Реферат: Защита информации в Интернете
помощью пароля многократного использования не может считаться надежной в сетевой
среде,независимо от длины пароля;
• новые (сетевые) сервисы и ассоциированные с ними угрозы.
Как правило, в Intranet-системах следует придерживаться принципа “все, что не
разрешено,запрещено”, поскольку “лишний” сетевой сервис может предоставить канал
проникновения в корпоративную систему. В принципе, ту же мысль выражаетположение
“все непонятное опасно”.
ПРОЦЕДУРНЫЕ МЕРЫ
В общем и целом Intranet-технология не предъявляет каких-либо специфических
требований к мерампроцедурного уровня. На наш взгляд, отдельного рассмотрения
заслуживают лишь два обстоятельства:
• описание должностей, связанных с определением, наполнением и поддержанием
корпоративнойгипертекстовой структуры официальных документов;
• поддержка жизненного цикла информации, наполняющей Intranet.
При описании должностей целесообразно исходить из аналогии между Intranet и
издательством. Виздательстве существует директор, определяющий общую
направленность деятельности. В Intranet ему соответствует Web-администратор,
решающий, какая корпоративнаяинформация должна присутствовать на Web-сервере и
как следует структурировать дерево (точнее, граф) HTML-документов.
В многопрофильных издательствах существуют редакции, занимающиеся
конкретныминаправлениями (математические книги, книги для детей и т.п.).
Аналогично, в Intranet целесообразновыделить должность публикатора, ведающего
появлением документов отдельных подразделений и определяющего перечень и
характер публикаций.
У каждой книги есть титульный редактор, отвечающий перед издательством за свою
работу. ВIntranet редакторы занимаются вставкой документов в корпоративное
дерево, их коррекцией и удалением. В больших организациях “слой”
публикатор/редактор можетсостоять из нескольких уровней.
Наконец, и в издательстве, и в Intranet должны быть авторы, создающие
документы. Подчеркнем,что они не должны иметь прав на модификацию корпоративного
дерева и отдельных документов. Их дело - передать свой труд редактору.
Кроме официальных, корпоративных, в Intranet могут присутствовать групповые и
личныедокументы, порядок работы с которыми (роли, права доступа) определяется,
соответственно, групповыми и личными интересами.
Переходя к вопросам поддержки жизненного цикла Intranet-информации, напомним
онеобходимости использования средств конфигурационного управления. Важное
достоинство Intranet-технологии состоит в том, что основные
операцииконфигурационного управления - внесение изменений (создание новой
версии) и извлечение старой версии документа - естественным образом вписываются
в рамкиWeb-интерфейса. Те, для кого это необходимо, могут работатьс деревом всех
версий всех документов, подмножеством которого является дерево самых
свежихверсий.
УПРАВЛЕНИЕ ДОСТУПОМ ПУТЕМ ФИЛЬТРАЦИИ ИНФОРМАЦИИ
Мы переходим к рассмотрению мер программно-технического уровня, направленных
на обеспечениеинформационной безопасности систем, построенных в технологии
Intranet. На первое место среди таких мер мы поставим межсетевые экраны -
средстворазграничения доступа, служащее для защиты от внешних угроз и от угроз
со стороны пользователей других сегментов корпоративных сетей.
Отметим, что бороться с угрозами, присущими сетевой среде, средствами
универсальныхоперационных систем не представляется возможным. Универсальная ОС
- это огромная программа, наверняка содержащая,помимо явных ошибок, некоторые
особенности, которые могут быть использованы для получения нелегальных
привилегий. Современная технология программирования непозволяет сделать столь
большие программы безопасными. Кроме того, администратор, имеющий дело со
сложной системой, далеко не всегда в состоянииучесть все последствия
производимых изменений (как и врач, не ведающий всех побочных воздействий
рекомендуемых лекарств). Наконец, в универсальноймногопользовательской системе
бреши в безопасности постоянно создаются самими пользователями (слабые и/или
редко изменяемые пароли, неудачно установленныеправа доступа, оставленный без
присмотра терминал и т.п.).
Как указывалось выше, единственный перспективный путь связан с разработкой
специализированныхзащитных средств, которые в силу своей простоты допускают
формальную или неформальную верификацию. Межсетевой экран как раз и является
таким средством,допускающим дальнейшую декомпозицию, связанную с обслуживанием
различных сетевых протоколов.
Межсетевой экран - это полупроницаемая мембрана, которая располагается между
защищаемой(внутренней) сетью и внешней средой (внешними сетями или другими
сегментами корпоративной сети) и контролирует все информационные потоки во
внутреннюю сетьи из нее (Рис. 2.3.1). Контроль информационных потоков состоит в
их фильтрации, то есть в выборочном пропускании через экран, возможно, с
выполнением некоторыхпреобразований и извещением отправителя о том, что его
данным в пропуске отказано. Фильтрация осуществляется на основе набора правил,
предварительнозагруженных в экран и являющихся выражением сетевых аспектов
политики безопасности организации.
