Категория
Информатика
Тип
реферат
Страницы
14 стр.
Дата
08.08.2013
Формат файла
.doc — Microsoft Word
Архив
882333.zip — 698.85 kb
  • programn-zasobi-zaxistu-danix_882333_1.doc — 885 Kb
  • Readme_docus.me.txt — 125 Bytes
Оцените работу
Хорошо  или  Плохо


Текст работы

План

Вступ
                                                                                                     3

I.
             
Інформаційна безпека й інформаційні технології
                          4

II.
          
Засоби захисту інформації
                                                             8

2.1
Технологія роботи в глобальних мережах Solstice FireWall-1
   9
 

2.2 Обмеження доступу в WWW- серверах
                                    17

Висновок
                                                                                               20

Список використаної літератури
                                                          21
                                                  



Вступ
Безпека даних є однієї з головних проблем у Internet.
  З'являються все нові і нові страшні історії про те, як комп'ютерні зломщики, що використовують усе більш витончені прийоми, проникають у чужі бази даних. Зрозуміло, усе це не сприяє популярності Internet у ділових колах. Одна тільки думка про те, що які-небудь хулігани, чи
  що ще гірше, конкуренти, зможуть одержати доступ до архівів комерційних даних, змушує керівництво корпорацій відмовлятися від використання відкритих інформаційних систем. Фахівці затверджують, що подібні побоювання безпідставні, тому що в компаній, що мають доступ і до відкритих частково мереж, практично рівні шанси стати жертвами комп'ютерного терору.

Internet і інформаційна безпека несумісні по самій природі Internet. Вона народилася як чисто корпоративна мережа, однак, у даний час за допомогою єдиного стека протоколів TCP/IP і єдиного адресного простору поєднує не тільки корпоративні і відомчі мережі (освітні, державні, комерційні, військові і т.д.), що є, по визначенню, мережами з обмеженим доступом, але і рядових користувачів, що мають можливість одержати прямий доступ у Internet зі своїх домашніх комп'ютерів за допомогою модемів і телефонної мережі загального користування.
Як відомо, чим простіше доступ у Мережу, тим гірше її інформаційна безпека, тому з повною підставою можна сказати, що споконвічна простота доступу в Internet - гірше злодійства, тому що користувач може навіть і не довідатися, що в нього були скопійовані - файли і програми, не говорячи вже про можливість їхнього псування і коректування.
Може показатися, що з цієї ситуації немає виходу, але інформаційна безпека те саме що безпеки мореплавання: і те, і інше можливо лише з обліком деякого припустимого ступеня ризику. Саме
 для повноцінного захисту даних в всесвітній мережі існують програмні
  засоби
  захисту
  даних
  у Internet.



І. Інформаційна безпека й інформаційні технології
         На ранньому етапі автоматизації впровадження банківських систем (і взагалі засобів автоматизації банківської діяльності) не підвищувало відкритість банку. Спілкування з зовнішнім світом, як і колись, йшло через операціоністів і кур'єрів, тому додаткова погроза безпеки інформації виникала лише від можливих зловживань з боку фахівців, що працювали в самому банку, по інформаційних технологіях.
         Стан змінився після того, як на ринку фінансових послуг стали з'являтися продукти, саме виникнення яких було немислимо без інформаційних технологій. У першу чергу це пластикові картки.
  Поки обслуговування по картках йшло в режимі голосової авторизації, відкритість інформаційної системи банка підвищувалася незначно, але потім з'явилися банкомати, POS-термінали, інші пристрої самообслуговування із засобів, що належать до інформаційної системи банку, але розташовані поза нею і доступні стороннім для банку особам.

           Відкритість системи, що підвищилася, зажадала спеціальних мір для контролю і регулювання обміну інформацією: додаткових засобів ідентифікації й аутентифікації особи, що запитує доступ до системи (PIN-код, інформація про клієнта на магнітній смузі чи в пам'яті мікросхеми картки, шифрування даних, контрольні числа й інші засоби захисту карток), засоби криптозахисту інформації в каналах зв'язку і т.д.
         Ще більше зрушення балансу “захищеність-відкритість” убік останньої пов'язане з телекомунікаціями. Системи електронних розрахунків між банками захистити відносно нескладно, тому що суб'єктами електронного обміну інформацією виступають самі банки. Проте, там, де захисту не приділялася необхідна увага, результати були цілком передбачувані.
  Найбільш кричущою є наша країна. Використання вкрай примітивних засобів захисту телекомунікацій у 1992 р. привело до величезних утрат на фальшивих авізо.

