Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Современные средства общения в Сети, ориентированные на использование web-технологий
Опишем несколько наиболее распространенных форм организации общения с помощью идеологии HTML-страниц:
1. Гостевые книги. Первая и самая простая форма организации общения в виде web-приложений. Простейшая гостевая книга представляет собой список сообщений, показанных от последних к первым. Каждый посетитель может оставить свое сообщение.
2. Форумы. Эта форма общения является практически прямой реализацией идеологии телеконференций. Сообщения пользователей в форумах группируются по темам, которые задаются, как правило, первым сообщением. Все посетители могут увидеть тему и разместить свое сообщение — в ответ на уже написанные. Исторически первые форумы появились как усовершенствование гостевых книг и организовывали сообщения в ветви — так же, как и в телеконференциях. Самым распространенным видом форумов сейчас являются форумы табличные, в которых обсуждение темы идет линейно, — это позволяет быстрее прочесть обсуждение. Как правило, темы группируются в тематические форумы, управление системой осуществляют администраторы и модераторы.
3. Блоги (от англ. web log — web-журнал, web-протокол). В этих сервисах каждый участник ведет журнал — т.е. оставляет записи в хронологическом порядке. Темы записей могут быть различными; самый распространенный подход — это ведение блога как собственного дневника. Другие посетители могут оставлять комментарии на эти записи. Чаще всего блог ведут не на своем отдельном сайте (хотя исторически именно эта форма была первой), а в рамках крупной системы, похожей на общедоступный почтовый сервис. В этом случае пользователь, помимо возможности вести свой журнал, получает возможность организовывать ленту просмотра — список записей из журналов «друзей» (friends), регулировать доступ к записям, искать себе собеседников по интересам. На базе таких систем создаются сообщества — журналы, которые ведутся коллективно. В таком сообществе его членом может быть размещено любое сообщение по направлению деятельности сообщества. Спектр сообществ очень велик — от сообщества фотографов до сообщества «Отдам даром», — в котором каждый может объявить об отдаче ненужной вещи кому-то еще.
С распространением этих форм стали образовываться социальные сети — т.е. совокупности участников, объединенных средой общения. Нельзя сказать, что такие приложения — единственная база для создания подобных объединений, но она наиболее распространена. В отличие от подавляющего большинства web-проектов содержание подобных ресурсов, поддерживающих такие сети, формируется не четко оговоренной сравнительно небольшой группой людей, а всеми участниками сети.
В целом все современные средства обеспечения работы сетевых сообществ обладают несколькими общими чертами:
1. В подавляющем большинстве сред предусматривается регистрация пользователей — т.е. на каждого человека должна быть заведена учетная запись. При регистрации пользователь должен указать о себе некоторое количество данных для идентификации. Многие системы требуют ввода адреса электронной почты и проверяют его работоспособность, высылая письмо с кодом активации учетной записи. Если адрес неверен, то активировать запись может только администратор системы.
2. Работа в среде проводится сеансами. Каждый сеанс начинается с того, что пользователь указывает свое имя и подтверждает свою личность вводом пароля.
3. Помимо учетных данных, пользователь настраивает рабочую среду — внешний вид, дополнительные данные о себе (подпись, иллюстрацию-аватар и т.п.).
4. Большинство систем, ориентированных на личную работу, имеют своеобразную внутреннюю систему обмена личными сообщениями.
Социальные сети и поддерживающие их сервисы оказались очень эффективным методом обеспечения посещаемости сайтов, обратной связи и постепенно стали одним из средств генерации содержания.
На основе такого подхода, когда содержание сайтов генерируется посетителями в процессе общения, появилось и быстро набрало популярность довольно большое количество своеобразных web-сервисов . ВОПРОС В данной статье понятие «информационная безопасность » рассматривается в следующих значениях: состояние (качество) определённого объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.)[1]; деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации»).[2] Информационная безопасность включает три составляющие: удовлетворение информационных потребностей субъектов; обеспечение безопасности информации; обеспечение защиты субъектов информационных отношений от негативного информационного воздействия. С точки зрения А.И.Алексенцева, информация, необходимая для удовлетворения информационных потребностей, должна быть: относительно полной (достаточной для принятия правильных решений); достоверной; своевременной .
