Политика безопасности при работе в Интернете - (диплом)
p>В настоящее время коммерческая деятельность все больше требует удаленного доступа к своим информационным системам. Это может объясняться необходимостью доступа сотрудников в командировках к своему электронному почтовому ящику, или необходимостью для продавцов удаленного ввода заказов на продукцию. По своей природе удаленный доступ к компьютерным системам приводит к появлению новых уязвимых мест в них из-за увеличения точек доступа к ним. Существует три основных режима удаленного доступа:

Удаленный доступ к сервису - при этом виде доступ обычно ограничивается удаленным доступом к одному сервису, обычно почте. Такие продукты как Lotus Notes и cc: Mail поддерживают удаленный доступ к этим продуктам без предоставления доступа к каким-либо другим сетевым сервисам. Этот режим обычно является самым безопасным - число уязвимых мест ограничено. Удаленное управление позволяет удаленному пользователю управлять персональным компьютером, физически расположенным в корпоративной сети организации. Это может быть специальная компьютерная система или обычный компьютер, стоящий на рабочем месте пользователя. Удаленный компьютер используется только как клавиатура и дисплей. Удаленное управление ограничивает удаленных пользователей доступом к тем программам, которые запущены на корпоративном компьютере, что является плюсом с точки зрения безопасности. Некоторые продукты совместного удаленного доступа нескольких пользователей поддерживают также хороший аудит и протоколирование действий пользователей. При работе в режиме удаленного узла сети, удаленный компьютер соединяется с сервером удаленного доступа, который назначает удаленному компьютеру сетевой адрес. Все работающие программы находятся на удаленном компьютере вместе с локальной памятью. Режим удаленного узла предоставляет удаленным пользоваетлям доступ ко всем сетевым сервисам, если только не используется программы управления доступом. Режим удаленного узла стал самой популярной формой удаленного доступа, но его использование приводит к появлению наивысшего уровня уязвимости корпоративных систем. Эти формы удаленого доступа могут быть реализованы с помощью коммутируемого соединения, сеансов telnetа, или использования программных продуктов, обеспечивающих удаленный доступ. Следующие разделы описывают уязвимые места различных методов удаленного доступа. 4. 2. Коммутируемое соединение

Удаленный доступ по телефонным каналам стал самой популярной формой удаленного доступа. Обычно удаленный компьютер использует аналоговый модем для дозвона до модема в режиме автоответа, подключенного к корпоративному компьютеру. Методы обеспечения безопасности этого соединения включают: Ограничение круга лиц, знающих о номерах телефонов, к которым подключены модемы - этот подход уязвим к автоматизированным атакам с помощью "боевых диалеров", простых программ, использующих модемы с автодозвоном для сканирования блоков телефонных номеров и выявления номеров с модемами. Использование пар имя-пароль - так как атакующему нужно подключиться к телефонной линии, чтобы узнать имя и пароль, коммутируемые соединения менее уязвимы к атакам с помощью перехватчиков паролей, которые делают многократно используемые пароли практическими бесполезными с глобальных сетях. Тем не менее, использование перехватчиков паролей на внутренних сетях, выбор в качестве паролей легко угадываемых слов, и социальная инженерия делают получение паролей легким. Часто злоумышленники представляются сотрудниками отделов технической поддержки для того, чтобы узнать у законных пользователей их пароли. Усиленная аутентификация - существует много методов, которые могут быть использованы для обеспечения или замены обычных паролей. Эти методы включают: Модемы с обратным звонком - эти устройства требуют от пользователя ввести имя и пароль при установлении соединения. Затем корпоративный модем разрывает соединение и ищет авторизованный номер телефона для данного пользователя. После этого он сам звонит по этому номеру и устанавливает соединение. Пользователь снова вводит имя и пароль для установления соединения. Этот подход уязвим к атакам переназначения звонка, и не обеспечивает гибкости, требуемой для установления соединения с отелями и аэропортами. Одноразовые пароли - системы запрос-ответ на основе криптографии, такие как S/Key Bellcore, и SecurID Security Dynamics. Они требуют, чтобы пользователь использовал программный или аппаратный генератор паролей. Эти устройства создают уникальный пароль для каждого сеанса и требуют, чтобы пользователь как знал имя и пароль, так и обладал генератором паролей. Хотя этот метод все-таки уязвим к атакам повтора сеанса, именно этот подход обеспечивает минимально допустимый уровень безопасности для большинства соединений с удаленным доступом. Аутентификация на основе местонахождения удаленного пользователя - новые технологии аутентификации используют такие технологии, как системы глобального позиционирования для реализации аутентификации на основе местонахождения. Если пользователь осуществляет соединение не из авторизованного места, доступ запрещен. Эта технология все еще ненадежна, дорога и сложна в использовании. Но она может оказаться уместной для многих приложений. Уязвимости при ее использовании связаны с возможностью атакующего дать фальшивую информацию о своем местонахождении. Большинство подходов используют криптографию для защиты от такой формы атаки. В заключение можно сказать, что коммутируемый доступ обеспечивает злоумышленников точкой доступа к сети организации, даже если у организации нет доступа к Интернету. 4. 3. Telnet/X Windows

