Осигуряване на сигурност на компютърните мрежи

Сигурността на компютърните мрежи се осигурява чрез приетите политики и практики за предотвратяване и наблюдение на неоторизиран достъп, незаконна употреба, промяна или прекъсване на мрежата и наличните ресурси. Тя включва разрешение за достъп до данни, което се контролира от мрежовия администратор. Потребителите избират или определят идентификатор и парола или друга информация за удостоверяване, която им позволява достъп до данни и приложения в рамките на техните правомощия.

Мрежовата сигурност обхваща много компютърни мрежи, както публични, така и частни, които се използват в ежедневната работа, извършват транзакции и общуват между предприятия, държавни агенции и физически лица. Мрежите могат да бъдат частни (например в компанията) и други (които могат да бъдат отворени за публичен достъп).


Сигурността на компютърните мрежи е свързана с организации, предприятия и други видове институции. Той защитава мрежата, както и извършва операции по охрана и наблюдение. Най-често срещаният и лесен начин за защита на мрежовия ресурс е да му зададете уникално име и съответна парола.

Управление на сигурността

Управлението на сигурността на мрежите може да бъде различно за различните ситуации. Домашен или малък офис може да изисква само основна сигурност, докато големите предприятия могат да изискват обслужване с високо ниво на надеждност и разширен софтуер ихардуер за предотвратяване на хакерство и изпращане на нежелани атаки.

Видове мрежови атаки

Уязвимостта е слабост в проектирането, изпълнението, работата или вътрешния контрол. Повечето от откритите уязвимости са документирани в базата данни за общите уязвимости и експозиции (CVE).


Мрежите могат да бъдат атакувани от различни източници. Те могат да бъдат от две категории: "Пасивно", когато нарушителят на мрежата прихваща данни, преминаващи през мрежата, и "Активен", при който нападателят инициира команди за нарушаване на нормалната работа на мрежата или за наблюдение на данните с цел достъп до нея. За да се защити компютърната система, е важно да се разберат видовете атаки, които могат да бъдат направени срещу него. Тези заплахи могат да бъдат разделени на следните категории.

"Задна врата"

Backdoor в компютърна система, криптосистема или алгоритъм е таен метод за заобикаляне на идентификационните или защитни елементи. Те могат да съществуват по редица причини, включително поради оригиналния дизайн или поради лоша конфигурация. Те могат да бъдат добавени от разработчика, за да се разреши някакъв законен достъп или нападател по други причини. Независимо от мотивите за тяхното съществуване, те създават уязвимост.

Атаки за отказ от предоставяне на услуги

атаките с отказ на услуга (DoS) са предназначени да направят компютъра или мрежовия ресурс недостъпен за предназначените за него потребители. Организаторите на такава атака могат да блокират достъпа до мрежата на отделни жертви, например чрез умишленовъвеждане на неправилна парола много пъти подред, за да предизвика блокиране на профила или претоварване на машината или мрежовите възможности и блокиране на всички потребители едновременно. Докато мрежова атака от един IP адрес може да бъде блокирана чрез добавяне на ново правило за защитна стена, може да има форми на DDoS атаки, където сигналите идват от голям брой адреси. В този случай защитата е много по-сложна. Такива атаки могат да възникнат от компютри, работещи с ботове, но са възможни и редица други методи, включително атаки и атаки за размисъл, където системните цели неволно предават такъв сигнал.

Атаки с директен достъп

Неупълномощените потребители получават физически достъп до компютър, най-вероятно могат директно да копират данни от него. Такива нарушители могат също да застрашат сигурността чрез промяна на операционната система, инсталиране на софтуерни червеи, кейлоггери, скрити устройства за слушане или използване на безжични мишки. Дори ако системата е защитена от стандартни мерки за сигурност, те могат да бъдат прескочени чрез изтегляне на друга операционна система или инструмент от компактдиск или друг носител за зареждане. Криптирането на дискове има за цел да предотврати такива атаки.

