Проблема защиты информации в сети интернет

     Преобразование  внутренних  IP-адресов в официальные необходимо в том случае, когда частная сеть базируется на IP-протоколе. Преобразование адресов для всей корпоративной сети не является необходимым, так как официальные IP-адреса могут сосуществовать с внутренними в коммутаторах и маршрутизаторах сети предприятия [19, С.275].

Другим способом сделать  частную сеть совместимой с  Internet является установка IP-шлюза. Шлюз транслирует не IP-протоколы в  IP-протоколы и наоборот. Большинство сетевых операционных систем, использующих нативные протоколы, имеют программное обеспечение для IP-шлюза.

Сущность виртуальной IP-маршрутизации заключается в расширении частных маршрутных таблиц и адресного пространства на инфраструктуру (маршрутизаторы и коммутаторы) Internet-провайдера. Виртуальный IP-маршрутизатор является логической частью физического IP-маршрутизатора, принадлежащего и функционирующего у сервис-провайдера. Каждый виртуальный маршрутизатор обслуживает определенную группу пользователей.

Однако, пожалуй, самым лучшим способом обеспечить совместимость можно с помощью методов туннелирования. Эти методы наряду с различной техникой инкапсуляции уже давно используются для передачи по общей магистрали мультипротокольного потока пакетов. В настоящее время эта испытанная технология оптимизирована для Internet-базированных VPN.  

Туннелирование должно выполняться на обоих концах сквозного канала. Туннель должен начинаться туннельным инициатором и завершаться туннельным терминатором. Инициализация и завершение туннельных операций может выполняться различными сетевыми устройствами и программным обеспечением. Например, туннель может быть инициирован компьютером удаленного пользователя, на котором установлены модем и необходимое для VPN программное обеспечение, фронтальным маршрутизатором филиала корпорации или концентратором доступа к сети у сервис-провайдера.

2. Безопасность.

Обеспечение необходимого уровня безопасности часто является основным пунктом при рассмотрении корпорацией  возможности использования Internet-базированных VPN. Если пользоваться английской терминологией, то существуют три «Р», реализация которых в совокупности обеспечивает полную защиту информации. Это:

• Protection - защита ресурсов с помощью брандмауэров (firewall);
• Proof - проверка идентичности (целостности) пакета и аутентификация отправителя (подтверждение права на доступ);
• Privacy - защита конфиденциальной информации с помощью шифрования [20, C.310].

Все три «Р» в равной степени значимы для любой  корпоративной сети, включая и VPN. В сугубо частных сетях для  защиты ресурсов и конфиденциальности информации достаточно использования  довольно простых паролей. Но как  только частная сеть подключается к  общедоступной, ни одно из трех «Р» не может обеспечить необходимую защиту. Поэтому для любой VPN во всех точках ее взаимодействия с сетью общего пользования должны быть установлены брандмауэры, а пакеты должны шифроваться и выполняться их аутентификация.

Средства обеспечения  безопасности далеко не ограничиваются приведенными примерами. Многие производители  маршрутизаторов и брандмауэров предлагают свои решения. Среди них - Ascend, CheckPoint и Cisco.

3. Доступность.

Доступность включает три  в равной степени важные составляющие:  время предоставления услуг, пропускную способность и время задержки. Время предоставления услуг является предметом договора с сервис-провайдером, а остальные две составляющие относятся к элементам качества услуг (Quality of Service - QoS). Современные технологии транспорта позволяют построить VPN, удовлетворяющие требованиям практически всех существующих приложений.

4. Управляемость.

Администраторы сетей  всегда хотят иметь возможность  осуществлять сквозное, из конца в  конец, управление корпоративной сетью, включая и ту часть, которая относится  к телекоммуникационной компании. Оказывается, что VPN предоставляют в этом плане  больше возможностей, чем обычные  частные сети. Типичные частные сети администрируются «от границы до границы», т.е. сервис-провайдер управляет сетью до фронтальных маршрутизаторов корпоративной сети, в то время как абонент управляет собственно корпоративной сетью до устройств доступа к WAN. Технология VPN позволяет избежать этого своеобразного разделения «сфер влияний», предоставляя и провайдеру, и абоненту единую систему управления сетью в целом, как ее корпоративной частью, так и сетевой инфраструктурой общедоступной сети. Администратор сети предприятия имеет возможность выполнять мониторинг и реконфигурацию сети, управлять фронтальными устройствами доступа, определять состояние сети в режиме реального времени.

