захисту від інтернетівських бандитів -хакерів” є застосування міжмережевих екранів-брендмауерів (firewalls).
Не дивлячись на удаваний правовий хаос в розглядуємої області, будь-яка діяльність з розробки, продажу і використання засобів захисту інформації регулюється безліччю законодавчих і нормативних документів, а всі використовувані системи підлягають обов'язковій сертифікації.
Список літератури
1. Браун С. “Мозаика” і “Всемирная паутина” для доступу до Internet: Пер. c англ. -М.: Світ: Маліп: СК Пресс, 1996. -167c.
2. Гайковіч В., Першин А. Безпека електронних банківських систем. -М.: Единая Европа”, 1994. -264 c.
3. Игер Б. Робота в Internet / Под ред. А. Тихонова; Пер. c англ. -М.: БИНОМ, 1996. -313 c.
4. Колесніков О.Е. Інтернет для ділової людини. -M.: МЦФ. Видавництво. фірма Яуза”, 1996. -281 c.
5. Левін В.К. Захист інформації в інформаційно-обчислювальних cистемах і мережах // Програмування. -1994. -N5. - C. 5 -16.
6. Про інформацію, інформатизації і захисту інформації: Федеральний Закон // Російська газета. -1995. -22 лютого. -C. 4.
7. Фролов А.В., Фролов Г.В. Глобальні мережі комп'ютерів. Практичне введення в Internet, E-mail, FTP, WWW, і HTML, програмування для Windiws Sockets. - Діалог -МІФІ, 1996. -283 c.