Методы защиты информации в интернете

Защита информации в интернет

Методы защиты информации в интернете

Internet — глобальная компьютерная сеть, охватывающая весь мир. Сегодня Internet имеет около 15 миллионов абонентов в более чем 150 странах мира. Ежемесячно размер сети увеличивается на 7-10%. Internet образует как бы ядро, обеспечивающее связь различных информационных сетей, принадлежащих различным учреждениям во всем мире, одна с другой.

Проблемы защиты информации

Internet и информационная безопасность несовместны по самой природе Internet. Чем проще доступ в Сеть, тем хуже ее информационная безопасность, поэтому изначальная простота доступа в Internet хуже воровства, так как пользователь может даже и не узнать, что у него были скопированы файлы и программы, не говоря уже о возможности их порчи и корректировки.

Платой за пользование Internet является всеобщее снижение информационной безопасности, поэтому для предотвращения несанкционированного доступа к своим компьютерам все корпоративные и ведомственные сети, а также предприятия, использующие технологию Intranet, ставят фильтры (fire-wall) между внутренней сетью и Internet, что фактически означает выход из единого адресного пространства. Еще большую безопасность даст отход от протокола TCP/IP и доступ в Internet через шлюзы.

Этот переход можно осуществлять одновременно с процессом построения всемирной информационной сети общего пользования, на базе использования сетевых компьютеров, которые с помощью сетевой карты 10Base-T и кабельного модема обеспечивают высокоскоростной доступ (10 Мбит/с) к локальному Web-серверу через сеть кабельного телевидения.

Для решения этих и других вопросов при переходе к новой архитектуре Internet нужно предусмотреть следующее:

  • ликвидировать физическую связь между будущей Internet (которая превратится во Всемирную информационную сеть общего пользования) и корпоративными и ведомственными сетями, сохранив между ними лишь информационную связь через систему World Wide Web.
  • заменить маршрутизаторы на коммутаторы, исключив обработку в узлах IP-протокола и заменив его на режим трансляции кадров Ethernet, при котором процесс коммутации сводится к простой операции сравнения MAC-адресов.
  • перейти в новое единое адресное пространство на базе физических адресов доступа к среде передачи (MAC-уровень), привязанное к географическому расположению сети, и позволяющее в рамках 48-бит создать адреса для более чем 64 триллионов независимых узлов.

Безопасность данных является одной из главных проблем в Internet.

В области информации дилемма безопасности формулируется следующим образом: следует выбирать между защищенностью системы и ее открытостью. Но это должно быть в балансе, так как система, не обладающая свойством открытости, не может быть использована.

Информационная безопасность в Intranet

Архитектура Intranet подразумевает подключение к внешним открытым сетям, использование внешних сервисов и предоставление собственных сервисов вовне, что предъявляет повышенные требования к защите информации.

В Intranet-системах используется подход клиент-сервер, а главная роль на сегодняшний день отводится Web-сервису. Web-серверы должны поддерживать традиционные защитные средства, такие как аутентификация и разграничение доступа; кроме того, необходимо обеспечение новых свойств, в особенности безопасности программной среды и на серверной, и на клиентской сторонах.

Таковы, если говорить совсем кратко, задачи в области информационной безопасности, возникающие в связи с переходом на технологию Intranet. Далее мы рассмотрим возможные подходы к их решению.

Формирование режима информационной безопасности — проблема комплексная.

Меры по ее решению можно разделить на четыре уровня:

• законодательный (законы, нормативные акты, стандарты и т.п.);

• административный (действия общего характера, предпринимаемые руководством организации);

• процедурный (конкретные меры безопасности, имеющие дело с людьми);

• программно-технический (конкретные технические меры).

Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. Образно говоря, если в крепости механизм подъемного моста ломается, мост должен оставаться в поднятом состоянии, препятствуя проходу неприятеля.

Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.

Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это особенно важно, чтобы предотвратить злонамеренные или неквалифицированные действия системного администратора.

Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией — управление доступом и, как последний рубеж, — протоколирование и аудит. Эшелонированная оборона способна по крайней мере задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий.

Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками (например умением преодолевать высокую ограду и знанием слабостей нескольких операционных систем).

Очень важен принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его корректность. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование.

Читайте также  Защита дома от перенапряжения в сети

В этой связи важно отметить интегрирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый, наглядный интерфейс. Соответственно, если объекты некоторого вида (скажем таблицы базы данных) доступны через Web, необходимо заблокировать прямой доступ к ним, поскольку в противном случае система будет сложной и трудноуправляемой.

Последний принцип — всеобщая поддержка мер безопасности — носит нетехнический характер. Если пользователи и/или системные администраторы считают информационную безопасность чем-то излишним или даже враждебным, режим безопасности сформировать заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.

Анализ рисков — важнейший этап выработки политики безопасности. При оценке рисков, которым подвержены Intranet-системы, нужно учитывать следующие обстоятельства:

• новые угрозы по отношению к старым сервисам, вытекающие из возможности пассивного или активного прослушивания сети.

Пассивное прослушивание означает чтение сетевого трафика, а активное его изменение (кражу, дублирование или модификацию передаваемых данных). Например, аутентификация удаленного клиента с помощью пароля многократного использования не может считаться надежной в сетевой среде, независимо от длины пароля;

• новые (сетевые) сервисы и ассоциированные с ними угрозы.

Как правило, в Intranet-системах следует придерживаться принципа “все, что не разрешено, запрещено”, поскольку “лишний” сетевой сервис может предоставить канал проникновения в корпоративную систему.

Процедурные меры

Intranet-технология не предъявляет каких-либо специфических требований к мерам процедурного уровня. На наш взгляд, отдельного рассмотрения заслуживают лишь два обстоятельства:

• описание должностей, связанных с определением, наполнением и поддержанием корпоративной гипертекстовой структуры официальных документов;

• поддержка жизненного цикла информации, наполняющей Intranet.

При описании должностей целесообразно исходить из аналогии между Intranet и издательством. В издательстве существует директор, определяющий общую направленность деятельности. В Intranet ему соответствует Web-администратор, решающий, какая корпоративная информация должна присутствовать на Web-сервере и как следует структурировать дерево (точнее, граф) HTML-документов.

В многопрофильных издательствах существуют редакции, занимающиеся конкретными направлениями (математические книги, книги для детей и т.п.). Аналогично, в Intranet целесообразно выделить должность публикатора, ведающего появлением документов отдельных подразделений и определяющего перечень и характер публикаций.

У каждой книги есть титульный редактор, отвечающий перед издательством за свою работу. В Intranet редакторы занимаются вставкой документов в корпоративное дерево, их коррекцией и удалением. В больших организациях “слой” публикатор/редактор может состоять из нескольких уровней.

Наконец, и в издательстве, и в Intranet должны быть авторы, создающие документы. Подчеркнем, что они не должны иметь прав на модификацию корпоративного дерева и отдельных документов. Их дело — передать свой труд редактору.

Кроме официальных, корпоративных, в Intranet могут присутствовать групповые и личные документы, порядок работы с которыми (роли, права доступа) определяется, соответственно, групповыми и личными интересами.

Переходя к вопросам поддержки жизненного цикла Intranet-информации, напомним о необходимости использования средств конфигурационного управления. Важное достоинство Intranet-технологии состоит в том, что основные операции конфигурационного управления — внесение изменений (создание новой версии) и извлечение старой версии документа — естественным образом вписываются в рамки Web-интерфейса. Те, для кого это необходимо, могут работать с деревом всех версий всех документов, подмножеством, которого является дерево самых свежих версий.

Статьи к прочтению:

  • Защита от электромагнитного излучения
  • Защита от спама (пассивные методы).

:

Источник: http://csaa.ru/zashhita-informacii-v-internet/

Как осуществить защиту информации в интернете?