Концепцията за мрежова сигурност: основните точки

Информационната сигурност в компютърните мрежи започва с удостоверяването, свързано с въвеждането на потребителско име и парола. Видът му е еднофакторен. сДвуфакторното удостоверяване допълнително използва допълнителен параметър (защитен маркер или "ключ", ATM карта или мобилен телефон) с трифакторен и уникален потребителски елемент (отпечатъци или сканиране на ретината).
След удостоверяване, защитната стена прилага политика за достъп. Тази услуга за сигурност на компютърната мрежа е ефективна за предотвратяване на неоторизиран достъп, но този компонент може да не потвърждава потенциално вредно съдържание, например компютърни червеи или троянски коне, които се предават по мрежата. Antivirus или Intrusion Prevention (IPS) помага за откриване и блокиране на ефектите от такъв зловреден софтуер. Системата за откриване на проникване, базирана на сканиране на данни, също може да проследява мрежата за по-нататъшен анализ на високо ниво. Нови системи, които комбинират неограничено машинно обучение с пълен анализ на мрежовия трафик, могат да открият активни нарушители на мрежата като злонамерени вътрешни лица или насочени външни вредители, които са били хакнати от компютъра на потребителя или от акаунт. В допълнение, връзката между двата хоста може да бъде кодирана, за да осигури по-голямо уединение.

Защита на компютрите

В сигурността на компютърната мрежа се използват мерки за противодействие - действия, устройства, процедури или техники, които намаляват заплахата, уязвимостта или атаката, като я премахват или предотвратяват, свеждат до минимум щетите или откриват и докладват наличност.

БезопасенКодиране

Това е една от основните мерки за сигурност на компютърните мрежи. В разработката на софтуер защитеното кодиране има за цел да предотврати случайното въвеждане на уязвимости. Също така е възможно да се създаде, проектиран от нулата за сигурност. Такива системи са „безопасни от проектиране“. Освен това официалната проверка цели да докаже коректността на алгоритмите, на които се основава системата. Това е особено важно за криптографските протоколи. Тази мярка означава, че софтуерът е проектиран от нулата за осигуряване на информация в компютърните мрежи. В този случай тя се счита за основна характеристика. Някои от методите на този подход включват:
  • Принципът на минималните привилегии, при който всяка част от системата има само определени правомощия, необходими за нейното функциониране. Така, дори ако нападателят получи достъп до тази част, той ще получи ограничена власт над цялата система.
  • Прегледите на кодовете и модулните тестове са подходи за осигуряване на по-голяма безопасност на модулите, когато не е възможно официално доказателство за коректност.
  • Дълбока защита, когато проектирането е такова, че е необходимо да се счупят няколко подсистеми, за да се наруши целостта на системата и информацията, която съхранява. Това е по-дълбока технология за компютърна сигурност.
  • Архитектура на сигурността

    Open Security Architecture определя архитектурата на ИТ сигурността като "артефакти за проектиране, които описват местоположението на контролите за сигурност (мерки за сигурност) и тяхната връзка с цялостната архитектура.Тези контроли служат за поддържане на такива атрибути за качество на системата, като конфиденциалност, почтеност, наличност, отговорност и гаранции.
    Други експерти го определят като единствения дизайн на сигурността на компютърните мрежи и сигурността на информационните системи, който взема предвид нуждите и потенциалните рискове, свързани с конкретен сценарий или среда, и определя кога и къде да се прилагат определени средства. Неговите основни атрибути са:
  • връзката между различните компоненти и как те зависят един от друг.
  • Определяне на мерки за контрол на риска, най-добри практики, финансови и правни въпроси.
  • стандартизация на контрола.
  • Сигурност на компютърните мрежи

    Компютърната сигурност е концептуален идеал, който може да бъде постигнат чрез използване на три процеса: предотвратяване, откриване и реагиране на заплаха. Тези процеси се основават на различни създатели на политики и системни компоненти, които включват следното:
  • Контроли на достъпа на потребителски акаунти и криптография, които могат да защитават системните файлове и данни.
  • Защитни стени, които днес са най-разпространените системи за предотвратяване на сигурността на компютърните мрежи. Това се дължи на факта, че те са способни (ако са правилно конфигурирани) да защитават достъпа до вътрешни мрежови услуги и да блокират определени типове атаки чрез филтриране на пакети. Защитните стени могат да бъдат както хардуерни, така и софтуерни.
  • СистемиIntrusion Detection (IDS), която е предназначена за откриване на мрежови атаки в процеса на тяхното изпълнение, както и за оказване на помощ след атака, докато контролните списъци и директории изпълняват подобна функция на отделните системи.
  • "Отговор" е задължително определен от оценяваните изисквания за сигурност на отделната система и може да варира от обикновена актуализация на сигурността до уведомяване на съответните органи, контраатаки и др. Не всички уязвими ресурси ще бъдат открити.

