Počítače » Zajištění bezpečnosti počítačových sítí

Zajištění bezpečnosti počítačových sítí

Počítače

Zabezpečení počítačových sítí je zajištěno prostřednictvím politik a postupů přijatých s cílem zabránit a sledovat neoprávněný přístup, nezákonné používání, úpravu nebo odpojení sítě a dostupných zdrojů. Zahrnuje oprávnění přístupu k datům, které řídí správce sítě. Uživatelé si vybírají nebo určují identifikátor a heslo nebo jiné ověřovací informace, které jim umožní přístup k datům a aplikacím v rámci jejich autority.

Zabezpečení sítě zahrnuje mnoho počítačových sítí, veřejných i soukromých, používaných při každodenní práci, při obchodování a komunikaci mezi podniky, vládními agenturami a jednotlivci. Sítě mohou být soukromé (například uvnitř společnosti) a jiné (které mohou být přístupné veřejnosti).


Bezpečnost počítačových sítí je spojena s organizacemi, podniky a jinými typy institucí. Chrání síť, stejně jako bezpečnostní a sledovací operace. Nejběžnějším a nejsnadnějším způsobem ochrany síťového prostředku je přiřadit mu jedinečný název a odpovídající heslo.

Správa zabezpečení

Řízení zabezpečení sítí se může lišit v různých situacích. Domovská nebo malá kancelář může vyžadovat pouze základní zabezpečení, zatímco velké podniky mohou vyžadovat službu s vysokou spolehlivostí a rozšířeným softwarem ahardware pro zabránění hackování a odesílání nežádoucích útoků.

typy síťových útoků

zranitelnost je slabost v navrhování, provádění nebo provozu vnitřní kontroly. Většina zjištěných slabých míst zdokumentovaných v databázi Common Vulnerabilitiesand expozicemi (CVE).


Sítě mohou být napadány z různých zdrojů. Mohou být ze dvou kategorií: „pasivní“, kdy síť vetřelec zachycuje data procházející sítí, a „aktivní“, ve kterém útočník iniciuje příkazy k poruše nebo v síti, které mají být sledovány, aby získaly přístup k datům. Chcete-li chránit váš počítačový systém, je důležité pochopit, jaké typy útoků, které mohou být provedeny proti němu. Tyto hrozby lze rozdělit do následujících kategorií.

"Zadní dveře"

Backdoor v počítačovém systému, kryptosystému nebo algoritmu je tajná metoda pro obcházení autentizačních nebo bezpečnostních prvků. Mohou být z několika důvodů, včetně protože původní konstrukce nebo kvůli špatné konfiguraci. Mohou být přidány do developera, aby bylo možné právní přístup nebo jiné škodlivé důvody. Bez ohledu na motivy k jejich existenci vytvářejí zranitelnost.

útoky na odmítnutí služby

útoky odmítnutí služby (DoS) jsou navrženy tak, aby znemožnily počítač nebo síťový zdroj zamýšleným uživatelům. Organizátoři takového útoku mohou blokovat přístup k síti jednotlivým obětem, například úmyslnězadávání nesprávného hesla mnohokrát za sebou, které způsobí zámek účtu nebo přetížení zařízení nebo síťových funkcí a současně zablokování všech uživatelů. Zatímco síťový útok z jedné adresy IP může být zablokován přidáním nového pravidla brány firewall, mohou existovat formy útoků odmítnutí služby Distributed Service (DDoS), kde signály pocházejí z velkého počtu adres. V tomto případě je ochrana mnohem komplikovanější. Takové útoky mohou nastat v počítačích, na kterých běží boti, ale je možné použít řadu dalších metod, včetně útoků útoků a odrazů, kdy systémové cíle nedobrovolně přenášejí takový signál.

Přímý přístup k útokům

Neoprávněným uživatelům získá fyzický přístup k počítači, s největší pravděpodobností může přímo zkopírovat data z něj. Takoví vetřelci mohou také ohrozit bezpečnost změnou operačního systému, instalací softwarových červů, keyloggery, skrytými zařízeními pro poslech nebo bezdrátovými myší. I když je systém chráněn standardními bezpečnostními opatřeními, lze je obejít stahováním jiného OS nebo nástroje z disku CD nebo jiného zaváděcího média. Šifrování disku je určeno k zabránění takovým útokům.

