Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Защита сетевых процессов обмена данными

Те, кто изучал классификацию средств обработки информации: стандарт CCITSE, возможно, обратили внимание на классы FTP и FCS, которые составляют для системы основу безопасного обмена данными с другими системами. Это как раз те механизмы обеспечения защиты обмена данными, когда информация не остается незащищенной ни на каком из этапов перемещения между системами. В основном, работа таких механизмов основана, конечно, на работе криптографических средств.

Если информационное пространство предприятия ориентировано на стек TCP/IP и есть возможность в случае необходимости дорабатывать системы, то в настоящее время с появлением новых механизмов и протоколов защиты обеспечивать безопасность такого пространства становится проще. В одной из следующих глав, посвященной сетевым протоколам безопасности, будут затронуты такие средства, как IPSec, ISAKMP, IKE, SSL и пр., которые делают обмен данными защищенным и работают одинаково вне зависимости от того, располагаются ли информационные системы в одной локальной сети или используют в качестве канала связи Интернет.

При этом независимо от того, используется ли в качестве сетевого протокола TCP/IP или другой стек протоколов, следует помнить о классической семиуровневой сетевой модели (OSI - Open System Interconnection).

Это означает, что построение механизмов защиты должно также носить многоуровневый характер. Проще пояснить это на примерах. Если нас интересует только защита конфиденциальности и целостности данных в приложениях, то, обычно, этот вопрос можно решить на верхних уровнях (приложения или представления данных). Если встает вопрос об обеспечении надежной доставки - акценты смещаются к транспортному уровню. Если обмен информацией между системами должен скрывать внутреннюю сетевую структуру систем, то речь идет о сетевом уровне. Если необходимо учесть опасность широковещательных сообщений (например, угрозы использования пассивного прослушивания сегмента), следует говорить о канальном уровне. Физический уровень обычно затрагивается, когда речь идет о защите от побочных электромагнитных излучениях или возможности физического внедрения злоумышленника в канал связи.

Когда в начале этого раздела сайта рассматривалась проблема инвентаризации информационных систем, одними из рекомендуемых ко включению в обследование вопросов были источники получения и цели отправления информации. Если это обследование было произведено качественно, то становится легко составить схему информационных потоков (причем не виртуально, а именно нарисовать на бумаге). Возможно, части этой схемы следует показать обследуемым и опрашиваемым пользователям для уточнения. Теперь, имея подобную схему, можно проанализировать тонкие места построенной или планируемой системы защиты данных.

Если обе системы, между которыми происходит обмен данными, поддерживают одни и те же протоколы безопасности, то при соответствующей настройке они смогут обеспечить требуемый уровень безопасности.

А если одна из систем представляет собой "черный ящик" без возможности модификаций и не может импортировать/экспортировать никакие другие данные, кроме как в обычном текстовом или другом незащищенном формате?

Здесь необходимо подойти к вопросу оценки необходимости защиты с точки зрения классификации информации, используемой в системе, т.е. определить, к какой категории относится данная информация, какая составляющая для нее наиболее критична: конфиденциальность, целостность, доступность и т.д. Далее необходимо проанализировать, какие альтернативные средства защиты, предоставляемые системой, можно использовать. Возможно, система может рассчитывать некую контрольную сумму экспортируемых/импортируемых данных (аналог электронно-цифровой подписи), либо она ведет расширенный регистрационный журнал загруженных/выгруженных данных и т. п. Необходимо рассмотреть, как имеющиеся средства могут быть использованы второй системой.

Защита экспорта файлов

Если обмен данными ведется по самому примитивному варианту (одна система записывает текстовый файл в каталог на сервере, другая считывает его оттуда), возможно использовать дополнительные варианты защиты:

средствами операционной системы (при условии, конечно, что сама операционная система поддерживает необходимые механизмы безопасности). Установить доступ на каталог импорта/экспорта только для специальных пользователей, от имени которых работают системы. Снизить до минимума или исключить возможность вмешательства администратора приложения или файлового сервера в работу систем. Возможно, предусмотреть дополнительный сервис, который бы брал на себя контроль за состоянием файла после его создания первой системой и уничтожение его после импорта второй системой. Создание средствами операционной системы или коммуникационными устройствами шифрованного или VLAN-канала между серверами приложения взаимодействующих систем и файловым сервером импорта/экспорта;
организационными мероприятиями. Принудительное отключение пользователей от работы в сети на момент экспорта/импорта, запрет на использование анализаторов сетевого трафика даже для администраторов (в установленное время) и пр. Эти мероприятия могут несколько укрепить общую безопасность работы, но в силу своего "заплаточного" характера не являются надежными.


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна