КАТЕГОРИЯ:


Астрономия- (809) Биология- (7483) Биотехнологии- (1457) Военное дело- (14632) Высокие технологии- (1363) География- (913) Геология- (1438) Государство- (451) Демография- (1065) Дом- (47672) Журналистика и СМИ- (912) Изобретательство- (14524) Иностранные языки- (4268) Информатика- (17799) Искусство- (1338) История- (13644) Компьютеры- (11121) Косметика- (55) Кулинария- (373) Культура- (8427) Лингвистика- (374) Литература- (1642) Маркетинг- (23702) Математика- (16968) Машиностроение- (1700) Медицина- (12668) Менеджмент- (24684) Механика- (15423) Науковедение- (506) Образование- (11852) Охрана труда- (3308) Педагогика- (5571) Полиграфия- (1312) Политика- (7869) Право- (5454) Приборостроение- (1369) Программирование- (2801) Производство- (97182) Промышленность- (8706) Психология- (18388) Религия- (3217) Связь- (10668) Сельское хозяйство- (299) Социология- (6455) Спорт- (42831) Строительство- (4793) Торговля- (5050) Транспорт- (2929) Туризм- (1568) Физика- (3942) Философия- (17015) Финансы- (26596) Химия- (22929) Экология- (12095) Экономика- (9961) Электроника- (8441) Электротехника- (4623) Энергетика- (12629) Юриспруденция- (1492) Ядерная техника- (1748) Arhitektura- (3434) Astronomiya- (809) Biologiya- (7483) Biotehnologii- (1457) Военни бизнесмен (14632) Висока technologies- (1363) Geografiya- (913) Geologiya- (1438) на държавата (451) Demografiya- ( 1065) Къща- (47672) журналистика и смирен (912) Izobretatelstvo- (14524) външен >(4268) Informatika- (17799) Iskusstvo- (1338) историята е (13644) Компютри- (11,121) Kosmetika- (55) Kulinariya- (373) културата е (8427) Lingvistika- (374) Literatura- (1642) маркетинг-(23702) математиците на (16968) Механична инженерно (1700) медицина-(12668) Management- (24684) Mehanika- (15423) Naukovedenie- (506) образователна (11852) truda- сигурност (3308) Pedagogika- (5571) Poligrafiya- (1312) Politika- (7869) Лево- (5454) Priborostroenie- (1369) Programmirovanie- (2801) производствено (97 182 ) индустрия- (8706) Psihologiya- (18388) Religiya- (3217) Svyaz (10668) Agriculture- (299) Sotsiologiya- (6455) на (42831) спортист строително (4793) Torgovlya- (5050) транспорт ( 2929) Turizm- (1568) физик (3942) Filosofiya- (17015) Finansy- (26596) химия (22929) Ekologiya- (12095) Ekonomika- (9961) Electronics- (8441) Elektrotehnika- (4623) Мощност инженерно ( 12629) Yurisprudentsiya- (1492) ядрена technics- (1748)

Мрежовата сигурност




· Основни понятия за сигурност

· Поверителността, целостта и наличността на данните

· Заплахи Класификация

· Систематичен подход за безопасност

· Декларация за поверителност

· Основна технология за сигурност

· Encryption

· Authentication, разрешаването одит

· Технологията Secure канал

· Authentication Technology

· Network Authentication да се използват многократно пароли

· Удостоверяване с помощта на еднократна парола

· Authentication въз основа на сертификати

· Информация Authentication

· Kerberos System

Първично Authentication

· Получаване на разрешение за достъп до сървъра на ресурсите

· Получат достъп до ресурс

· Предимства и недостатъци

· Заключение

· Упражнения

При разглеждане на сигурността на информационните системи обикновено се разпределят на две групи проблеми: за компютърна сигурност и сигурността на мрежата. За да се включат всички въпроси за компютърна сигурност за защита на данните, съхранявани и обработвани от компютър, който се разглежда като самостоятелна система. Тези проблеми се решават с помощта на операционни системи и приложения, като например бази данни, както и вграден компютърен хардуер. Под мрежовата сигурност разбира, всички въпроси, свързани с взаимодействието на устройства в мрежата, то е преди всичко за защита на данните по време на предаване чрез комуникационни линии и защита от неоторизиран отдалечен достъп до мрежата. Въпреки че понякога въпросите на сигурността на компютърни и мрежови са трудно да се отделят един от друг, те са толкова тясно свързани, че е ясно, че сигурността на мрежата има своите специфики.