Koncepce zabezpečení sítě: hlavní body

Bezpečnost informací v počítačových sítích začíná ověřením spojeným se zavedením uživatelského jména a hesla. Jeho druh je jeden faktor. Sdvoufaktorová autentizace se používá i další volitelný parametr (bezpečnostní klíč nebo ‚klíč‘ ATM karty nebo mobilního telefonu) s trehfaktornoy platí jedinečný uživatelský prvek (otisk prstu nebo sítnice skenování).
Po ověření brána firewall uplatňuje přístupovou politiku. Toto zabezpečení počítačové sítě je efektivní, aby se zabránilo neoprávněnému přístupu, ale tato složka nemůže vyzkoušet potenciálně nebezpečný obsah, jako jsou počítačové červy nebo trojské koně, které jsou přenášeny přes síť. Antivirový software systému nebo prevence narušení (IPS) pro detekci a blokování působení tohoto malware. Systém detekce narušení bezpečnosti, na základě údajů skenování lze také monitorovat síť pro další analýzu na vysoké úrovni. Nové systémy, které kombinují neomezené strojového učení s kompletní analýzu síťového provozu může detekovat aktivní síťové vetřelce za škodlivé zasvěcenci nebo externích cílových škodlivých organismů, které rozbitých počítač nebo uživatelský účet. Kromě toho může být spojení mezi těmito dvěma hostiteli šifrováno tak, aby poskytovalo větší soukromí.

Chraňte svůj počítač

při zajišťování používá zabezpečení sítě protiopatření - výkonný přístroj, postup nebo technika, která snižuje ohrožení, zranitelnost či útoku, odstranění nebo předcházet tomu, minimalizace poškození nebo zjišťování a jeho vykazování dostupnost

Bezpečnákódování

Jedná se o jedno z hlavních bezpečnostních opatření pro počítačové sítě. Při vývoji softwaru je bezpečné kódování zaměřeno na zabránění náhodnému zavedení zranitelných míst. Je také možné vytvořit, navržené z bezpečnostních důvodů. Takové systémy jsou "bezpečné od návrhu". Navíc je formální ověření zaměřeno na prokázání správnosti algoritmů, které jsou základem systému. To je zvláště důležité pro kryptografické protokoly. Toto opatření znamená, že software je navržen od začátku k zabezpečení informací v počítačových sítích. V tomto případě se považuje za hlavní prvek. Některé metody tohoto přístupu zahrnují:
  • Zásada minimálních výsad, v níž každá část systému má jen určité pravomoci nezbytné pro jeho fungování. Takže i když útočník dostane přístup k této části, dostane omezenou autoritu nad celým systémem.
  • Přehledy kódu a modulární testy jsou přístupy k zajištění větší bezpečnosti modulů, pokud není možné provést formální důkaz správnosti.
  • Hluboká ochrana, pokud je konstrukce taková, že je nutné rozbít několik podsystémů, aby se narušila celistvost systému a uložené informace. Jedná se o hlubší technologii zabezpečení počítače.

    • Architektura zabezpečení

    Open Security Architecture definuje architekturu zabezpečení IT jako "designové artefakty, které popisují umístění bezpečnostních prvků (bezpečnostní protiopatření) a jejich propojení s celkovou architekturou.informační technologie ". Tyto kontroly slouží k zachování takových atributů kvality systému, jako jsou důvěrnost, integrita, dostupnost, odpovědnost a záruky.
    Jiní odborníci ji definují jako jediný návrh zabezpečení počítačových sítí a zabezpečení informačních systémů, který bere v úvahu potřeby a potenciální rizika spojená s určitým scénářem nebo prostředím a také určuje, kdy a kde použít určité prostředky. Jeho klíčovými atributy jsou:
  • vztah mezi různými komponentami a jejich vzájemná závislost.
  • Definice opatření k řízení rizik, osvědčených postupů, finančních a právních otázek.
  • standardizace kontrol.
    Bezpečnost počítačových sítí
    Bezpečnost počítačů je koncepční ideál, který lze dosáhnout použitím tří procesů: prevence, odhalování a reakce na hrozbu. Tyto procesy jsou založeny na různých tvůrcích politik a systémových součástech, které zahrnují následující:
  • Ovládací prvky pro přístup k uživatelským účtům a kryptografie, které mohou chránit systémové soubory a data.
  • Firewally, které jsou dnes nejčastějšími systémy pro zabránění bezpečnosti počítačových sítí. To je způsobeno skutečností, že jsou schopny (pokud jsou správně nakonfigurovány) chránit přístup k interním síťovým službám a blokovat určité typy útoků pomocí filtrování paketů. Firewally mohou být jak hardwarové, tak i softwarové.
  • SystémyIntrusion Detection (IDS), které jsou určeny k identifikaci síťových útoků v jejich provádění, jakož i na pomoc po útoku, zatímco kontrolní časopisy a katalogy s podobnou funkcí jednotlivých systémů.
    • „A“ je určen nutně hodnotí bezpečnostní požadavky samostatného systému, a může pokrýt rozsah od jednoduchou ochranu aktualizace pro vhodný případech pult a podobně. N. V některých speciálních případech je nejlepší zničit zlomené nebo poškozené systém, jak se může stát Ne všechny chybné prostředky budou zjištěny.

