Захист інформації в Інтернеті

[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.

скачати

МІНІСТЕРСТВО ОСВІТИ І СПЕЦІАЛЬНОГО

ОСВІТИ І НАУКИ УКРАЇНИ

Воронезького державного університету

ЕКОНОМІЧНИЙ ФАКУЛЬТЕТ

Випускна робота

на тему: "Захист інформації в Інтернет"

Бакалавр економіки,

спеціалізація "Менеджмент"

Денне відділення

Випускну роботу виконав

студент 7 групи 4 курсу       Шворов А.А.

ВОРОНІЖ 1997

Зміст

Введення ................................................. .............................................. 2

Глава 1 Загальна характеристика мережі Internet ..................................... 4

1.1 Історія скті Internet .............................................. ............. 4

1.1.1 Протоколи мережі Internet ............................................ ......... 5

1.2 Послуги надані мережею ........................................... 6

1.3 Гіпертекстова технологія WWW, URL, HTML ............... 9

1.3.1 Архітектура WWW - технології .................................... 10

1.3.2 Основні компоненти технології World Wide Web .... 13

Глава 2 Захист інформації в глобальлной мережі Internet ............... 16

2.1 Проблеми захисту інформації ......................................... 16

2.1.1 Інформаційна безпека й інформаційні

технології ................................................. ............................... 19

2.2 Засоби захисту інформації .......................................... 23

2.2.1 Технологія роботи в глобальних мережах

Solstice FireWall-1 .............................................. ........................ 24

2.2.2 Обмеження доступу в WWW-серверах ........................ 33

2.3 Інформаційна безпека в Intranet ........................ 35

Висновок ................................................. ....................................... 51

Список спеціальних термінів ............................................... ........... 53

Спіок використаних джерел ............................................... .... 57

Введення

Internet - глобальна комп'ютерна мережа, що охоплює весь світ. Сьогодні Internet має близько 15 мільйонів абонентів у більш ніж 150 країнах світу. Щомісяця розмір мережі збільшується на 7-10%. Internet утворює як би ядро, що забезпечує зв'язок різних інформаційних мереж, що належать різним установам у всьому світі, одна з іншою.

Якщо раніше мережа використовувалася винятково в якості середовища передачі файлів і повідомлень електронної пошти, то сьогодні вирішуються більш складні задачі розподіленого доступу до ресурсів. Близько двох років тому були створені оболонки, підтримуючі функції мережевого пошуку і доступу до розподілених інформаційних ресурсів, електронних архівів.

Internet, що служила колись винятково дослідницьким і навчальним групам, чиї інтереси простиралися аж до доступу до суперкомп'ютерів, стає все більш популярною в діловому світі.

Компанії спокушають швидкість, дешевий глобальний зв'язок, зручність для проведення спільних робіт, доступні програми, унікальна база даних мережі Internet. Вони розглядають глобальну мережу як доповнення до своїх власних локальних мереж.

Фактично Internet складається з безлічі локальних і глобальних мереж, що належать різним компаніям і підприємствам, пов'язаних між собою різними лініями зв'язку. Internet можна уявити собі у вигляді мозаїки складеної з невеликих мереж різної величини, які активно взаємодіють одна з іншою, пересилаючи файли, повідомлення й т.п.

При низькій вартості послуг (часто це тільки фіксована щомісячна плата за використовувані лінії або телефон) користувачі можуть отримати доступ до комерційних і некомерційних інформаційних служб США, Канади, Австралії і багатьох європейських країн. В архівах вільного доступу мережі Internet можна знайти інформацію практично по всіх сферах людської діяльності, починаючи з нових наукових відкриттів до прогнозу погоди на завтра.

Крім того Internet надає унікальні можливості дешевого, надійного і конфіденційного глобального зв'язку по всьому світу. Це виявляється дуже зручним для фірм мають свої філії в усьому світі, транснаціональних корпорацій і структур управління. Звичайно, використання інфраструктури Internet для міжнародного зв'язку обходиться значно дешевше прямого комп'ютерного зв'язку через супутниковий канал або через телефон.

Електронна пошта - найпоширеніша послуга мережі Internet. В даний час свою адресу електронної пошти мають приблизно 20 мільйонів чоловік. Посилка листа по електронній пошті обходиться значно дешевше посилки звичайного листа. Крім того повідомлення, послане по електронній пошті дійде до адресата за кілька годин, у той час як звичайний лист може добиратися до адресата декілька днів, а то й тижнів.

В даний час Internet відчуває період підйому, багато в чому завдяки активній підтримці з боку урядів європейських країн і США. Щорічно в США виділяється близько 1-2 мільйонів доларів на створення нової мережевої інфраструктури. Дослідження в області мережевих комунікацій фінансуються також урядами Великобританії, Швеції, Фінляндії, Німеччини.

Однак, державне фінансування - лише невелика частина і коштів, тому що все більш помітною стає "коммерцизация" мережі (80-90% засобів надходить із приватного сектора).

РОЗДІЛ 1

Загальна характеристика мережі Internet

1.1 Історія мережі Internet

У 1961 році Defence Advanced Research Agensy (DARPA) за завданням міністерства оборони США приступило до проекту по створенню експериментальної мережі передачі пакетів. Ця мережа, названа ARPANET, призначалася спочатку для вивчення методів забезпечення надійного зв'язку між комп'ютерами різних типів. Багато методів передачі даних через модеми були розроблені в ARPANET. Тоді ж були розроблені і протоколи передачі даних у мережі - TCP / IP. TCP / IP - це безліч комунікаційних протоколів, які визначають, як комп'ютери різних типів можуть спілкуватися між собою.

Експеримент із ARPANET був настільки успішний, що багато організацій захотіли ввійти в неї, з метою використання для щоденної передачі даних. І в 1975 році ARPANET перетворилася з експериментальної мережі в робочу мережу. Відповідальність за адміністрування мережі взяло на себе Defence Communication Agency (DCA), в даний час зване Defence Information Systems Agency (DISA). Але розвиток ARPANET на цьому не зупинилися; Протоколи TCP / IP продовжували розвиватися й удосконалюватися.

У 1983 році вийшов перший стандарт для протоколів TCP / IP, що ввійшов у Military Standarts (MIL STD), тобто у військові стандарти, і всі, хто працював у мережі, зобов'язані були перейти до цих нових протоколів. Для полегшення цього переходу DARPA звернулася з пропозицією до керівників фірми Berkley Software Design - упровадити протоколи TCP / IP у Berkeley (BSD) UNIX. З цього і почався союз UNIX і TCP / IP.

Через деякий час TCP / IP був адаптований у звичайний, тобто в загальнодоступний стандарт, і термін Internet увійшов у загальний ужиток. У 1983 році з ARPANET виділилася MILNET, що стала відноситися до Defence Data Network (DDN) міністерства оборони США. Термін Internet став використовуватися для позначення єдиної мережі: MILNET плюс ARPANET. І хоча в 1991 році ARPANET припинила своє існування, мережа Internet існує, її розміри набагато перевищують початкові, тому що вона об'єднала безліч мереж в усьому світі. Діаграма 1.1 ілюструє зростання кількості хостів, підключених до мережі Internet з 4 комп'ютерів в 1969 році до 8,3 мільйонів у 1994. Хостом в мережі Internet називаються комп'ютери, що працюють в багатозадачному операційній системі (Unix, VMS), підтримують протоколи TCPIP і надають користувачам які-небудь мережеві послуги.

Діаграма 1.1

Захист інформації в Інтернеті

Діаграма 1.1 Кількість хостів, підключених до Internet.

Протоколи мережі Internet

Основне, що відрізняє Internet від інших мереж - це її протоколи - TCP / IP. Взагалі, термін TCP / IP зазвичай означає все, що пов'язано з протоколами взаємодії між комп'ютерами в Internet. Він охоплює ціле сімейство протоколів, прикладні програми, і навіть саму мережу. TCP / IP - це технологія міжмережевої взаємодії, технологія internet. Мережа, що використовує технологію internet, називається "internet". Якщо мова йде про глобальну мережу, що об'єднує безліч мереж із технологією internet, то її називають Internet.

Свою назву протокол TCP / IP одержав від двох комунікаційних протоколів (або протоколів зв'язку). Це Transmission Control Protocol (TCP) і Internet Protocol (IP). Незважаючи на те, що в мережі Internet використовується велике число інших протоколів, мережа Internet часто називають TCP / IP-мережею, тому що ці два протоколи, безумовно, є найважливішими.

Як і у всякій іншій мережі в Internet існує 7 рівнів взаємодії між комп'ютерами: фізичний, логічний, мережний, транспортний, рівень сеансів зв'язку, представницький і прикладний рівень. Відповідно кожному рівню взаємодії відповідає набір протоколів (тобто правил взаємодії).

Протоколи фізичного рівня визначають вид і характеристики ліній зв'язку між комп'ютерами. У Internet використовуються практично усі відомі в даний час способи зв'язку від простого проводу (кручена пари) до волоконно-оптичних ліній зв'язку (ВОЛЗ).

Для кожного типу ліній зв'язку розроблений відповідний протокол логічного рівня, що займається керуванням передачею інформації з каналу. До протоколів логічного рівня для телефонних ліній відносяться протоколи SLIP (Serial Line Interface Protocol) і PPP (Point to Point Protocol). Для зв'язку по кабелю локальної мережі - це пакетні драйвери плат ЛВС.

Протоколи мережевого рівня відповідають за передачу даних між пристроями в різних мережах, тобто займаються маршрутизацією пакетів у мережі. До протоколів мережного рівня належать IP (Internet Protocol) і ARP (Address Resolution Protocol).

Протоколи транспортного рівня управляють передачею даних з однієї програми в іншу. До протоколів транспортного рівня належать TCP (Transmission Control Protocol) і UDP (User Datagram Protocol).

Протоколи рівня сеансів зв'язку відповідають за установку, підтримку і знищення відповідних каналів. У Internet цим займаються вже згадані TCP і UDP протоколи, а також протокол UUCP (Unix to Unix Copy Protocol).

Протоколи представницького рівня займаються обслуговуванням прикладних програм. До програм представницького рівня належать програми, що запускаються, приміром, на Unix-сервері, для надання різних послуг абонентам. До таких програм відносяться: telnet-сервер, FTP-сервер, Gopher-сервер, NFS-сервер, NNTP (Net News Transfer Protocol), SMTP (Simple Mail Transfer Protocol), POP2 і POP3 (Post Office Protocol) і т.д.

До протоколів прикладного рівня відносяться мережні послуги і програми їхнього надання.

1.2 Послуги надані мережею

Всі послуги надані мережею Internet можна умовно поділити на дві категорії: обмін інформацією між абонентами мережі і використання баз даних мережі.

До числа послуг зв'язку між абонентами належать.

Telnet - віддалений доступ. Дає можливість абоненту працювати на будь-який ЕОМ мережі Internet як на своїй власній. Тобто запускати програми, змінювати режим роботи і т.д.

FTP (File Transfer Protocol) - протокол передачі файлів. Дає можливість абоненту обмінюватися двійковими і текстовими файлами з будь-яким комп'ютером мережі. Встановивши зв'язок з віддаленим комп'ютером, користувач може скопіювати файл із віддаленого комп'ютера на свій або скопіювати файл зі свого комп'ютера на віддалений.

NFS (Network File System) - розподілена файлова система. Дає можливість абоненту користуватися файловою системою віддаленого комп'ютера, як своєю власною.

Електронна пошта - обмін поштовими повідомленнями з будь-яким абонентом мережі Internet. Існує можливість відправлення як текстових, так і двійкових файлів. На розмір поштового повідомлення в мережі Internet накладається таке обмеження - розмір поштового повідомлення не повинен перевищувати 64 кілобайт.

Новини - одержання мережних новин і електронних дощок оголошень мережі і можливість приміщення інформації на дошки оголошень мережі. Електронні дошки оголошень мережі Internet формуються по тематиці. Користувач може за своїм вибором підписатися на будь-які групи новин.

Rsh (Remote Shell) - віддалений доступ. Аналог Telnet, але працює тільки в тому випадку, якщо на віддаленому комп'ютері стоїть ОС UNIX.

Rexec (Remote Execution) - виконання однієї команди на віддаленій UNIX-машині.

Lpr - мережна печатку. Відправлення файла на друк на віддаленому (мережному) принтері.

Lpq - мережевий друк. Показує файли які у черзі на друк на мережному принтері.

Ping - перевірка доступності віддаленої ЕОМ по мережі.

Talk - дає можливість відкриття "розмови" з користувачем віддаленої ЕОМ. При цьому на екрані одночасно видно запроваджуваний і відповідь віддаленого користувача.

Iptunnel - дає можливість доступу до сервера ЛВС NetWare з який немає безпосереднього зв'язку по ЛВС, а є лише зв'язок по мережі Internet.

Whois - адресна книга мережі Internet. За запитом абонент може одержати інформацію про приналежність віддаленого комп'ютера, про користувачів.

Finger - одержання інформації про користувачів віддаленого комп'ютера.

Крім перерахованих вище послуг, мережа Internet надає також такі специфічні послуги.

Webster - мережна версія тлумачного словника англійської мови.

Факс-сервіс - дає можливість користувачу відправляти повідомлення по факсимільному зв'язку, користаючись факсом-сервером мережі.

Електронний перекладач - робить переклад присланого на нього тексту з однієї мови на іншу. Звернення до електронних перекладачів відбувається за допомогою електронної пошти.

Шлюзи - дають можливість абоненту відправляти повідомлення в мережі, що не працюють із протоколами TCPIP (FidoNet, Goldnet, AT50).

До систем автоматизованого пошуку інформації в мережі Internet належать наступні системи.

Gopher - найбільше широко поширений засіб пошуку інформації в мережі Internet, що дозволяє знаходити інформацію по ключовим словам і фразам. Робота із системою Gopher нагадує перегляд змісту, при цьому користувачеві пропонується пройти крізь ряд вкладених меню і вибрати потрібну тему. У Internet у даний час понад 2000 Gopher-систем, частина з яких є вузькоспеціалізованими, а частина містить більш різнобічну інформацію.

