Информационная безопасность

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФГБОУ ВПО "Уральский государственный экономический университет"

Центр дистанционного образования

Контрольная работа

по дисциплине: "Информационная безопасность"

Первоуральск

2015г

Содержание

защита информация шлюз программный

• Введение
• 1. Как Вы думаете, почему выгоднее выделять отдельные сети и обеспечивать защиту информации только на их периметре
• 2. Что такое межсетевой шлюз
• 3. Почему подмена адреса отправителя сообщения может нарушить целостность и доступность информации, но не нарушает ее конфиденциальность
• 4. Дополните список возможных угроз, связанных с неверной настройкой сетевого программного обеспечения, исходя из Вашего опыта
• Заключение
• Список литературы
• Введение
• На современном этапе развития информационных технологий при построении корпоративных сетей фундаментальным является решение задач обеспечения безопасности информации. Связано это с тем, что в информационных системах предприятий и организаций хранится и обрабатывается критически важная информация, нарушение конфиденциальности, целостности или доступности которой может привести к нежелательным последствиям. Поэтому вопросам обеспечения информационной безопасности должно уделяться внимание на всех этапах разработки и эксплуатации информационных систем.
• При создании системы защиты информации в первую очередь необходимо учитывать те факторы, которые могут повлечь за собой потерю информации. К ним относятся и модели угроз, представляющих собой входную информацию для проектирования системы защиты, механизмы мониторинга корректности доступа к информации, аутентификация пользователя и т.п.
• Таким образом, разработка и исследование технологий защиты сети (сетевого периметра) является актуальной задачей, имеющей как теоретическую, так и практическую ценность.
• Целью настоящей работы является изучение основных понятий и общих принципов реализации политики безопасности информационной системы.
• Для достижения поставленной цели попытаемся дать ответы на следующие вопросы: 1) вопросы целесообразности выделять отдельные сети и обеспечивать защиту информации только на их периметре; 2) понятие и функции межсетевого шлюза; 3) угрозы безопасности информации из-за подмены адреса отправителя сообщения;4) возможные угрозы, связанные с неверной настройкой сетевого программного обеспечения.
• 1. Как Вы думаете, почему выгоднее выделять отдельные сети и обеспечивать защиту информации только на их периметре
• Компьютерная сеть - это система распределенной обработки информации, состоящая как минимум из двух компьютеров, взаимодействующих между собой с помощью средств связи.
• Средства связи должны обеспечивать надежную передачу информации между компьютерами сети. Компьютеры, входящие в состав сети, выполняют достаточно широкий круг функций, основными из которых являются:
• - организация доступа к сети;
• - управления передачей информации;
• - предоставление вычислительных ресурсов и услуг абонентам сети.
• Компьютерные сети по их радиусу действия и сложности, делятся на три группы: локальные сети, региональные сети и глобальные сети.
• Кроме рассмотренной классификации сетей, существует еще один тип - корпоративная сеть. Подобные сети объединяют разных пользователей в пределах одной или нескольких организаций и предоставляют им множество ресурсов. Несмотря на то, что большую локальную сеть можно рассматривать как корпоративную, все-таки корпоративная сеть обычно состоит из нескольких локальных сетей, образующих региональную или глобальную сеть.
• Большинство крупных сетей разрабатывается на основе структуры с общей магистралью, к которой через мосты и маршрутизаторы присоединяются отдельные сети (подсети). Эти подсети обслуживают различные отделы. Подсети могут делиться и далее на сегменты, предназначенные для обслуживания рабочих групп.
• В общем случае распределение сети на отдельные сети (логические сегменты) повышает производительность сети (за счет разгрузки сегментов), а также гибкость построения сети, увеличивая степень защиты данных, и облегчает управление сетью.
• Сегментация увеличивает гибкость сети. При построении сети как совокупности подсетей каждая подсеть может быть адаптирована к специфическим потребностям рабочей группы или отдела. Например, в одной подсети может использоваться технология Ethernet и ОС NetWare, а в другой - Token Ring и OS-400, в соответствии с традициями того или иного отдела или потребностей имеющихся приложений. Вместе с тем, у пользователей обеих подсетей есть возможность обмениваться данными через межсетевые устройства, такие как мосты, коммутаторы, маршрутизаторы.
