Научная статья на тему 'Защищенная сеть предприятия для доступа к web-ресурсам'

Защищенная сеть предприятия для доступа к web-ресурсам Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
263
39
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
РАСПРЕДЕЛЕННАЯ ЗАЩИЩЕННАЯ СЕТЬ / DISTRIBUTED SECURE NETWORK / МЕТОДЫ ЗАЩИТЫ СЕТИ ПРЕДПРИЯТИЯ / METHODS OF PROTECTING THE ENTERPRISE NETWORK / КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ / CONFIDENTIAL INFORMATION / УТЕЧКА ИНФОРМАЦИИ / INFORMATION LEAKAGE / НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП / UNAUTHORIZED ACCESS

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Кобзева Екатерина Александровна

В статье анализируются методы защиты сети предприятия для доступа к web-ресурсам, рассматривается модель угроз и объясняется значимость защищенной сети. Также здесь описывается наиболее приемлемый способ, чтобы минимизировать утечку информации и несанкционированный доступ.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Защищенная сеть предприятия для доступа к web-ресурсам»

соседних ФУ. В результате такого построения получится некоторая фигура, у которой останутся свободными какие-то входы и какие-то выходы. Мы получим модель специализированной вычислительной системы, если заставим всю совокупность собранных ФУ работать по правилам, описанным выше, (в параграфе 2.3), например, в синхронном режиме с одинаковым временным тактом. Подавая на свободные входы в том же синхронном режиме входные данные, будем получать какие-то результаты, начиная с некоторого момента, на свободных выходах. Созданная подобным образом модельная вычислительная система называется систолической системой (Параграф 2.3 -Любая Вычислительная система - есть работающая во времени совокупность функциональных устройств (ФУ). Для оценки качества ее работы вводятся различные характеристики) [Воеводин В. В., Воеводин Вл. В. («Параллельные вычисления « стр. 482, изд. «БХВ-Петербург» 2002)].

Систолическая система - в общих чертах и есть способ физического программирования, при котором программа статичная и создана в равных долях для всех связующих элементов системы, а вот сам алгоритм кроется в системах коммутации. Некий конструктор, открывающий возможности построения логических связей в вычислительных системах при условии совершенно одинаковой электронной начинки и генерации кода в вычислительных ячейках на уровне аппаратуры.

Возможности, в таком случае, в процессе создания искусственного разума будут безграничны, там, где будет не хватать аппаратуры, будет ее наращивание, а там, где не хватит программирования, пойдет в ход гибкость аппаратного обеспечения. И это уже втрое измерение в логике работы мыслящей машины [Курганов В.]. 4. Вывод

Сделаем выводы. Первое измерение - это аналоговый тактовый генератор, имеющий три направления оцифровки через вычислительную матрицу. Её направления, в свою очередь, могут быть либо пространственные, либо логические. В пространственных направлениях машина работает как чертежник, в логических как поэт или писатель. Второе измерение - гибкая полиморфная аппаратная структура. Третье измерение - троичная система счисления в логических и пространственных системах обработки информации.

В итоге, все объединив - получаем Московский государственный университет им. Ломоносова -единственный ВУЗ, способный, объединив усилия, создать подобный компьютер [Курганов В.].

Литература

1. Брусенцов Н. П., Жоголев Е. А., Веригин В. В., Маслов С. П., Тишулина А. М. «Малая автоматическая цифровая машина «Сетунь», 1962. «Вестник Московского университета» Сер. Математика. № 4. С. 3-12.

2. Вернадский В. И. «Живое вещество». С. 257, 258. изд. «Наука», 1978.

3. Аристотель. «Метафизика». кн. 10, гл. 2, кн. 12, гл. 1 изд. «Эксмо», 2015 .

4. Воеводин В. В., Воеводин Вл. В. Параллельные вычисления. С. 482, изд. «БХВ-Петербург», 2002.

5. Макконнелл С. Совершенный код, изд. «Русская редакция», 2010.

Secure corporate network to access the web-resources Kobzeva E.

Защищенная сеть предприятия для доступа к web-ресурсам

Кобзева Е. А.

Кобзева Екатерина Александровна / Kobzeva Ekaterina — студент, кафедра информационной безопасности автоматизированных систем, Северо-Кавказский федеральный университет, г. Ставрополь

Аннотация: в статье анализируются методы защиты сети предприятия для доступа к web-ресурсам, рассматривается модель угроз и объясняется значимость защищенной сети. Также здесь описывается наиболее приемлемый способ, чтобы минимизировать утечку информации и несанкционированный доступ.

Abstract: the article analyzes the enterprise network security methods to access the web-based resources, is considered a threat model explains the importance of a secure network. There is also described the most appropriate way to minimize information leakage and unauthorized access.

Ключевые слова: распределенная защищенная сеть, методы защиты сети предприятия, конфиденциальная информация, утечка информации, несанкционированный доступ. Keywords: distributed secure network, methods of protecting the enterprise network, confidential information, information leakage, unauthorized access.

В настоящее время множество предприятий имеют распределенную сеть в пределах одного города или области. В связи с этим осуществляется передача документов и другой конфиденциальной информации через web-ресурсы, например, через электронную почту, но многие пользователи не соблюдают правила безопасности, из-за чего впоследствии осуществляется несанкционированный доступ к web-ресурсам или перехват информации (утечка данных).