Самостоятелен компютър, можете ефективно да се защити срещу външни атаки по различни начини, като например край до край на клавиатурата или премахване на твърдия диск и да го поставят в сейфа. Компютър, работещ в мрежата, по дефиниция, не може да се разграничи напълно от света, той трябва да комуникира с други компютри, може би дори отдалечени от него за дълго разстояние, така че сигурността на мрежата е задача, много по-трудно. Logic вход на друг потребител на компютъра си е редовен ситуация, ако сте в мрежа. Осигуряването на безопасността на такава ситуация е да се гарантира, за да направите това в контролирана проникване - всеки потребител на мрежата трябва да бъдат ясно дефинирани правата си за достъп до информация, външни устройства и изпълнението на действията на системата на всеки от компютрите в мрежата.

В допълнение към проблемите, свързани с възможността за отдалечено влизане в мрежовите компютри, мрежи по своята същност са предмет на друг тип опасност - прихващане и анализ на съобщения, изпратени по мрежата, както и създаването на "фалшиво" трафик. Повечето инструменти за мрежова сигурност, насочени към предотвратяване на този вид нарушения.



въпросите на сигурността на мрежата са особено важни сега, когато изграждането на корпоративни мрежи има преминаване от използването на специализирани канали към обществената мрежа (Интернет, Frame Relay). Доставчиците на услуги на обществени мрежи рядко се защитят данните на потребителя по време на транспортиране в своите магистрали, като даде на потребителя на грижите на тяхната конфиденциалност, интегритет и достъпност.

Основни понятия за безопасност

Конфиденциалност, интегритет и достъпност на данните

Secure информационна система - система, която, от една страна, за да се предпазят данните от неоторизиран достъп, от друга страна, винаги е готов да ги даде на потребителите си, и трето, съхранява сигурно информацията и гарантира постоянни данни. По този начин, по дефиниция сигурна система има свойствата на конфиденциалността, целостта и наличността.

  • Декларация (конфиденциалност) - гаранция, че чувствителни данни ще бъдат достъпни само за тези потребители, които имат се предоставя този достъп (такива оторизирани потребители се наричат).
  • Наличност (наличност) - гарантира, че упълномощените потребители винаги да имат достъп до данните.
  • Интегритет (цялост) - гаранция за сигурността на данните на валидни стойности, които предвидени за забраната за неоторизирани потребители по никакъв начин не променя, променяте, създавате, или унищожи данни.

Изисквания за безопасност може да се различават в зависимост от системата за кацане, на естеството на данните, както и вида на заплахи. Трудно е да си представим една система, за които не са били важни свойства на целостта и наличността, но функцията за неприкосновеността на личния живот не винаги е задължително. Например, ако публикуват информация в интернет на уеб-сървър, и целта ви е да го направи достъпно за най-широк кръг от хора, в този случай, се изисква конфиденциалност. Въпреки това, изискванията за цялост и наличност остават валидни.

В действителност, ако не се вземат специални мерки, за да се гарантира целостта на данните, атакуващият може да променя данните на вашия сървър и да причини да го повреди вашия бизнес. Нарушителят може да бъде, например, да се правят такива промени, пуснати на уеб-сървър, ценоразпис, което ще доведе до намаляване на конкурентоспособността на компанията, или да развалят своя код с отворен код софтуер компания, която определено се отрази на дейността си образ.

