Захист інформації в Інтернет

Internet та інформаційна безпека несумісні по самій природі Internet. Вона народилася як чисто корпоративна мережа, однак, в даний час за допомогою єдиного стека протоколів TCP/IP і єдиного адресного простору об'єднує не тільки корпоративні та відомчі мережі (освітні, державні, комерційні, військові та ін.), що є, за визначенням, мережами з обмеженим доступом, але і рядових користувачів, які мають можливість отримати прямий доступ в Internet зі своїх домашніх комп'ютерів за допомогою модемів і телефонної мережі загального користування.

Як відомо, чим простіший доступ в мережу, тим гірше її інформаційна безпека, тому з повною підставою можна сказати, що початкова простота доступу в Internet - гірше крадіжки, так як користувач може навіть і не знати, що у нього були скопійовані файли та програми, не кажучи вже про можливість їх псування і коригування.

Одним з найбільш поширених механізмів захисту від інтернетівських бандитів - хакерів є застосування міжмережевих екранів - брандмауерів (firewalls).

Екран виконує свої функції, контролюючи всі інформаційні потоки між двома множинами інформаційних систем, працюючи як деяка “інформаційна мембрана”. У цьому сенсі екран можна уявляти собі як набір фільтрів, які аналізують інформацію, що проходить через них і, на основі закладених у них алгоритмів, приймають рішення: пропустити цю інформацію або відмовити в її пересиланні. Крім того, така система може виконувати реєстрацію подій, пов'язаних з процесами розмежування доступу, зокрема, фіксувати всі незаконні спроби доступу до інформації і, додатково, сигналізувати про ситуації, що вимагають негайної реакції, тобто піднімати тривогу.

Зазвичай екрануючі системи роблять несиметричними. Для екранів визначаються поняття “всередині” і “ззовні”, і завдання екрану полягає в захист внутрішньої мережі від “потенційно ворожого” оточення. Найважливішим прикладом потенційно ворожою зовнішньої мережі є Internet.

Розглянемо більш детально, які проблеми виникають при побудові екрануючих систем. При цьому ми будемо розглядати не тільки проблему безпечного підключення до Internet, але і розмежування доступу усередині корпоративної мережі організації.

По-перше, очевидна вимога до таких систем, як забезпечення внутрішньої безпеки (захищеної мережі) і повний контроль над зовнішніми підключеннями і сеансами зв'язку.

По-друге, екрануюча система повинна мати потужні та гнучкі засоби управління для простого і повного втілення в життя політики безпеки організації і, крім того, для забезпечення простої реконфігурації системи при зміні структури мережі.

По-третє, екрануюча система повинна працювати непомітно для користувачів локальної мережі та не затруднювати виконання ними легальних дій.

По-четверте, екрануюча система повинна працювати досить ефективно і встигати обробляти весь вхідний та вихідний трафік в “пікових” режимах. Це необхідно для того, щоб firewall не можна було, образно кажучи, “закидати” великою кількістю викликів, які призвели б до порушення її роботи.

П'яте. Система забезпечення безпеки має бути сама надійно захищена від будь-яких несанкціонованих дій, оскільки вона є ключем до конфіденційної інформації в організації.

Шосте. В ідеалі, якщо у організації є кілька зовнішніх підключень, у тому числі і у віддалених філіях, система управління екранами повинна мати можливість централізовано забезпечувати для них проведення єдиної політики безпеки.

Сьоме. Система Firewall повинна мати засоби авторизації доступу користувачів через зовнішні підключення. Типовою є ситуація, коли частина персоналу організації повинна виїжджати, наприклад, у відрядження, і в процесі роботи їм, так чи інакше, потрібен доступ, принаймні, до певних ресурсів внутрішньої комп'ютерної мережі організації. Система повинна вміти надійно розпізнавати таких користувачів і надавати їм необхідний доступ до інформації.