Sigurnost računalnih mreža osigurana je kroz politike i prakse koje se primjenjuju za sprečavanje i praćenje neovlaštenog pristupa, nezakonite uporabe, izmjene ili isključenja mreže i raspoloživih resursa. Uključuje autorizaciju pristupa podacima koje kontrolira mrežni administrator. Korisnici biraju ili određuju identifikator i lozinku ili druge informacije za provjeru autentičnosti koje im omogućuju pristup podacima i aplikacijama unutar svojih ovlasti.
Sigurnost mreže obuhvaća mnoge računalne mreže, javne i privatne, koje se koriste u svakodnevnom radu, transakcijama i komunikaciji između poduzeća, vladinih agencija i pojedinaca. Mreže mogu biti privatne (na primjer unutar tvrtke) i druge (koje mogu biti otvorene za javni pristup).
Sigurnost računalnih mreža povezana je s organizacijama, poduzećima i drugim vrstama institucija. On štiti mrežu, kao i obavlja sigurnosne i nadzorne radnje. Najčešći i najlakši način zaštite mrežnog resursa je dodijeliti mu jedinstveno ime i odgovarajuću lozinku.
Upravljanje sigurnošću
Upravljanje sigurnošću za mreže može biti različito za različite situacije. Dom ili mali ured mogu zahtijevati samo osnovnu sigurnost, dok velika poduzeća mogu zahtijevati uslugu s visokom razinom pouzdanosti i proširenim softverom ihardver za sprečavanje hakiranja i slanja neželjenih napada.
Vrste mrežnih napada
Ranjivost je slabost u dizajnu, provedbi, radu ili unutarnjoj kontroli. Većina otkrivenih ranjivosti dokumentirana je u bazi podataka Common Vulnerabilities and Exposures (CVE).
Mreže se mogu napasti iz različitih izvora. Oni mogu biti dvije kategorije: "Pasivno", kada prekršitelj mreže presreće podatke koji prolaze kroz mrežu, i "Aktivno", u kojem napadač pokreće naredbe za ometanje normalnog rada mreže ili za praćenje podataka kako bi pristupio. Kako bi se zaštitio računalni sustav, važno je razumjeti vrste napada koji se mogu učiniti protiv njega. Te se prijetnje mogu podijeliti u sljedeće kategorije.
"Stražnja vrata"
Backdoor u računalnom sustavu, kriptosustavu ili algoritmu tajna je metoda za zaobilaženje provjere autentičnosti ili sigurnosnih značajki. Mogu postojati iz više razloga, uključujući i zbog izvornog dizajna ili zbog loše konfiguracije. Programer ih može dodati kako bi dopustio neki legitiman pristup ili napadaču iz drugih razloga. Bez obzira na motive za njihovo postojanje, oni stvaraju ranjivost.
Napadi na uskraćivanje usluge
Napadi na uskraćivanje usluge (DoS) osmišljeni su tako da računalo ili mrežni resurs postanu nedostupni namijenjenim korisnicima. Organizatori takvog napada mogu blokirati pristup mreži pojedinim žrtvama, na primjer, namjernounos netočne lozinke mnogo puta zaredom kako bi se uzrokovalo zaključavanje računa, ili preopterećenje mogućnosti stroja ili mreže i blokiranje svih korisnika u isto vrijeme. Iako mrežni napad s jedne IP adrese može biti blokiran dodavanjem novog pravila vatrozida, mogu postojati oblici DDoS napada, gdje signali dolaze s velikog broja adresa. U ovom slučaju, zaštita je mnogo složenija. Takvi napadi mogu se pojaviti na računalima koja izvode botove, ali mogući su i brojni drugi postupci, uključujući napade napada i refleksije, gdje sustavni ciljevi nehotice prenose takav signal.
Napadi izravnim pristupom
Neovlašteni korisnici dobivaju fizički pristup računalu, najvjerojatnije mogu izravno kopirati podatke s njega. Takvi uljezi također mogu ugroziti sigurnost promjenom operativnog sustava, instaliranjem softverskih crva, keyloggera, skrivenih uređaja za slušanje ili korištenja bežičnih miševa. Čak i ako je sustav zaštićen standardnim sigurnosnim mjerama, može ih se zaobići preuzimanjem drugog OS-a ili alata s CD-a ili drugih medija za podizanje. Šifriranje diska je namijenjeno sprečavanju takvih napada.