Gopher дозволяє одержати інформацію без вказівки імен і адрес авторів, завдяки чому користувач не витрачає багато часу і нервів. Він просто повідомить системі Gopher, що саме йому потрібно, і система знаходить відповідні дані. Gopher-серверів понад двох тисячі, тому з їх допомогою не завжди просто знайти необхідну інформацію. У випадку виниклих утруднень можна скористатися службою VERONICA. VERONICA здійснює пошук більш ніж у 500 системах Gopher, звільняючи користувача від необхідності переглядати їх вручну.

WAIS - ще більш потужний засіб одержання інформації, чим Gopher, оскільки воно здійснює пошук ключових слів у всіх текстах документів. Запити посилаються в WAIS на спрощеній англійській мові. Це значно легше, ніж формулювати їх на мові алгебри логіки, і це робить WAIS більш привабливою для користувачів-непрофесіоналів.

При роботі з WAIS користувачам не потрібно витрачати багато часу, щоб знайти необхідні їм матеріали.

У мережі Internet існує більш 200 WAIS - бібліотек. Але оскільки інформація представляється переважно співробітниками академічних організацій на добровільних початках, велика частина матеріалів відноситься до області досліджень і комп'ютерних наук.

WWW - система для роботи з гіпертекстом. Потенційно вона є найбільш потужним засобом пошуку. Гіпертекст з'єднує різні документи на основі заздалегідь заданого набору слів. Наприклад, коли в тексті зустрічається нове слово або поняття, система, що працює з гіпертекстом, дає можливість перейти до іншого документу, у якому це слово або поняття розглядається більш докладно.

WWW часто використовується в якості інтерфейсу до баз даних WAIS, але відсутність гіпертекстових зв'язків обмежує можливості WWW до простого перегляду.

Користувач зі своєї сторони може задіяти можливість WWW працювати з гіпертекстом для зв'язку між своїми даними і даними WAIS і WWW таким чином, щоб власні записи користувача як би інтегрувалися в інформацію для загального доступу. Насправді цього, звичайно, не відбувається, але сприймається саме так.

WWW - це відносно нова система. Встановлено декілька демонстраційних серверів, у тому числі Vatican Exibit в бібліотеці Конгресу США і мультфільм про погоду "Витки супутника" у Мічиганському державному університеті. У якості демонстраційних також працюють сервери into.funet.fi (Фінляндія); into.cern.ch. (Швейцарія) і eies2.njit.edu (США).

Практично всі послуги мережі побудовані на принципі клієнт-сервер. Сервером у мережі Internet називається комп'ютер спроможний надавати клієнтам (у міру приходу від них запитів) деякі мережні послуги. Взаємодія клієнт-сервер будується звичайно в такий спосіб. По приходу запитів від клієнтів сервер запускає різноманітні програми надання мережних послуг. У міру виконання запущених програм сервер відповідає на запити клієнтів.

Все програмне забезпечення мережі також можна поділити на клієнтське і серверне. При цьому програмне забезпечення серверу займається наданням мережних послуг, а клієнтське програмне забезпечення забезпечує передачу запитів серверу й одержання відповідей від нього.

1.3 Гіпертекстова технологія WWW, URL, HTML

World Wide Web переводиться на російську мову як "Всесвітня Павутина". І, по суті, це дійсно так. WWW є одним із самих зроблених інструментів для роботи в глобальній світовій мережі Internet. Ця служба з'явилася порівняно недавно й усе ще продовжує бурхливо розвиватися.

Найбільша кількість розробок мають відношення до батьківщини WWW - CERN, European Particle Physics Laboratory; але було б помилкою вважати, що Web є інструментом, розробленим фізиками і для фізиків. Плідність і привабливість ідей, покладених в основу проекту, перетворили WWW у систему світового масштабу, що надає інформацію навряд чи не у всіх областях людської діяльності й охоплюючи приблизно 30 млн. користувачів у 83 країнах світу.

Головна відмінність WWW від інших інструментів для роботи з Internet полягає в тому, що WWW дозволяє працювати практично з усіма доступними зараз на комп'ютері видами документів: це можуть бути текстові файли, ілюстрації, звукові і відео ролики, і т.д.

Що таке WWW? Це спроба організувати всю інформацію в Internet, плюс будь-яку локальну інформацію з вашого вибору, як набір гіпертекстових документів. Рухаєтеся по мережі, переходячи від одного документа до іншого по посиланнях. Всі ці документи написані на спеціально розробленому для цього мові, що називається HyperText Markup Language (HTML). Він чимось нагадує мову, що використовується для написання текстових документів, тільки HTML простіше. Причому, можна використовувати не тільки інформацію, надану Internet, але і створювати власні документи. В останньому випадку існує ряд практичних рекомендацій до їх написання.

Уся користь гіпертексту складається в створенні гіпертекстових документів, якщо вас зацікавив який або пункт у такому документі, то вам досить тикнути туди курсором для одержання потрібної інформації. Також в одному документі можливо робити посилання на іншими, написаними іншими чи авторами навіть розташовані на іншому сервері. У той час як вам це представляється як одне ціле.

Гіпермедіа це надмножество гіпертексту. У гіпермедіа виробляються операції не тільки над текстом але і над звуком, зображеннями, анімацією.

Існують WWW-сервери для Unix, Macintosh, MS Windows і VMS, більшість з них поширюються вільно. Встановивши WWW-сервер, ви можете вирішити два завдання:

1. Надати інформацію зовнішнім споживачам - зведення про вашу фірму, каталоги продуктів і послуг, технічну чи наукову інформацію.

2. Надати своїм співробітникам зручний доступ до внутрішніх інформаційних ресурсів організації. Це можуть бути останні розпорядження керівництва, внутрішній телефонний довідник, відповіді на типові питання для користувачів прикладних систем, технічна документація і все, що підкаже фантазія адміністратора і користувачів. Інформація, яку ви хочете надати користувачам WWW, оформляється у вигляді файлів на мові HTML. HTML - проста мова розмітки, що дозволяє позначати фрагменти тексту і задавати посилання на інші документи, виділяти заголовки декількох рівнів, розбивати текст на абзаци, центрувати їх і т. п., перетворюючи простий текст в відформатований гіпермедійний документ. Досить легко створити html-файл вручну, однак, маються спеціалізовані редактори і перетворювачі файлів з інших форматів.

Для перегляду документів використовуються спеціальні просмоторщік, такі як Mosaic, Netscape, Internet Explorer, lynx, www і інші. Mosaic і Netscape зручно використовувати на графічних терміналах. Для роботи на символьних терміналах можна порекомендувати lynx.

Архітектура WWW-технології

Від опису основних компонентів перейдемо до архітектури взаємодії програмного забезпечення в системі World Wide Web. WWW побудована за добре відомою схемою "клієнт-сервер". На схемі 1.2 показано, як розділені функції в цій схемі. Програма-клієнт виконує функції інтерфейсу користувача і забезпечує доступ практично до всіх інформаційних ресурсів Internet. У цьому змісті вона виходить за звичайні рамки роботи клієнта тільки із сервером визначеного протоколу, як це відбувається в telnet, наприклад. Почасти, досить широко поширена думка, що Mosaic чи Netscape, що є WWW-клієнтами, це просто графічний інтерфейс в Internet, є почасти вірним. Однак, як уже було відзначено, базові компоненти WWW-технології (HTML і URL) грають при доступі до інших ресурсів Mosaic не останню роль, і тому мультипротокольні клієнти повинні бути віднесені саме до World Wide Web, а не до інших інформаційних технологій Internet. Фактично, клієнт-це інтерпретатор HTML. І як типовий інтерпретатор, клієнт у залежності від команд (розмітки) виконує різні функції.

Схема 1.2

Захист інформації в Інтернеті

Схема 1.2 Структура "клієнт - сервер".

До кола цих функцій входить не тільки розміщення тексту на екрані, але обмін інформацією із сервером у міру аналізу отриманого HTML-тексту, що найбільше наочно відбувається при відображенні убудованих у текст графічних образів. При аналізі чи URL-специфікації по командах сервера клієнт запускає додаткові зовнішні програми для роботи з документами у форматах, відмінних від HTML, наприклад GIF, JPEG, MPEG, Postscript і т.п. Узагалі говорячи для запуску клієнтом програм незалежно від типу документа була розроблена програма Luncher, але останнім часом набагато більше поширення одержав механізм узгодження програм, що запускаються, через MIME-типи. Іншу частину програмного комплексу WWW складає сервер протоколу HTTP, бази даних документів у форматі HTML, керовані сервером, і програмне забезпечення, розроблене в стандарті специфікації CGI. До самого останнього часу (до утворення Netscape) реально використовувалося два HTTP-сервери: сервер CERN і сервер NCSA. Але в даний час число базових серверів розширилося. З'явився дуже непоганий сервер для MS-Windows і Apachie-сервер для Unix-платформ. Існують і інші, але два останніх можна виділити з розумінь приступності використання. Сервер для Windows - це shareware, але без вбудованого самоліквідатора, як у Netscape. Враховуючи поширеність персоналок у нашій країні, таке програмне забезпечення дає можливість спробувати, що таке WWW. Другий сервер - це відповідь на погрозу комерціалізації. Netscape уже не поширює свій сервер Netsite вільно і пройшов слух, що NCSA-сервер також буде поширюватися на комерційній основі. У результаті був розроблений Apachie, який за словами його авторів буде freeware, і реалізує нові доповнення до протоколу HTTP, зв'язані з захистом від несанкціонованого доступу, що запропоновані групою по розробці цього протоколу і реалізуються практично у всіх комерційних серверах.

База даних HTML-документов-це частина файлової системи, що містить текстові файли у форматі HTML і з ними графіку й інші ресурси. Особливу увагу хотілося б звернути на документи, що містять елементи екранних форм. Ці документи реально забезпечують доступ до зовнішнього програмного забезпечення.

Прикладне програмне забезпечення, що працює із сервером, можна розділити на програми-шлюзи та інші. Шлюзи-це програми, що забезпечують взаємодію сервера із серверами інших протоколів, наприклад ftp, чи з розподіленими на мережі серверами Oracle. Інші програм-це програми, що приймають дані від сервера і виконують які-небудь дії: одержання поточної дати, реалізацію графічних посилань, доступ до локальних баз даних чи просто розрахунки.

Завершуючи обговорення архітектури World Wide Web хотілося б ще раз підкреслити, що її компоненти існують практично для всіх типів комп'ютерних платформ і вільно доступні в мережі. Будь-який, хто має доступ у Internet, може створити свій WWW-сервер, чи, принаймні, подивитися інформацію з інших серверів.

Основні компоненти технології World Wide Web

До 1989 року гіпертекст представляв нову, багатообіцяючу технологію, яка мала відносно велике число реалізацій з одного боку, а з іншого боку робилися спроби побудувати формальні моделі гіпертекстових систем, які носили скоріше описовий характер і були навіяні успіхом реляційного підходу опису даних. Ідея Т. Бернерс-Лі полягала в тому, щоб застосувати гіпертекстову модель до інформаційних ресурсів, розподіленим у мережі, і зробити це максимально простим способом. Він заклав три наріжних камені системи з чотирьох існуючих нині, розробивши:

мова гіпертекстової розмітки документів HTML (HyperText Markup Lan-guage);

• універсальний спосіб адресації ресурсів у мережі URL (Universal Resource Locator);

• протокол обміну гіпертекстової інформацією HTTP (HyperText Transfer Protocol).

Пізніше команда NCSA додала до цих трьох компонентів четвертий:

• універсальний інтерфейс шлюзів CGI (Common Gateway Interface).

Ідея HTML-приклад надзвичайно вдалого рішення проблеми побудови гіпертекстової системи за допомогою спеціального засобу керування відображенням. На розробку мови гіпертекстової розмітки істотний вплив зробили два фактори: дослідження в області інтерфейсів гіпертекстових систем і бажання забезпечити простий і швидкий спосіб створення гіпертекстової бази даних, розподіленої на мережі.

У 1989 році активно обговорювалася проблема інтерфейсу гіпертекстових систем, тобто способів відображення гіпертекстової інформації і навігації в гіпертекстовій мережі. Значення гіпертекстової технології порівнювали зі значенням друкарства. Стверджувалося, що аркуш паперу і комп'ютерні засоби відображення / відтворення серйозно відрізняються один від одного, і тому форма представлення інформації теж повинна відрізнятися. Найбільш ефективною формою організації гіпертексту були визнані контекстні гіпертекстові посилання, а крім того було визнано розподіл на посилання, асоційовані з усім документом у цілому і окремими його частинами.

Найпростішим способом створення будь-якого документа є його набивання в текстовому редакторі. Досвід створення добре розмічених для наступного відображення документів у CERN_е був - важко знайти фізика, який не користувався б системою TeX або LaTeX. Крім того на той час існував стандарт мови розмітки-Standard Generalised Markup Language (SGML).

Слід також взяти до уваги, що згідно своїх пропозицій Бернерс-Лі припускав об'єднати в єдину систему наявні інформаційні ресурси CERN, і першими демонстраційними системами повинні були стати системи для NeXT і VAX / VMS.

Зазвичай гіпертекстові системи мають спеціальні програмні засоби побудови гіпертекстових зв'язків. Самі гіпертекстові посилання зберігаються в спеціальних форматах або навіть складають спеціальні файли. Такий підхід гарний для локальної системи, але не для розподіленої на безлічі різних комп'ютерних платформ. У HTML гіпертекстові посилання убудовані в тіло документа і зберігаються як його частину. Часто в системах застосовують спеціальні формати збереження даних для підвищення ефективності доступу. У WWW документи-це звичайні ASCII-файли, які можна підготувати в будь-якому текстовому редакторі. Таким чином, проблема створення гіпертекстової бази даних була вирішена надзвичайно просто.

У якості бази для розробки мови гіпертекстової розмітки був обраний SGML (Standard Generalised Markup Language). Слідуючи академічним традиціям, Бернерс-Лі описав HTML у термінах SGML (як описують мова програмування в термінах форми Бекуса-Наура). Природно, що в HTML були реалізовані всі розмітки, пов'язані з виділенням параграфів, шрифтів, стилів і т. п., тому що реалізація для NeXT мала на увазі графічний інтерфейс. Важливим компонентом мови став опис убудованих і асоційованих гіпертекстових посилань, убудованої графіки і забезпечення можливості пошуку за ключовими словами.

