Bezpieczeństwo sieci. Technologia informacyjna, Internet, programowanie stron internetowych, IT, Hi-Tech, …

Pojęcie „autorytatywnych zaleceń” to zbiór wytycznych zapewniających odpowiedni poziom bezpieczeństwa. Autorytatywne rekomendacje (zwane dalej rekomendacjami) to połączenie wytycznych, które okazały się skuteczne w przypadku stosowania w wielu różnych organizacjach. Nie wszystkie instrukcje nadają się do stosowania w konkretna organizacja. Niektóre firmy wymagają dodatkowych zasad i procedur, szkolenia personelu lub nadzoru. bezpieczeństwo techniczne osiągnąć akceptowalny poziom zarządzanie bezpieczeństwem.

Bezpieczeństwo administracyjne

Zalecenia dla bezpieczeństwo administracyjne- Są to decyzje zgodne z polityką i procedurami, zasobami, stopniem odpowiedzialności, potrzebami w zakresie szkolenia personelu i planami postępowania w sytuacjach krytycznych. Miary te mają na celu określenie znaczenia informacji i systemy informacyjne dla firmy i dokładnie wyjaśnij pracownikom, jakie to znaczenie. Wytyczne dotyczące bezpieczeństwa administracyjnego określają zasoby potrzebne do wdrożenia odpowiedniego zarządzania ryzykiem i identyfikacji osób odpowiedzialny Do zarządzanie bezpieczeństwem organizacje.

Zasady i procedury

Polityki bezpieczeństwa definiują metodę zapewniania bezpieczeństwa w organizacji. Oczekuje się, że po określeniu polityki większość pracowników firmy będzie się do niej stosować. Należy rozumieć, że nie będzie pełnej i bezwarunkowej realizacji polityki. W niektórych przypadkach polityka zostanie naruszona ze względu na żądania związane z działalnością biznesową organizacji. W innych przypadkach polityka jest ignorowana, ponieważ jest trudna do wdrożenia.

Mimo że polityka ta nie będzie egzekwowana przez cały czas, stanowi kluczowy element programu bezpieczeństwa i powinna zostać uwzględniona w wytycznych dotyczących bezpieczeństwa. Bez polityki pracownicy nie będą wiedzieć, co zrobić, aby chronić informacje i systemy komputerowe.

• Polityka informacyjna. Określa stopień poufności informacji wewnątrz organizacji i niezbędne wymagania do przechowywania, przesyłania, oznaczania i zarządzania tymi informacjami.
• Polityka bezpieczeństwa. Definiuje kontrolę techniczną i ustawienia zabezpieczeń stosowane przez użytkowników i administratorów we wszystkich systemach komputerowych.
• Polityka użytkowania. Definiuje dopuszczalny poziom korzystania z systemów komputerowych organizacji i przewidzianych za nie kar nadużywanie. Ta polityka definiuje również metodę instalowania oprogramowania przez organizację i jest znana jako polityka dopuszczalnego użytkowania.
• Zasady tworzenia kopii zapasowych. Określa częstotliwość tworzenia kopii zapasowych danych i wymagania dotyczące przenoszenia danych kopii zapasowych do osobnej lokalizacji przechowywania. Ponadto zasady tworzenia kopii zapasowych określają, przez jaki czas należy utworzyć kopię zapasową danych przed ich ponownym wykorzystaniem.

Same zasady nie dostarczają kompleksowych instrukcji dotyczących wdrażania. programy bezpieczeństwa organizacje. Należy określić procedury, według których pracownicy będą wykonywać określone zadania i które będą decydowały kolejne kroki na przetwarzaniu różne sytuacje z punktu widzenia bezpieczeństwa. W organizacji należy zdefiniować następujące procedury.

• Procedura zarządzania użytkownikami. Określa, kto może mieć autoryzowany dostęp do jakich komputerów w organizacji i jakie informacje administratorzy muszą udostępnić użytkownikom proszącym o pomoc. Procedury zarządzania użytkownikami określają również, kto jest odpowiedzialny za informowanie administratorów, gdy pracownik nie potrzebuje już konta. Zamykanie kont jest ważne, aby zapewnić dostęp do systemów i sieci organizacji wyłącznie osobom mającym istotne potrzeby biznesowe.
• Procedury administracja systemem. Opisz jak w tej chwili czas, do którego stosowana jest polityka bezpieczeństwa różne systemy dostępne w organizacji. W tej procedurze szczegółowo opisano, w jaki sposób aktualizacje powinny być obsługiwane i instalowane w systemach.
• Procedury zarządzania konfiguracją. Określ kroki, jakie należy podjąć, aby wprowadzić zmiany w istniejących systemach. Zmiany mogą obejmować aktualizację oprogramowania i sprzętu, dodanie nowych systemów i usunięcie niepotrzebnych systemów.

Notatka

W wielu organizacjach zarządzanie aktualizacjami jest duży problem. Monitorowanie aktualizacji w celu ograniczenia luk w zabezpieczeniach systemu i testowanie tych aktualizacji przed zainstalowaniem ich w działających systemach (aby nie wyłączać działających aplikacji) jest zadaniem bardzo czasochłonnym, ale ma kluczowe znaczenie dla każdej organizacji.

Wraz z procedurami zarządzania konfiguracją, metodyki rozwoju nowe systemy. Są one bardzo ważne dla zarządzania podatnościami nowych systemów i ochrony funkcjonujących systemów przed nieautoryzowanymi modyfikacjami. Metodologia rozwoju określa, w jaki sposób i kiedy należy opracować i zastosować środki ochronne. Należy położyć nacisk na te informacje podczas prowadzenia odpraw dla programistów i kierowników projektów.

Wykład 31 Wprowadzenie do bezpieczeństwa sieci

Wykład 31

Temat: Wprowadzenie do bezpieczeństwa sieci

Bezpieczeństwo sieci obejmuje wiele środków i należy je rozpatrywać jako część ogólnej polityki bezpieczeństwa informacji organizacji (przedsiębiorstwa, firmy, firmy). Bezpieczeństwo sieci obejmuje wiele usług i wykorzystuje różne narzędzia. Na temat bezpieczeństwa sieci napisano ogromną liczbę książek i artykułów, obejmujących szeroki zakres bezpieczeństwa informacji.

Podstawowe pojęcia.

Efektywność sieć komputerowa w dużej mierze zależy od stopnia bezpieczeństwa przetwarzanych i przesyłanych informacji. Stopień ochrony informacji przed różnego rodzaju zagrożeniami podczas jej odbioru, przetwarzania, przechowywania, przesyłania i użytkowania nazywany jest bezpieczeństwem informacji.

Znaczenie problemu bezpieczeństwa sieci wynika z powszechnego stosowania technologii komputerowych we wszystkich sferach życia współczesnego społeczeństwa, a także przejścia od korzystania z kanałów dedykowanych do sieci publicznych (Internet, Frame Relay), co obserwuje się przy budowie sieci korporacyjnych.