Не по-малко важно в този пример е наличието на данни и софтуер. След като прекара много пари, за да изгради и поддържа сървъра в интернет, компанията може да разчита на връщането: увеличаване на броя на клиентите, на броя на продажбите и TD, обаче, е вероятно, че нападателят ще се пробива, което е довело до данните, пуснати на сървъра ще бъде недостъпна за тези, на когото са били предназначени. Пример за такива злонамерени действия може да служи като "бомбардира» IP-пакети към сървъра с грешна връщане адрес, който в съответствие с логиката на този протокол може да предизвика време-аута, и в крайна сметка направи сървъра недостъпни за всички други искания.

Понятията за поверителност, достъпност и интегритет не могат да бъдат определени само по отношение на информация, но също така и други ресурси на компютърна мрежа, като например външни устройства или приложения. Има много системни ресурси, възможността за "незаконно" използването на която може да доведе до система компромис. Например, неограничен достъп до устройството за печат позволява на атакуващия да получи копия от печатни документи, да променяте настройки, които могат да доведат до промяна в последователността на работа, и дори да сключват недостатъчност устройство. Декларация за собственост, към устройството за печат, може да се тълкува по такъв начин, че достъпът до устройството са тези и тези потребители, които имат достъп се разрешава само, и те могат да извършват само тези операции с устройството, които са определени за тях. Имотът е достъпен устройство е готов за употреба, когато възникне такава необходимост. A собственост на целостта може да се определи като настройки като на инвариантност собственост на устройството. Законността на използването на мрежовите устройства не е важно само дотолкова, доколкото това се отразява на сигурността на данните. Устройствата могат да предоставят различни услуги: .. Разпечатка на текстове, факс, интернет достъп, електронна поща и т.н., които са незаконно потребление, причинявайки материални щети на компанията, също е нарушение на сигурността на системата.

Всяко действие, което е насочено към нарушаване на поверителността, целостта и / или наличие на информация, както и неоторизирано използване на други мрежови ресурси, наречен заплахата. Реализирана заплахата от атака се нарича. Риск - е вероятностна оценка на възможните щети, които могат да бъдат направени от собственика на информационен ресурс в резултат на успешна атака. Стойността на риска е по-висок, толкова по-уязвима е съществуващата система за сигурност и на по-висока вероятността от атака.

Класификация на заплахи

Universal класификация на заплаха не съществува, може би защото няма ограничение на правата на творческите способности, и всеки ден нови начини за незаконно влизане в мрежата, разработване на нови инструменти за мониторинг на мрежовия трафик, нови вируси са нови пропуски в съществуващите софтуерни и хардуерни мрежови продукти , В отговор на това, разработен все по-усъвършенствани средства за защита, които поставят пречка по пътя на много видове заплахи, но след това се превърна в новата цел на атаките. Въпреки това, ние се опитваме да направим някои обобщения. Така че, на първо място от всички заплахи могат да бъдат разделени в преднамерено и непреднамерено.

Неумишлени заплахи, причинени от погрешни действия на лоялни служители, са следствие от ниската им квалификация или безотговорност. В допълнение, този вид заплахи са последствията от ненадеждни софтуерни и хардуерни системи. Така например, в резултат на диск недостатъчност, дисковия контролер или цяла файлов сървър не може да бъде на разположение на критични данни за предприятия. Ето защо, сигурността е толкова тясно преплетени с проблеми с надеждността, отказоустойчивост технология. заплахи за сигурността, които възникват в резултат на несигурността работа на софтуер и хардуер, са възпрепятствани от тяхното съвършенство, използването на съкращения на нивото на оборудване (в RAID-масив, мулти-процесорни компютри, непрекъсваеми токозахранващи устройства, струпани архитектура) или на нивото на данни (копиране на файлове, архивиране) ,

Умишлени заплахи могат да бъдат ограничени до една пасивна система за четене на данни или мониторинг, или включват активни мерки, като например нарушаване на целостта и наличността на информация, донасяйки неизползваеми приложения и устройства. Така че, целенасочени заплахи възникват в резултат на хакери и ясно насочени към причиняване на щети на предприятието.

Следните видове умишлени заплахи могат да бъдат разделени на компютърни мрежи:

  • незаконно влизане в един от компютрите в мрежата под прикритието на законен потребител;
  • система унищожаване използвайки вирусни програми;
  • незаконно действие легитимен потребител;
  • "Подслушване" в мрежата на трафика.

