Тема уроку:"Системи аналізу вмісту поштового і веб-трафіку (електронна пошта і НТТР). Політики безпеки, сценарії і варіанти застосування і реагування."
Сьогодні на уроці ми з вами детальніше познайомимося з політикою безпеки при доступі до мережі загального користування. Розглянемо системи аналізу вмісту поштового і веб-трафіку (електронна пошта і НТТР). А також ознайомимося з перевагами та недоліками віртуальних приватних мереж (VPN). Загрози, пов'язані з використанням VPN. Інформаційна безпека забезпечується політикою безпеки, яка включає в себе сукупність норм і правил, що регламентують процес обробки інформації. Для її забезпечення необхідно чітко уявляти, яка інформація вимагає першочергової захисту, яких збитків зазнає підприємство при втраті тих чи даних, якого роду атаки на безпеку системи можуть бути зроблені і від яких можливих джерел загроз, які кошти використовувати для захисту.
При формуванні політики безпеки необхідно враховувати кілька базових принципів:
• надання кожному співробітнику підприємства (користувачеві комп'ютера, інформаційної системи, мережі) того мінімального рівня привілеїв на доступ до даних, який необхідний йому для виконання своїх посадових обов'язків;
• комплексний підхід до забезпечення безпеки, починаючи з організаційно-адміністративних заборон і закінчуючи вбудованими засобами мережевої апаратури;
• використання коштів, які при відмові переходять в стан максимального захисту. Наприклад, при виході з ладу автоматичного пропускного пункту в будь-яке приміщення він повинен переходити в такий стан, щоб ні одна людина не могла пройти на територію, що захищається;
• принцип балансу можливого збитку від реалізації погрози і витрат на її запобігання. Наприклад, в деяких випадках можна відмовитися від дорогих апаратних засобів захисту, посиливши адміністративні заходи.
При визначенні політики безпеки для мережі, що має вихід в Інтернет, фахівці рекомендують розділити задачу на дві частини: вироблення політики доступу до мережних служб Інтернету і вироблення політики доступу до ресурсів внутрішньої мережі компанії.
МОДЕЛІ БЕЗПЕКИ І ПРИНЦИПИ ЇХ ПОБУДОВИ
Основним завданням політики безпеки є захист від несанкціонованого доступу до ресурсів інформаційної системи. Для цього, виходячи з прийнятих норм і правил, будуються формалізовані моделі безпеки у вигляді опису, що визначає (задає) умови, при яких підтримується певний рівень конфіденційності, цілісності і доступності ресурсів інформаційної системи.
Основою для побудови моделей безпеки служать наступні принципи:
• інформаційна система представляється у вигляді безлічі суб'єктів і об'єктів. Система безпечна, якщо управління доступом суб'єктів до об'єктів здійснюється відповідно до прийнятого набором правил і обмежень;
• всі взаємодії в системі регламентуються заданим набором операцій, які суб'єкти можуть проводити над об'єктами;
• всі операції між суб'єктами і об'єктами контролюються і, виходячи з прийнятих норм і правил, або забороняються, або вирішуються;
• сукупність множин суб'єктів, об'єктів і відносин між ними утворюють простір стану системи. Кожне стан системи є безпечним або небезпечним відповідно до прийнятого в моделі критерієм безпеки. При дотриманні всіх встановлених правил і обмежень система, що знаходиться в безпечному стані, не може перейти в небезпечний стан.
Система mail-контент.
Система являє собою набір політик, правил, фільтрів для аналізу вхідного і вихідного поштового трафіку.
Існує два способи роботи системи:
·«В розриві»;
·«В відгалуженні»
У «розриві» - це режим, при якому вся вхідна та вихідна кореспонденція обов'язково проходить крізь контент - систему, яка, працюючи в online режимі, здійснює аналіз пошти і приймає рішення: відправка / затримка ітд.
У «відгалуженні» - це режим, при якому система отримує копію поштового потоку. Аналіз вмісту і реакція на порушення політик йде як постфактум.
Система mail-контент складається з двох груп серверів:
·розбору поштового потоку;
·зберігання поштових повідомлень.
Ось простий приклад політики:
Вхідна кореспонденція проходить обов'язкові фільтри:
·антиспаму (тільки Вашу електронну пошту);
·антивіруса (вхідна та вихідна);
далі відбувається контент-перевірка:
·листи від Топ менеджменту (акціонери і керівники компанії) не проходять перевірку і не складаються в загальну базу листів;
·листи від начальників підрозділів проходять всі фільтри і з відповідними знаками і / або повідомленнями адміністратору складаються в базу (для можливого подальшого розслідування інциденту і / або порушення);
·листи інших співробітників проходять всі фільтри і, за певних умов затримуються, адміністратор системи отримує повідомлення з копією листа для подальшого розслідування порушення.