Koncept mrežne sigurnosti: glavne točke
Informacijska sigurnost u računalnim mrežama počinje autentifikacijom povezanom s uvođenjem korisničkog imena i lozinke. Njezina je vrsta jedan faktor. sDvofaktorska autentifikacija dodatno koristi dodatni parametar (sigurnosni token ili "ključ", ATM karticu ili mobilni telefon), s primijenjenim trofaktorskim i jedinstvenim korisničkim elementom (skeniranje otiska prsta ili mrežnice). Nakon provjere autentičnosti, vatrozid primjenjuje pravilo pristupa. Ova usluga računalne mrežne sigurnosti djelotvorna je za sprečavanje neovlaštenog pristupa, ali ova komponenta možda ne provjerava potencijalno štetan sadržaj, kao što su računalni crvi ili trojanci koji se prenose preko mreže. Antivirusna zaštita (IPS) pomaže u otkrivanju i blokiranju učinaka takvog zlonamjernog softvera. Sustav detekcije upada koji se temelji na skeniranju podataka također može pratiti mrežu za daljnju analizu na visokoj razini. Novi sustavi koji kombiniraju neograničeno strojno učenje s cjelovitom analizom mrežnog prometa mogu otkriti aktivne mrežne uljeze kao zlonamjerne insajdere ili ciljane vanjske štetočine koje su sjeckale korisničko računalo ili račun. Osim toga, veza između dva hosta može se šifrirati kako bi se osigurala veća privatnost.
Zaštita računala
U sigurnosti računalne mreže koriste se protumjere - radnje, uređaji, procedure ili tehnike koje smanjuju prijetnju, ranjivost ili napad eliminiranjem ili sprječavanjem, umanjenjem štete ili otkrivanjem i prijavljivanjem dostupnost.
Sigurnoenkodiranje
Ovo je jedna od glavnih sigurnosnih mjera za računalne mreže. U razvoju softvera, sigurno kodiranje je usmjereno na sprječavanje slučajnog uvođenja ranjivosti. Također je moguće stvoriti, dizajniran od nule za sigurnost. Takvi su sustavi "sigurni od dizajna". Osim toga, formalna verifikacija je usmjerena na dokazivanje ispravnosti algoritama na kojima se temelji sustav. To je osobito važno za kriptografske protokole. Ova mjera znači da je softver dizajniran od nule kako bi se osigurale informacije u računalnim mrežama. U ovom se slučaju smatra glavnom značajkom. Neke od metoda ovog pristupa uključuju:
načelo minimalnih povlastica, u kojem svaki dio sustava ima samo određene ovlasti potrebne za njegovo funkcioniranje. Stoga, čak i ako napadač dobije pristup ovom dijelu, primit će ograničenu ovlast nad cijelim sustavom.
Pregledi koda i modularni testovi pristupi su osiguravanju veće sigurnosti modula kada formalni dokaz ispravnosti nije moguć.
Duboka zaštita, gdje je dizajn takav da je potrebno razbiti nekoliko podsustava kako bi se ometao integritet sustava i informacije koje pohranjuje. To je dublja tehnologija računalne sigurnosti. Arhitektura sigurnosti
Arhitektura otvorene sigurnosti definira IT sigurnosnu arhitekturu kao "artefakte dizajna koji opisuju mjesto sigurnosnih kontrola (sigurnosne protumjere) i njihovu povezanost s cjelokupnom arhitekturom.Te kontrole služe održavanju takvih atributa kvalitete sustava, kao što su povjerljivost, integritet, dostupnost, odgovornost i jamstva.
Drugi stručnjaci ga definiraju kao jedinstveni dizajn sigurnosti računalne mreže i sigurnosti informacijskih sustava koji uzima u obzir potrebe i potencijalne rizike povezane s određenim scenarijem ili okruženjem te također određuje kada i gdje se primjenjuju određena sredstva. Njezini ključni atributi su:
odnos između različitih komponenti i kako one ovise jedna o drugoj.
Definiranje mjera za kontrolu rizika, najboljih praksi, financijskih i pravnih pitanja.
standardizacija kontrola.
Sigurnost računalne mreže
Računalna sigurnost je konceptualni ideal koji se može postići korištenjem tri procesa: sprečavanje, otkrivanje i reagiranje na prijetnju. Ti se procesi temelje na različitim tvorcima politika i komponentama sustava, koji uključuju sljedeće:
Kontrole pristupa korisničkom računu i kriptografija koje mogu zaštititi datoteke sustava i podatke.
Vatrozidi, koji su danas najčešći sustavi za sprečavanje sigurnosti računalnih mreža. To je zbog činjenice da su sposobni (ako su pravilno konfigurirani) zaštititi pristup internim mrežnim uslugama i blokirati određene vrste napada pomoću filtriranja paketa. Vatrozidi mogu biti i hardverski i softverski.
SustaviIntrusion Detection (IDS) koja je dizajnirana za otkrivanje mrežnih napada u procesu njihove implementacije, kao i za pružanje pomoći nakon napada, dok kontrolni popisi i direktorije obavljaju sličnu funkciju kao i pojedini sustavi.
