Сеть ЭВМ

Информационная безопасность в сетях ЭВМ

Защита данных в компьютерных сетях становится одной из самых открытых проблем в

Современных информационно-вычислительных системах. Насегодняшний день

Сформулировано три базовых принципа информационной безопасности, задачей которой

Является обеспечение:

– целостности данных – защита от сбоев, ведущих к потере информации или ее

Уничтожения;

– конфиденциальности информации;

– доступности информации для авторизованных пользователей.

Рассматривая проблемы, связанные с защитой данных в сети, возникает вопрос о

Классификации сбоев и несанкционированности доступа, что ведет к потере или

Нежелательному изменению данных. Это могут быть сбои оборудования (кабельной

Системы, дисковых систем, серверов, рабочих станций ит. д.), потери информации

(из-за инфицирования компьютерными вирусами, неправильного хранения архивных

Данных, нарушений прав доступа к данным),некорректная работа пользователей и

Обслуживающего персонала. Перечисленные нарушения работы в сети вызвали

Необходимость создания различных видов защитыинформации. Условно их можно

Разделить на три класса:

– средства физической защиты;

– программные средства (антивирусные программы, системы разграничения

Полномочий, программные средства контроля доступа);

-административные меры защиты (доступ в помещения, разработка стратегий

Безопасности фирмы и т. д.).

Одним из средств физической защиты являются системы архивирования и дублирования

Информации. В локальных сетях, где установлены один-двасервера, чаще всего

Система устанавливается непосредственно в свободные слоты серверов. В крупных

Корпоративных сетях предпочтение отдается выделенномуспециализированному

Архивационному серверу, который автоматически архивирует информацию с жестких

Дисков серверов и рабочих станций в определенное время, установленное

Администратором сети, выдавая отчет о проведенном резервном копировании.

Наиболее распространенными моделями архивированных серверовявляются Storage

Express System корпорации Intel ARCserve for Windows.

Для борьбы с компьютерными вирусами наиболее часто применяются антивирусные

Программы, реже – аппаратные средства защиты. Однако, в последнее время

Наблюдается тенденция к сочетанию программных и аппаратных методов защиты. Среди

Аппаратных устройств используются специальныеантивирусные платы, вставленные в

Стандартные слоты расширения компьютера. Корпорация Intel предложила

Перспективную технологию защиты от вирусов в сетях, суть которой заключается в

Сканировании систем компьютеров еще до их загрузки. Кроме антивирусных программ,

Проблема защиты информации вкомпьютерных сетях решается введением контроля

Доступа и разграничением полномочийпользователя. Для этого используются

Встроенные средства сетевых операционных систем, крупнейшим производителем

Которых является корпорацияNovell. В системе, например, NetWare, кроме

Стандартных средств ограничения доступа (смена паролей, разграничение

Полномочий), предусмотрена возможностькодирования данных по принципу “открытого

Ключа” с формированием электронной подписи для передаваемых по сети пакетов.

Однако, такая система защиты слабомощна, т. к. уровень доступа и возможность

Входа в систему определяются паролем, который легкоподсмотреть или подобрать.

Для исключения неавторизованного проникновения в компьютер­ную сеть используется

Комбинированный подход – пароль +идентификация пользователя по персональному

“ключу”. “Ключ” представляет собой пластиковую карту (магнитная или совстроенной

Микросхемой – смарт-карта) или различные устройства для идентификации личности

По биометрической информации – по радужной оболочкеглаза, отпечаткам пальцев,

Размерам кисти руки и т. д. Серверы и сетевые рабочие станции, оснащенные

Устройствамичтения смарт-карт и специальным программнымобеспечением, значительно

Повышают степень защиты от несанкционированного доступа.

Смарт-карты управления доступом позволяют реализовать такие функции, как

Контроль входа, доступ к устройствам ПК, к программам, файлам и командам. Одним

Из удачных примеров создания комплексного решения для контроля доступа в

Открытых системах, основанного как на программных, так и нааппаратных средствах

Защиты, стала система Kerberos, в основу которой входят три компонента:

– база данных, которая содержит информацию по всем сетевым ресурсам,

Пользователям, паролям, информационным ключам и т. д.;

– авторизационный сервер (authentication server), задачей которого является

Обработка запросов пользователей на предоставлениетого или иного вида сетевых

Услуг. Получая запрос, он обращается к базе данных и определяет полномочия

Пользователя на совершение определенной операции. Пароли пользователей по сети не

Передаются, тем самым, повышая степень защиты информации;

-Ticket-granting server (сервер выдачи разрешений) получает от авторизационного

Сервера “пропуск” с именемпользователя и его сетевым адресом, временем запроса,

А также уникальный “ключ”. Пакет, содержащий “пропуск”, передается также

Взашифрованном виде. Сервер выдачи разрешений после получения и расшифровки

“пропуска” проверяет запрос, сравнивает “ключи” и притождественности дает

“добро” на использование сетевой аппаратуры или программ.