Система web - контент.
Система являє собою набір політик, правил роботи, фільтрів. На відміну від mail - контенту, web - контент може бути встановлений тільки в розрив. Система також складається з двох груп серверів:
·аналіз вмісту web - трафіку (а так само кешування потоку);
·зберігання журналів (логів і звітів).
При великому бюджеті дані сервера можуть бути рознесені, але при невеликих навантаженнях і потоці, можуть бути суміщені. Окремо відзначимо, що перша група серверів повинна бути кластером - для підвищення відмовостійкості та надійності.
Наведемо приклад політик:
Для груп користувачів, визначених вище:·для Топ менеджменту компанії немає ніяких обмежень на відвідувані сайти і на обсяг трафіку;
·для начальників підрозділів обмеження по трафіку немає, але існує правила, за якими заборонена група сайтів, пов'язана з хакерськими і поштовими сервісами;
·для рядових співробітників існують обмеження на відвідування определнного сайтів і на трафік (за обсягом і типом скачуваних файлів);
·інші специфічні для бізнесу компанії групи
категорії сайтів і правила роботи:
·обов'язкова перевірка на антивірус і відсікання сайтів з банерами;
·поштові сервіси (mail.ru, pochta.ru і.т.д.) і сервіси, пов'язані з інтернет - пейджерами (icq і інші) - заборонені для всіх, крім першої групи (щоб виключити витік конфіденційної інформації);
·сайти з доступом по https - заборонені всі ті, що ні дозволені явно: наприклад сайт стільникового оператора MTS повинен бути дозволеним, так як там SSL протоколом закриті дані по рахунку користувача. Відзначимо, що зазначені сайти становлять небезпеку пов'язану з тим, що контент - система не може визначити що йде в зашифрованому потоці - ні перевірити на вірус, ні визначити тип даних і зміст;
·сайти з порнографічним змістом - закриті;
·сайти, пов'язані з пошуком роботи - відкриті тільки для співробітників відділу підбору персоналу, для інших - закриті;
·розважальні сайти (гумор, музичні, мобільні телефони, інтернет магазини) - закриті в робочий час, доступ до них відкритий до початку робочого дня і після його закінчення;
·сайти для роботи (що відповідають специфіці бізнесу компанії) - доступ на ці сайти відкритий завжди і у співробітників є можливість завантажувати з них файли будь-якого типу. Даний список постояно поповнюється на прохання користувачів;
·сайти, пов'язані з хакерською спрямованістю (анонімайзери, сайти з шкідливим ПЗ) - закриті.
Додаткові, тонкі моменти:
для категоризації сайтів повинні використовуватися як списки, постійно поповнюються в ручну, так і спеціальні сервіси в інтернеті (як правило платні);
помилкові спрацьовування - їх багато не тільки в період налагодження систем, але і в період нормальної роботи. На жаль, цього не уникнути так швидко, як хотілося б, але досягти можна постійним вдосконаленням фільтрів, списків, правил.
наявність всередині компанії внутрішнього сервера Microsoft Update і налаштованої політикою оновлення ПЗ на серверах і робочих станціях - це підвищить рівень безпеки та зменшить інтернет-трафік;
інтеграція систем антиспаму і антивіруса в систему контент аналізу пошти дозволить ефективніше боротися з вірусами і спамом, так як лист розбирається один раз і результати розбору використовуються відразу трьома системами
«Недостатньо опанувати
премудрість, потрібно також уміти користуватися нею.» (Цицерон).
Перебуваючи
в інформаційному суспільстві, кожному з вас необхідно не лише орієнтуватися в
океані інформації, а й організовувати своє життя таким чином, щоб при найменших
витратах часу, сил і засобів отримувати від своєї діяльності найбільшу віддачу.
Будемо цього вчитися, розв'язуючи практичні компетентнісні задачі.
Перегляньте презентацію:
Розв’язування компетентнісних задач
Завдання "Фермер"
Фермер, вивчивши попит на ягідні культури у своєму регіоні, планує 70% своєї земельної ділянки площею 2 га відвести під вирощування полуниці. Для цього він збирається звернутися до керівництва банку із листом про надання йому відповідного кредиту.
