Защита информации в глобальной сети - реферат

ПЛАН.

Введение.

Защита инфы в глобальной сети.

1. Неувязка защиты инфы.

2. Информационная безопасность и информационные технологии.

3. Средства защиты инфы.

3.1. Solstice Firewall-1.

3.1.1. Предназначение экранирующих систем и требования к ним.

3.1.2. Структура системы Solstice Firewall-1.

3.1.3. Пример реализации политики безопасности.

3.1.4. Управление системой Firewall-1.

3.1.5. Очередной пример реализации политики безопасности.

3.1.6. Аутентификация юзеров при работе с FTP.

3.1.7. Гибкие методы фильтрации Защита информации в глобальной сети - реферат UDP–пакетов, динамическое экранирование.

3.1.8. Язык программирования. Прозрачность и эффективность.

3.2. Ограничение доступа в WWW серверах.

3.2.1. Ограничения по IP–адресам.

3.2.2. Ограничения по идентификатору получателя.

3.3. Информационная безопасность в Intranet.

3.3.1. Разработка сетевых качеств политики безопасности.

3.3.2. Процедурные меры.

3.3.3. Управление доступом методом фильтрации инфы.

3.3.4. Безопасность программной среды.

3.3.5. Защита Web–серверов.

3.3.6. Аутентификация в открытых сетях.

3.3.7.Простота Защита информации в глобальной сети - реферат и однородность архитектуры.

3.4. PGP.

3.5. Blowfish.

3.6. Kerberos.

4. Виртуальные личные сети (VPN).

4.1. Сопоставимость.

4.2. Безопасность.

4.3. Доступность.

4.4. Маневренность.

4.5. Архитектура VPN.

Заключение.

ВВЕДЕНИЕ.

Internet - глобальная компьютерная сеть, обхватывающая весь мир. Сейчас Internet имеет около 15 миллионов абонентов в более чем 150 странах мира. Каждый месяц размер сети возрастает на 7-10%. Internet образует вроде бы Защита информации в глобальной сети - реферат ядро, обеспечивающее связь разных информационных сетей, принадлежащих разным учреждениям в мире, одна с другой.

Если ранее сеть использовалась только в качестве среды передачи файлов и сообщений электрической почты, то сейчас решаются более сложные задачки распределеного доступа к ресурсам. Около 2-ух годов назад были сделаны оболочки, поддерживающие функции сетевого поиска Защита информации в глобальной сети - реферат и доступа к распределенным информационным ресурсам, электрическим архивам.

Internet, служившая когда-то только исследовательским и учебным группам, чьи интересы простирались прямо до доступа к суперкомпьютерам, становится все более пользующейся популярностью в деловом мире.

Компании соблазняют быстрота, доступная глобальная связь, удобство для проведения совместных работ, доступные программки, уникальная база данных сети Защита информации в глобальной сети - реферат Internet. Они рассматривают глобальную сеть как дополнение к своим своим локальной сетям.

Практически Internet состоит из огромного количества локальных и глобальных сетей, принадлежащих разным компаниям и компаниям, связанных меж собой разными линиями связи. Internet можно представить для себя в виде мозаики сложенной из маленьких сетей разной величины, которые интенсивно ведут Защита информации в глобальной сети - реферат взаимодействие одна с другой, пересылая файлы, сообщения и т.п.

При низкой цены услуг (нередко это только фиксированная каждомесячная плата за применяемые полосы либо телефон) юзеры могут получить доступ к коммерческим и некоммерческим информационным службам США, Канады, Австралии и многих европейских государств. В архивах свободного доступа сети Защита информации в глобальной сети - реферат Internet можно отыскать информацию фактически по всем сферам людской деятельности, начиная с новых научных открытий до прогноза погоды на завтрашний день.

Не считая того Internet предоставляет уникальные способности дешевенькой, надежной и секретной глобальной связи по всему миру. Это оказывается очень комфортным для компаний имеющих свои филиалы по всему миру, межнациональных компаний Защита информации в глобальной сети - реферат и структур управления. Обычно, внедрение инфраструктуры Internet для интернациональной связи обходится существенно дешевле прямой компьютерной связи через спутниковый канал либо через телефон.

Электрическая почта - часто встречающаяся услуга сети Internet. В текущее время собственный адресок по электрической почте имеют примерно 20 миллионов человек. Посылка письма по электрической почте обходится существенно дешевле посылки Защита информации в глобальной сети - реферат обыденного письма. Не считая того сообщение, посланное по электрической почте дойдет до адресата за несколько часов, в то время как обыденное письмо может добираться до адресата некоторое количество дней, а то и недель.

В текущее время Internet испытывает период подъема, почти во всем благодаря активной поддержке Защита информации в глобальной сети - реферат со стороны правительств европейских государств и США. Раз в год в США выделяется около 1-2 миллионов баксов на создание новейшей сетевой инфраструктуры. Исследования в области сетевых коммуникаций финансируются также правительствами Англии, Швеции, Финляндии, Германии.

Но, государственное финансирование - только маленькая часть поступающих средств, т.к. все более приметной становится "коммерцизация" сети (80-90% средств поступает из Защита информации в глобальной сети - реферат личного сектора).

Новые границы киберпространства открывают широкие способности для новшеств, деловой активности и извлечения прибыли. Но есть у интерактивного мира и другая сторона - понижение степени безопасности компаний. Сеть Internet породила незаконный рынок, где сбывается информация, составляющая коммерческую тайну компаний. По оценкам правоохранительных органов, интерактивные правонарушители раз в Защита информации в глобальной сети - реферат год воруют информацию более чем на 10 миллиардов. долл. Но закон до сего времени проигрывает в сражении с ними. Киберворы пользуются преимуществами, которые дает им система защиты Internet, включая свободно распространяемые методы шифрования с открытым ключом и анонимные узлы ретрансляции электрической почты. Эти средства служат укрытием для торговцев похищенной Защита информации в глобальной сети - реферат информацией в мире. Степень риска для компаний увеличивается независимо от того, работают они по Internet либо нет. Опасность представляет не только лишь возможность проникания в корпоративную сеть через брандмауэр, да и само становление интерактивного рынка корпоративных данных, которые могут быть украдены и своими работникам компаниии.

Незаконная деятельность по сети изменила лицо корпоративной Защита информации в глобальной сети - реферат службы безопасности. Ранее мог пропасть один ящик скрытых сведений. Сейчас же несложно скопировать и выслать по электрической почте эквивалент сотен таких ящиков. Все, что для этого требуется, - один взломщик. В тот же вечер все общество взломщиков будет в курсе дела. В число незаконно продаваемой и покупаемой инфы входят номера Защита информации в глобальной сети - реферат талонов на телефонные переговоры, выдаваемых компаниями междугородной связи , коды подключения к службам сотовой связи, номера кредитных карточек, "вынюхивающие" методы взлома защиты и пиратские копии программного обеспечения. В неких случаях покупателями этой инфы являются преступные структуры, такие как торговцы пиратского ПО, которые приобретают украденные номера талонов, чтоб Защита информации в глобальной сети - реферат безвозмездно звонить по интернациональному телефону. Что еще опаснее, на этом рынке распространяются коммерческие секреты организаций, а именно планы исследовательских работ и разработок компаний, занимающихся высочайшими технологиями. Хотя большим атакам подвергаются сейчас телефонные службы и компании, выдающие кредитные карточки, увеличение интенсивности интерактивной коммерции меж большими корпорациями может значительно прирастить риск Защита информации в глобальной сети - реферат электрических краж для всей индустрии. По мере выхода коммерции на информационную магистраль мы все становимся мишенями. Риску подвергаются программные агенты и другие объекты.

Распространение электрической коммерции приводит к созданию все новых интерактивных каналов связи, и нет гарантии, что хоть какой из промежных каналов не окажется уязвимым местом исходя из убеждений Защита информации в глобальной сети - реферат защиты. Естественно, в краже коммерческих секретов нет ничего нового. Но Internet и другие интерактивные службы открывают торговцам информацией новые способности для поиска и обмена данными.

.

Защита инфы в глобальной сети Internet.

1.Препядствия защиты инфы.

Internet и информационная безопасность несовместны по самой природе Internet. Она родилась как чисто корпоративная сеть, но, в Защита информации в глобальной сети - реферат текущее время при помощи одного стека протоколов TCP/IP и одного адресного места соединяет воединыжды не только лишь корпоративные и ведомственные сети (образовательные, муниципальные, коммерческие, военные и т.д.), являющиеся, по определению, сетями с ограниченным доступом, да и рядовых юзеров, которые имеют возможность получить прямой доступ в Защита информации в глобальной сети - реферат Internet со собственных домашних компов при помощи модемов и телефонной сети общего использования.

Как понятно, чем проще доступ в Сеть, тем ужаснее ее информационная безопасность, потому с полным основанием можно сказать, что изначальная простота доступа в Internet - ужаснее воровства, потому что юзер может даже и не выяснить, что у Защита информации в глобальной сети - реферат него были скопированы - файлы и программки, не говоря уже о способности их порчи и корректировки.

Что все-таки определяет бурный рост Internet, характеризующийся каждогодним удвоением числа юзеров? Ответ прост -“халява”, другими словами дешевизна программного обеспечения (TCP/IP), которое в текущее время включено в Windows 95, легкость и дешевизна доступа в Защита информации в глобальной сети - реферат Internet (или при помощи Айпишники, или при помощи провайдера) и ко всем мировым информационным ресурсам.

Платой за использование Internet является всеобщее понижение информационной безопасности, потому для предотвращения несанкционированного доступа к своим компьютерам все корпоративные и ведомственные сети, также предприятия, использующие технологию intranet, ставят фильтры (fire-wall) меж внутренней сетью Защита информации в глобальной сети - реферат и Internet, что практически значит выход из одного адресного места. Еще огромную безопасность даст отход от протокола TCP/IP и доступ в Internet через шлюзы.

Этот переход можно производить сразу с процессом построения глобальной информационной сети общего использования, на базе использования сетевых компов, которые при помощи сетевой карты Защита информации в глобальной сети - реферат 10Base-T и кабельного модема обеспечивают скоростной доступ (10 Мбит/с) к локальному Web-серверу через сеть кабельного телевидения.

Для решения этих и других вопросов при переходе к новейшей архитектуре Internet необходимо предугадать последующее:

Во-1-х , устранить физическую связь меж будущей Internet (которая перевоплотится во Всемирную информационную сеть общего использования Защита информации в глобальной сети - реферат) и корпоративными и ведомственными сетями, сохранив меж ними только информационную связь через систему World Wide Web.

Во-2-х , поменять маршрутизаторы на коммутаторы, исключив обработку в узлах IP-протокола и заменив его на режим трансляции кадров Ethernet, при котором процесс коммутации сводится к обычный операции сопоставления MAC-адресов.

В-3-х , перейти в Защита информации в глобальной сети - реферат новое единое адресное место на базе физических адресов доступа к среде передачи (MAC-уровень), привязанное к географическому расположению сети, и позволяющее в рамках 48-бит сделать адреса для более чем 64 триллионов независящих узлов.

Безопасность данных является одной из основных заморочек в Internet. Возникают все новые и новые жуткие истории Защита информации в глобальной сети - реферат о том, как компьютерные взломщики, использующие все более утонченные приемы, попадают в чужие базы данных. Очевидно, все это не содействует популярности Internet в деловых кругах. Одна только идея о том, что какие-нибудь хулиганы либо, что еще ужаснее, соперники, сумеют получить доступ к архивам коммерческих данных, принуждает управление компаний Защита информации в глобальной сети - реферат отрешаться от использования открытых информационных систем. Спецы говорят, что подобные опаски необоснованны, потому что у компаний, имеющих доступ и к открытым, и личным сетям, фактически равные шансы стать жертвами компьютерного террора.

Проблема безопасности такая: приходится делать выбор меж защищенностью вашего имущества и его доступностью вам, а означает, и возможностью полезного Защита информации в глобальной сети - реферат использования.

Это справедливо и в отношении инфы. К примеру, база данных, содержащая секретные сведения, только тогда на сто процентов защищена от посягательств, когда она находится на дисках, снятых с компьютера и убранных в охраняемое место. Как вы установили эти диски в компьютер и начали использовать, возникает сходу Защита информации в глобальной сети - реферат несколько каналов, по которым злодей, в принципе, имеет возможность получить к вашим тайнам доступ без вашего ведома. Другими словами, ваша информация или недосягаема для всех, включая и вас, или не защищена на 100 процентов.

В области инфы проблема безопасности формулируется последующим образом: следует выбирать меж защищенностью системы и ее открытостью. Вернее Защита информации в глобальной сети - реферат, вобщем, гласить не о выборе, а о балансе, потому что система, не владеющая свойством открытости, не может быть применена.

В банковской сфере неувязка безопасности инфы осложняется 2-мя факторами: во-1-х, практически все ценности, с которыми имеет дело банк (не считая наличных средств и еще кое-чего), есть только в виде Защита информации в глобальной сети - реферат той либо другой инфы. Во-2-х, банк не может существовать без связей с наружным миром: без клиентов, корреспондентов и т. п. При всем этом по наружным связям непременно передается та информация, выражающая собой ценности, с которыми работает банк (или сведения об этих ценностях и их движении, которые время Защита информации в глобальной сети - реферат от времени стоят дороже самих ценностей). Снаружи приходят документы, по которым банк переводит средства с 1-го счета на другой. Вовне банк передает распоряжения о движении средств по корреспондентским счетам, так что открытость банка задана a priori.

2. Информационная безопасность и информационные технологии

На ранешном шаге автоматизации внедрение банковских систем (и вообщем Защита информации в глобальной сети - реферат средств автоматизации банковской деятельности) не увеличивало открытость банка. Общение с наружным миром, как и до этого, шло через операционистов и курьеров, потому дополнительная угроза безопасности инфы проистекала только от вероятных злоупотреблений со стороны работавших в самом банке профессионалов по информационным технологиям.

Положение поменялось после того, как на рынке денежных услуг Защита информации в глобальной сети - реферат стали появляться продукты, само появление которых было невообразимо без информационных технологий. Сначала это—пластмассовые карточки. Пока сервис по карточкам шло в режиме голосовой авторизации, открытость информационной системы банка повышалась некординально, но потом появились банкоматы, POS-терминалы, другие устройства самообслуживания—другими словами средства, принадлежащие к информационной системе банка, но расположенные вне Защита информации в глобальной сети - реферат ее и доступные сторонним для банка лицам.

Повысившаяся открытость системы востребовала особых мер для контроля и регулирования обмена информацией: дополнительных средств идентификации и аутентификации лиц, которые запрашивают доступ к системе (PIN-код, информация о клиенте на магнитной полосе либо в памяти микросхемы карточки, шифрование данных, контрольные Защита информации в глобальной сети - реферат числа и другие средства защиты карточек), средств криптозащиты инфы в каналах связи и т. д.

Еще больший сдвиг баланса “защищенность-открытость” в сторону последней связан с телекоммуникациями. Системы электрических расчетов меж банками защитить относительно нетрудно, потому что субъектами электрического обмена информацией выступают сами банки. Все же, там, где защите не Защита информации в глобальной сети - реферат уделялось нужное внимание, результаты были полностью прогнозируемы. Более кричащий пример—к огорчению, наша страна. Внедрение очень простых средств защиты телекоммуникаций в 1992 г. привело к большим потерям на липовых авизо.

