Защита інформацією Интернет

МІНІСТЕРСТВО СПІЛЬНОГО І СПЕЦИАЛЬНОГО.

ОСВІТИ РОСІЙСЬКОЇ ФЕДЕРАЦИИ.

ВОРОНЕЗЬКИЙ ДЕРЖАВНИЙ УНИВЕРСИТЕТ.

ЕКОНОМІЧНИЙ ФАКУЛЬТЕТ.

ВИПУСКНА РОБОТА на задану тему: «Захист інформацією Інтернет «.

Бакалавр економіки, спеціалізація «Менеджмент».

Денне отделение.

Завкафедрою інформаційних технологій і математичних методів у економіці кандидат економічних наук, доцент Кочурова Т.В.

Руководитель випускний роботи кандидат економічних наук, доцент Белобродский А.В.

Выпускную роботу виконав студент 7 групи 4 курсу Швора А.А.

ВОРОНЕЖ 1997.

Содержание Введение… … 2.

Глава 1 Загальна характеристика мережі Internet… 4.

1.1 Історія скти Internet… 4.

1.1.1 Протоколи мережі Internet… 5.

1.2 Послуги надані мережею… 6.

1.3 Гіпертекстова технологія WWW, URL, HTML… 9.

1.3.1 Архітектура WWW — технології… 10.

1.3.2 Основні компоненти технології World Wide Web… 13.

Глава 2 Захист інформацією глобальлной мережі Internet… 16.

2.1 Проблеми захисту інформації… 16.

2.1.1 Інформаційна безпека продукції та інформаційні технології… … 19.

2.2 Засоби захисту інформації… 23.

2.2.1 Технологія роботи у глобальних сетях.

Solstice FireWall- 1… 24.

2.2.2 Обмеження доступу в WWWсерверах… 33.

2.3 Інформаційна безпеку Intranet… 35.

Заключение

… … 51.

Список спеціальних термінів… 53.

Спиок використаних джерел… 57.

Internet — глобальна комп’ютерна мережу, що охоплює увесь світ. Сьогодні Internet має близько 15 мільйонів абонентів у понад 150 країн світу. Щомісяця розмір мережі поповнюється 7−10%. Internet утворює хіба що ядро, що забезпечує зв’язок різних інформаційних мереж, що належать різноманітних установ в усьому світі, одна з другой.

Якщо раніше мережу використовувалася як середовища передачі файлів і повідомлень електронної пошти, то сьогодні вирішуються складніші завдання распределеного доступу до ресурсів. Близько два роки тому було створено оболонки, підтримують функції мережевого пошуку і доступу до розподіленим інформаційних ресурсів, електронним архивам.

Internet, служила колись виключно дослідницьким і навчальним групам, інтереси сягали до доступу до суперкомпьютерам, стає дедалі популярною діловому мире.

Компанії спокушають швидкість, дешева глобальна зв’язок, зручність для проведення спільних робіт, доступні програми, унікальна база даних мережі Internet. Вони розглядають глобальну мережу як доповнення до своїх власним локальної сетям.

Фактично Internet складається з безлічі локальних і глобальних мереж, які належать різним компаніям і підприємствам, пов’язаних між собою різними лініями зв’язку. Internet можна уявити як мозаїки складеної із невеликих мереж різного розміру, які активно взаємодіють одна з іншого, пересилаючи файли, повідомлення й т.п.

При низьку вартість послуг (часто це тільки фіксована щомісячна Плата використовувані лінії чи телефон) користувачі можуть одержати доступ до комерційних і некомерційним інформаційним службам США, Канади, Австралії та багатьох країн Європи. У архівах вільного доступу мережі Internet можна знайти інформацію практично з усіх галузей людської діяльності, починаючи з наукових відкриттів до прогнозу погоди і на завтра.

З іншого боку Internet надає унікальні можливості дешевої, надійної і конфіденційної глобальної зв’язку з всьому світу. Це виявляється дуже зручним для фірм мають своїх філій у світі, транснаціональних корпорацій і структур управління. Зазвичай, використання інфраструктури Internet для міжнародного телефонного зв’язку обходиться значно дешевше прямий комп’ютерної зв’язку через супутниковий канал чи через телефон.

Електронна пошта — найпоширеніша послуга мережі Internet. У час свою адресу електронною поштою мають приблизно 20 мільйонів. Відправка листи електронною поштою обходиться набагато дешевше посилки звичайного листи. З іншого боку повідомлення, надіслане електронною поштою сягне адресата протягом кількох годин, у те час як звичайне лист може дістатися адресата за кілька днів, бо і недель.

Нині Internet відчуває період підйому, багато в чому завдяки активну підтримку із боку урядів європейських і США. Щороку до США виділяється близько 1−2 мільйонів створення нової мережевий інфраструктури. Дослідження у сфері мережевих комунікацій фінансуються також урядами Великобританії, Швеції, Фінляндії, Германии.

Проте, державне фінансування — лише невелика частина і коштів, т.к. дедалі помітнішою стає «коммерцизация «мережі (80−90% коштів постачається з приватного сектора).

ГЛАВА 1.

Загальна характеристика мережі Internet.

1.1 Історія мережі Internet.

У 1961 року Defence Advanced Research Agensy (DARPA) за завданням Міністерства оборони США приступила до проекту зі створення експериментальної мережі передачі пакетів. Ця мережу, названа ARPANET, призначалася спочатку вивчення методів забезпечення надійної зв’язок між комп’ютерами різних типів. Багато методи передачі через модеми розробив ARPANET. Тоді ж розроблено й протоколи передачі у мережі - TCP/IP. TCP/IP — це безліч комунікаційних протоколів, які визначають, як комп’ютери різних типів можуть спілкуватися між собой.

Експеримент з ARPANET був такий успішний, що чимало організації захотіли вступати туди, з використання для щоденної передачі. І на 1975 року ARPANET перетворилася з експериментальної мережі в робочу мережу. Відповідальність за адміністрування мережі взяла він Defence Communication Agency (DCA), нині зване Defence Information Systems Agency (DISA). Та хід ARPANET у цьому не зупинилося; Протоколи TCP/IP продовжували розвиватись агресивно та совершенствоваться.

У1983 року вийшов перший стандарт для протоколів TCP/IP, яка у Military Standarts (MIL STD), тобто. у воєнні стандарти, і всі, хто був у мережі, були зобов’язані можливість перейти до цим новим протоколів. Для полегшення цього переходу DARPA звернувся пропозицією до керівників фірми Berkley Software Design — впровадити протоколи TCP/IP в Berkeley (BSD) UNIX. З цього й почався союз UNIX і TCP/IP. Згодом TCP/IP був адаптований у звичайний, тобто у загальнодоступний стандарт, термін Internet ввійшов у загальний ужиток. У1983 року з ARPANET виділилася MILNET, що стали ставитися до Defence Data Network (DDN) Міністерства оборони США. Термін Internet став використовуватися для позначення єдиної мережі: MILNET плюс ARPANET. І хоча у 1991 року ARPANET припинила своє існування, мережу Internet існує, її розміри набагато перевищують початкові, оскільки він об'єднала безліч мереж в усьому світі. Діаграма 1.1 ілюструє зростання кількості хостів, підключених до неї Internet із чотирьох комп’ютерів в 1969 року до 8,3 мільйонів гривень на 1994. Хостом у мережі Internet називаються комп’ютери, працюють у многозадачной операційній системі (Unix, VMS), підтримують протоколи TCPIP і надають користувачам будь-які мережні услуги.

Діаграма 1.1.

[pic].

Диаграмма 1.1 Кількість хостів, підключених до Internet .

Протоколи мережі Internet.

Основне, що відрізняє Internet з інших мереж — це стосується її протоколи — TCP/IP. Взагалі, термін TCP/IP зазвичай означає усе, пов’язане з протоколами взаємодії між комп’ютерами в Internet. Він охоплює ціле сімейство протоколів, прикладні програми, і навіть саму мережу. TCP/IP — це технологія межсетевого взаємодії, технологія internet. Мережа, що використовує технологію internet, називається «internet ». Якщо йдеться про глобальної мережі, об'єднуючою безліч мереж технологією internet, що його називають Internet.

Свою назву протокол TCP/IP дістав листа від двох комунікаційних протоколів (чи протоколів зв’язку). Це Transmission Control Protocol (TCP) і Internet Protocol (IP). Попри те що, що у мережі Internet використовується велика кількість інших протоколів, мережу Internet часто називають TCP/IP-сетью, тому що ці два протоколу, безумовно, є важнейшими.

Як у всякою іншою мережі в Internet існує 7 рівнів взаємодії між комп’ютерами: фізичний, логічний, мережевий, транспортний, рівень сеансів зв’язку, представницький і прикладної рівень. Відповідно кожному рівню взаємодії відповідає набір протоколів (тобто. правил взаимодействия).

Протоколи фізичного рівня визначають вигляд і характеристики ліній зв’язок між комп’ютерами. У Internet використовуються майже всі відомі нині способи зв’язку від простого дроти (вита пара) до волоконно-оптичних ліній зв’язку (ВОЛС).

До кожного типу ліній зв’язку розроблений відповідний протокол логічного рівня, займається управлінням передачею інформації з каналу. До протоколів логічного рівня для телефонних ліній ставляться протоколи SLIP (Serial Line Interface Protocol) і PPP (Point to Point Protocol). Для зв’язку з кабелю локальної мережі - це пакетні драйвери плат ЛВС.

Протоколи мережного рівня визначають передачу даних між пристроями у різних мережах, тобто займаються маршрутизацією пакетів в мережі. До протоколів мережного рівня належать IP (Internet Protocol) і ARP (Address Resolution Protocol).

Протоколи транспортного рівня управляють передачею даних із однієї програми до іншої. До протоколів транспортного рівня належать TCP (Transmission Control Protocol) і UDP (User Datagram Protocol).

Протоколи рівня сеансів зв’язку визначають установку, підтримання та знищення відповідних каналів. У Internet цим займаються вже згадані TCP і UDP протоколи, і навіть протокол UUCP (Unix to Unix Copy Protocol).

Протоколи представницького рівня займаються обслуговуванням прикладних програм. До програмам представницького рівня належать програми, запущені, приміром, на Unix-сервере, надання різних послуг абонентам. До таких програмам ставляться: telnet-сервер, FTP-сервер, Gopherсервер, NFS-сервер, NNTP (Net News Transfer Protocol), SMTP (Simple Mail Transfer Protocol), POP2 і POP3 (Post Office Protocol) і т.д.

До протоколів прикладного рівня ставляться мережні послуги і програми їхньої облаштованості предоставления.

1.2 Послуги надані сетью.

Усі послуги надані мережею Internet можна умовно поділити дві категорії: обміну інформацією між абонентами сіті й використання баз даних сети.

До послуг зв’язок між абонентами принадлежат.

Telnet — віддалений доступ. Дає можливість абоненту працювати про всяк ЕОМ мережі Internet як у свого власного. Тобто запускати програми, змінювати режим праці та т.д.

FTP (File Transfer Protocol) — протокол передачі файлів. Дає можливість абоненту обмінюватися двоичными і текстовими файлами із кожним комп’ютером мережі. Установивши зв’язку з віддаленим комп’ютером, користувач може скопіювати файл з віддаленого комп’ютера на чи скопіювати файл з його комп’ютера на удаленный.

NFS (Network File System) — розподілена файлова система. Дає можливість абоненту користуватися файловою системою віддаленого комп’ютера, як зрадництво своєї собственной.

Електронна пошта — обмін поштовими повідомленнями будь-яким абонентом мережі Internet. Існує можливість відправки як текстових, і двійкових файлів. На розмір поштового зв’язку у мережі Internet накладається таке обмеження — розмір поштового зв’язку ні перевищувати 64 килобайт.

Новини — отримання мережевих новин і електронних дощок оголошень сіті й можливість приміщення інформації на дошки оголошень мережі. Електронні дошки оголошень мережі Internet формуються за тематикою. Користувач може свій вибір передплатити будь-які групи новостей.

Rsh (Remote Shell) — віддалений доступ. Аналог Telnet, але працює в тому разі, якби такого далекого комп’ютері стоїть ОС UNIX.

Rexec (Remote Execution) — виконання однієї команди на віддаленій UNIXмашине.

Lpr — мережна печатку. Відправлення файла на печатку на такого далекого (мережному) принтере.

Lpq — мережна печатку. Показує файли які у черги на печатку на мережному принтере.

Ping — перевірка доступності віддаленій ЕОМ по сети.

Talk — дає можливість відкриття «розмови «з користувачем віддаленій ЕОМ. У цьому на екрані одночасно видно запроваджуваний і відповідь віддаленого пользователя.

Iptunnel — дає можливість доступу до сервера ЛВС NetWare з яким немає безпосередній зв’язок по ЛВС, а є лише зв’язок через мережу Internet.

Whois — адресна книга мережі Internet. На запит абонент може мати простий інформацію про належність віддаленого комп’ютера, про пользователях.

Finger — отримання інформації про користувачів віддаленого компьютера.

Окрім вищеперелічених послуг, мережу Internet надає також такі специфічні услуги.

Webster — мережна версія тлумачного словника англійського языка.

Факс-сервис — дає можливість користувачеві відправляти повідомлення по факсимільного зв’язку, користуючись факс-сервером сети.

Електронний перекладач — виробляє переклад надісланого нею тексту з однієї мови в інший. Звернення до електронних перекладачів відбувається за допомогою електронної почты.

Шлюзи — дають можливість абоненту відправляти сполучення мережі, не хто з протоколами TCPIP (FidoNet, Goldnet, AT50).

До систем автоматизованого пошуку інформацією мережі Internet належать такі системы.