         Загальна тенденція розвитку телекомунікацій і масового поширення обчислювальної техніки привела зрештою до того, що на ринку банківських послуг в усьому світі з'явилися нові, чисто телекомунікаційні продукти, і в першу чергу системи Home Banking (вітчизняний аналог - “клієнт-банк”). Це зажадало забезпечити клієнтам цілодобовий доступ до автоматизованої банківської системи для проведення операцій, причому повноваження на здійснення банківських транзакцій одержав безпосередньо клієнт. Ступінь відкритості інформаційної системи банку зросла майже до межі. Відповідно, вимагаються особливі, спеціальні міри для того, щоб настільки ж значно не упала її захищеність.
         Нарешті, гримнула епоха “інформаційної супермагістралі”: вибуховий розвиток мережі Internet і зв'язаних з нею послуг. Разом з новими можливостями ця мережа принесла і нові небезпеки. Здавалося б, яка різниця, яким чином клієнт зв'язується з банком: по лінії, що комутується, подібної на модемний пул банківського вузла зв'язку, чи по IP-протоколі через Internet? Однак у першому випадку максимально можлива кількість підключень обмежується технічними характеристиками модемного пула, у другому ж можливостями Internet, що можуть бути істотно вище.
  Крім того, сіткова адреса банку, у принципі, загальнодоступна, тоді як телефонні номери модемного пула можуть повідомлятися лише зацікавленим особам. Відповідно, відкритість банку, чия інформаційна система зв'язана з Internet, значно вище, ніж у першому випадку. Так тільки за п'ять місяців 1995 р. комп'ютерну мережу Citicorp зламували 40 разів! (Це свідчить, утім, не стільки про якійсь “небезпеці” Internet узагалі, скільки про недостатньо кваліфіковану роботу адміністраторів безпеки Citicorp.)

         Усе це викликає необхідність перегляду підходів до забезпечення інформаційної безпеки банку. Підключаючи до Internet, варто заново провести аналіз ризику і скласти план захисту інформаційної системи, а також конкретний план ліквідації наслідків, що виникають у випадку тих чи інших порушень конфіденційності, охоронності і приступності інформації.
         На перший погляд, для нашої країни проблема інформаційної безпеки банку не настільки гостра: до Internet чи нам, якщо в більшості банків існують системи другого покоління, що працюють у технології “сервер-файл-сервер”. На жаль, і в нас уже зареєстровані “комп'ютерні крадіжки”. Положення ускладнюється двома проблемами. Насамперед, як показує досвід спілкування з представниками банківських служб безпеки, і в керівництві, і серед персоналу цих служб переважають колишні оперативні співробітники органів внутрішніх
  справ чи держбезпеки. Вони мають високу кваліфікацію у своїй області, але здебільшого слабко знайомі з інформаційними технологіями. Фахівців з інформаційної безпеки в нашій країні узагалі вкрай мало, тому що масової ця професія стає тільки зараз.

Друга проблема зв'язана з тим, що в дуже багатьох банках безпека автоматизованої банківської системи не аналізується і не забезпечується всерйоз. Дуже мало є їх де є той необхідний набір організаційних документів (аналіз ризику, план захисту і план ліквідації наслідків), про яке говорилося вище. Більш того, безпека інформації суцільно і поруч просто не може бути забезпечена в рамках наявної в банку автоматизованої системи і прийнятих правил роботи з нею.
         Не дуже давно мені довелось читати в якомусь журналі про основи інформаційної безпеки на одному із семінарів для керівників керувань автоматизації комерційних банків. На питання: “чи знаєте ви, скільки чоловік мають право входити в приміщення, де знаходиться сервер бази даних Вашого банку?”, ствердно відповіло не більш 40% присутніх.
  Пофамільно назвати тих, хто має таке право, змогли лише 20%. В інших банках доступ у це приміщення не обмежений і ніяк не контролюється. Що говорити про доступ до робочих станцій!