    Какво е защитна стена?

    Днес системата за сигурност на компютърната мрежа включва главно "превантивни" мерки, като например защитни стени или процедури за излизане. Защитната стена може да се дефинира като начин за филтриране на мрежови данни между хоста или мрежата и друга мрежа, като например интернет. Той може да бъде реализиран като софтуер, работещ на машина и свързан с мрежовия стек (или, в случая с UNIX-подобни системи, вграден в основната операционна система), за да осигури филтриране и блокиране в реално време. Друга реализация е така наречената "физическа защитна стена", която се състои от отделно филтриране на мрежовия трафик. Тези средства се разпределят между компютри, които са постоянно свързани с интернет, и се използват активно за осигуряване на информационна сигурност на компютърните мрежи. Някои организации се обръщат към големи платформи за данни (като например Apache Hadoop), за да осигурят достъпност на данните и машинно обучение за идентифициране на разширени константизаплахи.
    Някои организации обаче поддържат компютърни системи с ефективни системи за откриване и имат дори по-малко организирани механизми за отговор. Това създава проблеми в осигуряването на технологичната сигурност на компютърната мрежа. Основната пречка за ефективно премахване на киберпрестъпността може да се нарече прекомерна зависимост от защитни стени и други автоматизирани системи за откриване. Независимо от това, това е основното събиране на данни чрез устройства за улавяне на пакети, които спират атаките.

    Управление на уязвимите

    Управлението на уязвимите групи е цикъл от идентифициране, отстраняване или намаляване на недостатъците, особено в софтуера и фърмуера. Този процес е неразделна част от сигурността на компютърните системи и мрежи. Уязвимостите могат да бъдат открити със скенер, който анализира компютърната система в търсене на известни "слабости" като отворени портове, опасна софтуерна конфигурация и безпомощност срещу злонамерен софтуер. В допълнение към сканирането на уязвимости, много организации влизат в договори за аутсорсинг на сигурността, за да провеждат редовни тестове за проникване в техните системи. В някои сектори това е договорно изискване.

    Намаляване на уязвимостите

    Въпреки факта, че формалната проверка на коректността на компютърните системи е възможна, тя все още не е широко разпространена. Официално тестваните операционни системи включват seL4 и SYSGO PikeOS, но те представляват много малък процент от пазара. Активни са съвременните компютърни мрежи, осигуряващи информационна сигурност в мрежатаизползват двуфакторни удостоверяване и криптографски кодове. Това значително намалява рисковете поради следните причини. Злото на криптографията днес е практически невъзможно. За да я приложите, е необходим някакъв некриптографски вход (незаконно получен ключ, отворен текст или друга допълнителна криптоаналитична информация). Двуфакторната автентификация е метод за намаляване на неразрешения достъп до системата или поверителна информация. За да влезете в защитена система, ви трябват два елемента:
  • "какво знаете" - парола или ПИН;
  • "какво имате" - карта, ключ, мобилен телефон или друго оборудване.
  • ​​Това увеличава сигурността на компютърните мрежи, тъй като неоторизираните потребители имат нужда от двата елемента едновременно за достъп. Колкото по-строги ще следвате мерките за сигурност, толкова по-малко ще се появят пукнатини. Можете да намалите шансовете на натрапниците, като непрекъснато обновявате системата с поправки и подобрения на сигурността, като използвате специални скенери. Ефектът от загуба и повреда на данни може да бъде намален чрез внимателно създаване на резервни копия и съхранение.

