Защита от несанкционированного доступа в глобальных и региональных сетях (межсетевые фильтры и брандмауэры).

В процессе подключения любой закрытой компьютерной сети (локальной LAN или кампусной CAN) к открытым сетям (например, к глобальной сети Internet) повышается вероятность угрозы несанкционированного вторжения в закрытую сеть из открытой, а также угроза несанкционированного доступа из закрытой сети к ресурсам открытой. Подобный вид угроз характерен также для случая, когда объединяются отдельные сети, ориентированные на обработку конфиденциальной информации совершенно разного уровня секретности или разных категорий. При разграничении доступа этих сетей друг к другу возникают угрозы нарушения установленных ограничений. Таким образом, если в качестве внешней сети используется открытая либо любая другая потенциально враждебная сеть, то появляется угроза нарушения установленных правил межсетевого взаимодействия, а именно:

1. угрозы неправомерного вторжения во внутреннюю сеть из внешней;

2. угрозы несанкционированного доступа во внешнюю сеть из внутренней.
Неправомерное вторжение во внутреннюю сеть из внешней может
выполняться как с целью несанкционированного использования ресурсов внутренней сети, например, хищение информации, так и с целью нарушения ее работоспособности. Без соответствующих средств защиты вероятность успешной реализации данных угроз является достаточно высокой. Это связано с недостатками, присущими наиболее широко используемому для межсетевого взаимодействия набору протоколов TCP/IP.

Угрозы несанкционированного доступа во внешнюю сеть из внутренней сети актуальны в случае ограничения разрешенного доступа во внешнюю сеть правилами, установленными в организации. Такое ограничение является наиболее характерным для взаимодействия с открытыми сетями и может понадобиться в следующих случаях:

1. для предотвращения утечки конфиденциальных данных;

2. при запрете доступа, например, в учебных заведениях, к информации
нецензурной и нежелательной направленности;

3. В случае запрета служебного доступа к развлекательным компьютерным ресурсам в рабочее время.


Бороться с рассмотренными угрозами безопасности межсетевого взаимодействия средствами универсальных операционных систем (ОС) не представляется возможным. Универсальная операционная система — это слишком большой и сложный комплекс программ, который, с одной стороны, может содержать внутренние ошибки и недоработки, а с другой - не всегда обеспечивает защиту от ошибок администраторов и пользователей.

Современная технология программирования не позволяет сделать столь большие программы безопасными. Для операционных систем характерны как явные ошибки разработки, так и так и существенные недостатки, связанные с недоработкой концептуальных и ряда детальных требований к системе безопасности. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии эффективно ее настроить и сконфигурировать. Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями, например тривиальные и редко изменяемые пароли.

Следует учитывать также неоднородность современных компьютерных сетей. Сеть любой организации в общем случае представляет собой неоднородный набор из различных компьютеров, управляемых различными операционными системами и связанных между собой с помощью сетевого оборудования. Компьютеры одного типа и с одной ОС могут, в соответствии с их назначением, иметь совершенно разные конфигурации. В таких условиях проблематично осуществить надежную защиту от внешнего враждебного сетевого окружения каждого компьютера в отдельности.

Проблема защиты от несанкционированных действий при взаимодействии с внешними сетями успешно может быть решена только с помощью специализированных программно-аппаратных комплексов, обеспечивающих целостную защиту компьютерной сети от враждебной внешней среды. Такие комплексы называют межсетевыми экранами, брандмауэрами, или системами Fire Wall. Межсетевой экран устанавливается на стыке между внутренней и внешней сетями и берет на себя функции противодействия несанкционированному межсетевому доступу.

Выводы по теме

· Угроза информационной безопасности – это потенциальная возможность нарушения режима информационной безопасности.

· Преднамеренная реализация угрозы называется атакой на информационную систему.

· Лица, преднамеренно реализующие угрозы, являются злоумышленниками.

· Угрозы информационной безопасности классифицируются по нескольким признакам:

· по составляющим информационной безопасности;

· по компонентам информационных систем;

· по характеру воздействия;

· по расположению источника угроз.

· Несанкционированный доступ является одним из наиболее распространенных и многообразных способов воздействия на информационную систему, позволяющим нанести ущерб любой из составляющих информационной безопасности.

· Каналы НСД классифицируются по компонентам автоматизированных информационных систем: пользователь, программа, аппаратные средства.

Наши рекомендации