Bezpieczna sieć (lub bezpieczna komunikacja) ma następujące właściwości:

■ Poufność, tj. chroni dane przed nieuprawnionym dostępem, zapewniając dostęp do danych wrażliwych jedynie uprawnionym użytkownikom, którzy mają zezwolenie na ten dostęp;

▪ Dostępność, czyli zapewnienie stałego dostępu do danych uprawnionym użytkownikom. Bezpieczną komunikację cechuje cecha autentyczności, tj. zdolność nadawcy i odbiorcy do potwierdzenia swojej tożsamości: nadawca i odbiorca muszą mieć pewność, że każdy z nich jest tym, za kogo się podaje;

▪ Integralność, która gwarantuje bezpieczeństwo danych, które zapewnia się poprzez zakazanie nieuprawnionym użytkownikom zmieniania, modyfikowania, niszczenia lub tworzenia w jakikolwiek sposób danych.

Polityka bezpieczeństwa, obejmująca zbiór zasad i regulacji regulujących proces przetwarzania informacji, kształtowana jest na etapie wdrażania sieci, uwzględniając tak podstawowe zasady jak:

■ zintegrowane podejście zapewnić bezpieczeństwo, począwszy od zakazów organizacyjnych i administracyjnych, a skończywszy na wbudowanych narzędziach ochrony sieci;

▪ zapewnienie każdemu pracownikowi przedsiębiorstwa (użytkownikowi komputerów, systemów informatycznych, sieci) minimalnego poziomu uprawnień dostępu do danych niezbędnych mu do wykonywania obowiązków służbowych;

▪ zasada równoważenia ewentualnych szkód wynikających z realizacji zagrożenia i kosztów zapobiegania mu. Na przykład w niektórych przypadkach możliwe jest wyeliminowanie kosztownych środków bezpieczeństwa sprzętu poprzez zaostrzenie środków administracyjnych.

Głównym celem polityki bezpieczeństwa jest ochrona przed nieuprawnionym dostępem do zasobów systemu informatycznego. Polityka bezpieczeństwa to skuteczny sposób, aby raz na zawsze zmusić wszystkich użytkowników sieci korporacyjnej do przestrzegania ustalonych zasad bezpieczeństwa. Jego wdrożenie rozpoczyna się od zidentyfikowania wrażliwych komponentów i zagrożeń oraz podjęcia odpowiednich środków zaradczych.

Podatny komponent to taki, którego nieprawidłowe użycie lub awaria może zagrozić bezpieczeństwu całej sieci. Do wrażliwych komponentów zaliczają się użytkownicy sieci, którzy mogą celowo, przypadkowo lub z powodu braku doświadczenia wyrządzić szkody.

Jeśli informacje nie są regularnie archiwizowane, cała sieć korporacyjna staje w obliczu poważnych zagrożeń realne zagrożenie utrata danych w wyniku celowego lub przypadkowego uszkodzenia dysku głównego.

Zagrożenie to potencjalna próba wykorzystania słabości podatnego komponentu w celu wyrządzenia szkody. Przykładami zagrożeń są włamywacze, wirusy, pożary i klęski żywiołowe.

Po ocenie możliwych zagrożeń (ryzyka) przystępują do opracowania środków zaradczych. Środek zaradczy to działanie, które minimalizuje ryzyko związane z konkretnym wrażliwym komponentem lub zagrożeniem. Jednym z najskuteczniejszych środków zaradczych minimalizujących ryzyko utraty danych jest stworzenie niezawodnego systemu kopii zapasowych.

Wyniki oceny ryzyka i wynikające z nich środki zaradcze służą do stworzenia planu bezpieczeństwa, który powinien bardzo szczegółowo opisywać strategie systemowe organizacji, które odnoszą się bezpośrednio i zdalnie do kwestii bezpieczeństwa.

Zaplanuj bezpieczeństwo sieci i danych.

Wysoki poziom bezpieczeństwa można osiągnąć, stosując plan obejmujący różne środki bezpieczeństwa i kontrole.

Ocena wymagań dotyczących bezpieczeństwa danych sieciowych jest pierwszym krokiem w opracowaniu planu podjęcia działań mających na celu ich ochronę. W tym przypadku należy wziąć pod uwagę charakter działalności organizacji i danych przechowywanych w sieci, strategię i styl zarządzania organizacją, które administrator sieci musi znać i wdrażać w kontrolowanej przez siebie sieci.

W organizacjach przechowujących dane o charakterze wysoce poufnym należy zachować wysoki poziom bezpieczeństwa danych. Przykładem mogą być organizacje komercyjne świadczące usługi lub produkujące produkty na obszarach wysoki poziom konkurs. Niektóre rodzaje danych muszą być chronione niezależnie od charakteru działalności organizacji. Należą do nich dokumentacja księgowa, informacja podatkowa, tajemnica przemysłowa (plany działalności organizacyjnej i plany handlowe, receptury, technologie wytwarzania, teksty programów itp.).

Aby podjąć działania mające na celu ochronę danych w Internecie, należy zidentyfikować główne źródła zagrożeń dla ich bezpieczeństwa.

Tam są następujące typy zagrożenia:

▪ niezamierzone, do których zaliczają się błędne działania lojalnych pracowników, klęski żywiołowe, zawodność oprogramowania i sprzętu itp.;

▪ celowe, mające wyraźnie na celu spowodowanie szkody w bezpieczeństwie informacji;

▪ zewnętrzne, które objawiają się m.in. nieuprawnionym użyciem haseł i kluczy; Ataki DoS (Denial of Service) mające na celu zerwanie połączenia sieciowego lub uniemożliwienie jego działania; zmiana adresu; wirusy komputerowe i robaki;

▪ wewnętrzne, które mogą obejmować szpiegostwo przemysłowe, intrygi i niezadowolenie wśród pracowników, przypadkowe naruszenia itp.

Plan bezpieczeństwa powinien szczegółowo wymieniać procedury, których wdrożenie jest określone w polityce bezpieczeństwa. Każdy pracownik odpowiedzialny za wykonanie określonego zabiegu musi zostać pouczony o możliwych konsekwencjach odstąpienia od przepisanego sposobu wykonania zabiegu. Zaleca się uzyskanie od pracownika pisemnego potwierdzenia, że ​​rozumie sens strategii bezpieczeństwa, zgadza się z nią i zobowiązuje się do jej przestrzegania, a także regularnej aktualizacji planu, tj. dokonaj przeglądu aspektów bezpieczeństwa, aby spróbować zidentyfikować nowe potencjalne luki, zagrożenia i środki zaradcze w celu ich zwalczania oraz odzwierciedlić zmiany w planie.

WYPOSAŻENIE BEZPIECZEŃSTWA

W celu zapewnienia bezpieczeństwa sieci dostępna jest szeroka gama różne środki i technologia. Przyjrzyjmy się niektórym z nich.

Podstawowe technologie bezpieczeństwa.

Różne produkty programowe i sprzętowe przeznaczone do ochrony danych często wykorzystują te same podejścia, techniki i rozwiązania techniczne, które razem tworzą technologię bezpieczeństwa.

Ochrona kryptowalut. Kryptografia zajmuje się rozwojem metod przekształcania informacji w celu jej ochrony.