Незаконно проникване може да се постигне чрез уязвимост в системата за сигурност с помощта на недокументирани функции на операционната система. Тези възможности могат да позволят на някой хакер да "байпас" стандартната процедура, която контролира входа на мрежата.

Друг метод за незаконно влизане в мрежата, е използването на "чужди" пароли, получени чрез шпионаж, декриптира файла с паролите, пароли предположение или да получите парола чрез анализиране на мрежовия трафик. Особено опасни нарушители с потребителско име, надарени с по-големи правомощия, като мрежов администратор. За да влезе във владение на администраторската парола, атакуващият може да се опита да влезе в мрежата под името на една проста за употреба. Затова е много важно, че всички потребители на мрежата, за да спаси своята пароли в тайна, и ги избират така, че да е трудно да се отгатне, колкото е възможно.

Избор на пароли атакуващият извършва със специални програми, които работят чрез търсене на думите на един файл, съдържащ голям брой думи. Съдържанието на речника файл се формира като се вземат предвид психологическите характеристики на едно лице, което се изразява в това, че човек избира като паролата е лесна за запомняне дума или буква комбинация.

Друг начин да получите парола - това е въвеждането на чужд компютър "троянски кон". Тази програма на дългосрочно пребиваващ, работещи без знанието на хост компютъра и изпълнява действието, определено от нападателя. По-специално, тези програмни кодове могат да бъдат прочетени парола, въведена от потребителя по време на влизане на системата.

Програмата - "Троянски кон" винаги се преправя някои полезна програма или игра, и произвежда действия, които разрушават системата. Според този принцип на действие и програма на вируси, отличителна черта на който е способността да "зарази" и други файлове, които ги прилагат в собствените си копия. Най-често срещаните вируси заразяват изпълними файлове. Когато такъв изпълним код е заредена в паметта за изпълнение, заедно с него е в състояние да изпълни своята саботажни действия вирус. Вирусите могат да причинят щети или дори пълна загуба на данни.

Незаконните действия на законен потребител - този вид заплаха идва от потребителите легитимни мрежи, които, използвайки правомощията си, опитвайки се да извършва действия извън обхвата на служебните им задължения. Например, мрежов администратор има практически неограничено право на достъп до всички мрежови ресурси. Въпреки това, компанията може да бъде информация, достъпът до която е забранено мрежов администратор. могат да се вземат специални мерки за прилагане на тези ограничения, като криптиране на данните, но в този случай, администраторът може да се опита да получи достъп до ключа. Незаконните действия могат да се опитат да вземат един обикновен нетизенът. Актуални статистически данни показват, че почти половината от всички опити да се наруши системата за сигурност идва от служителите на компанията, които са само на потребителите на законните мрежата.

"Подслушване" интранет трафик - е незаконна мрежа за наблюдение, улавяне и анализ на съобщения от мрежата. Има много налични софтуер и хардуер пакети обучени, което прави тази задача съвсем тривиално. Още по-сложно, защита срещу този вид заплаха в мрежите с глобални връзки. Global комуникация, простиращ се на десетки хиляди километри, по своята същност са по-малко сигурна от местната комуникация (повече възможности да слушат трафика, по-удобен за позицията на нападателя по време на процедурите за удостоверяване). Тази опасност е еднакво присъща на всички видове териториални канали за комуникация и не зависи от това дали използва свои собствени, наети канали или обществена услуга, регионални мрежи като Интернет.

Въпреки това, използването на социалните мрежи (те са главно за интернет) допълнително изостря ситуацията. Всъщност, използването на интернет води до увеличаване на опасността от прихващане на данни, предавани чрез комуникационни линии, риска от неоторизиран влизане в мрежовите възли, тъй като наличието на огромен брой хакери в Интернет увеличава вероятността от опити за незаконно влизане в компютъра. Това представлява постоянна заплаха за мрежи, свързани към интернет.