5. Архитектура VPN.

Существуют три модели архитектуры виртуальных частных  сетей: зависимая, независимая и  гибридная как комбинация первых двух альтернатив. Принадлежность к  той или иной модели определяется тем, где реализуются четыре основных требования, предъявляемых к VPN. Независимая  архитектура реализуется в том  случае, когда организация обеспечивает все технологические требования на своем оборудовании, делегируя  сервис-провайдеру лишь транспортные функции. Такая архитектура обходится дороже, однако предоставляет пользователю возможность полного контроля за всеми операциями.

Гибридная архитектура включает зависимые и независимые от организации (соответственно, от сервис-провайдера) сайты.

Глава 2.  Защита информации в глобальной сети Internet

1. Проблемы защиты информации

Широкое применение компьютерных технологий в автоматизированных системах обработки информации и управления привело к обострению проблемы защиты информации, циркулирующей в компьютерных системах, от несанкционированного доступа. Защита информации в компьютерных системах обладает рядом специфических особенностей, связанных с тем, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи. Известно очень большое число  угроз информации, которые могут  быть реализованы как со стороны  внешних нарушителей, так и со стороны внутренних нарушителей.

Радикальное решение проблем  защиты электронной информации может  быть получено только на базе использования  криптографических методов, которые  позволяют решать важнейшие проблемы защищённой автоматизированной обработки  и передачи данных. При этом современные  скоростные методы криптографического преобразования позволяют сохранить  исходную производительность автоматизированных систем. Криптографические преобразования данных являются наиболее эффективным  средством обеспечения конфиденциальности данных, их целостности и подлинности. Только их использование в совокупности с необходимыми техническими и организационными мероприятиями могут обеспечить защиту от широкого спектра потенциальных  угроз.

Проблемы, возникающие с  безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа:

• перехват информации - целостность информации  сохраняется, но её конфиденциальность нарушена;
• модификация информации - исходное   сообщение   изменяется  либо полностью подменяется другим и отсылается адресату;
• подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от вашего имени (этот вид обмана принято называть спуфингом) или Web - сервер может выдать себя за электронный магазин, принимать заказы, номера кредитных карт, но не высылать никаких товаров.

Потребности современной  практической информатики привели  к возникновению нетрадиционных задач защиты электронной информации, одной из которых является аутентификация электронной информации в условиях, когда обменивающиеся информацией  стороны не доверяют друг другу. Эта  проблема связана с созданием  систем электронной цифровой подписи. Теоретической базой для решения  этой проблемы явилось открытие двухключевой криптографии американскими исследователями Диффи и Хемиманом в середине 1970-х годов, которое явилось блестящим достижением многовекового эволюционного развития криптографии. Революционные идеи двухключевой криптографии привели к резкому росту числа открытых исследований в области криптографии и показали новые пути развития криптографии, новые её возможности и уникальное значение её методов в современных условиях массового применения электронных информационных технологий.

Технической основой перехода в информационное общество являются современные микроэлектронные технологии, которые обеспечивают непрерывный  рост качества средств вычислительной техники и служат базой для  сохранения основных тенденций её развития - миниатюризации, снижения электропотребления, увеличения объёма оперативной памяти (ОП) и ёмкости встроенных и съёмных накопителей, роста производительности и надёжности, расширение сфер и масштабов применения. Данные тенденции развития средств вычислительной техники привели к тому, что на современном этапе защита компьютерных систем от несанкционированного доступа характеризуется возрастанием роли программных и криптографических механизмов защиты по сравнению с аппаратными.