Общая тенденция развития телекоммуникаций и массового распространения вычислительной техники привела в конце концов к тому, что на рынке банковских услуг Защита информации в глобальной сети - реферат в мире появились новые, чисто телекоммуникационные продукты, и сначала системы Home Banking (российский аналог—“клиент-банк”). Это потребовало обеспечить клиентам круглосуточный доступ к автоматической банковской системе для проведения операций, при этом возможности на совершение банковских транзакций получил конкретно клиент. Степень открытости информационной системы банка возросла практически до максимума. Соответственно Защита информации в глобальной сети - реферат, требуются особенные, особые меры для того, чтоб настолько же существенно не свалилась ее защищенность.

В конце концов, грянула эра “информационной супермагистрали”: взрывообразное развитие сети Internet и связанных с нею услуг. Вкупе с новыми способностями эта сеть принесла и новые угрозы. Казалось бы, какая разница, каким образом клиент связывается с банком: по Защита информации в глобальной сети - реферат коммутируемой полосы, приходящей на модемный пул банковского узла связи, либо по IP-протоколу через Internet? Но в первом случае очень вероятное количество подключений ограничивается техническими чертами модемного пула, во 2-м же—способностями Internet, которые могут быть значительно выше. Не считая того, сетевой адресок банка, в принципе, общедоступен, тогда Защита информации в глобальной сети - реферат как телефонные номера модемного пула могут сообщаться только заинтересованным лицам. Соответственно, открытость банка, чья информационная система связана с Internet, существенно выше, чем в первом случае. Так только за 5 месяцев 1995 г. компьютерную сеть Citicorp взламывали 40 раз! (Это свидетельствует, вобщем, не столько о некий “угрозы” Internet вообщем, сколько о недостаточно квалифицированной работе Защита информации в глобальной сети - реферат админов безопасности Citicorp.)

Все это вызывает необходимость пересмотра подходов к обеспечению информационной безопасности банка. Подключаясь к Internet, следует поновой провести анализ риска и составить план защиты информационной системы, также определенный план ликвидации последствий, возникающих в случае тех либо других нарушений конфиденциальности, сохранности и доступности инфы.

На 1-ый взор, для Защита информации в глобальной сети - реферат нашей страны неувязка информационной безопасности банка не настолько остра: до Internet ли нам, если в большинстве банков стоят системы второго поколения, работающие в технологии “файл-сервер”. К огорчению, и у нас уже зарегистрированы “компьютерные кражи”. Положение осложняется 2-мя неуввязками. Сначала, как указывает опыт общения с представителями банковских служб Защита информации в глобальной сети - реферат безопасности, и в руководстве, и посреди персонала этих служб преобладают бывшие оперативные сотрудники органов внутренних дел либо госбезопасности. Они владеют высочайшей квалификацией в собственной области, но в большинстве собственном слабо знакомы с информационными технологиями. Профессионалов по информационной безопасности в нашей стране вообщем очень не достаточно, так как массовой Защита информации в глобальной сети - реферат эта профессия становится только на данный момент.

2-ая неувязка связана с тем, что в очень многих банках безопасность автоматической банковской системы не анализируется и не обеспечивается серьезно. Сильно мало где имеется тот нужный набор организационных документов (анализ риска, план защиты и план ликвидации последствий), о котором говорилось выше. Более Защита информации в глобальной сети - реферат того, безопасность инфы сплошь и рядом просто не может быть обеспечена в рамках имеющейся в банке автоматической системы и принятых правил работы с ней.

Что касается автоматических банковских систем, то более всераспространенные системы второго-третьего поколений состоят из набора автономных программных модулей, запускаемых из командной строчки DOS на рабочих станциях. Оператор Защита информации в глобальной сети - реферат имеет возможность в хоть какой момент выйти в DOS из такового программного модуля. Подразумевается, что это нужно для перехода в другой программный модуль, но практически в таковой системе не существует никаких методов не только лишь исключить пуск оператором всех других программ (от безопасной игры до программки, преобразующей данные Защита информации в глобальной сети - реферат банковских счетов), да и проконтролировать деяния оператора. Стоит увидеть, что в ряде систем этих поколений, в том числе разработанных очень почетаемыми русскими фирмами и продаваемых сотками, файлы счетов не шифруются, т. е. с данными в их можно ознакомиться простейшими общедоступными средствами. Многие разработчики ограничивают средства администрирования безопасности штатными Защита информации в глобальной сети - реферат средствами сетевой операционной системы: вошел в сеть - делай, что хочешь.

Все же, наши банки уделяют информационным технологиям много внимания, и довольно стремительно усваивают новое. Сеть Internet и денежные продукты, связанные с ней, войдут в жизнь банков резвее, чем это подразумевают скептики, потому уже на данный момент нужно озаботиться Защита информации в глобальной сети - реферат вопросами информационной безопасности на другом, более проф уровне, чем это делалось до сего времени.

Некие советы:

1. Нужен полный подход к информационной безопасности.

Информационная безопасность должна рассматриваться как составная часть общей безопасности банка—при этом как принципиальная и неотъемлемая ее часть. Разработка концепции информационной безопасности должна непременно проходить при участии Защита информации в глобальной сети - реферат управления безопасности банка. В этой концепции следует предугадывать не только лишь меры, связанные с информационными технологиями (криптозащиту, программные средства администрирования прав юзеров, их идентификации и аутентификации, “брандмауэры” для защиты входов—выходов сети и т. п.), да и меры административного и технического нрава, включая жесткие процедуры контроля физического доступа к автоматической Защита информации в глобальной сети - реферат банковской системе.

2. Нужно роль служащих управления безопасности на шаге выбора—приобретения—разработки автоматической банковской системы. Это роль не должно сводиться к проверке фирмы-поставщика. Управление безопасности должно держать под контролем наличие соответствующих средств разграничения доступа к инфы в приобретаемой системе.

3.Средства защиты инфы.

На данный момент навряд ли кому-то Защита информации в глобальной сети - реферат нужно обосновывать, что при подключении к Internet Вы подвергаете риску безопасность Вашей локальной сети и конфиденциальность содержащейся в ней инфы. По данным CERT Coordination Center в 1995 году было записанно 2421 инцидентов - взломов локальных сетей и серверов. По результатам опроса, проведенного Computer Security Institute (CSI) посреди 500 более больших организаций Защита информации в глобальной сети - реферат, компаний и институтов с 1991 число нелегальных вторжений возросло на 48.9 %, а утраты, вызванные этими атаками, оцениваются в 66 млн. баксов США.

Одним из более всераспространенных устройств защиты от инетовских бандитов - “взломщиков” является применение межсетевых экранов - брэндмауэров (firewalls).

Необходимо отметить, что вследствие непрофессионализма админов и недочетов неких типов брэндмауэров порядка 30% взломов совершается после установки защитных Защита информации в глобальной сети - реферат систем.

3.1 Разработка работы в глобальных сетях Solstice FireWall-1 .

В текущее время вопросам безопасности данных в распределенных компьютерных системах уделяется очень огромное внимание. Создано огромное количество средств для обеспечения информационной безопасности, созданных для использования на разных компьютерах с различными ОС. В качестве 1-го из направлений можно выделить Защита информации в глобальной сети - реферат межсетевые экраны (firewalls), призванные держать под контролем доступ к инфы со стороны юзеров наружных сетей.

В реальном документе рассматриваются главные понятия экранирующих систем, также требования, предъявляемые к ним. На примере пакета Solstice FireWall-1 рассматривается неcколько обычных случаев использования таких систем, в особенности применительно к вопросам обеспечения безопасности Internet-подключений. Рассмотрено Защита информации в глобальной сети - реферат также несколько уникальных особенностей Solstice FireWall-1, позволяющих гласить о его лидерстве в данном классе приложений.

3.1.1. Предназначение ЭКРАНИРУЮЩИХ СИСТЕМ И ТРЕБОВАНИЯ К НИМ

.

Неувязка межсетевого экранирования формулируется последующим образом. Пусть имеется две информационные системы либо два огромного количества информационных систем. Экран (firewall) - это средство разграничения доступа клиентов из 1-го огромного количества Защита информации в глобальной сети - реферат систем к инфы, лежащей на серверах в другом огромном количестве.

Набросок 3.1.1.1

Экран FireWall.

Экран делает свои функции, контролируя все информационные потоки меж этими 2-мя огромными количествами информационных систем, работая как некая “информационная мембрана”. В этом смысле экран можно представлять для себя как набор фильтров, анализирующих проходящую через Защита информации в глобальной сети - реферат их информацию и, на базе заложенных в их алгоритмов, принимающих решение: пропустить ли эту информацию либо отказать в ее пересылке. Не считая того, такая система может делать регистрацию событий, связанных с процессами разграничения доступа. а именно, фиксировать все “нелегальные” пробы доступа к инфы и, дополнительно, говорить о ситуациях, требующих незамедлительной Защита информации в глобальной сети - реферат реакции, другими словами подымать тревогу.

Обычно экранирующие системы делают несимметричными. Для экранов определяются понятия “снутри” и “снаружи”, и задачка экрана состоит в защите внутренней сети от “потенциально агрессивного” окружения. Важным примером потенциально агрессивной наружной сети является Internet.

Разглядим более тщательно, какие препядствия появляются при построении экранирующих систем. При всем этом мы Защита информации в глобальной сети - реферат будем рассматривать не только лишь делему неопасного подключения к Internet, да и разграничение доступа снутри корпоративной сети организации.

1-ое, явное требование к таким системам, это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над наружными подключениями и сеансами связи.

Во-2-х, экранирующая система должна владеть сильными и Защита информации в глобальной сети - реферат гибкими средствами управления для обычного и полного воплощения в жизнь политики безопасности организации и, не считая того, для обеспечения обычной реконфигурации системы при изменении структуры сети.

В-3-х, экранирующая система должна работать неприметно для юзеров локальной сети и не затруднять выполнение ими законных действий.

В-4-х, экранирующая система должна Защита информации в глобальной сети - реферат работать довольно отлично и успевать обрабатывать весь входящий и исходящий трафик в “пиковых” режимах. Это нужно для того, чтоб firewall нельзя было, образно говоря, “забросать” огромным количеством вызовов, которые привели бы к нарушению ее работы.

5-ое . Система обеспечения безопасности должна быть сама накрепко защищена от всех несанкционированных воздействий, так как она Защита информации в глобальной сети - реферат является ключом к секретной инфы в организации.

Шестое. В эталоне, если у организации есть некоторое количество наружных подключений, в том числе и в удаленных филиалах, система управления экранами обязана иметь возможность централизованно обеспечивать для их проведение единой политики безопасности.

Седьмое. Система Firewall обязана иметь средства авторизации доступа Защита информации в глобальной сети - реферат юзеров через наружные подключения. Обычной является ситуация, когда часть персонала организации должна выезжать, к примеру, в командировки, и в процессе работы им, тем немение, требуется доступ, по последней мере, к неким ресурсам внутренней компьютерной сети организации. Система должна уметь накрепко распознавать таких юзеров и предоставлять им нужный доступ к инфы.

3.1.2. СТРУКТУРА Защита информации в глобальной сети - реферат СИСТЕМЫ SOLSTICE FIREWALL-1.

Традиционным примером, на котором хотелось бы проиллюстрировать все вышеизложенные принципы, является программный комплекс Solstice FireWall-1 компании Sun Microsystems. Данный пакет не один раз отмечался заслугами на выставках и конкурсах. Он обладает многими полезными особенностями, выделяющими его посреди товаров аналогичного предназначения.

Разглядим главные составляющие Solstice FireWall-1 и Защита информации в глобальной сети - реферат функции, которые они реализуют.

Центральным для системы FireWall-1 является модуль управления всем комплексом. С этим модулем работает админ безопасности сети. Необходимо подчеркнуть, что продуманность и удобство графического интерфейса модуля управления отмечалось в почти всех независящих обзорах, посвященных продуктам данного класса.

Набросок 3.1.2.1

Главные составляющие Solstice FireWall-1 .

Админу безопасности сети Защита информации в глобальной сети - реферат для конфигурирования комплекса FireWall-1 нужно выполнить последующий ряд действий:

• Найти объекты, участвующие в процессе обработки инфы. Тут имеются в виду юзеры и группы юзеров, компы и их группы, маршрутизаторы и разные сабсети локальной сети организации.

• Обрисовать сетевые протоколы и сервисы, с которыми будут работать приложения. Вобщем, обычно Защита информации в глобальной сети - реферат достаточным оказывается набор из более чем 40 описаний, поставляемых с системой FireWall-1.

• Дальше, при помощи введенных понятий описывается политика разграничения доступа в последующих определениях: “Группе юзеров А разрешен доступ к ресурсу Б при помощи сервиса либо протокола С, но об этом нужно сделать пометку в регистрационном журнальчике”. Совокупа таких записей компилируется в Защита информации в глобальной сети - реферат исполнимую форму блоком управления и дальше передается на выполнение в модули фильтрации.

Модули фильтрации могут размещаться на компьютерах - шлюзах либо выделенных серверах - либо в маршрутизаторах как часть конфигурационной инфы. В текущее время поддерживаются последующие два типа маршрутизаторов: Cisco IOS 9.x, 10.x, также BayNetworks (Wellfleet) OS v.8.

Модули Защита информации в глобальной сети - реферат фильтрации просматривают все пакеты, поступающие на сетевые интерфейсы, и, зависимо от данных правил, пропускают либо отбрасывают эти пакеты, с соответственной записью в регистрационном журнальчике. Необходимо подчеркнуть, что эти модули, работая конкретно с драйверами сетевых интерфейсов, обрабатывают весь поток данных, располагая полной информацией о передаваемых пакетах.

3.1.3. ПРИМЕР РЕАЛИЗАЦИИ ПОЛИТИКИ БЕЗОПАСНОСТИ.

Расcмотрим Защита информации в глобальной сети - реферат процесc практической реализации политики безопасности организации при помощи программного пакета FireWall-1.

Набросок.3.1.3..1

Реализация политики безопасности FireWall.

1. Сначала, как ранее говорилось, разрабатываются и утверждаются на уровне управления организации правила политики безопасности.

2. После утверждения эти правила нужно воплотить в жизнь. Для этого их необходимо перевести в структуру типа “откуда, куда и Защита информации в глобальной сети - реферат каким методом доступ разрешен либо, напротив, запрещен. Такие структуры, как мы уже знаем, просто переносятся в базы правил системы FireWall-1.

3. Дальше, на базе этой базы правил формируются списки доступа для маршрутизаторов и сценарии работы фильтров на сетевых шлюзах. Списки и сценарии дальше переносятся на физические составляющие сети, после этого правила Защита информации в глобальной сети - реферат политики безопасности “вступают в силу”.

4. В процессе работы фильтры пакетов на шлюзах и серверах генерируют записи обо всех событиях, которые им отдали приказ выслеживать, а, также, запускают механизмы “волнения”, требующие от админа незамедлительной реакции.

5. На базе анализа записей, изготовленных системой, отдел компьютерной безопасности организации может разрабатывать предложения по изменению Защита информации в глобальной сети - реферат и предстоящему развитию политики безопасности.

Разглядим обычный пример реализации последующих правил:

1. Из локальных сетей подразделений, может быть удаленных, разрешается связь с хоть какой локальной сетью организации после аутентификации, к примеру, по UNIX-паролю.

2. Всем воспрещается доступ к сети денежного департамента, кроме генерального директора и директора этого департамента.

3. Из Internet разрешается Защита информации в глобальной сети - реферат только отправлять и получать почту. Обо всех других попытках связи нужно делать подробную запись.

Все эти правила естественным образом представляются средствами графического интерфейса Редактора Правил FireWall-1.

Набросок 3.1.3..2

Графический интерфейс Редактора Правил FireWall-1 .

После загрузки правил, FireWall-1 для каждого пакета, передаваемого по сети, поочередно просматривает перечень правил до нахождения Защита информации в глобальной сети - реферат элемента, соответственного текущему случаю.

Принципиальным моментом является защита системы, на которой расположен административно-конфигурационный модуль FireWall-1. Рекомендуется запретить средствами FireWall-1 все виды доступа к данной машине, либо по последней мере строго ограничить перечень юзеров, которым это разрешено, также принять меры по физическому ограничению доступа и по защите обыкновенными средствами ОС Защита информации в глобальной сети - реферат UNIX.

3.1.4.УПРАВЛЕНИЕ СИСТЕМОЙ FIREWALL-1 .

На рис. 5 показаны главные элементы управления системой FireWall-1.

Набросок. 3.1.4.1

Главные элементы управления системой FireWall-1.

Слева размещены редакторы баз данных об объектах, имеющихся в сети и о протоколах либо сервисах, при помощи которых происходит обмен информацией. Справа вверху показан редактор правил доступа.

Справа понизу размещается Защита информации в глобальной сети - реферат интерфейс контроля текущего состояния системы, в каком для всех объектов, которые внес туда админ, показываются данные о количестве разрешенных коммуникаций (галочки), о количестве отвергнутых связей (символ “кирпич”) и о количестве коммуникаций с регистрацией (иконка карандаш). Кирпичная стенка за эмблемой объекта (компьютера) значит, что на нем установлен модуль Защита информации в глобальной сети - реферат фильтрации системы FireWall-1.

3.1.5. Очередной ПРИМЕР РЕАЛИЗАЦИИ ПОЛИТИКИ БЕЗОПАСНОСТИ.

Разглядим сейчас случай, когда начальная конфигурация сети изменяется, а вкупе с ней изменяется и политика безопасности.

Пусть мы решили установить у себя в организации несколько общедоступных серверов для предоставления информационных услуг. Это могут быть, к примеру, серверы World Wide Web, FTP либо другие Защита информации в глобальной сети - реферат информационные серверы. Так как такие системы обособлены от работы всей остальной сети организации, для их нередко выделяют свою свою сабсеть, имеющую выход в Internet через шлюз.

Набросок 3.1.5.1

Схема шлюза Internet.

Так как в прошлом примере локальная сеть была уже защищена, то все, что нам нужно сделать, это просто разрешить Защита информации в глобальной сети - реферат соответственный доступ в выделенную сабсеть. Это делается при помощи одной дополнительной строчки в редакторе правил, которая тут показана. Такая ситуация является обычной при изменении конфигурации FireWall-1. Обычно для этого требуется изменение одной либо маленького числа строк в наборе правил доступа, что, непременно, иллюстрирует мощь средств конфигурирования и общую продуманность Защита информации в глобальной сети - реферат архитектуры FireWall-1.

3.1.6. АУТЕНФИКАЦИЯ Юзеров ПРИ РАБОТЕ С FTP.

Solstice FireWall-1 позволяет админу установить разные режимы работы с интерактивными сервисами FTP и telnet для разных юзеров и групп юзеров. При установленном режиме аутентификации, FireWall-1 подменяет стандартные FTP и telnet бесы UNIX на свои собственные, располагая их на шлюзе, закрытом при помощи Защита информации в глобальной сети - реферат модулей фильтрации пакетов. Юзер, желающий начать интерактивную сессию по FTP либо telnet (это должен быть разрешенный юзер и в разрешенное для него время), в состоянии сделать это только через вход на таковой шлюз, где и производится вся процедура аутентификации. Она задается при описании юзеров либо групп юзеров Защита информации в глобальной сети - реферат и может проводиться последующими методами:

• Unix-пароль;

• программка S/Key генерации разовых паролей;

• карточки SecurID с аппаратной генерацией разовых паролей.

3.1.7. ГИБКИЕ Методы ФИЛЬТРАЦИИ UDP-ПАКЕТОВ, ДИНАМИЧЕСКОЕ ЭКРАНИРОВАНИЕ.

UDP-протоколы, входящие в состав набора TCP/IP, представляют собой необыкновенную делему для обеспечения безопасности. С одной стороны на их базе Защита информации в глобальной сети - реферат сотворено огромное количество приложений. С другой стороны, они все являются протоколами “без состояния”, что приводит к отсутствию различий меж запросом и ответом, приходящим снаружи защищаемой сети.

Пакет FireWall-1 решает эту делему созданием контекста соединений поверх UDP сессий, запоминая характеристики запросов. Пропускаются вспять только ответы наружных серверов на высланные запросы, которые совершенно точно Защита информации в глобальной сети - реферат отличаются от всех других UDP-пакетов (читай: нелегальных запросов), так как их характеристики хранятся в памяти FireWall-1.

Необходимо подчеркнуть, что данная возможность находится в очень немногих программках экранирования, распространяемых в реальный момент.

Заметим также, что подобные механизмы задействуются для приложений, использующих RPC, и для FTP сеансов. Тут появляются подобные Защита информации в глобальной сети - реферат препядствия, связанные с динамическим выделением портов для сеансов связи, которые FireWall-1 выслеживает аналогичным образом, запоминая нужную информацию при запросах на такие сеансы и обеспечивая только “легитимный” обмен данными.

Данные способности пакета Solstice FireWall-1 резко выделяют его посреди всех других межсетевых экранов. В первый раз неувязка обеспечения Защита информации в глобальной сети - реферат безопасности решена для всех без исключения сервисов и протоколов, имеющихся в Internet.

3.1.8. ЯЗЫК ПРОГРАММИРОВАНИЯ. ПРОЗРАЧНОСТЬ И ЭФФЕКТИВНОСТЬ.

Система Solstice FireWall-1 имеет свой интегрированный обьектно-ориентированный язык программирования, используемый для описания поведения модулей - Фильтров системы. Фактически говоря, результатом работы графического интерфейса админа системы является сгенерированный сценарий работы конкретно на этом внутреннем языке Защита информации в глобальной сети - реферат. Он не сложен для осознания, что допускает конкретное программирование на нем. Но на практике данная возможность практически не употребляется, так как графический интерфейс системы и так позволяет сделать фактически все, что необходимо.

FireWall-1 на сто процентов прозрачен для конечных юзеров. Еще одним восхитительным свойством системы Solstice FireWall Защита информации в глобальной сети - реферат-1 является очень высочайшая скорость работы. Практически модули системы работают на сетевых скоростях передачи инфы, что обосновано компиляцией сгенерированных сценариев работы перед подключением их конкретно в процесс фильтрации.

Компания Sun Microsystems приводит такие данные об эффективности работы Solstice FireWall-1. Модули фильтрации на Internet-шлюзе, сконфигурированные обычным для многих организаций образом, работая Защита информации в глобальной сети - реферат на скоростях обыденного Ethernet в 10 Мб/сек, забирают на себя менее 10% вычислительной мощности микропроцессора SPARCstation 5,85 МГц либо компьютера 486DX2-50 с операционной системой Solaris/x86.

Solstice FireWall-1 - действенное средство защиты корпоративных сетей и их частей от наружных угроз, также от несанкционированных взаимодействий локальных юзеров с наружными системами.

Solstice FireWall-1 обеспечивает Защита информации в глобальной сети - реферат высокоуровневую поддержку политики безопасности организации по отношению ко всем протоколам семейства TCP/IP.

Solstice FireWall-1 характеризуется прозрачностью для законных юзеров и высочайшей эффективностью.

По совокупы технических и стоимостных черт Solstice FireWall-1 занимает лидирующую позицию посреди межсетевых экранов.

3.2. Ограничения доступа в WWW серверах.

Разглядим два из их:

• Ограничить доступ по Защита информации в глобальной сети - реферат IP адресам клиентских машин;

• ввести идентификатор получателя с паролем для данного вида документов.

Такового рода ввод ограничений стал употребляться довольно нередко, т.к. многие стремятся в Internet, чтоб использовать его коммуникации для доставки собственной инфы потребителю. При помощи такового рода устройств по разграничению прав доступа комфортно создавать саморассылку Защита информации в глобальной сети - реферат инфы на получение которой существует контракт.

3.2.1. Ограничения по IP адресам.

Доступ к приватным документам можно разрешить, или напротив запретить используя IP адреса определенных машин либо сеток, к примеру:

123.456.78.9

123.456.79.

В данном случае доступ будет разрешен (либо запрещен зависимо от контекста) для машины с IP адресом 123.456.78.9 и для всех машин подсетки 123.456.79.

3.2.2. Ограничения Защита информации в глобальной сети - реферат по идентификатору получателя.

Доступ к приватным документам можно разрешить, или напротив запретить используя присвоенное имя и пароль определенному юзеру, при этом пароль в очевидном виде нигде не хранится.

Разглядим таковой пример: Агенство печати предоставляет свою продукцию, только своим подписчикам, которые заключили контракт и оплатили подписку. WWW Сервер находится Защита информации в глобальной сети - реферат в сети Internet и общедоступен.

Набросок 3.2.2.1

Пример перечня вестников издательства.

Выберем Вестник предоставляемый определенному подписчику. На клиентском месте подписчик получает сообщение:

Набросок.3.2.2.2

Окно ввода пароля.

Если он верно написал свое имя и пароль, то он допускается до документа, в неприятном случае - получает сообщение:

Набросок.3.2.2.3

Окно неверного ввода пароля.

3.3 Информационная безопасность в Intranet Защита информации в глобальной сети - реферат.

Архитектура Intranet предполагает подключение к наружным открытым сетям, внедрение наружных сервисов и предоставление собственных сервисов вовне, что предъявляет завышенные требования к защите инфы.

В Intranet-системах употребляется подход клиент-сервер, а основная роль на сегодня отводится Web-сервису. Web-серверы должны поддерживать классические защитные средства, такие как аутентификация Защита информации в глобальной сети - реферат и разграничение доступа; не считая того, нужно обеспечение новых параметров, в особенности безопасности программной среды и на серверной, и на клиентской сторонах.

Таковы, если гласить совершенно коротко, задачки в области информационной безопасности, возникающие в связи с переходом на технологию Intranet. Дальше мы разглядим вероятные подходы к их решению.

Формирование Защита информации в глобальной сети - реферат режима информационной безопасности - неувязка всеохватывающая.

Меры по ее решению можно поделить на четыре уровня:

• законодательный (законы, нормативные акты, эталоны и т.п.);

• административный (деяния общего нрава, предпринимаемые управлением организации);

• процедурный (определенные меры безопасности, имеющие дело с людьми);

• программно-технический (определенные технические меры).

3.3.1. РАЗРАБОТКА СЕТЕВЫХ Качеств ПОЛИТИКИ БЕЗОПАСНОСТИ.

Политика безопасности определяется Защита информации в глобальной сети - реферат как совокупа документированных

управленческих решений, направленных на защиту инфы и ассоциированных с ней ресурсов.

При разработке и проведении ее в жизнь целенаправлено управляться последующими принципами:

• невозможность миновать защитные средства;

• усиление самого слабенького звена;

• невозможность перехода в небезопасное состояние;

• минимизация приемуществ;

• разделение обязательств;

• эшелонированность обороны;

• обилие защитных средств;

• простота и Защита информации в глобальной сети - реферат маневренность информационной системы;

• обеспечение всеобщей поддержки мер безопасности.

Поясним смысл перечисленных принципов.

Если у злодея либо недовольного юзера появится возможность миновать защитные средства, он, очевидно, так и поступит. Применительно к межсетевым экранам данный принцип значит, что все информационные потоки в защищаемую сеть и из нее должны проходить через экран Защита информации в глобальной сети - реферат. Не должно быть “потаенных” модемных входов либо тестовых линий, идущих в обход экрана.

Надежность хоть какой обороны определяется самым слабеньким звеном. Злодей не будет биться против силы, он предпочтет легкую победу над слабостью. Нередко самым слабеньким звеном оказывается не компьютер либо программка, а человек, тогда и неувязка обеспечения Защита информации в глобальной сети - реферат информационной безопасности приобретает нетехнический нрав.

Принцип невозможности перехода в небезопасное состояние значит, что при всех обстоятельствах, в том числе нештатных, защитное средство или на сто процентов делает свои функции, или стопроцентно перекрывает доступ. Образно говоря, если в крепости механизм подъемного моста ломается, мост должен оставаться в поднятом состоянии, препятствуя Защита информации в глобальной сети - реферат проходу врага.

Принцип минимизации приемуществ предписывает выделять юзерам и админам только те права доступа, которые нужны им для выполнения служебных обязательств.

Принцип разделения обязательств подразумевает такое рассредотачивание ролей и ответственности, при котором один человек не может нарушить критически принципиальный для организации процесс. Это в особенности принципиально, чтоб предупредить злостные Защита информации в глобальной сети - реферат либо неквалифицированные деяния сисадмина.

Принцип эшелонированности обороны предписывает не полагаться на один защитный предел, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний предел, - протоколирование и аудит. Эшелонированная оборона способна по последней мере Защита информации в глобальной сети - реферат задержать злодея, а наличие такового рубежа, как протоколирование и аудит, значительно затрудняет неприметное выполнение злоумышленных действий.

Принцип контраста защитных средств советует организовывать разные по собственному нраву оборонительные рубежи, чтоб от потенциального злодея требовалось овладение различными и, по способности, несопоставимыми меж собой способностями (к примеру умением преодолевать высшую ограду и Защита информации в глобальной сети - реферат познанием слабостей нескольких операционных систем).

Очень важен принцип простоты и маневренности информационной системы в целом и защитных средств в особенности. Только для обычного защитного средства можно формально либо неформально обосновать его правильность. Исключительно в обычной и управляемой системе можно проверить согласованность конфигурации различных компонент и выполнить централизованное администрирование. В этой связи Защита информации в глобальной сети - реферат принципиально отметить интегрирующую роль Web-сервиса, скрывающего обилие обслуживаемых объектов и предоставляющего единый, приятный интерфейс. Соответственно, если объекты некого вида (скажем таблицы базы данных) доступны через Web, нужно заблокировать прямой доступ к ним, так как в неприятном случае система будет сложной и трудноуправляемой.