Przekształcenie publicznie dostępnych (zrozumiałych dla każdego) danych do postaci utrudniającej ich rozpoznanie nazywa się szyfrowaniem, a odwrotna transformacja nazywa się deszyfrowaniem. Szyfrowanie jest narzędziem dostępnym dla administratorów i użytkowników oraz jednym ze skutecznych sposobów zapewnienia poufności informacji. Warto wyróżnić dwie główne metody szyfrowania danych: Transpozycja, gdy zmieniana jest kolejność znaków w danych źródłowych, oraz Substytucja, w której przy zastosowaniu określonego wzorca zastępowane są wszystkie użyte znaki alfabetu, np. litery są zastępowane liczbami.

Operacje szyfrowania i deszyfrowania danych (informacji) przeprowadzane są za pomocą kluczy tworzonych za pomocą wzorów matematycznych.

Metodę, w której do obu operacji używany jest jeden klucz, nazywa się kryptografią symetryczną. W przypadku kryptografii asymetrycznej każdy użytkownik sieci musi posiadać dwa klucze: klucz publiczny i klucz prywatny. Obydwa klucze są ze sobą powiązane za pomocą jakiejś funkcji matematycznej. Klucz wspólny jest znany każdemu użytkownikowi. Wiadomość zaszyfrowaną kluczem publicznym można odczytać tylko kluczem prywatnym. Ponieważ od użytkownika, do którego skierowana jest wiadomość, nie oczekuje się ujawnienia swojego klucza, jest on jedyną osobą, która może przeczytać wiadomość.

Popularne są dwa algorytmy szyfrowania: symetryczny DES (Data Encryption Standard, który jest oficjalnym standardem rządu USA) i asymetryczny RSA, opracowane przez naukowców Rivesta, Shamira, Adlemana i nazwane od pierwszych liter ich nazwisk.

Do szyfrowania, uwierzytelniania i sprawdzania integralności pakietów przesyłanych siecią opracowano protokół IPSec (IP Security), w skład którego wchodzi protokół AH (Authentication Header), który pozwala na weryfikację tożsamości nadawcy, oraz ESP (Encapsulated Security Payloads), który zapewnia poufność samych danych. Protokół IPSec jest obsługiwany przez routery Cisco Systems i Windows 2000/XP.

Do przesyłania zaszyfrowanych, uwierzytelnionych wiadomości przez Internet wykorzystywany jest protokół SSL (Secure Sockets Layer). Protokół ten łączy kryptografię klucza publicznego z szyfrowaniem danych blokowych.

Uwierzytelnianie.

Jest to procedura ustalania autentyczności użytkownika podczas żądania dostępu do zasobów systemowych (komputera lub sieci). Uwierzytelnianie zapobiega dostępowi osób nieupoważnionych i umożliwia dostęp wszystkim uprawnionym użytkownikom. W procedurze uwierzytelnienia biorą udział dwie strony, jedna z nich udowadnia swoje prawo dostępu (autentyczności) przedstawiając pewne argumenty, druga sprawdza te argumenty i podejmuje decyzję. Do potwierdzenia autentyczności można użyć słowa (hasła) znanego obu stronom lub unikalnego. obiekt fizyczny(klucz), a także własne cechy biologiczne (odciski palców lub wzór tęczówki).

Do uwierzytelniania najczęściej używane są hasła wprowadzane z klawiatury.

Hasło to zaszyfrowany ciąg znaków, który jest utrzymywany w tajemnicy i prezentowany podczas dostępu do systemu informatycznego.

Obiektami uwierzytelniania mogą być nie tylko użytkownicy, ale także różne urządzenia, aplikacje, teksty i inne informacje.

Identyfikacja podmiotów i obiektów dostępu.

Identyfikacja polega na przypisaniu każdemu podmiotowi dostępu unikalnej nazwy w postaci numeru, szyfru lub kodu, na przykład osobistego numeru identyfikacyjnego (Personal Identification Number - PIN), numeru ubezpieczenia społecznego (Numer ubezpieczenia społecznego - SSN) itp. Identyfikatory użytkowników muszą zostać zarejestrowane w systemie informatycznym przez administratora bezpieczeństwa.

Podczas rejestracji w bazie danych systemu bezpieczeństwa dla każdego użytkownika dane takie jak nazwisko, imię, patronimika i unikalny identyfikator użytkownik, nazwa i hasło procedury uwierzytelniania użytkownika, uprawnienia użytkownika do dostępu do zasobów systemowych itp. Identyfikację należy odróżnić od uwierzytelnienia. Identyfikacja polega na tym, że użytkownik zgłasza do systemu swój identyfikator, natomiast uwierzytelnienie to procedura, podczas której użytkownik może udowodnić, że jest właścicielem wprowadzonego przez siebie identyfikatora.

Jest to procedura nadawania każdemu użytkownikowi praw dostępu do katalogów, plików i drukarek, które przyznał mu administrator. Dodatkowo system autoryzacji może kontrolować możliwość wykonywania przez użytkowników różnych funkcji systemu, takich jak ustawianie czasu systemowego, tworzenie kopii zapasowych danych, lokalny dostęp do serwera, wyłączanie serwera itp.

s selektywny, w którym poszczególni użytkownicy (lub grupy), wyraźnie wskazani przez ich identyfikatory, zezwalają lub zakazują pewnych operacji na określonym zasobie;

▪ obowiązkowy, w którym wszystkie informacje, w zależności od stopnia tajności, są podzielone na poziomy, a wszyscy użytkownicy sieci są podzieleni na grupy tworzące hierarchię zgodnie z poziomem dostępu do tych informacji.

Procedury autoryzacji realizowane są przez oprogramowanie według schematu scentralizowanego, zgodnie z którym użytkownik loguje się do sieci raz logicznie i otrzymuje określony zestaw uprawnień dostępu do zasobów sieciowych na cały czas pracy, oraz schematu zdecentralizowanego, gdy dostęp do każdego aplikacja musi być kontrolowana za pomocą środków bezpieczeństwa, sama aplikacja lub środowisko operacyjne, w którym działa.

Audyt. Jest to zapis w dzienniku systemowym zdarzeń związanych z dostępem do chronionych obiektów zasoby systemowe. Audyt służy do wykrywania nieudanych prób włamania się do systemu. W przypadku próby dokonania nielegalnych działań system audytu identyfikuje sprawcę i zapisuje komunikat do dziennika. Analiza informacji zgromadzonych i zapisanych w logu może stanowić skuteczną ochronę przed nieuprawnionym dostępem.

Procedura uścisku dłoni. W celu ustalenia autentyczności użytkowników szeroko stosowana jest procedura uścisku dłoni (uzgadnianie - uzgodniona wymiana, potwierdzenie), zbudowana na zasadzie pytanie-odpowiedź. Zakłada, że ​​poprawnych odpowiedzi na pytania udzielają tylko ci użytkownicy, dla których te pytania są przeznaczone. Aby potwierdzić autentyczność użytkownika, system sekwencyjnie zadaje mu serię losowo wybranych pytań, na które musi odpowiedzieć. Identyfikację uznaje się za pozytywną, jeśli użytkownik odpowie poprawnie na wszystkie pytania.

