На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Интернет и телекоммуникации

Вначале несколько сухих цифр
Объем рынка электронной коммерции в 2000 г.
Общая стоимость всех приобретений Internet-продуктов 4, 5-6 млрд.
Общая стоимость всех приобретений на среднего покупателя 600-800
Стоимость среднего приобретения на Internet-транзакцию 25-3S
Полный объем транзакций-приобретений по Internet 130-200 млн.
Доля приобретений продуктов on-line 60- 70%
Доля приобретений доставляемых товаров 30-40%
Благодаря упрощенному просмотру технология интрасетей ста­новится привлекательной для распространения информации внутри
предприятия, но в то же время вызывает беспокойство у администра­торов сетей, отвечающих за защиту данных. Несмотря на то, что Web-броузеры и Web-серверы кажутся идеальными инструментами, обес­печивающими быстрый и простой доступ к документам и данным, от­крытость этой технологии приводит к необходимости принимать спе­циальные меры, предотвращающие возможность получения информа­ции ограниченного пользования нежелательными лицами, будь то служащие компании или посторонние люди. Интрасети порождают новые проблемы защиты данных. Одно из самых серьезных опасений состоит в том, что использование доступных каждому Web-инстру-ментов усугубит угрозу вторжений извне. Чтобы парировать ее, адми­нистраторы сетей защищают границы своих интрасетей с помощью
брандмауэров.
Одновременно возникает необходимость ограничить доступ и
внутри предприятия, чтобы исключить возможность попадания кон­фиденциальных данных в руки служащих, не имеющих на это полно­мочий. Несколько поставщиков усиленно рекламируют в этих целях установку брандмауэров в ключевых пунктах между отделениями, что, согласно их утверждению, эффективно ограничит доступ к Web-страницам и Web-приложениям, используемым в одном отделении, из другого. Некоторые фирмы, например, Bay Networks для повышения надежности защиты на предприятии предлагают применять концент­раторы и маршрутизаторы со встроенными функциями брандмауэров.
Многие администраторы, однако, скептически относятся к тако­му подходу. По мнению одного из них, дополнение внутреннего марш­рутизатора брандмауэром предполагает, что физическая структура корпоративной сети совпадает с ее логической структурой, а это не
всегда предусматривается при конфигурировании сети. Кроме того, он указывает, что установка брандмауэров между отделениями не учиты­вает типичной ситуации, когда доступ к конфиденциальной информа­ции должен предоставляться только руководителям из особого спис­ка, которые могут быть рассредоточены по сети. «Использовать бранд­мауэр для защиты интрасети — это то же самое, что колоть грецкие орехи кувалдой», — иронизирует он.
Внимательное администрирование
Тем не менее менеджеры считают наилучшим способом ля за безопасностью интрасетей внимательное администрирование
прав доступа пользователей. Некоторые из них полагают, что кон­троль посредством паролей в сочетании с такими продуктами, как Secure Sockets Layer компании Netscape Communications, позволит эффективно и гибко ограничивать несанкционированный доступ. Од­нако эксперты по защите данных выражают мнение, что риск, связан-
ный с инструментальными средствами, исходный код которых обще­доступен, сохраняется.
«Трудно сделать действительно секретной любую программу, на­писанную на языке HTML или Java, — утверждает Питер Типпетт (Peter Tippett), президент Национальной ассоциации компьютерной
безопасности (NCSA). — Они рассчитаны только на передачу по лини­ям связи и выполнение на компьютере».
Сценарии общего межсетевого интерфейса (Common Gateway
Interface, CGI), используемые для подключения Web-серверов к внут­ренней базе данных или системам обработки транзакций, также стали
предметом серьезного беспокойства администраторов интрасетей. Эти сценарии, написанные на интерпретируемых, а не компилируемых языках, например Practical Extraction and Reporting Language, особен­но уязвимы для несанкционированного доступа, поскольку в них мо­гут быть включены вводящие в заблуждение операторы. Передав в
сценарии CGI непредусмотренные входные данные, хакеры могут до­биться, чтобы сервер переслал им по электронной почте файлы паро­лей, установить сеансы связи по протоколу Telnet с секретными ресур­сами или получить доступ к полезной информации о конфигурации.
Кроме того, они могут проникать в сеть в целях установления режима так называемого отказа в услугах, когда серверу приходится выпол­нять некоторые занимающие ресурсы действия (например, массовый
поиск), что делает систему непригодной для обычного использования.
Несмотря на то, что включение Web-сервера между конечными пользователями и приложениями может обеспечить независимость от платформы и упростить представление данных, оно усложняет защи­ту данных. Меры защиты, присущие давно созданным приложениям, теперь недостаточны, поскольку их клиентом является Web-сервер, а не конечный пользователь. HTML-страница становится вторым важ­нейшим пунктом контроля защиты. Даже при наличии средств защи­ты приложений каждый желающий, который имеет физический до­ступ к сегменту локальной сети, способен перехватить сообщения, пе­редаваемые по (если только не используется какой-либо
способ шифрования).
Как сказал Типпетт, сравнительно легко можно превратить персональный компьютер пользователя в устройство для перехвата
информации. «Появляется все больше автоматизированных инстру­ментов, позволяющих незаконно вторгаться в сеть, даже не помышляя об этом», — констатировал он.

Шифрование паролей
Самыми важными данными, которые могут быть перехвачены, являются пароли, обычно открыто посылаемые при входе пользовате­лей в систему. Располагающий таким паролем хакер может «подо­браться» к серверу и проникнуть в области, доступ к которым разре­шен конкретному пользователю.
Вот почему шифрование необходимо уже в процессе начальной передачи паролей пользователей. Другие данные, передаваемые в Web-среде, например, номера системы социального обеспечения, так­же могут требовать шифрования. Безусловно, эффективность контро­ля доступа в конечном итоге зависит от прилежания технического пер­сонала, осуществляющего администрирование
Промахи в организации защиты
Недочеты в администрировании систем защиты, по-видимому, происходят по нескольким причинам. Во-первых, предполагается, что пользователям могут быть предоставлены полномочия более высокого уровня, чем при доступе через Internet извне. Во-вто­рых, внутренние Web-узлы часто доверяются тем, кто лучше освоил язык HTML, а не служащим, глубоко знающим используемые компа­нией методы защиты. В-третьих, рынок средств защиты в Web-средах только формируется, поэтому в штате лишь немногих информацион­ных служб имеются специалисты, знакомые с соответствующими инструментами и их практическим использованием.
Для многих администраторов сетей технические вопросы защи­ты, наряду с общим ощущением неуверенности, будут служить поме­хой для более широкого использования внутренних Web-узлов (поми­мо распространения корпоративных новостей, справочных данных о
персонале и информации о льготах для служащих).
Однако некоторых администраторов явно привлекают быстрота и простота создания интрасетей. Эти потребители, чтобы не допустить ухудшения защиты, должны с большим вниманием относиться к соче­танию брандмауэров, средств аутентификации, эффективных сцена­риев CGI, а также методов шифрования.
Как сказал директор по специальным проектам Стив Кобб
(Steve Cobb), в сфере защиты интрасетей ярко проявляются более об­щие проблемы защиты данных в компаниях. Здесь наглядно проявля­ются недостатки как самой политики защиты, так и методов ее вопло­щения на практике.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика