Существует много средств защиты Internet, но по ряду параметров ни одно не может быть признано адекватным задачам защиты именно для этой сети.
Например, т. к. система PGP (Pretty good privacy) обеспечивает шифрование файлов, то она применима только там, где можно обойтись файловым обменом, - защитить приложения online сложно. И уровень иерархии управления защиты PGP слишком высок, - систему можно отнести к прикладному (управление вычислительными процессами, доступом к внешним устройствам, административное управление сетью) или представительскому (доступ к файлам данных и командным, преобразование данных в требуемый формат, подготовка программ к работе) уровням модели OSI. Также сложна стыковка защиты PGP с другими прикладными системами.
Альтернативой таким "высокоуровневым" системам защиты среди традиционных являются устройства защиты канального и физического уровня: скремблеры (scrambler - шифратор) и канальные шифраторы. Они "невидимы" с прикладного уровня и поэтому совместимы со всеми приложениями.
Но они имеют ограниченную совместимость с различным каналообразующим оборудованием и физическими средами передачи данных.
Обычно это не сетевые устройства (которые должны были бы способные распознавать топологию сети и обеспечить связь из конца в конец через промежуточные узлы), а "двухточечные" системы, работающие на концах защищаемой линии и вносящие значительную аппаратную избыточность.
И на них невозможно построить систему защиты в рамках Internet из-за невозможности обеспечить всеобщую аппаратную совместимость и повсеместное распространение из-за высокой стоимости.
Наряду с обеспечением безопасности программной среды, важнейшим будет вопрос о разграничении доступа к объектам Web-сервера.
Для решения этого вопроса необходимо уяснить, ЧТО является объектом, как идентифицируются субъекты и какая модель управления доступом (принудительная или произвольная) применяется.
В Web-серверах объектами доступа выступают универсальные локаторы ресурсов (URL - Uniform (Universal) Resource Locator). За этими локаторами могут стоять различные сущности - HTML-файлы, CGI-процедуры и т. п.
Как правило, субъекты доступа идентифицируются по IP-адресам и/или именам компьютеров и областей управления. Кроме того, может использоваться парольная аутентификация пользователей или более сложные схемы, основанные на криптографических технологиях.
В большинстве Web-серверов права разграничиваются с точностью до каталогов (директорий) с применением произвольного управления доступом. Могут предоставляться права на чтение HTML-файлов, выполнение CGI-процедур и т. д.
Для раннего выявления попыток нелегального проникновения в Web-сервер важен регулярный анализ регистрационной информации.
Защита системы, на которой функционирует Web-ceрвep, должна следовать универсальным рекомендациям, главной из которых является максимальное упрощение:
- все ненужные сервисы, файлы, устройства должны быть удалены.
- число пользователей, имеющих прямой доступ к серверу, должно быть сведено к минимуму;
- привилегии пользователей должны быть упорядочены в соответствии со служебными обязанностями. Еще один общий принцип состоит в том, чтобы минимизировать объем информации о сервере, которую могут получить пользователи.
Многие серверы в случае обращения по имени каталога и отсутствия файла index.html в нем, выдают HTML-вариант оглавления каталога. В этом оглавлении могут встретиться имена файлов с исходными текстами CGI-процедур или с иной конфиденциальной информацией. Такого рода "дополнительные возможности" целесообразно отключать, поскольку лишнее знание (злоумышленника) умножает печали (владельца сервера).
Сама архитектура современных сетевых ОС в значительной степени защищает их от некорректного обращения, и потому лишь немногие действия прикладных программ или драйверов периферийных устройств способны привести к их краху.
Большинство приложений сертифицированы для работы с популярными ОС. Тем самым фирма-разработчик операционной среды гарантирует корректную инсталляцию и работу приложения в данной ОС.
Многообразие периферийных устройств усложняет организацию обращения к ним из ОС и прикладных программ. Поэтому рекомендуется при выборе операционной среды обращать особое внимание:
- на ее оснащенность драйверами и утилитами;
- перекрестную сертификацию оборудования и ПО;
- избегать использования доморощенных приложений.
Помимо потенциальной несовместимости, в последних отсутствует поддержка производителя.
