Что такое безопасность сети?
Безопасность сети — это использование аппаратного и программного обеспечения для защиты удобства использования сети и целостности ее данных во всех физических и виртуальных элементах основной сети. Чтобы безопасность сети была эффективной, необходимо контролировать доступ пользователей, устройств и данных к сети.Функция безопасности сети обнаруживает, детерминированно анализирует, а затем устраняет или предотвращает угрозы, которые возникают в результате предоставления доступа к вашей сети или распространяются по ней.
Компании обеспечивают безопасность сети для следующих целей:
- Защита корпоративных данных
- Контроль доступа к сети и доступности
- Предотвращение вторжений в сеть
- Реагирование на инциденты и их коррекция
- Защита аппаратного (маршрутизаторы, коммутаторы, межсетевые экраны) и программного обеспечения, а также интеллектуальной собственности
- Защита центров обработки данных и облачных вычислений
Безопасность сети и данные
Безопасность сети основана на следующих элементах данных.
- Доступ к данным: доступ к данным контролируется системой, которая проверяет, авторизует и ведет учет пользователей, а именно выполняет идентификацию (обычно с помощью ПИН-кода или учетных данных для входа), осуществляет авторизацию и предоставляет разрешение на основе функций пользователей, а также регистрирует изменения в данных и сетевые действия пользователей.
- Доступность данных: данные предоставляются пользователям по мере необходимости (по запросу); осуществлять доступ к данным и использовать их могут только авторизованные пользователи.
- Конфиденциальность данных: неавторизованные пользователи не могут получать доступ к данным или использовать их; защита при передаче данных и предотвращение незаконного доступа к ним сторонними лицами обеспечивается с помощью шифрования.
- Целостность данных: данные невозможно изменить без разрешения; это гарантирует то, что осуществлять доступ к информации и изменять ее могут только авторизованные пользователи.
Безопасность и защита сети
Старая модель безопасности сети, обеспечивающая защиту сетевого периметра с помощью только межсетевых экранов, утратила актуальность. Большинство угроз и атак происходят из Интернета, из-за чего самым важным становится защита интерфейсов, обеспечивающих соединение с Интернетом. Другие распространенные угрозы — это нарушение систем безопасности устройств пользователей и роуминг одноранговых узлов. Кроме того, безопасность между внутренней и внешней средой подрывают сложная структура сетей и процессы передачи данных по ним. Сети уязвимы как для активных и пассивных атак, так и для атак извне и изнутри. Труднее всего бороться с такими угрозами безопасности, как активные атаки, а именно: атаки типа «отказ в обслуживании» (атаки DoS), имитации соединения по протоколу IP (замаскированные атаки), а также вредоносное программное обеспечение, созданное для взлома физических и виртуальных машин. Они нацелены на плоскость управления сетевых элементов (ту часть сети, которая передает трафик сигнализации и выполняет маршрутизацию).
Для обеспечения безопасности сети в будущем требуется новый подход.
Безопасность должна быть интегрирована повсеместно: в протоколы, системы, элементы, процесс инициализации и в действия, связанные с сетью. Для более эффективной борьбы и сдерживания угроз безопасности в сети поставщики услуг переходят на более распределенную архитектуру со сквозными возможностями обнаружения и применения политик. По мере трансформации и увеличения количества угроз можно децентрализованно применять автоматизированные и централизованные политики безопасности на коммутаторах и маршрутизаторах, которые постоянно обновляются в режиме реального времени.Обнаруживать угрозы и применять политики безопасности благодаря высокоэффективным автоматизированным функциям защиты, унифицированным возможностям обнаружения угроз и защите в реальном времени позволяют программно-определяемые средства контроля.
Сегодня ответственные за безопасность сети вынуждены применять модель нулевого доверия между элементами сети, а поставщики услуг хотят использовать единый домен, где каждый элемент, а не только элементы, расположенные на периметре сети, служит в качестве точки применения политик.
