Файл: Защита внутренней сети и сотрудников компании от атак (Классификация мер обеспечения безопасности КС).pdf
Добавлен: 29.06.2023
Просмотров: 138
Скачиваний: 4
Текущая технология программирования не позволяет создавать столь большие операционные системы безопасными. К тому же администратор, который работает со сложной системой не может учесть весь дальнейший итог произведенных изменений.
В глобальной многопользовательской системе проблемы с безопасностью чаще всего создают сами пользователи (легкий и/или постоянный не меняемый пароль, неправильно установленные права доступа, забытый где то терминал). Единственное решение это разработать специальные сервисы безопасности допускающие формальное или неформальное подтверждение [31].
Межсетевой экран - то самое средство допускающее последующую декомпозицию, которая связана с обслуживанием разных сетевых протоколов.
Межсетевой экран размещается между защищаемой (внутренней) сетью и внешней (внешние сети или другие сегменты корпоративной сети).
В первом случае речь идет о внешнем межсетевом экране, а во втором - о внутреннем. С одной точки зрения - внешний межсетевой экран возможно рассмотреть как первую или последнюю (но не единственную) линию защиты.
Первая линяя защиты это взгляд со стороны злоумышленника.
Последняя линия защиты - стремление к защите всех компонентов корпоративной сети и пресечение незаконных действий внутренних пользователей.
Межсетевой экран - идеально подходит для встраивания средств активного аудита. Обнаружение подозрительных действий на первом и последнем этапах защиты важно. Межсетевой экран быстро и действенно реагирует на подозрительные действия, а в некоторых случаях это может дойти до разрыва связи с внешней средой.
Соединение двух сервисов безопасности может быть причиной проблемы, которая будет способствовать атаке на получение доступа. Межсетевому экрану лучше поручить идентифицикацию/аутентификацию внешних пользователей, которым необходим доступ к корпоративным ресурсам (включая поддержку общего входа в сеть) [27].
Благодаря многоступенчатому методу защиты, чтобы защитить внешние подключения применяется двухкомпонентное экранирование (рисунок 5).
Основную фильтрацию (к примеру, блокирование пакетов управляющего протокола SNMP, который опасен атакой с получением доступа или пакетов с конкретными IP-адресами содержащихся в «черном списке») выполняет крайний маршрутизатор. За ним находится демилитаризованная зона (это сеть с небольшим доверием безопасности, туда обычно переносятся внешние информационные сервисы предприятия, например Web и электронная почта) и главный межсетевой экран, который защищает внутреннюю часть корпоративной сети.
В теории в межсетевом экране (в особенности во внутреннем) должно содержатся много протоколов, однако TCP/IP протоколов куда больше. Поэтому поддержка остальных протоколов является излишней и вредной для безопасности (сложный сервис больше уязвим к угрозам и атакам).
Рисунок 5 - Двухкомпонентное экранирование с демилитаризованной зоной
Внешний и внутренний межсетевой экран это узкое место из-за того, что сетевой трафик постоянно растет.
Одним из методов для решения данной проблемы является разделение межсетевого экрана на несколько аппаратных частей и объединение специальных серверов-посредников [13].
В главном межсетевом экране можно отборно классифицировать по видам входящий трафик и перепоручить фильтрацию соответственным посредникам (к примеру, посреднику, который анализирует HTTP-трафик).
Обработкой исходящего трафика занимается сервер-посредник выполняющий кэширование страниц внешних Web-серверов уменьшая нагрузку на сеть и основной межсетевой экран.
Случаи, когда в корпоративной сети есть только один внешний канал считаются исключением из правил.
Обычным же случаем является корпоративная сеть состоящая из нескольких территориально разделенных участков и в каждом участке есть подключение к интернету.
При таком обстоятельстве у каждого подключения должен быть свой экран защиты.
Правильнее сказать, что корпоративный внешний межсетевой экран считается сложным и необходимо решить задачу с управлением и аудитом всех компонентов.