Самият интернет е мишена за всякакви нарушители. Тъй като Интернет е създаден като отворена система, предназначена за свободен обмен на информация, не е изненадващо, че почти всички чипове на TCP / IP протокола, са "присъщи" пропуски защита. Използването на тези недостатъци, нападателите са все опитващи неоторизиран достъп до информация, съхранявана на интернет сайтове.

Систематичен подход за безопасност

Изграждане и поддържане на сигурна система изисква систематичен подход. В съответствие с този подход, особено пълния спектър от заплахи, трябва да е наясно с конкретна мрежа и за всеки един от тези заплахи, помисли за тактиката на неговото отражение. В тази борба може и трябва да се използват най-различни средства и методи - етични и правни, административни и психологически защитни способности на софтуер и хардуер мрежа.

За моралните и етични средства включват различни стандарти, които са били установени с разпространението на компютърни ресурси в дадена страна. Например, точно както и в борбата срещу софтуерното пиратство е сега най-вече се използват мерки от образователен план трябва да се изпълняват в съзнанието на хората на всеки неморални опити да се нарушават поверителността, целостта и наличността на информационните ресурси на другите.

Правни средства за защита - законите, правителствените регулации и президентски укази, правилници и стандарти, които регламентират правилата за използване и боравене с ограничена информация, а също и въведени санкции за нарушения на тези правила. Правно регулиране на дейностите в областта на информационната сигурност е да се защити информацията, представляваща държавна тайна, като се гарантира правата на потребителите да получат висококачествени продукти, защита на конституционните права на гражданите, за да се запази неприкосновеността на личния живот, борбата с организираната престъпност.

Административни мерки - това е за действията, предприети от ръководството на предприятието или организацията за сигурност на информацията. Тези мерки включват специфични правила за служителите в предприятието, като например операция на служители, техните длъжностни характеристики, строго определяне на реда за работа с поверителна информация на вашия компютър. Административните мерки включват също и закупуване на правилата за техника на безопасност сега. Администрация длъжностни лица, които са отговорни за защитата на личните данни, трябва да бъде, за да разберете как безопасно е използването на продукти, закупени от чуждестранни доставчици. Това е особено вярно на продукти, свързани с криптиране. В такива случаи е желателно да се провери, че сертификата на продукта, издаден от руски организации за тестване.

Психологически мерки за сигурност могат да играят значителна роля в укрепването на сигурността на системата. Пренебрегване на вземайки предвид психологически моменти в неформални процедури, свързани със сигурността, може да доведе до нарушаване на сигурността. Помислете, например, мрежата на предприятието, в което работят много отдалечени потребители. От време на време, потребителите трябва да променят своите пароли (обичайна практика да се предотврати тяхната селекция). Този избор sieteme администраторска парола осигурява. При такива обстоятелства, атакуващият може да се обадите на администратора по телефона и от името на законния ползвател да се опита да получи паролата. С голям брой отдалечени потребители не е изключено, че такъв прост психологически трик може да работи.

физични характеристики за сигурност включват скрининг стаи за защита срещу радиация, проверка на продуктите си за съответствие с неговите спецификации и липсата на хардуер "бръмбари", средство за устройства за наблюдение, които блокират физически достъп до определени части от компютър, различни брави и друго оборудване за защита на помещенията, в които са носители на информация от незаконно проникване, и така нататък. д., и т. н.

Техническа информационна сигурност означава, изпълнявани хардуерни и софтуерни мрежи. Такива агенти, наричани също услуги за мрежова сигурност, които решават различни задачи на система за защита, като например контрол на достъпа, включително аутентикация и оторизация, одит, криптиране на данните, защита от вируси, мониторинг на мрежовия трафик и много други задачи. Технически характеристики за сигурност могат да бъдат интегрирани в някакъв софтуер (операционни системи и приложения) и хардуер (компютри и комуникационно оборудване), за да се гарантира на мрежата, или реализирани като отделни продукти, създадени специално за справяне с проблемите на сигурността.