1. Розрахуйте кількість кущів певного сорту полуниці та потрібну суму на закупку розсади за умови, що за першу сотню кущів покупець платить повну вартість, за кожну наступну сотню вартість зменшується на 1% від попередньої вартості. Розсаду фермер планує закупити в інтернет-магазині«Green Market»із розрахунку 40-60 тис. кущів на 1 га. Оберіть середовище для виконання завдання: табличний процесор чи середовище програмування.
ПРИКЛАД:
2. Створіть лист для отримання фермером кредиту від банку, у якому подайте потрібні дані, висновки та аргументуйте їх. Додайте у текст листа зображення вибраного сорту полуниці.
Тема уроку:"Системи
аналізу вмісту поштового і веб-трафіку (електронна пошта і НТТР). Політики
безпеки, сценарії і варіанти застосування і реагування."
Сьогодні на уроці ми з вами детальніше познайомимося з політикою безпеки при доступі до мережі загального користування. Розглянемо системи аналізу вмісту поштового і веб-трафіку (електронна пошта і НТТР). А також ознайомимося з перевагами та недоліками віртуальних приватних мереж (VPN). Загрози, пов'язані з використанням VPN. Інформаційна безпека забезпечується політикою безпеки, яка включає в себе сукупність норм і правил, що регламентують процес обробки інформації. Для її забезпечення необхідно чітко уявляти, яка інформація вимагає першочергової захисту, яких збитків зазнає підприємство при втраті тих чи даних, якого роду атаки на безпеку системи можуть бути зроблені і від яких можливих джерел загроз, які кошти використовувати для захисту.
При формуванні політики безпеки необхідно враховувати кілька базових принципів:
• надання кожному співробітнику підприємства (користувачеві комп'ютера, інформаційної системи, мережі) того мінімального рівня привілеїв на доступ до даних, який необхідний йому для виконання своїх посадових обов'язків;
• комплексний підхід до забезпечення безпеки, починаючи з організаційно-адміністративних заборон і закінчуючи вбудованими засобами мережевої апаратури;
• використання коштів, які при відмові переходять в стан максимального захисту. Наприклад, при виході з ладу автоматичного пропускного пункту в будь-яке приміщення він повинен переходити в такий стан, щоб ні одна людина не могла пройти на територію, що захищається;
• принцип балансу можливого збитку від реалізації погрози і витрат на її запобігання. Наприклад, в деяких випадках можна відмовитися від дорогих апаратних засобів захисту, посиливши адміністративні заходи.
При визначенні політики безпеки для мережі, що має вихід в Інтернет, фахівці рекомендують розділити задачу на дві частини: вироблення політики доступу до мережних служб Інтернету і вироблення політики доступу до ресурсів внутрішньої мережі компанії.
МОДЕЛІ БЕЗПЕКИ І ПРИНЦИПИ ЇХ ПОБУДОВИ
Основним завданням політики безпеки є захист від несанкціонованого доступу до ресурсів інформаційної системи. Для цього, виходячи з прийнятих норм і правил, будуються формалізовані моделі безпеки у вигляді опису, що визначає (задає) умови, при яких підтримується певний рівень конфіденційності, цілісності і доступності ресурсів інформаційної системи.
Основою для побудови моделей безпеки служать наступні принципи:
• інформаційна система представляється у вигляді безлічі суб'єктів і об'єктів. Система безпечна, якщо управління доступом суб'єктів до об'єктів здійснюється відповідно до прийнятого набором правил і обмежень;
• всі взаємодії в системі регламентуються заданим набором операцій, які суб'єкти можуть проводити над об'єктами;
• всі операції між суб'єктами і об'єктами контролюються і, виходячи з прийнятих норм і правил, або забороняються, або вирішуються;
• сукупність множин суб'єктів, об'єктів і відносин між ними утворюють простір стану системи. Кожне стан системи є безпечним або небезпечним відповідно до прийнятого в моделі критерієм безпеки. При дотриманні всіх встановлених правил і обмежень система, що знаходиться в безпечному стані, не може перейти в небезпечний стан.
Система mail-контент.
Система являє собою набір політик, правил, фільтрів для аналізу вхідного і вихідного поштового трафіку.
Існує два способи роботи системи:
·«В розриві»;
·«В відгалуженні»
У «розриві» - це режим, при якому вся вхідна та вихідна кореспонденція обов'язково проходить крізь контент - систему, яка, працюючи в online режимі, здійснює аналіз пошти і приймає рішення: відправка / затримка ітд.
У «відгалуженні» - це режим, при якому система отримує копію поштового потоку. Аналіз вмісту і реакція на порушення політик йде як постфактум.