Gopher — найширше поширене засіб пошуку інформацією мережі Internet, що дозволяє знаходити інформацію з ключовим словами, і фразам. Фундаментальна обізнаність із системою Gopher нагадує перегляд змісту, у своїй користувачеві пропонується пройти крізь ряд вкладених меню і вибрати потрібну тему. У Інтернет у час понад 2000 Gopher-систем, частина з якого є вузькоспеціалізованою, а частина містить понад різнобічну информацию.

Gopher дозволяє їм отримати інформацію без зазначення імені і адрес авторів, завдяки чому користувач не витрачає багато часу нервів. Він просто повідомить системі Gopher, що саме потрібно, і системи знаходить відповідних даних. Gopher-серверов понад 2 тисяч, тому зі своїми допомогою не просто знайти необхідну інформацію. Що стосується що виникли труднощів можна скористатися службою VERONICA. VERONICA здійснює пошук більш ніж 500 системах Gopher, звільняючи користувача від необхідності переглядати їх вручную.

WAIS — ще більше потужний засіб отримання, ніж Gopher, оскільки він здійснює пошук ключових слів переважають у всіх текстах документів. Запити посилаються в WAIS на спрощеному англійській. Це значно легше, ніж формулювати їх у мові алгебри логіки, і це робить WAIS привабливішою для пользователей-непрофессионалов.

Працюючи з WAIS користувачам непотрібно витрачати чимало часу, щоб знайти потрібні їм материалы.

У «тенета Internet існує 200 WAIS — бібліотек. Але оскільки інформація представляється переважно співробітниками академічних організацій на добровільній основі, більшість матеріалів належить до галузі досліджень і комп’ютерних наук.

WWW — система до роботи з гіпертекстом. Потенційно вона є найпотужнішим засобом пошуку. Гіпертекст з'єднує різні документи з урахуванням заздалегідь заданого набору слів. Наприклад, як у тексті зустрічається нове слово чи поняття, система, що з гіпертекстом, дає можливість можливість перейти до іншому документа, у якому це слово чи поняття розглядається більш подробно.

WWW часто використовують у ролі інтерфейсу до баз даних WAIS, але відсутність гіпертекстових зв’язків обмежує можливості WWW до простого просмотра.

Користувач зі свого боку може задіяти можливість WWW працювати з гіпертекстом для зв’язок між своїми даними та даними WAIS і WWW в такий спосіб, щоб власні записи користувача хіба що інтегрувалися в інформацію у загальне доступу. Насправді цього, звісно, немає, але сприймається саме так.

WWW — відносно нову систему. Встановлено кілька демонстраційних серверів, зокрема Vatican Exibit у бібліотеці Конгресу навіть мультфільм про погоду «Витки супутника «в Мічиганському державному університеті. Як демонстраційних також сервери into.funet.fi (Фінляндія); into.cern.ch. (Швейцарія) і eies2.njit.edu (США).

Практично всі послуги мережі побудовано на принципі клієнт-сервер. Сервером у мережі Internet називається комп’ютер здатний надавати клієнтам (принаймні приходу від нього запитів) деякі мережні послуги. Взаємодія клієнт-сервер будується зазвичай так. По приходу запитів від клієнтів сервер запускає різні програми надання мережевих послуг. Принаймні виконання запущених програм сервер відповідає на запити клиентов.

Усі програмне забезпечення мережі теж можна поділити клієнтське і серверне. У цьому програмне забезпечення серверу займається наданням мережевих послуг, а клієнтське програмне забезпечення забезпечує передачу запитів серверу й одержання відповідей від него.

1.3 Гіпертекстова технологія WWW, URL, HTML.

World Wide Web перекладається російську мову як «Світове павутиння». І, в сутності, ця справді так. WWW одна із найдосконаліших інструментів до роботи на глобальної світової мережі Internet. Ця служба з’явилася порівняно нещодавно Грузія й ще продовжує бурхливо развиваться.

Найбільше розробок причетні до батьківщини WWW — CERN, European Particle Physics Laboratory; але було хибним вважати, що Web є інструментом, розробленим фізиками й у фізиків. Плідність і її ідей, належних у основу проекту, перетворили WWW в систему світового масштабу, яка надає інформацію майже переважають у всіх областях людської роботи і що охоплює приблизно 30 млн. користувачів в 83 країнах мира.

Головна відмінність WWW від інших інструментів до роботи з Internet у тому, що WWW дозволяє працювати практично з усіма доступними нині комп’ютері видами документів: що можуть бути текстові файли, ілюстрації, звукові і відео ролики, і т.д.

Що таке WWW? Це спроба зорганізувати усю інформацію в Internet, плюс будь-яку локальну інформацію з вашому вибору, як набір гіпертекстових документів. Ви переміщаєтеся через мережу, переходячи від однієї документа до іншому по посилань. Всі ці документи написані на спеціально розробленому при цьому мові, що називається HyperText Markup Language (HTML). Він чимось скидається на мову, який використовується для написання текстових документів, лише HTML простіше. Причому, можна використовувати як інформацію, надану Internet, а й створювати власні документи. У цьому разі існує низка практичних рекомендацій до написанию.

Уся користь гіпертексту полягає у створенні гіпертекстових документов, если вас зацікавив який або пункт у тому документі, то вам досить тикнути туди курсором щоб одержати потрібної інформації. Також щодо одного документі можливо робити посилання інші, написані іншими авторами і навіть розташовані іншою сервері. Тоді як зробити це подається як одне целое.

Гіпермедіа це надмножество гіпертексту. У гіпермедіа виробляються операції як над текстом, а й над звуком, зображеннями, анимацией.

Існують WWW-серверы для Unix, Macintosh, MS Windows і VMS, більшість їх поширюються вільно. Установивши WWW-сервер, ви можете вирішити дві задачи:

1. Надати інформацію зовнішнім споживачам — інформацію про вашої фірмі, каталоги продуктів та надаваних послуг, технічну чи наукову информацию.

2. Надати своїх співробітників зручний доступом до внутрішнім інформаційних ресурсів організації. Це може бути останні розпорядження керівництва, внутрішній телефонний довідник, відповіді часто поставлені запитання для користувачів прикладних систем, технічну документацію і всі, що підкаже фантазія адміністратора і користувачів. Інформація, яку собі хочете надати користувачам WWW, оформляється як файлів мовою HTML. HTML — просту мову розмітки, що дозволяє помічати фрагменти тексту і ставити посилання інших документів, виділяти заголовки кількох рівнів, розбивати текст на абзаци, центрировать їх тощо. п., перетворюючи простий текст в отформатированный гипермедийный документ. Досить легко створити html-файл вручну, проте, є спеціалізовані редактори і перетворювачі файлів з деяких інших форматов.

Для перегляду документів використовуються спеціальні просмоторщики, такі як Mosaic, Netscape, Internet Explorer, lynx, www та інші. Mosaic і Netscape зручно використати в графічних терміналах. Робота на символьних терміналах можна порекомендувати lynx.

Архитектура WWW-технологии.

Від описи основних компонентів час торкнутися архітектурі взаємодії програмного забезпечення у системі World Wide Web. WWW побудована за добре відому схему «клієнт-сервер». На схемою 1.2 показано, як розділені функції у цій схемі. Програма-клієнт виконує функції інтерфейсу користувача і відданість забезпечує доступ практично всім інформаційних ресурсів Internet. У цьому сенсі вона виходить поза звичайні рамки роботи клієнта тільки з сервером певного протоколу, як і відбувається у telnet, наприклад. Почасти, досить поширена думка, що Mosaic чи Netscape, що є WWW-клиентами, це просто графічний інтерфейс в Internet, є почасти вірним. Проте, як було відзначено, базові компоненти WWW-технологии (HTML і URL) грають при доступі решти ресурсів Mosaic не останню роль, і тому мультипротокольные клієнти слід віднести саме до World Wide Web, а немає іншим інформаційних технологій Internet. Фактично, клиент—это інтерпретатор HTML. І як типовий інтерпретатор, клієнт залежно від команд (розмітки) виконує різні функции.

Схема 1.2.

[pic].

Схема 1.2 Структура «клієнт — сервер» .

В коло цих функцій входить як розміщення тексту на екрані, але обмін інформацією з сервером принаймні аналізу отриманого HTML-текста, що найнаочніше відбувається за відображенні вмонтованих у текст графічних образів. При аналізі URL-спецификации чи з командам серверу клієнт запускає додаткові зовнішні програми до роботи з документами в форматах, відмінних HTML, наприклад GIF, JPEG, MPEG, Postscript тощо. п. Власне кажучи для запуску клієнтом програм незалежно від типу документа було розроблено програму Luncher, але протягом останнього час значно більше поширення отримав механізм узгодження що запускаються програм через MIME-типы. Іншу частина програмного комплексу WWW становить сервер протоколу HTTP, бази даних документів мають у форматі HTML, керовані сервером, і забезпечення, розроблене у стандарті специфікації CGI. До того (до освіти Netscape) реально використовувалося два HTTP-сервера: сервер CERN і сервер NCSA. Однак у час число базових серверів розширилося. З’явився дуже непоганий сервер для MS-Windows і Apachie-сервер для Unix-платформ. Є й інші, але останні двоє можна з міркувань доступності використання. Сервер для Windows — це shareware, але не матимуть вбудованого самоликвидатора, як і Netscape. З огляду на поширеність персоналок нашій країні, таке програмне забезпечення дає можливість спробувати, що таке WWW. Другий сервер — це у відповідь загрозу комерціалізації. Netscape не поширює свій сервер Netsite і пройшли чутки, що NCSA-сервер також поширюватися на комерційній основі. У результаті розроблений Apachie, котрий за словами авторів буде freeware, і реалізують нові доповнення до протоколу HTTP, пов’язані із захистом від несанкціонованого доступу, які запропоновані групою для розробки цього протоколу, й реалізуються практично переважають у всіх комерційних серверах.

База даних HTML-документов—это частина файловій системи, яка містить текстові файли в форматі HTML і з ними графіку і інші ресурси. Особливу увагу хотілося б привернути до себе документи, містять елементи екранних форм. Ці документи реально забезпечують доступом до зовнішньому програмному обеспечению.

Прикладне програмне забезпечення, працююче з сервером, можна розділити на программы-шлюзы й інші. Шлюзы—это програми, щоб забезпечити взаємодія серверу з серверами інших протоколів, наприклад ftp, чи з розподіленими на мережі серверами Oracle. Інші программы—это програми, приймаючі дані від серверу та виконують будь-які дії: отримання поточної дати, реалізацію графічних посилань, доступом до локальним баз даних чи навіть расчеты.

Завершуючи обговорення архітектури World Wide Web хотілося б вкотре підкреслити, що її компоненти існують практично всім типів комп’ютерних платформ та вільно доступні у мережі. Будь-який, хто має доступ в Internet, може створити свій WWW-сервер, чи, по крайнього заходу, подивитися інформацію з інших серверов.

Основные компоненти технології World Wide Web.

До 1989 року гіпертекст представляв нову, багатообіцяючу технологію, що мала щодо велика кількість реалізацій з одного боку, і з з іншого боку робилися спроби побудувати формальні моделі гіпертекстових систем, які мали скоріш описовий характері і були навіяні успіхом реляционного підходу описи даних. Ідея Т. Бернерс-Лі в тому, щоб застосувати гіпертекстову модель до інформаційним ресурсів, розподіленим у мережі, і зробити це максимально у спосіб. Він заклав три наріжних камені системи з чотирьох існуючих нині, розробивши: мову гіпертекстової розмітки документів HTML (HyperText Markup Lan-guage);

• універсальний засіб адресації ресурсів у мережі URL (Universal Resource Locator);

• протокол обміну гіпертекстової інформацією HTTP (HyperText Transfer Protocol).

Позже команда NCSA додала до цих трьом компонентами четвертий: • універсальний інтерфейс шлюзів CGI (Common Gateway Interface).

Идея HTML—пример надзвичайно вдалого розв’язання проблеми побудови гіпертекстової системи з допомогою спеціальної засоби управління відображенням. Для розробки мови гіпертекстової розмітки істотне вплив надали два чинника: дослідження у сфері інтерфейсів гіпертекстових систем і бажання забезпечити простий і швидкий спосіб створення гіпертекстової бази даних, розподіленої на сети.

У 1989 року активно обговорювали проблему інтерфейсу гіпертекстових систем, тобто. способів відображення гіпертекстової інформації та навігації в гіпертекстової мережі. Значення гіпертекстової технології порівнювали зі значенням друкарства. Стверджувалося, що аркуш паперу й комп’ютерні кошти отображения/воспроизведения серйозно відрізняються одна від одного й тому форма подання також має відрізнятися. Найбільш ефективної формою організації гіпертексту було визнано контекстные гіпертекстові посилання, крім того було визнано розподіл на посилання, асоційовані з усім документом загалом й окремими його частями.

Найпростіший спосіб створення будь-якого документа є його набивання в текстовому редакторі. Досвід створення добре размеченных на подальше відображення документів мають у CERN_е був — важко знайти фізика, який користувався б системою TeX чи LaTeX. З іншого боку на той час існував стандарт мови разметки—Standard Generalised Markup Language (SGML). Слід також сказати прийняти до уваги, що до своїх пропозицій БернерсЛі припускав поєднати у єдину систему наявні інформаційні ресурси CERN, і першими демонстраційними системами мають стати системи для NeXT і VAX/VMS.

Зазвичай гіпертекстові системи мають спеціальні програмні кошти побудови гіпертекстових зв’язків. Самі гіпертекстові посилання зберігаються у спеціальних форматах і навіть становлять спеціальні файли. Такий їхній підхід хороший для локальної системи, але з для розподіленої на безлічі різних комп’ютерних платформ. У HTML гіпертекстові посилання вмонтовані в тіло документи й зберігаються як він частина. Часто в системах застосовують спеціальні формати зберігання даних підвищення ефективності доступу. У WWW документы—это звичайні ASCIIфайли, які можна підготувати у кожному текстовому редакторі. Отже, проблема створення гіпертекстової бази даних було вирішено надзвичайно просто.