Technologie bezpiecznych kanałów są szeroko stosowane w wirtualnych sieciach prywatnych, które wymagają dodatkowych środków w celu ochrony przesyłanych informacji. Wymóg poufności jest szczególnie ważny, ponieważ pakiety przesyłane w sieci publicznej są podatne na przechwycenie podczas przechodzenia przez każdy z węzłów (serwerów) w drodze od źródła do miejsca docelowego. Technologia bezpiecznego kanału obejmuje:

▪ wzajemne uwierzytelnianie abonentów przy nawiązywaniu połączenia;

▪ ochrona komunikatów przesyłanych tym kanałem przed nieuprawnionym dostępem;

▪ potwierdzenie integralności komunikatów przychodzących danym kanałem.

W zależności od lokalizacji oprogramowania bezpiecznego kanału istnieją dwa schematy jego tworzenia.

1. Schemat z węzłami końcowymi (ryc. 1, a). W tym schemacie bezpieczny kanał jest tworzony przez oprogramowanie zainstalowane na dwóch zdalne komputery. Komputery należą do dwóch różnych AS tej samej organizacji i są połączone ze sobą za pośrednictwem sieci publicznej.

2. Schemat wyposażenia dostawcy usług sieci publicznej zlokalizowanego na granicy sieci prywatnej i publicznej (rys. 1, b). W tym schemacie bezpieczny kanał jest układany tylko w publicznej sieci z komutacją pakietów. Środkiem ochrony są urządzenia dostępu do granicy (BAD).

Funkcje bezpieczeństwa zapewniane przez systemy operacyjne.

Nowoczesne systemy operacyjne są w stanie zapewnić dostęp do jednego komputera i zasobów sieciowych wielu użytkownikom. W tym celu wykorzystywane są osobne konta, do których przypisane są różne hasła. Po prawidłowym wprowadzeniu danych rejestracyjnych użytkownik może uzyskać dostęp do systemu operacyjnego i sieci; czytać, modyfikować zasoby i wykonywać wszelkich innych czynności zgodnych ze swoimi prawami konto, utwórz żądaną konfigurację interfejsu użytkownika ( środowisko pracy) itp.

Wybór (lub przypisanie) haseł podlega strategii bezpieczeństwa sieci. Hasła muszą spełniać określone wymagania. Wiele sieciowych systemów operacyjnych pozwala administratorowi ustawić długość i czas życia hasła; sprawdź hasło pod kątem obecności określonego hasła w słowniku i, jeśli istnieje, zablokuj użycie hasła; upewnij się, że hasło użytkownika nie zostanie powtórzone. Dodatkowo administrator otrzymuje szeroką kontrolę nad dostępem do zasobów. Na przykład może jednocześnie zezwolić temu samemu kontu na przeglądanie zawartości pliku. doc, ale zabraniaj wprowadzania w nim zmian; przyznaj prawo do odczytu, modyfikowania, usuwania pliku file2. doc, a nawet ustawić do niego prawa dostępu innych użytkowników i odebrać wszystkie prawa dostępu do pliku file3.doc.

W systemach plików o wysokim poziomie bezpieczeństwa prawa dostępu można ustawić tak, aby zarówno udostępniały zasoby w sieci, jak i korzystały z tych zasobów na tym samym komputerze lokalnym. Prawa dostępu lokalnego i sieciowego mogą się różnić. Na przykład możesz dać użytkownikowi pełną kontrolę nad plikiem file4. doc podczas logowania się do komputera przechowującego ten plik, ale ogranicz dostęp tego samego użytkownika do pliku4. doc podczas próby uzyskania do niego dostępu z innego komputera w sieci.

Administrator musi wiedzieć i brać pod uwagę, jakie prawa dostępu przyznaje ten system operacyjny domyślnie (zaraz po uruchomieniu). Dzięki temu domyślnie udostępniony zasób na serwerach Windows NT/XP jest dostępny dla każdego użytkownika sieci. Aby ograniczyć prawa dostępu do zasobu, administrator musi je zmienić, a na serwerach NetWare udostępniony zasób nie jest dostępny dla żadnego użytkownika. W tym przypadku przyznanie dostępu wymaga wyraźnej interwencji administratora.

Sieciowy system operacyjny Windows NT umożliwia każdemu użytkownikowi przypisanie czterech typów (lub uprawnień) dostępu do współdzielonego zasobu: Brak dostępu; pełny dostęp(Pełna kontrola); Czytaj, co daje prawo do przeglądania listy plików, otwierania plików, przeglądania ich zawartości i kopiowania plików na nośnik; edycja (Change), która zapewnia dodatkową (do Read) możliwość zmiany zawartości istniejących plików i katalogów. Windows NT umożliwia także kontrolę dostępu do plików lokalnych. Aby to zrobić, pliki lub katalogi muszą znajdować się na partycji logicznej dysku twardego, oznaczonej systemem plików NTFS. Oprócz powyższych uprawnień, system NTFS umożliwia przeglądanie plików katalogowych (przywilej Lista), dodawanie plików do katalogu bez zmiany ich zawartości (Dodaj), przeglądanie istniejących plików i dodawanie nowych plików (Dodaj i czytaj).

Administrator musi rozumieć metody nadawania uprawnień oraz zależności pomiędzy przydzielonymi uprawnieniami dostępu do zasobów lokalnych i współdzielonych, a także stosować najbardziej efektywną metodę nadawania uprawnień użytkownikom. Jednocześnie użytkownicy powinni być pozbawieni możliwości dostępu do zasobów, które nie są niezbędne do pracy.

System zabezpieczeń Windows NT zapewnia możliwość rejestrowania wszystkich występujących zdarzeń. Jednak raportowanie wymaga stale uruchomionych aplikacji, co zmniejsza wydajność sieci, dlatego administrator i użytkownicy sieci powinni zachować wybiórczość w zakresie rejestrowania zdarzeń, co również wymaga czasu, i włączać rejestrowanie zdarzeń tylko na tych stacjach roboczych, które tego wymagają. Dziennik zdarzeń może być użytecznym źródłem informacji podczas administrowania siecią.

Ochrona sprzętu.

Podstawa niezawodna ochrona dane pochodzące z wielu usterek sprzętu są zbędne. W przypadku awarii urządzenia sieciowego zaczyna działać jego kopia zapasowa. Utratę danych w przypadku awarii dysku twardego można nadrobić plikami przechowywanymi w systemie kopii zapasowych.

Niektóre serwery obsługują możliwość instalowania redundantnych urządzeń, które automatycznie przenoszą moc uszkodzonego komponentu na działający. Ta nadmiarowość dotyczy wentylatorów chłodzących, zasilaczy, kart sieciowych, dysków twardych i procesorów.

Przy rezerwowaniu zasilania wykorzystuje się redundantne źródła energii elektrycznej – urządzenie zasilania awaryjnego wraz z siecią elektryczną. Kopia zapasowa danych polega na tworzeniu redundantnych kopii cennych plików na dodatkowych nośnikach (zapasowych). W systemach dyskowych odpornych na uszkodzenia dane są zapisywane na dyskach nadmiarowych. Najwyższy stopień redundancji to klastrowanie, polegające na połączeniu kilku serwerów w grupę. W sieci klaster serwerów jest widoczny dla użytkowników jako pojedynczy serwer. W przypadku awarii jednego z serwerów klastra, jego obowiązki przejmuje inny serwer. Użytkownicy nie zauważają tego przejścia. Narzędzia obsługi klastrów są wbudowane w systemy operacyjne, takie jak Windows NT.