Система mail-контент складається з двох груп серверів:
·розбору поштового потоку;
·зберігання поштових повідомлень.
Ось простий приклад політики:
Вхідна кореспонденція проходить обов'язкові фільтри:
·антиспаму (тільки Вашу електронну пошту);
·антивіруса (вхідна та вихідна);
далі відбувається контент-перевірка:
·листи від Топ менеджменту (акціонери і керівники компанії) не проходять перевірку і не складаються в загальну базу листів;
·листи від начальників підрозділів проходять всі фільтри і з відповідними знаками і / або повідомленнями адміністратору складаються в базу (для можливого подальшого розслідування інциденту і / або порушення);
·листи інших співробітників проходять всі фільтри і, за певних умов затримуються, адміністратор системи отримує повідомлення з копією листа для подальшого розслідування порушення.
Система web - контент.
Система являє собою набір політик, правил роботи, фільтрів. На відміну від mail - контенту, web - контент може бути встановлений тільки в розрив. Система також складається з двох груп серверів:
·аналіз вмісту web - трафіку (а так само кешування потоку);
·зберігання журналів (логів і звітів).
При великому бюджеті дані сервера можуть бути рознесені, але при невеликих навантаженнях і потоці, можуть бути суміщені. Окремо відзначимо, що перша група серверів повинна бути кластером - для підвищення відмовостійкості та надійності.
Наведемо приклад політик:
Для груп користувачів, визначених вище:·для Топ менеджменту компанії немає ніяких обмежень на відвідувані сайти і на обсяг трафіку;
·для начальників підрозділів обмеження по трафіку немає, але існує правила, за якими заборонена група сайтів, пов'язана з хакерськими і поштовими сервісами;
·для рядових співробітників існують обмеження на відвідування определнного сайтів і на трафік (за обсягом і типом скачуваних файлів);
·інші специфічні для бізнесу компанії групи
категорії сайтів і правила роботи:
·обов'язкова перевірка на антивірус і відсікання сайтів з банерами;
·поштові сервіси (mail.ru, pochta.ru і.т.д.) і сервіси, пов'язані з інтернет - пейджерами (icq і інші) - заборонені для всіх, крім першої групи (щоб виключити витік конфіденційної інформації);
·сайти з доступом по https - заборонені всі ті, що ні дозволені явно: наприклад сайт стільникового оператора MTS повинен бути дозволеним, так як там SSL протоколом закриті дані по рахунку користувача. Відзначимо, що зазначені сайти становлять небезпеку пов'язану з тим, що контент - система не може визначити що йде в зашифрованому потоці - ні перевірити на вірус, ні визначити тип даних і зміст;
·сайти з порнографічним змістом - закриті;
·сайти, пов'язані з пошуком роботи - відкриті тільки для співробітників відділу підбору персоналу, для інших - закриті;
·розважальні сайти (гумор, музичні, мобільні телефони, інтернет магазини) - закриті в робочий час, доступ до них відкритий до початку робочого дня і після його закінчення;
·сайти для роботи (що відповідають специфіці бізнесу компанії) - доступ на ці сайти відкритий завжди і у співробітників є можливість завантажувати з них файли будь-якого типу. Даний список постояно поповнюється на прохання користувачів;
·сайти, пов'язані з хакерською спрямованістю (анонімайзери, сайти з шкідливим ПЗ) - закриті.
Додаткові, тонкі моменти:
для категоризації сайтів повинні використовуватися як списки, постійно поповнюються в ручну, так і спеціальні сервіси в інтернеті (як правило платні);
помилкові спрацьовування - їх багато не тільки в період налагодження систем, але і в період нормальної роботи. На жаль, цього не уникнути так швидко, як хотілося б, але досягти можна постійним вдосконаленням фільтрів, списків, правил.
наявність всередині компанії внутрішнього сервера Microsoft Update і налаштованої політикою оновлення ПЗ на серверах і робочих станціях - це підвищить рівень безпеки та зменшить інтернет-трафік;
інтеграція систем антиспаму і антивіруса в систему контент аналізу пошти дозволить ефективніше боротися з вірусами і спамом, так як лист розбирається один раз і результати розбору використовуються відразу трьома системами
На уроці ми з вами будемо продовжувати вчитися розв’язувати задачі компетентнісного змісту.
Актуалізація опорних знань.
1.Що ви розумієте під поняттям компетентнісна задача? (Компетентнісна задача – це задача з типу технологічних задач, для яких обов’язковим є застосування інформаційно-комунікаційних технологій (ІКТ), як засобу розв’язування задач, тобто задача розвязується за допомогою комп'ютера та комп'ютерних програм)
б.Пошук необхідних матеріалів для вирішення задачі.