За базу для і розробити мови гіпертекстової розмітки був обраний SGML (Standard Generalised Markup Language). Дотримуючись академічним традиціям, Бернерс-Лі описав HTML в термінах SGML (яке змальовують мову програмування в термінах форми Бекуса-Наура). Природно, що у HTML були буде реалізовано всі розмітки, пов’язані із параграфів, шрифтів, стилів тощо. п., т.к. реалізація для NeXT передбачала графічний інтерфейс. Важливим компонентом мови стало опис вбудованих і асоційованих гіпертекстових посилань, вбудованої графіки й забезпечення можливості пошуку по ключовим словам.

З часу розробки першу версію мови (HTML 1.0) пройшло вже п’ять років. Упродовж цього терміну сталося доволі серйозне розвиток мови. Майже вдвічі збільшилася кількість елементів розмітки, оформлення дедалі більше наближається до оформлення якісних друкованих видань, розвиваються кошти описи не текстових інформаційних ресурсів немає і способи взаємодії з прикладних програмних забезпеченням. Удосконалюється механізм розробки типових стилів. Фактично, нині HTML розвивається у бік створення стандартного мови розробки інтерфейсів як локальних, і розподілених систем.

Другим наріжним каменем WWW стала універсальна форма адресації інформаційних ресурсів. Universal Resource Identification (URI) є досить струнку систему, враховує досвід адресації і ідентифікації e-mail, Gopher, WAIS, telnet, ftp тощо. п. Але реально з всього, що описано в URI, в організацію баз даних в WWW потрібно лише Universal Resource Locator (URL). Без наявності цієї специфікації всю силу HTML була б непотрібної. URL використовують у гіпертекстових посиланнях і забезпечує доступом до розподіленим ресурсів мережі. У URL може бути як інші гіпертекстові документи формату HTML, і ресурси e-mail, telnet, ftp, Gopher, WAIS, наприклад. Різні інтерфейсні програми з різного здійснюють доступом до цих ресурсів. Одні, як, наприклад Netscape, самі в змозі підтримувати взаємодія за протоколами, відмінними від протоколу HTTP, базового для WWW, інші, як, наприклад Chimera, викликають цієї мети зовнішні програми. Проте, навіть у першому випадку, базової формою уявлення відображуваної інформації є HTML, а посилання інші ресурси мають форму URL. Слід зазначити, що програми обробки електронної пошти в форматі MIME також мають можливість відображати документи, представлені у форматі HTML. З цією метою в MIME зарезервований тип «text/html».

Третім у нашій списку стоїть протокол обміну даними в World Wide WebHyperText Transfer Protocol. Цей протокол призначений обмінюватись гіпертекстовими документами і враховує специфіку такого обміну. Так було в процесі взаємодії, клієнт може мати простий новий адресу ресурсу на сети.

(relocation), запросити вмонтовану графіку, прийняти Європу і передати параметри и т. п. Управління в HTTP реалізовано вигляді ASCII-команд. Реально розробник гіпертекстової бази даних стикається з елементами протокола только під час використання зовнішніх розрахункових програм або за доступі до зовнішнім щодо WWW інформаційних ресурсів, наприклад баз данных.

Остання складова технології WWW — то це вже плід роботи групи NCSA — специфікація Common Gateway Interface. CGI була спеціально розроблена належала для розширення можливостей WWW з допомогою підключення усілякого зовнішнього програмного забезпечення. Такий їхній підхід логічно продовжував принцип публічності і простоти розробки та нарощування можливостей WWW. Якщо команда CERN запропонувала простий і швидкий спосіб розробки баз даних, то NCSA розвинула Україні цього принципу розробці програмних засобів. Слід зазначити, що у загальнодоступною бібліотеці CERN були модулі, дозволяють програмістам підключати свої програми до сервера HTTP, але ці вимагало використання цієї бібліотеки. Запропонований і описаний в CGI спосіб підключення не вимагав додаткових бібліотек та буквально приголомшувала своєї простотою. Сервер взаємодіяв з тими програмами через стандартні потоки ввода/вывода, що спрощує програмування до краю. При реалізації CGI надзвичайно важлива місце зайняли методи доступу, достойні HTTP. І хоча реально задіяні лише дві з них (GET і POST), досвід розвитку HTML показує, що підприємницькі кола WWW чекає розвитку та CGI принаймні ускладнення завдань, у яких використовуватиметься WWW-технология.

ГЛАВА 2.

Захист інформацією глобальної мережі Internet.

2.1 Проблеми захисту информации.

Internet і інформаційна безпеку несумісні за самою природою Internet. Вона і суто корпоративна мережу, проте, на цей період із допомогою єдиного стека протоколів TCP/IP і єдиної адресного простору об'єднує як корпоративні і відомчі мережі (освітні, державні, комерційні, військові й т.д.), є, з визначення, мережами з обмеженою доступом, а й рядових користувачів, які мають нагоду отримати прямий доступ в Internet із своїх домашніх комп’ютерів з допомогою модемів і телефонної мережі загального пользования.

Як відомо, чим простіша доступ до Мережі, гірше її інформаційна безпеку, тому цілком обгрунтовано можна сказати, що явна простота доступу в Internet — гірша від злодійства, оскільки користувач може не дізнатися, що він були скопійовані - файли і програми, не кажучи вже про можливість їх зурочень та корректировки.

Що й казати визначає бурхливий ріст Internet, характеризується щорічним подвоєнням числа користувачів? Відповідь проста -«халява», тобто дешевизна програмного забезпечення (TCP/IP), що у час включено в Windows 95, легкість і дешевизна доступу в Internet (або з допомогою IPадреси, або з допомогою провайдера) і до всіх світовим інформаційним ресурсам.

Платою користування Internet є загальне зниження інформаційну безпеку, для запобігання несанкціонованого доступу до своїх комп’ютерів все корпоративні і відомчі мережі, і навіть підприємства, використовують технологію intranet, ставлять фільтри (fire-wall) між внутрішньої мережею і Internet, що фактично означає вихід із єдиного адресного простору. Ще велику безпеку дасть відхід протоколу TCP/IP й доступу в Internet через шлюзы.

Цей перехід можна проводити разом з процесом побудови всесвітнього інформаційного мережі загального користування, з урахуванням використання мережевих комп’ютерів, які з допомогою мережевий карти 10Base-T і кабельного модему забезпечують високошвидкісної доступ (10 Мбіт/с) до локального Webсерверу через мережу кабельного телевидения.

Аби вирішити цієї й інших питань за переходу до нової архітектурі Internet слід передбачити следующее:

Во-первых, ліквідувати фізичну зв’язок між майбутньої Internet (яка перетвориться на Всесвітню інформаційну мережу загального користування) і корпоративними і відомчими мережами, зберігши з-поміж них лише інформаційну зв’язок системою World Wide Web.

Во-вторых, замінити маршрутизатори на комутатори, виключивши обробку в вузлах IP-протоколу і замінивши його за режим трансляції кадрів Ethernet, при якому процес комутації зводиться до простий операції порівняння MACадресов.

В-третьих, перейти до нового єдине адресне простір з урахуванням фізичних адрес доступу до середовища передачі (MAC-уровень), прив’язана географічному розташуванню мережі, і що дозволяє у межах 48-бит створити адреси понад 64 трильйонів незалежних узлов.

Безпека даних є одним із головних негараздів у Internet. З’являються дедалі нові страшні історії у тому, як комп’ютерні зломщики, використовують дедалі витонченіші прийоми, пробираються у чужі бази даних. Зрозуміло, усе це не сприяє популярності Інтернет у ділових колах. Тільки думка, що якісь хулігани чи, що ще гірше, конкуренти, зможуть одержати доступ архівам комерційних даних, змушує керівництво корпорацій відмовитися від використання відкритих інформаційних систем. Фахівці стверджують, що такі побоювання безпідставні, тому що в компаній, мають доступ і до відкритих, і приватним мереж, практично рівні шанси стати жертвами комп’ютерного террора.

Кожна організація, має працювати з хоч би не пішли цінностями, рано чи пізно стикається з зазіханням ними. Завбачливі починають планувати захист заздалегідь, непредусмотрительные—после першого великого «проколу». Так чи інакше, йдеться про тому, що, як і зажадав від кого защищать.

Зазвичай перша реакція на угрозу—стремление сховати цінності в недоступне місце і приставити до них охорону. Це щодо нескладно, якщо йдеться про такі цінностях, які вам так важко знадобляться: прибрали і забули. А ось, якщо ви необхідно постійно працювати із нею. Кожне звернення до сховище ви мали за цінностями зажадає виконання особливої процедури, відніме час і створить додаткові незручності. Така дилема безпеки: доводиться робити вибір між захищеністю вашого майна України та його доступністю вам, отже, і можливість корисного использования.

Усе це справедливе й щодо інформації. Наприклад, база даних, яка містить конфіденційні відомості, буде лише тоді повністю захищена від зазіхань, коли вона на дисках, зняті з комп’ютера та вбраних в охоронюване місце. Як ви встановили ці диски в комп’ютер і почали використовувати, з’являється відразу кількох каналів, якими зловмисник, у принципі, має нагоду отримати до вашим таємниць доступ без вашого відома. Інакше кажучи, ваша інформація або недоступна всіх, зокрема й вас, або захищена на сто процентов.

Може скластися враження, що з цієї ситуації немає виходу, але інформаційна безпеку на кшталт безпеки мореплавання: і те, й те можливе лише з урахуванням певної припустимою ступеня риска.

У сфері інформації дилема безпеки формулюється наступним чином: слід вибирати між захищеністю системи та її відкритістю. Точніше, втім, не про вибір, йдеться про балансі, оскільки система, не що має властивістю відкритості, може бути использована.

У банківській сфері проблема безпеки інформації ускладнюється двома чинниками: по-перше, майже всі цінності, із якими має справу банк (крім готівки і ще дечого), існують у вигляді тій чи іншій інформації. По-друге, банк неспроможна існувати без зв’язку з зовнішнім світом: без клієнтів, кореспондентів тощо. п. У цьому із зв’язків обов’язково передається той самий інформація, якою виражено собою цінності, з якими працює банк (або відомостей про цих цінностях та його русі, що інколи стоять дорожче самих цінностей). Іззовні приходять документи, по яким банк переводить гроші з однієї рахунку за інший. Зовні банк передає розпорядження про рух коштів за кореспондентським рахунках, отже відкритість банку задана a priori.

Слід зазначити, що це міркування справедливі стосовно не лише у автоматизованим системам, до системам, збудованим на традиційному паперовому документообігу і використовує інших зв’язків, крім кур'єрської пошти. Автоматизація додала головного болю службам безпеки, а нові тенденції розвитку сфери банківських послуг CSFB, повністю засновані на інформаційних технологій, погіршують проблему.

2.1.1 Інформаційна безпека продукції та інформаційні технологии.

На етапі автоматизації впровадження банківських систем (і взагалі коштів автоматизації банківську діяльність) не підвищувало відкритість банку. Спілкування з зовнішнім світом, як й раніше, йшло через операционистов і кур'єрів, тому додаткова загроза безпеки інформації випливала лише від його можливих зловживань із боку які у сам банк фахівців із інформаційним технологиям.

Становище змінилася після того, ринку фінансових послуг стали з’являтися продукти, саме виникнення яких неможливо було немислимо без інформаційних технологій. Передусім это—пластиковые картки. Поки обслуговування за картками йшло у режимі голосової авторизації, відкритість інформаційної системи банку підвищувалася незначно, але потім банкомати, POS-термінали, інші устрою самообслуживания—то є кошти, належать до інформаційної системі банку, але розташовані за її межами і пропонує доступні стороннім для банку лицам.

Повысившаяся відкритість системи зажадала спеціальних заходів для контролю та регулювання обміну: додаткові засоби ідентифікації і аутентифікації осіб, які запитують доступом до системі (PIN-код, інформацію про клієнта на магнітної смузі чи пам’яті мікросхеми картки, шифрування даних, контрольні числа й інші засоби захисту карток), коштів криптозахисту інформацією каналах зв’язку й т. д.

Ще більше зрушення балансу «защищенность-открытость» убік останньої пов’язані з телекомунікаціями. Системи електронних розрахунків між банками захистити щодо нескладно, оскільки суб'єктами електронного обміну інформацією між виступають самі банки. Проте, там, де захисту не приділялося необхідне увагу, результати було цілком передбачувані. Найбільш кричущий пример—к жалю, Україна. Використання вкрай примітивних засобів захисту телекомунікацій у 1992 р. призвело до величезним втрат на фальшивих авизо.

Загальна тенденція розвитку телекомунікацій, і масово обчислювальної техніки привела зрештою до того що, що у ринку банківських послуг CSFB в усьому світі з’явилися нові, суто телекомунікаційні продукти, й у першу чергу системи Home Banking (вітчизняний аналог—"клиент-банк"). Це зажадало забезпечити клієнтам цілодобовий доступом до автоматизованої банківську систему щодо операцій, причому повноваження скоєння банківських транзакцій отримав безпосередньо клієнт. Ступінь відкритості інформаційної системи банку зросла майже краю. Відповідно, потрібні особливі, спеціальні заходи у тому, аби так само значно не впала її защищенность.

Нарешті, грянула епоха «інформаційної супермагістралі»: взрывообразное розвиток мережі Internet і що з нею послуг. Разом з новими можливостями ця мережа принесла й побудувати нові небезпеки. Здається, яка різниця, як клієнт пов’язують із банком: по коммутируемой лінії, прийдешньої на модемний пул банківського вузла зв’язку, чи з IPпротоколу через Internet? Однак у першому випадку максимально можливе кількість підключень обмежується технічними характеристиками модемного пулу, у другому же—возможностями Internet, які можна значно вищий. З іншого боку, мережевий адресу банку, у принципі, загальнодоступний, тоді як телефонні номери модемного пулу можуть повідомлятися лише зацікавленим особам. Відповідно, відкритість банку, чия інформаційна система коштує пов’язані з Internet, значно вища, порівняно з першим разі. Чи ж тільки не за п’ять місяців 1995 р. комп’ютерну мережу Citicorp зламували 40 раз! (Це говорить, втім, й не так якусь «небезпеки» Internet взагалі, як про недостатньо кваліфікованої роботі адміністраторів безпеки Citicorp.).