Juniper Connected Security
Обеспечьте защиту пользователей, приложений и инфраструктуры с помощью платформы Juniper Connected Security.
Juniper Connected Security обеспечивает возможность автоматизации системы безопасности от конечных устройств до границы сети и любого облака. Компания Juniper позволяет вам видеть, кто и что находится в вашей сети, а также применять политики во всех точках сетевого подключения. Мы готовы помочь вам сохранить текущие инвестиции в систему защиты, чтобы вы могли и дальше развивать решения для безопасности и инфраструктуру, которые вы используете. Мы предлагаем быстрые и гибкие средства защиты для обеспечения последовательной политики безопасности в вашей многооблачной среде.
Чтобы защитить цифровые технологии, количество которых постоянно увеличивается, поставщики услуг должны разработать комплексный, многоуровневый подход глубоко эшелонированной защиты к обеспечению безопасности с учетом всей информации, находящейся в сети и облаке, а не только угроз, выявленных на периметре или границе сети.
Планирование безопасности сети и данных.
Высокая степень безопасности может быть достигнута путем использования плана, предусматривающего применение различных мер и средств обеспечения безопасности.
Оценка требований к безопасности сетевых данных является первым этапом разработки плана по принятию мер их защиты. При этом должны быть учтены характер деятельности организации и хранящихся в сети данных, стратегия и стиль управления организацией, которые должен знать сетевой администратор и реализовать его в подведомственной ему сети.
Высокий уровень безопасности данных должен поддерживаться в организациях, располагающих данными, которые являются строго конфиденциальными по своей природе. Примером могут служить коммерческие организации, предоставляющие услуги или выпускающие продукцию в областях с высоким уровнем конкуренции. Некоторые виды данных должны быть защищены независимо от характера деятельности организации. К ним относятся бухгалтерская документация, налоговая информация, промышленные секреты (планы деятельности организаций и коммерческие планы, рецепты, технологии изготовления, тексты программ и т.д.).
Для принятия мер по защите данных в сети нужно выявить главные источники угроз их безопасности.
Существуют следующие виды угроз:
■ непреднамеренные, к которым относятся ошибочные действия лояльных сотрудников, стихийные бедствия, ненадежность работы программно-аппаратных средств и др.;
■ преднамеренные, которые явно направлены на причинение ущерба информационной безопасности;
■ внешние, которые проявляются в таких формах, как несанкционированное использование паролей и ключей; атаки DoS (Denial of Service — отказ в обслуживании), направленные на разрыв сетевого соединения или приведение его в неработоспособное состояние; подмена адреса; компьютерные вирусы и черви;
■ внутренние, к которым можно отнести промышленный шпионаж, интриги и недовольство служащих, случайные нарушения и т.п.
В плане безопасности должны быть самым детальным образом перечислить процедуры, выполнение которых предписывается политикой безопасности. Каждый сотрудник, отвечающий за выполнение конкретной процедуры, должен быть предупрежден о возможных последствиях в случае отступления от предписанного способа выполнения процедуры. Рекомендуется взять с сотрудника письменное подтверждение того, что он понимает смысл стратегии безопасности, согласен с ней и обязуется ей следовать, а так¬же регулярно обновлять план, т.е. пересматривать аспекты безопасности, пытаясь определить новые потенциально уязвимые компоненты, угрозы и контрмеры для борьбы с ними, и отражать изменения в плане.
Средства обеспечения безопасности
Для безопасности сети используется широкий набор различных средств и технологий. Рассмотрим некоторые из них.
Базовые технологии безопасности.
В разных программных и аппаратных продуктах, предназначенных для защиты данных, часто используются одинаковые подходы, приемы и технические решения, которые в совокупности образуют технологию безопасности.
Криптозащита. Разработкой методов преобразования информации в целях ее защиты занимается криптография.