    Co je firewall?

    V současné době, bezpečnostní systém počítačové sítě obsahuje zejména „preventivní“ opatření, jako jsou firewally nebo stažení postupu. Firewall je možné definovat jako způsob filtrování síťových dat mezi hostitelem nebo sítě a jiné sítě, jako je internet. To může být implementován jako software běžící na počítači a podklyuchayuscheesya na síťový zásobník (nebo, v případě unixových systémů zabudovaných do jádra OS) poskytovat filtrování a blokování v reálném čase. Další implementací je takzvaný "fyzický firewall", který se skládá ze samostatné filtrace síťového provozu. Tyto prostředky jsou distribuovány mezi počítače, které jsou nepřetržitě připojeny k Internetu a jsou aktivně využívány k zabezpečení informační bezpečnosti počítačových sítí. Některé organizace se obracejí na velkých datových platforem (jako je Apache Hadoop), aby byla zajištěna dostupnost dat a strojového učení k identifikaci pokročilé stojícíhrozby.
    Některé organizace však podporují počítačové systémy s účinnými detekčními systémy a mají ještě méně organizované mechanismy reakce. To vytváří problémy při zajišťování technologického zabezpečení počítačové sítě. Hlavní překážkou účinného vymýcení počítačové kriminality může být nadměrná závislost na firewallech a dalších automatizovaných detekčních systémech. Nicméně je to základní sběr dat pomocí zařízení pro zachycení paketů, které zastavují útoky.

    Správa zranitelných osob

    Správa zranitelných osob je cyklus identifikace, odstranění nebo zmírnění nevýhod, zejména v oblasti softwaru a firmwaru. Tento proces je nedílnou součástí zabezpečení počítačových systémů a sítí. Chyby lze detekovat pomocí skeneru, který analyzuje počítačový systém při hledání známých "slabých stránek", jako jsou otevřené porty, nebezpečná konfigurace softwaru a bezmocnost proti malwaru. Vedle skenování zranitelných míst, mnoho organizací uzavírá smlouvy o outsourcingu bezpečnosti a provádí pravidelné penetrační testy na svých systémech. V některých odvětvích je to smluvní požadavek.

    Snížení zranitelných míst

    Navzdory skutečnosti, že je možné provést formální ověření správnosti počítačových systémů, dosud není rozšířeno. Oficiálně testované operační systémy zahrnují seL4 a SYSGO PikeOS, ale představují velmi malé procento trhu. Moderní počítačové sítě zajišťující zabezpečení informací v síti jsou aktivnípoužívat dvoufaktorové ověřování a kryptografické kódy. To významně snižuje rizika z následujících důvodů. Zlo kryptografie dnes je prakticky nemožné. Pro jeho implementaci je zapotřebí nějaký nekryptografický vstup (nelegálně získaný klíč, otevřený zdrojový text nebo další dodatečné kryptanalytické informace). Dvoufaktorová autentizace je metoda, která snižuje neoprávněný přístup k systému nebo důvěrné informace. Chcete-li zadat bezpečný systém, potřebujete dva prvky:
  • "co víte" - heslo nebo kód PIN;
  • "co máte" - karta, klíč, mobilní telefon nebo jiná zařízení.
    • ​​To zvyšuje bezpečnost počítačových sítí, protože neoprávněný uživatel potřebuje pro přístup k oběma prvkům současně. Čím náročnější budete dodržovat bezpečnostní opatření, tím méně trhlin může dojít. Můžete snížit šance narušitelů tím, že neustále aktualizujete systém s bezpečnostními opravami a upgrady pomocí speciálních skenerů. Účinnost ztráty a poškození dat může být snížena pečlivým vytvářením záloh a ukládání dat.