Усе це зумовлює необхідність перегляду підходів забезпечувати інформаційну безпеку банку. Підключаючись до Internet, слід наново проаналізувати ризику та план захисту інформаційної системи, а також конкретного плану ліквідацію наслідків, що виникають у разі розв’язання тих чи інших порушень конфіденційності, збереження і доступності информации.

На погляд, нашій країні проблема інформаційної безпеки банку менш гостра: до Internet нам, тоді як більшості банків стоять системи другого покоління, працюють у технології «файлсервер». На жаль, і ми вже зареєстровані «комп'ютерні крадіжки». Становище ускладнюється двома проблемами. Насамперед, як свідчить досвід спілкування з представниками банківських служб безпеки, і керівництві, і серед персоналу вони мають переважають колишні оперативні співробітники органів внутрішніх справ, чи держбезпеки. Вони мають високої кваліфікацією у сфері, але переважно своєму не дуже ознайомлені з інформаційними технологіями. Фахівців із інформаційну безпеку в нашій країні взагалі взагалі обмаль, оскільки масової ця професія стає лише тепер. Другої проблеми пов’язана з тим, що в багатьох банках безпеку автоматизованої банківської системи не аналізується і забезпечується всерйоз. Дуже мало де є той необхідний набір організаційних документів (аналіз ризику, план захисту та план ліквідацію наслідків), про якій ішлося вище. Понад те, безпеку інформації часто-густо не може бути забезпечена у межах наявної у банку автоматизованої системи та прийнятих правил роботи з ней.

Не недавно мені довелося читати лекцію основи інформаційної безпеки одному з семінарів для керівників управлінь автоматизації комерційних банків. Відповідаючи на запитання: «Чи знаєте Ви, скільки людина заслуговують укладати приміщення, де знаходиться сервер бази даних Вашого банку?», ствердно відповіло трохи більше 40% присутніх. Поіменно назвати тих, хто має право, змогли лише 20%. У більшості інших банках доступ до цього приміщення необмежений і не контролюється. Що казати про доступі до робітників станциям!

Що ж до автоматизованих банківських систем, та найбільш поширені системи другого-третього поколінь складаються з набору автономних програмних модулів, що запускаються з командної рядки DOS на робочих станціях. Оператор має можливість у будь-якої миті вийшла у DOS з такого програмного модуля. Передбачається, що це необхідно переходу на другий програмний модуль, але вони у системі немає жодних засобів як виключити запуск оператором будь-яких інших програм (від невинною гри до програми, модифицирующей дані банківських рахунків), а й проконтролювати дії оператора. Слід зазначити, що у ряді систем цих поколінь, зокрема розроблених дуже шановними вітчизняними фірмами і які й сотнями, файли рахунків не шифруються, т. е. з цими у яких можна ознайомитися найпростішими загальнодоступними засобами. Багато розробники обмежують кошти адміністрування безпеки штатними засобами мережевий ОС: ввійшов у мережу — роби, що хочешь.

Становище змінюється, але дуже повільно. Навіть у багатьох нових розробках питанням безпеки приділяється безперечно, недостатня увагу. На виставці «Банк і Офіс — 95» було представлено автоматизована банківсько системо з архітектурою клиент—сервер, причому робочі станції функціонують під Windows. У цьому системі дуже своєрідно вирішене вхід оператора у програмі: в діалоговому вікні запитує пароль, та був пред’являється вплинув на вибір список прізвищ всіх операторів, котрі мають працювати з цим модулем! Таких прикладів можна навести ще много.

Проте, наші банки приділяють інформаційних технологій багато уваги, досить швидко засвоюють нове. Мережа Internet і фінансові продукти, пов’язані із нею, увійдуть до життя банків Росії швидше, чому це припускають скептики, тому вже нині необхідно перейнятися питаннями інформаційну безпеку іншою, більш професійний рівень, ніж це робилося досі пор.

Некоторые рекомендации:

1. Необхідний комплексний підхід до інформаційну безпеку. Інформаційна безпеку має як складова частина загальної безпеки банка—причем як важлива і невід'ємна значна її частина. Розробка концепції інформаційну безпеку повинна обов’язково проходити з участю управління безпеки банку. У цьому концепції слід передбачати як заходи, пов’язані з інформаційними технологіями (криптозащиту, програмні кошти адміністрування прав користувачів, їх ідентифікації і аутентифікації, «брандмауэры» за захистом входов—выходов сіті й т. п.), а й заходи адміністративного і технічного характеру, включаючи жорсткі процедури контролю фізичного доступу до автоматизованої банківську систему, і навіть кошти синхронізації і обміну даними між модулем адміністрування безпеки банківської системи та системою охраны.

2. Необхідно участь співробітників управління безпеки на етапі выбора—приобретения—разработки автоматизованої банківської системи. Це участь на повинен зводитися до перевірки фірми-постачальника. Управління безпеки має контролювати наявність належних коштів розмежування доступу до інформацією одержуваної системе.

На жаль, нинішні системи сертифікації у сфері банківських систем скоріш вводять у оману, ніж допомагають вибрати засоби захисту інформації. Сертифікувати використання засобів проти неї ФАПСИ, проте правом своїм цей орган користується дуже своєрідно. Так, один високопоставлений співробітник ЦБ РФ (попросив не називати його від імені) розповів, що ЦБ витратив досить багато часу і грошей отримання сертифіката одне із засобів криптозахисту інформації (до речі, розроблене одній з організацій, які входять у ФАПСИ). Майже після одержання сертифіката він було відкликано: ЦБ запропонували знову пройти сертифікацію вже з новими засобом криптозащиты—разработанным тієї ж організацією з ФАПСИ.

Постає питання, що ж насправді підтверджує сертифікат? Якщо, як передбачає наївний користувач, він підтверджує придатність кошти криптозахисту виконання цього функції, то відгук сертифіката каже у тому, що з початковому сертифицировании ФАПСИ щось обминуло увагою, а потім виявило дефект. Отже, даний продукт не забезпечує криптозахисту і забезпечував її від начала.

Якщо ж, як їх планують користувачі більш досвідчені, ФАПСИ відкликав сертифікат не через огріхи у першому продукті, ті значення сертифікації цим агентством чого це не пішли зводиться нанівець. Справді, раз «якісь» комерційні міркування переважають над об'єктивної оцінкою продукту, то хто може гарантувати, що у вперше сертифікат було видано завдяки високому якості продукту, а чи не за тими самими «якимось» соображениям?

Звідси випливає третя практична рекомендація: ставитися суто обережно до будь-яких сертифікатам й віддаватиме перевагу тим продуктам, надійність підтверджено успішним використанням у світовому фінансової практиці. Безпека у мережі Internet.

2.2 Засоби захисту информации.

Зараз навряд чи комусь треба, що з підключенні до Internet Ви піддаєте ризику безпеку Вашої локальної сіті й конфіденційність котра міститься у ній інформації. За даними CERT Coordination Center в 1995 року було зареєстровано 2421 інцидентів — зломів локальних мереж, і серверів. За результатами опитування, проведеного Computer Security Institute (CSI) серед 500 найбільших організацій, компаній, і університетів з 1991 число незаконних вторгнень зросло 48.9%, а втрати, викликані тими атаками, оцінюються 66 млн. доларів США.

Однією з найпоширеніших механізмів захисту від інтернетівських бандитів — «хакерів» є застосування межсетевых екранів — брэндмауэров (firewalls).

Слід зазначити, що у слідстві непрофесіоналізму адміністраторів і недоліків деяких типів брэндмауэров порядку 30% зломів відбувається після установки захисних систем.

Не треба думати, що це викладене вище — «заморські дивини». Усім, хто впевнений, що Росія впевнено наздоганяє інші країни числу зломів серверів і локальних мереж, і принесеному ними збитку, слід ознайомитися з тематичної добіркою матеріалів російської преси, та матеріалами Hack Zone (Zhurnal.Ru).

Не дивлячись на який правової хаос в расматриваемой області, будь-яка діяльність з розробки, у продажу і використання коштів захисту інформації регулюється безліччю законодавчих і нормативних документів, проте використовувані системи підлягають обов’язкової сертифікації Державній Технічною Комисией за нового президента России.

2.2.1 Технологія роботи у глобальних мережах Solstice FireWall-1.

Нині питанням безпеки даних в розподілених комп’ютерних системах приділяється дуже великий увагу. Розроблено безліч коштів на забезпечення інформаційну безпеку, виділені на використання різних комп’ютерах з різними ОС. У ролі однієї із напрямів можна назвати міжмережеві екрани (firewalls), покликані контролювати доступом до інформації з боку користувачів зовнішніх сетей.

У цьому документі розглядаються засадничі поняття екрануючих систем, і навіть вимоги, які пред’являються ним. Приклад пакета Solstice FireWall-1 розглядається неcколько типових випадків використання таких систем, особливо стосовно питань забезпечення безпеки Internetпідключень. Розглянуто також кілька унікальних особливостей Solstice FireWall-1, дозволяють говорити про його лідерство у цьому класі приложений.

ПРИЗНАЧЕННЯ ЕКРАНУЮЧИХ СИСТЕМ І ВИМОГИ До НИМ.

Проблема межсетевого екранізування формулюється так. Нехай є дві інформаційні системи або двоє безлічі інформаційних систем. Екран (firewall) — цей засіб розмежування доступу клієнтів із одного безлічі систем до інформації, що зберігається на серверах й інші множестве.

Малюнок 2.2.1 [pic].

Рисунок 2.2.1 Екран FireWall.

Екран виконує своїх функцій, контролюючи все інформаційні потоки між двома множинами інформаційних систем, працюючи як певна «інформаційна мембрана». У цьому сенсі екран можна уявляти собі як набір фільтрів, аналізують яка стелиться них інформацію на основі закладених них алгоритмів, котрі приймають рішення: пропустити цю інформацію чи відмовити у її пересилання. З іншого боку, таку систему може виконувати реєстрацію подій, що з процесами розмежування доступу. зокрема, фіксувати все «незаконні» спроби доступу до інформації та, додатково, сигналізувати про ситуаціях, потребують негайної реакції, тобто піднімати тревогу.

Зазвичай экранирующие системи роблять несиметричними. Для екранів визначаються поняття «всередині» і «зовні», і завдання екрана полягає у захисту внутрішньої мережі від «потенційно ворожого» оточення. Найважливішим прикладом потенційно ворожої зовнішньої мережі є Internet.

Розглянемо докладніше, які проблеми виникають при побудові екрануючих систем. А розглядатимемо як проблему безпечного підключення до Internet, а й розмежування доступу всередині корпоративної мережі организации.

Первое, очевидне вимогу до таким системам, забезпечення безпеки внутрішньої (защищаемой) сіті й повний контроль над зовнішніми підключеннями і сеансами связи.

Во-вторых, экранирующая система повинна мати потужними і гнучкими засобами самонаведення простого і сповненого впровадження політики безпеки організації та, ще, задля забезпечення простий реконфигурации системи за зміни структури сети.

В-третьих, экранирующая система повинна працювати непомітно для користувачів локальної сіті й не ускладнювати виконання ними легальних действий.

В-четвертых, экранирующая система повинна працювати досить ефективно й встигати обробляти весь вхідний і вихідний трафік в «пікових» режимах. Це потрібно, щоб firewall не міг, умовно кажучи, «закидати» велику кількість викликів, що призвели б спричиняє порушення її работы.

Пятое. Система забезпечення безпеки мусить бути сама надійно захищена від будь-яких несанкціонованих впливів, оскільки є ключем до конфіденційної комп’ютерної інформації в организации.

Шестое. У ідеалі, якщо в організації є кілька зовнішніх підключень, зокрема й у віддалених філіях, систему управління екранами повинна матимуть можливість централізовано забезпечувати їм проведення єдиної політики безопасности.

Седьмое. Система Firewall повинен мати кошти авторизації доступу користувачів через зовнішні підключення. Типовою є ситуація, коли частина персоналу організації повинна виїжджати, наприклад, у відрядження, й у процесі роботи їм, тим немение, потрібно доступ, по крайнього заходу, до деяким ресурсів внутрішньої комп’ютерну мережу організації. Система повинна вміти надійно розпізнавати таких користувачів і давати їм необхідний доступом до информации.

СТРУКТУРА СИСТЕМИ SOLSTICE FIREWALL-1.

Класичним прикладом, у якому хотілося б проілюструвати все вищевикладені принципи, є програмний комплекс Solstice FireWall-1 компанії Sun Microsystems. Цей пакет неодноразово відзначався нагородами на виставках і конкурсах. Вона має багатьма корисними особливостями, що виділяють його серед продуктів аналогічного назначения.

Розглянемо основні компоненти Solstice FireWall-1 і функції, які вони реалізують (рис. 2.2.2).

Центральним системі FireWall-1 є модуль управління всім комплексом. З цією модулем працює адміністратор безпеки мережі. Слід зазначити, що продуманість і зручність графічного інтерфейсу модуля управління зазначалося у багатьох незалежних оглядах, присвячених продуктам даного класса.

Малюнок 2.2.2.

[pic].

Рисунок 2.2.2 Основні компоненти Solstice FireWall-1 .

