Обеспечение информационной безопасности в сети Интернет
Интернет – это среда, в которой информационная безопасность предприятий подвергается наибольшим угрозам, и вместе с тем это важное средство совершения бизнес-процессов.
Наиболее актуальные угрозы информационной безопасности в интернете - это:
- направленные на определенное предприятие или отрасль (таргетированные) хакерские и вирусные атаки;
- кражи корпоративных данных в результате атак на мобильные устройства;
- заражение вредоносными программами и разглашение конфиденциальной информации в социальных сетях;
- незаметное инфицирование компьютеров и других устройств при посещении безопасных на первых взгляд веб-сайтов (атаки Drive-by);
- использование недостаточно защищенных облачных веб-сервисов и технологии SaaS (Software as a Service, «ПО как сервис»).
В последнее время корпоративные сети все чаще включаются в Интернет или даже используют его в качестве своей основы. Учитывая то, какой урон может принести незаконное вторжение в корпоративную сеть, необходимо выработать методы защиты.
Для защиты корпоративных информационных сетей используются брандмауэры. Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую.
Как правило, эта граница проводится между локальной сетью предприятия и Интернетом, хотя ее можно провести и внутри. Однако защищать отдельные компьютеры невыгодно, поэтому обычно защищают всю сеть. Брандмауэр пропускает через себя весь трафик и для каждого проходящего пакета принимает решение - пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, для него определяется набор правил.
Брандмауэр может быть реализован как аппаратными средствами (то есть как отдельное физическое устройство), так и в виде специальной программы, запущенной на компьютере. Как правило, в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь разделов пользователей, а следовательно, и потенциальных дыр - только раздел администратора. Некоторые брандмауэры работают только в однопользовательском режиме, а многие имеют систему проверки целостности программных кодов.
Брандмауэр обычно состоит из нескольких различных компонентов, включая фильтры или экраны, которые блокируют передачу части трафика. Все брандмауэры можно разделить на два типа:
1. пакетные фильтры, которые осуществляют фильтрацию IP-пакетов средствами фильтрующих маршрутизаторов;
2. серверы прикладного уровня, которые блокируют доступ к определенным сервисам в сети. Таким образом, брандмауэр можно определить как набор компонентов или систему, которая располагается между двумя сетями и обладает следующими свойствами:
- весь трафик из внутренней сети во внешнюю и из внешней сети во внутреннюю должен пройти через эту систему;
- только трафик, определенный локальной стратегией защиты, может пройти через эту систему;
В таком случае система надежно защищена от проникновения.
Кардинальным решением защиты локальной сети является ее полная (физическая) изоляция от иных сетей.
Сетевой или межсетевой экран – это комплекс программных или аппаратных средств, которые позволяют осуществлять фильтрацию и контроль проходящих через него пакетов в соответствии с заданными заранее параметрами.
Основная задача межсетевого экрана – это защита компьютерных сетей или конкретных узлов от доступа злоумышленников. Межсетевые экраны часто называют фильтрами, что связанно с их основной задачей – фильтровать пакеты, которые не подходят под критерии, определенные в конфигурации.
Типичные возможности сетевого экрана:
· Фильтрация доступа к незащищенным службам
· Блокирование попыток получения закрытой информации из защищенной подсети и внедрения ложных данных
· Контроль доступа к узлам сети
· Возможность вести лог всех попыток доступа извне
· Уведомление о подозрительной активности, атаках на сеть или сам сетевой экран.
Защитные ограничения экрана могут блокировать некоторые нужные пользователю службы или приложения, поэтому настройка брандмауэра обычно требует участия специалиста. Без соответствующих навыков, вред от неверного конфигурирования превысит пользу.
Использование брандмауэра так же может увеличить время отклика и снизить пропускную способность, так как фильтрация происходит не мгновенно.