Методы защиты информации в интернете

Сегодня одной из самых актуальных проблем в сфере информационно-вычислительных систем является защита информации в интернете. Действительно, мало кто мыслит свою жизнь без электронной глобальной сети. Люди ведут различные финансовые операции в интернете, заказывают товары, услуги, пользуются кредитными карточками, проводят платежи, разговаривают и переписываются, совершают много других действий, требующих обеспечения конфиденциальности и защиты.

Информационная безопасность

Этим термином принято обозначать само состояние информации, означающее, что система функционирует нормально, данные защищены и обеспечена безопасность их целостности, конфиденциальности и доступности. Также он может относиться и к определению этого процесса. Основные составляющие информационной безопасности подразумевают следующее:

  1. Если к данным есть доступ лишь у тех пользователей, кто авторизован, значит, они конфиденциальны;
  2. Достоверность, полнота информации (а также данные о методах ее обработки) означают целостность;
  3. Понятие доступности предполагает, что к ресурсам и связанным с ними активам будет обеспечен доступ для авторизованных пользователей, если возникает такая необходимость.

Это три принципа защиты информации. Кроме них, еще выделяют принцип аутентичности, который означает, что должна быть обеспечена подлинность субъекта и объекта доступа.

Проблемы и риски информационной безопасности

Источников, из которых может исходить угроза или несанкционированный доступ к вашим данным, существует несколько.

Первые – это источники антропогенного характера. Сюда относятся действия различных субъектов. Они могут быть преднамеренными либо случайными. Они разделяются на внешний и внутренний типы. Первый означает незаконное вторжение постороннего лица из внешней сети общего назначения. Второй подразумевает собой действие изнутри, то есть со стороны сотрудника компании, к примеру.

Читайте также  Защита дыхательных путей от хлора

Все, что приводит к сбою или отказу работать программного и технического средства, относится к техногенным источникам. Здесь могут быть виноваты банальные ошибки программного обеспечения, устаревшие устройства или системы, сбои оборудования (кабельная или дисковая система, проблемы с сервером, рабочей станцией).

Всегда следует делать поправку и на какие-то чрезвычайные обстоятельства, поэтому выделяют стихийные источники. К ним относятся как любые случаи форс-мажорного характера, так и всяческие природные катаклизмы.

про защиту от интернет-рейдеров:

Причин, по которым могут происходить утечка информации и осуществляться несанкционированный доступ к ней в сетях, достаточно много:

  1. Она может быть перехвачена;
  2. Модификация информации (изменение исходного документа или сообщения либо его абсолютная подмена с последующей отсылкой адресату);
  3. Фальсификация авторства (если посылают любые данные от вашего имени);
  4. К серверу аппаратуры или линии связи может быть осуществлено незаконное подключение;
  5. Кто-то может замаскироваться под авторизованного пользователя и присвоить себе его данные и полномочия;
  6. Вводятся новые пользователи;
  7. После преодоления мер защиты носители информации и файлы могут быть скопированы;
  8. Неправильное хранение архивных данных;
  9. Некорректная работа обслуживающего персонала или пользователей;
  10. Внедрение компьютерного вируса;
  11. Недостатки вашей операционной системы или прикладных программных средств могут быть использованы против вас.

Подводные камни защиты информации в интернете

Когда вы передаете в сетях какие-то данные, то, прежде чем они достигнут адресата, им нужно пройти через множество других серверов и маршрутизаторов. Никакого отслеживания или контроля по пути при этом нет. Поэтому с информацией может произойти что угодно. Интернет по своей архитектуре дает возможность злоумышленникам полную свободу действий.

Система интернет зарождалась как абсолютно корпоративная. Но получилось так, что со временем она стала оперировать не только сетями образовательного, коммерческого, государственного, ведомственного, военного характера, что сами по себе подразумевают некий ограниченный доступ, но и простыми пользователями, которые легко получают прямой доступ в интернет с любого домашнего компьютера с помощью обычного модема и телефонной сети общего пользования. При этом используются единый стек протоколов TCP/IP и единое адресное пространство.

Такая простота доступа в интернет негативным образом сказывается на безопасности информации в сетях. А хуже всего то, что вы можете даже и не узнать, что ваши файлы или программы были скопированы, не говоря уже о возможности их порчи и корректировки.

