Політика безпеки при роботі в Інтернеті
бакалаврська робота на тему:
“ Політика безпеки при роботі в Інтертнеті”.
ЗМІСТ
ВСТУП…………………………………………………………………………7
1. ОСНОВИ ІНТЕРНЕТУ………………………………………………………...8
1.1. Навіщо розробляти політику безпеки для роботи в Інтернеті?....8
1.2. Основні типи політики…………………………………………...10
2. ЗАГАЛЬНІ ПРИНЦИПИ……………………………………………………..12
2.1. Що там повинне бути…………………………………………….12
2.2. Отримання дозволу ………………………………………………13
2.3. Втілення політики в життя ………………………………………15
2.4. Приклади опису загальних принципів роботи в Інтернеті в політиках………………………………………………………………16
3.АНАЛІЗ РИСКИ………………………………………………………………17
3.1. Загрози/видимість………………………………………………..18
3.2. Вразливість/наслідки…………………………………………….20
3.3. Матриця профілю………………………………………………...20
3.4. Облік інформаційних цінностей…………………………………21
3.5. Система загального призначення………………………………..22
3.6. Критичні застосування…………………………………………...22
3.7. Класифікація даних……………………………………………….23
4. КОМЕРЦІЙНІ ВИМОГИ…………………………………………………25
4.1. Віддалений доступ………………………………………………..26
4.2. Telnet/X Windows…………………………………………………27
4.3. Переносні комп'ютери……………………………………………27
4.4. Електронна пошта………………………………………………...29
4.5. Публікація інформації……………………………………………30
4.6. Дослідження………………………………………………………32
4.7. Електронна комерція……………………………………………..34
4.8. Електронний обмін даними………………………………………34
4.9. Інформаційні транзакції………………………………………….35
4.10. Фінансові транзакції…………………………………………….36
4.11. Постійна доступність для взаємодії……………………………38
4.12. Легкість використання…………………………………………..39
4.13. Одноразова реєстрація…………………………………………..40
5. ПРИКЛАДИ ОБЛАСТЕЙ, ДЛЯ ЯКИХ ПОТРІБНІ ПОЛІТИКИ………41
5.1. Ідентифікація і аутентифікація…………………………………..41
5.2. Контроль за імпортом програм…………………………………..49
5.3. Шифрування………………………………………………………61
5.4. Архітектура системи……………………………………………...67
5.5. Залагоджування подій з безпекою……………………………….73
5.6. Організаційні заходи……………………………………………...84
5.7. Навчання користувачів…………………………………………...91
6. ПОЛІТИКА БЕЗПЕКИ БРАНДМАУЕРІВ………………………………96
6.1. Основи і мета……………………………………………………..96
6.2. Аутентифікація……………………………………………………98
6.3. Аналіз можливостей маршрутизації і проксі-серверів…………98
6.4. Типи брандмауерів………………………………………………..99
6.5. Архітектура брандмауера……………………………………….102
6.6. Інтранет…………………………………………………………..105
6.7. Адміністрування брандмауера………………………………….106
6.8. Довірчі взаємозв'язки в мережі…………………………………109
6.9. Віртуальні приватні мережі (VPN)……………………………..110
6.10. Відображення імен в адреси за допомогою DNS…………….111
6.11. Цілісність системи……………………………………………..112
6.12. Документація…………………………………………………...112
6.13. Фізична безпека брандмауера…………………………………113
6.14. Дії при спробах порушення безпеки………………………….113
6.15. Відновлення сервісів…………………………………………..114
6.16. Удосконалення брандмауера………………………………… 114
6.17. Перегляд політики безпеки для брандмауера………………..115
6.18. Системні журнали ……………………………………………..116
6.19. Приклади політик………………………………………………116
6.20. Приклади специфічних політик для окремих сервісів ……...119
Висновки……………………………………………………………...121
Список використаної літератури……………………………………122
Додатки…
ВСТУП
Ця дипломна робота створена для того, щоб допомогти організації створити узгоджену політику безпеки для роботи в Інтернеті. Вона містить короткий огляд Інтернету і його протоколів. Вона розглядає основні види використання Інтернету і їх вплив на політику безпеки. Крім того, в ній є приклади політик безпеки для середовищ з низьким, середнім і високим рівнем погроз. Читачі, яким потрібна більш загальна інформація про комп'ютерну безпеку, можуть прочитати NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook. Цей документ був написаний для тих, хто бере участь в розробці політики безпеки на трьох рівнях:
· Обличчя з верхньої ланки управління організацією, яким потрібно розуміти деякі ризики і наслідки використання Інтернету, щоб вони могли раціонально розподілити ресурси і призначити відповідальних за ті або інші питання.
