При всем своем многообразии средства защиты информации делятся на два больших класса:
□ средства компьютерной безопасности предназначены для защиты внутренних информационных ресурсов, находящихся в локальной сети или на отдельном компьютере пользователя;
□ средства сетевой безопасности предназначены для защиты информации в процессе ее передачи через сеть.
Это деление достаточно естественное, так как функции по обеспечению безопасности в этих двух случаях существенно различаются. В первом случае нужно защитить от несанкционированного доступа все ресурсы, находящиеся внутри собственной локальной сети. Это — аппаратные ресурсы (серверы, дисковые массивы, маршрутизаторы), программные ресурсы (операционные системы, СУБД, почтовые службы и т. п.) и сами данные, хранящиеся в файлах и обрабатываемые в оперативной памяти. Очевидно, что для этого необходимо контролировать трафик, входящий в сеть из публичной сети (сегодня это преимущественно Интернет), и стараться перекрыть доступ извне для любой информации, с помощью которой злоумышленник может попытаться использовать внутренние ресурсы сети во вред их владельцу.
|
|
Наиболее часто используемым средством защиты этого типа является брандмауэр, устанавливаемый в местах всех соединений внутренней сети с Интернетом. Брандмауэр (firewall) представляет собой межсетевой экран, который контролирует обмен сообщениями, ведущийся по протоколам всех уровней, и не пропускает подозрительный трафик в сеть.
Брандмауэр может использоваться и внутри сети, защищая одну подсеть от другой, что может быть необходимо в крупных компаниях с достаточно независимыми подразделениями. Помимо брандмауэра аналогичные проблемы призваны решать встроенные средства безопасности операционных систем и приложений, таких как базы данных, а также встроенные аппаратные средства компьютера.
В плане обеспечения сетевой безопасности приходится защищать информацию, которая находится вне пределов нашей досягаемости, а в виде IP-пакетов «путешествует» через сети поставщиков услуг Интернета. Интернет сегодня используется предприятиями не только как сверхмощный источник информации, хранящейся на многочисленных веб-сайтах, но и как дешевая транспортная среда, позволяющая объединить сеть центрального отделения с сетями филиалов, а также подключить к ресурсам предприятия телекомьютеров — сотрудников, находящихся дома или в командировке работающих с корпоративной сетью удаленно. При этом во многих случаях предприятию жизненно важно, чтобы передаваемая через Интернет информация не была искажена, уничтожена или просмотрена посторонними людьми. Для решения этой задачи сегодня широко используется механизм виртуальных частных сетей (VPN).
|
|
Автономно работающий компьютер можно эффективно защитить от внешних покушений разнообразными способами, например просто заперев на замок клавиатуру или сняв жесткий накопитель и поместив его в сейф. Компьютер, работающий в сети, по определению не может полностью отгородиться от мира, он должен общаться с другими компьютерами, возможно, даже удаленными от него на большое расстояние, поэтому обеспечение безопасности в сети является задачей значительно более сложной. Логический вход чужого пользователя в ваш компьютер является штатной ситуацией, если вы работаете в сети. Обеспечение безопасности в такой ситуации сводится к тому, чтобы сделать подобное проникновение контролируемым — каждому пользователю сети должны быть четко определены его права на доступ к информации, внешним устройствам, на выполнение системных действий на каждом из компьютеров сети.
Помимо проблем, порождаемых возможностью удаленного входа в сетевые компьютеры, сети по своей природе подвержены еще одному виду опасности — перехвату и анализу передаваемых по сети сообщений, а также созданию «ложного» трафика. Большая часть средств обеспечения сетевой безопасности направлена на предотвращение именно этого типа нарушений.
Вопросы сетевой безопасности приобретают особое значение сейчас, когда проектировщики корпоративных сетей все чаще отказываются от выделенных линий в пользу транспортных возможностей публичных сетей (Интернет, frame relay).