Последний принцип - всеобщая поддержка Защита информации в глобальной сети - реферат мер безопасности - носит нетехнический нрав. Если юзеры и/либо системные админы считают информационную безопасность кое-чем лишним либо даже агрессивным, режим безопасности сформировать заранее не получится. Следует с самого начала предугадать комплекс мер, направленный на обеспечение лояльности персонала, на неизменное обучение, теоретическое и, главное, практическое.

Анализ рисков - важный шаг Защита информации в глобальной сети - реферат выработки политики безопасности. При оценке рисков, которым подвержены Intranet-системы, необходимо учесть последующие происшествия:

• новые опасности по отношению к старенькым сервисам, вытекающие из способности пассивного либо активного прослушивания сети. Пассивное прослушивание значит чтение сетевого трафика, а активное - его изменение (кражу, дублирование либо модификацию передаваемых данных). К примеру, аутентификация удаленного клиента при помощи Защита информации в глобальной сети - реферат пароля неоднократного использования не может считаться надежной в сетевой среде, независимо от длины пароля;

• новые (сетевые) сервисы и ассоциированные с ними опасности.

Обычно, в Intranet-системах следует придерживаться принципа “все, что не разрешено, запрещено”, так как “излишний” сетевой сервис может предоставить канал проникания в корпоративную систему. В принципе Защита информации в глобальной сети - реферат, ту же идея выражает положение “все непонятное небезопасно”.

3.3.1. ПРОЦЕДУРНЫЕ МЕРЫ.

В общем и целом Intranet-технология не предъявляет каких-то специфичных требований к мерам процедурного уровня. На наш взор, отдельного рассмотрения заслуживают только два происшествия:

• описание должностей, связанных с определением, заполнением и поддержанием корпоративной гипертекстовой структуры официальных документов;

• поддержка Защита информации в глобальной сети - реферат актуального цикла инфы, наполняющей Intranet.

При описании должностей целенаправлено исходить из аналогии меж Intranet и издательством. В издательстве существует директор, определяющий общую направленность деятельности. В Intranet ему соответствует Web-администратор, решающий, какая корпоративная информация должна находиться на Web-сервере и как надо структурировать дерево (поточнее, граф) HTML Защита информации в глобальной сети - реферат-документов.

В многопрофильных издательствах есть редакции, специализирующиеся определенными направлениями (математические книжки, книжки для малышей и т.п.). Аналогично, в Intranet целенаправлено выделить должность публикатора, ведающего возникновением документов отдельных подразделений и определяющего список и нрав публикаций.

У каждой книжки есть титульный редактор, отвечающий перед издательством за свою работу. В Intranet редакторы Защита информации в глобальной сети - реферат занимаются вставкой документов в корпоративное дерево, их корректировкой и удалением. В огромных организациях “слой” публикатор/редактор может состоять из нескольких уровней.

В конце концов, и в издательстве, и в Intranet должны быть создатели, создающие документы. Подчеркнем, что они не обязаны иметь прав на модификацию корпоративного дерева и отдельных Защита информации в глобальной сети - реферат документов. Их дело - передать собственный труд редактору.

Не считая официальных, корпоративных, в Intranet могут находиться групповые и личные документы, порядок работы с которыми (роли, права доступа) определяется, соответственно, групповыми и личными интересами.

Переходя к вопросам поддержки актуального цикла Intranet-информации, напомним о необходимости использования средств конфигурационного управления. Принципиальное достоинство Intranet-технологии Защита информации в глобальной сети - реферат заключается в том, что главные операции конфигурационного управления - внесение конфигураций (создание новейшей версии) и извлечение старенькой версии документа - естественным образом вписываются в рамки Web-интерфейса. Те, для кого это нужно, могут работать с деревом всех версий всех документов, подмножеством которого является дерево самых новых версий.

3.3.3. УПРАВЛЕНИЕ ДОСТУПОМ Методом Защита информации в глобальной сети - реферат ФИЛЬТРАЦИИ Инфы.

Мы перебегаем к рассмотрению мер программно-технического уровня, направленных на обеспечение информационной безопасности систем, построенных в технологии Intranet. На 1-ое место посреди таких мер мы поставим межсетевые экраны - средство разграничения доступа, служащее для защиты от наружных угроз и от угроз со стороны юзеров других частей корпоративных Защита информации в глобальной сети - реферат сетей.

Отметим, что биться с опасностями, присущими сетевой среде, средствами универсальных операционных систем не представляется вероятным. Универсальная ОС - это большущая программка, наверное содержащая, кроме очевидных ошибок, некие особенности, которые могут быть применены для получения незаконных льгот. Современная разработка программирования не позволяет сделать настолько огромные программки неопасными. Не считая того, админ Защита информации в глобальной сети - реферат, имеющий дело со сложной системой, далековато не всегда в состоянии учитывать все последствия производимых конфигураций (как и доктор, не ведающий всех побочных воздействий рекомендуемых фармацевтических средств). В конце концов, в универсальной многопользовательской системе бреши в безопасности повсевременно создаются самими юзерами (слабенькие и/либо изредка изменяемые пароли, безуспешно установленные права доступа Защита информации в глобальной сети - реферат, оставленный без присмотра терминал и т.п.).

Как указывалось выше, единственный многообещающий путь связан с разработкой специализированных защитных средств, которые в силу собственной простоты допускают формальную либо неформальную верификацию. Межсетевой экран как раз и является таким средством, допускающим последующую декомпозицию, связанную с обслуживанием разных сетевых протоколов.

Межсетевой экран Защита информации в глобальной сети - реферат - это полупроницаемая мембрана, которая размещается меж защищаемой (внутренней) сетью и наружной средой (наружными сетями либо другими секторами корпоративной сети) и держит под контролем все информационные потоки во внутреннюю сеть и из нее. Контроль информационных потоков состоит в их фильтрации, другими словами в выборочном пропускании через экран, может быть, с Защита информации в глобальной сети - реферат выполнением неких преобразований и уведомлением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на базе набора правил, за ранее загруженных в экран и являющихся выражением сетевых качеств политики безопасности организации.

Набросок 3.3.3.1

Межсетевой экран как средство контроля информационных потоков.

Целенаправлено поделить случаи, когда экран устанавливается на границе с Защита информации в глобальной сети - реферат наружной (обычно общедоступной) сетью либо на границе меж секторами одной корпоративной сети. Соответственно, мы будет гласить о наружном и внутреннем межсетевых экранах.

Обычно, при общении с наружными сетями употребляется только семейство протоколов TCP/IP. Потому наружный межсетевой экран должен учесть специфику этих протоколов. Для внутренних экранов ситуация труднее, тут следует Защита информации в глобальной сети - реферат принимать во внимание кроме TCP/IP по последней мере протоколы SPX/IPX, используемые в сетях Novell NetWare. Другими словами, от внутренних экранов часто требуется многопротокольность.

Ситуации, когда корпоративная сеть содержит только один наружный канал, является, быстрее, исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких Защита информации в глобальной сети - реферат территориально разнесенных частей, любой из которых подключен к сети общего использования. В данном случае каждое подключение должно защищаться своим экраном. Поточнее говоря, можно считать, что корпоративный наружный межсетевой экран является составным, и требуется решать задачку согласованного администрирования (управления и аудита) всех компонент.

Набросок 3.3.3.2

Экранирование корпоративной сети, состоящей из Защита информации в глобальной сети - реферат нескольких территориально разнесенных частей, любой из которых подключен к сети общего использования.

При рассмотрении хоть какого вопроса, касающегося сетевых технологий, основой служит семиуровневая эталонная модель ISO/OSI. Межсетевые экраны также целенаправлено систематизировать по тому, на каком уровне делается фильтрация - канальном, сетевом, транспортном либо прикладном. Соответственно, можно гласить об Защита информации в глобальной сети - реферат экранирующих концентраторах (уровень 2), маршрутизаторах (уровень 3), о транспортном экранировании (уровень 4) и о прикладных экранах (уровень 7). Есть также всеохватывающие экраны, анализирующие информацию на нескольких уровнях.

При принятии решения “пропустить/не пропустить”, межсетевые экраны могут использовать не только лишь информацию, содержащуюся в фильтруемых потоках, да и данные, приобретенные из окружения, к примеру Защита информации в глобальной сети - реферат текущее время.

Таким макаром, способности межсетевого экрана конкретно определяются тем, какая информация может употребляться в правилах фильтрации и какова может быть мощность наборов правил. Вообщем говоря, чем выше уровень в модели ISO/OSI, на котором работает экран, тем паче содержательная информация ему доступна и, как следует, тем тоньше и надежнее Защита информации в глобальной сети - реферат экран может быть сконфигурирован. В то же время фильтрация на каждом из вышеперечисленных уровней обладает своими плюсами, такими как дешевизна, высочайшая эффективность либо прозрачность для юзеров. В силу этой, также неких других обстоятельств, почти всегда употребляются смешанные конфигурации, в каких объединены разнотипные экраны. Более обычным является сочетание экранирующих маршрутизаторов и Защита информации в глобальной сети - реферат прикладного экрана.

Приведенная конфигурация именуется экранирующей сабсетью. Обычно, сервисы, которые организация предоставляет для наружного внедрения (к примеру “представительский” Web-сервер), целенаправлено выносить как раз в экранирующую сабсеть.

Кроме выразительных способностей и допустимого количества правил качество межсетевого экрана определяется еще 2-мя очень необходимыми чертами - простотой внедрения и своей Защита информации в глобальной сети - реферат защищенностью. В плане простоты использования главное значение имеют приятный интерфейс при задании правил фильтрации и возможность централизованного администрирования составных конфигураций. В свою очередь, в последнем нюансе хотелось бы выделить средства централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. Важен и централизованный сбор и анализ регистрационной инфы Защита информации в глобальной сети - реферат, также получение сигналов о попытках выполнения действий, нелегальных политикой безопасности.

Собственная защищенность межсетевого экрана обеспечивается теми же средствами, что и защищенность универсальных систем. При выполнении централизованного администрирования следует еще позаботиться о защите инфы от пассивного и активного прослушивания сети, другими словами обеспечить ее (инфы) целостность и конфиденциальность.

Набросок 3.3.3.3

Сочетание экранирующих маршрутизаторов Защита информации в глобальной сети - реферат и прикладного экрана.

Хотелось бы выделить, что природа экранирования (фильтрации), как механизма безопасности, очень глубока. Кроме блокирования потоков данных, нарушающих политику безопасности, межсетевой экран может скрывать информацию о защищаемой сети, тем затрудняя деяния возможных злоумышленников. Так, прикладной экран может производить деяния от имени субъектов внутренней сети, в итоге чего Защита информации в глобальной сети - реферат из наружной сети кажется, что имеет место взаимодействие только с межсетевым экраном. При таком подходе топология внутренней сети укрыта от наружных юзеров, потому задачка злодея значительно усложняется.

Набросок 3.3.3.4

Настоящие и кажущиеся информационные потоки.

Более общим способом сокрытия инфы о топологии защищаемой сети является трансляция “внутренних” сетевых адресов Защита информации в глобальной сети - реферат, которая попутно решает делему расширения адресного места, выделенного организации.

Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект тяжело нападать, в особенности при помощи фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, в особенности в этом случае, когда гипертекстовые документы формируются динамически. Каждый лицезреет только то, что Защита информации в глобальной сети - реферат ему положено.

Экранирующая роль Web-сервиса наглядно проявляется тогда и, когда этот сервис производит посреднические (поточнее, интегрирующие) функции при доступе к другим ресурсам, а именно таблицам базы данных. Тут не только лишь контролируются потоки запросов, да и прячется настоящая организация баз данных.

3.3.4. БЕЗОПАСНОСТЬ ПРОГРАММНОЙ СРЕДЫ.

Мысль сетей Защита информации в глобальной сети - реферат с так именуемыми активными агентами, когда меж компьютерами передаются не только лишь пассивные, да и активные исполняемые данные (другими словами программки), очевидно, не нова. Сначало цель состояла в том, чтоб уменьшить сетевой трафик, выполняя основную часть обработки там, где размещаются данные (приближение программ к данным). На практике это означало перемещение программ Защита информации в глобальной сети - реферат на серверы. Традиционный пример реализации подобного подхода - это хранимые процедуры в реляционных СУБД.

Для Web-серверов аналогом хранимых процедур являются программки, обслуживающие общий шлюзовый интерфейс (Common Gateway Interface - CGI).

CGI-процедуры размещаются на серверах и обычно употребляются для динамического порождения HTML-документов. Политика безопасности организации и процедурные меры Защита информации в глобальной сети - реферат должны определять, кто имеет право помещать на сервер CGI-процедуры. Жесткий контроль тут нужен, так как выполнение сервером неправильной программки может привести к сколь угодно томным последствиям. Разумная мера технического нрава состоит в минимизации приемуществ юзера, от имени которого производится Web-сервер.

В технологии Intranet, если хлопотать о качестве и Защита информации в глобальной сети - реферат выразительной силе пользовательского интерфейса, появляется нужда в перемещении программ с Web-серверов на клиентские компы - для сотворения анимации, выполнения семантического контроля при вводе данных и т.д. Вообщем, активные агенты - неотъемлемая часть технологии Intranet.

В каком бы направлении ни передвигались программки по сети, эти деяния представляют завышенную опасность, т Защита информации в глобальной сети - реферат.к. программка, приобретенная из ненадежного источника, может содержать ненамеренно внесенные ошибки либо преднамеренно сделанный зловредный код. Такая программка потенциально грозит всем главным нюансам информационной безопасности:

• доступности (программка может поглотить все наличные ресурсы);

• целостности (программка может удалить либо разрушить данные);

• конфиденциальности (программка может прочесть данные и передать Защита информации в глобальной сети - реферат их по сети).

3.3.5. ЗАЩИТА WEB-СЕРВЕРОВ.

Вместе с обеспечением безопасности программной среды важным будет вопрос о разграничении доступа к объектам Web-сервиса. Для решения этого вопроса нужно уяснить, что является объектом, как идентифицируются субъекты и какая модель управления доступом - принудительная либо случайная - применяется.

В Web-серверах объектами доступа выступают универсальные Защита информации в глобальной сети - реферат локаторы ресурсов (URL - Uniform (Universal) Resource Locator). За этими локаторами могут стоять разные сути - HTML-файлы, CGI-процедуры и т.п.

Обычно, субъекты доступа идентифицируются по Айпишникам и/либо именам компов и областей управления. Не считая того, может употребляться парольная аутентификация юзеров либо более сложные схемы, основанные на криптографических разработках Защита информации в глобальной сети - реферат.

В большинстве Web-серверов права разграничиваются с точностью до каталогов (директорий) с применением случайного управления доступом. Могут предоставляться права на чтение HTML-файлов, выполнение CGI-процедур и т.д.

Для ранешнего выявления попыток незаконного проникания в Web-сервер важен постоянный анализ регистрационной инфы.

Очевидно, защита системы, на Защита информации в глобальной сети - реферат которой работает Web-сервер, должна следовать универсальным советам, главной из которых является наибольшее упрощение. Все ненадобные сервисы, файлы, устройства должны быть удалены. Число юзеров, имеющих прямой доступ к серверу, должно быть сведено к минимуму, а их привилегии - упорядочены в согласовании со служебными обязательствами.