Противоположности составного корпоративного межсетевого экрана это персональный межсетевой экран и персональное экранирующее устройство. Персональный межсетевой экран это программный продукт устанавливающийся на персональный компьютер, который его защищает.
Персональное экранизирующее устройство работает на отдельном устройстве и защищает маленькую локальную сеть (к примеру, домашняя офисная сеть). При расширении межсетевого экрана нужно следить за архитектурной безопасностью, обеспечить простоту, управляемость, многоступенчатую защиту и отсутствие возможности перехода в опасное состояние [27].
Помимо этого, необходимо следить за внешними и внутренними угрозами. Системы архивации и дублирования информации. Организовать надежную и эффективную систему архивации данных является главной задачей для обеспечения безопасности данных в сети.
В маленьких сетях с одним или двумя серверами установка системы архивации происходит в свободные слоты серверов, а в больших корпоративных сетях создают специальный выделенный архивационный сервер. Данный сервер автоматически архивирует информацию с жестких дисков серверов и рабочих станций и выдает отчет о произведенном резервном копировании в назначенное время администратором локальной вычислительной сети. Хранение архивных данных, которые представляют важную ценность обычно хранятся в особенном и строго охраняемом помещении.
По словам специалистов хранение дубликатов архивов наиболее ценной информации должно производится в другом здании в случае возникновения пожара или стихийного бедствия.
Для восстановления информации при сбое магнитного диска используются системы дисковых массивов - группы дисков, которые работают в виде единого устройства соответствующего стандарту RAID (Redundant Arrays of Inexpensive Disks). Массивы гарантируют более высокую скорость запись и чтение информации, а также ее полное восстановление и замену неработоспособных дисков массива на ходу. Создание дисковых массивов учитывает разные технические решения, которые выполнены на нескольких уровнях:
- RAID уровня 0 учитывает обычное разделение потока данных между двумя или множеством дисков. Достоинство такого способа это увеличение скорости ввода/вывода соразмерно количеству применяемых в массиве дисков;
- RAID уровня 1 создает «зеркальные» диски. В период записи данных информация главного диска системы копируется (дублируется) на зеркальный диск и в случае сбоя главного диска он заменяется «зеркальным».
- RAID уровни 2 и 3 учитывают создание общих дисковых массивов. При записи на них информация распределяется по дискам на битовом уровне;
- RAID уровни 4 и 5 являются модификаций нулевого уровня, при которой поток информации разделяется по дискам массива. Отличаются они тем, что на уровне 4 выделяется особый диск для хранения избыточных данных, а на уровне 5 избыточные данные распределяются по всем дискам массива.
Повышенная надежность и защита информации в сети, которая основана на применении избыточных данных осуществляется как на уровне самостоятельных компонентов сети (к примеру, дисковые массивы), так и на уровне сетевых операционных систем. К примеру, организация Novell занимается выпуском отказоустойчивых версий операционной системы Netware - SFT (System Fault Tolerance):
- SFT Level I. В первом уровне можно создавать дополнительные копии FAT и Directory Entries Tables, выполнять незамедлительную проверку любого недавно записанного на файловый сервер блока данных и сохранять на каждом жестком диске около 2% от объема диска.
- В SFT Level II можно создавать «зеркальные» диски, дублировать дисковые контроллеры, источники питания и интерфейсные кабели.
- В версии SFT Level III можно применять дублированные серверы в локальной сети. Одним из этих серверов будет «главным», а другой, который содержит копии всех данных вступит в работу при выходе из строя «главного» сервера [27].
Анализ безопасности. Сервис анализа безопасности создан для обнаружения уязвимых мест с целью их быстрого устранения. Этот сервис не защитит от угроз, но выявляет (и уничтожает) уязвимости в защите до того, как ими сможет воспользоваться взломщик.
Речь идет не об архитектурных (трудно устранимы), а об «оперативных» уязвимостях, которые появились из-за ошибок администрирования или невнимательности при обновления версий программного обеспечения.
Системы анализа безопасности основываются на накоплении и применении знаний. В этом случае подразумеваются знания о проблемах защиты: о том где и как их найти, до какой степени серьезна угроза и как ее предотвратить.
