Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации icon

Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации




Скачати 484.37 Kb.
НазваГосударственный университет информационно-коммуникационных технологий кафедра систем защиты информации
Сторінка1/4
Дата конвертації24.11.2012
Розмір484.37 Kb.
ТипЛекция
  1   2   3   4
1. /ПО СЗИ/Учбов_ матер_али/Модуль 1/ЛЗ1-Механизмы обеспечения информационной безопасности операционной системы и Microsoft Office_1.doc
2. /ПО СЗИ/Учбов_ матер_али/Модуль 1/ЛЗ2-Прикладные программы шифрования данных.doc
3. /ПО СЗИ/Учбов_ матер_али/Модуль 1/Лекция 01-Основные понятия программного обеспечения систем защиты информации.doc
4. /ПО СЗИ/Учбов_ матер_али/Модуль 1/Лекция 02-Защита операционных систем.doc
5. /ПО СЗИ/Учбов_ матер_али/Модуль 1/Лекция 03-Программные средства шифрования.doc
6. /ПО СЗИ/Учбов_ матер_али/Модуль 1/Лекция 04-Программные средства обеспечения безопасности передачи данных в компьютерных сетях.doc
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации
Программа для защиты информации криптографическими методами. В настоящее время в неё входят средства шифрования и цифрового подписания данных, управления асимметричными ключами, уничтожения файлов и работы с защищёнными логическими дисками
Литература по дисциплине > Методические указания по изучению дисциплины
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации



ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ


Кафедра систем защиты информации


Н.Н. Блавацкая


ПРОГРАММНЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРЕДАЧИ ДАННЫХ В КОМПЬЮТЕРНЫХ СЕТЯХ


(Лекция № 4 для студентов )


(Время - 2 часа)


Форма обучения: дневная


Лекция рассмотрена и одобрена

на заседании кафедры систем защиты информации.

Протокол № ___ от «___» ___________ 2009 года


Киев – 2009


Тема лекции:

«Программные средства обеспечения безопасности передачи данных в компьютерных сетях»


ПЛАН

Введение

  1. Особенности функционирования меж сетевых экранов

  2. Основные компоненты межсетевых экранов

  3. Основные схемы сетевой защиты на базе межсетевых экранов

  4. Типовые решения по применению межсетевых экранов для защиты информационных ресурсов



ЛИТЕРАТУРА

  1. Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах.- М.: ДМК Пресс, 2002. – 656 с.

  2. Биячуев Т.А. / под ред. Л.Г.Осовецкого Безопасность корпоративных сетей. – СПб: СПб ГУ ИТМО, 2004.- 161 с.



Введение


Интенсивное развитие глобальных компьютерных сетей, появление новых технологий поиска информации привлекают все больше внимания к сети Internet со стороны частных лиц и различных организаций. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть. Использование глобальных сетей в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты данных.

Использование Internet имеет и негативные стороны. Развитие глобальных сетей привело к многократному увеличению количества не только пользователей, но и атак на компьютеры, подключенные к сети Internet. Ежегодные потери, обусловленные недостаточным уровнем защищенности компьютеров, оцениваются десятками миллионов долларов. При подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении информационной безопасности в этой сети.

Глобальная сеть Internet создавалась как открытая система, предназначенная для свободного обмена информацией. В силу открытости своей идеологии Internet предоставляет злоумышленникам значительно больше возможности по сравнению с традиционными информационными системами. Через Internet нарушитель может:

  • вторгнуться во внутреннюю сеть предприятия и получить несанкционированный доступ к конфиденциальной информации;

  • незаконно скопировать важную и ценную для предприятия информацию;

  • получить пароли, адреса серверов, а подчас и их содержимое;

  • входить в информационную систему предприятия под именем зарегистрированного пользователя и т.д.

С помощью полученной злоумышленником информации может быть серьезно подорвана конкурентоспособность предприятия и доверие его клиентов.

Ряд задач по отражению наиболее вероятных угроз для внутренних сетей способны решать межсетевые экраны. В литературе до последнего времени использовались вместо этого названия другие термины иностранного происхождения: брандмауэр и firewall. Вне компьютерной сферы брандмауэром (или firewall) называют стену, сделанную из негорючих материалов и препятствующую распространению пожара. В сфере компьютерных сетей межсетевой экран представляет собой барьер, защищающий от «фигурального пожара» - попыток злоумышленников вторгнуться во внутреннюю сеть для того, чтобы скопировать, изменить или удалить информацию либо воспользоваться памятью или вычислительной мощностью работающих в этой сети компьютеров. Межсетевой экран призван обеспечить безопасный доступ к внешней сети и ограничить доступ внешних пользователей к внутренней.