З моменту розробки першої версії мови (HTML 1.0) пройшло вже п'ять років. За цей час відбулося досить серйозний розвиток мови. Майже вдвічі збільшилося число елементів розмітки, оформлення документів усе більше наближається до оформлення якісних друкованих видань, розвиваються засоби опису не текстових інформаційних ресурсів і способи взаємодії з прикладним програмним забезпеченням. Удосконалюється механізм розробки типових стилів. Фактично, в даний час HTML розвивається убік створення стандартної мови розробки інтерфейсів як локальних, так і розподілених систем.

Другим наріжним каменем WWW стала універсальна форма адресації інформаційних ресурсів. Universal Resource Identification (URI) являє собою досить струнку систему, що враховує досвід адресації й ідентифікації e-mail, Gopher, WAIS, telnet, ftp і т. п. Але реально з усього, що описано в URI, для організації баз даних у WWW потрібно тільки Universal Resource Locator (URL). Без наявності цієї специфікації вся міць HTML виявилася б марною. URL використовується в гіпертекстових посиланнях і забезпечує доступ до розподілених ресурсів мережі. У URL можна адресувати як інші гіпертекстові документи формату HTML, так і ресурси e-mail, telnet, ftp, Gopher, WAIS, наприклад. Різні інтерфейсні програми по різному здійснюють доступ до цих ресурсів. Одні, як наприклад Netscape, самі здатні підтримувати взаємодія по протоколах, відмінним від протоколу HTTP, базового для WWW, інші, як наприклад Chimera, викликають для цієї мети зовнішні програми. Проте, навіть у першому випадку, базовою формою представлення відображуваної інформації є HTML, а посилання на інші ресурси мають форму URL. Слід зазначити, що програми обробки електронної пошти у форматі MIME також мають можливість відображати документи, представлені у форматі HTML. Для цієї мети в MIME зарезервований тип "text / html".

Третім у нашому списку коштує протокол обміну даними в World Wide Web-HyperText Transfer Protocol. Даний протокол призначений для обміну

гіпертекстовими документами і враховує специфіку такого обміну. Так у

процесі взаємодії, клієнт може отримати нову адресу ресурсу на мережі

(Relocation), запросити вбудовану графіку, прийняти і передати параметри і

т. п. Управління в HTTP реалізовано у виді ASCII-команд. Реально

розробник гіпертекстової бази даних зіштовхується з елементами протоколу

тільки при використанні зовнішніх розрахункових програм або при доступі до

зовнішнім щодо WWW інформаційних ресурсів, наприклад баз даних.

Остання складова технології WWW - це вже плід роботи групи NCSA - специфікація Common Gateway Interface. CGI була спеціально розроблена для розширення можливостей WWW за рахунок підключення всілякого зовнішнього програмного забезпечення. Такий підхід логічно продовжував принцип публічності і простоти розробки і нарощування можливостей WWW. Якщо команда CERN запропонувала простий і швидкий спосіб розробки баз даних, то NCSA розвила цей принцип на розробку програмних засобів. Треба зауважити, що в загальнодоступній бібліотеці CERN були модулі, що дозволяють програмістам підключати свої програми до сервера HTTP, але це вимагало використання цієї бібліотеки. Запропонований і описаний у CGI спосіб підключення не вимагав додаткових бібліотек і буквально приголомшував своєю простотою. Сервер взаємодіяв із програмами через стандартні потоки введення / виводу, що спрощує програмування до межі. При реалізації CGI надзвичайно важливе місце зайняли методи доступу, описані в HTTP. І хоча реально використовуються тільки два з них (GET і POST), досвід розвитку HTML показує, що співтовариство WWW чекає розвитку і CGI в міру ускладнення задач, у яких буде використовуватися WWW-технологія.

РОЗДІЛ 2

Захист інформації в глобальній мережі Internet

2.1 Проблеми захисту інформації

 

Internet і інформаційна безпека несумісні по самій природі Internet. Вона народилася як чисто корпоративна мережа, однак, у даний час за допомогою єдиного стека протоколів TCP / IP і єдиного адресного простору поєднує не тільки корпоративні і відомчі мережі (освітні, державні, комерційні, військові і т.д.), є, по визначенню , мережами з обмеженим доступом, але і рядових користувачів, які мають можливість одержати прямий доступ у Internet зі своїх домашніх комп'ютерів за допомогою модемів і телефонної мережі загального користування.

Як відомо, чим простіше доступ у Мережу, тим гірше її інформаційна безпека, тому з повною підставою можна сказати, що споконвічна простота доступу в Internet - гірше злодійства, тому що користувач може навіть і не довідатися, що в нього були скопійовані - файли і програми , не кажучи вже про можливість їхнього псування і коректування.

Що ж визначає бурхливий ріст Internet, що характеризується щорічним подвоєнням числа користувачів? Відповідь проста - "халява", тобто дешевина програмного забезпечення (TCP / IP), яке в даний час включена в Windows 95, легкість і дешевина доступу в Internet (або за допомогою IP-адреси, або за допомогою провайдера) і до усіх світових інформаційних ресурсів.

Платою за користування Internet є загальне зниження інформаційної безпеки, тому для запобігання несанкціонованого доступу до своїх комп'ютерів усі корпоративні і відомчі мережі, а також підприємства, що використовують технологію intranet, ставлять фільтри (fire-wall) між внутрішньою мережею і Internet, що фактично означає вихід з єдиного адресного простору. Ще велику безпеку дасть відхід від протоколу TCP / IP і доступ у Internet через шлюзи.

Цей перехід можна здійснювати одночасно з процесом побудови всесвітньої інформаційної мережі загального користування, на базі використання мережних комп'ютерів, що за допомогою мережної карти 10Base-T і кабельного модему забезпечують високошвидкісний доступ (10 Мбіт / с) до локального Web-сервера через мережу кабельного телебачення.

Для вирішення цих та інших питань при переході до нової архітектури

Internet потрібно передбачити наступне:

По-перше, ліквідувати фізичний зв'язок між майбутньої Internet (який перетвориться у Всесвітню інформаційну мережу загального користування) і корпоративними і відомчими мережами, зберігши між ними лише інформаційний зв'язок через систему World Wide Web.

По-друге, замінити маршрутизатори на комутатори, виключивши обробку у вузлах IP-протоколу і замінивши його на режим трансляції кадрів Ethernet, при якому процес комутації зводиться до простої операції порівняння MAC-адрес.

По-третє, перейти в новий єдиний адресний простір на базі фізичних адрес доступу до середовища передачі (MAC-рівень), прив'язане до географічного розташування мережі, і дозволяє в рамках 48-біт створити адреси для більш ніж 64 трильйонів незалежних вузлів.

Безпека даних є однією з головних проблем у Internet. З'являються все нові і нові страшні історії про те, як комп'ютерні зломщики, що використовують усе більш витончені прийоми, проникають у чужі бази даних. Зрозуміло, все це не сприяє популярності Internet у ділових колах. Одна тільки думка про те, що які-небудь чи хулігани, що ще гірше, конкуренти, зможуть отримати доступ до архівів комерційних даних, змушує керівництво корпорацій відмовлятися від використання відкритих інформаційних систем. Фахівці стверджують, що подібні побоювання безпідставні, тому що в компаній, що мають доступ і до відкритих, і часткою мережам, практично рівні шанси стати жертвами комп'ютерного терору.

Кожна організація, що має справу з якими б то не було цінностями, рано чи пізно зіштовхується з зазіханням на них. Завбачливі починають планувати захист заздалегідь, після першого великого "проколу". Так чи інакше, постає питання про те, що, як і від кого захищати.

Зазвичай, перша реакція на погрозу-прагнення сховати цінності в недоступне місце і приставити до них охорону. Це відносно нескладно, якщо мова йде про такі цінності, що вам довго не знадобляться: забрали і забули. Куди складніше, якщо вам необхідно постійно працювати з ними. Кожне звертання в сховище за вашими цінностями зажадає виконання особливої ​​процедури, відніме час і створить додаткові незручності. Така дилема безпеки: приходиться робити вибір між захищеністю вашого майна і його приступністю для вас, а виходить, і можливістю корисного використання.

Все це справедливо і щодо інформації. Наприклад, база даних, що містить конфіденційні зведення, лише тоді цілком захищена від зазіхань, коли вона знаходиться на дисках, знятих з комп'ютера і прибраних в охоронюване місце. Як тільки ви установили ці диски в комп'ютер і почали використовувати, з'являється відразу кілька каналів, по яких зловмисник, у принципі, має можливість одержати до ваших таємниць доступ без вашого відома. Іншими словами, ваша інформація або недоступна для всіх, включаючи і вас, або не захищена на сто відсотків.

Може здатися, що з цієї ситуації немає виходу, але інформаційна безпека те саме що безпеки мореплавання: і те, і інше можливо лише з урахуванням деякої допустимої ступеня ризику.

В області інформації дилема безпеки формулюється наступним чином: необхідно вибирати між захищеністю системи і її відкритістю. Правильніше, втім, говорити не про вибір, а про баланс, тому що система, яка не володіє властивістю відкритості, не може бути використана.

У банківській сфері проблема безпеки інформації ускладнюється двома факторами: по-перше, майже всі цінності, з якими має справу банк (крім готівки і ще дечого), існують лише у вигляді тієї чи іншої інформації. По-друге, банк не може існувати без зв'язків із зовнішнім світом: без клієнтів, кореспондентів і т. п. При цьому по зовнішніх зв'язках обов'язково передається та сама інформація, що виражає собою цінності, з якими працює банк (або відомості про ці цінності і їх русі, які іноді коштують дорожче самих цінностей). Ззовні приходять документи, за якими банк переводить гроші з одного рахунку на інший. Зовні банк передає розпорядження про рух коштів по кореспондентських рахунках, так що відкритість банку задана a priori.

Варто відзначити, що ці міркування справедливі по відношенню не тільки до автоматизованих систем, але і до систем, побудованим на традиційному паперовому документообігу і не використовує інших зв'язків, крім кур'єрської пошти. Автоматизація додала головного болю службам безпеки, а нові тенденції розвитку сфери банківських послуг, цілком засновані на інформаційних технологіях, збільшують проблему.

2.1.1 Інформаційна безпека й інформаційні технології

На ранньому етапі автоматизації впровадження банківських систем (і взагалі засобів автоматизації банківської діяльності) не підвищувало відкритість банку. Спілкування з зовнішнім світом, як і колись, йшло через операціоністів і кур'єрів, тому додаткова погроза безпеки інформації виникала лише від можливих зловживань з боку працювали в самому банку, по інформаційних технологіях.

Положення змінилося після того, як на ринку фінансових послуг стали з'являтися продукти, саме виникнення яких було немислимо без інформаційних технологій. У першу чергу ц-пластикові картки. Поки обслуговування по картках йшло в режимі голосової авторизації, відкритість інформаційної системи банка підвищувалася незначно, але потім з'явилися банкомати, POS-термінали, інші пристрої самообслуговування-то є засоби, що належать до інформаційної системи банку, але розташовані поза нею і доступні стороннім для банку обличчям .

Відкритість системи, зажадала спеціальних мір для контролю і регулювання обміну інформацією: додаткових засобів ідентифікації і аутентифікації осіб, які запитують доступ до системи (PIN-код, інформація про клієнта на магнітній смузі в пам'яті мікросхеми картки, шифрування даних, контрольні числа й інші засоби захисту карток), засобів криптозахисту інформації в каналах зв'язку і т. д.

Ще більше зрушення балансу "захищеність-відкритість" убік останньої зв'язане з телекомунікаціями. Системи електронних розрахунків між банками захистити відносно нескладно, тому що суб'єктами електронного обміну інформацією виступають самі банки. Тим не менше, там, де захисту не приділялася необхідна увага, результати були цілком передбачувані. Найбільш кричущий до жалю, наша країна. Використання вкрай примітивних засобів захисту телекомунікацій в 1992 р. привело до величезних утрат на фальшивих авізо.

Загальна тенденція розвитку телекомунікацій і масового поширення обчислювальної техніки привела зрештою до того, що на ринку банківських послуг в усьому світі з'явилися нові, чисто телекомунікаційні продукти, і в першу чергу системи Home Banking (вітчизняний аналог-"клієнт-банк"). Це зажадало забезпечити клієнтам цілодобовий доступ до автоматизованої банківської системи для проведення операцій, причому повноваження на здійснення банківських транзакції одержав безпосередньо клієнт. Ступінь відкритості інформаційної системи банку зросла майже до межі. Відповідно, вимагаються особливі, спеціальні заходи для того, щоб настільки ж значно не упала її захищеність.

Нарешті, гримнула епоха "інформаційної супермагістралі": вибухоподібний розвиток мережі Internet і зв'язаних з нею послуг. Разом з новими можливостями ця мережа принесла і нові небезпеки. Здавалося б, яка різниця, яким образом клієнт зв'язується з банком: по лінії, що комутується, прихожої на модемний пул банківського вузла зв'язку, чи по IP-протоколі через Internet? Однак у першому випадку максимально можлива кількість підключень обмежується технічними характеристиками модемного пула, у другому же-можливостями Internet, що можуть бути істотно вище. Крім того, мережна адреса банку, у принципі, загальнодоступний, тоді як телефонні номери модемного пула можуть повідомлятися лише зацікавленим особам. Відповідно, відкритість банку, чия інформаційна система зв'язана з Internet, значно вище, ніж у першому випадку. Так тільки за п'ять місяців 1995 р. комп'ютерну мережу Citicorp зламували 40 разів! (Це свідчить, утім, не стільки про якийсь "небезпеки" Internet взагалі, скільки про недостатньо кваліфіковану роботу адміністраторів безпеки Citicorp.)

Все це викликає необхідність перегляду підходів до забезпечення інформаційної безпеки банку. Підключаючись до Internet, варто заново провести аналіз ризику і скласти план захисту інформаційної системи, а також конкретний план ліквідації наслідків, що виникають у випадку тих чи інших порушень конфіденційності, збереження і доступності інформації.