Рисунок 2.3.1
Рисунок 2. 3.1 Межсетевой экран как средство контроля информационных потоков.
Целесообразно разделить случаи, когда экран устанавливается на границе с
внешней (обычнообщедоступной) сетью или на границе между сегментами одной
корпоративной сети. Соответственно, мы будет говорить о внешнем и внутреннем
межсетевых экранах.
Как правило, при общении с внешними сетями используется исключительно
семейство протоколовTCP/IP. Поэтому внешний межсетевой экран должен учитывать
специфику этих протоколов. Для внутренних экранов ситуация сложнее, здесь
следует принимать вовнимание помимо TCP/IP по крайней мере протоколы SPX/IPX,
применяемые в сетях Novell NetWare. Иными словами, от внутренних экранов нередко
требуетсямногопротокольность.
Ситуации, когда корпоративная сеть содержит лишь один внешний канал, является,
скорее, исключением, чем правилом. Напротив, типичнаситуация, при которой
корпоративная сеть состоит из нескольких территориально разнесенных сегментов,
каждый из которых подключен к сети общего пользования(Рис. 2.3.2). В этом случае
каждое подключение должно защищаться своим экраном. Точнее говоря, можно
считать, что корпоративный внешний межсетевой экранявляется составным, и
требуется решать задачу согласованного администрирования (управления и аудита)
всех компонентов.
Рисунок 2.3.2
Рисунок 2.3.2 Экранирование корпоративной сети, состоящей из нескольких
территориально разнесенных сегментов, каждый из которыхподключен к сети общего
пользования.
При рассмотрении любого вопроса, касающегося сетевых технологий, основой
служитсемиуровневая эталонная модель ISO/OSI. Межсетевые экраны также
целесообразно классифицировать по тому, на каком уровне производится фильтрация
- канальном,сетевом, транспортном или прикладном. Соответственно, можно
говорить об экранирующих концентраторах(уровень 2), маршрутизаторах (уровень 3),
о транспортном экранировании (уровень 4) и о прикладных экранах (уровень 7).
Существуют также комплексные экраны,анализирующие информацию на нескольких
уровнях.
В данной работе мы не будем рассматривать экранирующие концентраторы,
поскольку концептуальноони мало отличаются от экранирующих маршрутизаторов.
При принятии решения “пропустить/не пропустить”, межсетевые экраны могут
использовать нетолько информацию, содержащуюся в фильтруемых потоках, но и
данные, полученные из окружения, например текущее время.
Таким образом, возможности межсетевого экрана непосредственно определяются
тем, какаяинформация может использоваться в правилах фильтрации и какова может
быть мощность наборов правил. Вообще говоря, чем выше уровень в модели ISO/OSI,
накотором функционирует экран, тем более содержательная информация ему доступна
и, следовательно, тем тоньше и надежнее экран может быть сконфигурирован. В тоже
время фильтрация на каждом из перечисленных выше уровней обладает своими
достоинствами, такими как дешевизна, высокая эффективность или прозрачность
дляпользователей. В силу этой, а также некоторых других причин, в большинстве
случаев используются смешанные конфигурации, в которых объединены
разнотипныеэкраны. Наиболее типичным является сочетание экранирующих
маршрутизаторов и прикладного экрана (Рис. 2.3.3).
Приведенная конфигурация называется экранирующей подсетью. Как правило,
сервисы, которыеорганизация предоставляет для внешнего применения (например
“представительский” Web-сервер), целесообразно выносить как раз в экранирующую
подсеть.
Помимо выразительных возможностей и допустимого количества правил качество
межсетевогоэкрана определяется еще двумя очень важными характеристиками -
простотой применения и собственной защищенностью. В плане простоты
использованияпервостепенное значение имеют наглядный интерфейс при задании
правил фильтрации и возможность централизованного администрирования составных
конфигураций. Всвою очередь, в последнем аспекте хотелось бы выделить средства
централизованной загрузки правил фильтрации и проверки набора правил
нанепротиворечивость. Важен и централизованный сбор и анализ регистрационной
информации, а также получение сигналов о попытках выполнения
действий,запрещенных политикой безопасности.
Собственная защищенность межсетевого экрана обеспечивается теми же средствами,
что изащищенность универсальных систем. При выполнении централизованного
администрирования следует еще позаботиться о защите информации от пассивного
иактивного прослушивания сети, то есть обеспечить ее (информации) целостность и
конфиденциальность.
Рисунок 2.3.3
Рисунок 2.3.3 Сочетание экранирующих маршрутизаторов и прикладного экрана.
Хотелось бы подчеркнуть, что природа экранирования (фильтрации), как
механизмабезопасности, очень глубока. Помимо блокирования потоков данных,
нарушающих политику безопасности, межсетевой экран может скрывать информацию о
защищаемойсети, тем самым затрудняя действия потенциальных злоумышленников. Так,
прикладной экран может осуществлять действия от имени субъектов внутреннейсети,
в результате чего из внешней сети кажется, что имеет место взаимодействие
исключительно с межсетевым экраном (Рис. 2.3.4). При таком подходе
топологиявнутренней сети скрыта от внешних пользователей, поэтому задача
злоумышленника существенно усложняется.
