Автор: Елена Никишаева, 09 Октября 2010 в 03:56, курсовая работа
Internet - глобальная компьютерная сеть, охватывающая весь мир. Сегодня Internet имеет около 15 миллионов абонентов в более чем 150 странах мира. Ежемесячно размер сети увеличивается на 7-10%. Internet образует как бы ядро, обеспечивающее связь различных информационных сетей, принадлежащих различным учреждениям во всем мире, одна с другой.
Если ранее сеть использовалась исключительно в качестве среды передачи файлов и сообщений электронной почты, то сегодня решаются более сложные задачи распределеного доступа к ресурсам. Около двух лет назад были созданы оболочки, поддерживающие функции сетевого поиска и доступа к распределенным информационным ресурсам, электронным архивам.
Internet, служившая когда-то исключительно исследовательским и учебным группам, чьи интересы простирались вплоть до доступа к суперкомпьютерам, становится все более популярной в деловом мире.
Компании соблазняют быстрота, дешевая глобальная связь, удобство для проведения совместных работ, доступные программы, уникальная база данных сети Internet. Они рассматривают глобальную сеть как дополнение к своим собственным локальной сетям.
Фактически Internet состоит из множества локальных и глобальных сетей, принадлежащих различным компаниям и предприятиям, связанных между собой различными линиями связи. Internet можно представить себе в виде мозаики сложенной из небольших сетей разной величины, которые активно взаимодействуют одна с другой, пересылая файлы, сообщения и т.п.
Введение............................................................................................... 2
Глава 1 Общая характеристика сети Internet..................................... 4
1.1 История скти Internet........................................................... 4
1.1.1 Протоколы сети Internet..................................................... 5
1.2 Услуги предоставляемые сетью........................................... 6
1.3 Гипертекстовая технология WWW, URL, HTML............... 9
1.3.1 Архитектура WWW - технологии.................................... 10
1.3.2 Основные компоненты технологии World Wide Web.... 13
Глава 2 Защита информации в глобальлной сети Internet............... 16
2.1 Проблемы защиты информации......................................... 16
2.1.1 Информационная безопасность и информационные
технологии................................................................................ 19
2.2 Средства защиты информации.......................................... 23
2.2.1 Технология работы в глобальных сетях
Solstice FireWall-1...................................................................... 24
2.2.2 Ограничение доступа в WWW- серверах........................ 33
2.3 Информационная безопасность в Intranet........................ 35
Заключение........................................................................................ 51
Список специальных терминов.......................................................... 53
Спиок использованных источников................................................... 57
Не
смотря на кажущийся правовой
хаос в расматриваемой области,
2.2.1
Технология работы
в глобальных сетях
Solstice FireWall-1
В
настоящее время вопросам
В
настоящем документе
НАЗНАЧЕНИЕ
ЭКРАНИРУЮЩИХ СИСТЕМ
И ТРЕБОВАНИЯ К
НИМ
Проблема
межсетевого экранирования
Рисунок
2.2.1
Рисунок 2.2.1 Экран FireWall.
Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем, работая как некоторая “информационная мембрана”. В этом смысле экран можно представлять себе как набор фильтров, анализирующих проходящую через них информацию и, на основе заложенных в них алгоритмов, принимающих решение: пропустить ли эту информацию или отказать в ее пересылке. Кроме того, такая система может выполнять регистрацию событий, связанных с процессами разграничения доступа. в частности, фиксировать все “незаконные” попытки доступа к информации и, дополнительно, сигнализировать о ситуациях, требующих немедленной реакции, то есть поднимать тревогу.
Обычно экранирующие системы делают несимметричными. Для экранов определяются понятия “внутри” и “снаружи”, и задача экрана состоит в защите внутренней сети от “потенциально враждебного” окружения. Важнейшим примером потенциально враждебной внешней сети является Internet.
Рассмотрим
более подробно, какие проблемы
возникают при построении
Первое, очевидное требование к таким системам, это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.
Во-вторых, экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного воплощения в жизнь политики безопасности организации и, кроме того, для обеспечения простой реконфигурации системы при изменении структуры сети.
В-третьих, экранирующая система должна работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.
В-четвертых, экранирующая система должна работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в “пиковых” режимах. Это необходимо для того, чтобы firewall нельзя было, образно говоря, “забросать” большим количеством вызовов, которые привели бы к нарушению ее работы.
Пятое. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.
Шестое. В идеале, если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики безопасности.
Седьмое. Система Firewall должна иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им, тем немение, требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна уметь надежно распознавать таких пользователей и предоставлять им необходимый доступ к информации.