в.Побудова інформаційної моделі задачі.
г. Вибираємо програму для опрацювання даних.
д. Опрацювання даних в вибраній програмі.
е.Подання результатів розв’язування задачі.
3.У чому полягає пошук інформаційних матеріалів для вирішення задачі?
Полягає від:
·мети та завдань пошуку;
·джерел, у яких буде здійснюватися пошук;
·ключових слів.
4.Яким чином можна подати результати виконаної роботи?(Подання результатів розв’язання задачі можна подати в усіх програмах, якими ти вмієш користуватися, наприклад в текстовому редакторі MicrosoftOfficeWord, графічному редакторові Paint, редакторі презентацій PowerPoint та інших)
ПЕРЕВІРИМО СВОЇ ЗНАННЯ
Розв'язування компетентної задачі.
Ваша задача. Створіть малюнок ЖАБКА
Алгоритм розв'язування задачі (Як намалювати жабку)
Технічне завдання (ТЗ) - вихідний документ для проектування споруди чи промислового комплексу, конструювання технічного пристрою (приладу, машини, системи керування тощо), розробки автоматизованої системи, створення програмного продукту або проведення науково-дослідних робіт (НДР) у відповідності до якого проводиться виготовлення, приймання при введенні в дію та експлуатація відповідного об'єкту.
Згідно з ГОСТ 34.602-89 ТЗ є основним документом, що визначає вимоги і порядок створення (розвитку або модернізації) інформаційної системи, відповідно до якого проводиться її розробка і приймання при введенні в дію. Згідно з діючим стандартами ТЗ повинно містити у собі наступні відомості про об'єкт розробки:
Найменування об'єкту розробки, та область застосування:
повне найменування об'єкту та його умовне позначення;
шифр теми або шифр (номер) договору;
перелік документів, на підставі яких створюється проект, ким і коли затверджені ці документи;
планові терміни початку та закінчення робіт із створення об'єкту.
Підстава для розробки та назва проектної організації:
найменування підприємств розробника і замовника системи та їхні реквізити;
перелік юридичних та фінансових документів, на підставі яких створюється система, ким і коли затверджені ці документи;
відомості про джерела та порядок фінансування робіт.
Мета розробки.
Джерела розробки. Тут повинні бути перераховані документи та інформаційні матеріали (техніко-економічне обґрунтування, звіти про закінчені науково-дослідні роботи, інформаційні посилання на вітчизняні й зарубіжні аналоги та інше), на підставі яких розроблялося ТЗ і які мають бути використані при створенні системи.
Технічні вимоги, які включають:
склад об'єкту та вимоги до його конструктивного виконання;
показники призначення та економічного використання сировини, матеріалів, палива і енергії;
вимоги до надійності;
вимоги до технологічності;
вимоги до рівня уніфікації і стандартизації;
вимоги безпеки при роботі обладнання;
естетичні й ергономічні вимоги;
вимоги до складових частин продукції, сировини і експлуатаційних матеріалів;
вимоги патентної чистоти;
вимоги експлуатації, вимоги до технічного обслуговування і ремонту;
вимоги до категорії якості.
Економічні показники:
гранична ціна;
економічний ефект;
термін окупності витрат на розробку і освоєння об'єкту;
допустима річна потреба в об'єкті проектування.
Порядок контролю і приймання об'єкту:
види, склад, обсяг і методи випробувань системи та її складових частин (види випробувань відповідно до діючих норм, які поширюються на систему, що розробляється);
загальні вимоги до приймання робіт (продукції) за стадіями (перелік учасників, місце і терміни проведення), порядок узгодження і затвердження приймальної документації;
Тема уроку: "Призначення, можливості, і основні захисні механізми міжмережевих екранів (брандмауерів). Основні захисні механізми мереж. Політика безпеки при доступі до мережі загального користування"
На уроці ви дізнаєтеся про можливості і основні захисні механізми міжмережевих екранів.
Загрози виникають під час роботи в Інтернеті:
1)Хробаки — програми, що самостійно поширюються мережею, не «інфікуючи» інші файли.
2)Трояни — програми, що поширюються під виглядом нешкідливих програм і виконують несанкціоновані дії: викрадають інформацію (паролі, рахунки тощо) і передають злочинцям через Інтернет, самостійно відкривають сайти для здійснення хакерських атак тощо.
