Автор: Пользователь скрыл имя, 08 Декабря 2011 в 11:29, реферат
Вопрос защиты информации поднимается уже с тех пор, как только люди
научились письменной грамоте. Всегда существовала информацию, которую
должны знать не все. Люди, обладающие такой информацией, прибегали к разным
способам ее защиты. Из известных примеров это такие способы как тайнопись
(письмо симпатическими чернилами), шифрование («тарабарская грамота», шифр
Цезаря, более совершенные шифры замены, подстановки).
2.3 Идентификация и аутентификация
Идентификацию и аутентификацию можно считать основой программно-
технических средств безопасности, поскольку остальные сервисы рассчитаны на
обслуживание именованных субъектов. Идентификация и аутентификация - это
первая
линия обороны, "проходная" информационного
пространства организации.
Идентификация позволяет субъекту - пользователю или процессу,
действующему от имени определенного пользователя, назвать себя, сообщив
свое имя. Посредством аутентификации вторая сторона убеждается, что субъект
действительно тот, за кого себя выдает. В качестве синонима слова
"аутентификация" иногда используют сочетание "проверка подлинности".
Субъект может подтвердить свою подлинность, если предъявит по крайней мере
одну из следующих сущностей:
•нечто, что он знает: пароль, личный идентификационный номер,
криптографический ключ и т.п.,
•нечто, чем он владеет: личную карточку или иное устройство
аналогичного назначения,
•нечто, что является частью его самого: голос, отпечатки пальцев и
т.п., то есть свои биометрические характеристики,
•нечто, ассоциированное с ним, например координаты.
Необходимо искать компромисс
между надежностью,
удобством использования и администрирования средств идентификации и
аутентификации. Обычно компромисс достигается за счет комбинирования двух
первых
из перечисленных базовых
Наиболее распространенным
3.
Защита в глобальных
сетях.
В настоящее время вопросам безопасности данных в распределенных компьютерных системах уделяется очень большое внимание. Разработано множество средств для обеспечения информационной безопасности, предназначенных для использования на различных компьютерах с разными ОС. В качестве одного из направлений можно выделить межсетевые экраны (firewalls), призванные контролировать доступ к информации со стороны пользователей внешних сетей.
3.1 Технология работы в глобальных сетях Solstice FireWall-1 .
Одним из наиболее распространенных механизмов защиты от интернетовских бандитов - “хакеров” является применение межсетевых экранов - брэндмауэров (firewalls).
Стоит отметить, что вследствие непрофессионализма администраторов и недостатков некоторых типов брэндмауэров порядка 30% взломов совершается после установки защитных систем.
В настоящем
документе рассматриваются
3.2. Назначение экранирующих систем и требования к ним.
Проблема
межсетевого экранирования
Экран
выполняет свои функции, контролируя
все информационные потоки между
этими двумя множествами
Обычно
экранирующие системы делают несимметричными.
Для экранов определяются понятия
“внутри” и “снаружи”, и задача
экрана состоит в защите внутренней
сети от “потенциально враждебного”
окружения. Важнейшим примером потенциально
враждебной внешней сети является Internet.
3.3 Проблемы при построении экранирующих систем.
Рассмотрим более подробно, какие проблемы возникают при построении экранирующих систем. При этом мы будем рассматривать не только проблему безопасного подключения к Internet, но и разграничение доступа внутри корпоративной сети организации.
Первое, очевидное требование к таким системам, это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.
Во-вторых, экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного воплощения в жизнь политики безопасности организации и, кроме того, для обеспечения простой реконфигурации системы при изменении структуры сети.
В-третьих, экранирующая система должна работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.
В-четвертых, экранирующая система должна работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в “пиковых” режимах. Это необходимо для того, чтобы firewall нельзя было, образно говоря, “забросать” большим количеством вызовов, которые привели бы к нарушению ее работы.
Пятое. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.
Шестое. В идеале, если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики безопасности.
Седьмое. Система Firewall должна иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им, тем немение, требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна уметь надежно распознавать таких пользователей и предоставлять им необходимый доступ к информации.
(см.рис.6)
3.4. Язык программирования. Прозрачность и эффективность.
Система Solstice FireWall-1 имеет собственный встроенный обьектно-ориентированный язык программирования, применяемый для описания поведения модулей - Фильтров системы. Собственно говоря, результатом работы графического интерфейса администратора системы является сгенерированный сценарий работы именно на этом внутреннем языке. Он не сложен для понимания, что допускает непосредственное программирование на нем. Однако на практике данная возможность почти не используется, поскольку графический интерфейс системы и так позволяет сделать практически все, что нужно.
FireWall-1 полностью прозрачен для конечных пользователей. Еще одним замечательным свойством системы Solstice FireWall-1 является очень высокая скорость работы. Фактически модули системы работают на сетевых скоростях передачи информации, что обусловлено компиляцией сгенерированных сценариев работы перед подключением их непосредственно в процесс фильтрации.
Компания Sun Microsystems приводит такие данные об эффективности работы Solstice FireWall-1. Модули фильтрации на Internet-шлюзе, сконфигурированные типичным для многих организаций образом, работая на скоростях обычного Ethernet в 10 Мб/сек, забирают на себя не более 10% вычислительной мощности процессора SPARCstation 5,85 МГц или компьютера 486DX2-50 с операционной системой Solaris/x86.
По совокупности
технических и стоимостных
4. Защита информации путём ограничения доступа
4.1. Ограничения доступа в WWW серверах.
Рассмотрим два из них:
• Ограничить доступ по IP адресам клиентских машин;
• ввести идентификатор получателя с паролем для данного вида документов.
Такого рода ввод ограничений стал использоваться достаточно часто, т.к. многие стремятся в Internet, чтобы использовать его коммуникации для доставки своей информации потребителю. С помощью такого рода механизмов по разграничению прав доступа удобно производить саморассылку информации на получение которой существует договор.
4.2. Ограничения по IP адресам.
Доступ к приватным документам можно разрешить, либо наоборот запретить используя IP адреса конкретных машин или сеток, например:
123.456.78.9
123.456.79.
В этом случае доступ будет разрешен (или запрещен в зависимости от контекста) для машины с IP адресом 123.456.78.9 и для всех машин подсетки 123.456.79.
4.3. Ограничения по идентификатору получателя.
Доступ к приватным документам можно разрешить, либо наоборот запретить используя присвоенное имя и пароль конкретному пользователю, причем пароль в явном виде нигде не хранится.
Рассмотрим такой пример: Агенство печати предоставляет свою продукцию, только своим подписчикам, которые заключили договор и оплатили подписку. WWW Сервер находится в сети Internet и общедоступен.(см.рис.7)
Любые дополнительные соединения с другими сегментами или подключение к Интернет порождают новые проблемы. Атаки на локальную сеть через подключение к Интернету для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы защиты информации в протоколах TCP/IP.
4.3.1. Классификация сетевых атак.
Сетевые атаки через Интернет могут быть классифицированы следующим образом:
Информация о работе Защита информации в локальных и глобальных сетях