1. ОСОБЕННОСТИ ФУНКЦИОНИРОВАНИЯ МЕЖСЕТЕВЫХ ЭКРАНОВ


Межсетевой экран - это система межсетевой защиты, позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую (рис. 1). Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet, хотя ее можно провести и внутри корпоративной сети предприятия. МЭ пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение - пропускать его или отбросить. Для того чтобы МЭ мог осуществить это, ему необходимо определить набор правил фильтрации.


Межсетевой экран является одним из основных компонентов виртуальной частной сети. Несмотря на то что система IPSec поддерживает множество интегрированных возможностей аутентификации, межсетевой экран остается важным средством защиты корпоративной сети от несанкционированного доступа. Обычно межсетевые экраны защищают внутреннюю сеть предприятия от вторжений из глобальной сети Internet, однако могут использоваться и для защиты от нападений из корпоративной интрасети, к которой подключена локальная сеть предприятия. Ни один межсетевой экран не может гарантировать полной защиты внутренней сети при всех возможных обстоятельствах. Однако для большинства коммерческих организаций установка межсетевого экрана - необходимое условие обеспечения безопасности внутренней сети. Главный довод в пользу применения межсетевого экрана состоит в том, что без него системы внутренней сети подвергаются опасности со стороны слабо защищенных служб сети Internet, а также зондированию и атакам с каких-либо других хостов внешней сети.

Проблемы недостаточной информационной безопасности являются «врожденными» практически для всех протоколов и служб Internet. Большая часть этих проблем связана с исторической зависимостью Internet от операционной системы UNIX. Поэтому особенности методологии программирования в среде UNIX и ее архитектуры наложили отпечаток на реализацию протоколов обмена и политики безопасности в сети. Из-за открытости и распространенности система UNIX стала любимой добычей хакеров. Поэтому набор протоколов TCP/IP, который обеспечивает коммуникации в глобальной сети Internet и в получающих все большую популярность интрасетях, имеет недостатки защиты. То же самое можно сказать и о ряде служб Internet.

Набор протоколов управления передачей сообщений в Internet (Transmission Control Protocol/Internet Protocol - TCP/IP) используется для организации коммуникаций в неоднородной сетевой среде, обеспечивая совместимость между компьютерами разных типов. Совместимость - одно из основных преимуществ TCP/ IP, поэтому большинство локальных компьютерных сетей поддерживает эти протоколы. Кроме того, протоколы TCP/IP предоставляют доступ к ресурсам глобальной сети Internet. Поскольку TCP/IP поддерживает маршрутизацию пакетов, он обычно используется в качестве межсетевого протокола. Благодаря своей популярности TCP/IP стал стандартом де-факто для межсетевого взаимодействия.

В заголовках пакетов TCP/IP указывается информация, которая может подвергнуться нападениям хакеров. В частности, хакер может подменить адрес отправителя в своих «вредоносных» пакетах, после чего они будут выглядеть как пакеты, передаваемые авторизированным клиентом.

Ряд распространенных служб Internet обладает «врожденными слабостями». К числу таких служб Internet относятся:

  • программа электронной почты Sendmail;

  • служба сетевых имен DNS;

  • служба эмуляции удаленного терминала Telnet;

  • Всемирная паутина WWW;

  • простой протокол передачи электронной почты SMTP;

  • протокол передачи файлов FTP;

  • графическая оконная система X Windows и др.

Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран представляет собой набор компонентов, настраиваемых таким образом, чтобы реализовать выбранную политику безопасности. В частности, необходимо решить, будет ли ограничен доступ пользователей к определенным службам Internet на базе протоколов TCP/IP, и если будет, то до какой степени.

Политика сетевой безопасности каждой организации должна включать две составляющие:

  • политику доступа к сетевым сервисам;

  • политику реализации межсетевых экранов.

Политика доступа к сетевым сервисам должна быть уточнением общей политики организации в отношении защиты информационных ресурсов в организации. Для того чтобы межсетевой экран успешно защищал ресурсы организации, политика доступа пользователей к сетевым сервисам должна быть реалистичной. Таковой считается политика, при которой найден гармоничный баланс между защитой сети организации от известных рисков и необходимым доступом пользователей к сетевым сервисам. В соответствии с принятой политикой доступа к сетевым сервисам определяется список сервисов Internet, к которым пользователи должны иметь ограниченный доступ. Задаются также ограничения на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol) и РРР. Ограничение методов доступа необходимо для того, чтобы пользователи не могли обращаться к «запрещенным» сервисам Internet обходными путями. Например, если для ограничения доступа в Internet сетевой администратор устанавливает специальный шлюз, который не дает возможности пользователям работать в системе WWW, им не удастся установить РРР-соединение с Web-серверами по коммутируемой линии.

Межсетевой экран может реализовывать ряд политик доступа к сервисам. Однако обычно политика доступа к сетевым сервисам основана на одном из следующих принципов:

  • запретить доступ из Internet во внутреннюю сеть и разрешить доступ из внутренней сети в Internet;

  • разрешить ограниченный доступ во внутреннюю сеть из Internet, обеспечивая работу только отдельных «авторизированных» систем, например информационных и почтовых серверов.

В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Прежде всего необходимо установить, насколько «доверительной» или «подозрительной» должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:

  • запрещать все, что не разрешено в явной форме;

  • разрешать все, что не запрещено в явной форме.

Межсетевой экран, который реализует первый принцип, по умолчанию запрещает все сервисы, кроме тех, которые указаны в списке разрешенных. Этот принцип соответствует классической модели доступа, используемой во всех областях информационной безопасности. Реализация межсетевого экрана на основе данного принципа обеспечивает значительную защищенность. Однако правила доступа, сформулированные в соответствии с ним, могут доставлять большие неудобства пользователям; кроме того, их реализация обходится достаточно дорого.

Межсетевой экран, который реализует второй принцип, пропускает все сервисы в сеть по умолчанию, если только какой-либо сервис не был явно указан в политике управления доступом как запрещенный. Реализация второго принципа менее желательна, так как она предоставляет пользователям больше способов обойти межсетевой экран, например пользователи могут получить доступ к новым сервисам, не запрещаемым политикой (или даже не указанным в политике), или запустить запрещенные сервисы на нестандартных портах TCP/UDP, которые не запрещены политикой. При реализации второго принципа внутренняя сеть оказывается менее защищенной от нападений хакеров, хотя пользоваться ей будет удобнее и потребуется меньше затрат.

Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рациональности выбора и использования основных компонентов межсетевого экрана.

Функциональные требования к МЭ охватывают следующие сферы:

  • фильтрацию на сетевом уровне;

  • фильтрацию на прикладном уровне;

  • настройку правил фильтрации и администрирование;

  • средства сетевой аутентификации;

  • внедрение журналов и учет.
  1   2   3   4



Схожі:

Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconГосударственный университет информационно-коммуникационных технологий кафедра систем защиты информации
Методы противодействия динамическим способам снятия защиты программ от копирования
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconИнформационное сообщение Уважаемые коллеги ! Кафедра экономики промышленности и организации производства гвуз «Украинский государственный химико-технологический университет»
Кафедра экономики промышленности и организации производства гвуз «Украинский государственный химико-технологический университет»...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconМеждународной заочной научно-практической конференции (с публикацией в сборнике научных трудов) «Современные тенденции в науке»
...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconРусское географическое общество Администрация Тамбовской области Московский государственный университет имени М. В. Ломоносова Тамбовский государственный университет имени Г. Р. Державина информационное письмо №1
Международная научная школа-конференция, посвященная 150-летию со дня рождения академика В. И. Вернадского
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconТема самообразования Применение информационно-коммуникационных технологий (икт) в образовательном процессе для развития творческой инициативы, мотивации учащихся с целью повышения качества обучения
Математика для большинства представляется «обособленным предметом, а умения, развиваемые посредством математики, минимально используются...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconИнформационный менеджмент в деятельности Научно-технических библиотек и служб информации предприятий
Диссертация выполнена на кафедре информационного менеджмента фгоу впо «Санкт-Петербургский государственный университет культуры и...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconОбщие методические подходы к использованию информационных и коммуникационных технологий информатизация общества
Общие методические подходы к использованию информационных и коммуникационных технологий
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconФгбоу впо «вятский государственный гуманитарный университет» ул. Красноармейская, д. 26, г. Киров (обл.), 610002 Телефон: (8332) 67-89-75 Факс: (8332) 37-51-69 фгбоу впо «Вятский государственный гуманитарный университет»
Приглашаем вас принять участие в региональной научно-практической конференции «Инновационный потенциал молодежного самоуправления:...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconТамбовский государственный университет имени Г. Р. Державина Кафедра политической экономии и мирового глобального хозяйства
Конференция проводится в целях развития научного потенциала и интеграции экономической науки с исследованием и разрешением проблем...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconКомпьютерные технологии в обучении русскому языку
Общие сведения об информационных технологиях обучения. Характеристика информационных технологий обучения. Необходимость использования...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconТульский государственный университет
Каждому участнику будет выслан в электронном виде сборник по итогам конференции с присвоением isbn
Додайте кнопку на своєму сайті:
Документи


База даних захищена авторським правом ©te.zavantag.com 2000-2017
При копіюванні матеріалу обов'язкове зазначення активного посилання відкритою для індексації.
звернутися до адміністрації
Документи