Telnet и команды удаленного подключения к компьютеру, обеспечиваемые Unix, предоставляют возможность подключиться в режиме терминала к компьютеру по сети. Многие персональные компьютеры имеют TCP/IP-программы, которые предоставляют возможности telnet (В состав Windows'95 также входит такая возможность). По сути Telnet предоставляет подключение удаленного клиента в режиме текстового терминала к главному компьютеру по сети. Telnet обычно требует посылки пары имя-пароль по сетевому соединению в незашифрованном виде - серьезное уязвимое место с точки зрения безопасности. X Windows предоставляет возможность удаленного подключения к компьютеру, поддерживающего графический интерфейс с пользователем, и передающего экранные образы, перемещения мыши и коды клавиш, нажатых пользователем, по сети. X Windows имеет слабые возможности по обеспечению безопасности, которые часто обходятся пользователями для упрощения процесса соединения. 4. 4. Переносные компьютеры

В последние годы их использование значительно возросло из-за падения цен на них, уменьшения веса и размера. Рыночные исследования фирмы International Data Corporation показали, что в 1995 году одна четверть компьютеров были компьютерами-лаптопами. Большинство лаптопов, используемых коммерческими и государственными организациями, имеют высокоскоростные модемы, диски емкостью от 500Мб и выше. На них запускается большое число коммуникационных программ. Все чаще для использования их на рабочем месте применяются порты-расширители. Менее часто используется перенос дисковых накопителей на основе PCMCIA-карт между переносным компьютером и настольным компьютером в офисе. Портативные компьютеры используются для решения коммерческих задач и часто с их помощью осуществляется удаленный доступ к корпоративным сетям. Хотя механизмы, используемые при соединении, те же самые, что и описанные выше (коммутируемый доступ, telnet и т. д. ), использование переносных компьютеров приводит к появлению новых уязвимых мест. Местоположение удаленного компьютера может часто меняться, может быть каждый день. Модемы с обратным дозвоном обычно бесполезны в такой ситуации. Удаленный компьютер часто используется в общественных местах, таких как самолеты и аэропорты. С помощью подглядывания из-за плеча могут быть раскрыты данные и пароли. Удаленный компьютер часто оставляется без присмотра в относительно небезопасных местах, таких как номер в отеле или арендованный автомобиль. Данные, хранимые на диске, уязвимы к копированию или неавторизованному чтению. Удаленные компьютеры часто теряются или крадутся в ходе командировок сотрудников, что приводит к компрометации всей информации. Служащие часто не хотят сразу сообщать о потере, что делает вполне возможным удаленный доступ злоумышленника. Некоторые большие организации (в которых используется более 4000 переносных компьютеров) теряют в среднем один портативный компьютер в неделю. Переносные компьютеры используют внутренние модемы для коммутируемого доступа, причем та же PCMCIA-карта (вернее встроенный в нее интерфейс с ЛВС) используется для доступа к сети организации, когда лаптоп находится в офисе. Если на работе имеется доступ к телефону, то встроенный модем может использоваться для организации коммутируемых входящих и выходящих соединений с BBS или провайдером Интернета. Пользователи переносных компьютеров все чаще являются также пользователями сотовых телефонов, и ведут по нему разговоры, в которых раскрывается важная информация, связанная с безопасностью. Разговор по сотовому телефону уязвим к перехвату его криминальными элементами, конкурентами или журналистами. Использование сотовых или других форм радиомодемов для передачи данных увеличивает уровень уязвимости. 4. 5. Электронная почта

