Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

+++ЛЕКЦИЯ 01. ПОНЯТИЕ СЕТЕВОЙ БЕЗОПАСНОСТИ И ЕЕ СУЩНОСТЬ_(11.04.. Лекция понятие сетевой безопасности и ее сущность основные сведения об архитектуре вычислительных сетей


Скачать 3.7 Mb.
НазваниеЛекция понятие сетевой безопасности и ее сущность основные сведения об архитектуре вычислительных сетей
Дата13.04.2022
Размер3.7 Mb.
Формат файлаpptx
Имя файла+++ЛЕКЦИЯ 01. ПОНЯТИЕ СЕТЕВОЙ БЕЗОПАСНОСТИ И ЕЕ СУЩНОСТЬ_(11.04..pptx
ТипЛекция
#469123

Кафедра «Информационная безопасность» Учебная дисциплина «Безопасность сетей»

Лекция 1. ПОНЯТИЕ СЕТЕВОЙ БЕЗОПАСНОСТИ И ЕЕ СУЩНОСТЬ

1.1. Основные сведения об архитектуре вычислительных сетей.

1.2. Принципы обеспечения информационной безопасности сетей.

Лектор - к.т.н. доц. Кучкаров Тахир Анварович

ВВЕДЕНИЕ

Безопасность информационных технологий – это защищённость от опасности и от возможного ущерба при реализации угроз. Наносимый ущерб может быть материальным, моральным или физическим, а субъектами нанесения ущерба в конечном счёте являются люди.

Примеры:

Пример 1. Инсулиновая помпа - небольшое медицинское устройство, которое носят диабетики, которые вводят инсулин в качестве альтернативы многократным ежедневным инъекциям с помощью шприца или ручки. Пример 2. Дефибриллятор - используется для стабилизации сердцебиения. Взлом дефибриллятора и его перепрограммирование так, чтобы отключить режим энергосбережения, так что батарея разрядилась в часах, а не лет. По оценкам, в настоящее время используется более 3 миллионов кардиостимуляторов и 1,7 миллиона имплантируемых Кардиовертерных дефибрилляторов (ICDs), которые уязвимы для этих типов беспроводных атак. Эта угроза была настолько реальной, что бывший вице-президент США удалил свой дефибриллятор и заменил его тем, у которого не было возможностей, которые мог бы использовать злоумышленник. Пример 3. Медицинская визуализация. Такие как компьютерная томография (КТ), автоматически отправляют результаты сканирования в виде PDF-файлов в учетные записи электронной почты. Эта возможность электронной почты может быть очень уязвимой и сделать идеальную точку входа для злоумышленника для установки вредоносных программ медицинского устройства. Пример 4. Электронная радионяня. Был на кухне, когда услышал странные звуки, доносившиеся из детской его двухлетней дочери. Родители вошли в детскую и услышали незнакомый голос, выкрикивающий имя дочери, проклинающий ее и обзывающий мерзкими словами. Родители обнаружили, что голос доносился из электронного радионяни в комнате дочери, в котором находились камера, микрофон и динамик, подключенные к их домашней сети Wi-Fi. Пример 5. Взлом кредитных карт. Злоумышленники проникли в сеть процессинговой компании кредитных карт, которая обрабатывает предоплаченные дебетовые карты. Затем они манипулировали балансами и лимитами только на пяти предоплаченных картах. Эти карты затем распространялись среди "менеджеров сотовых" в разных странах, которые отвечали за использование карт для снятия наличных с банкоматов. За один месяц с банкоматов по всему миру было мошенническим путем снято почти 5 миллионов долларов по 5700 транзакциям.
1.1. Основные сведения об архитектуре вычислительных сетей

Познакомить студентов с результатами международных и национальных нормативных, теоретических и практических исследований в области сетевой безопасности, а также развить знания и навыки по методам аппаратного и программного обеспечения, используемых в сетевой безопасности, устройствам и инструментам защиты сетевой безопасности.

Цель

Задачи

Дать студентам теоретические и практические знания по стандартам, политики и моделям безопасности, проанализировать современные угрозы безопасности. Рассмотреть семиуровневую модель (OSI) с точки зрения безопасности информации, типовые удаленные атаки в компьютерных сетях, механизмы их реализации и способы защиты, технологии межсетевых экранов, основы технологии виртуальных частных сетей VPN, системы обнаружения и предотвращения вторжений, информационная безопасность в облачных вычислениях.

Цель и задачи
В современную эпоху для организации эффективного и продуктивного обмена информацией в значительной степени полагаются на компьютерные сети. Предполагая, что у каждого сотрудника есть выделенная рабочая станция, в крупных организациях их количество может достигать нескольких тысяч, также много и серверов в сети. Вполне вероятно, что эти рабочие станции не могут управляться централизованно и не имеют защиты по периметру. Они могут иметь различные операционные системы, аппаратные средства, программное обеспечение и протоколы с разным уровнем киберосведомленности среди пользователей. Можно представить случай, когда тысячи рабочих станций в сети организации напрямую подключены к Интернету. Такой вид незащищенной сети, содержащую ценную информацию с многочисленными уязвимостями становится легкой целью для атак многочисленных хакеров.

Компьютерные сети можно классифицировать по следующим признакам:

  • по области действия;
  • по способу администрирования;
  • по топологии;
  • по методу доступа к сети передачи данных;
  • по сетевым реализациям.

Физическая сеть

Физическая сеть - это совокупность объектов, образуемых устройствами передачи и обработки данных. Международная организация по стандартизации определила вычислительную сеть как последовательную бит-ориентированную передачу информации между связанными друг с другом независимыми устройствами. Сеть определяется как два или более вычислительных устройств, соединенных вместе для эффективного совместного использования ресурсов. Кроме того, соединение двух или более сетей вместе называется межсетевым взаимодействием. Таким образом, Интернет - это просто объединенная сеть - совокупность взаимосвязанных сетей. Для настройки своей внутренней сети организация использует различные варианты. Для подключения рабочих станций она может использовать проводную или беспроводную сеть. В настоящее время организации используют в основном комбинацию как проводных, так и беспроводных сетей. В проводной сети устройства подключаются друг к другу с помощью кабелей. Как правило, проводные сети основаны на протоколе Ethernet, где устройства подключаются с помощью кабелей неэкранированной витой пары (UTP) к различным коммутаторам. Эти коммутаторы дополнительно подключены к сетевому маршрутизатору для доступа в Интернет. В беспроводной сети устройство подключается к точке доступа посредством радиосигналов. Точки доступа дополнительно подключаются через кабели к коммутатору/маршрутизатору для доступа к внешней сети.

Смешанная или гибридная

компьютерная сеть

Смешанная или гибридная компьютерная сеть


Одноранговая архитектура

Архитектура

Клиент-сервер

Архитектура терминал – главный копьютер

В состав сети в общем случае включается следующие элементы:

  • сетевые компьютеры (оснащенные сетевым адаптером);
  • каналы связи (кабельные, спутниковые, телефонные, цифровые, волоконно-оптические, радиоканалы и др.);
  • различного рода преобразователи сигналов;
  • сетевое оборудование.

    • Различают два понятия сети: коммуникационная сеть и информационная сеть

Информация в сети передается блоками данных по процедурам обмена между объектами. Эти процедуры называют протоколами передачи данных.

Протокол - это совокупность правил, устанавливающих формат и процедуры обмена информацией между двумя или несколькими устройствами.

Загрузка сети характеризуется параметром, называемым трафиком.

Трафик (traffic) - это поток сообщений в сети передачи данных. Под ним понимают количественное измерение в выбранных точках сети числа проходящих блоков данных и их длины, выраженное в битах в секунду. Существенное влияние на характеристику сети оказывает метод доступа. Метод доступа - это способ определения того, какая из рабочих станций сможет следующей использовать канал связи и как управлять доступом к каналу связи (кабелю).

Основополагающие принципы обеспечения безопасности сети:

1. Защита устройств, подключенных к сети. Чтобы надежно защитить устройства, подключенные к сети, необходимо использовать современные высокотехнологичные решения. Например, компьютеры, которые могут атаковать вирусы, нужно защитить надежным антивирусным программным обеспечением и настроить автоматическое обновление их баз сигнатур, чтобы свести к минимуму риск атаки. 2. Сетевые устройства должны быть стойкими к отказам и предусматривать возможность быстрого восстановления. Важно систематически выполнять мониторинг инфраструктуры, чтобы понимать, в каком именно состоянии находится то или иное устройство, приложение, сервис и при необходимости внедрять средства их защиты. 3. Пропускная способность сети должна непрерывно контролироваться. Если атака будет совершена, это всегда влечет за собой немалые затраты на восстановление работоспособности системы. Поэтому нужно использовать средства защиты от целевых атак и методики предотвращения вторжений в инфраструктуру. Это сведет к минимуму риски успешности работы злоумышленников, а также позволит свести к минимуму расходы компании на восстановление данных. 4. Локальная сеть предприятия должна быть отказоустойчивой и предусматривать возможность быстрого восстановления в случае необходимости. На 100% защитить сеть не получится ни при каких обстоятельствах, но можно предусмотреть быстрый переход с одного ресурса на другой в случае отказа первого, что для пользователей сети произойдет незаметно.

Средства обеспечения сетевой безопасности

Атаки на сетевую инфраструктуру могут быть как активными, так и пассивными (в зависимости от вредоносного программного обеспечения, которое используют злоумышленники). Чтобы обеспечить безопасность сети, используются:
  • прокси-серверы;
  • системы выявления и предотвращения угроз взлома;
  • средства защиты от целевых атак;
  • межсетевые экраны;
  • системы сетевого мониторинга;
  • виртуальные частные сети (VPN).

    • При помощи вышеописанных средств можно:

  • защитить корпоративную инфраструктуру от взлома;
  • обеспечить безопасное подключение к сети внешних устройств;
  • выполнять мониторинг и контролировать работу программного обеспечения;
  • безопасно проводить банковские операции и т. д.

Сегментирование инфраструктуры сети с целью повышения ее безопасности.