На перший погляд, для нашої країни проблема інформаційної безпеки банку не настільки гостра: до Internet чи нам, якщо в більшості банків коштують системи другого покоління, що працюють у технології "файл-сервер". На жаль, і в нас уже зареєстровані "комп'ютерні крадіжки". Положення ускладнюється двома проблемами. Перш за все, як показує досвід спілкування з представниками банківських служб безпеки, і в керівництві, і серед персоналу цих служб переважають колишні оперативні співробітники органів внутрішніх справ або держбезпеки. Вони мають високу кваліфікацію у своїй галузі, але в більшості своїй не дуже ознайомлені з інформаційними технологіями. Фахівців з інформаційної безпеки в нашій країні взагалі вкрай мало, тому що масової ця професія стає тільки зараз.

Друга проблема пов'язана з тим, що в дуже багатьох банках безпека автоматизованої банківської системи не аналізується і не забезпечується всерйоз. Дуже мало де мається той необхідний набір організаційних документів (аналіз ризику, план захисту і план ліквідації наслідків), про який говорилося вище. Більш того, безпека інформації суцільно і поруч просто не може бути забезпечена в рамках наявної в банку автоматизованої системи і прийнятих правил роботи з нею.

Не так давно мені довелося читати лекцію про основи інформаційної безпеки на одному із семінарів для керівників керувань автоматизації комерційних банків. На питання: "Чи знаєте ви, скільки чоловік мають право входити в приміщення, де знаходиться сервер бази даних Вашого банку?", Ствердно відповіло не більш 40% присутніх. Поіменно назвати тих, хто має таке право, змогли лише 20%. В інших банках доступ у це приміщення не обмежений і ніяк не контролюється. Що говорити про доступ до робочих станцій!

Що стосується автоматизованих банківських систем, те найбільш розповсюджені системи другого-третього поколінь складаються з набору автономних програмних модулів, що запускаються з командного рядка DOS на робочих станціях. Оператор має можливість у будь-який момент вийти в DOS з такого програмного модуля. Передбачається, що це необхідно для переходу в інший програмний модуль, але фактично в такій системі не існує ніяких способів не тільки виключити запуск оператором будь-яких інших програм (від необразливої ​​гри до програми, що модифікує дані банківських рахунків), але і проконтролювати дії оператора. Варто зауважити, що в ряді систем цих поколінь, у тому числі розроблених дуже шановними вітчизняними фірмами і продаваних сотнями, файли рахунків не шифруються, тобто з даними в них можна ознайомитися найпростішими загальнодоступними засобами. Багато розроблювачів обмежують засоби адміністрування безпеки штатними засобами мережної операційної системи: ввійшов у мережу - роби, що хочеш.

Положення міняється, але занадто повільно. Навіть у багатьох нових розробках питанням безпеки приділяється явно недостатня увага. На виставці "Банк і Офіс - 95" була представлена ​​автоматизована банківська система з архітектурою клієнт-сервер, причому робочі станції функціонують під Windows. У цій системі дуже своєрідно вирішений вхід оператора в програму: у діалоговому вікні запитується пароль, а потім пред'являється на вибір список прізвищ всіх операторів, що мають право працювати з даним модулем! Таких прикладів можна навести ще багато.

Тим не менше, наші банки приділяють інформаційним технологіям багато уваги, і досить швидко засвоюють нове. Мережа Internet і фінансові продукти, пов'язані з нею, ввійдуть у життя банків Росії швидше, ніж це припускають скептики, тому вже зараз необхідно затурбуватися питаннями інформаційної безпеки на іншому, більш професійному рівні, ніж це робилося досі.

Деякі рекомендації:

1. Необхідний комплексний підхід до інформаційної безпеки.

Інформаційна безпека повинна розглядатися як складова частина загальної безпеки банку-причому як важлива і невід'ємна її частина. Розробка концепції інформаційної безпеки повинна обов'язково проходити при участі керування безпеки банку. У цій концепції варто передбачати не тільки заходи, пов'язані з інформаційними технологіями (криптозахист, програмні засоби адміністрування прав користувачів, їхньої ідентифікації і аутентифікації, "брандмауери" для захисту входів-виходів мережі і т. п.), але і міри адміністративного і технічного характеру , включаючи жорсткі процедури контролю фізичного доступу до автоматизованої банківської системи, а також засобу синхронізації й обміну даними між модулем адміністрування безпеки банківської системи і системою охорони.

2. Необхідна участь співробітників управління безпеки на етапі вибору-придбання-розробки автоматизованої банківської системи. Це участь не повинна зводитися до перевірки фірми-постачальника. Управління безпеки повинне контролювати наявність належних засобів розмежування доступу до інформації в купується системі.

На жаль, нині діючі системи сертифікації в області банківських систем скоріше вводять в оману, чим допомагають вибрати засобу захисту інформації. Сертифікувати використання таких засобів має право ФАПСИ, однак правом своїм цей орган користується дуже своєрідно. Так, один високопоставлений співробітник ЦБ РФ (попросив не називати його імені) розповів, що ЦБ витратив досить багато часу і грошей на одержання сертифіката на один із засобів криптозахисту інформації (до речі, розроблене однієї з організацій, що входять в ФАПСИ). Майже відразу ж після отримання сертифіката він був відкликаний: ЦБ було запропоновано знову пройти сертифікацію вже з новим засобом криптозахисту-розробленим тією самою організацією з ФАПСИ.

Виникає питання, а що ж насправді підтверджує сертифікат? Якщо, як припускає наївний користувач, він підтверджує придатність засобу криптозахисту виконанню цієї функції, то скасування сертифіката говорить про те, що при первісному сертифікування ФАПСИ щось втратило, а потім виявило дефект. Отже, даний продукт не забезпечує криптозахисту і не забезпечував її із самого початку.

Якщо ж, як припускають користувачі більш спокушені, ФАПСИ відкликало сертифікат не через огріхів у першому продукті, то значення сертифікації цим агентством чого б то не було зводиться до нуля. Дійсно, раз "деякі" комерційні міркування переважають над об'єктивною оцінкою продукту, то хто може гарантувати, що в перший раз сертифікат був виданий завдяки високій якості продукту, а не за тими ж "якимось" міркувань?

Звідси випливає третя практична рекомендація: відноситися суто обережно до будь-яких сертифікатів і віддавати перевагу тим продуктам, надійність яких підтверджена успішним використанням у світовій фінансовій практиці. Безпека в мережі Internet

2.2 Засоби захисту інформації

Зараз навряд чи комусь треба доводити, що при підключенні до Internet Ви піддаєте ризику безпеку Вашої локальної мережі і конфіденційність міститься в ній. За даними CERT Coordination Center у 1995 році було зареєстровано 2421 інцидентів - зломів локальних мереж і серверів. За результатами опитування, проведеного Computer Security Institute (CSI) серед 500 найбільш великих організацій, компаній і університетів з 1991 число незаконних вторгнень зросло на 48.9%, а втрати, викликані цими атаками, оцінюються в 66 млн. доларів США.

Одним з найбільш поширених механізмів захисту від інтернетівських бандитів - "хакерів" є застосування міжмережевих екранів - брендмауерів (firewalls).

Варто відзначити, що в слідстві непрофесіоналізму адміністраторів і недоліків деяких типів брендмауерів близько 30% зломів відбувається після установки захисних систем.

Не слід думати, що все викладене вище - "заморські дивини". Всім, хто ще не впевнений, що Росія впевнено доганяє інші країни по числу зломів серверів і локальних мереж і принесеному ними збитку, варто познайомитися з тематичною добіркою матеріалів російської преси і матеріалами Hack Zone (Zhurnal.Ru).

Не дивлячись на удаваний правовий хаос в расматривает області, будь-яка діяльність з розробки, продажу і використання засобів захисту інформації регулюється безліччю законодавчих і нормативних документів, а усі використовувані системи підлягають обов'язкової сертифікації Державної Технічної Комісією при президенті Росії.

2.2.1 Технологія роботи в глобальних мережах Solstice FireWall-1

В даний час питанням безпеки даних у розподілених комп'ютерних системах приділяється дуже велика увага. Розроблено безліч засобів для забезпечення інформаційної безпеки, призначених для використання на різних комп'ютерах з різними ОС. У якості одного з напрямків можна виділити міжмережеві екрани (firewalls), покликані контролювати доступ до інформації з боку користувачів зовнішніх мереж.

У цьому документі розглядаються основні поняття, що екранують, а також вимоги, пропоновані до них. На прикладі пакета Solstice FireWall-1 розглядається кілька типових випадків використання таких систем, особливо стосовно до питань забезпечення безпеки Internet-підключень. Розглянуто також кілька унікальних особливостей Solstice FireWall-1, що дозволяють говорити про його лідерство в даному класі додатків.

ПРИЗНАЧЕННЯ ЕКРАНУЮТЬ І ВИМОГИ ДО НИХ

Проблема міжмережевого екранування формулюється в такий спосіб. Нехай мається дві інформаційні чи системи дві безлічі інформаційних систем. Екран (firewall) - це засіб розмежування доступу клієнтів з однієї безлічі систем до інформації, що зберігається на серверах в іншій безлічі.

Малюнок 2.2.1

Захист інформації в Інтернеті

Малюнок 2.2.1 Екран FireWall.

Екран виконує свої функції, контролюючи всі інформаційні потоки між цими двома множинами інформаційних систем, працюючи як деяка "інформаційна мембрана". У цьому змісті екран можна уявляти собі як набір фільтрів, що аналізують проходить через них інформацію і, на основі закладених у них алгоритмів, що приймають рішення: чи пропустити цю інформацію або відмовити в її пересиланні. Крім того, така система може виконувати реєстрацію подій, пов'язаних з процесами розмежування доступу. зокрема, фіксувати всі "незаконні" спроби доступу до інформації і, додатково, сигналізувати про ситуації, що вимагають негайної реакції, тобто здіймати тривогу.

Зазвичай екранують системи роблять несиметричними. Для екранів визначаються поняття "усередині" і "зовні", і завдання екрана полягає в захисті внутрішньої мережі від "потенційно ворожого" оточення. Найважливішим прикладом потенційно ворожої зовнішньої мережі є Internet.

Розглянемо більш докладно, які проблеми виникають при побудові систем, що екранують. При цьому ми будемо розглядати не тільки проблему безпечного підключення до Internet, але і розмежування доступу усередині корпоративної мережі організації.

Перше, очевидна вимога до таких систем, це забезпечення безпеки внутрішньої (захищається) мережі і повний контроль над зовнішніми підключеннями і сеансами зв'язку.

По-друге, що екранує система повинна володіти потужними і гнучкими засобами керування для простого і повного втілення в життя політики безпеки організації і, крім того, для забезпечення простий реконфігурації системи при зміні структури мережі.

По-третє, що екранує система повинна працювати непомітно для користувачів локальної мережі і не утрудняти виконання ними легальних дій.

По-четверте, що екранує система повинна працювати досить ефективно і встигати обробляти весь вхідний і вихідний трафік у "пікових" режимах. Це необхідно для того, щоб firewall не можна було, образно кажучи, "закидати" великою кількістю викликів, які привели б до порушення її роботи.

П'яте. Система забезпечення безпеки повинна бути сама надійно захищена від будь-яких несанкціонованих впливів, оскільки вона є ключем до конфіденційної інформації в організації.

Шосте. В ідеалі, якщо в організації є кілька зовнішніх підключень, у тому числі й у віддалених філіях, система управління екранами повинна мати можливість централізовано забезпечувати для них проведення єдиної політики безпеки.

Сьоме. Система Firewall повинна мати кошти авторизації доступу користувачів через зовнішні підключення. Типовою є ситуація, коли частина персоналу організації повинна виїжджати, наприклад, у відрядження, і в процесі роботи їм, тим німіння, необхідно мати доступ, принаймні, до деяких ресурсів внутрішньої комп'ютерної мережі організації. Система повинна вміти надійно розпізнавати таких користувачів і надавати їм необхідний доступ до інформації.

СТРУКТУРА СИСТЕМИ SOLSTICE FIREWALL-1

Класичним прикладом, на якому хотілося б проілюструвати усі вищевикладені принципи, є програмний комплекс Solstice FireWall-1 компанії Sun Microsystems. Даний пакет неодноразово відзначався нагородами на виставках і конкурсах. Він володіє багатьма корисними особливостями, що виділяють його серед продуктів аналогічного призначення.

Розглянемо основні компоненти Solstice FireWall-1 і функції, які вони реалізують (мал. 2.2.2).

Центральним для системи FireWall-1 є модуль керування всім комплексом. З цим модулем працює адміністратор безпеки мережі. Слід зазначити, що продуманість і зручність графічного інтерфейсу модуля керування зазначалося в багатьох незалежних оглядах, присвячених продуктам даного класу.

Малюнок 2.2.2

Захист інформації в Інтернеті

Малюнок 2.2.2 Основні компоненти Solstice FireWall-1.

Адміністратору безпеки мережі для конфігурації комплексу FireWall-1 необхідно виконати наступний ряд дій:

• Визначити об'єкти, що у процесі обробки інформації. Тут маються на увазі користувачі і групи користувачів, комп'ютери та їх групи, маршрутизатори і різні підмережі локальної мережі організації.

• Описати мережні протоколи і сервіси, з якими будуть працювати додатки. Втім, зазвичай достатнім виявляється набір з більш ніж 40 описів, що поставляються із системою FireWall-1.

• Далі, за допомогою введених понять описується політика розмежування доступу в наступних термінах: "Групі користувачів А дозволений доступ до ресурсу Б за допомогою сервісу або протоколу З, але про це необхідно зробити позначку в реєстраційному журналі". Сукупність таких записів компілюється в здійснимих форму блоком керування і далі передається на виконання в модулі фільтрації.

Модулі фільтрації можуть розташовуватися на комп'ютерах - шлюзах або виділених серверах - чи в маршрутизаторах як частина конфігураційної інформації. В даний час підтримуються наступні два типи маршрутизаторів: Cisco IOS 9.x, 10.x, а також BayNetworks (Wellfleet) OS v.8.