Очередной общий принцип заключается в том, чтоб Защита информации в глобальной сети - реферат минимизировать объем инфы о сервере, которую могут получить юзеры. Многие серверы в случае воззвания по имени каталога и отсутствия файла index.HTML в нем, выдают HTML-вариант оглавления каталога. В этом оглавлении могут повстречаться названия файлов с начальными текстами CGI-процедур либо с другой секретной информацией. Такового рода “дополнительные способности Защита информации в глобальной сети - реферат” целенаправлено отключать, так как избыточное познание (злодея) множит печали (обладателя сервера).

3.3.6. АУТЕНТИФИКАЦИЯ В ОТКРЫТЫХ СЕТЯХ.

Способы, используемые в открытых сетях для доказательства и проверки подлинности субъектов, должны быть устойчивы к пассивному и активному прослушиванию сети. Сущность их сводится к последующему.

• Субъект показывает познание секретного ключа, при всем этом ключ или Защита информации в глобальной сети - реферат вообщем не передается по сети, или передается в зашифрованном виде.

• Субъект показывает обладание программным либо аппаратным средством генерации разовых паролей либо средством, работающим в режиме “запрос-ответ”. Несложно увидеть, что перехват и следующее проигрывание разового пароля либо ответа на запрос ничего не дает злодею.

• Субъект показывает подлинность собственного местоположения Защита информации в глобальной сети - реферат, при всем этом употребляется система навигационных спутников.

3.3.7. ПРОСТОТА И ОДНОРОДНОСТЬ АРХИТЕКТУРЫ.

Важным нюансом информационной безопасности является маневренность системы. Маневренность - это и поддержание высочайшей доступности системы за счет ранешнего выявления и ликвидации заморочек, и возможность конфигурации аппаратной и программной конфигурации в согласовании с изменившимися критериями либо потребностями, и оповещение Защита информации в глобальной сети - реферат о попытках нарушения информационной безопасности фактически в реальном времени, и понижение числа ошибок администрирования, и почти все, почти все другое.

Более остро неувязка маневренности встает на клиентских рабочих местах и на стыке клиентской и серверной частей информационной системы. Причина ординарна - клиентских мест еще больше, чем серверных, они, обычно, разбросаны Защита информации в глобальной сети - реферат по существенно большей площади, их употребляют люди с разной квалификацией и привычками. Сервис и администрирование клиентских рабочих мест - занятие очень сложное, драгоценное и чреватое ошибками. Разработка Intranet за счет простоты и однородности архитектуры позволяет сделать цена администрирования клиентского рабочего места фактически нулевой. Принципиально и то, что подмена и Защита информации в глобальной сети - реферат повторный ввод в эксплуатацию клиентского компьютера могут быть осуществлены очень стремительно, так как это “клиенты без состояния”, у их нет ничего, что добивалось бы долгого восстановления либо конфигурирования.

На стыке клиентской и серверной частей Intranet-системы находится Web-сервер. Это позволяет иметь единый механизм регистрации юзеров и наделения Защита информации в глобальной сети - реферат их правами доступа с следующим централизованным администрированием. Взаимодействие с бессчетными разнородными сервисами оказывается сокрытым не только лишь от юзеров, да и в значимой степени от сисадмина.

Задачка обеспечения информационной безопасности в Intranet оказывается более обычной, чем в случае случайных распределенных систем, построенных в архитектуре клиент/сервер. Причина тому - однородность и простота архитектуры Защита информации в глобальной сети - реферат Intranet. Если разработчики прикладных систем смогут полностью пользоваться этим преимуществом, то на программно-техническом уровне им будет довольно нескольких дешевых и обычных в освоении товаров. Правда, к этому нужно присовокупить обдуманную политику безопасности и целостный набор мер процедурного уровня.

3.4. PGP.

Методы шифрования реализуются программными либо аппаратными средствами. Есть величавое Защита информации в глобальной сети - реферат огромное количество чисто программных реализаций разных алгоритмов. Из-за собственной дешевизны (некoторые и совсем бесплатны), также все большего быстродействия микропроцессоров ПЭВМ, простоты работы и безотказности они очень конкурентоспособны.

Нельзя не упомянуть пакет PGP (Pretty Good Privacy, создатель Philip Zimmermann), в каком комплексно решены фактически все препядствия защиты передаваемой Защита информации в глобальной сети - реферат инфы. Использованы сжатие данных перед шифрованием, массивное управление ключами, вычисление контрольной функции для цифровой подписи, надежная генерация ключей.

В Internet фактическим эталоном шифрования является программка PGP (Pretty Good Privacy), разработанная в 1991 году Филиппом Циммерманом. PGP позволяет зашифровывать сообщения так, чтоб только получатели могли их прочитать, либо ставить Защита информации в глобальной сети - реферат на их цифровые подписи так, чтоб можно было убедиться в подлинности создателя. В реальный момент программка доступна на платформах UNIX, DOS, Macintosh и VAX. PGP свободно распространяется по Internet для некоммерческих юзеров вкупе с 75-страничным справочным управлением. Не считая того, последняя версия PGP 2.6.6 можно приобрести в MIT.

PGP работает Защита информации в глобальной сети - реферат последующим образом. У каждого юзера имеется два ключа: скрытый ключ и открытый ключ. Скрытый ключ он оставляет в тайне, а открытый докладывает всем своим товарищам. С помощью каждого из ключей можно прочесть сообщение, зашифрованное с помощью другого. Если ваши коллеги желают отправить вам секретное сообщение, они могут пользоваться вашим открытым PGP-ключом Защита информации в глобальной сети - реферат; с помощью секретного ключа оно может быть расшифровано. Если же вы желаете поставить цифровую подпись, в этом вам поможет скрытый ключ; при всем этом у получателя непременно должен быть экземпляр открытого ключа.

PGP предназначена, сначала, для защиты электрической почты, хотя ее полностью можно использовать и для защиты файлов Защита информации в глобальной сети - реферат на жестком диске. В особенности симпатичными чертами PGP есть бессчетные plug-ins для фаворитных почтовых программ, таких как Eudora, Netscape и Outlook. Plug-ins настраивают PGP для этих программ и дополняют их некими приятными мелочами, такими, как дополнительная кнопка панели инструментов. Иконка в правом нижнем углу (tray), всплывающая Защита информации в глобальной сети - реферат панель инструментов (floating toolbox) и меню правой кнопки мышки (right-click menu) в PGP необыкновенно разумно и комфортно обмыслены. Потому она очень ординарна в управлении.

Как вы сделали свои ключи для шифрования, сможете объединиться с одним из PGP-серверов и расположить в нем собственный открытый ключ. Отныне каждый Защита информации в глобальной сети - реферат, кто желает, может отправить вам электрическую почту в зашифрованном виде. Если вы используете в большей степени одну и ту же почтовую программку, шифрование и дешифрование будет не труднее обычного нажатия кнопки. Если же вы используете различные программки, довольно будет забрать письмо в буфер и дать команду шифровать в буфере. После чего Защита информации в глобальной сети - реферат можно возвратить письмо в почтовую программку и отослать.

PGP в особенности быстродейственна при пересылке зашифрованной инфы юзерам Mac. Функция Smart Binary новых версий упрощает пересылку зашифрованных писем из Mac на Windows (и в оборотном направлении).

Можно столкнуться с системой защиты PGP в программке, которая именуется Nuts & Bolts, создание Helix Защита информации в глобальной сети - реферат Software. Это та же программка, только PGP – более новенькая версия. Network Associates впитала Helix и овладела правами на продукт. Новенькая версия PGP for Personal Privacy – совместима с прошлыми версиями, в том числе Nuts & Bolts. В целом Pretty Good Privacy – это приятная и комфортная в работе программка.

Главные команды Защита информации в глобальной сети - реферат PGP

pgp –kg Сделать два ключа и вашу связку отрытых ключей.

Pgp –kx [a] имя_пользователя Извлечь ключ (к примеру, ваш открытый ключ)

из связки ключей, чтоб передать его кому-нибудь еще.

Pgp –ka имя_файла Добавить чей-либо ключ в связку.

Pgp –e имя_файла получатель/получатели Зашифровать файл так, чтоб Защита информации в глобальной сети - реферат только определенные

юзеры могли его прочесть (для этого нужно иметь копию

соответственных отрытых ключей).

Pgp –es имя_файла получатель/получатели Зашифровать файл и поставить цифровую подпись.

Pgp –s имя_файла Поставить цифровую подпись.

(Создается двоичный файл, который не так просто переслать по почте;

получателям нужно пользоваться PGP).

Pgp –sa имя Защита информации в глобальной сети - реферат_файла Поставить цифровую подпись и сохранить

итог как ASCII-текст. (Просто пересылается по сети, но также просит PGP для чтения).

Pgp зашифрованный_файл Проверить подпись на зашифрованном файле.

Pgp зашифрованный_файл расшифрованный_файл Расшифровать присланный файл.

3.5. Blowfish.

Blowfish 97 употребляет ряд схем систем защиты в два шага. Первичный механизм шифрования базируется Защита информации в глобальной сети - реферат на Blowfish, которую разработал в 1993 году Bruce Schneier. Blowfish – это симметричный шифр, который употребляет ключи сменной длины – от 32 бит до 448 бит. Система защиты Blowfish не патентована, и, как следует, разрешена для использования в любом продукте, в который заходит. Есть четыре различных варианта Blowfish, вы нередко сможете повстречаться с ней Защита информации в глобальной сети - реферат посреди опций многих программ защиты.

Blowfish -блочный шифр с ключом переменной длины. Это подходит для приложений, где ключ меняется редко, схожих полосы связи либо автоматическому шифрователю файла. Он существенно резвее, чем DES при выполнении на 32-битных микропроцессорах с огромным КЭШем данных, таких как Pentium и PowerPC.

ОПИСАНИЕ Метода

Blowfish Защита информации в глобальной сети - реферат - 64-битный блочный шифр с ключом переменной длины. Метод содержит в себе 2 части: часть расширения ключей и часть шифрования данных. Расширение ключа конвертирует ключ, в большинстве 448-битный, в несколько суммированных массивов подключей в 4168 б.

Шифрование данных происходит через 16-итерационную сеть Feistel. Любая итерация состоит из ключе-зависимой перестановки, и зависящей Защита информации в глобальной сети - реферат от ключа и данных подмены. Все операции - XOR и сложение на 32-битных словах. Единственные дополнительные операции - 4 поиска в индексированных массивах на итерацию.

Подключи: Blowfish употребляет огромное количество подключей. Эти ключи должны быть за ранее вычислены перед хоть каким шифрованием данных либо расшифровкой.

1. P-массив включает 18 32-битных подключей Защита информации в глобальной сети - реферат:
P1, P2,..., P18.

2.Имеются четыре 32-битных S-блока с 256 входами каждый:
S1,0, S1,1,..., S1,255;
S2,0, S2,1,..,, S2,255;
S3,0, S3,1,..., S3,255;
S4,0, S4,1,..,, S4,255.

Шифрование: Blowfish - сеть Feistel, которая включает 16 итераций.

Реализации Blowfish, которые требуют больших скоростей, не должны организовываться в цикле, что гарантирует присутствие всех подключей в КЭШе.

Всего, 521 итерация требуются, для Защита информации в глобальной сети - реферат генерации всех требуемых подключей. Прикладные программки могут сохранить подключи, чтоб уменьшить время.

MINI-BLOWFISH

Последующие малые версии Blowfish определены только для криптоанализа. Они не предлагаются для реализации. Blowfish-32 имеет размер блока в 32 бита, и массивы подключей с 16 битными входами (каждый S-блок имеет 16 входов). Blowfish-16 имеет размер блока Защита информации в глобальной сети - реферат в 16-бит, и массивы подключей с 8-битными входами (каждый S-блок имеет 4 входа).

РЕАЛИЗАЦИЯ ПРОЕКТА

Возможность ошибок в реализации метода мала, т.к. сами S блоки и P-блок очень ординарны. 64-битный блок в реальности разбивается на 32-битные слова, что совместимо с существующими методами. В Blowfish можно просто увеличивать Защита информации в глобальной сети - реферат размер блока до 128-бит, и понижать размер блока. Криптоанализ вариантов мини-Blowfish может быть существенно проще, чем криптоанализ полной версии.

Сеть Feistel, составляющая тело Blowfish, разработана так, чтоб при большей простоте она сохраняла свои криптографические характеристики.

В проекте метода существует два метода гарантировать, что ключ является довольно длинноватым, чтоб Защита информации в глобальной сети - реферат достигнуть подходящего уровня защиты. 1-ый в том, чтоб кропотливо создать метод так, чтоб энтропия случаем введенного ключа сохранялась, потому что тогда не существует другого способа криптоанализа, не считая атаки в "лоб". Другой метод - в увеличении длины ключа так, что уменьшение эффективности ключа на несколько битов не дает Защита информации в глобальной сети - реферат огромных преимуществ. Потому что Blowfish разработан для огромных микропроцессоров с огромным размером памяти я избрал последний метод.

Отнимающий много времени процесс порождения подключей добавляет сложность для нападения "в лоб". Всего 522 итераций метода шифрования требуется, чтоб проверить один ключ, что добавляет 29 шагов при любом нападение в лоб.

Вероятные УПРОЩЕНИЯ

Наименьшее Защита информации в глобальной сети - реферат количество итераций. Возможно, может быть уменьшение количества итераций с 16 до 8 без сильного ослабления защиты. Число итераций требуемых для защиты может зависеть от длины ключа. Направьте внимание, что с имеющейся процедурой порождения подключа, метод с 8 итерациями не может обрабатывать ключ длиной больше 192 бит.

Непрерывное вычисление подключа. Текущий способ вычисления подключей просит, чтоб Защита информации в глобальной сети - реферат все подключи рассчитывались перед хоть каким шифрованием. Практически нереально вычислить последний подключ последнего S-блока без вычисления перед этим предшествующего ключа. Был бы предпочтительней другой способ вычисления подключа: когда каждый подключ может быть вычислен независимо от другого подключа. Качественные реализации могли бы за ранее вычислять подключи для более Защита информации в глобальной сети - реферат высочайшей скорости, но реализации с низкими требованиями могут вычислять подключи, когда это нужно.

Более действенный метод взломать Blowfish - через полный перебор ключей Начальный текст на Си и тестовые векторы может получить хоть какой, желающий воплотить метод, в соответствие с законами США об экспорте.

Blowfish незапатентован, и будет таким оставаться во всех Защита информации в глобальной сети - реферат странах. Метод тем помещен в общую область и может быть применен хоть каким.

Blowfish - это обычная и легкая в осознании программка. Панель инструментов содержит только рисунки и ни 1-го слова. Точная система подсказок. Выбрав файл, и нажав на изображение «замка», вы получите сообщение, что на данный момент Защита информации в глобальной сети - реферат может быть внедрение шифрования только с ключом из 5 позиций, но после регистрации доступными будут и 32000-символьные ключи шифрования. После введения ключа процесс шифрования продолжается несколько секунд. Файл получает новое расширение (.BFA), которое служит командой для операционной системы при встрече с ним запустить в действие Blowfish Advanced.