СТРУКТУРА
СИСТЕМЫ SOLSTICE FIREWALL-1
Классическим примером, на котором хотелось бы проиллюстрировать все вышеизложенные принципы, является программный комплекс Solstice FireWall-1 компании Sun Microsystems. Данный пакет неоднократно отмечался наградами на выставках и конкурсах. Он обладает многими полезными особенностями, выделяющими его среди продуктов аналогичного назначения.
Рассмотрим
основные компоненты Solstice FireWall-1 и
функции, которые они
Центральным для системы FireWall-1 является модуль управления всем комплексом. С этим модулем работает администратор безопасности сети. Следует отметить, что продуманность и удобство графического интерфейса модуля управления отмечалось во многих независимых обзорах, посвященных продуктам данного класса.
Рисунок
2.2.2
Рисунок 2.2.2 Основные компоненты Solstice FireWall-1 .
Администратору
безопасности сети для
• Определить объекты, участвующие в процессе обработки информации. Здесь имеются в виду пользователи и группы пользователей, компьютеры и их группы, маршрутизаторы и различные подсети локальной сети организации.
• Описать сетевые протоколы и сервисы, с которыми будут работать приложения. Впрочем, обычно достаточным оказывается набор из более чем 40 описаний, поставляемых с системой FireWall-1.
• Далее,
с помощью введенных понятий описывается
политика разграничения доступа в следующих
терминах: “Группе пользователей А разрешен
доступ к ресурсу Б с помощью сервиса или
протокола С, но об этом необходимо сделать
пометку в регистрационном журнале”.
Совокупность таких записей компилируется
в исполнимую форму блоком управления
и далее передается на исполнение в модули
фильтрации.
Модули
фильтрации могут
Модули
фильтрации просматривают все
пакеты, поступающие на сетевые
интерфейсы, и, в зависимости от
заданных правил, пропускают или
отбрасывают эти пакеты, с соответствующей
записью в регистрационном журнале.
Следует отметить, что эти модули, работая
непосредственно с драйверами сетевых
интерфейсов, обрабатывают весь поток
данных, располагая полной информацией
о передаваемых пакетах.
ПРИМЕР
РЕАЛИЗАЦИИ ПОЛИТИКИ
БЕЗОПАСНОСТИ
Расcмотрим
процесc практической реализации
политики безопасности
Рисунок
2.2.3
Рисунок 2.2.3 Реализация политики безопасности FireWall.
1. Прежде всего, как уже отмечалось, разрабатываются и утверждаются на уровне руководства организации правила политики безопасности.
2. После
утверждения эти правила надо
воплотить в жизнь. Для этого
их нужно перевести в
3. Далее,
на основе этой базы правил
формируются списки доступа
4. В
процессе работы фильтры
5. На
основе анализа записей,
Рассмотрим простой пример реализации следующих правил:
1. Из
локальных сетей подразделений,
2. Всем запрещается доступ к сети финансового департамента, за исключением генерального директора и директора этого департамента.
3. Из Internet
разрешается только отправлять
и получать почту. Обо всех
других попытках связи
Все эти правила естественным образом представляются средствами графического интерфейса Редактора Правил FireWall-1 (рис. 2.2.4).
Рисунок
2.2.4
Рисунок
2.2.4 Графический интерфейс Редактора
Правил FireWall-1 .
После загрузки правил, FireWall-1 для каждого пакета, передаваемого по сети, последовательно просматривает список правил до нахождения элемента, соответствующего текущему случаю.
Важным
моментом является защита
УПРАВЛЕНИЕ
СИСТЕМОЙ FIREWALL-1
На рис. 2.2.5 показаны основные элементы управления системой FireWall-1.
Рисунок
2.2.5
Рисунок 2.2.5 Основные элементы управления системой FireWall-1.
Слева
расположены редакторы баз
Справа внизу располагается интерфейс контроля текущего состояния системы, в котором для всех объектов, которые занес туда администратор, отображаются данные о количестве разрешенных коммуникаций (галочки), о количестве отвергнутых связей (знак “кирпич”) и о количестве коммуникаций с регистрацией (иконка карандаш). Кирпичная стена за символом объекта (компьютера) означает, что на нем установлен модуль фильтрации системы FireWall-1.
ЕЩЕ
ОДИН ПРИМЕР РЕАЛИЗАЦИИ
ПОЛИТИКИ БЕЗОПАСНОСТИ
Рассмотрим теперь случай, когда первоначальная конфигурация сети меняется, а вместе с ней меняется и политика безопасности.
Пусть
мы решили установить у себя
в организации несколько