Адміністратору безпеки мережі для конфигурирования комплексу FireWall-1 необхідні наступний ряд действий:

• Визначити об'єкти, що у процесі обробки інформації. Тут маю на увазі користувачі і групи користувачів, комп’ютери та його групи, маршрутизатори й різні подсети локальної мережі організації. • Описати мережні протоколи і сервіси, із якими працюватимуть докладання. Втім, зазвичай достатнім виявляється набір з більш як 40 описів, поставлених і системи FireWall-1. • Далі, з допомогою запроваджених понять описується політика розмежування доступу у таких термінах: «Групі користувачів, А дозволено доступом до ресурсу Б з допомогою сервісу чи протоколу З, але це необхідно зробити позначку в реєстраційному журналі». Сукупність таких записів компілюється в исполнимую форму блоком управління і далі передається на виконання в модулі фильтрации.

Модулі фільтрації можуть розташовуватися за комп’ютерами — шлюзи чи виділених серверах — чи маршрутизаторах як частину конфигурационной інформації. Нині підтримуються такі два типу маршрутизаторів: Cisco IOS 9. x, 10. x, і навіть BayNetworks (Wellfleet) OS v.8.

Модулі фільтрації переглядають все пакети, вступники на мережні інтерфейси, і залежно від заданих правил, пропускають чи відкидають ці пакети, із відповідною записом в реєстраційному журналі. Слід відзначити, що це модулі, працюючи безпосередньо з драйверами мережевих інтерфейсів, обробляють весь потік даних, маючи повну інформацію про переданих пакетах.

ПРИКЛАД РЕАЛІЗАЦІЇ ПОЛІТИКИ БЕЗОПАСНОСТИ.

Расcмотрим процесc практичної реалізації політики безпеки організації з допомогою програмного пакета FireWall-1. (рис. 2.2.3) .

Малюнок 2.2.3.

[pic].

Рисунок 2.2.3 Реалізація політики безпеки FireWall.

1. Насамперед, як зазначалось, розробляються та затверджуються на рівні вищого керівництва організації правила політики безпеки. 2. Після затвердження цих правил треба в життя. І тому його потрібно перекласти на структуру типу «звідки, куди й як саме доступ дозволено чи, навпаки, заборонено. Такі структури, як ми знаємо, легко переносяться в бази правил системи FireWall-1. 3. Далі, основі цієї бази правил формуються списки доступу для маршрутизаторів і сценарії роботи фільтрів на мережевих шлюзи. Списки і сценарії далі переносяться на фізичні компоненти мережі, після чого правила політики безпеки «набирають сили». 4. У процесі роботи фільтри пакетів на шлюзи і серверах генерують записи про всі події, що їм наказали відстежувати, і навіть, запускають механізми «тривоги», потребують від адміністратора негайної реакції. 5. За підсумками аналізу записів, зроблених системою, відділ комп’ютерної безпеки організації може розробляти пропозиції щодо зміни і подальшого розвитку політики безопасности.

Рассмотрим простий приклад реалізації наступних правил:

1. З локальних мереж підрозділів, можливо віддалених, дозволяється зв’язок з кожного локальної мережею організації після аутентифікації, наприклад, по UNIXпаролю. 2. Усім забороняється доступом до мережі фінансового департаменту, крім генеральний директор й директори цього департаменту. 3. З Internet дозволяється лише відправляти і реально отримувати пошту. Про всіх інших спробах зв’язку треба робити докладну запись.

Всі ці правила природним чином видаються засобами графічного інтерфейсу Редактора Правил FireWall-1 (рис. 2.2.4).

Малюнок 2.2.4.

[pic].

Рисунок 2.2.4 Графічний інтерфейс Редактора Правил FireWall-1 .

Після завантаження правил, FireWall-1 кожному за пакета, переданого через мережу, послідовно переглядає список правил до перебування елемента, відповідного поточному случаю.

Важливим моментом є захист системи, де розміщений административно-конфигурационный модуль FireWall-1. Рекомендується заборонити засобами FireWall-1 всі види доступу до цієї машині, чи з крайнього заходу суворо обмежити список користувачів, якою це дозволено, і навіть вжити заходів із фізичному обмеження доступу і з захисту звичайними засобами ОС UNIX.

УПРАВЛІННЯ СИСТЕМОЮ FIREWALL-1.

На рис. 2.2.5 показано основні елементи управління системою FireWall-1.

Малюнок 2.2.5.

[pic].

Рисунок 2.2.5 Основні елементи управління системою FireWall-1.

Зліва розташовані редактори баз даних про об'єкти, що у сіті й про протоколах чи сервисах, з допомогою яких обмін інформацією. Праворуч вгорі показаний редактор правил доступа.

Праворуч внизу розташовується інтерфейс контролю поточного стану системи, у якому всім об'єктів, які заніс туди адміністратор, відбиваються дані про кількість дозволених комунікацій (галочки), про кількості залишених зв’язків (знак «цегла») і про кількість комунікацій з реєстрацією (іконка олівець). Цегляна стіна за символом об'єкта (комп'ютера) означає, що вона встановлено модуль фільтрації системи FireWall-1.

ЩЕ ОДИН ПРИКЛАД РЕАЛІЗАЦІЇ ПОЛІТИКИ БЕЗОПАСНОСТИ.

Розглянемо тепер випадок, коли початкова конфігурація мережі змінюється, а із нею змінюється від і політика безопасности.

Нехай вирішили установити в себе у створенні кілька загальнодоступних серверів надання інформаційних послуг. Це можуть бути, наприклад, сервери World Wide Web, FTP й інші інформаційні сервери. Оскільки такі відокремлені з посади решти мережі організації, їм часто виділяють своє власне подсеть, має вихід в Internet через шлюз (рис. 2.2.6).

Малюнок 2.2.6 [pic].

Рисунок 2.2.6 Схема шлюзу Internet.

Бо у попередньому прикладі локальна мережа була вже захищена, то усе, що потрібно зробити, це дозволити відповідний доступ в виділену подсеть. Це робиться з допомогою однієї додаткової рядки у редакторі правил, що тут показано. Така ситуація є типовою за зміни конфігурації FireWall-1. Зазвичай цього потрібно зміна одного чи небагатьох рядків наборі правил доступу, що, безсумнівно, ілюструє міць коштів конфигурирования і загальну продуманість архітектури FireWall-1.

АУТЕНФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ПРИ РОБОТІ З FTP.

Solstice FireWall-1 дозволяє адміністратору встановити різні режими роботи з інтерактивними сервісами FTP і telnet щодо різноманітних користувачів і груп користувачів. При встановленому режимі аутентифікації, FireWall-1 заміняє стандартні FTP і telnet демони UNIX на свої власні, володіючи їхніми на шлюзі, закритому з допомогою модулів фільтрації пакетів. Користувач, який хотів розпочинати інтерактивну сесію по FTP чи telnet (це повинен бути дозволений користувач й у дозволене йому час), може зробити це тільки через вхід за показ такої шлюз, що й виконується вся процедура аутентифікації. Вона задається в описах користувачів чи груп користувачів і можна проводити такими способами: • Unix-пароль; • програма S/Key генерації одноразових паролів; • картки SecurID з апаратної генерацією одноразових паролей.

ГНУЧКІ АЛГОРИТМИ ФІЛЬТРАЦІЇ UDP-ПАКЕТОВ, ДИНАМІЧНИЙ ЭКРАНИРОВАНИЕ.

UDP-протоколы, що входять до склад набору TCP/IP, є особливу проблему задля забезпечення безпеки. З одного боку з їхньої основі створено безліч додатків. З іншого боку, всі є протоколами «без стану», що зумовлює відсутності різниці між запитом і відповіддю, прихожим ззовні защищаемой сети.

Пакет FireWall-1 вирішує цієї проблеми створенням контексту сполук поверх UDP сесій, запам’ятовуючи параметри запитів. Пропускаються тому лише відповіді зовнішніх серверів на вислані запити, які однозначно відрізняються від будь-яких інших UDP-пакетов (читай: незаконних запитів), оскільки з їхньою параметри зберігаються у пам’яті FireWall-1.

Слід зазначити, що це можливість є у дуже небагатьох програмах екранізування, розповсюджуваних на справжній момент.

Зауважимо також, що подібні механізми використовуються для додатків, використовують RPC, й у FTP сеансів. Тут виникають подібні проблеми, пов’язані з динамічним виділенням портів для сеансів зв’язку, які FireWall-1 відстежує аналогічно, запам’ятовуючи необхідну інформацію при запитах таких сеанси й щодо забезпечення лише «законний» обмін даними. Дані можливості пакета Solstice FireWall-1 різко виділяють його серед усіх інших межсетевых екранів. Вперше проблему забезпечення безпеки вирішена всім без винятку сервісів і протоколів, що у Internet.

МОВА ПРОГРАММИРОВАНИЯ.

Система Solstice FireWall-1 має власний вмонтований обьектноорієнтований мову програмування, застосовуваний для описи поведінки модулів — Фільтрів системи. Власне, результатом роботи графічного інтерфейсу адміністратора системи є сгенерированный сценарій роботи на цьому внутрішньому мові. Він складний для розуміння, що допускає безпосереднє програмування у ньому. Проте практично дана можливість майже використовується, оскільки графічний інтерфейс системи та так дозволяє: зробити майже всі, що нужно.

ПРОЗОРІСТЬ І ЭФФЕКТИВНОСТЬ.

FireWall-1 цілком прозорий для кінцевих користувачів. Ще однією дивовижну властивість системи Solstice FireWall-1 є дуже високий швидкість роботи. Фактично модулі системи працюють на мережевих швидкостях передачі, що з компіляцією сгенерированных сценаріїв роботи перед підключенням їх у процес фильтрации.

Компанія Sun Microsystems наводить такі дані про ефективність роботи Solstice FireWall-1. Модулі фільтрації на Internet-шлюзе, сконфигурированные типовим багатьом організацій чином, працюючи на швидкостях звичайного Ethernet удесятеро Мб/сек, забирають він трохи більше 10% обчислювальної потужності процесора SPARCstation 5,85 МГц чи комп’ютера 486DX2−50 з операційній системою Solaris/x86.

Solstice FireWall-1 — ефективний засіб корпоративних мереж, і їх сегментів від зовнішніх загроз, і навіть від несанкціонованих взаємодій локальних користувачів з зовнішніми системами.

Solstice FireWall-1 забезпечує высокоуровневую підтримку політики безпеки організації з відношенню всім протоколів сімейства TCP/IP.

Solstice FireWall-1 характеризується прозорістю для легальних користувачів і високою ефективністю. За сукупністю технічних і вартісних характеристик Solstice FireWall-1 займає лідируючу позицію серед межсетевых экранов.

2.2.2 Обмеження доступу в WWW серверах Рассмотрим дві з них: • Обмежити доступ по IP адресами клієнтських машин; • запровадити ідентифікатор одержувача з паролем для цього виду документов.

Такого роду введення обмежень став досить часто, т.к. багато прагне до Internet, щоб використати його комунікації для доставки своєї інформації споживачеві. З допомогою що така механізмів по розмежування прав доступу зручно виробляти саморассылку інформації на яку існує договор.

Обмеження по IP адресам Доступ до приватний документам можна вирішити, або навпаки заборонити використовуючи IP адреси конкретних машин чи сіток, например:

123.456.78.9.

123.456.79.

В цьому випадку доступ буде вирішено (чи заборонено залежно від контексту) для машини з IP адресою 123.456.78.9 і всіх машин подсетки 123.456.79.

Обмеження по ідентифікатору получателя Доступ до приватний документам можна вирішити, або навпаки заборонити використовуючи присвоєне ім'я і пароль конкретному користувачеві, причому пароль вочевидь ніде не зберігається. Розглянемо такий приклад: Агентство друку надає своєї продукції, лише передплатникам, які уклали угоду і оплатили підписку. WWW Сервер перебуває у мережі Internet і общедоступен.

Малюнок 2.2.7 [pic].

Рисунок 2.2.7 Приклад списку вісників издательства.

Виберемо Вісник наданий конкретному передплатникові. На клиентском місці передплатник отримує сообщение:

Малюнок 2.2.8 [pic].

Рисунок 2.2.8 Вікно введення пароля.

Якщо він правильно написав своє ім'я і пароль, він допускається до документа, інакше — отримує сообщение:

Малюнок 2.2.9 [pic].

Рисунок 2.2.9 Вікно неправильного введення пароля.

2.3 Інформаційна безпеку Intranet.

Архітектура Intranet передбачає підключення до зовнішніх відкритим мереж, використання зовнішніх сервісів і надання власних сервісів зовні, що пред’являє підвищені вимоги до захисту информации.

У Intranet-системах використовується підхід клієнт-сервер, а головна роль нині відводиться Web-сервису. Web-серверы повинні підтримувати традиційні захисні кошти, такі як аутентификация і розмежування доступу; ще, необхідно забезпечення нових властивостей, особливо безпеки програмної середовища проживання і на серверної, і клієнтської сторонах.

Такі, коли говорити зовсім коротко, завдання у сфері інформаційної безпеки, що виникають у із переходом технологію Intranet. Далі ми розглянемо можливі підходи до решению.

Формирование режиму інформаційну безпеку — проблема комплексная.

Меры з її рішенню можна розділити чотирма рівня: • законодавчий (закони, нормативні акти, стандарти т.п.); • адміністративний (дії загального характеру, здійснювані керівництвом організації); • процедурний (конкретних заходів безпеки, мають працювати з людьми); • програмно-технічний (конкретні технічні меры).

В такого порядку і буде побудовано наступне изложение.

ЗАКОНОДАВЧИЙ УРОВЕНЬ.

Нині найбільш докладним законодавчим документом в області інформаційну безпеку є Кримінальним кодексом, точніше кажучи, його нова редакція, увійшовши з у травні 1996 года.

У розділі IX («Злочини проти громадську безпеку») є глава 28 — «Злочини у сфері комп’ютерної інформації». Вона містить три статті - 272 («Неправомірний доступом до комп’ютерної інформації»), 273 («Створення, використання й розповсюдження шкідливих програм для ЕОМ») і 274 — «Порушення правил експлуатації ЕОМ, системи ЕОМ чи його мережі». Кримінальним кодексом слід за варті всіх аспектів інформаційну безпеку — доступності, цілісності, конфіденційності, передбачаючи покарань «знищення, блокування, модифікацію і копіювання інформації, порушення роботи ЕОМ, системи ЕОМ чи його сети».