В сети Защита информации в глобальной сети - реферат существует также защитная программка под Windows 95/NT, которая употребляет механизм Blowfish. EncLib 5/5 Употребляет для шифрования варианты Blowfish CDC и ECB.

3.6.KERBEROS.

Развитие криптологии с открытым ключом позволило криптологическим системам достаточно стремительно отыскать обширное коммерческое применение. Но насыщенное внедрение криптографии не обходится без “накладок”. Временами возникает информация о неприятностях в Защита информации в глобальной сети - реферат той либо другой системе защиты. Последним нашумевшим в мире происшествием стал взлом системы Kerberos. Система эта, разработанная посреди 80-х годов, достаточно популярна в мире, и ее взлом вызвал большое беспокойство юзеров.

Неувязка защиты компьютерных сетей от несанкционированного доступа заполучила необыкновенную остроту. Развитие коммуникационных технологий позволяет строить сети распределенной архитектуры, объединяющие Защита информации в глобальной сети - реферат огромное количество частей, расположенных на значимом удалении друг от друга. Все это вызывает повышение числа узлов сетей, разбросанных по всему миру, и количества разных линий связи меж ними, что, в свою очередь, увеличивает риск несанкционированного подключения к сети для доступа к принципиальной инфы. В особенности противной такая перспектива возможно окажется Защита информации в глобальной сети - реферат для банковских либо муниципальных структур, владеющих скрытой информацией коммерческого либо хоть какого другого нрава. В данном случае нужны особые средства идентификации юзеров в сети, обеспечивающие доступ к инфы только в случае полной убежденности в наличии у юзера прав доступа к ней. Существует ряд разработок, позволяющих с высочайшей степенью надежности идентифицировать Защита информации в глобальной сети - реферат юзера при входе в систему. Посреди их, к примеру, есть технологии, идентифицирующие юзера по сетчатке глаза либо отпечаткам пальцев. Не считая того, ряд систем употребляет технологии, основанные на применении специального идентификационного кода, повсевременно передаваемого по сети. Так, при использовании устройства (компании Security Dinamics) обеспечивается дополнительная информация о Защита информации в глобальной сети - реферат юзере в виде шестизначного кода. В этом случае работа в сети невозможна без наличия специальной карты SecureID (похожей на кредитную), которая обеспечивает синхронизацию изменяющегося кода юзера с хранящимися на UNIX-хосте. При всем этом доступ в сеть и работа в ней может осуществляться только при знании текущего значения кода Защита информации в глобальной сети - реферат, который отображается на экране устройства SecureID. Но главным недочетом этой и ей схожих систем является необходимость в особом оборудовании, что вызывает неудобства в работе и дополнительные издержки. Система Kerberos (по-русски – Цербер), разработанная участниками проекта Athena, обеспечивает защиту сети от несанкционированного доступа, базируясь только на программных решениях, и подразумевает неоднократное шифрование Защита информации в глобальной сети - реферат передаваемой по сети управляющей инфы. Kerberos обеспечивает идентификацию юзеров сети и серверов, не основываясь на сетевых адресах и особенностях операционных систем рабочих станций юзеров, не требуя физической защиты инфы на всех машинах сети и исходя из догадки, что пакеты в сети могут быть просто прочитаны и при желании Защита информации в глобальной сети - реферат изменены.

Клиент/Kerberos/Сервер .

Kerberos имеет структуру типа клиент/сервер и состоит из клиентских частей, установленных на все машины сети (рабочие станции юзеров и серверы), и Kerberos-сервера (либо серверов), размещающегося на каком-либо (не непременно выделенном) компьютере.Kerberos-сервер, в свою очередь, делится на две равноправные части Защита информации в глобальной сети - реферат: сервер идентификации (authentication server) и сервер выдачи разрешений (ticket granting server). Необходимо подчеркнуть, что существует и 3-ий сервер Kerberos, который, но, не участвует в идентификации юзеров, а предназначен для административных целей. Область деяния Kerberos (realm) распространяется на тот участок сети, все юзеры которого зарегистрированы под своими именами и паролями в базе Защита информации в глобальной сети - реферат Kerberos-сервера и где все серверы владеют общим кодовым ключом с идентификационной частью Kerberos. Эта область не непременно должна быть участком локальной сети, так как Kerberos не накладывает ограничения на тип применяемых коммуникаций. Упрощенно модель работы Kerberos можно обрисовать последующим образом. Юзер (Kerberos-клиент), желая получить доступ к Защита информации в глобальной сети - реферат ресурсу сети, направляет запрос идентификационному серверу Kerberos. Последний идентифицирует юзера при помощи его имени и пароля и выдает разрешение на доступ к серверу выдачи разрешений, который, в свою очередь, дает “добро” на внедрение нужных ресурсов сети. Но данная модель не отвечает на вопрос о надежности защиты инфы, так как, с Защита информации в глобальной сети - реферат одной стороны, юзер не может посылать идентификационному серверу собственный пароль по сети, а с другой – разрешение на доступ к обслуживанию в сети не может быть послано юзеру в виде обыденного сообщения. В обоих случаях информация может быть перехвачена и применена для несанкционированного доступа в сеть. Для того Защита информации в глобальной сети - реферат, чтоб избежать схожих проблем Kerberos применяет сложную систему неоднократного шифрования при передаче хоть какой управляющей инфы в сети. Доступ юзеров к сетевым серверам, файлам, приложениям, принтерам и т.д. осуществляется по последующей схеме. Клиент (под которым в предстоящем будет пониматься клиентская часть Kerberos, установленная на рабочей станции юзера) направляет Защита информации в глобальной сети - реферат запрос идентификационному серверу на выдачу “разрешения на получение разрешения” (ticket-granting ticket), которое даст возможность обратиться к серверу выдачи разрешений. Идентификационный сервер адресуется к базе данных, хранящей информацию о всех юзерах, и на основании содержащегося в запросе имени юзера определяет его пароль. Потом клиенту отсылается “разрешение на получение разрешения Защита информации в глобальной сети - реферат” и особый код сеанса (session key), которые шифруются при помощи пароля юзера как ключа. При получении этой инфы юзер на его рабочей станции должен ввести собственный пароль, и если он совпадает с хранящимися в базе Kerberos-сервера, “разрешение на получение разрешения” и код сеанса будут удачно расшифрованы. Таким макаром решается неувязка Защита информации в глобальной сети - реферат с защитой пароля – в этом случае он не передается по сети. После того как клиент зарегистрировался при помощи идентификационного сервера Kerberos, он посылает запрос серверу выдачи разрешений на получение доступа к требуемым ресурсам сети. Этот запрос (либо “разрешение на получение разрешения”) содержит имя юзера, его сетевой адресок Защита информации в глобальной сети - реферат, отметку времени, срок жизни этого разрешения и код сеанса.“Разрешение на получение разрешения” зашифровывается дважды: поначалу при помощи специального кода, который известен только идентификационному серверу и серверу выдачи разрешений, а потом, как уже было сказано, при помощи пароля юзера. Это предутверждает не только лишь возможность использования этого разрешения при его перехвате Защита информации в глобальной сети - реферат, да и делает его труднодоступным самому юзеру. Для того чтоб сервер выдачи разрешений отдал клиенту доступ к требуемым ресурсам, недостаточно только “разрешения на получение разрешения”. Вкупе с ним клиент отправляет так именуемый аутентикатор (authenticator), зашифровываемый при помощи кода сеанса и содержащий имя юзера, его сетевой адресок и Защита информации в глобальной сети - реферат еще одну отметку времени. Сервер выдачи разрешений расшифровывает приобретенное от клиента “разрешение на получение разрешения”, инспектирует, не истек ли срок его “годности”, а потом ассоциирует имя юзера и его сетевой адресок, находящиеся в разрешении, с данными, которые указаны в заголовке пакета пришедшего сообщения. Но на этом проверки не завершаются. Сервер выдачи Защита информации в глобальной сети - реферат разрешений расшифровывает аутентикатор при помощи кода сеанса и снова ассоциирует имя юзера и его сетевой адресок с прошлыми 2-мя значениями, и исключительно в случае хорошего результата может быть уверен в конце концов, что клиент конкретно тот, за кого себя выдает. Так как аутентикатор употребляется для идентификации клиента всего один Защита информации в глобальной сети - реферат раз и исключительно в течение определенного периода времени, становится фактически неосуществимым одновременный перехват “разрешения на получение разрешения” и аутентикатора для следующих попыток несанкционированного доступа к ресурсам сети. Всякий раз, по мере надобности доступа к серверу сети, клиент отправляет “разрешение на получение разрешения” многоразового использования и новый аутентикатор. После удачной Защита информации в глобальной сети - реферат идентификации клиента в качестве источника запроса сервер выдачи разрешений отсылает юзеру разрешение на доступ к ресурсам сети (которое может употребляться неоднократно в течение некого периода времени) и новый код сеанса. Это разрешение зашифровано при помощи кода, известного только серверу выдачи разрешений и серверу, к которому просит доступа клиент, и Защита информации в глобальной сети - реферат содержит в себе копию нового кода сеанса. Все сообщение (разрешение и новый код сеанса) зашифровано при помощи старенького кода сеанса, потому расшифровать его может только клиент. После расшифровки клиент отправляет мотивированному серверу, ресурсы которого необходимы юзеру, разрешение на доступ и аутентикатор, зашифрованные при помощи нового кода Защита информации в глобальной сети - реферат сеанса. Для обеспечения еще больше высочайшего уровня защиты, клиент, в свою очередь, может востребовать идентификации мотивированного сервера, чтоб обезопаситься от вероятного перехвата инфы, дающей право на доступ к ресурсам сети. В данном случае он просит от сервера высылки значения отметки времени, увеличенного на единицу и зашифрованного при помощи кода Защита информации в глобальной сети - реферат сеанса. Сервер извлекает копию кода сеанса, лежащую снутри разрешения на доступ к серверу, употребляет его для расшифровки аутентикатора, добавляет к отметке времени единицу, зашифровывает полученную информацию при помощи кода сеанса и отсылает ее клиенту. Расшифровка этого сообщения позволяет клиенту идентифицировать сервер. Внедрение в качестве кода отметки времени обеспечивает уверенность Защита информации в глобальной сети - реферат в том, что пришедший клиенту ответ от сервера не является повтором ответа на какой-нибудь предшествующий запрос. Сейчас клиент и сервер готовы к передаче нужной инфы с подабающей степенью защиты. Клиент обращается с запросами к мотивированному серверу, используя приобретенное разрешение. Следующие сообщения зашифровываются при помощи кода сеанса. Более сложной является ситуация, когда Защита информации в глобальной сети - реферат клиенту нужно дать серверу право воспользоваться какими-либо ресурсами от его имени. В качестве примера можно привести ситуацию, когда клиент отправляет запрос серверу печати, которому потом нужно получить доступ к файлам юзера, размещенным на файл-сервере. Не считая того, при входе в удаленную систему юзеру нужно Защита информации в глобальной сети - реферат, чтоб все идентификационные процедуры производились так же, как и с локальной машины. Эта неувязка решается установкой особых флагов в “разрешении на получение разрешения” (дающих разовое разрешение на доступ к серверу от имени клиента для первого примера и обеспечивающих постоянную работу в этом режиме для второго). Так как, как было сказано выше, разрешения Защита информации в глобальной сети - реферат строго привязаны к сетевому адресу обладающей ими станции, то при наличии схожих флагов сервер выдачи разрешений должен указать в разрешении сетевой адресок того сервера, которому передаются возможности на деяния от имени клиента. Необходимо подчеркнуть также, что для всех обрисованных выше процедур идентификации нужно обеспечить доступ к Защита информации в глобальной сети - реферат базе данных Kerberos только для чтения. Но время от времени требуется изменять базу, к примеру, в случае конфигурации ключей либо прибавления новых юзеров. Тогда употребляется 3-ий сервер Kerberos – административный (Kerberos Administration Server). Не вдаваясь в подробности его работы, необходимо подчеркнуть, что его реализации могут очень отличаться (так, может быть ведение нескольких Защита информации в глобальной сети - реферат копий базы сразу).

Связь меж Kerberos–областями .

Как уже было сказано выше, при использовании Kerberos–серверов сеть делится на области деяния Kerberos. Схема доступа клиента, находящегося в области деяния 1-го Kerberos–сервера, к ресурсам сети, размещенным в области деяния другого Kerberos, осуществляется последующим образом. Оба Kerberos-сервера Защита информации в глобальной сети - реферат должны быть обоюдно зарегистрированы, другими словами знать общие скрытые ключи и, как следует, иметь доступ к базам юзеров друг дружку. Обмен этими ключами меж Kerberos–серверами (для работы в каждом направлении употребляется собственный ключ) позволяет зарегистрировать сервер выдачи разрешений каждой области как клиента в другой области. После чего клиент, требующий доступа Защита информации в глобальной сети - реферат к ресурсам, находящимся в области деяния другого Kerberos–сервера, может получить разрешение от сервера выдачи разрешений собственного Kerberos по описанному чуть повыше методу. Это разрешение, в свою очередь, дает право доступа к серверу выдачи разрешений другого Kerberos–сервера и содержит внутри себя отметку о том, в какой Kerberos–области Защита информации в глобальной сети - реферат зарегистрирован юзер. Удаленный сервер выдачи разрешений употребляет один из общих скрытых ключей для расшифровки этого разрешения (который, естественно, отличается от ключа, применяемого в границах этой области) и при удачной расшифровке может быть уверен, что разрешение выдано клиенту соответственной Kerberos–области. Приобретенное разрешение на доступ к ресурсам сети Защита информации в глобальной сети - реферат предъявляется мотивированному серверу для получения соответственных услуг. Следует, но, учесть, что огромное число Kerberos–серверов в сети ведет к повышению количества передаваемой идентификационной инфы при связи меж различными Kerberos–областями. При всем этом возрастает нагрузка на сеть и на сами Kerberos–серверы. Потому более действенным следует считать наличие в большой сети Защита информации в глобальной сети - реферат всего нескольких Kerberos–серверов с большенными областями деяния, ежели внедрение огромного количества Kerberos–серверов. Так, Kerberos-система, установленная компанией Digital Equipment для большой банковской сети, объединяющей отделения в Нью-Йорке, Париже и Риме, имеет всего один Kerberos–сервер. При всем этом, невзирая на наличие в сети глобальных Защита информации в глобальной сети - реферат коммуникаций, работа Kerberos–системы фактически не отразилась на производительности сети.

Kerberos-5.

К истинному времени Kerberos выдержал уже четыре модификации, из которых 4-ая получила наибольшее распространение. Не так давно группа, продолжающая работу над Kerberos, опубликовала спецификацию пятой версии системы, главные особенности которой отражены в эталоне RFC 1510. Эта модификация Kerberos имеет ряд новых параметров Защита информации в глобальной сети - реферат, из которых можно выделить последующие. Уже рассмотренный ранее механизм передачи возможностей серверу на деяния от имени клиента, существенно облегчающий идентификацию в сети в ряде сложных случаев, является нововведением пятой версии. 5-ая версия обеспечивает более облегченную идентификацию юзеров в удаленных Kerberos-областях, с сокращенным числом передач скрытых ключей меж Защита информации в глобальной сети - реферат этими областями. Данное свойство, в свою очередь, базируется на механизме передачи возможностей. Если в прошлых версиях Kerberos для шифрования употреблялся только метод DES (Data Encryption Standard – Эталон Шифрования Данных), надежность которого вызывала некие сомнения, то вданной версии может быть внедрение разных алгоритмов шифрования, хороших от DES.