политиката на сигурност

Важността и сложността на проблемите на сигурността изисква разработването на политика за информационна сигурност, която включва отговори на следните въпроси:

  • Каква информация е защитена?
  • Какви щети, направени от компанията за загубата или разкриването на определена информация?
  • Кой или какво е възможен източник на заплахата, какъв вид посегателство срещу сигурността на системата може да се направи?
  • Какви средства са използвани за защита на всеки тип информация?

Персонал, който отговаря за сигурността на системата, създаване на политика за сигурност, трябва да се вземат предвид няколко основни принципа. Един от тези принципи е да се даде на всеки служител минимум привилегия за достъп до данни, че е необходимо за него да изпълнява служебните си задължения. Като се има предвид, че повечето от нарушенията на фирмите за сигурност става дума за собствените си служители, че е важно да се установят ясни граници за всички потребители на мрежата, не им дава излишни функции.

Следващата принципа - цялостен подход към сигурността. За да възпрепятства достъпа на нападателя на данните, необходими за осигуряване на разнообразие от функции за безопасност, като се започне с организационни и административни ограничения и завършва с вграден мрежово оборудване. Административен забрана за работа в неделя представлява потенциален нарушител под визуален контрол администратор и други потребители, физическа защита (затворени пространства, заключване на ключа), за да се ограничи пряк контакт на потребителя дължи само на неговия компютър, вграден в мрежова операционна система (автентификация и оторизация система), за да се предотврати влизането в мрежа от незаконни потребители, и за. легитимен потребител само ограничени възможности право за ИТ операции (подсистема одит записва своите действия). Такава система за защита с много излишни функции за безопасност увеличава вероятността за целостта на данните.

Използването на система за защита на много нива, че е важно да се гарантира защитата на баланса на надеждността на всички нива. Ако всички съобщения са кодирани в мрежата, но ключовете са лесно достъпни, ефектът на криптиране нула. Или, ако файловата система, която поддържа селективен достъп до индивидуално ниво файл, инсталиран на компютрите, но е възможно да се получи на твърдия диск и да го инсталирате на друга машина, а след това всички предимства на защита на файловата система са сведени до нищо. Ако движението на външна мрежа, който е свързан към интернет минава през мощна защитна стена, но потребителите могат да комуникират с интернет домакини на комутируеми линии, използващи локално инсталирани модеми, парите (обикновено значително), прекарано на вашата защитна стена, може да се разглежда като хвърлени на вятъра.

Друг универсален принцип е използването на средствата, които в случай на неуспех да премине състоянието на максимална защита. Това се отнася за по-голямо разнообразие от инструменти за сигурност. Ако, например, автоматично точка проверка във всяко едно помещение е счупена, тя трябва да бъде фиксирана в такова положение, че никой не може да стигне до защитената зона. Ако в мрежата има устройство, което анализира целия вход трафик, и изхвърля рамки с определена, предварително зададена обратен адрес, след това в случай на повреда тя трябва напълно да блокират входа на мрежата. Неприемливо трябва да разпознае устройството, което е липсвало в случай на провал на цялата външна мрежа трафик.

Принципът на един-единствен пункт - всички входящи към вътрешната мрежа и излизане на външен трафик на мрежата трябва да премине през един единствен мрежов възел, например през защитната стена (защитна стена). Само това прави възможно да се контролира достатъчно трафик. В противен случай, когато мрежата има множество потребителски станции с независим изход към външната мрежа, че е много трудно да се координират, ограничаващи правата на ползвателите на вътрешния достъп до мрежата на външни сървъри в мрежата и обратно правилата - правилните външни клиенти достъп до вътрешни ресурси на мрежата.

Принципът на баланс възможните щети от продажбата на заплахата и неговите разходи за превенция. Нито една система за сигурност не гарантира защита на данните на ниво от 100% в резултат на компромис между възможните рискове и потенциалните разходи. Определяне на политика за сигурност, администраторът трябва да тежи на стойността на щетите, които могат да бъдат направени от дружеството в резултат на нарушения на защитата на личните данни, както и да го свържат със стойността на разходите, необходими за да се гарантира сигурността на данните. По този начин, в някои случаи, може да не се прави скъп защитна стена в полза на стандартните средства за конвенционален филтриране рутер, а в други, можете да отидете до безпрецедентни разходи. Основното нещо, че решението е било оправдано икономически.

