Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Лекция 6. Безопасная работа в офисе.doc
Скачиваний:
3
Добавлен:
24.09.2019
Размер:
71.68 Кб
Скачать

Лекция 6 Интернет/интранет и структура предприятия

Основу ИТ-инфраструктуры предприятия составляет его собственная (корпоративная) сеть. Многие современные предприятия используют Интернет-технологии как для внешних, так и для внутренних информационных связей. Построенные на базе этих технологий сети для корпоративного использования называются интранет (intranet) и экстранет (extranet) (рис. 3.4). Рис. 3.4.  Пример организации сетевой деятельности в крупных компаниях

В сети Интернет, которая представляет собой пространство для общего пользования, выполняется поиск внешних материалов, осуществляется связь со средствами массовой информации (СМИ), инвесторами и конкурентами.

Интранет, или интрасеть, - это внутрикорпоративная сеть, которая использует стандарты и технологии Интернета, но доступна только для сотрудников компании. Сеть интранет может быть изолирована от внешних пользователей с помощью сетевого экрана (брандмауэра), защищающего ее от несанкционированного доступа2) через Интернет, или в принципе не имеет доступа извне. Обычно компании создают интрасети только для своих сотрудников. Основное предназначение интранет - совместное использование информации во всей компании.

Экстранет - корпоративная сеть, использующая протоколы и технологии Интернет и общедоступные телекоммуникационные сети для взаимодействия с заказчиками, дилерами и партнерами и для предоставления им необходимой информации.

Интернет, интранет и экстранет, несмотря на общность технологий, используются предприятиями для решения различных задач бизнеса. Интернет позволяет работать с общественной информацией. Интранет предоставляет информацию ограниченного пользования, обеспечивает удобные коммуникации и эффективное сотрудничество пользователей, служит распространению знаний внутри организации.

Интранет-системы обеспечивают организации единый способ обмена информацией и доступа к материалам, единое представление документов и единое пространство для хранения документов. Это позволяет создавать системы документооборота для компаний с региональными офисами и большим количеством персонала, расширять функциональность с минимальными трудозатратами. Работа с материалами Интернета ведется прежде всего отделом маркетинга (изучение материалов конкурентов, анализ данных СМИ и т.п.), содержание интрасети активно используется всеми сотрудниками (тогда как доступ к Интернету может быть не у всех). Зона экстранет - это среда, в которой прежде всего работают сотрудники отделов маркетинга и логистики3).

Причины возникновения проблем с ИТ-безопасностью

Для того чтобы понять, с чем связаны и из чего вытекают проблемы безопасности в работе современного предприятия, следует обратиться к рис. 8.1, на котором изображена схема взаимосвязи между нуждами бизнеса, требованиями безопасности и принципами приватности.

Рис. 8.1.  Схема взаимосвязи между нуждами бизнеса, требованиями безопасности и принципами приватности

Очевидно, что нужды бизнеса, безопасности и приватности неизбежно входят в противоречие, ведь в самой природе бизнеса заложена необходимость информационного обмена.

Руководство компании, озабоченное увеличением прибыли компании, вынуждено обеспечивать поставщикам, клиентам и партнерам доступ к корпоративной информации.

Однако корпоративная информация имеет конфиденциальную составляющую, и утечка этой информации, а тем более попадание ее к конкурентам - это потери в бизнесе. Конкуренты всегда будут стараться получать и накапливать информацию о других предприятиях. Очевидно, таким образом, что информация должна передаваться только доверенным лицам, т.е. необходима система авторизации доступа к корпоративной информации - такая, при которой известно, кто получает информацию, и ясно, что получатель информации - именно тот, за кого он себя выдает. В силу необходимости авторизации стали создаваться системы мониторинга действий сотрудников, партнеров и клиентов.

Накапливание информации о партнерах и клиентах позволяет получать о них дополнительную информацию и обеспечивать лучший сервис (а соответственно, и получать большую прибыль). Однако накапливание данных о клиентах и партнерах приводит к нарушению их права приватности. В частности, многие клиенты Интернет-магазинов выражают опасения, что информация о совершенных ими заказах может быть использована третьими лицами. Службы безопасности постоянно вступают в конфликты с сотрудниками и клиентами при внедрении систем управления цифровыми правами, по сути позволяющих шпионить за действиями последних.

Конфликт между работодателем и сотрудником может привести к проблеме так называемых "обиженных сотрудников", которые готовы уйти к конкуренту, что, в свою очередь, может обернуться существенной утечкой информации.

Но проблема не только в подобного рода конфликтах. Например, многие компании пытаются навязать свою рекламу путем использования информационной системы потребителя. И чем больше будет появляться средств массовой рассылки, тем больше будет соблазна у недобросовестных рекламодателей злоупотреблять временем клиента. И наконец, многим свойственно желание просто самоутвердиться за счет разрушения чужой информационной системы, чужого бизнеса, даже если это не сулит прямой прибыли. Яркий пример тому - разного рода вирусы и атаки, которые приносят компаниям миллионные убытки. Как показывает опыт, судебное преследование не истребляет желания хакеров прославиться на ниве создания вирусов. Важно также отметить просто неграмотные действия пользователей в корпоративной сети, в результате которых происходят потери файлов или утечка информации.

Значимость различных проблем ИТ-безопасности

Как показывает статистика, именно ошибки и неграмотные действия персонала (рис. 8.2) становятся причиной наибольших потерь предприятий. Недаром стала расхожей кем-то метко брошенная фраза: "Пользователь еще более непредсказуем, чем хакер".

