ння режиму безпеки, що рішення, пов'язані з ним, повинні прийматися на управлінському, а не технічному рівні.
Можна виділити наступні основні способи захисту інформації:
1) захист на рівні браузерів,
2) захист на рівні локального сервера,
3) установка фільтруючих програм,
4) установка мережевих екранів.
Найбільш надійними є два останні способи захисту. Так по шляху установки програм-фільтрів в організаціях, відповідно з Конвенцією про кіберзлочинність пішли всі європейські країни.
Програми-фільтри для російських організацій почала поставляти британська фірма SurfControl, що пропонує як фільтрацію вірусів і спаму, так і фільтрацію сайтів з неправомірним змістом.
Для кращого уявлення сутності мережевого екрану розглянемо структуру інформаційної системи підприємства (організації). У загальному випадку вона являє собою неоднорідний набір (комплекс) з різних комп'ютерів, керованих різними операційними системами і мережевого обладнання, що здійснює взаємодію між комп'ютерами. Оскільки описана система вельми різнорідна (навіть комп'ютери одного типу і з однієї операційної системою можуть, у відповідності з їх призначенням, мати зовсім різні конфігурації), навряд чи має сенс здійснювати захист кожного елемента в окремо. У зв'язку з цим пропонується розглядати питання забезпечення інформаційної безпеки для локальної мережі в цілому. Це виявляється можливим при використанні брандмауера (firewall).
Концепція міжмережевого екранування формулюється наступним чином.
Нехай є дві множини інформаційних систем. Екран - це засіб розмежування доступу клієнтів з однієї безлічі до серверів з іншої множини. Екран виконує свої функції, контролюючи всі інформаційні потоки між двома множинами систем.
У простому випадку екран складається з двох механізмів, один з яких обмежує переміщення даних, а другий, навпаки, йому сприяє (тобто здійснює переміщення даних). У більш загальному випадку екран (напівпроникну оболонку) зручно представляти себе як послідовність фільтрів. Кожен з них може затримати (не пропустити) дані, а може і відразу В«перекинутиВ» їх В«на інший бікВ». Крім того, допускається передача порції даних на наступний фільтр для продовження аналізу, або обробка даних від імені адресата і повернення результату відправнику.
Крім функцій розмежування доступу, екрани здійснюють також протоколювання інформаційних обмінів.
Зазвичай екран не є симетричним, для нього визначені поняття В«всерединіВ» і В«зовніВ». При цьому завдання екранізування формулюється як захист внутрішньої області від потенційно ворожої зовнішньої. Так, міжмережеві екрани встановлюють для захисту локальної мережі організації, що має вихід у відкриту середу, подібну Internet. Інший приклад екрану - пристрій захисту порту, контролююче доступ до комунікаційного порту комп'ютера до і незалежно від всіх інших системних захисних засобів.
Екранування дозволяє підтримувати доступність сервісів внутрішньої області, зменшуючи або взагалі ліквідуючи навантаження, індуковану зовнішньою активністю. Зменшується вразливість внутрішніх сервісів безпеки, оскільки спочатку сторонній зловмисник повинен подолати екран, де захисні механізми сконфігуровані особливо ретельно і жорстко. Крім того, екранує система, на відміну від універсальної, може бути влаштована більш простим і, отже, більш безпечним чином.
Екранування дає можливість контролювати також інформаційні потоки, спрямовані під зовнішню область, що сприяє підтримці режиму конфіденційності.
Найчастіше екран реалізують як мережевий сервіс на третьому (мережному), четвертому (Транспортному) або сьомому (прикладному) рівнях семиуровневой еталонної моделі OSI. У першому випадку ми маємо екрануючий маршрутизатор, у другому - екрануючий транспорт, у третьому - екрануючий шлюз. Кожен підхід мають свої переваги і недоліки; відомі також гібридні екрани, де робиться спроба об'єднати кращі якості згаданих підходів.
Екрануючий маршрутизатор має справу з окремими пакетами даних, тому іноді його називають пакетним фільтром. Рішення про те, пропустити або затримати дані, приймаються для кожного пакета незалежно, на підставі аналізу полів заголовків мережевого і (бути може) транспортного рівнів, шляхом застосування заздалегідь заданої системи правил. Ще один важливий компонент аналізованої інформації - порт, через який пакет вступив до маршрутизатор.
Сучасні маршрутизатори (такі, як продукти компаній Bay Networks або Cisco) дозволяють пов'язувати з кожним портом кілька десятків правил і фільтрувати пакети як на вході (при вступі до маршрутизатор), так і на виході. В принципі, в якості пакетного фільтра може використовуватися і універсальний комп'ютер, постачений декількома мережевими картами.
Основні гідності маршрутизаторів, що екранують - дешевизна (на кордоні мереж маршрутизатор потрібен практично завжди, справа ли...
