КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Модели безопасного подключения к Internet. Политика компьютерной безопасности
|
|
|
|
Типовые решения по безопасности компьютерных сетей.
При построении защищенной корпоративной сети, как правило, выбирают одну из следующих концепций:
1) построение защищенной корпоративной сети на основе каналов связи и средств коммутации сетей передачи данных общего пользования, в которой используются открытые протоколы Internet. Такая концепция предполагает организацию надежной системы защиты;
2) отказ от ресурсов глобальной сети Internet, построение специализированной или выделенной корпоративной сети на основе конкретной сетевой технологии (АТМ, Framerelay, ISDN).
3) Обе данные концепции обладают определенными недостатками, так первая концепция предполагает большие затраты на обеспечение достаточной степени защищенности информации при подключении к Internet, а вторая – предполагает полный отказ от ресурсов и технологий Internet. Следует отметить, что в рамках данных концепций реализованы свои электронная почта, компьютерная телефония и другие виды сервиса. Однако, поскольку полный отказ от Internet может нанести урон имиджу организации, чаще используется первая концепция построение защищенной корпоративной сети. Безусловно, выбор первой концепции предполагает дополнительную защиту компьютерной системы при работе в Internet. По данным из практики известно, что на организацию, подключившуюся к глобальной сети Internet, будет совершена хакерская атака, в среднем, не позднее, чем через два месяца, а для банков и крупных организаций - в течение двух дней.
4) Для обеспечения достаточной степени защиты корпоративной сети при подключении к сети Internet существует много технических решений, однако все они имеют свои недостатки. Некоторые ограничивают функциональность, другие требуют немалых затрат как рабочего времени, так и денежных средств, для приобретения специализированного аппаратного и программного обеспечения.
|
|
|
5) В целях эффективного обеспечения безопасности сети, подключенной к Интернет, как правило, формируется политика безопасности для сети Internet, которая содержит общие принципы, конкретные правила работы в Internet и технический подход по безопасности в Internet.
6) Поскольку глобальная сеть Internet при проектировании не задумывалась как защищенная, в текущих версиях TCP/IP она обладает следующими проблемами:
· возможность легкого перехвата данных и фальсификации адресов машин в сети, таким образом, сообщения электронной почты, пароли и файлы могут быть перехвачены;
· отсутствие политики безопасности, которую не соблюдают многие сайты, предоставляя возможность злоупотребления доступом к своей информации злоумышленникам из глобальной сети.
Под политикой компьютерной безопасности подразумевается документ, в котором описаны решения в отношении безопасности.
Обычно политика компьютерной безопасностидолжна включать в себя следующие части:
1. Предмет политики – определяет область политики безопасности с помощью ограничений и условий в понятных всем терминах.
2. Описание позиции организации – определяетрешение руководства по вопросу организации безопасности, например, разрешение или запрет на использование ресурсов Internet и при каких условиях.
3. Применимость – определяет где, как, когда, кем и к чему применяется данная политика безопасности.
4. Роли и обязанности – определяетответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики безопасности.
5. Соблюдение политики – определяет детальное описаниенарушений принятой политики безопасности и последствий таких нарушений.
6. Консультанты по вопросам безопасности и справочная информация – определяетответственных консультантов, которые могут дать рекомендации и разъяснения по вопросам политики безопасности.
|
|
|
7. Координация с другими проблемными политиками – определяетспособы, при помощи которых организация будет взаимодействовать с внешними источниками информации с учетом принятой политики безопасности.
Необходимо отметить, что во многом, эффективность политики безопасности зависит от усилий и квалификации персонала, реализующего данную политику, то есть от сетевого или системного администратора.
Для реализации принятой политики безопасности могут быть использованы следующие модели подключения к Internet:
· с физической изоляцией;
· с изоляцией протокола;
· с маршрутизаторами;
· со свойствами шлюза.
Наиболее безопасной и простой является первая модель с физической изоляцией, когда компьютер, с которого осуществляется доступ в Internet, физически отделен от локальной сети. При этом злоумышленник не может получить несанкционированный доступ к локальной сети, однако сам компьютер с доступом в Internet уязвим для несанкционированного использования.
При использовании модели с изоляцией протоколов, информацию на сервере Internet можно просматривать как с рабочих станций локальной сети, так и из Internet. Для обеспечения безопасности локальной сети на сервере устанавливается две сетевые карты: одна для соединения с локальной сетью (протокол SPX/IPX), другая - для связи с Internet (протокол TCP/IP). При этом, пользователи Internet не могут получить доступ к локальной сети, а пользователи ЛВС – прямой доступ в Internet. Можно сказать, что создается виртуальный барьер для передачи пакетов информации через сервер, который называется межсетевым экраном (firewall) или брандмауэром.Недостатком модели с изоляцией протоколов является отсутствие прямого доступа к сети Internet пользователей локальной сети, что определяет невозможность работы с ресурсами Internet, которые не установлены на сервере.
Модель подключения к сети Internet с маршрутизаторами применяется, если к Internet подключается крупномасштабная корпоративная сеть посредством протокола TCP/IP. В этом случае для передачи, используется выделенный канал, а на сервере необходимо установить программное обеспечение для маршрутизатора.
Модель подключения к сети Internet через шлюз организуется в аналогичном случае, при этом шлюз полностью перерабатывает передаваемые пакеты в сети, что мешает злоумышленникам получить доступ к сети.
|
|
|
|
Дата добавления: 2014-01-20; Просмотров: 932; Нарушение авторских прав?; Мы поможем в написании вашей работы!