Kopia zapasowa danych. Przeprowadza się go za pomocą specjalnych programów i stanowi skuteczną ochronę przed ewentualnymi stratami, jeśli zabieg ten jest wykonywany regularnie. Dostępność kopia zapasowa pozwala szybko odzyskać utracone dane.

Są używane następujące metody kopia zapasowa:

Pełny, który kopiuje wszystkie dane na określonych dyskach, niezależnie od tego, kiedy zostały one ostatnio skopiowane i czy od tego czasu dokonano zmian;

Różnicowy, gdy kopiowane są wszystkie pliki, które uległy zmianie od ostatniej pełnej kopii. Kopiowanie różnicowe odbywa się pomiędzy pełnymi kopiami, co pozwala zaoszczędzić czas. Aby zaktualizować dane, musisz przywrócić dwie ostatnie kopie - pełną i różnicową;

Przyrostowe. Ta metoda kopiuje wszystkie pliki, które uległy zmianie od czasu ostatniej kopii (nie ostatniej pełnej kopii). To jest najwięcej szybki sposób jednak przywrócenie danych jest bardziej złożone i czasochłonne, ponieważ konieczne jest przywrócenie ostatniej pełnej kopii i wszystkich kopii przyrostowych utworzonych od czasu ostatniej pełnej kopii.

System dyskowy odporny na awarie.

Tolerancja na błędy odnosi się do zdolności systemu do regeneracji po awarii. Połączenie (konfiguracja) kilku fizycznych dysków twardych w zestaw odporny na awarie nazywa się systemem RAID (Redundant Array of Independent Disks). Można go wdrożyć w kilku różnych formach. W zależności od poziomu (0 - 5 i 7) dostępne są różne metody łączenia dysków: RAID O, RAID 1, RAID 2, RAID 3, RAID 4, RAID 5.

Zapory sieciowe umożliwiają zorganizowanie ochrony na całym obwodzie głośnika, tworząc barierę pomiędzy głośnikiem wewnętrznym a połączeniami z świat zewnętrzny(Internet). Taki obszar chroniony można również zainstalować w podsieci.

Zaporę można zaimplementować sprzętowo lub programowo.

W rzeczywistości jest to sposób filtrowania pakietów przychodzących i wychodzących.

Na podstawie reguł bezpieczeństwa ustawionych przez administratora sieci zapora sieciowa określa, czy przychodzący pakiet powinien zostać przepuszczony. Zazwyczaj zapory ogniowe są zlokalizowane przy bramach sieci, które stanowią punkty połączenia między siecią a inną siecią.

Jak dokonać właściwego przejścia jezdnia ulic, każdego uczy się od dzieciństwa. następnie przydzielani są do szkoły. Oraz w wielu programach telewizyjnych dla dzieci to pytanie jest aktywnie rozważana. Nikt nie wątpi w potrzebę tego, bo wiedza i przestrzeganie zasad ruch drogowy jest gwarancją zachowania zdrowia, a nawet życia. Ale współczesne realia są takie, że wraz z wymienionymi zasadami można rozpocząć naukę podstaw bezpieczeństwa sieci.

Komputer i laptop stały się tak powszechnym atrybutem komfortowego mieszkania, jak pralka automatyczna. Jeśli wcześniej koszt technologia komputerowa była tak wysoka, że ​​na zakup domowego elektronicznego asystenta mogli pozwolić sobie tylko nieliczni, obecnie sytuacja uległa radykalnej zmianie. Ceny sprzętu spadają z dnia na dzień, a oferta dostawców jest coraz atrakcyjniejsza plany taryfowe. Nic więc dziwnego, że ludzie łączą się z Internetem, którzy w ogóle nie rozumieją, co oznacza informacja, niestety sami cierpią z tego powodu, stając się ofiarami wirtualnych oszustów.

Bezpieczeństwo sieci to zestaw środków, których głównym celem jest zapobieganie kradzieży poufnych danych i wszelkim innym naruszeniom normalne działanie komputer ze względu na to z zewnątrz. Dzięki stałemu wzrostowi prędkości dostępu globalna sieć Konwencjonalne granice między komputerami coraz bardziej się zacierają, przez co zaczynają pojawiać się zupełnie nowe sposoby oszukiwania naiwnych użytkowników. Stopniowo działanie, które stało się już powszechne, oparte na lukach w używanym oprogramowaniu, schodzi na dalszy plan. Dlatego obecnie bezpieczeństwo sieci nie może ograniczać się do jednej instalacji, tak jak miało to miejsce wcześniej. Potrzebny jest zestaw środków. Maksymalna skuteczność ochrony jest możliwa tylko przy wykorzystaniu oprogramowania sprzęt ochronny i zwykły zdrowy rozsądek.

Oprogramowanie do zabezpieczeń sieci obejmuje:

Korzystanie z aplikacji antywirusowej. Warto zwrócić uwagę na dobrze znane produkty grupy Internet Security, gdyż posiadają one bardziej rozbudowane możliwości;

Korzystanie z funkcji aktualizacji antywirusowych baz danych i samego systemu operacyjnego;

Jeśli Zapora sieciowa nie jest częścią aplikacji antywirusowej, należy ją zainstalować. Rozwiązanie wbudowane w system nie jest wystarczająco skuteczne;

Połączenie musi być poprawnie skonfigurowane. Jeśli brakuje sieć lokalna, należy odmówić dostępu do dysków;

Nie należy zapisywać haseł do ważnych witryn korzystając z mechanizmu przeglądarki.

Ponadto bezpieczeństwo sieci wymaga od użytkownika ostrożności. Wszystkie kody dostępu należy wprowadzić ręcznie, a funkcję kopiuj-wklej należy zignorować. Jest to szczególnie istotne w przypadku transakcji związanych z finansami.

Podejrzane e-maile wysyłane na adres e-mail, musisz je usunąć, nawet ich nie otwierając.

Z numerem telefon komórkowy powinieneś zachować ostrożność i nie komunikować się bez tego nagły wypadek. Dopuszczalne jest używanie go wyłącznie do rejestracja wstępna w niektórych witrynach i programach: bankowe witryny e-commerce, media społecznościowe, Skype itp. Jeśli zasób strony trzeciej poprosi Cię o podanie Twojego numeru w celu potwierdzenia czegoś, musisz zrozumieć potencjalne zagrożenie takiego ujawnienia. Będąc na wsi warto zapomnieć na chwilę o posiadaniu telefonu komórkowego – dysponujemy jedynie telefonem stacjonarnym, więc możemy podać jego numer.

Innym sposobem uzyskania hasła jest wprowadzenie „konia trojańskiego” do komputera innej osoby. To nazwa programu rezydentnego, który działa bez wiedzy właściciela. tego komputera i wykonanie działań określonych przez atakującego. W szczególności tego typu programy potrafią odczytać kody haseł wprowadzone przez użytkownika podczas logicznego logowania.