3)Скрипт-віруси — програми, що потрапляють у комп’ютер через електронну пошту, маскуючись під вкладені документи.
4)Дропери — виконувані файли, що самі не є вірусами, але призначені для встановлення шкідливих програм.
5)Боти — програми, що дають можливість зловмиснику таємно керувати вашим комп’ютером.
6)Шпигунські й рекламні програми — програми, що зазвичай встановлюються на комп’ютер разом із безкоштовними програмами й збирають конфіденційну інформацію або демонструють нав’язливу рекламу.
7)Фішинг – різновид інтернет-шахрайства: виманювання конфіденційної інформації через підробні сайти, які копіюють сайти відомих банків, інтернет-магазинів тощо, або за допомогою спаму.
Із часом до Інтернету під’єднується дедалі більше користувачів. Якщо раніше мережа використовувалась лише в якості середи для передачі файлів та повідомлень електронної пошти, то сьогодні вирішуються складніші завдання розподіленого доступу до ресурсу. Зараз будь-яка людина може отримати доступ до даних, що зберігаються в Інтернеті, або створити свій власний веб-ресурс. Internet, який раніше слугував виключно дослідницьким та учбовим групам, стає все більш популярною у діловому світі. Компанії спокушають швидкість, дешевий глобальний зв'язок, зручність для проведення спільних робіт, доступні програми, унікальна база даних мережі. Вони розглядають глобальну мережу, як доповнення до власних локальних мереж.
Ці особливості глобальної мережі надають зловмисникам можливість скоєння злочинів в Інтернеті, ускладнюючи їх виявлення й покарання. Зловмисники розміщують шкідливі програми на веб-ресурсах, «маскують» їх під корисне й безкоштовне програмне забезпечення. Тому важливо запобігти небезпеці, уникнути можливих загроз. Саме тому, важливим є захист інформації у всесвітній мережі Internet.
Якщо комп’ютер підключений до Інтернету, то будь-який користувач, також підключений до Інтернету, може отримати доступ до інформаційних ресурсів цього комп’ютера.
Є різні механізми проникнення з Інтернету на локальний комп’ютер і в локальну мережу:
-веб-сторінки, що завантажуються в браузер, можуть містити активні елементи, здатні виконувати деструктивні дії на локальному комп’ютері;
-деякі веб-сервери розміщують на локальному комп’ютері текстові файли cookie, використовуючи які, можна отримати конфіденційну інформацію про користувача локального комп’ютера; електронні листи або дописи в соціальних мережах можуть містити шкідливі посилання;
-за допомогою спеціальних програм можна отримати доступ до дисків і файлів локального комп’ютера тощо.
Що таке "cookie-файл"?
"Cookie-файл" (HTTP-cookie, «Ку́кі» або «реп'яшки» (англ.Cookies- тістечка, печиво)) - це невеликий файл, який містить ряд символів, що надсилається до вашого комп'ютера при перегляді веб-сайта. Застосовується для збереження даних, специфічних для даного користувача.
Таким чином веб-серверпомічає браузеркористувачапри відвідуванні. Куки створюються за ініціативою скриптового сценарію на стороні веб-браузера. При наступному візиті сервер буде знати, що користувач вже тут був. За допомогою кукі-технології можна вивчити вподобання відвідувача. Кукі є одним із найточніших засобів визначення унікального користувача.
Google використовує cookie-файли, щоб покращити якість надання послуг і краще розпізнавати бажання користувачів до взаємодії. Увімкнення cookie-файлів необхідне для користування обліковим записом Google.
В комп’ютерних системах використовуються такі засоби мережевого захисту інформації:
1)Брандмауери (або міжмережеві екрани(Firewall)) — для блокування атак, це окремі пристрої чи спеціальні програми, які створюють бар’єр між комп’ютером і мережею, між внутрішньою локальною мережею організації та Інтернетом.
Термін брандмауер походить від нім. brand — пожежа та mauer — стіна; його англійський еквівалент — firewall, асоціюється з вогнестійкою капітальною стіною, що перешкоджає поширенню пожежі. Термін виник приблизно в 1995 р.
Мережеві екрани керують проходженням мережевого трафіку відповідно до правил (policies) захисту, контролюють трафік, що входить в мережу і що виходить з неї.
За допомогою програм-брандмауерів відслідковуються всі під’єднання й за необхідності дозволяється чи блокується доступ до комп’ютера. Використовуючи інтерфейс налаштувань профілю доступу міжмережевого екрану, є можливість для кожного користувача створити свій профіль, який буде визначати не тільки права доступу цього користувача до мережі Інтернет, але і права доступу до цього користувача з Інтернет. Міжмережевий екран може блокувати спроби хакерів, вірусів і черв'яків отримати доступ до вашого комп'ютера через Інтернет. Добре сконфігурований міжмережевий екран спроможний зупинити більшість відомих комп'ютерних атак.