• Процесс разбивки сети на отдельные сети можно рассматривать и в обратном направлении, как процесс создание крупной сети из модулей - уже имеющихся подсетей.
• Подсети повышают безопасность данных. При подключении пользователей к различным физическим сегментам сети можно запретить доступ определенных пользователей к ресурсам других сегментов. Устанавливая различные логические фильтры на мостах, коммутаторах и маршрутизаторах, можно контролировать доступ к ресурсам.
• Подсети упрощают управление сетью. Побочным эффектом уменьшения трафика и повышения безопасности данных является упрощение управления сетью. Проблемы очень часто локализуются внутри сегмента. Как и в случае структурированной кабельной системы, проблемы одной подсети не влияют на другие подсети.
• Организация многоуровневой защиты связана с определением периметра сети, внутренней сети и политики безопасности системы - фактора персонала.
• Периметр - это усиленная граница сети, которая в своем составе может содержать: маршрутизаторы (routers); брандмауэры (firewalls); систему обнаружения вторжений (СОВ, IDS); устройства виртуальной частной сети (УВЧС, VPN); программное обеспечение сети; демилитаризованную зону (ДМЗ, DMZ) и экранированные подсети.
• Маршрутизаторы осуществляют управление входным, выходным и внутрисетевым трафиком. Пограничный маршрутизатор является последним перед выходом в незащищенную сеть и выполняет роль первого и последнего рубежа защиты сети.
• Брандмауэр или межсетевой экран анализирует объем информации, передаваемой в единицу времени, используя набор правил, которые позволяют определить возможность или невозможность передачи трафика сети. Область действия брандмауэра начинается в точке окончания области действия пограничного маршрутизатора.
• Система обнаружения вторжений (СОВ) позволяет выявить и сообщить о вторжении в сеть, а также о потенциально опасных событиях. В случае выявления критических событий детекторы СОВ сообщают администратору и / или осуществляют запись в журнал событий.
• Демилитаризованная зона - это подсеть, содержащая ресурсы общего пользования и подключается к брандмауэру или иному фильтрующему устройству, который защищает ее от внешних вторжений. Экранированная подсеть является областью, размещаемой вне брандмауэра. Цель использования экранированной подсети - изоляция серверов, к которым необходимо обеспечить доступ с незащищенной сети и используемых пользователями внутренней защищенной подсети.
• Внутренняя сеть - это сеть, защищенная по периметру. Она состоит из всех серверов, рабочих станций и информационной инфраструктуры. Для обеспечения защиты внутренней сети используются следующие устройства "периметра": маршрутизаторы - для фильтрования входящего и исходящего трафика подсети; внутренние брандмауэры - для распределения ресурсов; прокси-брандмауэры - для повышения безопасности; детекторы СОВ - для мониторинга трафика внутренней сети. Во внутренней сети также используются: персональные брандмауэры - для усиления защиты какой- либо сетевой компьютерной единицы; антивирусное программное обеспечение; усиление защиты операционной системы; управление конфигурацией системы; аудит.
• Защита периметра сети является обязательным элементом системы информационной безопасности организации. Минимизация внешних угроз достигается путем внедрения многоуровневой системы защиты информации, и в первую очередь на внешней границе сети.
• Защита периметра отдельных сетей позволяет добиться:
• - защищенности доступа внутренних пользователей во внешние сети;
• - предоставление доступа из внешних сетей к публичным ресурсам;
• - защиту от сетевых атак на внутрисетевые ресурсы;
• - создания единой точки антивирусной и антиспам фильтрации;
• - предотвращения утечки конфиденциальной информации;
• - мониторинга и анализа событий информационной безопасности.
• Итак, выгода в выделении отдельных сетей в том, что периметр внутренней сети проще охранять от угроз извне и при какой либо атаке внутри сети пострадает только одна сеть, внутри своего периметра.
• 2. Что такое межсетевой шлюз
• Межсетевые шлюзы - это устройства, позволяющие организовать взаимодействие между сетями, которые используют различные протоколы. Шлюзы выполняют преобразования (с помощью протоколов преобразования) форматов данных тех сообщений, которые используются в различных сетях.