При определяне на политика за сигурност на мрежата, който има достъп до интернет, експертите препоръчват да се разделят на проблема на две части: за разработване на политика на достъп до мрежови услуги в интернет и да се разработи политика на достъп до ресурсите на вътрешната мрежа на компанията.

Политика относно достъпа до услугите на мрежата на Интернет включва следните елементи:

  • Дефиниране на списък на интернет услуги, за които потребителите на вътрешната мрежа трябва да имат ограничен достъп.
  • Някои ограничения за методите за достъп, като например използването на SLIP протокол (Serial Line Internet Protocol) и PPP (Point-да-Point Protocol). Ограничения за достъп методи са необходими, за които потребителите не могат да получат достъп до "забранени" Интернет услуги заобикалянията. Например, ако на границата за достъп до Интернет мрежата е инсталиран специален шлюз, който не позволява на потребителите да работят в системата на WWW, те могат да бъдат инсталирани с уеб-сървър PPP Порт-цията на включване линия. За да се избегне това, е необходимо да се забрани използването на ПЧП.
  • Вземането на решение дали външни потребители достъп от интернет до вътрешната мрежа е позволено. Ако е така, на кого. Често се разрешава достъп само за някои, това е абсолютно необходимо за работата на службите на предприятието, като например електронна поща.

Една политика на достъп до ресурси интранет на фирмата могат да бъдат изразени в един от два принципа:

  • забрана на нещо, което не е позволено в явна форма;
  • позволи нещо, което не е забранено изрично.

В съответствие с избрания принципа дефинирани правила за обработване на външен трафик от защитни стени или маршрутизатори. Изпълнение на защита на базата на първия принцип позволява по-висока степен на сигурност, но това може да се случи най-голямо неудобство за потребителите, и в допълнение, този метод на защита струва значително повече. С изпълнението на втория принцип на мрежата ще бъде по-малко сигурен, но тя ще бъде по-удобно да се използва и изискват по-малко разходи.

Основна технология за сигурност

Различни софтуерни и хардуерни продукти, предназначени за защита на данните, често използват едни и същи подходи, техники и технически решения. Тези основни технологии за сигурност включват удостоверяване, разрешение, одит и сигурна технология канал.

криптиране

Encryption - е крайъгълен камък на услуги за информационна сигурност, дали удостоверяване или разрешение система, средство за създаване на защитен канал или метод за сигурно съхранение на данните.

Всяка процедура за криптиране, който трансформира информация от обичайното "приятелски" вид в "нечетлив" криптиран вид, разбира се, трябва да се допълни с процедурата на дешифриране, които, когато са приложени към ciphertext, отново го носи в ясна видимост. процедури Двойка - криптиране и декриптиране - нарича криптосистема.

За информация, на която се извършва функциите на криптиране и декриптиране, временно ще наричаме "текст", предвид факта, че той може да бъде числов масив, или данни за изображения.

Съвременните алгоритми за криптиране предвижда параметър - таен ключ. В криптография общоприето Kerckhoff "Cipher ключ уединение само трябва да се определят." По този начин, всички стандартни алгоритми за кодиране (например DES, PGP) са широко известни, тяхното подробно описание е дадено в лесно достъпни документи, но тяхната ефективност не се намалява. Един хакер може всички да са наясно с алгоритъм за криптиране, с изключение на частен ключ (трябва да се отбележи, обаче, че има много патентовани алгоритми не са описани публикуван).

Алгоритъмът за криптиране се счита за решен, ако открием процедура, която позволява да вземете ключа за реално време. Сложността на разкриването на алгоритъма е един от най-важните характеристики на Криптосистемата нарича kriptostoykostyu.

Има два класа на криптосистеми - симетрични и асиметрични. В симетрични схеми за криптиране (класическа криптография) таен ключ за криптиране съвпада с таен ключ за декриптиране. В асиметрични схеми за криптиране (публична криптография ключ) публичен ключ за криптиране не е същото като на таен ключ за декриптиране.