Як правило, міжмережеві екрани встановлюються на вході мережі і розділяють внутрішні (приватні) та зовнішні (загального доступу) мережі.
2)Ішим пристроєм ефективного захисту в комп'ютерних мережах є маршрутизатор. Він здійснює фільтрацію пакетів даних для передачі і, тим самим, з'являється можливість заборонити доступ деяким користувачам до певного "хосту", програмно здійснювати детальний контроль адрес відправників та одержувачів та ін
Міжмережеві екрани працюють з програмами маршрутизації та фільтрами всіх мережевих пакетів, щоб визначити, чи можна пропустити інформаційний пакет, а якщо можна, то відправити його до певної комп'ютерної служби за призначенням. Для того щоб міжмережевий екран міг зробити це, необхідно визначити правила фільтрації. Отже, міжмережевий екран є немовби віртуальним кордоном, на якому перевіряється цілісність фрагментованих пакетів даних, що передаються, їх відповідність стандарту тощо.
3)системи виявлення втручань — для виявлення спроб несанкціонованого доступу як ззовні, так і всередині мережі, захисту від атак типу «відмова в обслуговуванні». Використовуючи спеціальні механізми, системи виявлення вторгнень здатні попереджувати шкідливі дії, що дозволяє значно знизити час простою внаслідок атаки і витрати на підтримку працездатності мережі.
4)засоби аналізу захищеності — для аналізу захищеності корпоративної мережі та виявлення можливих каналів реалізації загроз інформації. Їх застосування дозволяє попередити можливі атаки на корпоративну мережу, оптимізувати витрати на захист інформації та контролювати поточний стан захищеності мережі.
5)засоби створення віртуальних приватних мереж (Virtual Private Network) — для організації захищених каналів передачі даних через незахищене середовище.
Віртуальні приватні мережі (virtualprivatenetworks, VPN) – територіально розподілені корпоративні мережі, які використовують для зв'язку між окремими сегментами Інтернет.
Часто корпоративні мережі зв'язують офіси, розкидані в місті, регіоні, країні або всьому світі. Провідні постачальники міжмережевих екранів і маршрутизаторів запропонували технологію S/WAN. Протоколи S/WAN допомагають досягти сумісності між маршрутизаторами і брандмауерами різноманітних виробників. Іншими словами, компанії зможуть створювати власні віртуальні приватні мережі (virtualprivatenetworks, VPN) і використовувати Інтернет як альтернативу традиційним каналам зв'язку, які орендуються за високу плату .
Віртуальні приватні мережі забезпечують прозоре для користувача сполучення локальних мереж, зберігаючи при цьому конфіденційність та цілісність інформації шляхом її динамічного шифрування.
Засоби захисту VPN - це інтегровані з віртуальними мережами засоби захисту мережі, в цілому, її сегментів та кожного клієнта мережі окремо (захист TCP/IP трафіку, створюваного будь-якими додатками і програмами; захист робочих станцій, серверів WWW, баз даних і додатків; автопроцесингу, трансакцій для фінансових та банківських додатків і платіжних систем). Вони реалізуються в рамках програмно-апаратних рішень VVPN-шлюзів. Серед основних функцій VPN-шлюзів: автентифікація (MD5, SHA1), шифрування (DES, 3DES, AES), тунелювання пакетів даних через IP. Певні шлюзи підтримують також функції firewall.
Однак міжмережеві екрани не є універсальним вирішенням усіх проблем безпеки в Інтернет. Брандмауер може блокувати доступ до комп’ютера вірусів і хробаків, але він не здійснює перевірку на віруси і не здатен забезпечити цілісність даних.
6)Використання антивірусних засобів вважається необхідною умовою при підключенні до Internet, дозволяє значно знизити втрати інформації в наслідок зараження шкідливими програмами.
Антивірус – програма, що виявляє або виявляє та знищує комп'ютерні віруси. Мережеві антивіруси - використовують для захисту від вірусів однієї або кількох OS, протоколів та команди комп'ютерних мереж і електронної пошти. Використання автоматизованих засобів перевірки мережі на можливі уразливості в системі захисту та аудиту безпеки корпоративних серверів дозволяє встановити джерела загроз та значно понизити вірогідність ефективних атак на корпоративну мережу або персональний комп'ютер.
