Інформаційна безпека в мережах ЕОМ

[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.

скачати

Захист даних в комп'ютерних мережах стає однією з найбільш відкритих проблем у сучасних інформаційно-обчислювальних системах. На сьогоднішній день сформульовано три базові принципи інформаційної безпеки, завданням якої є забезпечення:

- Цілісності даних - захист від збоїв, що ведуть до втрати інформації або її знищення;

- Конфіденційності інформації;

- Доступності інформації для авторизованих користувачів.

Розглядаючи проблеми, пов'язані із захистом даних у мережі, виникає питання про класифікацію збоїв і несанкціонованого доступу, що веде до втрати або небажаного зміни даних. Це можуть бути збої устаткування (кабельної системи, дискових систем, серверів, робочих станцій і т.д.), втрати інформації (через інфікування комп'ютерними вірусами, неправильного зберігання архівних даних, порушень прав доступу до даних), некоректна робота користувачів і обслуговуючого персоналу. Перелічені порушення роботи в мережі викликали необхідність створення різних видів захисту інформації. Умовно їх можна розділити на три класи:

- Засоби фізичного захисту;

- Програмні засоби (антивірусні програми, системи розмежування повноважень, програмні засоби контролю доступу);

-Адміністративні заходи захисту (доступ в приміщення, розробка стратегій безпеки фірми і т.д.).

Одним із засобів фізичного захисту є системи архівування та дублювання інформації. У локальних мережах, де встановлені один-два сервери, частіше за все система встановлюється безпосередньо у вільні слоти серверів. У великих корпоративних мережах перевага віддається виділеного спеціалізованому архіваціонному сервера, який автоматично архівує інформацію з жорстких дисків серверів і робочих станцій в певний час, встановлений адміністратором мережі, видаючи звіт про проведене резервному копіюванні. Найбільш поширеними моделями архівованих серверів є Storage Exdivss System корпорації Intel ARCserve for Windows.

Для боротьби з комп'ютерними вірусами найбільш часто застосовуються антивірусні програми, рідше - апаратні засоби захисту. Однак, останнім часом спостерігається тенденція до поєднання програмних і апаратних методів захисту. Серед апаратних пристроїв використовуються спеціальні антивірусні плати, вставлені в стандартні слоти розширення комп'ютера. Корпорація Intel запропонувала перспективну технологію захисту від вірусів в мережах, суть якої полягає в скануванні систем комп'ютерів ще до їх завантаження. Крім антивірусних програм, проблема захисту інформації в комп'ютерних мережах вирішується введенням контролю доступу та розмежуванням повноважень користувача. Для цього використовуються вбудовані засоби мережевих операційних систем, найбільшим виробником яких є корпорація Novell. У системі, наприклад, NetWare, крім стандартних засобів обмеження доступу (зміна паролів, розмежування повноважень), передбачена можливість кодування даних за принципом "відкритого ключа" з формуванням електронного підпису для переданих по мережі пакетів.

Однак, така система захисту слабомощна, тому що рівень доступу і можливість входу в систему визначаються паролем, який легко підглянути або підібрати. Для виключення несанкціонованого проникнення в комп'ютерну мережу використовується комбінований підхід - пароль + ідентифікація користувача по персональному "ключу". "Ключ" являє собою пластикову карту (магнітна або з вбудованою мікросхемою - смарт-карта) або різні пристрої для ідентифікації особи за біометричної інформації - по райдужній оболонці ока, відбитками пальців, розмірами кисті руки і т.д. Сервери і мережеві робочі станції, оснащені пристроями читання смарт-карт і спеціальним програмним забезпеченням, значно підвищують ступінь захисту від несанкціонованого доступу.

Смарт-карти управління доступом дозволяють реалізувати такі функції, як контроль входу, доступ до пристроїв ПК, до програм, файлів і команд. Одним з вдалих прикладів створення комплексного рішення для контролю доступу у відкритих системах, заснованого як на програмних, так і на апаратних засобах захисту, стала система Kerberos, в основу якої входять три компоненти:

- База даних, яка містить інформацію по всіх мережних ресурсів, користувачам, паролів, інформаційним ключам і т.д.;

- Авторизаційний сервер (authentication server), завданням якого є обробка запитів користувачів на надання того чи іншого виду мережевих послуг. Отримуючи запит, він звертається до бази даних, і визначає повноваження користувача на здійснення певної операції. Паролі користувачів по мережі не передаються, тим самим, підвищуючи ступінь захисту інформації;

-Ticket-granting server (сервер видачі дозволів) отримує від авторизаційного сервера "пропуск" з ім'ям користувача і його мережевою адресою, часом запиту, а також унікальний "ключ". Пакет, що містить "пропуск", передається також в зашифрованому вигляді. Сервер видачі дозволів після отримання і розшифровки "пропуску" перевіряє запит, порівнює "ключі" і при тотожності дає "добро" на використання мережевої апаратури або програм.

