Защита процессов переработки информации в Интернете и Интранете.

Интернет — чисто корпоративная сеть, однако в настоящее время с помощью единого стека протоколов TCP/IP и единого адресного пространства она объединяет не только корпоративные и ведомственные сети (образовательные, государственные, коммерческие, военные и т.д.), являющиеся по определению сетями с ограниченным доступом, но и рядовых пользователей, которые имеют возможность получить прямой доступ в Интернет со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования.

Чем проще доступ в сеть, тем хуже ее информационная безопасность.

Одним из наиболее распространенных механизмов защиты от интернетовских бандитов (хакеров) является применениемежсетевых экранов — брэндмауэров (firewalls).

Межсетевое экранирование в Интернет двух информационных систем или двух множеств информационных систем осуществля­ют путем постановки экрана между ними. Экран выполняет свои функции, контролируя все информа­ционные потоки между этими двумя множествами информаци­онных систем, работая как некоторая информационная мембрана.

При рассмотрении проблемы безопасного подключения к Интернету и разграничения доступа внутри корпоративной сети организации необходимо соблюсти следующие условия.

1.  Обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.

2. Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного воплощения в жизнь политики безопасности организации, для обеспечения простой реконфигурации системы при изменении структуры сети.

3.  Экранирующая система должна работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.

4.  Экранирующая система должна работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в пиковых режимах.

5.  Система обеспечения безопасности должна быть надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.

6.  В идеале, если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой стратегии безопасности.

7.  Система Firewall должна иметь средства авторизации доступа пользователей через внешние подключения.

Если первоначальная конфигурация сети меняется, а вместе с ней меняется и стратегия безопасности, и если организация решила установить у себя несколько общедоступных серверов для предоставления информационных услуг, например серверы World Wide Web, FTP или другие информационные серверы, то их часто выделяют в свою собственную подсеть, имеющую выход в Интернет через шлюз.

Информационная безопасность в Интранете. Архитектура Интранет подразумевает подключение к внешним открытым сетям, использование внешних сервисов и предоставление собственных сервисов вовне, что предъявляет повышенные требования к защите процессов переработки информации.

В Интранет-системах используется подход клиент-сервер, а главная роль на сегодняшний день отводится Web-серверу. Web-серверы должны поддерживать традиционные защитные средства, такие как аутентификация и разграничение доступа. Необходимо обеспечение новых свойств безопасности программной среды на серверной и на клиентской сторонах.

Меры по обеспечению ИБ в Интранете можно подразделить на четыре уровня:

• законодательный (законы, нормативные акты, стандарты и т.д.);

• административный (действия общего характера, предпринимаемые руководством организации);

• процедурный (конкретные меры безопасности);

• программно-технический (конкретные технические меры).

При разработке и проведении стратегии безопасности в жизнь целесообразно руководствоваться:

• Принцип разделения обязанностей предполагает такое распре­деление ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс.

• усиление самого слабого звена;

• Принципа эшелонированности обороны предписы­вает не полагаться только на одну защитную преграду.

• Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, кото­рые необходимы им для выполнения служебных обязанностей.

• Принцип невозможкости перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ.

• Принцип разнообразия защитных средств рекомендует органи­зовывать различные по своему характеру оборонительные рубе­жи, чтобы от потенциального злоумышленника требовалось овла­дение разнообразными и, по возможности, несовместимыми между собой навыками.

• простота и управляемость информационной системы.

• обеспечение всеобщей поддержки мер безопасности.

На первое место среди мер  программно-технического уровня обеспечения ИБ Интранета также можно поставить межсетевые экраны.

Для обеспечения безопасного выполнения командных файлов предлагается использование ячеечной модели интерпретации командных файлов. При  необходимости выполнить сомнительный командный файл порождается подчиненный командный интерпретатор, обладающий ограниченной функцио­нальностью (например, из него могут быть удалены средства ра­боты с файлами и сетевые возможности). В результате потенци­ально опасные программы оказываются заключенными в ячейки, защищающие пользовательские системы от враждебных действий.

Друзья! Приглашаем вас к обсуждению. Если у вас есть своё мнение, напишите нам в комментарии.