    Механизми за защита на оборудването

    Хардуерът може също да бъде източник на заплаха. Например, зло може да се направи, като се използват уязвимостите на микрочипове, които са злонамерено въведени по време на производствения процес. Хардуерната или спомагателната сигурност на работата в компютърните мрежи също предлага известни методи за защита. Използване на устройства и методи, като ключове за достъп, надеждни платформи, системиоткриване на проникване, заключване на диска, изключване на USB порт и достъп с мобилен телефон може да се счита за по-безопасен поради необходимостта от физически достъп до съхранените данни. Всеки един от тях е описан по-подробно по-долу.

    Клавиши

    USB ключовете обикновено се използват в процеса на лицензиране за отключване на софтуерни възможности, но те също могат да се разглеждат като начин за предотвратяване на неоторизиран достъп до компютър или друго устройство. Ключът създава сигурен шифрован тунел между него и софтуерното приложение. Принципът е, че използваната схема за кодиране (например AdvancedEncryptionStandard (AES)) осигурява по-висока степен на информационна сигурност в компютърните мрежи, тъй като е по-трудно да се пропука и повтори ключа, отколкото просто да се копира на друга машина и да се използва. Друга употреба на такива ключове е използването им за достъп до уеб съдържание, като например облак-базиран софтуер или виртуални частни мрежи (VPN). В допълнение, USB ключът може да бъде конфигуриран да заключва или отключва компютъра.

    Защитени устройства

    Защитени доверени платформи (TPM) интегрират криптографски възможности на устройство за достъп, използвайки микропроцесори или така наречените компютри на кристал. TPM, използвани заедно със сървърния софтуер, предлагат оригинален начин за откриване и удостоверяване на хардуерни устройства и за предотвратяване на неоторизиран достъп до мрежата и данните. откриванеПроникването в компютъра се извършва с помощта на бутон, който работи при отваряне на тялото на автомобила. Фърмуерът или BIOS са програмирани да уведомяват потребителя, когато устройството бъде включено следващия път.

    Блокиране

    Сигурността на компютърните мрежи и сигурността на информационните системи може да бъде постигната чрез блокиране на дискове. Това по същество софтуерни инструменти за криптиране на твърди дискове ги прави недостъпни за неоторизирани потребители. Някои специализирани инструменти, специално предназначени за криптиране на външни устройства. Прекъсването на USB портовете е друга обща настройка за защита, която предотвратява неоторизиран и неправилен достъп до защитен компютър. Заразените USB ключове, които са свързани към мрежата, устройствата в защитната стена, се считат за най-често срещаната заплаха за компютърната мрежа. Мобилните устройства с мобилни устройства стават все по-популярни поради широкото използване на клетъчни телефони. Вградените функции като Bluetooth, най-новата нискочестотна (LE) комуникация (NFC) са довели до търсене на инструменти за премахване на уязвимостите. Днес, биометричната проверка (четец на пръстови отпечатъци) и софтуерът само за четене се използват активно за QR-код, предназначен за мобилни устройства. Всичко това предлага нови безопасни начини за свързване на мобилни телефони към системи за контрол на достъпа. Той осигурява компютърна сигурност и може да се използва за контрол на достъпа дозащитени данни.

    Възможности и списъци за контрол на достъпа

    Характеристиките на информационната сигурност в компютърните мрежи се основават на разделението на привилегии и степен на достъп. Два такива модела са широко разпространени - ACL и възможности, базирани на сигурността. Използването на ACL за ограничаване на използването на програми се оказало опасно в много ситуации. Например, хост компютърът може да бъде заблуден чрез непряко разрешаване на достъп до ограничен файл. Освен това е доказано, че обещанието на ACL да предостави достъп до обект само на един потребител никога не може да бъде гарантирано на практика. По този начин, днес има практически недостатъци във всички системи, базирани на ACL, но разработчиците активно се опитват да ги поправят. Възможността за сигурност се използва главно в изследователски операционни системи, докато търговските операционни системи все още използват ACL. Възможностите обаче могат да се реализират само на ниво език, което води до специфичен стил на програмиране, който по същество е усъвършенстване на стандартния обектно-ориентиран дизайн.

    Свързани публикации