Хотя мультимедийная форма WWW привлекает основное внимание, именно электронная почта способствовала росту Интернета. Использование электронной почты для осуществления важных деловых взаимодействий растет быстрыми темпами. Хотя электронная почта является дешевым способом взаимодействия с клиентами, деловыми партнерами, с ее использованием связан ряд проблем с безопасностью: Адреса электронной почты в Интернете легко подделать. Практически нельзя сказать наверняка, кто написал и послал электронное письмо только на основе его адреса. Электронные письма могут быть легко модифицированы. Стандартное SMTP-письмо не содержит средств проверки целостности. Существует ряд мест, где содержимое письма может быть прочитано теми, кому оно не предназначено. Электронное письмо скорее похоже на открытку - его могут прочитать на каждой промежуточной станции. Обычно нет гарантий доставки электронного письма. Хотя некоторые почтовые системы предоставляют вам возможность получить сообщение о доставке, часто такие уведомления означают лишь то, что почтовый сервер получателя (а не обязательно сам пользователь) получил сообщение. Эти уязвимые места делают важным для организации разработку политики, определяющей допустимое использование электронной почты для коммерческих целей. 4. 6. Публикация информации

Интернет серьезно упрощает задачу предоставления информации гражданам общества, клиентам организации и деловым партнерам - по крайней мере тем, кто имеет компьютер, подключенный к Интернету. Сегодня в США около 35 процентов домов имеют персональные компьютеры, и только половина из них подключена к Интернету. Наверное только через несколько лет электронная публикация сможет догнать публикацию в газетах и журналах. Тем не менее, любое использование средств электронной публикации информации, которое уменьшает число запросов информации по телефону или по почте, может помочь организации сократить расходы на эту статью и принести дополнительные прибыли. Существуют два вида публикации информации - принудительная и по инициативе читателя. Подписка на журналы - пример принудительной публикации - информация регулярно посылается подписчикам. Газетные киоски - пример публикации по инициативе читателя - читатели должны захотеть получить информацию. Электронный эквивалент принудительной публикации - создание списка рассылки, в котором информация посылается всем, подписанным на этот список. Обычно для посылки сообщений в список рассылки, а также для включения в список рассылки или удаления из него используется специальная программа - сервер списка рассылки. Сервера списков рассылки относительно безопасны в том отношении, что пользователям не нужно иметь соединение с сетью организации, публикующей информацию, для получения информации. Тем не менее, они имеют несколько уязвимых мест: Программа-сервер рассылки обрабатывает данные от пользователей для включения их в список, для удаления из их списка, или получения информации о самом списке. Существует много бесплатных программ-серверов рассылки, и ряд из них не проверяет до конца введенные пользователем данные. Злоумышленники могут послать команды Unix или очень большие строки для того, чтобы вызвать непредусмотренные режимы работы или совершить проникновение путем переполнения буфера. При неправильном конфигурировании сервер рассылки может сделать видимым список подписчиков для каждого подписчика. Это может дать информацию для проведения в дальнейшем атаки "отказ в обслуживании" или "социальная инженерия" Существует два электронных эквивалента публикации по инициативе читателя, используемых в Интернете, - FTP-серверы и WWW-серверы. Оба они успешно заменили электронные доски объявлений(BBS), хотя ряд BBS все еще используются в правительственных учреждениях США. Для предоставления FTP-сервиса в Интернете, практически все, что нужно - это компьютер и подключение к Интернету. FTP-сервера могут быть установлены на любой компьютер, работающий под управлением Unix, а также на многие, работающие под управлением Microsoft Windows. Имеется много коммерческих и бесплатных версий программ для FTP, часто как часть стека TCP/IP, обеспечивающего драйверы для