ВОПРОС В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния. В современном социуме информационная сфера имеет две составляющие[4]: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью. Необходимость классификации угроз информационной безопасности АС обусловлена тем, что архитектура современных средств автоматизированной обработки информации, организационное, структурное и функциональное построение информационно-вычислительных систем и сетей, технологии и условия автоматизированной обработки информации такие, что накапливаемая, хранимая и обрабатываемая информация подвержена случайным влияниям чрезвычайно большого числа факторов, в силу чего становится невозможным формализовать задачу описания полного множества угроз. Как следствие, для защищаемой системы определяют не полный перечень угроз, а перечень классов угроз. Классификация всех возможных угроз информационной безопасности АС может быть проведена по ряду базовых признаков. 1. По природе возникновения: - Естественные угрозы - угрозы, вызванные воздействиями на АС и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека - Искусственные угрозы - угрозы информационной безопасности АС, вызванные деятельностью человека 2. По степени преднамеренности проявления: - Угрозы случайного действия и/или угрозы, вызванные ошибками или халатностью персонала о проявление ошибок программно-аппаратных средств АС о некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности о неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ) о неправомерное включение оборудования или изменение режимов работы устройств и программ о неумышленная порча носителей информации о пересылка данных по ошибочному адресу абонента (устройства) о ввод ошибочных данных о неумышленное повреждение каналов связи - Угрозы преднамеренного действия (например, угрозы действий злоумышленника для хищения информации)
ВОПРОС Основные понятия программно-технического уровня информационной безопасности
Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей - оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности. Напомним, что ущерб наносят в основном действия легальных пользователей, по отношению к которым процедурные регуляторы малоэффективны. Главные враги - некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.
Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по организации, и по информационному пространству.
Это вторая причина, объясняющая важность программно-технических мер.
Следует, однако, учитывать, что быстрое развитие информационных технологий не только предоставляет обороняющимся новые возможности, но и объективно затрудняет обеспечение надежной защиты, если опираться исключительно на меры программно-технического уровня. Причин тому несколько: повышение быстродействия микросхем, развитие архитектур с высокой степенью параллелизма позволяет методом грубой силы преодолевать барьеры (прежде всего криптографические), ранее казавшиеся неприступными; развитие сетей и сетевых технологий, увеличение числа связей между информационными системами, рост пропускной способности каналов расширяют круг злоумышленников, имеющих техническую возможность организовывать атаки; появление новых информационных сервисов ведет и к образованию новых уязвимых мест как " внутри" сервисов, так и на их стыках; конкуренция среди производителей программного обеспечения заставляет сокращать сроки разработки, что приводит к снижению качества тестирования и выпуску продуктов с дефектами защиты; навязываемая потребителям парадигма постоянного наращивания мощности аппаратного и программного обеспечения не позволяет долго оставаться в рамках надежных, апробированных конфигураций и, кроме того, вступает в конфликт с бюджетными ограничениями, из-за чего снижается доля ассигнований на безопасность.
Перечисленные соображения лишний раз подчеркивают важность комплексного подхода к информационной безопасности, а также необходимость гибкой позиции при выборе и сопровождении программно-технических регуляторов.
Центральным для программно-технического уровня является понятие сервиса безопасности.
Следуя объектно-ориентированному подходу, при рассмотрении информационной системы с единичным уровнем детализации мы увидим совокупность предоставляемых ею информационных сервисов. Назовем их основными. Чтобы они могли функционировать и обладали требуемыми свойствами, необходимо несколько уровней дополнительных (вспомогательных) сервисов - от СУБД и мониторов транзакций до ядра операционной системы и оборудования.