Возрастание роли программных  и криптографических средств  защит проявляется в том, что возникающие новые проблемы в области защиты вычислительных систем от несанкционированного доступа, требуют использования механизмов и протоколов со сравнительно высокой вычислительной сложностью и могут быть эффективно решены путём использования ресурсов ЭВМ.

Одной из важных социально-этических  проблем, порождённых всё более  расширяющимся применением методов  криптографической защиты информации, является противоречие между желанием пользователей защитить свою информацию и передачу сообщений и желанием специальных государственных служб  иметь возможность доступа к  информации некоторых других организаций  и отдельных лиц с целью  пресечения незаконной деятельности. В развитых странах наблюдается  широкий спектр мнений о подходах к вопросу о регламентации использования алгоритмов шифрования. Высказываются предложения от полного запрета широкого применения криптографических методов до полной свободы их использования. Некоторые предложения относятся к разрешению использования только ослабленных алгоритмов или к установлению порядка обязательной регистрации ключей шифрования. Чрезвычайно трудно найти оптимальное решение этой проблемы.

Возникновение глобальных информационных сетей типа INTERNET является важным достижением компьютерных технологий, однако, с INTERNET связана масса компьютерных преступлений.

Результатом опыта применения сети INTERNET является выявленная слабость традиционных механизмов защиты информации и отставания в применении современных методов. Криптография предоставляет возможность обеспечить безопасность информации в INTERNET и сейчас активно ведутся работы по внедрению необходимых криптографических механизмов в эту сеть. Не отказ от прогресса в информатизации, а использование современных достижений криптографии – вот стратегически правильное решение. Возможность широкого использования глобальных информационных сетей и криптографии является достижением и признаком демократического общества [20, С.310].

Владение основами криптографии в информационном обществе объективно не может быть привилегией отдельных  государственных служб, а является насущной необходимостью для самих  широких слоёв научно-технических  работников, применяющих компьютерную обработку данных или разрабатывающих  информационные системы, сотрудников  служб безопасности и руководящего состава организаций и предприятий. Только это может служить базой  для эффективного внедрения и  эксплуатации средств информационной безопасности.

Одна отдельно взятая организация  не может обеспечить достаточно полный и эффективный  контроль за информационными потоками в пределах всего государства и обеспечить надлежащую защиту национального информационного ресурса.  Однако, отдельные государственные органы могут создать условия для формирования рынка качественных средств защиты, подготовки достаточного количества специалистов и овладения основами криптографии и защиты информации со стороны массовых пользователей.

В России и других странах  СНГ в начале 1990-х годов отчётливо  прослеживалась тенденция  опережения расширения масштабов и областей применения информационных технологий над развитием систем защиты данных. Такая ситуация в определённой степени  являлась и является типичной и для  развитых капиталистических стран. Это закономерно: сначала должна возникнуть практическая проблема, а  затем будут  найдены  решения. Начало перестройки в ситуации сильного отставания стран СНГ в области  информатизации в конце 1980-х годов  создало благодатную почву для  резкого преодоления  сложившегося разрыва.

Пример развитых стран, возможность  приобретения системного программного обеспечения и компьютерной техники  вдохновили  отечественных пользователей. Включение массового потребителя, заинтересованного в  оперативной  обработке данных и других достоинствах современных информационно-вычислительных систем, в решении проблемы компьютеризации  привело к очень высоким темпам развития этой области в России и  других странах СНГ. Однако, естественное совместное развитие средств автоматизации обработки информации и средств защиты информации  в значительной степени нарушилось, что стало причиной массовых компьютерных преступлений. Ни для кого не секрет, что компьютерные преступления в настоящее время составляют одну из очень актуальных проблем [8, С.281].        

Использование систем защиты  зарубежного производства не может  выправить этот перекос, поскольку  поступающие на рынок России продукты этого типа не соответствуют требованиям  из-за существующих экспортных ограничений, принятых в США - основном производителе средств защиты информации. Другим аспектом, имеющим первостепенное значение, является то, что продукция такого типа должна пройти установленную процедуру сертифицирования  в уполномоченных на проведение таких работ организациях.