подключения к сервисам Интернет. Они могут позволять осуществлять полностью анонимный доступ, где не требуются пароли, или они могут сконфигурированы так, что будут требовать для получения доступа к сервису пары имя-пароль. FTP-сервера обеспечивают простой интерфейс, напоминающий стандартный интерфейс Unix для работы с файлами. Пользователи могут получить файлы, а затем просмотреть их или выполнить, если у них есть соответствующие программы. Если FTP-сервер неправильно сконфигурирован, он может предоставлять к ЛЮБОМУ файлу на компьютере-сервере, или даже в сети, присоединенной к этому компьютеру. FTP-сервера должны ограничивать доступ отдельным деревом поддиректорий, и требовать имя и пароль при необходимости. Если вы не жили на необитаемом острове последние несколько лет, вы наверное знаете о колоссальном росте Всемирной паутины (WWW). Веб-сервера предоставляют дешевый способ публикации информации, содержащей текст, встроенные рисунки, или даже аудио и видео. Использование стандартов Гипертекстового Языка Разметки Документов (HTML) и Протокола передачи гипертекстовой информации(HTTP) позволяет пользователям легко копировать и просматривать Web-документы, несмотря на большое разнообразие клиентских платформ . Хотя разработка профессионального веб-сайта сложна и дорога, любой компьютер, подключенный к Интернету, может выступить в роли веб-сервера. Имеется большое число как коммерческих, так и бесплатных программ WWW-сервера для различных операционных систем. Многие последние версии операционных систем включают программ, необходимые для организации веб-сервера, а также полезные программы-мастера, позволяющие автоматизировать установку и конфигурирование. Как и FTP-сервера, WWW-сервера могут приводить к появлению серьезных уязвимых мест в корпоративных сетях при неправильной конфигурации. Смотрите раздел WWW для более подробной информации о политике безопасности для WWW- и FTP-серверов. 4. 7. Исследования

Проведение исследований с помощью Интернета включает в себя использование клиентских программ для поиска и чтения информации с удаленных серверов. Клиентские программы могут быть следующих типов: FTP - FTP-программы позволяют подключаться к удаленным системам, просматривать файловые структуры на них, и загружать оттуда файлы Gopher - разработан в университете Миннесоты, он по существу предоставляет графический интерфейс для выполнения просмотра и загрузки файлов в встиле FTP World Wide Web - веб-браузеры гораздо более удобны для чтения информации в Интернете. Программа-клиент для просмотра информации в WWW обычно имеет возможности FTP-клиента и Gopher-клиента, помимо расширенных возможностей мультимедиа. Специфические системы - существует ряд информационных систем на основе Интернета, которые требуют использования специальной программы-клиента, а не веб-браузера. Как правило они предоставляют доступ к информации, защищенной авторскими правами или информации, хранимой в реляционных базах данных. Основной риск, связанный с использованием Интернета для исследований - это возможность занесения вирусов или других РПС. С появлением "макро-вирусов", которые содержатся в стандартных документах текстовых процессоров, загрузка документов стала такой же рискованной, как и загрузка выполняемых файлов. Кроме того, доступность "приложений-помощников" и загружаемых "апплетов" для обеспечения отображения файлов специальных форматов (таких, как PostScript) увеличила риск троянских коней. Смотрите политику для этой области в разделах про импорт программ и WWW. Вторичным риском являются следы, которые программы-клиенты оставляют при просмотре содержимого информационных серверов в Интернете. Большинство серверов имеет возможность записывать как минимум IP-адрес клиента, а веб-сервера могут часть получить информацию о типе используемого браузера, последнем посещенном сайте, и адресе электронной почты, используемой в браузере, а также другую критическую информацию. Помимо этого, программа веб-сервера может сохранять файл "визиток"(cookie) на компьютере, где находится браузер, что позволяет серверу отслеживать визиты клиента на сервер и посещаемые им области. 4. 8. Электронная коммерция

