Общие сведения о безопасности в компьютерных сетях

Основной особенностью любой сетевой системы яв­ляется то, что ее компоненты распределены в простран­стве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витал пара, оптоволокно и т. п.) и программно при по­мощи механизма сообщений. При этом все управляю­щие сообщения и данные, пересылаемые между объек­тами распределенной вычислительной системы, переда­ются по сетевым соединениям в виде пакетов обмена.

Сетевые системы характерны тем, что наряду с ло­кальными угрозами, осуществляемыми в пределах од­ной компьютерной системы, к ним применим специфи­ческий вид угроз, обусловленный распределенностью ресурсов и информации в пространстве. Это так называ­емые сетевые или удаленные угрозы. Они характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вто­рых, тем, что нападению может подвергаться не конк­ретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и гло­бальных сетей именно удаленные атаки становятся ли­дирующими как со количеству попыток, так и но ус­пешности их применения и, соответственно, обеспече­ние безопасности вычислительных сетей с точки зре­ния противостояния удаленным атакам приобретает первостепенное значение. Специфика распределенных вычислительных систем состоит в том, что если в ло­кальных вычислительных сетях наиболее частыми яв­ляются угрозы раскрытия и целостности, то в сетевых системах на первое место выходит угроза отказа в об­служивании.

Удаленная угроза — потенциально возможное ин­формационное разрушающее воздействие на распределенную вычислительную сеть, осуществляемая про­граммно по каналам связи. Это определение охватывает обе особенности сетевых систем — распределенность компьютеров и распределенность информации. Поэто­му при рассмотрении вопросов информационной безо­пасности вычислительных сетей рассматриваются два подвида удаленных угроз — это удаленные угрозы на инфраструктуру и протоколы сети и удаленные угрозы на телекоммуникационные службы. Первые использу­ют уязвимости в сетевых протоколах и инфраструктуре сети, а вторые — уязвимости в телекоммуникационных службах.

Цели сетевой безопасности могут меняться в зави­симости от ситуации, но основные цели обычно связа­ны с обеспечением составляющих «информационной безопасности»:

1) целостности данных;

2) конфиденциальности данных;

3) доступности данных.

Целостность данных — одна из основных целей ин­формационной безопасности сетей — предполагает, что данные не были изменены, подменены или уничтожены в процессе их передачи по линиям связи, между уз­лами вычислительной сети. Целостность данных долж­на гарантировать их сохранность как в случае злонаме­ренных действий, так и случайностей. Обеспечение це­лостности данных является обычно одной из самых слож­ных задач сетевой безопасности.

Конфиденциальность данных — вторая главная цель сетевой безопасности. При информационном обмене в вычислительных сетях большое количество информа­ции относится к конфиденциальной, например, личная информация пользователей, учетные записи (имена и пароли), данные о кредитных картах и др.

Доступность данных — третья цель безопасности данных в вычислительных сетях. Функциями вычис­лительных сетей являются совместный доступ к аппа­ратным и программным средствам сети и совместный доступ к данным. Нарушение информационной безопас­ности как раз и связана с невозможностью реализация этих функций.

В локальной сети должны быть доступны: принтеры, серверы, рабочие станции, данные пользователей и др.

В глобальных вычислительных сетях должны быть доступны информационные ресурсы и различные сер­висы, например, почтовый сервер, сервер доменных имен, web-сервер и др.

При рассмотрении вопросов, связанных с информа­ционной безопасностью, в современных вычислитель­ных сетях необходимо учитывать следующие факторы:

■ глобальную связанность;

■ разнородность корпоративных информационных систем;

■ распространение технологии «клиент/сервер». Применительно к системам связи глобальная связан­ность означает, что речь идет о защите сетей, пользую­щихся внешними сервисами, основанными на протоко­лах TCP/IP, и предоставляющих аналогичные сервисы вовне. Весьма вероятно, что внешние сервисы находят­ся в других странах, поэтому от средств защиты в дан­ном случае требуется следование стандартам, признан­ным на международном уровне. Национальные грани­цы, законы, стандарты не должны препятствовать за­щите потоков данных между клиентами и серверами.

Из факта глобальной связанности вытекает также меньшая эффективность мер физической защиты, об­щее усложнение проблем, связанных с защитой от не­санкционированного доступа, необходимость привлече­ния для их решения новых программно-технических средств, например, межсетевых экранов.

Разнородность аппаратных и программных платформ требует от изготовителей средств защиты соблюдения определенной технологической дисциплины. Важны не только чисто защитные характеристики, но и возмож­ность встраивания этих систем в современные корпора­тивные информационные структуры. Если, например, продукт, предназначенный для криптографической за­щиты, способен функционировать исключительно на платформе Wintel (Windows+Intel), то его практиче­ская применимость вызывает серьезные сомнения.

Корпоративные информационные системы оказыва­ются разнородными еще в одном важном отношении — в разных частях этих систем хранятся и обрабатывают­ся данные разной степени важности и секретности.

Использования технологии «клиент/сервер» с точки зрения информационной безопасности имеет следующие особенности:

■ каждый сервис имеет свою трактовку главных ас­пектов информационной безопасности (доступнос­ти, целостности, конфиденциальности);

■ каждый сервис имеет свою трактовку понятий субъекта и объекта;

■ каждый сервис имеет специфические угрозы;

■ каждый сервис нужно по-своему администриро­вать;

■ средства безопасности в каждый сервис нужно встраивать по-особому.