• К основным функциям шлюзов относят: связывание различных протоколов; связывание различных структур и форматов данных; связывание различных архитектур; связывание приложений различных языковых средств.
• В процессе функционирования шлюз удаляет старый протокольный стек и перепаковывает данные в данные протокольного стека сети назначения.
• Шлюзы функционируют и выполняют преобразование на прикладном уровне модели взаимодействия открытых систем.
• Шлюзы (gateway) - программно-аппаратные комплексы, которые связывают неоднородные системы, использующие различные операционные среды и протоколы высоких уровней. С помощью шлюза соединяются системы, несогласованные по скоростям обмена информацией и по используемым формам передачи данных.
• Обычно шлюзом выступает маршрутизатор, но это может быть и компьютер, на котором установлено несколько сетевых адаптеров, физически соединенных с обеими частями сети. Итак, это устройство выполняет роль "сторожа" между отдельными частями сети, разделяя их трафик.
• С помощью шлюзов могут соединяться глобальные сети, или в локальных сетях - сегменты на базе мини, микро и больших ЭВМ.
• Шлюзы часто используются на прикладном уровне OSI / ISO. В сети Internet немало шлюзовых машин, которые осуществляют пересылки сообщений, их преобразование, накопление и т. д.
• Когда обмен информацией осуществляется между компьютерами, которые размещаются в одной части диапазона IP-адресов, шлюз не требуется - два компьютера просто обмениваются друг с другом пакетами. но когда компьютеру необходима связь за пределами диапазона локальных IP-адресов, он должен знать, как найти другой компьютер. Для передачи пакетов данных из одной части сети в другую было разработано специализированное устройство-маршрутизатор, которое действует как шлюз между частями сети. В него должны войти по крайней мере два IP-адреса, причем каждый - для своей части диапазона адресов и присоединенный физически к своему сегменту сети.
• Маршрутизатор захватывает пакеты данных из одной части сети и переправляет их в другую, пересылая пакеты в сторону нужного компьютера.
• Шлюз осуществляет свои функции на уровнях выше сетевого. Он не зависит от используемой передающей среды, но зависит от используемых протоколов обмена данными. Обычно шлюз выполняет преобразование между двумя протоколами.
• С помощью шлюзов можно подключить локальную вычислительную сеть к главному компьютеру, а также локальную сеть подключить к глобальной.
• 3. Почему подмена адреса отправителя сообщения может нарушить целостность и доступность информации, но не нарушает ее конфиденциальность
• Целью реализации угрозы в сетях, как правило, является, конфиденциальность, доступность, целостность информации.
• Значительная часть сетей и операционных систем используют IP-адрес компьютера, для того, чтобы определять, тот ли это адресат, который нужен. В некоторых случаях возможно некорректное присвоение IP (или MAC) - адреса или подмена этих адресов отправителя другим адресом. Проведенные таким образом атаки называют фальсификацией адреса (IP (MAC) - spoofing).
• Применение IP-spoofing может быть полезным для нарушителя во многих случаях:
• - конечный узел, который подвергается атаке, предоставляет определенные права доступа некоторым машинам, которые определяются по их IP-адресам;
• - межсетевой экран, стоящий на пути пакетов, фильтрует их по IP-адресу отправителя;
• - в процессе осуществления атаки нарушитель пытается выдать себя за кого-то другого, например, во избежание ответственности.
• Атаки IP-спуфинга часто являются отправной точкой для других атак, например, DoS (Denial of Service - "Отказ в обслуживании").
• В то же время, применяя IP spoofing, нарушитель имеет значительное ограничение: если на его пакеты должны поступать ответы, то он не сможет их получить - они будут направляться на тот IP-адрес, который был указан как адрес отправителя в исходном пакете. Поэтому конфиденциальность не нарушается, так как прежний адрес отправителя становится неизвестным, в связи с его заменой. Поэтому обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток передаваемых по сети данных. В этом случае возникает угроза целостности информации - умышленное ее изменение (модификация или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую.
• Однако злоумышленник, поменяв таблицы маршрутизации данных и направив трафик на ложный IP-адрес, может восприниматься системой как санкционированный пользователь и, следовательно, иметь доступ к файлам, приложениям, и в том числе к электронной почте.