Основа этих систем это база уязвимых мест определяющая доступную область решений и требующая почти непрерывного обновления.
В общем, могут проявляться проблемы разного рода: присутствие вредоносного программного обеспечения (вирусы, черви), слабый пароль пользователя, плохо настроенная операционная система, небезопасный сетевой сервис, неустановленная заплатка и уязвимость в приложении. Самым эффективным является сетевой сканер (из-за распространенности протоколов TCP/IP) и антивирусное средство.
Антивирусная защита причисляется к средствам анализа безопасности, не принимая ее за отдельный сервис безопасности. Сканер может находить уязвимые места в пассивном анализе (исследовать конфигурационные файлы, задействованные порты, а еще имитировать действия самого хакера). Отдельные обнаруженные уязвимые места устраняются автоматически (к примеру, лечение зараженных файлов), а об остальных уязвимостях сообщается администратору.
Многие вирусные атаки являются примитивными, так как известные проблемы в защите безопасности никто не устраняет годами [13].
В заключении второй главы выпускной квалификационной работы можно сделать вывод что, по статистике во всех странах возрастает ущерб нанесенный злоумышленниками.
Главные причины ущерба это недостаточность средств обеспечения безопасности и отсутствие связи между ними.
Для полноценной реализации защиты данных нужен слаженный режим работы всех средств безопасности. Вместе эти средства обеспечат надежную защиту ценной информации.
Потому и нужно постоянно улучшать комплексные средства защиты. Средства защиты не могут быть полностью надежными, потому что они не успевают за быстрым развитием и усовершенствованием компьютерной техники. Также совершенствуется сама информация и способы, которые позволяют ее заполучить.
Нынешний век называют информационной эпохой, которая несет с в себе большой потенциал связанный с экономическим ростом и новой технологией. В данное время владение электронной информацией, которая стала высоко цениться заставляет ее владельцев быть ответственными за ее распространение.
В файлах и сообщениях, которые хранятся на дисках и пересылаются по каналам связи иногда содержится наибольшая ценность, чем в самих компьютерах или дисках. Потому будущее информационной эры может зависеть от индивидуальных предпринимателей и организаций, которые владеют особенно важными данными конфиденциального характера, смогут обезопасить свою собственность от различных угроз и выбрать должный уровень защиты основанный на анализе степени угроз и ценности хранимой собственности.
Заключение
Совершенствование всевозможных технологий подарило людям не только достижения, но и много проблем. Извечной проблемой является защита информации. C появлением компьютеров и стремительным развитием информационных технологий во второй половине XX века проблема защиты информации стала еще актуальнее чем информатизация для всего общества.
Основное направление характеризующее рост нынешних информационных технологий это повышение количества компьютерных правонарушений и связанные с ними хищения конфиденциальных и других важных данных включая материальные потери.
К сожалению нельзя точно озвучить количество денежных утрат после компьютерных правонарушений, которые связаны со взломом данных. Это можно объяснить тем, что не все пострадавшие компании раскрывают сведения о своих потерях, тем более, что в некоторых случаях трудно оценить потерю финансового состояния.
Самые распространенные основания для появления компьютерных правонарушений и связанных с ними хищения денежных средств:
- перевод «бумажного» метода хранения и передачи данных на электронный, а также слабый рост технологий в защите информации;
- объединение вычислительных систем, появление глобальных сетей и расширение доступа к информационным ресурсам;
- повышение сложности программных средств вместе с их уменьшением безопасности и прибавлением уязвимостей в защите.
Компьютерная сеть из-за своей особенности не может нормально работать пренебрегая проблемами защиты информации. В первой главе квалификационной работы были рассмотрены разные виды угроз и рисков.
Угрозы безопасности разделяются на не естественные и искусственные, а искусственные разделяются на непреднамеренные и преднамеренные.
Самые распространенные угрозы:
- ошибка пользователя компьютерной сети;
- внутренний отказ сети;
- программная атака;
- вредоносные программы.