Koń trojański zawsze maskuje się pod postacią przydatnego narzędzia lub gry, ale wykonuje działania, które niszczą system. Działają na tej zasadzie programy wirusowe, którego charakterystyczną cechą jest możliwość „infekowania” innych plików poprzez wprowadzenie do nich własnych kopii. Najczęściej wirusy infekują pliki wykonywalne. Kiedy taki kod wykonywalny jest ładowany do pamięci RAM w celu wykonania, wirus może wraz z nim wykonywać swoje szkodliwe działania. Wirusy mogą powodować uszkodzenia lub nawet całkowitą utratę informacji.

Nielegalne działania legalnego użytkownika - Tego typu zagrożenie pochodzi od legalnych użytkowników sieci, którzy korzystając ze swoich uprawnień, próbują wykonywać działania wykraczające poza zakres ich obowiązków służbowych. Na przykład administrator sieci ma prawie nieograniczone prawa dostępu współ wszystkie zasoby sieciowe. Jednakże przedsiębiorstwo może posiadać informacje, do których administrator sieci nie ma dostępu. Można podjąć środki w celu wdrożenia tych ograniczeń specjalne środki takie jak np. szyfrowanie danych, ale i w tym przypadku administrator może podjąć próbę uzyskania dostępu do klucza. Zwykły użytkownik sieci może także próbować podejmować nielegalne działania. Istniejące statystyki pokazują, że prawie połowa wszystkich prób naruszenia bezpieczeństwa systemu jest podejmowana przez pracowników przedsiębiorstw, którzy są legalnymi użytkownikami sieci.

„Podsłuchując ruch w intranecie – Jest to nielegalne monitorowanie sieci, przechwytywanie i analiza wiadomości sieciowych. Dostępnych jest wiele programowych i sprzętowych analizatorów ruchu, które sprawiają, że to zadanie jest dość trywialne. Ochrona przed tego typu zagrożeniami staje się jeszcze trudniejsza w globalnie połączonych sieciach. Łączność globalna, rozciągająca się na dziesiątki i tysiące kilometrów, jest ze swej natury mniej bezpieczna niż komunikacja lokalna (więcej możliwości podsłuchiwania ruchu, wygodniejsza pozycja dla atakującego podczas przeprowadzania procedur uwierzytelniania). Zagrożenie to jest w równym stopniu nieodłącznym elementem wszystkich rodzajów terytorialnych kanałów komunikacji i nie jest w żaden sposób zależne od tego, czy wykorzystywane są kanały własne, dzierżawione czy usługi publiczne. sieci terytorialne, podobnie jak w Internecie.

Jednak korzystanie z sieci publicznych (mówimy głównie o Internecie) dodatkowo pogarsza sytuację. Rzeczywiście korzystanie z Internetu zwiększa niebezpieczeństwo przechwycenia danych przesyłanych liniami komunikacyjnymi, niebezpieczeństwo nieuprawnionego wejścia do węzłów sieci, ponieważ obecność ogromnej liczby hakerów w Internecie zwiększa prawdopodobieństwo prób nielegalnego przedostania się do sieci komputer. Stanowi to ciągłe zagrożenie dla sieci podłączonych do Internetu.

Internet sam w sobie jest celem wszelkiego rodzaju atakujących. Ponieważ Internet został stworzony jako otwarty system przeznaczony do swobodnej wymiany informacji, wcale nie jest zaskakujące, że prawie wszystkie protokoły w stosie TCP/IP mają „wrodzone” wady bezpieczeństwa. Korzystając z tych niedociągnięć-| Jednak napastnicy coraz częściej próbują uzyskać nieautoryzowany dostęp do informacji przechowywanych na stronach internetowych.

Systematyczne podejście do bezpieczeństwa

Budowanie i utrzymywanie bezpiecznego systemu wymaga systematycznego podejścia. Zgodnie z tym podejściem należy przede wszystkim zrozumieć całą gamę możliwych zagrożeń dla konkretnej sieci i przemyśleć taktykę dla każdego z tych zagrożeń. jej refleksje. W tej walce można i należy stosować najróżniejsze środki i techniki - moralne, etyczne i legislacyjne, administracyjne i psychologiczne, a także możliwości ochronne oprogramowania i sprzętu sieciowego.

DO moralne i etyczneśrodki ochrony obejmują wszelkiego rodzaju normy, które rozwinęły się w miarę rozprzestrzeniania się narzędzi komputerowych w danym kraju. Przykładowo, tak jak w walce z pirackim kopiowaniem programów stosuje się obecnie głównie środki edukacyjne, tak trzeba wpajać ludziom w świadomość niemoralność wszelkich prób naruszania poufności, integralności i dostępności cudzych zasobów informacyjnych.

Ustawodawczyśrodkami zaradczymi są ustawy, rozporządzenia rządowe i dekrety prezydenckie, regulamin i standardy regulujące zasady wykorzystywania i przetwarzania informacji o ograniczonym dostępie, a także wprowadzające kary za naruszenie tych zasad. Regulacja prawna działania w zakresie bezpieczeństwa informacji mają na celu ochronę informacji stanowiących tajemnica państwowa, zapewniając konsumentom prawa do otrzymania produkty wysokiej jakości, ochrona konstytucyjnych praw obywateli do prywatności oraz walka z przestępczością zorganizowaną.

Środki administracyjne - Są to działania podejmowane przez kierownictwo przedsiębiorstwa lub organizacji w celu zapewnienia bezpieczeństwa informacji. Takie środki obejmują szczegółowe zasady praca pracowników przedsiębiorstwa, na przykład godziny pracy pracowników, ich opisy stanowisk, które ściśle określają tryb pracy informacje poufne na komputerze. DO środki administracyjne Obowiązują także zasady zakupu przez przedsiębiorstwo sprzętu zabezpieczającego. Urzędnicy administracji odpowiedzialni za ochronę informacji muszą określić, jak bezpieczne jest używanie produktów zakupionych od zagranicznych dostawców. Dotyczy to szczególnie produktów związanych z szyfrowaniem. W takich przypadkach wskazane jest sprawdzenie, czy produkt posiada certyfikat wydany przez rosyjskie organizacje badawcze.

Środki psychologiczne systemy bezpieczeństwa mogą odegrać znaczącą rolę we wzmacnianiu bezpieczeństwa systemu. Zaniedbanie uwzględnienia aspektów psychologicznych w nieformalnych procedurach związanych z bezpieczeństwem może prowadzić do naruszeń ochrony. Rozważmy na przykład sieć korporacyjną z wieloma zdalnymi użytkownikami. Użytkownicy powinni od czasu do czasu zmieniać swoje hasła (powszechna praktyka zapobiegająca zgadywaniu haseł). W tym systemie administrator wybiera hasła. W takich warunkach osoba atakująca może zadzwonić do administratora i spróbować uzyskać hasło w imieniu uprawnionego użytkownika. Przy dużej liczbie zdalnych użytkowników możliwe jest, że taka prosta technika psychologiczna może zadziałać.