По мере расширения деятельности предприятий, роста численности абонентов и

Появления новых филиалов, возникает необходимостьорганизации доступа удаленных

Пользователей (групп пользователей) к вычислительным или информационным ресурсам

К центрам компаний. Для организацииудаленного доступа чаще всего используются

Кабельные линии и радиоканалы. В связи с этим защита информации, передаваемой по

Каналам удаленного доступа, требует особого подхода. В мостах и маршрутизаторах

Удаленного доступа применяется сегментация пакетов – их разделение и передача

Параллельно по двумлиниям, – что делает невозможным “перехват” данных при

Незаконном подключении “хакера” к одной из линий. Используемая при

Передачеданных процедура сжатия передаваемых пакетов гарантирует невозможность

Расшифровки “перехваченных” данных. Мосты и маршрутизаторы удаленногодоступа

Могут быть запрограммированы таким образом, что удаленным пользователям не все

Ресурсы центра компании могут быть доступны.

В настоящее время разработаны специальные устройства контроля доступа к

Вычислительным сетям по коммутируемым линиям. Примером можетслужить,

Разработанный фирмой AT&;T модуль Remote Port Securiti Device (PRSD), состоящий

Из двух блоков размером с обычный модем: RPSD Lock (замок),устанавливаемый в

Центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного

Пользователя. RPSD Key и Lock позволяют устанавливать несколькоуровней защиты и

Контроля доступа:

– шифрование данных, передаваемых по линии при помощи генерируемых цифровых

Ключей;

– контроль доступа с учетом дня недели или времени суток.

Прямое отношение к теме безопасности имеет стратегия создания резервных копий и

Восстановления баз данных. Обычно эти операциивыполняются в нерабочее время в

Пакетном режиме. В большинстве СУБД резервное копирование и восстановление

Данных разрешаются только пользователям с широкимиполномочиями (права доступа на

Уровне системного администратора, либо владельца БД), указывать столь

Ответственные пароли непосредственно в файлах пакетнойобработки нежелательно.

Чтобы не хранить пароль в явном виде, рекомендуется написать простенькую

Прикладную программу, которая сама бы вызывала

Утилитыкопирования/восстановления. В таком случае системный пароль должен быть

“зашит” в код указанного приложения. Недостатком данного методаявляется то, что

Всякий раз присмене пароля эту программу следует перекомпилировать.

Применительно к средствам защиты от НСД определены семь классов защищенности

(1-7) средств вычислительной техники (СВТ) и девятьклассов

(1А,1Б,1В,1Г,1Д,2А,2Б,3А,3Б) автоматизированных систем (АС). Для СВТ самым

Низким является седьмой класс, а для АС – 3Б.

Рассмотрим более подробно приведенные сертифицированные системы защиты от НСД.

Система “КОБРА” соответствует требованиям 4-ого класса защищенности (для СВТ),

Реализует идентификацию и разграничениеполномочий пользователей и

Криптографическое закрытие информации, фиксирует искажения эталонного состояния

Рабочей среды ПК (вызванные вирусами, ошибкамипользователей, техническими сбоями

И т. д.) и автоматически восстанавливает основные компоненты операционной среды

Терминала.

Подсистема разграничения полномочий защищает информацию на уровне логических

Дисков. Пользователь получает доступ копределенным дискам А, В,С,…,Z. Все

Абоненты разделены на 4 категории:

– суперпользователь (доступны все действия в системе);

– администратор (доступны все действия в системе, за исключением изменения

Имени, статуса иполномочий суперпользователя, ввода или исключения его из списка

Пользователей);

– программисты (может изменять личный пароль);

-коллега (имеет право на доступ к ресурсам, установленным ему

Суперпользователем).

Помимо санкционирования и разграничения доступа к логическим дискам,

Администратор устанавливает каждому пользователю полномочиядоступа к

Последовательному и параллельному портам. Если последовательный порт закрыт, то

Невозможна передача информации с одного компьютера на другой. Приотсутствии

Доступа к параллельному порту, невозможен вывод на принтер.


1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (No Ratings Yet)
Loading...

Зараз ви читаєте: Сеть ЭВМ