Модулі фільтрації переглядають усі пакети, що надходять на мережні інтерфейси, і, в залежності від заданих правил, пропускають або відкидають ці пакети, з відповідним записом у реєстраційному журналі. Слід зазначити, що ці модулі, працюючи безпосередньо з драйверами мережних інтерфейсів, обробляють весь потік даних, розташовуючи повною інформацією про переданих пакетах.

ПРИКЛАД РЕАЛІЗАЦІЇ ПОЛІТИКИ БЕЗПЕКИ

Расcмотрім процесc практичної реалізації політики безпеки організації за допомогою програмного пакета FireWall-1. (Рис. 2.2.3).

Малюнок 2.2.3

Захист інформації в Інтернеті

Малюнок 2.2.3 Реалізація політики безпеки FireWall.

1. Перш за все, як уже зазначалося, розробляються і затверджуються на рівні керівництва організації правила політики безпеки.

2. Після затвердження ці правила треба втілити в життя. Для цього їх потрібно перевести в структуру типу "звідки, куди і яким способом доступ дозволений або, навпаки, заборонений. Такі структури, як ми вже знаємо, легко переносяться в бази правил системи FireWall-1.

3. Далі, на основі цієї бази правил формуються списки доступу для маршрутизаторів і сценарії роботи фільтрів на мережних шлюзах. Списки і сценарії далі переносяться на фізичні компоненти мережі, після чого правила політики безпеки "набирають сили".

4. У процесі роботи фільтри пакетів на шлюзах і серверах генерують запису про всі події, які їм наказали відслідковувати, а, також, запускають механізми "тривоги", що вимагають від адміністратора негайної реакції.

5. На основі аналізу записів, зроблених системою, відділ комп'ютерної безпеки організації може розробляти пропозиції по зміні і подальшому розвитку політики безпеки.

Розглянемо простий приклад реалізації наступних правил:

1. З локальних мереж підрозділів, можливо віддалених, дозволяється зв'язок з будь-якою локальною мережею організації після аутентифікації, наприклад, по UNIX-паролі.

2. Усім забороняється доступ до мережі фінансового департаменту, за винятком генерального директора і директора цього департаменту.

3. З Internet дозволяється тільки відправляти й одержувати пошту. Про всі інші спроби зв'язку необхідно робити докладний запис.

Всі ці правила природним чином представляються засобами графічного інтерфейсу редактора Правил FireWall-1 (рис. 2.2.4).

Малюнок 2.2.4

Захист інформації в Інтернеті

Малюнок 2.2.4 Графічний інтерфейс редактора Правил FireWall-1.

Після завантаження правил, FireWall-1 для кожного пакета, переданого по мережі, послідовно переглядає список правил до перебування елемента, відповідає поточному нагоди.

Важливим моментом є захист системи, на якій розміщений адміністративно-конфігураційний модуль FireWall-1. Рекомендується заборонити засобами FireWall-1 всі види доступу до даної машині, або принаймні строго обмежити список користувачів, яким це дозволено, а також вжити заходів з фізичного обмеження доступу та захисту звичайними засобами ОС UNIX.

УПРАВЛІННЯ СИСТЕМОЮ FIREWALL-1

На рис. 2.2.5 показані основні елементи управління системою FireWall-1.

Малюнок 2.2.5

Захист інформації в Інтернеті

Малюнок 2.2.5 Основні елементи управління системою FireWall-1.

Зліва розташовані редактори баз даних про об'єкти, що існують у мережі і про протоколи або сервісах, за допомогою яких відбувається обмін інформацією. Справа вгорі показаний редактор правил доступу.

Справа внизу розташовується інтерфейс контролю поточного стану системи, у якому для всіх об'єктів, які заніс туди адміністратор, відображаються дані про кількість дозволених комунікацій (галочки), про кількість відкинутих зв'язків (знак "цеглина") і про кількість комунікацій з реєстрацією (іконка олівець) . Цегляна стіна за символом об'єкта (комп'ютера) означає, що на ньому встановлений модуль фільтрації системи FireWall-1.

ЩЕ ОДИН ПРИКЛАД РЕАЛІЗАЦІЇ ПОЛІТИКИ БЕЗПЕКИ

Розглянемо тепер випадок, коли первісна конфігурація мережі міняється, а разом з нею міняється і політика безпеки.

Нехай ми вирішили встановити у себе в організації кілька загальнодоступних серверів для надання інформаційних послуг. Це можуть бути, наприклад, сервери World Wide Web, FTP чи інші інформаційні сервери. Оскільки такі системи відособлені від роботи всієї іншої мережі організації, для них часто виділяють свою власну підмережа, що має вихід в Internet через шлюз (мал. 2.2.6).

Малюнок 2.2.6

Захист інформації в Інтернеті

Малюнок 2.2.6 Схема шлюзу Internet.

Оскільки в попередньому прикладі локальна мережа була вже захищена, то все, що нам треба зробити, це просто дозволити відповідний доступ у виділену підмережа. Це робиться за допомогою однієї додаткової рядка в редакторі правил, яка тут показана. Така ситуація є типовою при зміні конфігурації FireWall-1. Зазвичай для цього потрібно зміна однієї чи невеликого числа рядків у наборі правил доступу, що, безсумнівно, ілюструє міць засобів конфігурації і загальну продуманість архітектури FireWall-1.

АУТЕНФІКАЦІЯ КОРИСТУВАЧІВ ПРИ РОБОТІ З FTP

Solstice FireWall-1 дозволяє адміністратору установити різні режими роботи з інтерактивними сервісами FTP і telnet для різних користувачів і груп користувачів. При встановленому режимі аутентифікації, FireWall-1 замінює стандартні FTP і telnet демони UNIX на свої власні, розташовуючи їх на шлюзі, закритому за допомогою модулів фільтрації пакетів. Користувач, який бажає почати інтерактивну сесію по FTP чи telnet (це повинен бути дозволений користувач і в дозволений для нього час), може зробити це тільки через вхід на такий шлюз, де і виконується вся процедура аутентифікації. Вона задається при описі користувачів або груп користувачів і може проводитися такими способами:

• Unix-пароль;

• програма S / Key генерації одноразових паролів;

• картки SecurID з апаратною генерацією одноразових паролів.

ГНУЧКІ АЛГОРИТМИ ФІЛЬТРАЦІЇ UDP-ПАКЕТІВ, ДИНАМІЧНЕ ЕКРАНУВАННЯ

UDP-протоколи, що входять до складу набору TCP / IP, являють собою особливу проблему для забезпечення безпеки. З однієї сторони на їхній основі створено безліч додатків. З іншого боку, всі вони є протоколами "без стану", що призводить до відсутності розходжень між запитом і відповіддю, що приходять ззовні захищається.

Пакет FireWall-1 вирішує цю проблему створенням контексту з'єднань поверх UDP сесій, запам'ятовуючи параметри запитів. Пропускаються назад тільки відповіді зовнішніх серверів на вислані запити, що однозначно відрізняються від будь-яких інших UDP-пакетів (читай: незаконних запитів), оскільки їхні параметри зберігаються в пам'яті FireWall-1.

Слід зазначити, що дана можливість присутня в дуже деяких програмах екранування, розповсюджуваних у даний момент.

Зауважимо також, що подібні механізми задіються для додатків, що використовують RPC, і для FTP сеансів. Тут виникають аналогічні проблеми, зв'язані з динамічним виділенням портів для сеансів зв'язку, які FireWall-1 відслідковує аналогічним чином, запам'ятовуючи необхідну інформацію при запитах на такі сеанси і забезпечуючи тільки "законний" обмін даними.

Дані можливості пакета Solstice FireWall-1 різко виділяють його серед всіх інших міжмережевих екранів. Вперше проблема забезпечення безпеки вирішена для всіх без винятку сервісів і протоколів, що існують у Internet.

МОВА ПРОГРАМУВАННЯ

Система Solstice FireWall-1 має власний вбудований об'єктно-орієнтована мова програмування, застосовуваний для опису поводження модулів - Фільтрів системи. Власне кажучи, результатом роботи графічного інтерфейсу адміністратора системи є згенерований сценарій роботи саме на цьому внутрішньому мовою. Він не складний для розуміння, що допускає безпосереднє програмування на ньому. Однак на практиці дана можливість майже не використовується, оскільки графічний інтерфейс системи і так дозволяє зробити практично все, що потрібно.

ПРОЗОРІСТЬ І ЕФЕКТИВНІСТЬ

FireWall-1 цілком прозорий для кінцевих користувачів. Ще однією чудовою властивістю системи Solstice FireWall-1 є дуже висока швидкість роботи. Фактично модулі системи працюють на мережних швидкостях передачі інформації, що обумовлено компіляцією згенерованих сценаріїв роботи перед підключенням їх безпосередньо в процес фільтрації.

Компанія Sun Microsystems приводить такі дані про ефективність роботи Solstice FireWall-1. Модулі фільтрації на Internet-шлюзі, сконфігурованих типовим для багатьох організацій чином, працюючи на швидкостях звичайного Ethernet у 10 Мб / сек, забирають на себе не більш 10% обчислювальної потужності процесора SPARCstation 5,85 МГц або комп'ютера 486DX2-50 з операційною системою Solaris / x86.

Solstice FireWall-1 - ефективний засіб захисту корпоративних мереж і їхніх сегментів від зовнішніх погроз, а також від несанкціонованих взаємодій локальних користувачів із зовнішніми системами.

Solstice FireWall-1 забезпечує високорівневу підтримку політики безпеки організації по відношенню до всіх протоколів сімейства TCP / IP.

Solstice FireWall-1 характеризується прозорістю для легальних користувачів і високою ефективністю.

По сукупності технічних і вартісних характеристик Solstice FireWall-1 займає лідируючу позицію серед міжмережевих екранів.

2.2.2 Обмеження доступу в WWW серверах

Розглянемо два з них:

• Обмежити доступ по IP адресах клієнтських машин;

• ввести ідентифікатор одержувача з паролем для даного виду документів.

Такого роду введення обмежень стало використовуватися досить часто, тому що багато хто прагнуть у Internet, щоб використовувати його комунікації для доставки своєї інформації споживачу. За допомогою такого роду механізмів по розмежуванню прав доступу зручно робити саморозсилання інформації на одержання якої існує договір.

Обмеження по IP адресах

Доступ до приватних документів можна дозволити, або навпаки заборонити використовуючи IP адреси конкретних чи машин сіток, наприклад:

123.456.78.9

123.456.79.

У цьому випадку доступ буде дозволений (чи заборонений у залежності від контексту) для машини з IP адресою 123.456.78.9 і для всіх машин подсеткі 123.456.79.

Обмеження по ідентифікаторі одержувача

Доступ до приватних документів можна дозволити, або навпаки заборонити використовуючи привласнене ім'я і пароль конкретному користувачу, причому пароль у явному виді ніде не зберігається.

Розглянемо такий приклад: Агентство друку надає свою продукцію, тільки своїм передплатникам, які уклали договір і оплатили підписку. WWW Сервер знаходиться в мережі Internet і загальнодоступний.

Малюнок 2.2.7

Захист інформації в Інтернеті

Малюнок 2.2.7 Приклад списку вісників видавництва.

Виберемо Вісник наданий конкретному передплатнику. На клієнтському місці передплатник одержує повідомлення:

Малюнок 2.2.8

Захист інформації в Інтернеті

Малюнок 2.2.8 Вікно введення пароля.

Якщо він правильно написав своє ім'я і пароль, то він допускається до документа, у противному випадку - одержує повідомлення:

Малюнок 2.2.9

Захист інформації в Інтернеті

Малюнок 2.2.9 Вікно неправильного введення пароля.

2.3 Інформаційна безпека в Intranet

Архітектура Intranet має на увазі підключення до зовнішніх відкритих мереж, використання зовнішніх сервісів і надання власних сервісів зовні, що висуває підвищені вимоги до захисту інформації.

У Intranet-системах використовується підхід клієнт-сервер, а головна роль на сьогоднішній день приділяється Web-сервісу. Web-сервери повинні підтримувати традиційні захисні засоби, такі як аутентифікація і розмежування доступу; крім того, необхідне забезпечення нових властивостей, особливо безпеки програмного середовища і на серверної, і на клієнтської сторонах.

Такі, якщо говорити зовсім коротко, задачі в області інформаційної безпеки, що виникають у зв'язку з переходом на технологію Intranet. Далі ми розглянемо можливі підходи до їх вирішення.

Формування режиму інформаційної безпеки - проблема комплексна.

Заходи для її рішення можна розділити на чотири рівні:

• законодавчий (закони, нормативні акти, стандарти і т.п.);

• адміністративний (дії загального характеру, що вживаються керівництвом організації);

• процедурний (конкретні заходи безпеки, що мають справу з людьми);

• програмно-технічний (конкретні технічні заходи).

У такому порядку і буде побудовано подальший виклад.

ЗАКОНОДАВЧИЙ РІВЕНЬ

В даний час найбільш докладним законодавчим документом в області інформаційної безпеки є Кримінальний кодекс, точніше кажучи, його нова редакція, що вступила в силу в травні 1996 року.

У розділі IX ("Злочину проти суспільної безпеки") мається глава 28 - "Злочини у сфері комп'ютерної інформації". Вона містить три статті - 272 ("Неправомірний доступ до комп'ютерної інформації"), 273 ("Створення, використання і поширення шкідливих програм для ЕОМ") і 274 - "Порушення правил експлуатації ЕОМ, системи ЕОМ чи їхньої мережі".

Кримінальний кодекс коштує на варті всіх аспектів інформаційної безпеки

- Доступності, цілісності, конфіденційності, передбачаючи покарання за

"Знищення, блокування, модифікацію і копіювання інформації, порушення роботи ЕОМ, системи ЕОМ чи їхньої мережі".