"Odgovor" je nužno određen procijenjenim sigurnosnim zahtjevima pojedinog sustava i može se kretati od jednostavnog sigurnosnog ažuriranja do obavijesti nadležnih tijela, protunapada, itd. Neće biti otkriveni svi osjetljivi resursi.
Što je vatrozid? Danas, sigurnosni sustav računalne mreže uključuje uglavnom "preventivne" mjere, kao što su vatrozidi ili izlazni postupci. Vatrozid se može definirati kao način filtriranja mrežnih podataka između glavnog računala ili mreže i druge mreže, kao što je Internet. Može se implementirati kao softver koji se izvodi na računalu i povezan s mrežnim stogom (ili, u slučaju UNIX sustava, ugrađenih u jezgreni OS) kako bi se omogućilo filtriranje i blokiranje u stvarnom vremenu. Druga implementacija je tzv. "Fizički vatrozid", koji se sastoji od zasebne filtracije mrežnog prometa. Takva sredstva distribuiraju se među računalima koja su stalno povezana s internetom i aktivno se koriste za pružanje informacijske sigurnosti računalnih mreža. Neke organizacije obraćaju se velikim podatkovnim platformama (kao što je Apache Hadoop) kako bi osigurale dostupnost podataka i strojno učenje za prepoznavanje naprednih konstantiprijetnji.
Međutim, neke organizacije podržavaju računalne sustave s učinkovitim sustavima za otkrivanje, a imaju i manje organizirane mehanizme odgovora. To stvara probleme u osiguravanju tehnološke sigurnosti računalne mreže. Glavna prepreka učinkovitom iskorjenjivanju cyber kriminala može se nazvati prekomjernom ovisnošću o vatrozidima i drugim automatiziranim sustavima za otkrivanje. Ipak, to je osnovno prikupljanje podataka pomoću uređaja za hvatanje paketa koji zaustavljaju napade.
Upravljanje ranjivim
Upravljanje ranjivim je ciklus identifikacije, uklanjanja ili ublažavanja nedostataka, posebno u softveru i firmveru. Taj je proces sastavni dio sigurnosti računalnih sustava i mreža. Ranjivosti se mogu otkriti pomoću skenera koji analizira računalni sustav u potrazi za poznatim "slabostima" kao što su otvoreni portovi, opasna softverska konfiguracija i bespomoćnost protiv zlonamjernog softvera. Osim skeniranja ranjivosti, mnoge organizacije ulaze u ugovore o sigurnosnom outsourcingu kako bi na svojim sustavima provodile redovita probna testiranja. U nekim sektorima to je ugovorna obveza.
Smanjenje ranjivosti
Unatoč činjenici da je formalna provjera ispravnosti računalnih sustava moguća, ona još nije široko rasprostranjena. Službeno testirani OS uključuju seL4 i SYSGO PikeOS, ali oni predstavljaju vrlo mali postotak tržišta. Aktivne su suvremene računalne mreže koje pružaju informacijsku sigurnost u mrežikoristiti autentifikaciju s dva faktora i kriptografske kodove. To značajno smanjuje rizike iz sljedećih razloga. Zlo kriptografije danas je praktički nemoguće. Za njegovu provedbu potreban je neki ne-kriptografski ulaz (nezakonito dobiveni ključ, otvoreni izvorni tekst ili druge dodatne kriptoanalitičke informacije). Dvofaktorska provjera autentičnosti je metoda ublažavanja neovlaštenog pristupa sustavu ili povjerljivih informacija. Za ulazak u siguran sustav potrebna su dva elementa:
"ono što znate" - zaporka ili PIN;
"ono što imate" - kartica, ključ, mobilni telefon ili druga oprema.
Time se povećava sigurnost računalnih mreža, jer neovlašteni korisnici trebaju oba elementa istovremeno. Što ćete se strože pridržavati sigurnosnih mjera, može doći do manje pukotina. Možete smanjiti šanse za uljeze stalnim ažuriranjem sustava sigurnosnim popravcima i nadogradnjama pomoću posebnih skenera. Učinak gubitka i oštećenja podataka može se smanjiti pažljivim kreiranjem sigurnosnih kopija i pohrane.
Mehanizmi za zaštitu opreme
Hardver također može biti izvor prijetnje. Na primjer, zlo se može napraviti korištenjem ranjivosti mikročipova zlonamjerno uvedenih tijekom proizvodnog procesa. Hardverska ili pomoćna sigurnost rada u računalnim mrežama također nudi određene metode zaštite. Korištenje uređaja i metoda, kao što su pristupni ključevi, pouzdani platformski moduli, sustaviotkrivanje upada, zaključavanje diska, prekid veze s USB priključkom i pristup s mobilnim uređajem mogu se smatrati sigurnijim zbog potrebe za fizičkim pristupom pohranjenim podacima. Svaki od njih detaljnije je opisan u nastavku.
