Защита информации в сети Интернет

Несмотря на предпринимаемые меры, проблема несанкционированного доступа к русурсам Интернет до конца не решена, хотя и сформулирован ряд положений по обеспечению безопасности обработки информации.

Авторизация доступа к Интернет предназначена прежде всего для учета использования ее ресурсов и оплаты услуг. Поэтому, как правило, авторизация доступа осуществляется провайдерами и предназначена исключительно для коммерческого использования. Различные провайдеры предоставляют своим клиентам различную степень свободы. Так, например, при выделенном TCP/IP подключении пользователь оказывается привязанным к конкретному географическому адресу.

При подключении по коммутируемым каналам связи выход в сети может быть осуществлен с любого телефонного аппарата. Кроме этого конкуренция провайдеров на рынке привела к новому виду предоставления услуг - гостевому, позволяющему работать в сети без регистрации и оплаты. В этом случае сетевой адрес назначается провайдером динамически и проконтролировать такого пользователя, если он занимается хакерской деятельностью, является достаточно сложной задачей. Единственной возможностью является анализ регулярных попыток пользователя получить доступ к ресурсам, которые не пользуются популярностью у других абонентов.

Основным средством защиты сети Интернет от несанктионированного доступа в настоящее время является файрволл. Как отмечалось в предыдущих лекциях, файрволлы контролируют информационные потоки между локальными сетями, причем уровень контроля определяется в первую очередь сферой интересов компании, структурой локальной сети и целями, ради которых локальная сеть подключается к Интернет.

Система файрволл обеспечивает защиту программного обеспечения сервера и пользователей от доступа без соответствующей авторизации, но в то же время не препятствует нормальной работе штатных протоколов (электронная почта, ftp, WWW и др.).

Во многих организациях файрволл используется для хранения данных с открытым доступом, например, информация о продуктах и услугах, сообщения об ошибках и т.д. Дополнительный контур защиты, организованный с помощью файрволла, реализуется за счет объединения точек контроля доступа и обеспечения безопасности в одном и том же месте, как аппаратно, так и программно.

Отметим, что системы класса файрволл не в состоянии обеспечить защиту от вирусов и червей, они также беззащитны перед атакой, когда в поражаемую систему под видом сетевой почты копируется какая- либо программа, которая после открытия почтового ящика запускается на выполнение.

Существует метод защиты локальной сети, который используется для защиты сетей крупных банков в США при их подключении к Интернет, когда блокируются все внешние потоки информации и в локальную сеть поступают лишь копии разрешенных сообщений.

В этом случае между локальной сетью и сетью Интернет нет точек непосредственного соприкосновения, а весь поток информации обрабатывается proxi- сервером. В случае, если с любого компьютера локальной сети поступает запрос к ресурсам Интернет, то proxi - сервер проверяет у пользователя права доступа к Интернет. В ходе сеанса связи система безопасности регистрирует всех пользователей внешней связью, имена пересылаемых файлов, все сообщения копируются. Предусмотрено сохранение более подробной информации.

Как правило, для ограничения доступа внешних пользователей к локальной сети составляются таблицы контроля доступа, так называемый access control lists, которые используются маршрутизаторами при получении пакетов. Отметим, что создавать такие таблицы довольно сложно, а их просмотр снижает производительность сети.

По оценке специалистов системы безопасности, установленные на маршрутизаторах, менее надежны, чем основанные на применении файрволлов и proxi- серверов. С другой стороны, сами файрволлы и proxi- сервера могут быть атакованы взломщиками. Поэтому оптимальным является комбинированный подход: маршрутизатор отвергает нежелательные запросы доступа и передает все остальные запросы файрволлу и далее proxi - серверу.

В перспективе файрволлы должны уступить место встроенным системам безопасности, протоколы Интернет должны предусмотреть процедуры, обеспечивающие проверку прав пользователей, целостности сообщений, а также шифрование информации. В настоящее время комитет по стандартам Интернет работают над такими протоколами, но совершенно не ясно, когда закончится эта работа. Кроме этого ведутся работы по новому программному обеспечению маршрутизаторов, где будет использоваться метод обмена ключами.

В целом можно констатировать, что в ближайшем будущем ожидается интенсивное развитие новых направлений в методах и технологиях защиты информации в сети Интернет, в основе которых лежит принцип не разрозненных решений, а концепция интегральной безопасности.