DO fizycznyśrodki ochrony obejmują ekranowanie pomieszczeń w celu ochrony przed promieniowaniem, sprawdzanie dostarczonego sprzętu pod kątem zgodności ze specyfikacją i braku „błędów” sprzętowych, zewnętrzne urządzenia nadzoru, urządzenia blokujące fizyczny dostęp do poszczególnych jednostek komputerowych, różne zamki i inny sprzęt zabezpieczający pomieszczenia, skąd znajdują się nośniki danych nielegalne wejście itd. itd.

TechnicznyŚrodki bezpieczeństwa informacji realizowane są poprzez oprogramowanie i sprzęt sieci komputerowych. Narzędzia takie, zwane także usługami bezpieczeństwa sieci, rozwiązują szeroką gamę zadań związanych z ochroną systemu, na przykład kontrolę dostępu, w tym procedury uwierzytelniania i autoryzacji, audyt, szyfrowanie informacji, ochronę antywirusową, kontrolę grafika sieciowa i wiele innych zadań. Środki techniczne zabezpieczenia mogą być wbudowane w oprogramowanie ( systemy operacyjne i aplikacje) oraz sprzęt (komputery i sprzęt komunikacyjny) do obsługi sieci lub są wdrażane w postaci odrębnych produktów stworzonych specjalnie w celu rozwiązywania problemów związanych z bezpieczeństwem.

Polityka bezpieczeństwa

Znaczenie i złożoność problemu bezpieczeństwa wymaga rozwoju polityki bezpieczeństwa informacji, co implikuje odpowiedzi na następujące pytania:

• Jakie informacje należy chronić?
• Jakie szkody poniesie firma w przypadku utraty lub ujawnienia określonych danych?
• Kto lub co jest potencjalnym źródłem zagrożenia, Co jakiego rodzaju ataki na bezpieczeństwo systemu można przeprowadzić?
• Jakie środki należy zastosować, aby chronić każdy rodzaj informacji?

Tworząc politykę bezpieczeństwa, specjaliści odpowiedzialni za bezpieczeństwo systemu muszą wziąć pod uwagę kilka podstawowe zasady. Jedną z tych zasad jest zapewnienie każdemu pracownikowi przedsiębiorstwa minimalny poziom uprawnień dostępu do danych niezbędnych mu do wykonywania obowiązków służbowych. W danych okolicznościach bardzo Ponieważ naruszenia z zakresu bezpieczeństwa przedsiębiorstw pochodzą właśnie od ich własnych pracowników, ważne jest wprowadzenie jasnych ograniczeń dla wszystkich użytkowników sieci, bez dawania im zbędnych możliwości.

Następną zasadą jest użycie zintegrowane podejście aby zapewnić bezpieczeństwo. Aby utrudnić atakującemu dostęp do danych, konieczne jest zapewnienie różnorodnych zabezpieczeń, począwszy od zakazów organizacyjnych i administracyjnych, a skończywszy na środkach wbudowanych w sprzęt sieciowy. Zakaz administracyjny pracować niedziele oddaje potencjalnego sprawcę naruszenia pod kontrolę wzrokową administratora i innych użytkowników, środki fizyczne zabezpieczenia (zamknięty lokal, zamykanie kluczy) ograniczają bezpośredni kontakt użytkownika jedynie z przypisanym mu komputerem, wbudowane narzędzia sieciowego systemu operacyjnego (system uwierzytelniania i autoryzacji) uniemożliwiają wejście do sieci nielegalnym użytkownikom, a dla użytkownika legalnego ograniczają możliwości tylko do operacji dla niego dozwolonych (podsystem audytu rejestruje jego działania). Taki system ochrony z wielokrotną redundancją środków bezpieczeństwa zwiększa prawdopodobieństwo bezpieczeństwa danych.

Podczas korzystania z wielopoziomowego systemu bezpieczeństwa ważne jest zapewnienie równowaga niezawodności ochrony na wszystkich poziomach. Jeśli wszystkie wiadomości w sieci są zaszyfrowane, Ale Ponieważ klucze są łatwo dostępne, efekt szyfrowania jest zerowy. Lub jeśli komputery mają system plików obsługujący dostęp selektywny na poziomie osobne pliki, ale można zdobyć dysk twardy i zainstalować go na innym komputerze, wtedy wszystkie zalety ochrony systemu plików zostaną zredukowane do zera. Jeśli ruch zewnętrzny w sieci podłączonej do Internetu przechodzi przez potężną zaporę sieciową, ale użytkownicy mogą komunikować się z hostami internetowymi za pośrednictwem łączy dial-up przy użyciu lokalnie zainstalowanych modemów, wówczas pieniądze (zwykle całkiem spore) wydane na zaporę mogą należy uznać za wyrzucone na wiatr.

Następny uniwersalna zasada to użycie środków, które w przypadku niepowodzenia przechodzą w stan maksymalna ochrona. Dotyczy to szerokiej gamy funkcji bezpieczeństwa. Jeśli na przykład automatycznie punkt kontrolny włamie się do jakiegokolwiek pomieszczenia, należy je zamocować w takim położeniu, aby żadna osoba nie mogła wejść do chronionego obszaru. A jeśli w sieci jest urządzenie, które analizuje cały ruch przychodzący i odrzuca ramki z określonym, z góry określonym adresem zwrotnym, to w przypadku awarii powinno całkowicie zablokować wejście do sieci. Za niedopuszczalne należy uznać urządzenie, które w przypadku awarii umożliwiłoby wpuszczenie do sieci całego ruchu zewnętrznego.

Zasada jednego punktu kontrolnego - Cały ruch wchodzący do sieci wewnętrznej i wychodzący do sieci zewnętrznej musi przechodzić przez pojedynczy węzeł sieci, na przykład przez zaporę sieciową. Tylko to pozwala na wystarczającą kontrolę ruchu. W W przeciwnym razie gdy w sieci znajduje się wiele stacji użytkowników, które mają niezależny dostęp do sieci zewnętrznej, bardzo trudno jest skoordynować zasady ograniczające uprawnienia użytkowników sieć wewnętrzna w przypadku dostępu do zewnętrznych serwerów sieciowych i odwrotnie - uprawnienia klientów zewnętrznych do dostępu do wewnętrznych zasobów sieciowych.

Zasada równoważenia ewentualnych szkód wynikających z realizacji zagrożenia i kosztów zapobiegania mu.Żaden system bezpieczeństwa nie gwarantuje 100% ochrony danych, ponieważ jest to wynik kompromisu pomiędzy możliwymi zagrożeniami i możliwymi kosztami. Ustalając politykę bezpieczeństwa, administrator musi wyważyć wielkość szkód, jakie może ponieść przedsiębiorstwo w wyniku naruszenia bezpieczeństwa danych i skorelować ją z wysokością kosztów niezbędnych do zapewnienia bezpieczeństwa tych danych. Tak więc w niektórych przypadkach można porzucić kosztowną zaporę sieciową na rzecz standardowych narzędzi filtrujących zwykłego routera, podczas gdy w innych można ponieść niespotykane dotąd koszty. Najważniejsze jest to podjęta decyzja było uzasadnione ekonomicznie.

Ustalając politykę bezpieczeństwa sieci z dostępem do Internetu, eksperci zalecają podzielenie zadania na dwie części: opracowanie polityki dostępu do usług sieciowych Internetu oraz opracowanie polityki dostępu do zasobów w sieci wewnętrznej firmy.