Вельми енергійну роботу в галузі сучасних інформаційних технологій проводить Державна технічна комісія (Гостехкомиссией) при Президентові Російської Федерації. У рамках серії керівних документів (РД) Гостехкомиссии підготовлений проект РД, що встановлює класифікацію міжмережевих екранів (firewalls, або брандмауерів) за рівнем забезпечення захищеності від несанкціонованого доступу (НСД). Це принципово важливий документ, що дозволяє упорядкувати використання захисних засобів, необхідних для реалізації технології Intranet.

РОЗРОБКА МЕРЕЖЕВИХ АСПЕКТІВ ПОЛІТИКИ БЕЗПЕКИ

Політика безпеки визначається як сукупність документованих

управлінських рішень, спрямованих на захист інформації й асоційованих з нею ресурсів.

При розробці і проведенні її в життя доцільно керуватися наступними принципами:

• неможливість минати захисні засоби;

• посилення самої слабкої ланки;

• неможливість переходу в небезпечний стан;

• мінімізація привілеїв;

• поділ обов'язків;

• ешелонування оборони;

• розмаїтість захисних засобів;

• простота і керованість інформаційної системи;

• забезпечення загальної підтримки заходів безпеки.

Пояснимо зміст перерахованих принципів.

Якщо у зловмисника або незадоволеного користувача з'явиться можливість минати захисні засоби, він, зрозуміло, так і зробить. Стосовно до міжмережевих екранів даний принцип означає, що всі інформаційні потоки в мережу, що захищається і з її повинні проходити через екран. Не повинно бути "таємних" модемних чи входів тестових ліній, що йдуть в обхід екрана.

Надійність будь-якої оборони визначається самою слабкою ланкою. Зловмисник не буде боротися проти сили, він віддасть перевагу легку перемогу над слабкістю. Часто самою слабкою ланкою виявляється не чи комп'ютер програма, а людина, і тоді проблема забезпечення інформаційної безпеки здобуває нетехнічний характер.

Принцип неможливості переходу в небезпечний стан означає, що при будь-яких обставин, у тому числі позаштатних, захисне засіб або цілком виконує свої функції, або цілком блокує доступ. Образно кажучи, якщо у фортеці механізм підйомного мосту ламається, міст повинний залишатися в піднятому стані, перешкоджаючи проходу ворога.

Принцип мінімізації привілеїв наказує виділяти користувачам і адміністраторам тільки ті права доступу, які необхідні їм для виконання службових обов'язків.

Принцип поділу обов'язків припускає такий розподіл ролей і відповідальності, при якому одна людина не може порушити критично важливий для організації процес. Це особливо важливо, щоб запобігти зловмисні чи некваліфіковані дії системного адміністратора.

Принцип ешелонування оборони наказує не покладатися на один захисний рубіж, яким би надійним він ні здавався. За засобами фізичного захисту повинні випливати програмно-технічні засоби, за ідентифікацією й аутентифікації - керування доступом і, як останній рубіж, - протоколювання й аудит. Ешелонованої оборони здатна принаймні затримати зловмисника, а наявність такого рубежу, як протоколювання й аудит, істотно утрудняє непомітне виконання злочинних дій.

Принцип розмаїтості захисних засобів рекомендує організовувати різні за своїм характером оборонні рубежі, щоб від потенційного

зловмисника було потрібно оволодіння різноманітними і, по можливості,

несумісними між собою навичками (наприклад умінням переборювати високу огорожу і знанням слабостей декількох операційних систем).

Дуже важливий принцип простоти і керованості інформаційної системи в цілому і захисних засобів особливо. Тільки для простого захисного засобу можна формально чи неформально довести його коректність. Тільки в простій і керованій системі можна перевірити погодженість конфігурації різних компонентів і здійснити централізоване адміністрування. У цьому зв'язку важливо зазначити інтегруючу роль Web-сервісу, що ховає розмаїтість обслуговуваних об'єктів і надає єдиний, наочний інтерфейс. Відповідно, якщо об'єкти деякого виду (скажемо таблиці бази даних) доступні через Web, необхідно заблокувати прямий доступ до них, оскільки в противному випадку система буде складною і важкокерованою.

Останній принцип - загальна підтримка заходів безпеки - носить нетехнічний характер. Якщо користувачі і / чи системні адміністратори вважають інформаційну безпеку чимось зайвим чи навіть ворожим, режим безпеки сформувати свідомо не вдасться. Слід з самого початку передбачити комплекс заходів, спрямований на забезпечення лояльності персоналу, на постійне навчання, теоретичне і, головне, практичне.

Аналіз ризиків - найважливіший етап вироблення політики безпеки. При оцінці ризиків, яким піддані Intranet-системи, потрібно враховувати наступні обставини:

• нові погрози стосовно старих сервісам, що випливають з можливості пасивного чи активного прослуховування мережі. Пасивне прослуховування означає читання мережного трафіка, а активне - його зміна (крадіжку, дублювання або модифікацію переданих даних). Наприклад, аутентифікація вилученого клієнта за допомогою пароля багаторазового використання не може вважатися надійної в мережному середовищі, незалежно від довжини пароля;

• нові (мережні) сервіси й асоційовані з ними погрози.

Як правило, в Intranet-системах варто дотримуватися принципу "все, що не дозволено, заборонено", оскільки "зайвий" мережний сервіс може надати канал проникнення в корпоративну систему. У принципі, ту ж думку виражає положення "усе незрозуміле небезпечне".

Процедурні ЗАХОДИ

У загальному і цілому Intranet-технологія не пред'являє яких-небудь специфічних вимог до мір процедурного рівня. На наш погляд, окремого розгляду заслуговують лише дві обставини:

• опис посад, пов'язаних з визначенням, наповненням і підтримкою корпоративної гіпертекстової структури офіційних документів;

• підтримка життєвого циклу інформації, що наповняє Intranet.

При описі посад доцільно виходити з аналогії між Intranet і видавництвом. У видавництві існує директор, що визначає загальну спрямованість діяльності. У Intranet йому відповідає Web-адміністратор, що вирішує, яка корпоративна інформація повинна бути присутнім на Web-сервері і як випливає структурне дерево (точніше, граф) HTML-документів.

У багатопрофільних видавництвах існують редакції, що займаються конкретними напрямками (математичні книги, книги для дітей тощо). Аналогічно, в Intranet доцільно виділити посада публікатора, що відає появою документів окремих підрозділів і визначального перелік і характер публікацій.

У кожної книги є титульний редактор, що відповідає перед видавництвом за свою роботу. У Intranet редактори займаються вставкою документів у корпоративне дерево, їхньою корекцією і видаленням. У великих організаціях "шар" публікатор / редактор може складатися з декількох рівнів.

Нарешті, і у видавництві, і в Intranet повинні бути автори, що створюють документи. Підкреслимо, що вони не повинні мати прав на модифікацію корпоративного дерева й окремих документів. Їхня справа - передати свою працю редактору.

Крім офіційних, корпоративних, у Intranet можуть бути присутнім групові й особисті документи, порядок роботи з який (ролі, права доступу) визначається, відповідно, груповими й особистими інтересами.

Переходячи до питань підтримки життєвого циклу Intranet-інформації, нагадаємо про необхідність використання засобів конфігураційного керування. Важливе достоїнство Intranet-технології полягає в тому, що основні операції конфігураційного керування - внесення змін (створення нової версії) і витяг старої версії документа - природним образом вписуються в рамки Web-інтерфейсу. Ті, для кого це необхідно, можуть працювати з деревом усіх версій усіх документів, підмножиною якого є дерево самих свіжих версій.

УПРАВЛІННЯ ДОСТУПОМ ШЛЯХОМ ФІЛЬТРАЦІЇ ІНФОРМАЦІЇ

Ми переходимо до розгляду мір програмно-технічного рівня, спрямованих на забезпечення інформаційної безпеки систем, побудованих у технології Intranet. На перше місце серед таких мір ми поставимо міжмережеві екрани - засіб розмежування доступу, що служить для захисту від зовнішніх погроз і від погроз з боку користувачів інших сегментів корпоративних мереж.

Відзначимо, що бороти з погрозами, властивому мережному середовищу, засобами універсальних операційних систем не представляється можливим. Універсальна ОС - це величезна програма, що напевно містить, крім явних помилок, деякі особливості, які можуть бути використані для одержання нелегальних привілеїв. Сучасна технологія програмування не дозволяє зробити настільки великі програми безпечними. Крім того, адміністратор, що має справу зі складною системою, далеко не завжди в стані врахувати всі наслідки вироблених змін (як і лікар, не відає всіх побічних впливів лік, що рекомендуються). Нарешті, в універсальної системі пролому в безпеці постійно створюються самими користувачами (слабкі і / чи рідко змінювані паролі, невдало встановлені права доступу, залишений без догляду термінал і т.п.).

Як вказувалося вище, єдиний перспективний шлях зв'язаний з розробкою спеціалізованих захисних засобів, які в силу своєї простоти допускають формальну чи неформальну верифікацію. Міжмережевий екран саме і є таким засобом, що допускає подальшу декомпозицію, пов'язану з обслуговуванням різних мережевих протоколів.

Міжмережевий екран - це напівпроникна мембрана, що розташовується між що захищається (внутрішньої) мережею і зовнішнім середовищем (зовнішніми мережами або іншими сегментами корпоративної мережі) і контролює всі інформаційні потоки у внутрішню мережу і з її (Рис. 2.3.1). Контроль інформаційних потоків складається в їхній фільтрації, тобто у вибірковому пропущенні через екран, можливо, з виконанням деяких перетворень і повідомленням відправника про те, що його даним у пропуску відмовлено. Фільтрація здійснюється на основі набору правил, попередньо завантажених в екран і є вираженням мережевих аспектів політики безпеки організації.

Малюнок 2.3.1

Захист інформації в Інтернеті

Малюнок 2. 3.1 Міжмережевий екран як засіб контролю інформаційних потоків.

Доцільно розділити випадки, коли екран установлюється на границі з зовнішньої (звичайно загальнодоступної) чи мережею на границі між сегментами однієї корпоративної мережі. Відповідно, ми буде говорити про зовнішньому і внутрішньому міжмережевих екранах.

Як правило, при спілкуванні з зовнішніми мережами використовується виняткове сімейство протоколів TCP / IP. Тому зовнішній міжмережевий екран повинен враховувати специфіку цих протоколів. Для внутрішніх екранів ситуація складніше, тут варто брати до уваги крім TCP / IP принаймні протоколи SPX / IPX, застосовувані в мережах Novell NetWare. Іншими словами, від внутрішніх екранів нерідко потрібна багатопротокольної.

Ситуації, коли корпоративна мережа містить лише один зовнішній канал, є, скоріше, винятком, ніж правилом. Навпроти, типова ситуація, при якій корпоративна мережа складається з декількох територіально рознесених сегментів, кожен з яких підключений до мережі загального користування (Рис. 2.3.2). У цьому випадку кожне підключення повинне захищатися своїм екраном. Точніше кажучи, можна вважати, що корпоративний зовнішній міжмережевий екран є складеним, і потрібно вирішувати задачу погодженого адміністрування (керування й аудита) усіх компонентів.

Малюнок 2.3.2

Захист інформації в Інтернеті

Малюнок 2.3.2 Екранування корпоративної мережі, що складається з декількох територіально рознесених сегментів, кожен з яких підключений до мережі загального користування.

При розгляді будь-якого питання, що стосується мережних технологій, основою служить еталонна модель ISO / OSI. Міжмережеві екрани також доцільно класифікувати по тому, на якому рівні виробляється фільтрація - канальному, мережному, транспортному чи прикладному. Відповідно, можна говорити про концентратори, що екранують (рівень 2), маршрутизаторах (рівень 3), про транспортне екранування (рівень 4) і про прикладні екрани (рівень 7). Існують також комплексні екрани, що аналізують інформацію на декількох рівнях.

У даній роботі ми не будемо розглядати концентратори, що екранують, оскільки концептуально вони мало відрізняються від маршрутизаторів, що екранують.

При ухваленні рішення "пропустити / не пропустити", міжмережеві екрани можуть використовувати не тільки інформацію, що міститься в фільтруються потоках, але і дані, отримані з оточення, наприклад поточний час.

Таким чином, можливості міжмережевого екрана безпосередньо визначаються тим, яка інформація може використовуватися в правилах фільтрації і яка може бути потужність наборів правил. Взагалі кажучи, чим вище рівень у моделі ISO / OSI, на якому функціонує екран, тим більше змістовна інформація йому доступна і, отже, тим тонше і надійніше екран може бути сконфігурований. У той же час фільтрація на кожному з перерахованих вище рівнів має свої достоїнства, такими як дешевина, висока ефективність чи прозорість для користувачів. У силу цієї, а також деяких інших причин, в більшості випадків використовуються змішані конфігурації, у яких об'єднані різнотипні екрани. Найбільш типовим є поєднання маршрутизаторів, що екранують, і прикладного екрана (Мал. 2.3.3).

Наведена конфігурація називається що екранує підмережею. Як правило, сервіси, які організація надає для зовнішнього застосування (наприклад "представницький" Web-сервер), доцільно виносити саме в екранує підмережа.

Крім виразних можливостей і припустимої кількості правил якість міжмережевого екрану визначається ще двома дуже важливими характеристиками - простотою застосування і власною захищеністю. У плані простоти використання першорядне значення мають наочний інтерфейс при завданні правил фільтрації і можливість централізованого адміністрування складених конфігурацій. У свою чергу, в останньому аспекті хотілося б виділити кошти централізованого завантаження правил фільтрації і перевірки набору правил на несуперечність. Важливий і централізований збір і аналіз реєстраційної інформації, а також отримання сигналів про спроби виконання дій, заборонених політикою безпеки.

Власна захищеність міжмережевого екрана забезпечується тими ж засобами, що і захищеність універсальних систем. При виконанні централізованого адміністрування варто ще подбати про захист інформації від пасивного й активного прослуховування мережі, тобто забезпечити її (інформації) цілісність і конфіденційність.

Малюнок 2.3.3

Захист інформації в Інтернеті

Малюнок 2.3.3 Сполучення маршрутизаторів, що екранують, і прикладного екрана.