Рисунок 2.3.4
Рисунок 2.3.4 Истинные и кажущиеся информационные потоки.
Более общим методом сокрытия информации о топологии защищаемой сети является
трансляция“внутренних” сетевых адресов, которая попутно решает проблему
расширения адресного пространства, выделенного организации.
Ограничивающий интерфейс также можно рассматривать как разновидность
экранирования. На невидимый объект трудно нападать, особенно спомощью
фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной
защитой, особенно в том случае, когда гипертекстовые документыформируются
динамически. Каждый видит лишь то, что ему положено.
Экранирующая роль Web-сервиса наглядно проявляется и тогда, когда этот сервис
осуществляет посреднические (точнее, интегрирующие)функции при доступе к другим
ресурсам, в частности таблицам базы данных. Здесь не только контролируются
потоки запросов, но и скрывается реальная организациябаз данных.
БЕЗОПАСНОСТЬ ПРОГРАММНОЙ СРЕДЫ
Идея сетей с так называемыми активными агентами, когда между компьютерами
передаются нетолько пассивные, но и активные исполняемые данные (то есть
программы), разумеется, не нова. Первоначально цель состояла в том, чтобы
уменьшить сетевойтрафик, выполняя основную часть обработки там, где
располагаются данные (приближение программ к данным). На практике это означало
перемещение программна серверы. Классический пример реализации подобного подхода
- это хранимые процедуры в реляционных СУБД.
Для Web-серверов аналогом хранимых процедур являются программы, обслуживающие
общий шлюзовый интерфейс (Common Gateway Interface -CGI).
CGI-процедуры располагаются на серверах и обычно используются для
динамического порожденияHTML-документов. Политика безопасности организации и
процедурные меры должны определять, кто имеет право помещать на сервер
CGI-процедуры. Жесткий контрольздесь необходим, поскольку выполнение сервером
некорректной программы может привести к сколь угодно тяжелым последствиям.
Разумная мера техническогохарактера состоит в минимизации привилегий
пользователя, от имени которого выполняется Web-сервер.
В технологии Intranet, если заботиться о качестве и выразительной силе
пользовательскогоинтерфейса, возникает нужда в перемещении программ с
Web-серверов на клиентские компьютеры - для создания анимации, выполнения
семантического контроля привводе данных и т.д. Вообще, активные агенты -
неотъемлемая часть технологии Intranet.
В каком бы направлении ни перемещались программы по сети, эти действия
представляютповышенную опасность, т.к. программа, полученная из ненадежного
источника, может содержать непреднамеренно внесенные ошибки или целенаправленно
созданныйзловредный код. Такая программа потенциально угрожает всем основным
аспектам информационной безопасности:
• доступности (программа может поглотить все наличные ресурсы);
• целостности (программа может удалить или повредить данные);
• конфиденциальности (программа может прочитать данные и передать их по сети).
Проблему ненадежных программ осознавали давно, но, пожалуй, только в рамках
системыпрограммирования Java впервые предложена целостная концепция ее решения.
Java предлагает три оборонительных рубежа:
• надежность языка;
• контроль при получении программ;
• контроль при выполнении программ.
Впрочем, существует еще одно, очень важное средство обеспечения
информационнойбезопасности - беспрецедентная открытость Java-системы. Исходные
тексты Java-компилятора иинтерпретатора доступны для проверки, поэтому велика
вероятность, что ошибки и недочеты первыми будут обнаруживать честные
специалисты, а не злоумышленники.
В концептуальном плане наибольшие трудности представляет контролируемое
выполнение программ, загруженных по сети. Преждевсего, необходимо определить,
какие действия считаются для таких программ допустимыми. Если исходить из того,
что Java - это язык для написанияклиентских частей приложений, одним из основных
требований к которым является мобильность, загруженная программа может
обслуживать только пользовательскийинтерфейс и осуществлять сетевое
взаимодействие с сервером. Программа не может работать с файлами хотя бы потому,
что на Java-терминале их, возможно, не будет. Более содержательные действия
должныпроизводиться на серверной стороне или осуществляться программами,
локальными для клиентской системы.
Интересный подход предлагают специалисты компании Sun Microsystems для
обеспечениябезопасного выполнения командных файлов. Речь идет о среде Safe-Tcl
(Tool Comman Language, инструментальный командный язык). Sun предложила
такназываемую ячеечную модель интерпретации командных файлов. Существует
главный интерпретатор, которомудоступны все возможности языка.
Если в процессе работы приложения необходимо выполнить сомнительный командный
файл, порождается подчиненный командный интерпретатор,обладающий ограниченной
функциональностью (например, из него могут быть удалены средства работы с