Защита информации в интернете является одной из главных проблем любой крупной компании или организации. Те, кто более предусмотрителен, планируют, как должна осуществляется защита заблаговременно. Остальные задумываются об этом уже после первой неприятности.

Серия видео-уроков:

Кому нужна система защиты информации?

Любая организация или компания, которая хранит и обрабатывает данные в информационных системах, нуждается в средствах защиты информации:

  • Финансово-кредитные организации;
  • Коммерческие и государственные организации, у которых есть подключения в сетях общего пользования;
  • Территориально-распределенные компании;
  • Организации, которые вынуждены предоставлять внешний доступ к своим ресурсам информации;
  • Операторы связи.

Конечно, это далеко не весь перечень. И компании, которые вынуждены обезопасить свои информационные данные, становятся перед проблемой выбора между тем, насколько эффективной будет их работа в сетях, и необходимым уровнем защиты. Очень часто пользователи или потребители могут расценить такие меры безопасности как ограничение доступа либо снижение эффективности. Поэтому подбор средств для защиты информации каждая организация осуществляет индивидуально.

Классификация и обзор средств защиты

Из-за того, что проблемы с безопасностью, как и источники угроз, бывают разными, возникла необходимость в создании различных видов ее обеспечения.

Их классифицируют на несколько групп:

  • Средства аппаратного (или технического) характера;
  • Программные меры защиты;
  • Средства, которые относят к смешанному виду;
  • Меры организационного или административного характера.

К первой группе относятся разные устройства. Они могут быть электронными, механическими или электромеханическими, но специфика их работы предполагает защиту информации посредством аппаратных средств. Применение этих устройств позволит воспрепятствовать физическому проникновению или замаскировать данные, если доступ все же был открыт. Технические средства надежны, независимы от субъективных факторов и обладают высокой устойчивостью к модификации. Но у них есть и свои недостатки. В первую очередь это достаточно высокая цена. Также они недостаточно гибкие и практически всегда обладают большими массой и объемом.

Второй вид оперирует разнообразными программами, для того чтобы контролировать доступ, проводить идентификацию пользователей, тестировать контроль системы защиты информации. Кроме того, средства, относящиеся к этой группе, могут шифровать данные и удалять рабочую (остаточную) информацию (вроде временных файлов). Если система использует программные средства для защиты, она получает массу преимуществ.

Они гибкие и надежные, универсальные и достаточно просты в установке, а еще способны к модификации и предполагают определенное развитие. Однако этот вид средств очень чувствителен к случайным и преднамеренным изменениям.

К другим недостаткам программной защиты можно отнести использование части ресурсов файл-сервера и рабочих станций, ограниченную функциональность сети и то, что ее средства могут зависеть от типа компьютера и его аппаратных средств.

В последний вид входят средства защиты информации организационно-технического и организационно-правового характера. Сюда можно отнести:

  • Контроль доступа в помещения, их подготовку и оснащение;
  • Разработку стратегий безопасности компании;
  • Подборку и изучение национальных законодательств с последующим их применением;
  • Учреждение правил работы и контроль их соблюдения.

Полноценная защита информации в интернете может быть достигнута при использовании всех этих средств в комплексе.

-лекция на тему безопасности в сети:

Наиболее эффективные методы программных средств

Для того чтобы обеспечить необходимую секретность, часто обращаются за помощью к специалистам по криптографии или шифрованию информации. При создании зашифрованных данных используют определенный алгоритм или устройство, которое его реализует. Изменяющийся код ключа осуществляет управление шифрованием. Именно с его помощью вы сможете извлечь информацию.

Среди классических алгоритмов, которые используются, выделяют несколько основных:

  1. Подстановка. Она может быть как самой простой, одноалфавитной, так и многоалфавитной сложной (однопетлевой и многопетлевой);
  2. Перестановка. Различают простую и усложненную;
  3. Гаммирование. Речь идет о смешивании, в котором могут использовать длинную, короткую, неограниченную маски.