Хотілося б підкреслити, що природа екранування (фільтрації), як механізму безпеки, дуже глибока. Крім блокування потоків даних, що порушують політику безпеки, міжмережевий екран може приховувати інформацію про мережі, що захищається, тим самим ускладнюючи дії потенційних зловмисників. Так, прикладної екран може здійснювати дії від імені суб'єктів внутрішньої мережі, внаслідок чого з зовнішньої мережі здається, що має місце взаємодія виключно з міжмережевим екраном (Мал. 2.3.4). При такому підході топологія внутрішньої мережі схована від зовнішніх користувачів, тому завдання зловмисника істотно ускладнюється.

Малюнок 2.3.4

Захист інформації в Інтернеті

Малюнок 2.3.4 Правдиві й удавані інформаційні потоки.

Більш загальним методом приховання інформації про топологію мережі, що захищається є трансляція "внутрішніх" мережевих адрес, що попутно вирішує проблему розширення адресного простору, виділеного організації.

Обмежує інтерфейс також можна розглядати як різновид екранування. На невидимий об'єкт важко нападати, особливо за допомогою фіксованого набору засобів. У цьому сенсі Web-інтерфейс володіє природним захистом, особливо в тому випадку, коли гіпертекстові документи формуються динамічно. Кожен бачить лише те, що йому належить.

Екрануюча роль Web-сервісу наочно виявляється і тоді, коли цей сервіс здійснює посередницькі (точніше, що інтегрують) функції при доступі до інших ресурсів, зокрема таблицям бази даних. Тут не тільки контролюються потоки запитів, але і ховається реальна організація баз даних.

БЕЗПЕКА ПРОГРАМНОЇ СЕРЕДОВИЩА

Ідея мереж з так званими активними агентами, коли між комп'ютерами передаються не тільки пасивні, але й активні виконувані дані (тобто програми), зрозуміло, не нова. Спочатку мета полягала в тому, щоб зменшити мережний трафік, виконуючи основну частину обробки там, де розташовуються дані (наближення програм до даних). На практиці це означало переміщення програм на сервери. Класичний приклад реалізації подібного підходу - це збережені процедури в СУБД.

Для Web-серверів аналогом збережених процедур є програми, що обслуговують загальний шлюзовий інтерфейс (Common Gateway Interface - CGI).

CGI-процедури розташовуються на серверах і звичайно використовуються для динамічного породження HTML-документів. Політика безпеки організації і процедурні заходи повинні визначати, хто має право поміщати на сервер CGI-процедури. Жорсткий контроль тут необхідний, оскільки виконання сервером некоректної програми може привести до як завгодно важких наслідків. Розумна міра технічного характеру складається в мінімізації привілеїв користувача, від імені якого виконується Web-сервер.

У технології Intranet, якщо піклуватися про якість і виразної силі користувальницького інтерфейсу, виникає потреба у переміщенні програм з Web-серверів на клієнтські комп'ютери - для створення анімації, виконання семантичного контролю при введенні даних і т.д. Взагалі, активні агенти - невід'ємна частина технології Intranet.

У якому напрямку переміщалися програми по мережі, ці дії становлять підвищену небезпеку, тому що програма, отримана з ненадійного джерела, може містити ненавмисно внесені помилки або цілеспрямовано створений злобливий код. Така програма потенційно загрожує всім основним аспектам інформаційної безпеки:

• доступності (програма може поглинути всі наявні ресурси);

• цілісності (програма може видалити або пошкодити дані);

• конфіденційності (програма може прочитати дані і передати їх по мережі).

Проблему ненадійних програм усвідомлювали давно, але, мабуть, тільки в рамках системи програмування Java уперше запропонована цілісна концепція її рішення.

Java пропонує три оборонні рубежі:

• надійність мови;

• контроль при одержанні програм;

• контроль при виконанні програм.

Втім, існує ще одне, дуже важливий засіб забезпечення інформаційної безпеки - безпрецедентна відкритість Java-системи. Вихідні тексти Java-компілятора й інтерпретатора доступні для перевірки, тому велика ймовірність, що помилки і недоліки першими будуть виявляти чесні фахівці, а не зловмисники.

У концептуальному плані найбільших труднощів представляє контрольоване виконання програм, завантажених по мережі. Перш за все, необхідно визначити, які дії вважаються для таких програм припустимими. Якщо виходити з того, що Java - це мова для написання клієнтських частин додатків, одним з основних вимог до яких є мобільність, завантажена програма може обслуговувати тільки користувальницький інтерфейс і здійснювати мережну взаємодію із сервером. Програма не може працювати з файлами хоча б тому, що на Java-терміналі їх, можливо, не буде. Більш змістовні дії повинні вироблятися на серверній стороні або здійснюватися програмами, локальними для клієнтської системи.

Цікавий підхід пропонують фахівці компанії Sun Microsystems для забезпечення безпечного виконання командних файлів. Мова йде про середовище Safe-Tcl (Tool Comman Language, інструментальний командна мова). Sun запропонувала так звану осередковою модель інтерпретації командних файлів. Існує головний інтерпретатор, якому доступні всі можливості мови.

Якщо в процесі роботи додатка необхідно виконати сумнівний командний файл, породжується підлеглий командний інтерпретатор, що володіє обмеженою функціональністю (наприклад, з нього можуть бути видалені засоби роботи з файлами і мережні можливості). У результаті потенційно небезпечні програми виявляються ув'язненими в осередки, що захищають користувальницькі системи від ворожих дій. Для виконання дій, які вважаються привілейованими, підлеглий інтерпретатор може звертатися з запитами до головного. Тут, очевидно, проглядається аналогія з поділом адресних просторів операційної системи і користувальницьких процесів і використанням останніми системних викликів. Подібна модель уже близько 30 років є стандартної для багатокористувацьких ОС.

ЗАХИСТ WEB-СЕРВЕРІВ

Поряд із забезпеченням безпеки програмного середовища (див. попередній розділ), найважливішим буде питання про розмежування доступу до об'єктів Web-сервісу. Для вирішення цього питання необхідно усвідомити, що є об'єктом, як ідентифікуються суб'єкти і яка модель керування доступом - примусова чи довільна - застосовується.

У Web-серверах об'єктами доступу виступають універсальні локатори ресурсів (URL - Uniform (Universal) Resource Locator). За цими локаторами можуть стояти різні сутності - HTML-файли, CGI-процедури і т.п.

Як правило, суб'єкти доступу ідентифікуються по IP-адресами і / чи іменам комп'ютерів і областей управління. Крім того, може використовуватися парольна аутентифікація користувачів або більш складні схеми, засновані на криптографічних технологіях.

У більшості Web-серверів права розмежовуються з точністю до каталогів (директорій) із застосуванням довільного керування доступом. Можуть надаватися права на читання HTML-файлів, виконання CGI-процедур і т.д.

Для раннього виявлення спроб нелегального проникнення в Web-сервер важливий регулярний аналіз реєстраційної інформації.

Зрозуміло, захист системи, на якій функціонує Web-сервер, повинна випливати універсальним рекомендаціям, головної з яких є максимальне спрощення. Усі непотрібні сервіси, файли, пристрої повинні бути вилучені. Число користувачів, що мають прямий доступ до сервера, повинне бути зведено до мінімуму, а їхні привілеї - упорядковані у відповідності зі службовими обов'язками.

Ще один загальний принцип полягає в тому, щоб мінімізувати обсяг інформації про сервер, що можуть одержати користувачі. Багато серверів у випадку звертання по імені каталогу і відсутності файлу index.HTML в ньому, видають HTML-варіант змісту каталогу. У цьому змісті можуть зустрітися імена файлів з вихідними текстами чи CGI-процедур з іншою конфіденційною інформацією. Такого роду "додаткові можливості" доцільно відключати, оскільки зайве знання (зловмисника) примножує суму (власника сервера).

Аутентифік ВІДКРИТИХ МЕРЕЖАХ

Методи, застосовувані у відкритих мережах для підтвердження і перевірки дійсності суб'єктів, повинні бути стійкі до пасивного й активного прослуховування мережі. Суть їх зводиться до наступного.

• Суб'єкт демонструє знання секретного ключа, при цьому ключ або взагалі не передається по мережі, або передається в зашифрованому вигляді.

• Суб'єкт демонструє володіння програмним або апаратним засобом генерації одноразових паролів засобом, що працює в режимі "запит-відповідь". Неважко помітити, що перехоплення і наступне відтворення одноразового чи пароля відповіді на запит нічого не дає зловмиснику.

• Суб'єкт демонструє дійсність свого місця розташування, при цьому використовується система навігаційних супутників.

ВІРТУАЛЬНІ ПРИВАТНІ МЕРЕЖІ

Однією з найважливіших задач є захист потоків корпоративних даних, переданих по відкритих мережах. Відкриті канали можуть бути надійно захищенні одним методом - криптографічним.

Відзначимо, що так називані виділені лінії не мають особливі переваги перед лініями загального користування в плані інформаційної безпеки. Виділені лінії хоча б частково будуть розташовуватися в неконтрольованій зоні, де їх можуть чи зашкодити здійснити до них несанкціоноване підключення. Єдине реальне достоїнство - це гарантована пропускна здатність виділених ліній, а зовсім не якась підвищена захищеність. Втім, сучасні оптоволоконні канали здатні задовольнити потреби багатьох абонентів, тому і зазначене достоїнство не завжди прибраний в реальну форму.

Цікаво згадати, що в мирний час 95% трафіка Міністерства оборони США передається через мережі загального користування (зокрема через Internet). У воєнний час ця частка повинна складати "лише" 70%. Можна припустити, що Пентагон - не сама бідна організація. Американські військові покладаються на мережі загального користування тому, що розвивати власну інфраструктуру в умовах швидких технологічних змін - заняття дуже дороге і безперспективне, виправдане навіть для критично важливих національних організацій тільки у виняткових випадках.

Представляється природним покласти на міжмережевий екран задачу шифрування і дешифрування корпоративного трафіка на шляху в зовнішню мережу і з неї. Щоб таке шифрування / дешифрування стало можливим, повинно відбутися початковий розподіл ключів. Сучасні криптографічні технології пропонують для цього цілий ряд методів.

Після того як міжмережеві екрани здійснили криптографічне закриття корпоративних потоків даних, територіальна разнесенность сегментів мережі виявляється лише в різній швидкості обміну з різними сегментами. В іншому вся мережу виглядає як єдине ціле, а від абонентів не потрібно залучення яких-небудь додаткових захисних засобів.

ПРОСТОТА І ОДНОРІДНІСТЬ АРХІТЕКТУРИ

Найважливішим аспектом інформаційної безпеки є керованість системи. Керованість - це і підтримка високої приступності системи за рахунок раннього виявлення і ліквідації проблем, і можливість зміни апаратної і програмної конфігурації відповідно до умов, що змінилися, чи потребами, і оповіщення про спроби порушення інформаційної безпеки практично в реальному часі, і зниження числа помилок адміністрування, і багато, багато іншого.

Найбільш гостро проблема керованості встає на клієнтських робочих місцях і на стику клієнтської і серверної частин інформаційної системи. Причина проста - клієнтських місць набагато більше, ніж серверних, вони, як правило, розкидані по значно більшій площі, їх використовують люди з різною кваліфікацією і звичками. Обслуговування й адміністрування клієнтських робочих місць - заняття надзвичайно складне, дороге і чревате помилками. Технологія Intranet за рахунок простоти й однорідності архітектури дозволяє зробити вартість адміністрування клієнтського робочого місця практично нульовий. Важливо і те, що заміна і повторне введення в експлуатацію клієнтського комп'ютера можуть бути здійснені дуже швидко, оскільки це "клієнти без стану", у них немає нічого, що вимагало б тривалого відновлення або конфігурування.

На стику клієнтської і серверної частин Intranet-системи знаходиться Web-сервер. Це дозволяє мати єдиний механізм реєстрації користувачів і наділення їх правами доступу з наступним централізованим адмініструванням. Взаємодія з численними різнорідними сервісами виявляється схованим не тільки від користувачів, але й у значній мірі від системного адміністратора.

Задача забезпечення інформаційної безпеки в Intranet виявляється більш простій, чим у випадку довільних розподілених систем, побудованих в архітектурі клієнт / сервер. Причина тому - однорідність і простота архітектури Intranet. Якщо розробники прикладних систем зуміють повною мірою скористатися цією перевагою, то на програмно-технічному рівні їм буде досить декількох недорогих і простих в освоєнні продуктів. Правда, до цього необхідно додати продуману політику безпеки і цілісний набір заходів процедурного рівня.

Висновок

У процесі дипломного проектування були досліджені 15 пакетів абонентського програмного забезпечення. У пакетах абонентського програмного забезпечення вивчалися їх можливості в операційних середовищах MS-DOS і MS-Windows, методи настройки, режими роботи, а також простота функціонування. За результатами досліджень для кожного пакета абонентського програмного забезпечення були дані рекомендації про можливість використання того чи іншого пакету в глобальній інформаційній мережі яка працює на базі протоколів TCPIP.

Для порівняння пакетів абонентського програмного забезпечення між собою і вибору кращого була написана програма експертного вибору.

На підставі проведених досліджень можна зробити наступні висновки.

Для операційного середовища MS-DOS найкращим пакетом абонентського програмного забезпечення з точки зору користувача є пакет Minuet, розроблений університетом Міннесоти (США). Пакет Minuet володіє повним спектром послуг мережі Internet, а також відмінним користувальницьким інтерфейсом. Minuet простий у використанні, може працювати як за ЛВС і по комутованих лініях і, найголовніше, значно дешевше своїх аналогів. Без сумніву пакет Minuet в даний час є кращим абонентським пакетом для ОС MS-DOS. Він може бути рекомендований практично всім категоріям абонентів мережі.

Для операційного середовища MS-DOS найкращим пакетом абонентського програмного забезпечення з точки зору фахівця є пакет KA9Q. Пакет KA9Q поширюється разом з вихідними текстами і має у своєму складі весь спектр мережевих послуг, він може бути рекомендований фахівцям мережі як вихідний матеріал при розробці нового пакета абонентського програмного забезпечення.