Рис. 8.2.  По данным Computer Security, ошибки персонала составляют более 50% причин потерь на предприятии

Чтобы снизить количество ошибок персонала, необходимо иметь общие представления о безопасных коммуникациях.

Современная сеть - это многокомпонентная структура, включающая рабочие станции, мобильные компьютеры, доступ в Интернет и другие компоненты. Так что универсального решения по обеспечению защиты некой абстрактной организации не существует. Защиту различных компонентов можно строить на разных принципах, и выбор оптимальной стратегии защиты корпоративных данных - задача такая же сложная, как и любая иная задача комплексной информатизации. Сотрудники офиса, не занимающиеся вопросами безопасности профессионально, не обязаны обладать знаниями, достаточными для защиты корпоративной сети, однако должны иметь представление о том, какие системы безопасности применяются, в чем их суть и, главное, как необходимо взаимодействовать с этими системами, чтобы работа в офисе была безопасной.

Программные средства контроля доступа

Средства контроля доступа к документам в MS Office

Пакет Microsoft Office имеет встроенные средства защиты.

В приложениях Word, Excel, Access и PowerPoint имеются функции защиты документов от несанкционированного доступа. Пользователи могут управлять доступом к документам, применяя функцию защиты доступа к файлам. Автор документа может задать пароль, позволяющий открывать документ или вносить в него изменения (рис. 9.1).

Рис. 9.1.  Панель "Параметры", вкладка "Безопасность"

При установке парольной защиты на открытие файла запрашивается пароль и при сохранении файла документ шифруется. При шифровании происходит полное изменение исходного текста. Если просмотреть содержимое такого файла, то увидеть можно будет только несвязную мешанину символов. При открытии такого документа программа запрашивает пароль, и если он верен, то документ расшифровывается.

Причем возможен запрет не только на открытие файла, но и на изменение информации в нем, а также разрешение на изменение только отдельных элементов документа.

В зависимости от заданного режима пользователи не смогут вообще просматривать документ или же смогут просматривать его лишь в режиме "только для чтения" до тех пор, пока не введут правильный пароль.

Следует отметить, что соблюдение правил составления пароля заметно влияет на его устойчивость к взлому. Существует целый ряд программ для подбора паролей, которые используют три основных способа: прямой перебор, перебор по маске и перебор по словарю.

Первый способ заключается в переборе всех возможных комбинаций символов. При длине пароля в шесть символов время перебора всех возможных комбинаций на современном персональном компьютере исчисляется днями.

Перебор по маске применяется, если известна какая-либо часть пароля. Например, известно, что в начало всех паролей пользователь вставляет дату своего рождения. В этом случае время перебора сильно сокращается.

Перебор по словарю основан на желании пользователей создавать легко запоминающиеся пароли, содержащие слова. При этом количество возможных комбинаций резко сокращается.

Длина пароля к важному документу должна составлять не менее десяти символов, в пароле должны присутствовать спецсимволы (%^&*!@#$и т.д.), цифры, прописные и строчные буквы; пароль не должен состоять из словарных слов, написанных в прямом или в обратном порядке, не должен содержать какую-либо информацию о пользователе (имя, год рождения и др.).

Контроль доступа к Web-ресурсу

Если вы размещали в Сети свои Web-странички, то, вероятно, сталкивались с тем, что для внесения каких-либо изменений в страничку система требовала ввести логин и пароль. Для чего это нужно? Очевидно, для того чтобы любой желающий не имел возможности испортить ваш ресурс, изменить на нем информацию.

Это общее правило. Для того чтобы обеспечить безопасность некоторой информационной системы коллективного пользования, необходимо проверять, кто обращается к информации, убедиться, что этот человек имеет право доступа, а также определить, какие еще права он имеет. Например, владелец Web-странички может изменять в ней информацию, зарегистрированный пользователь ресурса, где помещена эта страничка, может только читать ее содержимое, а человек, не являющийся зарегистрированным пользователем, вообще не должен получать доступа к ресурсу.

Рассмотрим описанную выше процедуру контроля доступа к информации более подробно. На первом этапе происходит аутентификация пользователя - проверка подлинности входящего в систему пользователя.

Аутентификация (authentication) пользователя обычно происходит за счет того, что пользователь вводит правильное имя пользователя (user name), или логин (login) и пароль (password), после чего предоставляется вход. Сервер сравнивает аутентификационные данные пользователя с теми, что хранятся в базе, и если они совпадают, пользователю предоставляется доступ в сеть.

Термины "аутентификация" и "идентификация" часто считают синонимами, однако это не совсем верно.

Идентификация - это установление тождества объектов на основе совпадения их признаков.

Аутентификация - это процедура проверки подлинности данных и субъектов информационного взаимодействия.

Например, при входе в некоторую информационную систему пользователь обычно идентифицируется именем (идентификатором), а потом аутентифицируется паролем (или другим признаком аутентификации). В данном случае аутентификацией является проверка пароля, доказывающая, что идентифицированное лицо является именно тем, за кого себя выдает.

Следующий после аутентификации шаг - авторизация (authorization) пользователя для выполнения определенных задач.

Авторизация - это процесс определения набора полномочий, которыми обладает пользователь - т.е. к каким типам действий, ресурсов и служб он допускается. После того как система произвела аутентификацию пользователя и он зарегистрирован в системе (logged in a system), определяется набор его прав доступа к ресурсам и действиям в системе. Уровень прав доступа (привилегий) определяется администратором системы на основе корпоративных требований безопасности