Преобразование общедоступных (понятных для всех) данных к виду, затрудняющему их распознавание, называется шифрованием (Encryption), а обратное преобразование — дешифрованием (Decryption). Шифрование является доступным средством для администраторов и пользователей и одним из эффективных средств обеспечения конфиденциальности информации. Следует выделить два основных способа шифрования данных: перестановку (Transposition), когда в исходных данных изменяют последовательность символов, и замену (Substitution), при которой с помощью некоторого шаблона производят замену всех символов используемого алфавита, например буквы заменяют цифрами.
Операции шифрования и дешифрования данных (информации) осуществляются с помощью ключей, которые создаются с привлечением математических формул.
Метод, при котором для обеих операций используется один ключ, называется симметричной криптографией (Symmetric Cryptography). При асимметричной криптографии (Asymmetric Cryptography) каждый пользователь сети должен располагать двумя ключами: общим (Public key) и частным (Private key). Оба ключа связаны друг с другом с помощью некоторой математической функции. Общий ключ известен каждому пользователю. Зашифрованное с помощью общего ключа сообщение может быть прочитано только с помощью частного ключа. Поскольку предполагается, что пользователь, которому адресуется сообщение, не разглашает свой ключ, он является единственным человеком, который может прочитать сообщение.
Популярны два алгоритма шифрования: симметричный DES (Data Encryption Standard — стандарт шифрования данных, который является официальным стандартом правительства США) и не¬симметричный RSA, разработанный учеными Rivest, Shamir, Adle- man и названный по начальным буквам их фамилий.
Для шифрования, аутентификации и проверки целостности передаваемых по сети пакетов разработан протокол IPSec (IP Securi¬ty), включающий в себя протокол АН (Authentication Header), позволяющий проверять идентичность отправителя, и протокол ESP (Encapsulating Security Payloads), обеспечивающий конфиденциальность самих данных. Протокол IPSec поддерживают маршрутизаторы компании Cisco Systems и ОС Windows 2000/ХР.
Для передачи через Internet зашифрованных, аутентифицированных сообщений используется протокол SSL (Secure Sockets Layer — уровень защищенных сокетов, или гнезд). В этом протоколе криптографическая система с открытым ключом комбинируется с блочным шифрованием данных.
Это процедура установления подлинности пользователя при запросе доступа к ресурсам системы (компьютеру или сети). Аутентификация предотвращает доступ нежелательных лиц и разрешает доступ всем легальным пользователям. В процедуре аутентификации участвуют две стороны, одна из которых доказывает свое право на доступ (аутентичность), предъявляя некоторые аргументы, другая — проверяет эти аргументы и принимает решение. Для доказательства аутентичности может использоваться некоторое известное для обеих сторон слово (пароль) или уникальный физический предмет (ключ), а также собственные биохарактеристики (отпечатки пальцев или рисунок радужной оболочки глаза).
Наиболее часто при аутентификации используют вводимые с клавиатуры пароли.
Пароль представляет собой зашифрованную последовательность символов, которая держится в секрете и предъявляется при обращении к информационной системе.
Объектами аутентификации могут быть не только пользователи, но и различные устройства, приложения, текстовая и другая информация.
Идентификация субъектов и объектов доступа.
Идентификация предусматривает закрепление за каждым субъектом доступа уникального имени в виде номера, шифра или кода, например, персональный идентификационный номер (Personal Identification Number — PIN), социальный безопасный номер (So¬cial Security Number — SSN) и т. п. Идентификаторы пользователей должны быть зарегистрированы в информационной системе администратором службы безопасности.
При регистрации в базу данных системы защиты для каждого пользователя заносятся такие данные, как фамилия, имя, отчество и уникальный идентификатор пользователя, имя процедуры для установления подлинности и пароль пользователя, полномочия пользователя по доступу к системным ресурсам и др. Идентификацию следует отличать от аутентификации. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация является процедурой доказательства пользователем того, что именно ему принадлежит введенный им идентификатор.