Для того чтобы произвести защиту информации предприятия, необходимо создать модель угроз предприятия, таблица 1.

Таблица 1. Модель угроз предприятия

Источник угрозы Нарушитель Уровень реализации угрозы Тип объекта среды Угроза безопасности Способ реализации угрозы

Компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных атак Хакер Уровень технологических процессов и приложений ПО, предназначенное для обработки персональных данных Нарушение доступности Атаки «DoS»

Сотрудники предприятия, являющиеся легальными участниками процессов в ИС и действующие в рамках предоставленных полномочий Технический персонал, имеющий доступ к аппаратному обеспечению Физический уровень Физические носители информации, в составе системы хранения данных Нарушение конфиденциальности Утрата

После анализа модели угроз выбираем методы защиты сети предприятия для доступа к ресурсам. Защищенная распределенная сеть предприятия представлена на рисунке 1.

1..24(узла)

1..Щуаа)

1..24(уим)

1..2<Цу1па)

MySQL Ргш:у Hjjius FTP Рис. 1. Защищенная распределенная сеть предприятия

К методам защиты сети предприятия для доступа к web-ресурсам относятся:

1. VipNet.

Это программное обеспечение, которое позволяет безопасно передавать данные между другими узлами сети, используя криптозащиту.

Сеть VipNet имеет три основных программных комплекса:

- Vipnet Administrator - осуществляет управление защищенной сети;

- VipNet Coordinator (является сервером) - определяет в реальном времени состояние объектов и доступ к данным в защищенной сети;

- VipNet Client - выполняет функции персонального экранирования, подписи и шифрования.

2. Межсетевое экранирование.

Играет роль фильтра пакетов, проходящих через сеть Интернет [2]. Одним из межсетевых экранов является netfilter, таблица 2.

Таблица 2. Команды работы с межсетевым экраном (брандмауэром) netfilter на примере Linux

Команда Обозначение

iptables -A OUTPUT -j DROP запрещает все исходящие соединения по всем интерфейсам

iptables -R OUTPUT 1 -j ACCEPT разрешает все исходящие соединения по всем интерфейсам

iptables -A INPUT -p icmp -j ACCEPT разрешает все входящие ICMP пакеты на всех интерфейсах

iptables -I OUTPUT 1 -p icmp -j ACCEPT разрешает все исходящие ICMP пакеты на всех интерфейсах

iptables -I OUTPUT 1 -p dns -j ACCEPT разрешает все исходящие DNS пакеты на всех интерфейсах

iptables -A INPUT -i eth0 -o lo -j DROP запрещает передачу пакетов с интерфейса на интерфейс

iptables -A FORWARD -i eth0 -o lo -j DROP

iptables -A FORWARD -i lp -o lo -j DROP

iptables -A INPUT -i lp -j ACCEPT разрешает все входящие соединения на кольцевом (loopback) интерфейсе

iptables -A INPUT -p tcp --dport 22 -j ACCEPT запрещает все входящие соединения кроме портов: 22/TCP (ssh), 25/TCP (smtp), 80/TCP (http), 110/TCP (pop3), 143/TCP (imap4) и 443/TCP (https) на всех интерфейсах

iptables -A INPUT -p tcp --dport 25 -j ACCEPT

iptables -A INPUT -p tcp -j ACCEPT --dport 80

iptables -A INPUT -p tcp -j ACCEPT --dport 110

iptables -A INPUT -p tcp -j ACCEPT --dport 143

iptables -A INPUT -p tcp -j ACCEPT --dport 443

IPtables - утилита командной строки, которая является интерфейсом управления работой межсетевого экрана (брандмауэра), а конкретно netfilter для ядер Linux.

В данном случае в качестве фильтрации используются следующие правила:

- INPUT - правила фильтрации входящих пакетов.

- OUTPUT - фильтр исходящего трафика, сгенерированного локально.

- FORWARD - фильтрация маршрутизируемого транзитного трафика.

3. Контентная фильтрация.

Данный тип фильтрации обязательно должен состоять из отдельного сервера, дополнений браузера, утилит.

4. Разграничение доступа.

Клиенты предприятия, которые используют web-ресурсы, должны иметь каждый свою роль. Администратор сети должен распределить доступ к ресурсам, используя ограничение доступа или его разрешение [1]. Для этого наиболее лучшим способом является Radius - сервер, в который администратор заводит учетную запись каждого клиента и определяет ему права. В данном случае это удобно, так как, если сотрудник окажется уволенным, его учетная запись будет просто удалена.

Таким образом, чтобы защитить распределенную сеть предприятия, необходимо изучить возможные угрозы информационной безопасности и определить методы защиты сети. Однако наилучшим способом защитить конфиденциальную информацию - это использовать несколько методов ее защиты. Для этого необходимо распределить права сотрудников, установить фильтры, которые будут определять внутри и вне сети угрозы, а также возможный несанкционированный доступ к важной информации и непосредственно загрузить программное обеспечение, которое будет шифровать переданные данные, что позволит обезопасить сеть от утечки данных.

Литература

1. Кобзева Е. А. Системный анализ методов контроля доступа к %«Ь-ресурсам, 2016.

2. Михеев В. А. Доступ к Веб-ресурсам: проблемы контроля, 2013.

i Надоели баннеры? Вы всегда можете отключить рекламу.