Дуже енергійну роботу у області сучасних інформаційних технологій проводить Державна технічна комісія (Гостехкомиссия) за Президента Російської Федерації. У межах серії керівних документів (РД) Гостехкомиссии підготовлений проект РД, який встановлює класифікацію межсетевых екранів (firewalls, чи брандмауэров) за рівнем забезпечення захищеності від несанкціонованого доступу (НСД). Це — принципово важливий документ, дозволяє впорядкувати використання захисних коштів, необхідні реалізації технології Intranet.

РОЗРОБКА МЕРЕЖЕВИХ АСПЕКТІВ ПОЛІТИКИ БЕЗОПАСНОСТИ.

Політика безпеки окреслюється сукупність задокументованих управлінські рішення, вкладених у захист інформації та асоційованих із нею ресурсов.

При з розробки й проведенні їх у життя доцільно керуватися такими принципами: • неможливість уникнути захисні кошти; • посилення найслабшого ланки; • неможливість переходу в небезпечне стан; • мінімізація привілеїв; • поділ обов’язків; • эшелонированность оборони; • розмаїтість захисних коштів; • простота і керованість інформаційної системи; • забезпечення загальної підтримки заходів безопасности.

Пояснимо сенс перелічених принципів. Якщо в зловмисника чи незадоволеного користувача буде можливості уникнути захисні кошти, він, зрозуміло, і зробить. Що стосується межсетевым екранам даний принцип означає, що це інформаційні потоки в защищаемую мережу і з її маємо проходити через екран. Не має бути «таємних» модемних входів чи тестових ліній, що у обхід екрана. Надійність будь-який оборони визначається найслабшим ланкою. Зловмисник не боротиметься проти сили, він віддасть перевагу легку перемогу над слабкістю. Часто найслабшим ланкою не комп’ютер чи програма, а людина, і тоді проблему забезпечення інформаційну безпеку набуває нетехнічний характер.

Принцип неможливості переходу в небезпечне стан означає, що за будь-яких обставин, зокрема позаштатних, захисне засіб або повністю виконує своїх функцій, або повністю блокує доступ. Образно кажучи, тоді як фортеці механізм звідного мосту ламається, міст має залишатися у піднятий стані, перешкоджаючи проходу неприятеля.

Принцип мінімізації привілеїв наказує виділяти користувачам і адміністраторам ті права доступу, необхідних їм для виконання службових обязанностей.

Принцип поділу обов’язків передбачає такий розподіл ролей та виховання відповідальності, у якому одна людина неспроможна порушити критично значущий організації процес. Особливо важливо, щоб запобігти зловмисні чи некваліфіковані дії системного администратора.

Принцип эшелонированности оборони наказує не покладатися однією захисний кордон, хоч би яким надійним він здавався б. За засобами фізичної захисту повинні слідувати програмно-технічні кошти, за ідентифікацією і аутентификацией — управління доступом як і останній кордон, — протоколювання і аудит. Ешелонована оборона здатна по крайнього заходу затримати зловмисника, а наявність такого рубежу, як протоколювання і аудит, істотно утруднює непомітне виконання злочинних действий.

Принцип розмаїття захисних коштів рекомендує організовувати різні за своїм характером оборонні рубежі, щоб від потенційного зловмисника вимагалося оволодіння різноманітними й за можливості, несумісними між собою навичками (наприклад умінням долати високу огорожу і знанням слабкостей кількох операційних систем).

Дуже важливий принцип простоти і керованості інформаційної системи в цілому і захисних засобів у особливості. Тільки для простого захисного кошти можна формально чи неформально довести його коректність. Тільки у дуже простій і керованої системі можна перевірити узгодженість конфігурації різних компонентів і зробити централізоване адміністрування. У цьому важливо відзначити інтегруючу роль Webсервісу, приховує розмаїтість обслуговуваних об'єктів і надає єдиний, наочний інтерфейс. Відповідно, якщо об'єкти деякого виду (скажімо таблиці бази даних) доступні через Web, необхідно заблокувати прямий доступу до них, що у іншому разі система буде складною і трудноуправляемой.

Останній принцип — загальна підтримка заходів безпеки — носить нетехнічний характер. Якщо користувачі і/або системні адміністратори вважають інформаційну безпеку чимось зайвим і навіть ворожим, режим безпеки сформувати явно вдасться. Слід погодитися з самого початку передбачити комплекс заходів, направлений замінити забезпечення лояльності персоналу, на постійне навчання, теоретичне і, практическое.

Аналіз ризиків — найважливіший етап вироблення політики безпеки. При оцінці ризиків, до яких схильні Intranet-системы, потрібно враховувати такі обставини: • нові загрози стосовно старим сервісів, які з можливості пасивного чи активного прослуховування мережі. Пасивне прослуховування означає читання мережного трафіку, а активне — його зміна (крадіжку, дублювання чи модифікацію переданих даних). Наприклад, аутентификация віддаленого клієнта з допомогою пароля багаторазового використання неспроможна вважатися надійної в мережевий середовищі, незалежно від довжини пароля; • нові (мережні) сервіси і асоційовані із нею угрозы.

Зазвичай, в Intranet-системах слід дотримуватися принципу «усе, що не дозволено, заборонено», оскільки «зайвий» мережевий сервіс може надати канал проникнення корпоративну систему. У принципі так, таку ж думку висловлює становище «все незрозуміле опасно».

ПРОЦЕДУРНІ МЕРЫ.

Загалом і в цілому Intranet-технология не пред’являє будь-яких специфічних вимог до заходам процедурного рівня. На думку, на окремий розгляд заслуговують лише дві обставини: • опис посад, що з визначенням, наповненням і підтримкою корпоративної гіпертекстової структури документів; • підтримка життєвого циклу інформації, що сповнює Intranet.

При описі посад доцільно виходити із аналогії між Intranet і видавництвом. У видавництві існує директор, визначальний загальну спрямованість діяльності. У Intranet цьому відповідає Webадміністратор, вирішальний, яка корпоративна інформація повинна бути присутніми при Web-сервере і варто структурувати дерево (точніше, граф) HTML-документов.

У багатопрофільних видавництвах існують редакції, займаються конкретними напрямами (математичні книжки, книжки для дітей тощо.). Аналогічно, в Intranet доцільно виділити посаду публікатора, котрий відає появою документів окремих підрозділів, і визначального перелік і характеру публикаций.

Біля кожної книжки є титульний редактор, відповідальний перед видавництвом про роботу. У Intranet редактори займаються вставкою документів мають у корпоративне дерево, їх корекцією і видаленням. У великих організаціях «шар» публикатор/редактор може складатися зі кількох уровней.

Нарешті, й у видавництві, й у Intranet повинні прагнути бути автори, створюють документи. Підкреслимо, що вони повинні мати прав на модифікацію корпоративного дерева і окремих документів. Їх справа — передати свою працю редактору.

Крім офіційних, корпоративних, в Intranet можуть бути присутні групові та особисті документи, порядок роботи із якими (ролі, права доступу) визначається, відповідно, груповими і особистими интересами.

Переходячи до питань підтримки життєвого циклу Intranet-информации, нагадаємо, про необхідності використання коштів конфігураційного управління. Важливе гідність Intranet-технологии у тому, що основні операції конфігураційного управління — внесення змін (створення нової версії) й витягування старої версії документа — природним чином вписуються до рамок Web-интерфейса. Ті, це необхідно, можуть працювати з деревом всіх версій всіх документів, підмножиною якого є дерево найсвіжіших версий.

УПРАВЛІННЯ ДОСТУПОМ ШЛЯХОМ ФІЛЬТРАЦІЇ ИНФОРМАЦИИ.

Ми переходимо до розгляду заходів програмно-технічного рівня, вкладених у забезпечення інформаційну безпеку систем, побудованих в технології Intranet. На місце цього ми поставимо міжмережеві екрани — засіб розмежування доступу, служить захисту від зовнішніх загроз і південь від загроз із боку користувачів інших сегментів корпоративних сетей.

Зазначимо, що боротися із погрозами, властивими мережевий середовищі, засобами універсальних операційними системами неможливо. Універсальна ОС — це велика програма, напевно що містить, крім явних помилок, деякі особливості, які можна використовуватимуться отримання нелегальних привілеїв. Сучасна технологія програмування дозволяє зробити такі великі програми безпечними. З іншого боку, адміністратор, має справу з складної системою, які завжди в стані врахувати всі неприємні наслідки вироблених змін (як і лікар, не який відає всіх побічних впливів які рекомендуються ліків). Нарешті, в універсальної многопользовательской системі проломи безпечно постійно створюються самими користувачами (слабкі і/або рідко змінювані паролі, невдало встановлені права доступу, залишений без нагляду термінал і т.п.).

Як зазначалося вище, єдиний перспективний шлях пов’язані з розробкою спеціалізованих захисних коштів, що з своєї простоти допускають формальну чи неформальну верифікацію. Міжмережевий екран таки є засобом, допускає подальшу декомпозицію, пов’язану з обслуговуванням різних мережевих протоколов.

Міжмережевий екран — це полупроницаемая мембрана, яка розташовується між защищаемой (внутрішньої) мережею і довкіллям (зовнішніми мережами чи іншими сегментами корпоративної мережі) і контролює все інформаційні потоки у внутрішнє мережу і з її (Рис. 2.3.1). Контроль інформаційних потоків полягає у їх фільтрації, тобто у вибірковому пропущенні через екран, можливо, з виконанням деяких перетворень та повідомленням відправника у тому, що його даним в пропуску відмовлено. Фільтрація складає основі набору правил, попередньо завантажених в екран і є вираженням мережевих аспектів політики безпеки организации.

Малюнок 2.3.1.

[pic].

Рисунок 2. 3.1 Міжмережевий екран як контролю інформаційних потоков.

Доцільно розділити випадки, коли екран встановлюється на кордону з зовнішньої (зазвичай загальнодоступною) мережею чи межі між сегментами однієї корпоративної мережі. Відповідно, ми говоритиме про зовнішньому і внутрішньому межсетевых экранах.

Зазвичай, спілкування з зовнішніми мережами використовуються виключно сімейство протоколів TCP/IP. Тому зовнішній міжмережевий екран повинен хочуть враховувати специфіки цих протоколів. Для внутрішніх екранів ситуація складніше, тут слід сприймати до уваги крім TCP/IP по крайнього заходу протоколи SPX/IPX, застосовувані у мережах Novell NetWare. Інакше кажучи, від внутрішніх екранів нерідко потрібно многопротокольность. Ситуації, коли корпоративна мережу утримує лише один зовнішній канал, є, скоріш, винятком, ніж правилом. Навпаки, типова ситуація, коли він корпоративна мережу складається з кількох територіально рознесених сегментів, кожен із яких підключено до мережі загального користування (Рис. 2.3.2). І тут кожне підключення має захищатися своїм екраном. Точніше, вважатимуться, що корпоративний зовнішній міжмережевий екран є складовим, і потрібно вирішувати проблему узгодженого адміністрування (управління та принципи аудиту) всіх компонентов.

Малюнок 2.3.2.

[pic].

Рисунок 2.3.2 Екранування корпоративної мережі, що з кількох територіально рознесених сегментів, кожен із яких підключено до мережі загального пользования.

Зблизька будь-якого питання, що стосується мережевих технологій, основою служить семиуровневая еталонна модель ISO/OSI. Міжмережеві екрани також доцільно класифікувати у тій, якому рівні виробляється фільтрація — канальном, мережному, транспортному чи прикладному. Відповідно, можна говорити про екрануючих концентраторах (рівень 2), маршрутизаторах (рівень 3), про транспортному экранировании (рівень 4) і прикладних екранах (рівень 7). Є також комплексні екрани, що аналізують інформацію на кількох уровнях.

У цьому роботі не будемо розглядати экранирующие концентратори, оскільки концептуально вони мало від екрануючих маршрутизаторов.

Під час ухвалення рішення «пропустить/не пропустити», міжмережеві екрани може використати як інформацію, що є в фильтруемых потоках, а й даних, отримані із оточення, наприклад поточне время.

Отже, можливості межсетевого екрана безпосередньо визначаються тим, яка інформація можна використовувати в правилах фільтрації та яка то, можливо потужність наборів правил. Власне кажучи, ніж вище рівень у моделі ISO/OSI, у якому функціонує екран, тим паче змістовна інформація йому доступна і, отже, тим тонше й надійніше екран то, можливо сконфигурирован. У той самий час фільтрація на кожному з вищеназваних рівнів має своїми достоїнствами, такими як дешевизна, високою ефективністю чи прозорість для користувачів. У силу цієї, деяких інших причин, здебільшого використовуються змішані конфігурації, у яких об'єднані різнотипні екрани. Найтиповішим є поєднання екрануючих маршрутизаторів і прикладного екрана (Рис. 2.3.3).

Наведена конфігурація називається экранирующей підмережею. Як правило, сервіси, які організація надає для зовнішнього застосування (наприклад «представницький» Web-сервер), доцільно виносити саме на экранирующую подсеть.

Крім виразних можливостей та припустимого кількості правил якість межсетевого екрана визначається двома дуже важливими характеристиками — простотою застосування і власної захищеністю. У плані простоти використання першочергового значення мають наочний інтерфейс при завданні правил фільтрації і можливість централізованого адміністрування складових конфігурацій. Натомість, у тому аспекті хотілося б виділити кошти централізованої завантаження правил фільтрації та набору правил на несуперечність. Важливий і централізований збирання та аналіз реєстраційної інформації, і навіть отримання сигналів про спроби виконання дій, заборонених політикою безопасности.