    Mechanismy pro ochranu zařízení

    Hardware může také být zdrojem ohrožení. Například, zlo může být děláno pomocí zranitelností mikročipů špatně zavedených během výrobního procesu. Hardware nebo pomocná bezpečnost práce v počítačových sítích nabízí také určité metody ochrany. Použití zařízení a metod, jako jsou přístupové klíče, důvěryhodné platformové moduly a systémydetekce narušení, blokování disků, zakázat USB-port a mobilní telefony lze považovat za bezpečnější, protože o potřebě fyzického přístupu k uloženým datům přístup povolen. Každá z nich je podrobněji popsána níže.

    Klávesy

    USB klíčů běžně používané v licenčním procesu odblokování softwarové funkce, ale mohou také být viděn jako způsob, aby se zabránilo neoprávněnému přístupu k počítači nebo jinému zařízení. Klíč vytvoří bezpečný šifrovaný tunel mezi ním a softwarovou aplikací. Principem je, že tento systém šifrování používá (např AdvancedEncryptionStandard (AES)), poskytuje vyšší úroveň informační bezpečnosti v počítačových sítích jako je obtížné rozluštit klíč a opakují, co se právě sám kopírovat do jiného počítače a použít ji. Dalším využitím těchto klíčů je jejich přístup k webovému obsahu, jako je software založený na cloudových aplikacích nebo virtuální privátní sítě (VPN). Kromě toho lze klíč USB konfigurovat tak, aby uzamknul nebo odemkl počítač.

    chráněné zařízení

    Chráněné důvěryhodné platformy zařízení (TPM) šifrovací schopnosti integrovat přístupová zařízení s použitím mikroprocesorů, nebo tak zvané počítačů na čipu. TPM, který se používá ve spojení se softwarem na serveru, který nabízí originální způsob, jak identifikovat a ověřování hardwarových zařízení a zabránit neoprávněnému přístupu k sítím a datům. DetekceVniknutí do počítače se provádí tlačítkem, který funguje při otevírání těla vozidla. Firmware nebo systém BIOS je naprogramován tak, aby upozorňoval uživatele na příště zapnutí zařízení.

    Blokování

    Zabezpečení počítačových sítí a zabezpečení informačních systémů lze dosáhnout blokováním disků. To je ve skutečnosti, nástroje pro šifrování pevných disků, což je přístupná neoprávněným uživatelům. Některé speciální nástroje určené speciálně pro šifrování externích jednotek. Odpojení portů USB je další společné nastavení zabezpečení, které zabraňuje neoprávněnému a nesprávnému přístupu k zabezpečenému počítači. Infikované klíče USB, které jsou připojené k síti, zařízení uvnitř brány firewall, jsou považovány za nejčastější hrozbu pro počítačovou síť. Mobilní zařízení podporující mobilní zařízení se stávají stále oblíbenější díky rozšířenému používání mobilních telefonů. Tyto vestavěné funkce, jako je Bluetooth, poslední spojení s nízkou frekvencí (LE), Near Field Communication (NFC) vedla k nalezení prostředků k odstranění slabých míst. V současné době je aktivně používá jako biometrické ověření (otisku prstu) a software pro čtení QR kód, který je určen pro mobilní zařízení. To vše nabízí nové bezpečné způsoby připojení mobilních telefonů k přístupu k řídicím systémům. Poskytuje zabezpečení počítače a může být také použito pro řízení přístupuzabezpečených dat.

    Příležitosti a seznamy řízení přístupu

    Charakteristiky informační bezpečnosti v počítačových sítích jsou založeny na rozdělení oprávnění a stupni přístupu. Dva takové modely jsou rozšířené - ACL a bezpečnostní schopnosti. Použití ACL k omezení používání programů bylo v mnoha situacích nebezpečné. Například hostitelský počítač může být podveden tím, že nepřímo povolí přístup k omezenému souboru. Rovněž bylo prokázáno, že slib ACL o udělení přístupu k objektu jedinému uživateli nemůže být v praxi nikdy zaručen. V současné době existují praktické nedostatky ve všech systémech založených na ACL, ale vývojáři se je snaží opravit. Bezpečnost založená na příležitostech se používá hlavně ve výzkumných operačních systémech, zatímco komerční operační systémy stále používají ACL. Příležitosti lze však realizovat pouze na úrovni jazyka, což vede ke specifickému programovacímu stylu, který je v podstatě zdokonalením standardního objektově orientovaného návrhu.

    Související publikace