         Що стосується автоматизованих банківських систем, те найбільш розповсюджені системи третього-другого поколінь, складаються з набору автономних програмних модулів, що запускаються з командного рядка DOS на робочих станціях. Оператор має можливість у будь-який момент вийти в DOS з такого програмного модуля. Передбачається, що це необхідно для переходу в інший програмний модуль, але фактично в такій системі не існує ніяких способів не тільки виключити запуск оператором будь-яких інших програм (від необразливої гри до програми, що модифікує дані банківських рахунків), але і проконтролювати дії оператора. Варто помітити, що в ряді систем цих поколінь, у тому числі розроблених дуже шановними вітчизняними фірмами і продаваних сотнями, файли рахунків не шифруються, тобто з даними в них можна ознайомитися найпростішими загальнодоступними засобами. Багато розроблювачів обмежують засоби адміністрування безпеки штатними засобами мережної операційної системи: ввійшов у мережу – і роби, що хочеш.
         Стан змінюється, але занадто повільно. Навіть у багатьох нових розробках питанням безпеки приділяється явно недостатня увага. На виставці “Банк і Офіс - 95” була представлена автоматизована банківська система з архітектурою сервер-клієнт-сервер, причому робочі станції функціонують під Windows. У цій системі дуже своєрідно вирішений вхід оператора в програму: у діалоговому вікні запитується пароль, а потім пред'являється на вибір список прізвищ всіх операторів, що мають право працювати з даним модулем!
  Таких прикладів можна привести ще багато.

         Проте, наші банки приділяють інформаційним технологіям багато уваги, і досить швидко засвоюють нове. Мережа Internet і фінансові продукти, зв'язані з нею, ввійдуть у життя банків України швидше, ніж це припускають скептики, тому вже зараз необхідно затурбуватися питаннями інформаційної безпеки на іншому, більш професійному рівні, чим це робилося дотепер.


ІІ. Засоби захисту інформації
         Зараз навряд чи комусь треба доводити, що при підключенні до Internet Ви піддаєте ризику безпеку Вашої локальної мережі і конфіденційність інформації, що міститься в ній. За даними CERT Coordination Center у 1995 році було зареєстровано 2421 інцидентів - зломів локальних мереж і серверів. За результатами опитування, проведеного Computer Security Institute (CSI) серед 500 найбільш великих організацій, компаній і університетів з 1991 число незаконних вторгнень зросло на 48.9 %, а втрати, викликані цими атаками, оцінюються в 66 млн. доларів США.
         Одним з найбільш розповсюджених механізмів захисту від интернетівських бандитів - “хакерів” є застосування міжсіткових екранів -
брендмауерів (firewalls).

         Варто відзначити, що в наслідок непрофесіоналізму адміністраторів і недоліків деяких типів брендмауерів біля 30% зломів відбувається після встановки захисних систем.
         Не слід думати, що усе викладене вище - “заморські дивини”. Усім, хто ще не упевнений, що Україна впевнено доганяє інші країни по кількості зломів серверів і локальних мереж і принесеному ними збитку, варто познайомитися з тематичною добіркою матеріалів української преси і матеріалами Hack Zone (Zhurnal.Ru).
         Не дивлячись на удаваний правовий хаос у області яку розглядаємо, будь-яка діяльність по розробці, продажу і використанню засобів захисту інформації регулюється безліччю законодавчих і нормативних документів, а усі використовувані системи підлягають обов'язкової сертифікації Державної Технічної Комісії при президенті України.


2.1 Технологія роботи в глобальних мережах Solstice FireWall-1
          В даний час питанням безпеки даних у розподілених комп'ютерних системах приділяється дуже велика увага. Розроблено безліч засобів для забезпечення інформаційної безпеки, призначених для використання на різних комп'ютерах з різними ОС. У якості одного з напрямків можна виділити міжсіткові екрани (firewalls), покликані контролювати доступ до інформації з боку користувачів зовнішніх мереж.
         Тут ми розглянемо основні поняття систем, що екранують, а також вимоги, пропоновані до них. На прикладі пакета Solstice FireWall-1 розглядається кілька типових випадків використання таких систем, особливо стосовно до питань забезпечення безпеки Internet-підключень. Розглянуто також кілька унікальних особливостей Solstice FireWall-1, що дозволяють говорити про його лідерство в даному класі додатків.
2.1.1 Призначення систем, що екранують, і вимоги до них
         Проблема міжсіткового екранування формулюється в такий спосіб. Нехай маємо дві інформаційні системи чи дві безлічі інформаційних систем. Екран (firewall) – це засіб розмежування доступу клієнтів з однієї безлічі систем до інформації, що зберігається на серверах в іншій безлічі.
Малюнок 1