· Начальники підрозділів організації, яким потрібно розробляти специфічні політики безпеки
· Адміністратори організації, яким потрібно розуміти, чому їм треба застосовувати ті або інші програмно-апаратні засоби для захисту, і які причини використання організаційних мерів і правил роботи в Інтернеті, яким їм треба буде навчати користувачів Інтернету в організації.
1. ОСНОВИ ІНТЕРНЕТУ
Інтернет - це усесвітня "мережа мереж", яка використовує для взаємодії стек протоколів TCP/IP (Transmission Control Protocol/Internet Protocol). Інтернет був створений для полегшення взаємодії між організаціями, що виконують урядові замовлення. У 80-і роки до нього підключилися учбові заклади, урядові агентства, комерційні фірми і міжнародні організації. У 90-і роки Інтернет переживає феноменальне зростання. Зараз до Інтернету приєднані мільйони користувачів, приблизно половина з яких - комерційні користувачі. Зараз Інтернет використовується як основа Національної Інформаційної Інфраструктури США(NII).
1.1. Навіщо розробляти політику безпеки для роботи в Інтернеті?
Хоча підключення до Інтернету і надає величезні вигоди із-за доступу до колосального об'єму інформації, воно ж є небезпечним для сайтів з низьким рівнем безпеки. Інтернет страждає від серйозних проблем з безпекою, які, якщо їх ігнорувати, можуть привести до катастрофи для непідготовлених сайтів. Помилки при проектуванні TCP/IP, складність адміністрування хостов, вразливі місця в програмах, і ряд інших чинників в сукупності роблять незахищені сайти уразливим до дій зловмисників.
Організації повинні відповісти на наступні питання, щоб правильно врахувати можливі наслідки підключення до Інтернету в області безпеки:
· Чи можуть хакери зруйнувати внутрішні системи?
· Чи може бути скомпрометована( змінена або прочитана) важлива інформація організації при її передачі по Інтернету?
· Чи можна перешкодити роботі організації?
Багато рішень обмежують функціональність ради збільшення безпеки. Інші вимагають йти на значні компроміси відносно легкості використання Інтернету. Треті вимагають вкладення значних ресурсів - робочого часу для впровадження і підтримки безпеки і грошей для покупки і супроводу устаткування і програм.
Мета політики безпеки для Інтернету - ухвалити рішення про те, як організація збирається захищатися. Політика зазвичай складається з двох частин - загальних принципів і конкретних правил роботи( які еквівалентні специфічній політиці, описаній нижче). Загальні принципи визначають підхід до безпеки в Інтернеті. Правила ж визначають що дозволене, а що - заборонено. Правила можуть доповнюватися конкретними процедурами і різним керівництвом.
Правда, існує і третій тип політики, який зустрічається в літературі по безпеці в Інтернеті. Це - технічний підхід. У цій публікації під технічним підходом розумітимемо аналіз, який допомагає виконувати принципи і правила політики. Він, в основному, дуже технічний і складний для розуміння керівництвом організації. Тому він не може використовуватися так само широко, як політика. Проте, він обов'язковий при описі можливих рішень, що визначають компроміси, які є необхідним елементом при описі політики.
Щоб політика для Інтернету була ефективною, розробники політики повинні розуміти сенс компромісів, на які їм треба буде піти. Ця політика також не повинна суперечити іншим керівним документам організації. Дана публікація намагається дати технічним фахівцям інформацію, яку їм треба буде пояснити розробникам політики для Інтернету. Вона містить ескізний проект політики, на основі якого потім можна буде ухвалити конкретні технічні рішення.
Інтернет - це важливий ресурс, який змінив стиль діяльності багатьох людей і організацій. Проте, Інтернет страждає від серйозних і широко поширених проблем з безпекою. Багато організацій було атаковано або зондовано зловмисниками, внаслідок чого