Заключение.

Многие производители сетевого Защита информации в глобальной сети - реферат и телекоммуникационного оборудования обеспечивают поддержку работы с Kerberos в собственных устройствах. Так, компания TELEBIT, являясь наикрупнейшим поставщиком маршрутизаторов для связи по коммутируемым и выделенным линиям, не так давно анонсировала поддержку Kerberos–клиента семейством маршрутизаторов NetBlazer. Снабженные UNIX–схожей операционной системой, устройства NetBlazer обеспечивают их удаленное конфигурирование Защита информации в глобальной сети - реферат по сети при помощи функций telnet и rlogin .Потому работоспособность сети, в особенности если это сеть довольно огромных размеров, очень находится в зависимости от защищенности коммуникационных узлов, которыми являются маршрутизаторы NetBlazer, от неожиданных либо злостных конфигураций конфигурации. Внедрение Kerberos в таких сетях позволит обеспечить доступ к внутренним установкам маршрутизатора только админам Защита информации в глобальной сети - реферат сети. Следует, но, отметить, что внедрение Kerberos не является решением всех заморочек, связанных с попытками несанкционированного доступа в сеть (к примеру, он бессилен, если кто-нибудь вызнал пароль юзера), потому его наличие не исключает других стандартных средств поддержания соответственного уровня секретности в сети. Невзирая на это, Kerberos Защита информации в глобальной сети - реферат в текущее время является одним из более узнаваемых методов защиты сети от несанкционированного доступа. Основываясь только на программных средствах и не требуя дополнительных “стальных” устройств, он обеспечивает защиту сети с наименьшим воздействием на трафик. Kerberos обеспечивает таковой уровень защиты сети, при котором подключение к ней не дает способности доступа к принципиальной инфы Защита информации в глобальной сети - реферат без регистрации юзера в скрытой базе Kerberos (что может быть проделано только с ролью админа сети). При всем этом для юзера сети такая защита фактически прозрачна, так как просит от него только дополнительного ввода пароля.

В случае с Kerberos проблема заключалась не в методе шифрования, а в методе Защита информации в глобальной сети - реферат получения случайных чисел, т.е. в способе реализации метода. Когда в октябре прошедшего года пришло весть о просчетах в системе генерации случайных чисел в программных продуктах Netscape, найденных студентами института Беркли, Стивен Лодин нашел схожую проблема с Kerberos. Вместе с Брайаном Доулом он смог отыскать брешь и в системе Защита информации в глобальной сети - реферат Kerberos. Действующие лица этой истории – не дилетанты. Выпускники института Purdue (штат Иллинойс) сотрудничали с лабораторией COAST (Computer Operations, Audit and Security Technology), мастерски занятой вопросами компьютерной безопасности и руководимой проф. Спаффордом, который является также основоположником PCERT (Purdue Computer Emergency Response Team) – институтского отряда “резвого реагирования” на компьютерные ЧП. PCERT, в Защита информации в глобальной сети - реферат свою очередь, член аналогичной интернациональной организации FIRST (Forum of Incident Response Team).

Типично содержание первого воззвания к прессе (от 16 февраля 1996 г.), которое от лица первооткрывателей сделал проф. Спаффорд. В нем, вместе с информацией о ненадежности системы паролей и способностях ее взлома в течение 5 минут, говорится о задержке Защита информации в глобальной сети - реферат предстоящего распространения технической инфы до того времени, пока разработчиками не будут внесены коррективы препятствующие несанкционированному доступу.

4. Виртуальные личные сети.

Одной из важных задач является защита потоков корпоративных данных, передаваемых по открытым сетям. Открытые каналы могут быть накрепко защищены только одним способом – криптографическим.

Так именуемые выделенные полосы не владеют особенными преимуществами перед Защита информации в глобальной сети - реферат линиями общего использования в плане информационной безопасности. Выделенные полосы хотя бы отчасти будут размещаться в неконтролируемой зоне, где их могут разрушить либо выполнить к ним несанкционированное подключение. Единственное реальное достоинство – это гарантированная пропускная способность выделенных линий, а совсем не какая-то завышенная защищенность. Вобщем, современные оптоволоконные каналы Защита информации в глобальной сети - реферат способны удовлетворить потребности многих абонентов, потому и обозначенное достоинство не всегда облечено в реальную форму.

Интересно упомянуть, что в мирное время 95 % трафика Министерства обороны США передается через сети общего использования (а именно через). В военное время эта толика должна составлять «лишь» 70 %. Можно представить, что Пентагон – не самая бедная организация. Южноамериканские Защита информации в глобальной сети - реферат военные полагаются на сети общего использования поэтому, что развивать свою инфраструктуру в критериях стремительных технологических конфигураций – занятие очень драгоценное и бесперспективное, оправданное даже для критически принципиальных государственных организаций исключительно в исключительных случаях.

Представляется естественным возложить на межсетевой экран задачку шифрования и дешифрования корпоративного трафика на пути во внешнюю сеть и Защита информации в глобальной сети - реферат из нее. Чтоб такое шифрование/дешифрование стало вероятным, должно произойти изначальное рассредотачивание ключей. Современные криптографические технологии предлагают для этого целый ряд способов.

После того, как межсетевые экраны выполнили криптографическое закрытие корпоративных потоков данных, территориальная разнесенность частей сети проявляется только в разной скорости обмена с различными секторами. В остальном Защита информации в глобальной сети - реферат вся сеть смотрится как единое целое, а от абонентов не требуется вербование каких-то дополнительных защитных средств.

Пожалуй, нигде слово виртуальный не получило настолько широкого распространения, как в сфере информационных технологий: виртуальная память, виртуальная машина, виртуальная действительность, виртуальный канал, виртуальный кабинет. Это вышло благодаря способности так запрограммировать логику Защита информации в глобальной сети - реферат функционирования объекта, что для юзера его (логические) поведение и характеристики никак не будут отличаться от реального макета. Бегство в «виртуальный мир» может быть вызвано, скажем, принципной невыполнимостью оперировать с реальным объектом, экономическими соображениями или временным фактором.

Виртуальные личные сети (Virtual Private Networks - VPN) являются не только лишь «горячей» темой Защита информации в глобальной сети - реферат для промышленных аналитиков, но завлекают также пристальное внимание как провайдеров сетевых услуг (Network Service Provider - NSP) и Internet-провайдеров (ISP), так и корпоративных юзеров. Компания Infonetics Research предсказывает, что рынок VPN будет расти более чем на 100 % раз в год прямо до 2001 г., и его объем достигнет 12 миллиардов. долл Защита информации в глобальной сети - реферат. Она также докладывает, что 92 % больших Internet-провайдеров и 60 % от общего числа ISP планируют предоставлять услуги VPN к концу 1998 г.

До того как перебегать к анализу обстоятельств, вызвавших настолько бурный рост популярности VPN, напомним, что просто личные (корпоративные) сети передачи данных строятся, обычно, с внедрением оплаченных (выделенных) каналов связи коммутируемых Защита информации в глобальной сети - реферат телефонных сетей общего использования (Public Switched Telephone Network - PSTN). В течение многих лет такие личные сети проектировались с учетом определенных корпоративных требований, что в итоге транслировалось в фирменные протоколы, поддерживающие фирменные же приложения (правда, в ближайшее время заполучили популярность протоколы Frame Relay и ATM). Выделенные каналы позволяют обеспечить надежную Защита информации в глобальной сети - реферат защиту секретной инфы, но обратная сторона медали – это высочайшая цена эксплуатации и трудности при расширении сети, не говоря уже о способности подключения к ней мобильного юзера в непредусмотренной точке. В то же время для современного бизнеса свойственны существенное рассредоточение и мобильность рабочей силы. Больше юзеров нуждается в доступе к корпоративной инфы Защита информации в глобальной сети - реферат средством коммутируемых каналов, возрастает также количество служащих, работающих на дому. Западные аналитики предвещают, что к концу 1999 г. 80 % корпоративных юзеров будут иметь, по последней мере, по одному портативному компу (непременно, проекция этого пророчества на Украину может вызвать только ухмылку, но в какой-то момент украинская экономика, изнасилованная прогрессом, обязана будет принять Защита информации в глобальной сети - реферат правила игры, диктуемые промышленно продвинутыми странами).

Дальше, личные сети не в состоянии обеспечить такие же способности для коммерческой деятельности, которые предоставляет Internet и IP-базированные приложения, например, продвижение продукции, поддержка заказчиков либо неизменная связь с поставщиками. Такое взаимодействие в режиме on-line просит объединения личных сетей Защита информации в глобальной сети - реферат, которые, обычно, употребляют различные протоколы и приложения, различные системы управления сетью и различных поставщиков услуг связи.

Таким макаром, высочайшая цена, статичность и трудности, возникающие по мере надобности соединить личные сети, базирующиеся на различных разработках, вступают в противоречие с динамически развивающимся делом, его рвением к децентрализации и проявляющейся в ближайшее время тенденцией Защита информации в глобальной сети - реферат к слиянию компаний.

В то же время параллельно есть лишенные этих недочетов сети передачи данных общего использования и Internet, практически окутавшая собственной «паутиной» весь земной шар. Правда, они лишены и более принципиального плюсы личных сетей – надежной защиты корпоративной инфы. Разработка виртуальных личных сетей и позволяет соединить упругость Защита информации в глобальной сети - реферат, масштабируемость, низкую цена и доступность практически в режиме «anytime anywhere» Internet и сетей общего использования с безопасностью, соответствующей для личных сетей. По собственной сущности VPN являются личными сетями, которые для передачи трафика употребляют глобальные сети общего доступа (Internet, Frame Relay, ATM). Виртуальность же проявляется в том, что для корпоративного Защита информации в глобальной сети - реферат юзера они представляются выделенными личными сетями. Разглядим главные требования, которые предъявляются к виртуальным личным сетям.

4.1. Сопоставимость.

Задачи сопоставимости не появляются, если VPN прямо употребляют службы Frame Relay и ATM, так как они достаточно отлично адаптированы для работы в мультипротокольной среде и применимы как для IP-, так и для не IP–приложений. Все Защита информации в глобальной сети - реферат, что требуется в данном случае, так это наличие соответственной сетевой инфраструктуры, покрывающей нужный географический район. В качестве устройств доступа в большинстве случаев употребляются Frame Relay Access Device (FRAD) либо маршрутизаторы с интерфейсами Frame Relay и ATM. Бессчетные неизменные либо коммутируемые виртуальные каналы могут работать (виртуально) с хоть Защита информации в глобальной сети - реферат какой консистенцией протоколов и топологий. Дело осложняется, если VPN базируется на Internet. В данном случае требуется, чтоб приложения были совместимы с IP–протоколом. При условии выполнения этого требования для построения VPN можно использовать Internet «как она есть», за ранее обеспечив нужный уровень безопасности. Но так как большая часть личных сетей Защита информации в глобальной сети - реферат являются мультипротокольными либо употребляют неофициальные, внутренние IP–адреса, то они не могут прямо, без соответственной адаптации подключиться к Internet. Существует огромное количество решений, обеспечивающих сопоставимость. Более пользующимися популярностью являются последующие:

- преобразование имеющихся протоколов (IPX, NetBEUI, AppleTalk либо других) в IP–протокол с официальным адресом;

- преобразование внутренних IP–адресов Защита информации в глобальной сети - реферат в официальные IP–адреса;

- установка особых IP–шлюзов на серверы;

- внедрение виртуальной IP–маршрутизации;

- внедрение универсальной техники туннелирования.

1-ый метод, по последней мере концептуально, понятен, потому остановимся кратко на других.

Преобразование внутренних Айпишников в официальные нужно в этом случае, когда личная сеть базируется на IP-протоколе. Для внутренней адресации Защита информации в глобальной сети - реферат обычно употребляются адреса класса В, которые лежат в спектре 192.168.0.0 - 192.168.255.255, что позволяет идентифицировать 65536 узлов. Преобразование адресов для всей корпоративной сети не является нужным, потому что официальные Айпишники могут сосуществовать с внутренними в коммутаторах и маршрутизаторах сети предприятия. Другими словами, сервер с официальным Айпишником как и раньше доступен клиенту личной сети через Защита информации в глобальной сети - реферат локальную инфраструктуру. Более нередко употребляют технику разделения маленького блока официальных адресов многими юзерами. Она подобна разделению пула модемов, так как также опирается на предположение, что не все юзеры сразу нуждаются в доступе к Internet. Тут есть два промышленных эталона: протокол динамической конфигурации хостов (Dynamic Host Configuration Protocol - DHCP Защита информации в глобальной сети - реферат) и трансляция сетевых адресов (Network Adress Translation - NAT), подходы которых немного различаются. DHCP «сдает» узлу адресок в аренду на время, определяемое админом сети, тогда как NAT передает внутренний Айпишник в официальный динамически, на время сеанса связи с Internet.

Другим методом сделать личную сеть совместимой с Internet является установка Защита информации в глобальной сети - реферат IP–шлюза. Шлюз передает не IP–протоколы в IP-протоколы и напротив. Большая часть сетевых операционных систем, использующих нативные протоколы, имеют программное обеспечение для IP–шлюза.

Суть виртуальной IP–маршрутизации заключается в расширении личных маршрутных таблиц и адресного места на инфраструктуру (маршрутизаторы и коммутаторы) Internet–провайдера. Виртуальный IP–маршрутизатор Защита информации в глобальной сети - реферат является логической частью физического IP–маршрутизатора, принадлежащего и функционирующего у сервис-провайдера. Каждый виртуальный маршрутизатор обслуживает определенную группу юзеров.

Но, пожалуй, самым наилучшим методом обеспечить сопоставимость можно при помощи способов туннелирования. Эти способы вместе с различной техникой инкапсуляции уже издавна употребляются для передачи по общей магистрали мультипротокольного потока пакетов. В Защита информации в глобальной сети - реферат текущее время эта испытанная разработка оптимизирована для Internet–базированных VPN.

Основными компонентами туннеля являются:

- зачинатель туннеля;

- маршрутизируемая сеть;

- туннельный коммутатор (опционально);

- один либо более туннельных терминаторов.

Туннелирование должно производиться на обоих концах сквозного канала. Туннель должен начинаться туннельным зачинателем и завершаться туннельным терминатором. Инициализация и окончание туннельных операций Защита информации в глобальной сети - реферат может производиться разными сетевыми устройствами и программным обеспечением. К примеру, туннель может быть инициирован компом удаленного юзера, на котором установлены модем и нужное для VPN программное обеспечение, передним маршрутизатором филиала компании либо концентратором доступа к сети у сервис-провайдера.