Власна захищеність межсетевого екрана забезпечується тими самими засобами, як і захищеність універсальних систем. За виконання централізованого адміністрування треба ще подбати про захист інформації від пасивного і активної прослуховування мережі, тобто забезпечити її (інформації) цілісність і конфиденциальность.

Малюнок 2.3.3.

[pic].

Рисунок 2.3.3 Поєднання екрануючих маршрутизаторів й ужиткового экрана.

Хотілося б зазначити, що природа екранізування (фільтрації), як механізму безпеки, дуже глибока. Крім блокування потоків даних, що порушують політику безпеки, міжмережевий екран може приховувати інформацію про защищаемой мережі, цим утруднюючи дії потенційних зловмисників. Так, прикладної екран може здійснювати дії від імені суб'єктів внутрішньої мережі, у результаті із зовнішнього мережі здається, що має місце взаємодія лише з межсетевым екраном (Рис. 2.3.4). За такого підходу топологія внутрішньої мережі прихована від зовнішніх користувачів, тому це завдання зловмисника істотно усложняется.

Малюнок 2.3.4.

[pic].

Рисунок 2.3.4 Справжні й мнимі інформаційні потоки.

Більше загальним методом приховування інформації про топології защищаемой мережі є трансляція «внутрішніх» мережевих адрес, яка попутно вирішує проблему розширення адресного простору, виділеного організації. Обмежує інтерфейс теж можна розглядати, як різновид екранізування. На невидимий об'єкт важко нападати, особливо з допомогою фіксованого набору коштів. У цьому сенсі Web-интерфейс має природною захистом, особливо у тому випадку, коли гіпертекстові документи формуються динамічно. Кожен вбачає лише те, що належить. Экранирующая роль Web-сервиса наочно виявляється тоді, коли цей сервіс здійснює посередницькі (точніше, інтегруючі) функції при доступі решти ресурсів, зокрема таблицям бази даних. Тут не лише контролюються потоки запитів, а й приховується реальна організація баз данных.

БЕЗПЕКА ПРОГРАМНОЇ СРЕДЫ.

Ідея мереж з так званими активними агентами, як між комп’ютерами передаються як пасивні, а й активні виконувані дані (тобто програм), зрозуміло, не нова. Спочатку мета зводилася до того, аби знизити мережевий трафік, виконуючи основну частину обробки там, де розташовуються дані (наближення програм до даних). На це означало переміщення програм на сервери. Класичний приклад реалізації такого підходу — це збережені процедури в реляционных СУБД. Для Web-серверов аналогом збережених процедур є програми, обслуговуючі загальний шлюз інтерфейс (Common Gateway Interface — CGI).

CGI-процедуры розташовуються на серверах і звичайно йдуть на динамічного породження HTML-документов. Політика безпеки організації і процедурні заходи ніби наперед визначають, хто проти неї поміщати на сервер CGI-процедуры. Жорсткий контроль тут необхідний, оскільки виконання сервером некоректною програми можуть призвести до як завгодно важким наслідків. Розумна міра технічного характеру полягає у мінімізації привілеїв користувача, від чийого імені виконується Web-сервер.

У технології Intranet, якщо дбати про якість і виразної силі користувальницького інтерфейсу, виникає потреба в переміщенні програм з Web-серверов на клієнтські комп’ютери — до створення анімації, виконання семантичного контролю при введення даних, і т.д. Взагалі, активні агенти — невід'ємний елемент технології Intranet.

У якій напрямі ні переміщалися програми з мережі, ці дії представляють підвищену небезпека, т.к. програма, отримана з ненадійного джерела, може містити ненавмисно внесені помилки чи цілеспрямовано створений злобливий код. Така програма потенційно загрожує всім основним аспектам інформаційної безопасности:

• доступності (програма може поглинути все готівкові ресурси); • цілісності (програма може видалити або ушкодити дані); • конфіденційності (програма може прочитати дані і їх по сети).

Проблему ненадійних програм усвідомлювали давно, але, мабуть, лише у рамках системи програмування Java вперше запропонована цілісна концепція її решения.

Java пропонує три оборонних рубежу: • надійність мови; • контроль і при отриманні програм; • контроль і під час программ.

Втім, є ще один, дуже важливе засіб забезпечення інформаційну безпеку — безпрецедентна відкритість Java-системы. Вихідні тексти Java-компилятора і інтерпретатора доступні для перевірки, тому є велика можливість, що помилки і недоліки першими будуть виявляти чесні фахівці, а чи не зловмисники. У концептуальному плані найбільші труднощі представляє контрольоване виконання програм, завантажених через мережу. Насамперед, необхідно визначити, що насамперед вважаються для таких програм припустимими. Якщо виходити із те, що Java — це мову для написання клієнтських частин додатків, однією з основних вимог яких є мобільність, завантажена програма може обслуговувати лише користувальницький інтерфейс і здійснювати мережне взаємодію Космосу з сервером. Програма неспроможна працювати з файлами хоча б адже Java-терминале їх, можливо, нічого очікувати. Більше змістовні дії мають вироблятися серверної боці чи здійснюватися програмами, локальними для клієнтської системы.

Цікавий підхід пропонують фахівці компанії Sun Microsystems задля забезпечення безпечного виконання командних файлів. Йдеться середовищі Safe-Tcl (Tool Comman Language, інструментальний командний мову). Sun запропонувала так звану ячеечную модель інтерпретації командних файлів. Існує головний інтерпретатор, якому доступні всі можливості мови. Якщо у процесі роботи докладання необхідні сумнівний командний файл, породжується підлеглий командний інтерпретатор, у якого обмеженою функціональністю (наприклад, потім із нього може бути віддалені кошти роботи з файлами і мережні можливості). Через війну потенційно небезпечні програми виявляються в’язнями осередки, які захищають користувальні системи від ворожих дій. На виконання дій, які вважають привілейованими, підлеглий інтерпретатор може поводження з запитами до головного. Тут, очевидно, проглядається аналогія з поділом адресних просторів операційної системи й користувальних процесів та використанням останніми системних викликів. Така модель вже близько 30 є стандартної для многопользовательских ОС.

ЗАХИСТ WEB-СЕРВЕРОВ.

Поруч із забезпеченням безпеки програмної середовища (див. попередній розділ), найважливішим буде питання розмежування доступу до об'єктів Webсервісу. Аби вирішити цього питання треба усвідомити, що об'єктом, як ідентифікуються суб'єкти і її модель управління доступом — примусова чи довільна — применяется.

У Web-серверах об'єктами доступу виступають універсальні локатори ресурсів (URL — Uniform (Universal) Resource Locator). За цими локаторами можуть стояти різні сутності - HTML-файлы, CGI-процедуры тощо. Зазвичай, суб'єкти доступу ідентифікуються по IP-адресам і/або іменам комп’ютерів, і областей управління. З іншого боку, можна використовувати парольна аутентификация користувачів або як складні схеми, засновані на криптографічних технологиях.

У багатьох Web-серверов права розмежовуються з точністю до каталогів (директорій) із застосуванням довільного управління доступом. Можуть надаватися права для читання HTML-файлов, виконання CGI-процедур і т.д.

Для раннього виявлення спроб нелегального проникнення Web-сервер важливий регулярний аналіз реєстраційної информации.

Зрозуміло, захист системи, де функціонує Web-сервер, повинна слідувати універсальним рекомендаціям, головною з є максимальне спрощення. Усі непотрібні сервіси, файли, устрою мали бути зацікавленими віддалені. Кількість користувачів, мають прямий доступом до серверу, має бути зведено до мінімуму, які привілеї - упорядковані відповідно до службовими обязанностями.

Інша спільна принцип у тому, аби максимально зменшити обсяг інформації про сервері, яку можуть одержати користувачі. Багато сервери в разі звернення з імені каталогу й відсутності файла index. HTML у ньому, видають HTML-вариант змісту каталогу. У цьому вся змісті можуть зустрітися імена файлів з вихідними текстами CGI-процедур чи з іншою конфіденційної інформацією. Такі «додаткових можливостей» доцільно відключати, оскільки зайве знання (зловмисника) множить суму (власника сервера).

АУТЕНТИФИКАЦИЯ У ВІДКРИТИХ СЕТЯХ.

Методи, застосовувані у відкритих мережах на утвердження та дійсності суб'єктів, повинні прагнути бути стійкі до пасивному й активному прослуховування мережі. Суть їх зводиться до следующему.

• Суб'єкт демонструє знання секретного ключа, у своїй ключ або взагалі не передається через мережу, або передається в зашифрованому вигляді. • Суб'єкт демонструє володіння програмним чи апаратним засобом генерації одноразових паролів чи засобом, працюють у режимі «запитвідповідь». Цілком ймовірно, що перехоплення і наступне відтворення одноразового пароля чи відповіді запит щось дає зловмиснику. • Суб'єкт демонструє справжність свого місцеположення, у своїй використовується система навігаційних спутников.

ВІРТУАЛЬНІ ПРИВАТНІ СЕТИ.

Однією з найважливіших завдань є захист потоків корпоративних данных, передаваемых по відкритим мереж. Відкриті канали може бути надійно защищенылишь одним методом — криптографическим.

Зазначимо, що це звані виділені лінії що немає особливими перевагами перед лініями загального користування у плані інформаційної безпеки. Виділені лінії хоча б частково розташовуватимуться в неконтрольованої зоні, де з їхніми можуть зашкодити чи здійснити до них несанкціоноване підключення. Єдине реальне гідність — це гарантована пропускну здатність виділених ліній, а не якато підвищена захищеність. Втім, сучасні оптоволоконні канали здатні задовольнити потреби багатьох абонентів, тому й вказане гідність який завжди убрано на реальну форму.

Цікаво згадати, що у мирний час 95% трафіку Міністерства оборони США передається через мережі загального користування (зокрема через Internet). У час ця частка повинна бути «лише» 70%. Можна припустити, що Пентагон — не найбідніша організація. Американські військові покладаються на мережі загального користування оскільки розвивати власну інфраструктуру за умов швидких технологічних змін — заняття дуже дороге житло й безперспективна, виправдане навіть критично важливих національних організацій лише у виняткових случаях.

Звісно ж природним покласти міжмережевий екран завдання шифрування і дешифрування корпоративного трафіку по дорозі на зовнішній мережу і з її. Аби такий шифрование/дешифрование можна було, має статися початкова розподіл ключів. Сучасні писав криптографічні технології пропонують при цьому низку методов.

Коли міжмережеві екрани що його криптографічне закриття корпоративних потоків даних, територіальна разнесенность сегментів мережі виявляється лише на підприємства різної швидкості обміну з різними сегментами. У іншому вся мережу виглядає як єдине ціле, як від абонентів непотрібен залучення будь-яких додаткових захисних средств.

ПРОСТОТА І ОДНОРІДНІСТЬ АРХИТЕКТУРЫ.

Найважливішим аспектом інформаційну безпеку є керованість системи. Керованість — те й підтримку високої доступності системи за рахунок раннього виявлення та ліквідації проблем, і можливість зміни апаратної і програмної конфігурації відповідно до зміненими умовами чи потребами, і оповіщення про спроби порушення інформаційну безпеку практично у часі, й відповідне зниження числа помилок адміністрування, і що, багато другое.

Найгостріше проблема керованості постає на клієнтських робочих місцях і стику клієнтської і серверної частин інформаційної системи. Причина проста — клієнтських місць вулицю значно більше, ніж серверних, вони, як правило, розкидані на значно більшою площі, їх використовують котрі мають різною кваліфікацією і звичками. Обслуговування і адміністрування клієнтських робочих місць — заняття надзвичайно складний, дороге житло й чревате помилками. Технологія Intranet з допомогою простоти і однорідності архітектури дозволяє: зробити вартість адміністрування клієнтського робочого місця практично нульової. Важливіше те, що заміна та повторний введення в експлуатацію клієнтського комп’ютера можна здійснити нас дуже швидко, оскільки це «клієнти без стану», вони мають нічого, що потребувало б тривалого відбудови чи конфигурирования.

На стику клієнтської і серверної частин Intranet-системы перебуває Webсервер. Це уможливлює єдиний механізм реєстрації користувачів і наділення їх правами доступу з наступним централізованим адмініструванням. Взаємодія з численними різнорідними сервісами виявляється прихованим тільки від користувачів, а й у значною мірою від системного администратора.

Завдання забезпечення інформаційну безпеку в Intranet виявляється простіший, ніж у випадку довільних розподілених систем, побудованих в архітектурі клиент/сервер. Причина тому — однорідність і простота архітектури Intranet. Якщо розробники прикладних систем зуміють у повній мері скористатися цією перевагою, то, на програмно-технічному рівні ним буде досить кількох недорогих і у освоєнні продуктів. Щоправда, до цього необхідно додати продуману політику безпеки і цілісний набір заходів процедурного уровня.

Заключение

.

У процесі дипломного проектування досліджувалося 15 пакетів абонентського програмного забезпечення. У пакетах абонентського програмного забезпечення вивчалися їхньої можливості в операційних середовищах MS-DOS і MSWindows, методи настройки, режими роботи, і навіть простота функціонування. За результатами досліджень кожному за пакета абонентського програмного забезпечення були дані рекомендації про можливість використання тієї чи іншої пакета у глобальній інформаційної мережі яка працює базі протоколів TCPIP.

Порівняйте пакетів абонентського програмного забезпечення між собою і вибору кращого було написано програма експертного выбора.

З проведених досліджень можна зробити такі выводы.

Для операційній середовища MS-DOS найкращим пакетом абонентського програмного забезпечення з погляду користувача є пакет Minuet, розроблений університетом Міннесоти (США). Пакет Minuet має повним спектром послуг мережі Internet, і навіть відмінним користувальницьким інтерфейсом. Minuet простий використання, може працюватиме, як по ЛВС і по комутаційних лініях і, найголовніше, набагато дешевше своїх аналогів. Безперечно пакет Minuet нині кращий абонентським пакетом для ОС MS-DOS. Він то, можливо рекомендований практично усім категоріям абонентів сети.