SKIPBridge-система, яка встановлюється на інтерфейсі внутрішня / зовнішня мережа (локальна мережа або комунікаційний провайдер), забезпечує захист (шифрування) трафіка, що направляється з внутрішньої мережі у зовнішню на основі протоколу SKIP, а також фільтрацію і дешифрування трафіка, який поступає із зовнішньої мережі у внутрішню. IP-пакети, що приймаються із зовнішньої мережі, обробляються протоколом SKIP (розшифровуються, фільтруються відкриті пакети в режимі тільки захищеного трафіка, контролюється і забезпечується імітозахист). Пакети, які пройшли фільтрацію SKIP, за допомогою протоколу IP передаються програмному забезпеченню SKIP-Bridge. Програмне забезпечення вирішує завдання адміністративної безпеки (забезпечуючи пакетну фільтрацію), і потім системи SKIPBridge, який маршрутизує пакети на адаптер локальної мережі.
Використання Proxy та анонімних серверів дозволяє залишатись умовно анонімним при діях в мережі Internet та знизити ризики, пов'язані із збиранням та моніторингом мережевої інформації на користь третіх осіб, потоком непотрібної та шкідливої інформації у системі.
Використання систем обмеження доступу до мережевих ресурсів Internet, використання маршрутизаторів та надійних постачальників мережевих послуг, короткочасного каналу зв'язку дозволяє скоротити збір та моніторинг мережевої інформації на користь третіх осіб, потік непотрібної та шкідливої інформації.
Захист даних в Інтернеті.
Для захисту даних під час роботи в Інтернеті доцільно використовувати підключення, захищене шифруванням. Наприклад, за замовчуванням Google шифрує з’єднання з Gmail, а також при виборі інших сервісів Google, наприклад Google Диск, активується протокол шифрування SSL, який використовується до завершення сеансу роботи.
Щоб визначити, що сайти захищені, слід звернути увагу на їхню URL-адресу — вона починається з https://. Це, на відміну від протоколу http, — протокол зашифрованого підключення, що забезпечує більш ефективний захист даних. У деяких браузерах поруч із назвою протоколу відображається значок замка, це означає, що з’єднання захищене й більш безпечне.
HTTPS (від англ. HyperText Transfer Protocol Secure) — розширення протоколу http для підтримки шифрування з метою підвищення безпеки.
Браундмаєр
Перш ніж під’єднати комп’ютер до Інтернету, бажано підключити брандмауер. Наприклад, щоб підключити брандмауер в операційній системі Windows 7, треба виконати вказівку Пуск/Панель керування та обрати Брандмауер Windows.
У вікні, що відкрилося, слід встановити режим Підключено та за необхідності задати додаткові параметри.
Після встановлення міжмережевого екрана при кожному першому запуску мережевих програм брандмауер видаватиме вікно з попередженням, що деяка програма намагається одержати доступ до мережевого ресурсу.
Користувачеві пропонується на вибір: одноразово чи назавжди дозволити або заборонити доступ до комп’ютера для обраної програми.
Крім брандмауера, вбудованого у Windows 7, є багато інших засобів, що мають гнучкі параметри налагодження.
Поради:
·Якщо у вас в будинку до Інтернету підключено кілька комп'ютерів, або вони з'єднані в мережу, важливо захистити кожен з них. Для захисту мережі слід використовувати апаратний брандмауер ( наприклад, маршрутизатор ), однак, щоб запобігти поширенню вірусу в самій мережі в разі зараження одного з комп'ютерів, на кожному з них необхідно включити програмний брандмауер.
·Якщо ваш комп'ютер підключений до корпоративної, шкільної або мережі іншої організації, дотримуйтесь політиці, встановленої адміністратором даної мережі .
·При використанні комп'ютера вдома, найперший крок, який слід зробити для його захисту , - включити брандмауер.
За допомогою брандмауера можна запобігти проникненню на комп'ютер хакерів або зловмисних програм (наприклад, хробаків) через мережу або Інтернет. Крім того, брандмауер запобігатиме надсиланню зловмисних програм із вашого комп'ютера на інші.
У брандмауер Windows вбудований журнал безпеки, який дозволяє фіксувати ip-адреси і інші дані, що відносяться до з'єднань в домашніх і офісною мережах або в Інтернеті. Можна записувати як успішні підключення, так і пропущені пакети. Це дозволяє відстежувати, коли комп'ютер в мережі підключається, наприклад, до web-сайту. Дана можливість за умовчанням відключена (її може включити системний адміністратор).