В первом случае исходный алфавит заменяется альтернативными. Это самый легкий способ шифрования. Данные, зашифрованные алгоритмом перестановки, будут более защищенными, ведь в нем используются цифровые ключи или эквивалентные слова. Система, отдавшая предпочтение гаммированию, получит гарантию надежности и безопасности информации, потому что для осуществления этого способа шифрования будет проведена серьезная криптографическая работа.

Для защиты используются нелинейные преобразования данных, методы рассечения-разнесения, компьютерная стеганография и прочее. К тому же существует различие между симметричным и несимметричным шифрованием. Первое означает, что для шифровки и дешифровки берутся одинаковые ключи (это называется система с закрытыми ключами). Тогда как система с открытыми ключами подразумевает собой использование открытого ключа для шифра и закрытого – для его расшифровки.

Советы эксперта:

Если же вы хотите обезопасить себя от возможных модификаций или подмены информации, тогда стоит воспользоваться электронной цифровой подписью. Так называется тоже зашифрованное сообщение, только для его шифровки берется закрытый ключ.

Еще стоит проводить аутентификацию. Это означает, что должна быть установлена подлинность каждого пользователя, который представил идентификатор, либо осуществлена проверка. Ведь сообщить этот идентификатор может и совсем другое устройство (лицо), а не тот пользователь, за которого оно себя выдает. В этих целях обычно используются пароли, секретные вопросы. Эффективной является схема одноразовых паролей.

Не стоит путать аутентификацию с авторизацией. При прохождении авторизации проверяются полномочия или права пользователя на то, имеет ли он доступ к конкретному ресурсу и может ли выполнять там какие-либо операции.

Методы безопасности в компьютерных сетях

Если условно разделить все существующие средства защиты, то любая система должна обеспечить безопасность своих внутренних информационных ресурсов и защитить данные в процессе их передачи в интернете. К функциям первой области относятся межсетевые экраны (или брандмауэры – firewalls), которые устанавливают в разрыв всех соединений внутренней сети с глобальной. С их помощью можно разделить локальную сеть на две части или даже использовать МЭ для внутреннего деления, чтобы защитить одну подсеть от другой (особенно актуально такое решение для крупных организаций, где необходимы независимые подразделения).

Система может пострадать из-за любого вторжения в ее ресурс, ведь злоумышленники используют всевозможные средства для этого.

Ваши данные могут быть стерты с помощью вируса, под вашим именем кто-то получит доступ к операционной системе, прочтет конфиденциальную информацию, заменит ее ложной, выведет все устройства и оборудование из рабочего состояния.

Поэтому межсетевой экран должен уметь распознать, какие пользователи являются легальными, а какие – нет, правильно провести классификацию сетевой активности, чтобы не допустить вредоносной, но и не помешать нужной. Набор правил, который будет сформирован, поможет определить условия, по каким пакеты должны проходить из одной части сети в другую.

Что можно сделать на предприятии:

Если же компании нужно обеспечить безопасность информации в сетях, которая уже находится «в пути», тогда обычно обращаются к помощи средств виртуальных частных сетей (VPN). Очень важно, чтобы передаваемые данные, до того как дойдут к месту назначения, не были искажены, уничтожены или просмотрены посторонними.

Способы, используемые в этой области средств, тоже могут быть различными. Существуют разграничения трафика, его шифрование, так что если у кого-то и получится добраться до самого пользовательского IP-пакета, то он сможет лишь удалить его, но не прочитает, не исказит и не подменит данные.

Компания, которая хочет защитить свои ресурсы самым надежным образом, должна применять комплексный подход. Кроме вышеназванных, понадобится система, которая будет осуществлять обнаружение вторжений, предотвращать их, не допускать утечек конфиденциальной информации. Еще желательно использование средств мониторинга сетей, анализа и моделирования информационных потоков, качественных антивирусных программ, не нужно забывать об архивировании и дублировании данных, резервном копировании, анализаторах протоколов, организационных и административных мерах, которые бы помогли предотвратить физический доступ посторонних к ее информации.

Источник: https://camafon.ru/informatsionnaya-bezopasnost/zashhita-v-internete