У міру розширення діяльності підприємств, зростання чисельності абонентів і появи нових філій, виникає необхідність організації доступу віддалених користувачів (груп користувачів) до обчислювальних або інформаційних ресурсів до центрів компаній. Для організації віддаленого доступу найчастіше використовуються кабельні лінії та радіоканали. У зв'язку з цим захист інформації, переданої по каналах віддаленого доступу, вимагає особливого підходу. У мостах і маршрутизаторах віддаленого доступу застосовується сегментація пакетів - їх поділ і передача паралельно по двох лініях, - що робить неможливим "перехоплення" даних при незаконному підключенні "хакера" до однієї з ліній. Використовувана при передачі даних процедура стиснення переданих пакетів гарантує неможливість розшифровки "перехоплених" даних. Мости та маршрутизатори віддаленого доступу можуть бути запрограмовані таким чином, що віддаленим користувачам не всі ресурси центру компанії можуть бути доступні.

В даний час розроблені спеціальні пристрої контролю доступу до обчислювальних мереж по комутованих лініях. Прикладом може служити, розроблений фірмою AT & T модуль Remote Port Securiti Device (PRSD), що складається з двох блоків розміром зі звичайний модем: RPSD Lock (замок), що встановлюється в центральному офісі, і RPSD Key (ключ), що підключається до модему віддаленого користувача. RPSD Key і Lock дозволяють встановлювати декілька рівнів захисту і контролю доступу:

- Шифрування даних, переданих по лінії за допомогою генеруються цифрових ключів;

- Контроль доступу з урахуванням дня тижня або часу доби.

Пряме відношення до теми безпеки має стратегія створення резервних копій і відновлення баз даних. Зазвичай ці операції виконуються у неробочий час в пакетному режимі. У більшості СУБД резервне копіювання і відновлення даних дозволяються тільки користувачам з широкими повноваженнями (права доступу на рівні системного адміністратора, або власника БД), вказувати настільки відповідальні паролі безпосередньо у файлах пакетної обробки небажано. Щоб не зберігати пароль у явному вигляді, рекомендується написати простеньку прикладну програму, яка сама б викликала утиліти копіювання / відновлення. У такому випадку системний пароль повинен бути "зашитий" в код зазначеного додатка. Недоліком даного методу є те, що кожного разу при зміні пароля цю програму слід перекомпілювати.

Стосовно до засобів захисту від НСД визначено сім класів захищеності (1-7) засобів обчислювальної техніки (ЗОТ) та дев'ять класів (1А, 1Б, 1В, 1Г, 1Д, 2А, 2Б, 3А, 3Б) автоматизованих систем (АС). Для СВТ найнижчим є сьомий клас, а для АС - 3Б.

Розглянемо більш детально наведені сертифіковані системи захисту від несанкціонованого доступу.

Система "КОБРА" відповідає вимогам 4-ого класу захищеності (для СВТ), реалізує ідентифікацію і розмежування повноважень користувачів і криптографічне закриття інформації, фіксує спотворення еталонного стану робочого середовища ПК (викликані вірусами, помилками користувачів, технічними збоями і т.д.) і автоматично відновлює основні компоненти операційного середовища терміналу.

Підсистема розмежування повноважень захищає інформацію на рівні логічних дисків. Користувач отримує доступ до певних дискам А, В, С ,..., Z. Всі абоненти розділені на 4 категорії:

- Суперкористувач (доступні всі дії в системі);

-Адміністратор (доступні всі дії в системі, за винятком зміни імені, статусу і повноважень суперкористувача, введення або виключення його зі списку користувачів);

- Програмісти (може змінювати особистий пароль);

-Колега (має право на доступ до ресурсів, встановленим йому суперкористувачем).

Крім санкціонування та розмежування доступу до логічних дисків, адміністратор встановлює кожному користувачеві права доступу до послідовного і паралельного портів. Якщо послідовний порт закритий, то неможлива передача інформації з одного комп'ютера на інший. За відсутності доступу до паралельного порту, неможливий вивід на принтер.

Додати в блог або на сайт

Цей текст може містити помилки.

Програмування, комп'ютери, інформатика і кібернетика | Доповідь
18.9кб. | скачати


Схожі роботи:
Інформаційна безпека в мережах Wi Fi
Інформаційна безпека
Інформаційна безпека 2
Інформаційна безпека 2 лютого
Інтернет та інформаційна безпека
Інформаційна безпека Росії
Інформаційна безпека у підприємницькій діяльності
Інформаційна безпека в сучасному світі
Інформаційна безпека й інформаційні технології
© Усі права захищені
написати до нас