К вспомогательным относятся сервисы безопасности (мы уже сталкивались с ними при рассмотрении стандартов и спецификаций в области ИБ); среди них нас в первую очередь будут интересовать универсальные, высокоуровневые, допускающие использование различными основными и вспомогательными сервисами. Далее мы рассмотрим следующие сервисы: идентификация и аутентификация; управление доступом; протоколирование и аудит; шифрование; контроль целостности; экранирование; анализ защищенности; обеспечение отказоустойчивости; обеспечение безопасного восстановления; туннелирование; управление.
Будут описаны требования к сервисам безопасности, их функциональность, возможные методы реализации и место в общей архитектуре.
Если сопоставить приведенный перечень сервисов с классами функциональных требований " Общих критериев", то бросается в глаза их существенное несовпадение. Мы не будем рассматривать вопросы, связанные с приватностью, по следующей причине. На наш взгляд, сервис безопасности, хотя бы частично, должен находиться в распоряжении того, кого он защищает. В случае же с приватностью это не так: критически важные компоненты сосредоточены не на клиентской, а на серверной стороне, так что приватность по существу оказывается свойством предлагаемой информационной услуги (в простейшем случае приватность достигается путем сохранения конфиденциальности серверной регистрационной информации и защитой от перехвата данных, для чего достаточно перечисленных сервисов безопасности).
С другой стороны, наш перечень шире, чем в " Общих критериях", поскольку в него входят экранирование, анализ защищенности и туннелирование. Эти сервисы имеют важное значение сами по себе и, кроме того, могут комбинироваться с другими сервисами для получения таких необходимых защитных средств, как, например, виртуальные частные сети.
Совокупность перечисленных выше сервисов безопасности мы будем называть полным набором. Считается, что его, в принципе, достаточно для построения надежной защиты на программно-техническом уровне, правда, при соблюдении целого ряда дополнительных условий (отсутствие уязвимых мест, безопасное администрирование и т.д.).
Для проведения классификации сервисов безопасности и определения их места в общей архитектуре меры безопасности можно разделить на следующие виды: превентивные, препятствующие нарушениям ИБ; меры обнаружения нарушений; локализующие, сужающие зону воздействия нарушений; меры по выявлению нарушителя; меры восстановления режима безопасности.
Большинство сервисов безопасности попадает в число превентивных, и это, безусловно, правильно. Аудит и контроль целостности способны помочь в обнаружении нарушений; активный аудит, кроме того, позволяет запрограммировать реакцию на нарушение с целью локализации и/или прослеживания. Направленность сервисов отказоустойчивости и безопасного восстановления очевидна. Наконец, управление играет инфраструктурную роль, обслуживая все аспекты ИС.
ВОПРОС
Цифровой сертификат – это файл, идентифицирующий как людей, так и серверы. Цифровой сертификат – своего рода цифровой паспорт или удостоверение личности, которое удостоверяет сервер перед началом SSL-сессии. Обычно, чтобы повысить юридическую силу цифровых сертификатов, они заверяются независимой и доверенной третьей строной (компанией). «Заверителя» сертификата также называют Certification Authority – Центр сертификации, к примеру – thawte.
SSL обеспечивает безопасную связь, сочетая два элемента:
1. Аутентификация – цифровой сертификат привязан к определенному домену и Центр Сертификации проводит ряд проверок для подтверждения идентичности организации запрашивающей сертификат перед тем, как выпустить его. Таким образом, сертификат может быть привязан только к домену, который он идентифицирует, предоставляя пользователям необходимые гарантии. Различные уровни идентификации выполняются в разных продуктах.
2. Шифрование – процесс трансформирования информации для того, чтобы сделать ее непонятной для всех, кроме непосредственного получателя. Это формирует основу для неприкосновенности и безопасности передаваемых данных, необходимую для электронной коммерции.
ВОПРОС |
Последнее изменение этой страницы: 2017-03-14; Просмотров: 975; Нарушение авторского права страницы