Polityka dostępu do usług sieciowych Internetu obejmuje następujące elementy:

• Zdefiniuj listę usług internetowych, do których użytkownicy sieci wewnętrznej powinni mieć ograniczony dostęp.
• Definiowanie ograniczeń metod dostępu, takich jak użycie protokołu SLIP (Serial Line Internet Protocol) i PPP (Point-to-Point Protocol).
• Ograniczenia metod dostępu są konieczne, aby uniemożliwić użytkownikom dostęp do „zakazanych” usług internetowych poprzez tylne drzwi. Przykładowo, jeśli w sieci zostanie zainstalowana specjalna bramka ograniczająca dostęp do Internetu, która nie pozwala użytkownikom na pracę w systemie WWW, będą oni mogli nawiązywać połączenia PPP z serwerami WWW poprzez linię komutowaną. Aby tego uniknąć, wystarczy zabronić korzystania z protokołu PPP. Podejmowanie decyzji, czy dostęp jest dozwolony użytkownicy zewnętrzni

z Internetu do sieci wewnętrznej. Jeśli tak, to komu? Często dostęp możliwy jest jedynie dla niektórych usług, które są absolutnie niezbędne do funkcjonowania przedsiębiorstwa, np. poczty elektronicznej.

Politykę dostępu do zasobów w sieci wewnętrznej firmy można wyrazić w jednej z dwóch zasad:

· zakazać wszystkiego, co nie jest wyraźnie dozwolone;

· zezwalać na wszystko, co nie jest wyraźnie zabronione.

Zgodnie z wybraną zasadą ustalane są zasady przetwarzania ruchu zewnętrznego przez zapory ogniowe lub routery. Wdrożenie ochrony w oparciu o pierwszą zasadę zapewnia wyższy stopień bezpieczeństwa, jednak może to spowodować większe niedogodności dla użytkowników, a dodatkowo ten sposób ochrony będzie znacznie droższy. Wdrażając drugą zasadę, sieć będzie mniej bezpieczna, ale będzie wygodniejsza w obsłudze i będzie wymagała mniejszych kosztów. Witajcie, drodzy czytelnicy bloga! Porozmawiajmy o tym dzisiaj ważny temat , jak bezpieczeństwo sieci, ponieważ właśnie to determinuje zdolność owocnego i nieustraszonego „przemierzania” dziczy, powiedzmy, wykonywania osobistych i korespondencja biznesowa wiedząc, że nikt inny nie będzie mógł uzyskać dostępu do Twoich poufnych informacji, robić zakupów w sklepach internetowych, na aukcjach, zarabiać na towarach ani wymiany walut

Infrastruktura sieciowa, usługi i dane przechowywane na podłączonych komputerach to krytyczne zasoby osobiste i biznesowe. Próba naruszenia integralności tych aktywów może mieć poważne konsekwencje biznesowe i finansowe.

Zapewnienie bezpieczeństwa sieci

Konsekwencje naruszenia bezpieczeństwa sieci mogą obejmować:

• Przestoje sieci zakłócające komunikację i transakcje, skutkujące stratami biznesowymi
• Błędne skierowanie i utrata środków osobistych i biznesowych
• Własność intelektualna firmy (pomysły badawcze, patenty, projekty, rysunki itp.), która może zostać skradziona i wykorzystana przez konkurencję
• Dane kontaktowe klienta, które stały się znane konkurencji lub upublicznione, co skutkuje utratą wiarygodności rynkowej firmy

Brak zaufania społecznego do tajemnicy przedsiębiorstwa, poufności i rzetelności może skutkować spadkiem obrotów i możliwością bankructwa firmy. Istnieją dwa rodzaje problemów związanych z bezpieczeństwem sieci, którym należy zapobiegać poważne konsekwencje: Bezpieczeństwo infrastruktury sieciowej i bezpieczeństwo treści.

Ochrona infrastruktury sieciowej obejmuje ochrona fizyczna, które zapewniają połączenia sieciowe, a także zapobiegają nieautoryzowanemu dostępowi oprogramowanie na nich zainstalowany.

Bezpieczeństwo treści polega na ochronie informacji przechowywanych w pakietach przesyłanych siecią, a także informacji przechowywanych na urządzeniach podłączonych do sieci. Podczas przesyłania informacji zawartość poszczególnych pakietów nie jest łatwo odczytana na urządzeniach lub nośnikach, przez które pakiety są przesyłane. Narzędzia zapewniające bezpieczeństwo treści poszczególnych wiadomości muszą być zaimplementowane w górnej warstwie podstawowych protokołów kontrolujących sposób formatowania, adresowania i dostarczania pakietów. Ponieważ ponowne składanie i interpretacja zawartości odbywa się za pomocą uruchomionych programów oddzielne systemy(źródło i miejsce docelowe), większość narzędzi i protokołów bezpieczeństwa również musi zostać zaimplementowana w tych systemach.

Środki bezpieczeństwa podjęte na terenie powinny:

• Zapobiegaj nieautoryzowanemu dostępowi lub kradzieży informacji
• Zapobiegaj nieautoryzowanym zmianom informacji
• Zapobiegaj awariom usług

Środkami do osiągnięcia tych celów są m.in.:

Gwarancja prywatności

Poufność informacji zachowywana jest poprzez umożliwienie dostępu do nich jedynie określonym i upoważnionym odbiorcom – osobom, procesom lub urządzeniom, które mają prawo zapoznać się z tymi informacjami.

Dostępność niezawodnego systemu użytkownika uwierzytelnianie, która polega na tworzeniu haseł trudnych do odgadnięcia i umożliwieniu użytkownikom zmiany haseł w regularnych odstępach czasu (im częściej, tym lepiej), pomaga ograniczyć dostęp do i które są przechowywane na . W razie potrzeby szyfrowanie treści zapewnia poufność i minimalizuje możliwość nieuprawnionego dostępu lub kradzieży informacji.

Utrzymanie integralności komunikacji

Integralność danych oznacza pewność, że informacja nie uległa zmianie podczas transmisji od nadawcy do odbiorcy. Integralność danych może zostać naruszona, jeśli informacje zostały uszkodzone – przypadkowo lub celowo – zanim dotarły do ​​zamierzonego odbiorcy.

Integralność źródła- jest to pewność, że autentyczność nadawcy została potwierdzona. Integralność źródła jest zagrożona, gdy użytkownik lub urządzenie podszywa się pod kogoś innego i wysyła do odbiorcy nieprawidłowe informacje.

Stosowanie podpisy cyfrowe , algorytmy mieszające i mechanizmy sumy kontrolne– to sposoby zapewnienia integralności źródła i informacji podczas transmisji, aby zapobiec nieuprawnionym zmianom informacji.

Gwarancja dostępności

Gwarancje poufności i integralności są bezużyteczne, jeśli zasoby sieciowe są przeciążone lub w ogóle niedostępne. Dostępność oznacza pewność terminowego i niezawodnego dostępu do usług danych dla uprawnionych użytkowników. Zasoby mogą stać się niedostępne w wyniku ataku typu „odmowa usługi” (DoS) lub z powodu rozprzestrzeniania się