• Защита от атаки IP-spoofing может производиться следующими средствами:
• - фильтрация пакетов на межсетевом экране (брандмауэре) на входе в защищенную сеть позволяет значительно уменьшить возможность наиболее опасных подмен адресов. Типичным правилом является уничтожение всех пакетов, поступающих из внешней сети, но имеющих обратный IP-адрес, принадлежащий внутренней сети. Такие пакеты являются попыткой внешнего нарушителя выдать себя за легального пользователя с внутренней (защищенной) сети;
• - искоренение атаки IP-spoofing может быть достигнуто только при условии контроля за прохождением пакетом определенного маршрута. Тогда можно будет проверять, действительно ли пакет поступил оттуда, откуда он отображается.
• 4. Дополните список возможных угроз, связанных с неверной настройкой сетевого программного обеспечения, исходя из Вашего опыта
• Неверная настройка программно-аппаратных средств обнаружения вторжений (маршрутизаторов и брандмауэров, программного файервола и др.) может привести к следующим угрозам:
• - в сеть могут проникнуть приложения-нарушители, которые могут запускаться на компьютере пользователя незаметно для него. Эти приложения могут выполнить любую операцию на компьютере, в том числе переслать файлы с частной информацией другим компьютерам или вообще удалить данные из системы;
• - при неправильной настройке системы другие компьютеры могут получить доступ к файлам пользователя напрямую, без загрузки специального программного обеспечения;
• - возможность размещения на компьютере некоторых видов информации (cookies или referrers) таким образом, что заинтересованные лица могут следить за действиями пользователя в сети;
• - поражение компьютера пользователя "троянскими конями" и почтовыми "интернет-червями";
• - шпионские программы - собирают сведения без ведома и согласия пользователя;
• - открывается возможность для сетевой разведки - сбора информации о сети с помощью общедоступных данных и приложений.
• Заключение
• Подводя итоги работе, можно сделать следующие выводы.
• Защита периметра сети является обязательным элементом системы информационной безопасности организации. Минимизация внешних угроз достигается путем внедрения многоуровневой системы защиты информации, и в первую очередь на внешней границе сети.
• Межсетевые шлюзы - это устройства, позволяющие организовать взаимодействие между сетями, которые используют различные протоколы. Шлюзы выполняют преобразования форматов данных тех сообщений, которые используются в различных сетях. К основным функциям шлюзов относят: связывание различных протоколов; связывание различных структур и форматов данных; связывание различных архитектур; связывание приложений различных языковых средств.
• Целью реализации угрозы в сетях является, конфиденциальность, доступность, целостность информации. Одной серьезных из угроз в сети является фальсификацией адреса. В этом случае возникает угроза целостности информации - умышленное ее изменение (модификация или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. И хотя подмена адреса отправителя сообщения не нарушает конфиденциальность информации, она может нарушить ее целостность и доступность.
• Неверная настройка программно-аппаратных средств обнаружения вторжений (маршрутизаторов и брандмауэров, программного файервола и др.) может привести к угрозам сетевой безопасности информации, чаще всего возникает угроза утечки информации из локальных сетей.
• Таким образом, только соблюдение основных требований системы обнаружения угроз безопасности информации позволит управлять средствами защиты и повысить вероятность преодоления угрозы за счет их рационального использования.
• Список литературы
• 1 Алишов Н.И., Марченко В.А. Технология интеграции средств защиты сетевого периметра // Математические машины и системы. 2006. № 2. С. 36-47.
• 2 Анин Б.Ю. Защита компьютерной информации. СПб.: БХВ, 2000. 384 с.
• 3 Камышев Э.Н. Информационная безопасность и защита информации: Учебное пособие. Томск: ТПУ, 2009. 95 с.
• 4 Машкина И.В. Управление и принятие решений в системах защиты информации. Уфа: УГАТУ, 2007. 160 с.
• 5 Минухин С.В., Кавун С.В., Знахур С.В. Компьютерные сети. Общие принципы функционирования компьютерных сетей. Учебное пособие. Харьков: Изд. ХНЭУ, 2008. 210 с.
• 6 Нестеров С.А. Информационная безопасность и защита информации: Учеб. пособие. СПб.: Изд-во Политехн. ун-та, 2009. 126 с.
• Размещено на Allbest.ru