Защита web-серверов. Ограничения доступа в WWW серверах
Защита информации в глобальной сети Internet
Направления защиты информации
План
Тема 2.2 Направления защиты информации. Защита информации, размещаемой в Интернет. Парольная защита
Направления обеспечения информационной безопасности− это нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз. Направления обеспечения информационной безопасности представлены на рис. 1.
Рис. 1. Направления обеспечения информационной безопасности
Защитные действия, ориентированные на обеспечение информационной безопасности, характеризуются рядом параметров: ориентация, характер угроз, направление, способ действий, охват и масштаб (рис. 2).
Рис. 2. Характеристики защитных действий
Если ранее сеть использовалась исключительно в качестве среды передачи файлов и сообщений электронной почты, то сегодня решаются более сложные задачи распределенного доступа к ресурсам. Были созданы оболочки, поддерживающие функции сетевого поиска и доступа к распределенным информационным ресурсам, электронным архивам.
Фактически Internet состоит из множества локальных и региональных сетей,принадлежащих различным компаниям и предприятиям, связанных между собой различными линиями связи. Internet можно представить в виде мозаики сложенной из небольших сетей разной величины, которые активно взаимодействуют одна с другой, пересылая файлы, сообщения и т. п.
Internet и информационная безопасность несовместны по самой природе Internet. Она родилась как чисто корпоративная сеть, однако, в настоящее время с помощью единого стека протоколов TCP/IP и единого адресного пространства объединяет не только корпоративные и ведомственные сети (образовательные, государственные, коммерческие, военные и т. д.), являющиеся, по определению, сетями с ограниченным доступом, но и рядовых пользователей, которые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования.
Сколько же потенциально уязвимых мест у сетей, подключенных к Internet, и использующих службы и сервисы сети? Не менее двух десятков, а если опускаться до конкретики каждого аппаратно-программного решения, их будут сотни. Можно согласиться с оценкой специалистов компании Internet Security Systems, считающих, что в любой сети, основанной на протоколе TCP/IP, существует более 100 потенциальных лазеек для хакеров.
Если TCP/IP - базовый протокол корпоративной сети (как правило использующих Unix-системы) ее уязвимость многократно возрастает. Самые незащищенные конфигурации сетей имеют крупные компании - наиболее вероятная жертва. Также при необходимости в такой магистрали, компании с небольшим бюджетом обращаются в первую очередь к Internet, как к готовому недорогому решению, и сталкиваются с незащищенностью открытых систем.
Известно - чем проще доступ в сеть, тем хуже ее информационная безопасность, поэтому с полным основанием можно сказать, что вследствие изначальной простоты доступа в Internet пользователь может даже и не узнать, что у него были скопированы файлы и программы, не говоря о возможности их порчи и корректировки.
У хакера есть возможность запустить программу, делающую одну за другой попытки войти в сеть через telnet, и не исключено, что он добьется успеха, поскольку при довольно скромных ресурсах компьютера, на котором запускается программа-взломщик, можно производить до 1 000 попыток регистрации в минуту, что составит 1 152 000 паролей в день. Для сравнения, количество более-менее общеупотребительных слов в английском языке приблизительно равно 150 000 (по Большому англо-русскому словарю).
Администратор может обнаружить следы многократных исполнений команды login с определенного IP-адреса, но не факт, что по этому адресу он сумеет найти злоумышленника.
Распространенный метод сбора конфиденциальной информации - запуск на "инфицированных" рабочих станциях программ, считывающих ввод с клавиатуры. Эта методика дает шанс получить другие пароли, используемые в системе.
Если пароль состоит из 10 символов, то при приведенной выше производительности программы-взломщика на перебор всех возможных вариантов уйдет порядка двух миллиардов дней или трех миллионов лет. Поэтому методу атаки "в лоб" можно противостоять простыми организационными мероприятиями. Опаснее "прослушивание" IP-пакетов.
Платой за пользование Internet является всеобщее снижение информационной безопасности, поэтому для предотвращения несанкционированного доступа к своим компьютерам все корпоративные и ведомственные сети, а также предприятия, использующие технологию intranet (технология создания корпоративной локальной сети повышенной надёжности с ограниченным доступом, использующей сетевые стандарты и сетевые программно-аппаратные средства, аналогичные Internet), ставят фильтры (firewall) между внутренней сетью и Internet, что фактически означает выход из единого адресного пространства.
В области информации дилемма безопасности формулируется следующим образом: следует выбирать между защищенностью системы и ее открытостью. Правильнее говорить не о выборе, а о балансе, так как система, не обладающая свойством открытости, не может быть использована.
Например, в банковской сфере проблема безопасности информации осложняется двумя факторами: во-первых, почти все ценности, с которыми имеет дело банк (кроме наличных денег), существуют лишь в виде той или иной информации. Во-вторых, банк не может существовать без связей с внешним миром: без клиентов, корреспондентов и т. п. При этом по внешним связям обязательно передается та самая информация, выражающая собой ценности, с которыми работает банк (либо сведения об этих ценностях и их движении, которые иногда стоят дороже самих ценностей). Извне приходят документы, по которым банк переводит деньги с одного счета на другой. Вовне банк передает распоряжения о движении средств по корреспондентским счетам, так что открытость банка задана a priori.