Использование компьютеров и сетей претерпело три фазы, или "волны": Базовая автоматизация офиса - в эпоху мэйнфреймов с помощью компьютеров выполнялись такие функции, как биллинг, финансовые операции, ведение кадровых список. Сквозная автоматизация офиса - после появления ПЭВМ и локальных сетей с помощью компьютеров стали выполняться такие функции, как набор текстов, деловая переписка, финансовый анализ и т. д. Автоматизация взаимодействия с клиентами - после того, как ПЭВМ стали обычным явлением как дома, так и в оффисе, а Интернет сделал дешевым взаимодействие, контакты между компаниями и их клиентами (людьми, другими компаниями и т. д. ) стали все чаще осуществляться с помощью компьютера. Взаимодействие покупателя с продавцом с помощью компьютеров и сетей и есть электронная коммерция. В целях изучения безопасности мы разделим электронную коммерцию на 4 класса: электронная почта, электронный обмен данными, информационные транзакции и финансовые транзакции. Электронная почта была рассмотрена выше, следующие разделы будут описывать оставшиеся 3 класса. 4. 9. Электронный обмен данными

Электронный обмен данными(EDI) - это термин, не нуждающийся в пояснениях. Простейшей его формой является обмен информацией между двумя бизнес-субъектами (называемых в EDI торговыми партнерами) в стандартизованном формате. Базовой единицей обмена является набор транзакций, который в общем соответствует стандартному бизнес-документу, такому как платежное поручение или накладная на товар. С помощью стандартов, основу которых составляют X. 9 и UN/EDIFACT, деловое сообщество разработало группу стандартных наборов транзакций. Каждый набор транзакций состоит из большого числа элементов данных, требуемых для данного бизнес-документа, каждый из которых имеет свой формат и место среди других элементов данных. Если транзакция содержит более , чем одну транзакцию(несколько платежных поручений в одну фирму), то группе транзакций будет предшествовать заголовок функциональной группы, а за группой будет следовать концевик функциональной группы. Компании стали использовать EDI, чтобы уменьшить время и затраты на контакты с поставщиками. Так в автомобильной промышленности большие компании требовали от поставщиков использовать EDI для всех транзакций, что позволило сохранить огромное количество бумаги и значительно ускорить процесс поставки и сократить усилия на поддержание актуальности баз данных. Обычно для выполнения EDI-транзакций использовались частные глобальные сети, которые были дешевле, чем аренда выделенных линий, но предоставляли сервис надежной и безопасной доставки. Интернет может обеспечить возможности взаимодействия, необходимые для EDI, по низким ценам. Но Интернет не обеспечивает сервисов безопасности (целостности, конфиденциальности, контроля участников взаимодействия), требуемых для EDI. Как и электронная почта в Интернете, транзакции EDI уязвимы к модификации, компрометации или уничтожению при посылке через Интернет. Использование криптографии для обеспечения требуемых сервисов безопасности изменило положение, и многие компании и правительственные агентства перешли на EDI в Интернете. 4. 10. Информационные транзакции

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11



Реклама
В соцсетях
рефераты скачать рефераты скачать рефераты скачать рефераты скачать рефераты скачать рефераты скачать рефераты скачать