Для операційного середовища MS-Windows найкращим пакетом абонентського прогрaммного забезпечення може бути визнаний пакет Chameleon, є розробкою фірми NetManage (CША). Пакет Chameleon має повний набір послуг мережі Internet. Крім цього Chameleon має у своєму складі NFS-сервер, а також може працювати маршрутизатором мережі. На сьогоднішній день Chameleon може бути визнаний найкращим пакетом для операційного середовища MS Windows. Пакет Chameleon може бути рекомендований тим абонентам мережі, яким необхідний пакет абонентського програмного забезпечення для MS-Windows. Він також може бути рекомендований у якості маршрутизатора для зв'язку невеликий ЛВС з мережею

Кращим поштовим пакетом для операційній середовища MS-DOS є безумовно пакет MAIL2, розроблений фірмою PC-центр Техно (Росія). Пакет Mail2 володіє відмінним користувальницьким інтерфейсом, простий в налаштуванні і недорогий. Він може працювати як в ЛВС, так і по комутованих лініях. Він може рекомендуватися всім категоріям користувачів мережі.

Кращим поштовим пакетом для операційній середовища MS-Windows можна вважати пакет DMail for Windows, розроблений фірмою Демос (Росія). Пакет DMail може бути рекомендований до використання тим абонентам, які потребують в електронній пошті і звикли працювати в середовищі Windows.

Кращим пакетом для найбільш повного використання інформаційних ресурсів мережі Internet є пакет Mosaic, розроблений NCSA (National Centre of Supercomputing Applications) CША. Mosaic - найбільш потужний інструмент для подорожі по мережі Internet. За допомогою Mosaic користувачі можуть отримувати доступ до гіпертекстових бібліотекам WWW, до звичайних баз даних мережі Internet та систем пошуку інформації в них.

У ході дипломного пректирования для пакетів Minuet, Mail2 і були розроблені інструкції з встановлення та експлуатації даних пакетів абонентського програмного забезпечення. Пакети Chameleon і Dmail продаються разом з повним комплектом фірмової документації, пакет Mosaic поширюється вільно разом з досить повною документацією.

Список спеціальних термінів

Англійські терміни

Alta Vista - один з найпотужніших пошукових серверів Internet.

Archie - архів. Система для визначення місцезнаходження файлів в публічних архівах мережі Internet.

ARP (Address Resolution Protocol) - протокол визначення адреси, перетворює адреса комп'ютера в мережі Internet в його фізичну адресу.

ARPA (Advanced Research Projects Agency) - бюро проектів передових досліджень міністерства оборони США.

ARPANET - експериментальна мережу, що працювала в сімдесяті роки, на якій перевірялися теоретична база та програмне забезпечення, покладені в основу Internet. В даний час не існує.

Bps (bit per second) - біт в секунду. Одиниця виміру пропускної здатності лінії зв'язку. Пропускна здатність лінії зв'язку визначається кількістю інформації, переданої по лінії за одиницю часу.

Cisco - маршрутизатор, розроблений фірмою Cisco-Systems.

DNS (Domain Name System) - доменна система імен. розподілена система баз даних для перекладу імен комп'ютерів в мережі Internet у тому IP-адреси.

Ethernet - тип локальної мережі. Гарна розмаїттям типів проводів для сполук, які забезпечують пропускні здібності від 2 до 10 мільйонів bps (2-10 Mbps). Досить часто комп'ютери, які використовують протоколи TCP / IP, через Ethernet приєднуються до Internet.

FTP (File Transfer Protocol) - протокол передачі файлів, протокол, що визначає правила пересилки файлів з ​​одного комп'ютера на інший.

FAQ (Frequently Asked Qustions) - часті питання. Розділ публічних архівів мережі Internet в якому зберігається інформація для "початківців" користувачів мережевої інфраструктури.

Gopher - інтерактивна оболонка для пошуку, приєднання та використання ресурсів і можливостей Internet. Інтерфейс з користувачем здійснено через систему меню.

HTML (Hypertext Markup Language) - мова для написання гіпертекстових документів. Основна особливість - наявність гіпертекстових зв'язків між документами знаходяться в різних архівах мережі; завдяки цим зв'язкам можна безпосередньо під час перегляду одного документа переходити до інших документів.

Internet - глобальна комп'ютерна мережа.

internet - технологія мережевої взаємодії між комп'ютерами різних типів.

IP (Internet Protocol) - протокол міжмережевої взаємодії, найважливіший з протоколів мережі Internet, забезпечує маршрутизацію пакетів у мережі.

IР-адреса - унікальний 32-бітний адресу кожного комп'ютера в мережі Internet.

Iptunnel - одна із прикладних програм мережі Internet. Дає можливість доступу до сервера ЛВС NetWare з який немає безпосереднього зв'язку по ЛВС, а є лише зв'язок по мережі Internet.

Lpr - мережна печатку. Команда надсилання файлу на друк на віддаленому принтері.

Lpq - мережевий друк. Показує файли які у черзі на друк.

NetBlazer - маршрутизатор, розроблений фірмою Telebit.

NetWare - мережева операційна система, розроблена фірмою Novell; дозволяє будувати ЛВС засновану на принципі взаємодії клієнт-сервер. Взаємодія між сервером і клієнтом в ЛВС NetWare виготовляють основі власних протоколів (IPX), тим не менш протоколи TCP / IP також підтримуються.

NFS (Network File System) - розподілена файлова система. Надає можливість використання файлової системи віддаленого комп'ютера в якості додаткового НЖМД.

NNTP (Net News Transfer Protocol) - протокол передачі мережевих новин. Забезпечує отримання мережевих новин і електронних дощок оголошень мережі і можливість приміщення інформації на дошки оголошень мережі.

Ping - утиліта перевірка зв'язку з віддаленої ЕОМ.

POP (Post Office Protocol) - протокол "поштовий офіс". Використовується для обміну поштою між хостом і абонентами. Особливість протоколу - обмін поштовими повідомленнями по запиту від абонента.

PPP (Point to Point Protocol) - протокол канального рівня дозволяє використовувати для виходу в Internet звичайні модемні лінії. Щодо новий протокол, є аналогом SLIP.

RAM (Random Acsess Memory) - оперативна пам'ять.

RFC (Requests For Comments) - запити коментарів. Розділ публічних архівів мережі Internet в якому зберігається інформація про всіх стандартних протоколах мережі Internet.

Rexec (Remote Execution) - виконання однієї команди на віддаленій UNIX-машині.

Rsh (Remote Shell) - віддалений доступ. Аналог Telnet, але працює тільки в тому випадку, якщо на віддаленому комп'ютері стоїть ОС UNIX.

SLIP (Serial Line Internet Protocol) - протокол канального рівня дозволяє використовувати для виходу в Internet звичайні модемні лінії.

SMTP (Simple Mail Transfer Protocol) - простий протокол передачі пошти. Основна особливість протоколу SMTP - обмін поштовими повідомленнями відбувається не за запитом одного з вузлів, а через певний час (кожні 20 - 30 хвилин). Пошта між хостами в Internet передається на основі протоколу SMTP.

Talk - одна із прикладних програм мережі Internet. Дає можливість відкриття "розмови" з користувачем віддаленої ЕОМ. При цьому на екрані одночасно друкується запроваджуваний і відповідь віддаленого користувача.

Telnet - віддалений доступ. Дає можливість абоненту працювати на будь-який ЕОМ мережі Internet як на своїй власній.

TCPIP - під TCPIP зазвичай розуміється все безліч протоколів підтримуваних у мережі Internet.

TCP (Transmission Control Protocol) - протокол котроля передачі інформації в мережі. TCP - протокол транспортного рівня, один з основних протоколів мережі Internet. Відповідає за встановлення і підтримання віртуального каналу (тобто логічного з'єднання), а також за безпомилкову передачу інформації по каналу.

UDP (User Datagram Protocol) - протокол транспортного рівня, на відміну від протоколу TCP не забезпечує безпомилкової передачі пакета.

Unix - багатозадачна операційна система, основна операційна середовище в мережі Internet. Має різні реалізації: Unix-BSD, Unix-Ware, Unix-Interactive.

UUCP - протокол копіювання інформації з одного Unix-хоста на іншій. UUCP - не входить до складу протоколів TCP / IP, але тим не менше все-ще широко використовується в мережі Internet. На основі протоколу UUCP - побудовано багато системи обміну поштою, до цих пір використовуються в мережі.

VERONICA (Very Easy Rodent-Oriented Netwide Index to Computer Archives) - система пошуку інформації в публічних архівах мережі Internet за ключовими словами.

WAIS (Wide Area Information Servers) - потужна система пошуку інформації в базах даних мережі Internet за ключовими словами.

WWW (World Wide Web) - всесвітня павутина. Система розподілених баз даних, які мають гіпертекстовими зв'язками між документами.

Whois - адресна книга мережі Internet.

Webster - мережна версія тлумачного словника англійської мови.

Росіяни терміни

Драйвер - завантажувана в оперативну пам'ять програма, що управляє обміном даними між прикладними процесами і зовнішніми пристроями.

Гіпертекст - документ, має зв'язки з іншими документами через систему виділених слів (посилань). Гіпертекст з'єднує різні документи на основі заздалегідь заданого набору слів. Наприклад, коли в тексті зустрічається нове слово або поняття, система, що працює з гіпертекстом, дає можливість перейти до іншого документу, у якому це слово або поняття розглядається більш докладно.

ЛВС - локальна обчислювальна мережа.

Маршрутизатор (router) - комп'ютер мережі, займається маршрутизацією пакетів у мережі, тобто вибором найкоротшого маршруту проходження пакетів по мережі.

Модем - пристрій проебразующее цифрові сигнали в аналогову форму і назад. Використовується для передачі інформації між комп'ютерами по аналоговим лініях зв'язку.

НЖМД - накопичувачі на жорсткому магнітному диску.

Протокол - сукупність правил та угод, що регламентують формат і процедуру між двома або декількома незалежними пристроями або процесами. Стандартні протоколи дозволяють связиватся між собою комп'ютерів різних типів, які працюють у різних операційних системах.

Ресурс - логічна або фізична частина системи, яка може бути виділена користувачеві або процесу.

Сервер - програма для мережевого комп'ютера, що дозволяє надати послуги одного комп'ютера іншому комп'ютеру. Обслуговуються комп'ютери повідомляються з сервер-програмою за допомогою користувальницької програми (клієнт-програми). Kомпьютер в мережі, що надає свої послуги іншим, тобто виконує певні функції за запитами інших.

Вузол - комп'ютер у мережі, виконує основні мережні функції (обслуговування мережі, передача повідомлень і т.п.).

Хост - мережева робоча машина; головна ЕОМ. Мережний комп'ютер, який крім мережевих функцій (обслуговування мережі, передача повідомлень) виконує користувальні завдання (програми, розрахунки, обчислення).

Шлюз - станція зв'язку з зовнішнім або іншою мережею. Може забезпечувати зв'язок несумісних мереж, а також взаємодія несумісних додатків у рамках однієї мережі.

Електронна пошта - обмін поштовими повідомленнями з будь-яким абонентом мережі Internet.

Використані джерела

1. Браун С. "Мозаїка" та "Всесвітня павутина" для доступу до Internet: Пер. c англ. - М.: Світ: Маліп: СК Пресс, 1996. - 167c.

2. Гайкович В., Першин О. Безпека електронних банківських систем. - М.: "Єдина Європа", 1994. - 264 c.

3. Гілстер П. Новий навігатор Internet: Пер з англ. -Київ: Діалектика, 1996. - 495 c.

4. Ігер Б. Робота в Internet / Под ред. А. Тихонова; Пер. c англ. - М.: БІНОМ, 1996. - 313 c.

5. Кент П. Internet / Пер. c англ. В.Л. Григор'єва. - М.: Комп'ютер, ЮНИТИ, 1996. - 267 c.

6. Колесніков О.Е. Інтернет для ділової людини. - M.: МЦФ. Издат. фірма "Яуза", 1996. - 281 c.

7. Крол Ед. Усі про Internet: Керівництво та каталог / Пер. c англ. С.М. Тімачева. - Київ: BNV, 1995. 591 c.

8. Левін В.К. Захист інформації в інформаційно-обчислювальних cистемах та мережах / / Програмування. - 1994. - N5. - C. 5-16.

9. Нольде М. Ваш перший вихід в Internet: Для початківців пльзователей Internet і широкого кола користувачів PC / Гол. ред. Є.В. Кондукова; Пер з нім. К.А. Шиндер. - Спб.: ІКС, 1996. - 238 с.

10. Продукти року / / LAN - російське видання. - Квітень 1995. - Том 1. - Номер 1. - C. 6-25.

11. Про інформацію, інформатизації і захисту інформації: Федеральний Закон / / Російська газета. - 1995. - 22 лютого. - C. 4.

12. Фролов А.В., Фролов Г.В. Глобальні мережі комп'ютерів. Практичне введення в Internet, E-mail, FTP, WWW, і HTML, програмування для Windiws Sockets. - Діалог - МІФІ, 1996. - 283 c.

13. Хонікат Д. Internet Windows 95: Керівництво користувача / Пер. з англ. В. Неклюдова. - М.: БІНОМ, 1996. - 334 с.

14. Cheswick WR, Bellovin SM Firewalls and Internet Security: Repelling the Wily Hacker. - Addison-Wesley, 1994. - 275 c.

15. An Introduction to Computer Security: The NIST Handbook. Draft. - National Institute of Standards and Technology, Technology Administration, US Department of Commerce, 1994. - 310 c.


Додати в блог або на сайт

Цей текст може містити помилки.

Програмування, комп'ютери, інформатика і кібернетика | Диплом
217кб. | скачати


Схожі роботи:
Захист інформації в Інтернеті 2
Захист авторських прав в Інтернеті
Пошук інформації в Інтернеті
Пошук інформації в Інтернеті
Захист від несанкціонованої аудіозаписи Захист комп`ютерної інформації Криптографічні
Методи пошуку інформації в Інтернеті
Пошук інформації в Інтернеті по темі Облік руху основних засобів
Пошук інформації в Інтернеті по темі Облік амортизації зносу основних засобів
Пошук інформації в Інтернеті по темі Облік поточних зобов`язань і розрахунків з покупцями і замовниками
© Усі права захищені
написати до нас