Для операційній середовища MS-DOS найкращим пакетом абонентського програмного забезпечення з погляду фахівця є пакет KA9Q. Пакет KA9Q поширюється разом із вихідними текстами і має у собі весь спектр мережевих послуг, може бути рекомендований фахівцям мережі в ролі вихідний матеріал розробки нового пакета абонентського програмного обеспечения.

Для операційній середовища MS-Windows найкращим пакетом абонентського прогрaммного забезпечення може визнаватися пакет Chameleon, є розробкою фірми NetManage (CША). Пакет Chameleon має повний набір послуг мережі Internet. Крім цього Chameleon має у собі NFSсервер, і навіть може працювати маршрутизатором мережі. Сьогодні Chameleon може визнаватися найкращим пакетом для операційній середовища MS Windows. Пакет Chameleon то, можливо рекомендований тим абонентам мережі, яким необхідний пакет абонентського програмного забезпечення для MSWindows. Він також може бути рекомендований як маршрутизатора для зв’язку невеличкий ЛВС з сетью.

Кращим поштовим пакетом для операційній середовища MS-DOS є безумовно пакет MAIL2, розроблений фірмою PC-центр Техно (Росія). Пакет Mail2 має відмінним користувальницьким інтерфейсом, простий в їх настроюванні і недорогий. Він може працюватиме, як в ЛВС, і по комутаційних лініях. Він може рекомендуватися усім категоріям користувачів сети.

Кращим поштовим пакетом для операційній середовища MS-Windows вважатимуться пакет DMail for Windows, розроблений фірмою Демос (Росія). Пакет DMail то, можливо рекомендований для використання тим абонентам, які потребують електронної пошти і звикли працювати у середовищі Windows.

Кращим пакетом для найповнішого використання інформаційних ресурсів мережі Internet є пакет Mosaic, розроблений NCSA (National Centre of Supercomputing Applications) CША. Mosaic — найпотужніший інструмент для мандри мережі Internet. З допомогою Mosaic користувачі може бути доступом до гіпертекстовим бібліотекам WWW, до звичайних баз даних мережі Internet і систем пошуку інформацією них.

У результаті дипломного пректирования для пакетів Minuet, Mail2 і було розроблено інструкції встановлення і експлуатації даних пакетів абонентського програмного забезпечення. Пакети Chameleon і Dmail продаються разом із повним комплектом фірмової документації, пакет Mosaic поширюється вільно разом з досить повної документацией.

Список спеціальних терминов.

Англійські термины.

Alta Vista — одне із наймогутніших пошукових серверів Internet. Archie — архів. Система визначення місцезнаходження файлів у публічних архівах мережі Internet. ARP (Address Resolution Protocol) — протокол визначення адреси, перетворює адресу комп’ютера у мережі Інтернет у його фізичний адресу. ARPA (Advanced Research Projects Agency) — бюро проектів передових досліджень Міністерства оборони США. ARPANET — эксперементальная мережу, працювала в 1970;ті роки майже, де перевірялися теоретична базу й програмное забезпечення, положеные основою Internet. Нині немає. Bps (bit per second) — біт в секунду. Одиниця виміру пропускної здібності лінії зв’язку. Пропускна здатність лінії зв’язку визначається кількістю інформації, переданої лінією за одиницю часу. Cisco — маршрутизатор, розроблений фірмою Cisco-Systems. DNS (Domain Name System) — доменна система імен. розподілена система баз даних для перекладу імен комп’ютерів у мережі Інтернет у їх IP-адреси. Ethernet — тип локальної мережі. Гарна розмаїттям типів дротів для сполук, які забезпечують пропускні здібності від 2 до 10 мільйонів bps (2−10 Mbps). Досить часто комп’ютери, використовують протоколи TCP/IP, через Ethernet приєднуються до Internet. FTP (File Transfer Protocol) — протокол передачі файлів, протокол, визначальний правила пересилки файлів з однієї комп’ютера в інший. FAQ (Frequently Asked Qustions) — часто поставлені запитання. Розділ публічних архівів мережі Інтернет у якому зберігається інформація для «початківців «користувачів мережевий інфраструктури. Gopher — інтерактивна оболонка на допомогу пошуку, приєднання та збільшення використання ресурсів немає і можливостей Internet. Інтерфейс з користувачем здійснено системою меню. HTML (Hypertext Markup Language) — мову для написання гіпертекстових документів. Основна особливість — наявність гіпертекстових перетинів поміж документами які у різних архівах мережі; завдяки цим зв’язкам можна безпосередньо під час перегляду одного документа переходити до іншим документам. Internet — глобальна комп’ютерна мережу. internet — технологія мережного взаємодії між комп’ютерами різних типів. IP (Internet Protocol) — протокол межсетевого взаємодії, найважливіший з протоколів мережі Internet, забезпечує маршрутизацію пакетів у мережі. IР-адрес — унікальний 32-битный адресу кожного комп’ютера у мережі Internet. Iptunnel — одне з прикладних програм мережі Internet. Дає можливість доступу до сервера ЛВС NetWare з яким немає безпосередній зв’язок по ЛВС, а є лише зв’язок через мережу Internet. Lpr — мережна печатку. Команда відправки файла на печатку на такого далекого принтері. Lpq — мережна печатку. Показує файли які у черги на печатку. NetBlazer — маршрутизатор, розроблений фірмою Telebit. NetWare — мережна операційна система, розроблена фірмою Novell; дозволяє будувати ЛВС засновану на принципі взаємодії клієнт-сервер. Взаємодія між сервером і клієнтом в ЛВС NetWare виготовляють основі власного протоколів (IPX), тим щонайменше протоколи TCP/IP також підтримуються. NFS (Network File System) — розподілена файлова система. Також надає зокрема можливість використання файловій системи віддаленого комп’ютера як додаткового НЖМД. NNTP (Net News Transfer Protocol) — протокол передачі мережевих новин. Забезпечує отримання мережевих новин і електронних дощок оголошень мережі і можливість приміщення інформації на дошки оголошень мережі. Ping — утиліта перевірка зв’язки й з віддаленій ЕОМ. POP (Post Office Protocol) — протокол «поштовий бюро ». Використовується для обміну поштою між хостом і абонентами. Особливість протоколу — обмін поштовими повідомленнями на запит від абонента. PPP (Point to Point Protocol) — протокол канального рівня дозволяє використовуватиме виходу в Internet звичайні модемні лінії. Щодо новий протокол, є аналогом SLIP. RAM (Random Acsess Memory) — оперативна пам’ять. RFC (Requests For Comments) — запити коментарів. Розділ публічних архівів мережі Інтернет у якому зберігається інформацію про всіх стандартних протоколах мережі Internet. Rexec (Remote Execution) — виконання однієї команди на віддаленій UNIXмашині. Rsh (Remote Shell) — віддалений доступ. Аналог Telnet, але працює лише у тому випадку, якби такого далекого комп’ютері стоїть ОС UNIX. SLIP (Serial Line Internet Protocol) — протокол канального рівня дозволяє використовуватиме виходу в Internet звичайні модемні лінії. SMTP (Simple Mail Transfer Protocol) — простий протокол передачі пошти. Основнная особливість протоколу SMTP — обмін поштовими повідомленнями відбувається за запиту однієї з хостів, а ще через певний час (кожні 20 — 30 хвилин). Пошта між хостами в Internet передається з урахуванням протоколу SMTP. Talk — одне з прикладних програм мережі Internet. Дає можливість відкриття «розмови «з користувачем віддаленій ЕОМ. У цьому на екрані одночасно друкується запроваджуваний і відповідь віддаленого користувача. Telnet — віддалений доступ. Дає можливість абоненту працювати про всяк ЕОМ мережі Internet як у свого власного. TCPIP — під TCPIP зазвичай розуміється все безліч протоколів підтримуваних у мережі Internet. TCP (Transmission Control Protocol) — протокол котроля передачі у мережі. TCP — протокол транспортного рівня, одна з основних протоколів мережі Internet. Відповідає за з’ясування умотивованості й підтримку віртуального каналу (тобто. логічного сполуки), і навіть за безпомилкову передачу інформації на каналі. UDP (User Datagram Protocol) — протокол транспортного рівня, на відміну протоколу TCP не забезпечує безпомилкової передачі пакета. Unix — многозадачная операційна система, основна операційна середовище в мережі Internet. Має різні реалізації: Unix-BSD, Unix-Ware, UnixInteractive. UUCP — протокол копіювання інформації з однієї Unix-хоста в інший. UUCP — не входить до складу протоколів TCP/IP, але з тих щонайменше ще широко використовують у мережі Internet. За підсумками протоколу UUCP — побудовано багато системи обміну поштою, досі використовувані у мережі. VERONICA (Very Easy Rodent-Oriented Netwide Index to Computer Archives) — система пошуку інформацією публічних архівах мережі Internet по ключовим словами. WAIS (Wide Area Information Servers) — потужну систему пошуку інформацією базах даних мережі Internet по ключовим словами. WWW (World Wide Web) — світове павутиння. Система розподілених баз даних, які мають гіпертекстовими зв’язками між документами. Whois — адресна книга мережі Internet. Webster — мережна версія тлумачного словника англійського языка.

Росіяни термины Драйвер — загружаемая в оперативну пам’ять програма, управляюча обміном даними між прикладними процесами зовнішніми пристроями. Гіпертекст — документ, має зв’язки з іншими документами системою виділених слів (посилань). Гіпертекст з'єднує різні документи на основі заздалегідь заданого набору слів. Наприклад, як у тексті зустрічається нове слово чи поняття, система, що з гіпертекстом, дає можливість можливість перейти до іншому документа, у якому це слово чи поняття розглядається докладніше. ЛВС — локальна обчислювальна мережу. Маршрутизатор (router) — комп’ютер мережі, займається маршрутизацією пакетів у мережі, тобто вибором найкоротшого маршруту прямування пакетів по мережі. Модем — пристрій проебразующее цифрові сигнали в аналогову форму і назад. Використовується передачі інформації між комп’ютерами по аналоговим лініях зв’язку. НЖМД — нагромаджувачі на жорсткому магнітному диску. Протокол — сукупність правив і угод, що регламентують формат і процедуру між двома або кількох незалежними пристроями чи процесами. Стандартні протоколи дозволяють связыватся між собою комп’ютерів різних типів, працюють у різних операційні системи. Ресурс — логічна чи фізична частина системи, яка то, можливо виділено користувачеві чи процесу. Сервер — програма для мережного комп’ютера, що дозволяє надати послуги одного комп’ютера іншому комп’ютера. Що Обслуговуються комп’ютери повідомляються з сервер-программой з допомогою користувальницької програми (клиент-программы). Kомпьютер у мережі, який свої послуги іншим, тобто виконує певні функції запитам інших. Вузол — комп’ютер у мережі, виконує основні мережні функції (обслуговування мережі, передача повідомлень тощо.). Хост — мережна робоча машина; головна ЕОМ. Мережний комп’ютер, який крім мережевих функцій (обслуговування мережі, передача повідомлень) виконує користувальні завдання (програми, розрахунки, обчислення). Шлюз — станція зв’язки з зовнішнім або інший мережею. Може забезпечувати зв’язок несумісних мереж, і навіть взаємодія несумісних додатків у однієї мережі. Електронна пошта — обмін поштовими повідомленнями будь-яким абонентом мережі Internet.

Використані источники.

1. Браун З. «Мозаїка» і «всесвітнє павутиння» для доступу до Internet: Пер. з анг. — М.: Світ: Малип: СК Пресс, 1996. — 167c. 2. Гайкович У., Першин А. Безпека електронних банківських систем. — М.: «Єдина Європа », 1994. — 264 з. 3. Гилстер П. Новий навігатор Internet: Пер з анг. -Київ: Діалектика, 1996. — 495 з. 4. Игер Б. Праця у Internet / Під ред. А. Тихонова; Пер. з анг. — М.: БІНОМ, 1996. — 313 з. 5. Кент П. Internet / Пер. з анг. В.Л. Григор'єва. — М.: Комп’ютер, ЮНИТИ, 1996. — 267 з. 6. Колесников О. Э. Інтернет для ділову людину. — M.: МЦФ. Издат. фірма «Яуза», 1996. — 281 з. 7. Крол Ед. Усі про Internet: Керівництво області і каталог / Пер. з анг. С. М. Тимачева. — Київ: BNV, 1995. 591 з. 8. Левін В. К. Захист інформацією інформаційно-обчислювальних cистемах і мережах // Програмування. — 1994. — N5. — З. 5−16. 9. Нольден М. Ваш перший вихід Internet: Для початківців пльзователей Internet і кола користувачів PC / Гол. ред. Є.В. Кондукова; Пер з ньому. К. А. Шиндер. — Спб.: ІКС, 1996. — 238 з. 10. Продукти року // LAN — російське видання. — квітень 1995. — тому 1. — номер 1. — З. 6−25. 11. Про інформацію, інформатизації і захист інформації: Федеральний Закон // Російська газета. — 1995. — 22 лютого. — З. 4. 12. Фролов А. В., Фролов Г. В. Глобальні мережі комп’ютерів. Практичне введення у Internet, Е-mail, FTP, WWW, і HTML, програмування для Windiws Sockets. — Діалог — МІФІ, 1996. — 283 з. 13. Хоникат Д. Internet Windows 95: Керівництво користувача / Пер. з анг. У. Неклюдова. — М.: БІНОМ, 1996. — 334 з. 14. Cheswick W.R., Bellovin S.M. Firewalls and Internet Security: Repelling the Wily Hacker. — Addison-Wesley, 1994. — 275 з. 15. An Introduction to Computer Security: The NIST Handbook. Draft. — National Institute of Standards and Technology, Technology Administration, U.S. Department of Commerce, 1994. — 310 c.