Для передачи по Internet пакетов, хороших от IP сетевых протоколов, они Защита информации в глобальной сети - реферат со стороны источника инкапсулируются в IP–пакеты. Более нередко используемый способ сотворения VPN–туннелей заключается в инкапсуляции не IP–пакета в пакет PPP (Point-to-Point Protocol) с следующей инкапсуляцией в IP–пакет. Напомним, что PPP–протокол употребляется для соединения типа точка-точка, к примеру, для связи клиента с сервером. Процесс Защита информации в глобальной сети - реферат IP–инкапсуляции включает добавление стандартного IP–заголовка к уникальному пакету, который потом рассматривается как нужная информация. Соответственный процесс на другом конце туннеля удаляет IP–заголовок, оставляя постоянным уникальный пакет. Протокол PPP обеспечивает сервис на уровне 2 эталонной модели OSI, потому таковой подход именуется туннелирование на уровне 2 (L Защита информации в глобальной сети - реферат2 Tunneling Protocol – L2TP). Сейчас достаточно обширное распространение получил протокол Point-to-Point Tunneling Protocol, разработанный компаниями 3Com и Microsoft, который поставляется вкупе с операционными системами Windows 95 и Windows NT .

Так как разработка туннелирования довольно ординарна, она является и более применимой в отношении цены.

4.2. БЕЗОПАСНОСТЬ.

Обеспечение нужного уровня безопасности нередко является Защита информации в глобальной сети - реферат главным пт при рассмотрении компанией способности использования Internet–базированных VPN. Многие IT–менеджеры привыкли к вначале присущей личным сетям защите секретной инфы и рассматривают Internet как очень «общедоступную» для использования ее в качестве личной сети. Но при условии принятия нужных мер Internet–базированные виртуальные личные сети могут стать Защита информации в глобальной сети - реферат более неопасными, чем VPN, базирующиеся на PSTN. Если воспользоваться британской терминологией, то есть три «Р», реализация которых в совокупы обеспечивает полную защиту инфы. Это:

Protection - защита ресурсов при помощи брандмауэров (firewall);

Proof - проверка идентичности (целостности) пакета и аутентификация отправителя (доказательство права на доступ);

Privacy - защита секретной инфы при помощи шифрования.

Все Защита информации в глобальной сети - реферат три «Р» в одинаковой мере значимы для хоть какой корпоративной сети, включая и VPN. В чисто личных сетях для защиты ресурсов и конфиденциальности инфы довольно использования достаточно обычных паролей. Но как личная сеть подключается к общедоступной, ни одно из 3-х «Р» не может обеспечить нужную защиту. Потому для Защита информации в глобальной сети - реферат хоть какой VPN во всех точках ее взаимодействия с сетью общего использования должны быть установлены брандмауэры, а пакеты должны шифроваться и производиться их аутентификация.

Брандмауэры являются значимым компонентом в хоть какой VPN. Они пропускают только санкционированный трафик для доверенных юзеров и заблокируют весь остальной. Другими словами, пересекаются все пробы доступа Защита информации в глобальной сети - реферат неведомых либо недоверенных юзеров. Эта форма защиты должна быть обеспечена для каждого веб-сайта и юзера, так как отсутствие ее в каком-либо месте значит отсутствие всюду. Для обеспечения безопасности виртуальных личных сетей используются особые протоколы. Эти протоколы позволяют хостам «договориться» об применяемой технике шифрования и цифровой Защита информации в глобальной сети - реферат подписи, что позволяет сохранить конфиденциальность и целостность данных и выполнить аутентификацию юзера.

Протокол Microsoft Point-to-Point Encryption (MPPE) шифрует PPP–пакеты на машине клиента перед тем, как навести их в туннель. Версия с 40-битовым ключом поставляется с Windows 95 и Windows NT (существует также версия со 128-битовым ключом). Сессия шифрования инициализируется Защита информации в глобальной сети - реферат во время установления связи с туннельным терминатором по протоколу PPP.

Протоколы Secure IP (IPSec) являются серией подготовительных эталонов, разрабатываемых Группой инженерных заморочек Internet (Internet Engineering Task Force - IETF). Группа предложила два протокола: Authentication Header (AH) и Encapsulating Security Payload (ESP). Протокол AH добавляет цифровую подпись к заголовку, при помощи Защита информации в глобальной сети - реферат которой производится аутентификация юзера, и обеспечивает целостность данных, отслеживая любые конфигурации в процессе их передачи. Этот протокол защищает только данные, оставляя адресную часть IP–пакета постоянной. Протокол ESP, напротив, может шифровать или весь пакет (Tunnel Mode), или только данные (Transport Mode). Эти протоколы употребляются как раздельно, так и Защита информации в глобальной сети - реферат в композиции.

Для управления безопасностью используют промышленный эталон RADIUS (Remote Authentication Dial-In User Service), представляющий из себя базу данных пользовательских профилей, которые содержат пароли (аутентификация) и права доступа (авторизация).

Средства обеспечения безопасности далековато не ограничиваются приведенными примерами. Многие производители маршрутизаторов и брандмауэров предлагают свои решения. Посреди их Защита информации в глобальной сети - реферат – Ascend, CheckPoint и Cisco.

4.3. ДОСТУПНОСТЬ.

Доступность включает три в одинаковой мере принципиальные составляющие: время предоставления услуг, пропускную способность и время задержки. Время предоставления услуг является предметом контракта с сервис-провайдером, а другие две составляющие относятся к элементам свойства услуг (Quality of Service - QoS). Современные технологии транспорта позволяют выстроить Защита информации в глобальной сети - реферат VPN, удовлетворяющие требованиям фактически всех имеющихся приложений.

4.4. Маневренность.

Админы сетей всегда желают иметь возможность производить сквозное, из конца в конец, управление корпоративной сетью, включая и ту часть, которая относится к телекоммуникационной компании. Оказывается, что VPN предоставляют в этом плане больше способностей, чем обыденные личные сети. Обычные личные сети администрируются «от границы Защита информации в глобальной сети - реферат до границы», т.е. сервис-провайдер управляет сетью до передних маршрутизаторов корпоративной сети, в то время как абонент управляет фактически корпоративной сетью до устройств доступа к WAN. Разработка VPN дает возможность избежать этого типичного разделения «сфер влияний», предоставляя и провайдеру, и абоненту единую систему управления сетью в целом, как ее Защита информации в глобальной сети - реферат корпоративной частью, так и сетевой инфраструктурой общедоступной сети. Админ сети предприятия имеет возможность делать мониторинг и реконфигурацию сети, управлять передними устройствами доступа, определять состояние сети в режиме реального времени.

4.5. АРХИТЕКТУРА VPN.

Есть три модели архитектуры виртуальных личных сетей: зависимая, независящая и гибридная как композиция первых 2-ух альтернатив Защита информации в глобальной сети - реферат. Принадлежность к той либо другой модели определяется тем, где реализуются четыре главных требования, предъявляемых к VPN. Если провайдер сетевых глобальных услуг предоставляет полное решение для VPN, т.е. обеспечивает туннелирование, безопасность, производительность и управление, то это делает архитектуру зависимой от него. В данном случае все процессы в VPN для Защита информации в глобальной сети - реферат юзера прозрачны, и он лицезреет только собственный нативный трафик – IP-, IPX- либо NetBEUI–пакеты. Преимущество зависимой архитектуры для абонента состоит в том, что он может использовать существующую сетевую инфраструктуру «как она есть», добавляя только брандмауэр меж VPN и личной WAN/LAN.

Независящая архитектура реализуется в этом случае, когда организация обеспечивает Защита информации в глобальной сети - реферат все технологические требования на собственном оборудовании, делегируя сервис-провайдеру только транспортные функции. Такая архитектура обходится дороже, но предоставляет юзеру возможность полного контроля за всеми операциями.

Гибридная архитектура включает зависимые и независящие от организации (соответственно, от сервис-провайдера) веб-сайты.

Какие же коврижки сулят VPN для корпоративных юзеров Защита информации в глобальной сети - реферат? Сначала, по оценкам промышленных аналитиков, это понижение расходов на все виды телекоммуникаций от 30 до 80 %. Также это фактически повсеместный доступ к сетям компании либо других организаций; это реализация неопасных коммуникаций с поставщиками и заказчиками; это усовершенствованный и расширенный сервис, недосягаемый в сетях PSTN, и почти все другое. Спецы рассматривают виртуальные личные сети как Защита информации в глобальной сети - реферат новейшую генерацию сетевых коммуникаций, а многие аналитики считают, что VPN скоро поменяют большая часть личных сетей, базирующихся на арендуемых линиях.

ЗАКЛЮЧЕНИЕ.

Internet: эволюция философии защиты.

Неувязка защиты инфы в Internet ставится и, с той либо другой степенью эффективности, решается с момента возникновения сетей на базе протоколов семейства TCP/IP Защита информации в глобальной сети - реферат.

В эволюциях технологий защиты можно выделить три главных направления. 1-ое — разработка эталонов, имплиментирующих в сеть определенные средства защиты, сначала административной. Примером являются IP security option и варианты протоколов семейства TCP/IP, применяемые в Министерстве обороны США. 2-ое направление — это культура межсетевых экранов (firewalls), издавна используемых для регулирования доступа Защита информации в глобальной сети - реферат к подсетям. Третье, более юное и интенсивно развивающееся, направление — это так именуемые технологии виртуальных защищенных сетей (VPN, virtual private network, либо intranet).

Наблюдаемый в последние годы взрывной рост популярности Internet и связанных с ней коммерческих проектов послужил толчком для развития последнего поколения технологий защиты инфы в TCP/IP Защита информации в глобальной сети - реферат-сетях. При этом если ранее, прямо до начала 90-х, основной задачей защиты в Internet было сохранение ресурсов в большей степени от хакерских атак, то в текущее время животрепещущей становится задачка защиты коммерческой инфы.

Отменно это совсем различные виды защиты. Атакующая коммерческую информацию сторона может позволить для себя огромные издержки на Защита информации в глобальной сети - реферат взлом защиты и, как следует, значительно более высочайший уровень: наблюдение трафика, перехват инфы, ее криптоанализ, также различного рода имитоатаки, диверсии и мошенничества.

Доверчивые методы защиты, такие как запрос пароля с следующей передачей его в открытом виде по коммуникационному каналу и списки доступа на серверах и маршрутизаторах, становятся в этих критериях Защита информации в глобальной сети - реферат малоэффективными. Что все-таки может быть противопоставлено квалифицированной и на техническом уровне вооруженной атакующей стороне? Конечно, только настоящая, криптографически богатая система защиты.

Предложений схожих средств на рынке Internet довольно много. Но по ряду характеристик ни одно из их не может быть признано адекватным задачкам защиты инфы конкретно для Защита информации в глобальной сети - реферат Internet. К примеру, довольно криптостойкой и восхитительной по собственной идее формирования «паутины доверия» является всераспространенная система PGP (Pritty good privacy). Но, так как PGP обеспечивает шифрование файлов, она применима только там, где возможно обойтись файловым обменом. Защитить, допустим, приложения on-line с помощью PGP проблемно. Не считая того, уровень Защита информации в глобальной сети - реферат защиты PGP очень высок. Стыковка защиты PGP с другими прикладными системами востребует определенных усилий, если, естественно, вообщем окажется осуществимой.

Выбор технологии защиты инфы для большой открытой системы — сети масштаба Internet, большой корпоративной сети, сети коммуникационного провайдера, должен удовлетворять ряду специфичных требований:

· наличие открытой спецификации, отсутствие монополизма в части технологических решений Защита информации в глобальной сети - реферат

· широкая масштабируемость решений по техническим и ценовым характеристикам

· универсальность технологии, переносимость, многоплатформенность

· сопоставимость аппаратных, программных, коммуникационных решений

· обеспечение, по мере надобности, всеохватывающей защиты инфы

· простота управления ключами и организации защищенных коммуникаций для вновь присоединенных юзеров.

Настоящее внедрение сервера просит его подключения через местный маршрутизатор, который станет одним из рубежей Защита информации в глобальной сети - реферат защиты. Маршрутизатор можно запрограммировать таким макаром, что он будет перекрыть небезопасные функции и разрешать передачу поступающих снаружи запросов исключительно в специально назначенные серверы.

Частичную защиту обеспечивает блокировка портов, реализуемая в большинстве современных маршрутизаторов методом формирования списков контроля доступа на базе языка команд маршрутизатора. Очередной метод защиты - изменить Защита информации в глобальной сети - реферат маршрутизатор так, чтоб он разрешал соединения из Internet только с теми компьютерами сети, информация на которых открыта для всеобщего использования. Другие части сети изолируются от этих компов брандмауэрами либо другими средствами. Таковой метод защиты употребляется многими большими корпорациями.

По своим функциям к маршрутизаторам примыкают автономные пакеты фильтрации трафика, устанавливаемые на ПК Защита информации в глобальной сети - реферат либо рабочих станциях. Обычным продуктом этого класса является ПО FireWall-1 компании CheckPoint Software Technologies, инсталлируемое на рабочие станции конторы Sun и выполняющее фильтрацию входного и выходного потоков. FireWall-1 в отличие от маршрутизаторов способен динамически открывать пути передачи данных в согласовании с протоколами Internet, к примеру с FTP. Не Защита информации в глобальной сети - реферат считая того, данный пакет обеспечен комфортным в работе графическим интерфейсом, средствами оповещения об опасности взлома системы защиты и средствами регистрации доступа к сети, генерирующими сообщения о необыкновенных действиях. Подобные продукты, обычно, обеспечивают наилучшую защиту по сопоставлению с маршрутизаторами, но отличаются высочайшей ценой. Брандмауэры Маршрутизаторы и продукты типа только-только Защита информации в глобальной сети - реферат рассмотренного ПО FireWall-1 не имеют неких функций, повышающих степень защищенности от небезопасных вторжений в сеть. К примеру, при передаче потока данных они не анализируют его содержимое и не в состоянии производить проверку возможностей на доступ к ресурсам сети. Такими способностями владеют брандмауэры - выделенные компы с активными функциями фильтрации информационных Защита информации в глобальной сети - реферат потоков в точке связи локальной сети с наружным миром. Основная задачка систем этой категории - изолировать сеть от посягательств снаружи методом просмотра пакетов данных, блокировки "подозрительных" видов трафика и использования особых средств доказательства возможностей на доступ. Таким макаром, брандмауэр выступает в роли охранника, не пропускающего любые входные либо выходные данные, которые Защита информации в глобальной сети - реферат не соответствуют очевидно сформулированным аспектам. Сейчас на рынке имеется широкий выбор средств защиты данных на базе брандмауэров.


zaslushav-i-obsudiv-doklad-prorektora-po-nauchnoj-rabote-i-innovaciyam-prof-e-k-hennera-uchenij-sovet-otmechaet-chto-v-proshedshem-2010-g-v-celom-sohranilis-otnosit.html
zaslushivayutsya-3-4-rasskaza-zriteli-ugadivayut-kartini-vospitatel-hvalit-detej-otmechaet-udachnie-momenti.html
zasluzhennij-kollektiv-respubliki-belarus-brestskij-akademicheskij-teatr-drami-imeni-leninskogo-komsomola-belarusi-repertuar-fevral-2011.html