Уровни защиты процедур и программ

 

Защита процедур и программ осуществляется на уров­нях:

 аппаратуры;

 программного обеспечения;

 данных.

Защита на уровнях аппаратуры и программного обеспечения предусматривает управление доступом к таким вычислительным ресурсам, как отдельные устройства ПК, оперативная память, операционная система, специальные служеб­ные программы пользователя. На данном уровне решаются вопросы обеспечения безопасности при возникновении следующих проблем:

- наличие секретных остатков (в оперативной памяти или на внешнем носителе в неиспользуемых областях остается секретная информация, которая может быть прочитана специальными средствами);

- изменение системных процедур и программ пользо­вателем-нарушителем или программами нарушителя­ми, что может привести к неэффективности всей сис­темы защиты;

- переделка и исправление ошибок, в процессе кото­рых в систему вносятся программы-закладки (“троянские кони”, вирусы и т.д.).

Защита на уровне данных направлена на:

- защиту информации, передаваемой по каналам свя­зи;

- обеспечение доступа только к разрешенным данным, хранимым в ПК, и выполнение только допустимых действий над ними.

Для защиты информации при передаче по каналам связи целесообразно обратиться к шифрованию: данные шифруются перед вводом в канал связи, а расшифро­вываются на выходе из него. Шифрование надежно скрывает смысл сообщения.

Наиболее распространенный способ осуществления доступа к информации основан на контроле информационных потоков и разделении субъектов и объектов доступа на классы секретности (категории и уровни, учитывающие полномочия пользователей и семантику информации). Средства контроля должны разрешать поток информации для чтения, если уровень информационного объекта-источника соответствует или не превосходит категорию субъекта-получателя информации, и для записи, если категория субъекта-источника соответствует или превышает уровень секретности информационного объекта.

Средства регистрации, как и средства контроля дос­тупа, также относятся к эффективным мерам противодействия несанкциони-рованным действиям с той лишь разницей, что если средства кон­троля доступа предназначены для предотвращения таких действий, то задача регистрации — обнаружить уже со­вершенные действия или их попытки.

 

Понятие брандмауэра

 

В общедоступном понимании брандмауэром (firewall) называется стена, сделанная из негорючих материалов и препятствующая распростра­нению пожара. В сфере компьютерных сетей понятие брандма­уэра отождествляется с барьером, защищающим сеть oт попыток злоумышленников вторгнуться в нее.

Брандмауэр  система или ком­бинация систем, позволяющих разделить сеть на две или более частей и реализовать набор правил, опреде­ляющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью и Internet, хотя ее можно провести и внутри локальной сети предприятия.

Система брандмауэра может быть маршрутизатором, персональным компьютером, хостом или группой хо­стов, созданными специально для защиты сети или под­сети от неправильного использования протоколов и служб хостами, находящимися вне этой подсети.

Основная цель системы брандмауэра — управле­ние доступом к защищаемой сети. Она реализует поли­тику сетевого доступа, вынуждая проходить все соеди­нения с сетью через брандмауэр, где они могут быть проанализированы, а затем разрешены либо отвергну­ты.

Фирмы, внедряющие Intranet, устанавливают брандма­уэры “по периметру” корпоративных Web-серверов, тем самым ограничивая доступ посторонних клиентов.

Брандмауэры первого поколения, известные также как маршрутизаторы с фильтрацией пакетов, проверя­ют адреса отправителя и получателя в проходящих па­кетах TCP/IP. Пакеты проверяются по списку доступа на наличие “дружественного адреса”, и если он обна­ружен, пакетам разрешается вход в сеть (в противном случае — запрещается). Эти брандмауэры служат боль­ше средством устрашения, чем оплотом безопасности. При их использовании хакеры могут легко имитиро­вать дружественные адреса — этот процесс называет­ся “спуфингом” (spoofing — обман, подлог) — и полу­чить доступ к Intranet.

Следующее поколение брандмауэров — “уполномо­ченные серверы” (proxy servers) – было создано именно для решения проблемы с имитацией IP-адресов. Эти брандмауэры могут фильтровать пакеты на уровне при­ложений, что особенно важно для безопасности в Intranet.

Как уполномоченные представители Web-серве­ра, такие брандмауэры проверяют закон­ность пользовательского имени, пароля и передавае­мых данных, а не только заголовка пакета. Например, уполномоченное приложение HTML “знает”, как дол­жны выглядеть “правильные” данные HTML, и способ­но определить, можно ли разрешить доступ.

Брандмауэры третьего поколения используют для фильтрации специальные многоуровневые методы ана­лиза состояния пакетов SMLT (Stateful Multi-Layer Technique). В отличие от брандмауэров уровня приложений, брандмауэры на основе SMLT используют про­граммное обеспечение для анализа данных, способное создавать мгновенную копию целого пакета. Эти бран­дмауэры быстро сравнивают проходящие пакеты с из­вестным состоянием (state) дружественных пакетов, позволяя значительно сократить время обработки по сравнению с медленными брандмауэрами уровня при­ложений.