Сегментация, или группирование компьютеров в отдельные группы по каким-то признакам, служит для повышения безопасности, т.е.:

  • повышения доступности нужных данных авторизованным сотрудникам;
  • ограничения доступности данных неавторизованным сотрудникам. Особенность сегментирования в том, что сетевой трафик между сегментами в общем случае запрещён.
    • В сети практически каждой организации при её росте рано или поздно возникают проблемы безопасности и производительности. Причём в 90% случаев эти проблемы связаны или с изначально не корректной настройкой или с проблемами топологии сети. Одной из таких проблем является недостаточная сегментированность сети, которая решается: отделением серверов и пользователей в различные сегменты, выделением отдельной сети для серверов демилитаризованной зоны (связанной как с внутренней, так и с внешней сетью), выделением отдельных сетей на удаленные офисы и т.п.
Наиболее критичным является сегмент внешних подключений. Здесь ошибки в настройке могут привести как к несанкционированному доступу в сеть предприятия, так и к полному отказу в работе внешних сервисов, подключений удалённых пользователей и целых офисов. Сегмент серверный. С учётом того, что с серверами работает большинство, если не все пользователи сети, то тут производительность и безопасность не менее важны, но приоритет смещается уже в сторону производительности и обеспечения безопасности от внутренних угроз. Внутренняя сеть - пользователи, принтера, IP-телефоны, видеонаблюдение и др. сервисы. Тут уже приоритеты зависят от размеров сети, необходимого уровня обслуживания для различных групп пользователей и сервисов, но в любом случае основным правилом является сегментирование групп пользователей и сервисов для дальнейшего роста и возможности наиболее точного разграничения прав и уровня обслуживания. Таким образом, корректное сегментирование сети на начальном этапе построения сети или на очередном этапе её роста позволит организации повысить производительность и безопасность сети, а соответственно и всей ИТ-инфраструктуры и бизнеса.

Ниже в качестве примера рассмотрена компьютерная сеть высшего учебного заведения.

Архитектура сети должна подчиняться логике функционирования компьютерной сети как системы, т.е. сеть должна быть построена таким образом, чтобы оптимизировать достижение функциональных задач, определяемых для конкретной сети целями организации.

Таким образом, следует формализовать и разделить информационные потоки, соответствующие системно разным задачам компьютерной сети и имеющие различную функциональность и требования к безопасности:

1. Бухгалтерия, финансовые операции.

2. Административное управление вуза.

3. Приёмная комиссия.

4. Учебный процесс.

5. Специфическое оборудование: IP-телефония, системы видеонаблюдения и т.д. Выделяются как отдельные подсети с соответствующими функциональным задачам требованиями к аппаратному и программному обеспечению. Таким образом, разработка системы безопасности для компьютерной сети заключается в детальной разбивке сети в целом на отдельные элементы и уточнение связей между ними, исходя, как из аппаратно-программного, так и из функционального факторов. Конечным результатом должно стать построение графа ресурсов сети, а также определение важности таковых относительно информационных процессов с точки зрения безопасности системы. Обобщая вышесказанное, можно определить систему безопасности как совокупность мер по своевременному обнаружению и реагированию на возможные угрозы сети как системы. При разработке систем безопасности требуется предварительное построение модели структуры сети в виде узлов, выделяемых как аппаратно-программно, так и с функционально-пользовательской точки зрения, соединяемых потоками информации виртуального характера или линиями связи (включая беспроводную). Определение угроз безопасности узлам корпоративной сети является мультидисциплинарной задачей, для решения которой необходимо учитывать аппаратную и программную составляющую сети, а также человеческий фактор, включая как преднамеренные вредоносные действия, так и непреднамеренные, исходящие из незнания и других факторов.

Вопросы для самоконтроля:

1. Краткие сведения об архитектуре вычислительных сетей.

2. Меры по обеспечению безопасности сети.

3. Одноранговая архитектура сети.

4. Архитектура сети "терминал - главный компьютер"

5. Архитектура сети "клиент-сервер".

6. Принципы обеспечения информационной безопасности сетей.

7. Сегментирование инфраструктуры сети.

Литература:

1. Е. Баранова, А. Бабаш "Информационная безопасность и защита информации" 3-е изд., 2016 г..

2. В. Бондарев "Введение в информационную безопасность автоматизированных систем", 2016 г.

3. Романец Ю.В. и др. Защита информации в компьютерных системах и сетях /Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин; Под ред. В.Ф. Шаньгина. – 2-е изд. – М.: Радио и связь, 2001. – 376 с.

3. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000. - 452с.

4. Теоретические основы компьютерной безопасности: Учеб. пособие для вузов / П.Н. Девянин, О.О.Михальский, Д.И.Правиков и др.- М.: Радио и Связь, 2000. - 192с.

5. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М.: издатель Молгачев С.В.- 2001- 352 с.

6. Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. - Екатеринбург: изд-во Урал. Ун-та, 2003. – 328 с.

7. Корт С.С. Теоретические основы защиты информации: Учебное пособие. – М.: Гелиос АРВ, 2004. – 240 с.

8. Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие. – М.: Изд.центр «Академия», 2005. – 144 с.

написать администратору сайта