Tipke
USB ključevi se obično koriste u procesu licenciranja za otključavanje softverskih mogućnosti, ali se također mogu vidjeti kao način za sprečavanje neovlaštenog pristupa računalu ili drugom uređaju. Ključ stvara siguran kriptirani tunel između njega i softverske aplikacije. Princip je da se šifrirana shema (na primjer, AdvancedEncryptionStandard (AES)) osigurava viši stupanj informacijske sigurnosti u računalnim mrežama, jer je teže ispucati i ponoviti ključ nego ga jednostavno kopirati na drugi stroj i koristiti ga. Druga upotreba takvih ključeva je njihova upotreba za pristup web sadržaju, kao što je softver temeljen na oblaku ili virtualne privatne mreže (VPN). Osim toga, USB ključ se može konfigurirati za zaključavanje ili otključavanje računala.
Zaštićeni uređaji
Zaštićene pouzdane platforme (TPM) integriraju kriptografske mogućnosti na pristupnom uređaju pomoću mikroprocesora ili takozvanih računala na kristalu. TPM-ovi koji se koriste zajedno sa softverom na strani poslužitelja nude izvorni način za otkrivanje i provjeru autentičnosti hardverskih uređaja i sprečavanje neovlaštenog pristupa mreži i podacima. otkrivanjeUpada u računalo pomoću prekidača tastera koji se aktivira prilikom otvaranja tijelo stroja. Firmver ili BIOS programiran da upozori korisnika kada će uređaj biti uključeni sljedeći put.
brave
sigurnost mreže i sigurnost informacijskih sustava može postići blokiranjem pogon. To je, u stvari, alata za šifriranje hard diskova, što ih čini nedostupnim neovlaštenim korisnicima. Neki specijalizirani alati posebno dizajniran za šifriranje vanjskih diskova. Onemogućavanje USB port - je još jedna zajednička sigurnosna opcija za sprečavanje neovlaštenog i zlonamjernog pristupa zaštićenog računala. Zaraženi USB-tipke spojeni na mrežni uređaj unutar vatrozida, smatra najčešćih prijetnji računalnoj mreži. Mobilni uređaji sa mobilnim komunikacijama sve više postaju popularni zbog raširene upotrebe mobitela. Ove ugrađene značajke kao što su Bluetooth, najnoviji niske frekvencije veza (LE), Near Field Communication (NFC) dovela do pronalaženja sredstava za otklanjanje propusta. Danas se aktivno koristi kao biometrijske verifikacije (čitač otiska prsta) i softver za čitanje QR kod, dizajniran za mobilne uređaje. To pruža nove, sigurne načine za povezivanje mobilnih telefona za pristup sustava kontrole. Ona pruža sigurnost računala, a mogu se koristiti za kontrolu pristupaosigurani podaci.
Mogućnosti i popisi kontrola pristupa
Značajke informacijske sigurnosti u računalnim mrežama temelje se na podjeli privilegija i stupnju pristupa. Dva su takva modela široko rasprostranjena - ACL i sigurnosne mogućnosti. Upotreba ACL-a za ograničavanje korištenja programa pokazala se opasnom u mnogim situacijama. Na primjer, glavno računalo može se prevariti neizravnim pristupom pristupu ograničenoj datoteci. Također je pokazano da obećanje da će ACL odobriti pristup samo jednom korisniku nikada ne može biti zajamčeno u praksi. Dakle, danas postoje praktični nedostaci u svim sustavima koji se temelje na ACL-u, ali programeri ih aktivno pokušavaju popraviti. Sigurnost temeljena na mogućnostima uglavnom se koristi u istraživačkim operativnim sustavima, dok komercijalni operativni sustavi i dalje koriste ACL-ove. Međutim, prilike se mogu implementirati samo na razini jezika, što dovodi do specifičnog stila programiranja, što je u biti poboljšanje standardnog objektno orijentiranog dizajna.
Međutim, neke organizacije podržavaju računalne sustave s učinkovitim sustavima za otkrivanje, a imaju i manje organizirane mehanizme odgovora. To stvara probleme u osiguravanju tehnološke sigurnosti računalne mreže. Glavna prepreka učinkovitom iskorjenjivanju cyber kriminala može se nazvati prekomjernom ovisnošću o vatrozidima i drugim automatiziranim sustavima za otkrivanje. Ipak, to je osnovno prikupljanje podataka pomoću uređaja za hvatanje paketa koji zaustavljaju napade.