Малюнок 1.Екран FireWall.
         Екран виконує свої функції, контролюючи всі інформаційні потоки між цими двома безлічами інформаційних систем, працюючи як деяка “інформаційна мембрана”. У цьому змісті екран можна уявляти собі як набір фільтрів, що аналізують проходячу через них інформацію і, на основі закладених у нього алгоритмів, приймає рішення: чи пропустити цю інформацію чи відмовити в її пересиланні. Крім того, така система може виконувати реєстрацію подій, зв'язаних із процесами розмежування доступу. Зокрема, фіксувати всі “незаконні” спроби доступу до інформації і, додатково, сигналізувати про ситуації, що вимагають негайної реакції, тобто здіймати тривогу.
         Звичайно екранують системи роблять несиметричними. Для екранів визначаються поняття “усередині” і “зовні”, і завдання екрана полягає в захисті внутрішньої мережі від “потенційно ворожого” оточення. Найважливішим прикладом потенційно ворожої зовнішньої мережі є Internet.
         Розглянемо більш докладно, які проблеми виникають при побудові систем, що екранують. При цьому ми будемо розглядати не тільки проблему безпечного підключення до Internet, але і розмежування доступу усередині корпоративної мережі організації.
По-перше
,
очевидна вимога до таких систем, це забезпечення безпеки внутрішньої (що захищаються) мережі і повний контроль над зовнішніми підключеннями і сеансами зв'язку.
По-друге, екрануюча система повинна мати могутні і гнучкі засоби керування для простого і повного втілення в життя політики безпеки організації і, крім того, забезпечення простої реконфігурації системи при зміні структури мережі.
По-третє, екрануюча система повинна працювати непомітно для користувачів локальної мережі і не утрудняти виконання ними легальних дій.
По-четверте, екрануюча система повинна працювати досить ефективно і встигати обробляти весь вхідний і вихідний трафік у “пікових” режимах.
  Це необхідно для того, щоб firewall не можна було, образно говорячи, “закидати” великою кількістю викликів, що привели б до порушення її роботи.

По-п'яте . Система забезпечення безпеки повинна бути сама надійно захищена від будь-яких несанкціонованих впливів, оскільки вона є ключем до конфіденційної інформації в організації.
По-шосте. В ідеалі, якщо в організації є кілька зовнішніх підключень, у тому числі й у віддалених філіях, система керування екранами повинна мати можливість централізовано забезпечувати для них проведення єдиної політики безпеки.
По-сьоме. Система Firewall повинна мати засіб авторизації доступу користувачів через зовнішні підключення. Типової є ситуація, коли частина персоналу організації повинна виїжджати, наприклад, у відрядження, і в процесі роботи їм, тим немение, потрібно доступ, принаймні, до деяких ресурсів внутрішньої комп'ютерної мережі організації. Система повинна вміти надійно розпізнавати таких користувачів і надавати їм необхідний доступ до інформації.
2.1.2 Структура системи
Soltstice
Firewall
-
1

         Класичним прикладом, на якому хотілося б проілюструвати усі вищевикладені принципи, є програмний комплекс Solstice FireWall-1 компанії Sun Microsystems. Даний пакет неодноразово відзначався нагородами на виставках і конкурсах. Він має багато корисних особливостей, що виділяють його серед продуктів аналогічного призначення. Розглянемо основні компоненти Solstice FireWall-1 і функції, що реалізуються (мал. 2).
         Центральним для системи FireWall-1 є модуль керування всім комплексом. З цим модулем працює адміністратор безпеки мережі.
  Слід зазначити, що продуманість і зручність графічного інтерфейсу модуля керування відзначалася в багатьох незалежних оглядах, присвячених продуктам даного класу.

<</b>



Ваше мнение



CAPTCHA