. Так, прикладний екран може здійснювати дії від імені суб'єктів внутрішньої мережі, у результаті чого з зовнішньої мережі здається, що має місце взаємодія виняткова з міжмережевим екраном (рис. 4). При такому підході топологія внутрішньої мережі схована від зовнішніх користувачів, тому задача зловмисника істотно ускладнюється.
В
Рис.9 Справжні й удавані інформаційні потоки.
Більш загальним методом приховання інформації про топологію мережі, що захищається є трансляція В«ВнутрішніхВ» мережевих адрес, що попутно вирішує проблему розширення адресного простору, виділеного організації. Обмежуючий інтерфейс також можна розглядати як різновид екранування. На невидимий об'єкт важко нападати, особливо за допомогою фіксованого набору засобів. У цьому сенсі Web-інтерфейс має природний захист, особливо в тому випадку, коли гіпертекстові документи формуються динамічно. Кожен бачить лише те, що йому належить. Роль Web-сервісу наочно виявляється і тоді, коли цей сервіс здійснює посередницькі (точніше, що інтегрують) функції при доступі до інших ресурсів, зокрема таблицям бази даних. Тут не тільки контролюються потоки запитів, але і ховається реальна організація баз даних.
Висновок
В області захисту комп'ютерної інформації дилема безпеки формулюється так: слід вибирати між захищеністю системи і її відкритістю. Правильніше, втім, говорити не про вибір, а про баланс, тому що система, яка не володіє властивістю відкритості, не може бути використана. Виконання перерахованих вище вимог забезпечує достатній рівень захищеності повідомлень, оброблюваних в інформаційних системах. У сучасних умовах, для цілей розмежування доступу до потоків даних використовуються, як правило, маршрутизатори з функцією В«VPN - будівникаВ». Надійно ця функція може бути реалізована тільки за допомогою криптографічних засобів. Як завжди в таких випадках - особлива увага повинна приділятися ключовою системі та надійності зберігання ключів. Природно, що вимоги до політики доступу при розмежування потоків абсолютно відрізняються від таких при розмежуванні доступу до файлів і каталогів. Тут можливий тільки найпростіший механізм - доступ користувачеві дозволений або заборонений.
Література
1. Стрільців А.А. Забезпечення інформаційної безпеки Росії. Теоретичні та методологічні основи. - М.: В«МЦНМОВ», 2007. p> 2. Гадасин В.А., Конявскій В.А. Від документа - до електронного документа. Системні основи. - М.: РФК-Імідж Лаб, 2004. p> 3. Конявскій В.А. Управління захистом інформації на базі СЗІ НСД В«АкордВ». - М.: В«Радіо і зв'язокВ», 2004. br/>
