Средства управления защитой информации в локальных сетях

Средства централизованного контроля и управления защитой информации в локальных сетях включают:

 персональное автоматизированное рабочее место службы безопасности информации (АРМ СБИ);

 специальное программное обеспечение (СПО);

 организационные мероприятия.

В качестве АРМ СБИ (рис. 1) в больших локальных сетях лучше всего использовать специально выделенный персональный компьютер, введенный в состав сети и размещенный в отдельном помещении, оборудованном средствами охранной сигнализации. Однако в большинстве случаев будущие владельцы локальных сетей не захотят нести лишние расходы. Поэтому в менее ответственных системах целесообразно выполнение задач АРМ СБИ совместить с выполнением задач управления локальной сетью на персональном компьютере администратора сети, выполняющего также роль супервизора системы. Однако согласно принципу разделения привилегий, исключающему сосредоточение всех полномочий у одного человека, в ответственных системах функции службы безопасности необходимо разделить между службой безопасности информации и руководством фирмы, в организациях — между службой безопасности информации и владельцем локальной сети. Это означает, что функции автоматизированного управления безопасностью могут выполняться с двух персональных компьютеров: администратора и руководителя.

Нормальный режим работы локальной сети — когда функции управления выполняет администратор, а руководитель контролирует его действия и при необходимости может в этот процесс вмешаться.

Рис. 1. Структурная схема автоматизированного рабочего места службы безопасности информации: СБИ – служба безопасности информации; УКВА – устройство контроля вскрытия аппаратуры; КП – ключ-пароль

Все изменения, вносимые администратором (руководителем) в систему, должны автоматически регулироваться и сообщаться на персональный компьютер руководителя (администратора) в виде отображения на его дисплее краткого сообщения о характере произведенных изменений. Далее руководитель (администратор) может специальным запросом уточнить информацию. Совмещение указанных задач, однако, не означает отключение, даже на короткий период времени, функций обнаружения и блокировки несанкционированного доступа, а также контроля функционирования средств защиты.

Специальное программное обеспечение средств централизованного контроля и управления безопасности информации включает следующие программы:

 ввода списков идентификаторов пользователей сети;

 генерации и ввода кодов ключей-паролей;

 ввода и контроля полномочий пользователей;

 регистрации и отображения сообщений о фактах несанкционированного доступа: несовпадений кодов ключей-паролей, нарушений полномочий с указанием времени, места и даты события;

 регистрации обращений к информации, хранимой в файл-сервере и рабочих станциях с указанием автора обращения, времени и даты выдачи информации;

 ведения журнала учета и регистрации доступа к информации;

 формирования и выдачи необходимых справок по несанкционированному доступу;

 контроля целостности программного обеспечения локальной сети;

 контроля конфигурации локальной сети;

 управления шифрованием информации;

 периодического тестирования и контроля функционирования перечисленных функций;

 документирования перечисленных работ;

 ведения статистики несанкционированного доступа.

Особое внимание следует обратить на необходимость постоянного контроля несанкционированного доступа и выработки сигнала тревожной сигнализации на автоматизированное место службы безопасности информации, так как во многих подобных программах ограничиваются только регистрацией события. Отсутствие механизма немедленного отображения сигнала несанкционированного доступа с указанием его места возникновения существенно снижает безопасность информации и дает время нарушителю на выполнение своей задачи, так как просмотр журнала регистрации может быть отложен или забыт по каким-либо причинам.

Организационные мероприятия по управлению и контролю доступа к техническим средствам и информации необходимы для проведения централизованной защиты на локальных сетях в целом, а также для дублирования в целях усиления прочности наиболее слабых звеньев защиты. Правильная и четкая организация защиты — залог ее высокой эффективности. Однако необходимо помнить, что гарантированные результаты дает только автоматика, а не человек со всеми слабостями человеческой натуры.

Объем и виды организационных мероприятий на локальных сетях аналогичны мероприятиям, приведенным в разд. 2, 4, 5.

Защита информации в локальных сетях от случайного несанкционированного доступа. Природа случайных воздействий на аппаратуру, программное обеспечение и в конечном итоге на информацию в локальной сети не отличается от процессов, описанных в разд. 2. Методы и средства защиты от них в локальных сетях аналогичны методам и средствам, применяемым в больших вычислительных сетях. Однако специалисты по локальным сетям на персональных компьютерах этому вопросу уделяют специальное внимание, акцентируя его на следующих методах и средствах защиты, специфичных для локальных сетях.

Для резервирования данных можно использовать несколько различных типов оборудования и средств: резервные сменные носители, вспомогательный жесткий диск, дисковод со сменными жесткими дисками, лентопротяжное устройство со сменными кассетами.

Из этих возможностей лучшей является лентопротяжное устройство со сменными кассетами.

Его преимущества:

 большая емкость ленты;

 дешевизна;

 возможность хранения лент в другом месте;

 неограниченная емкость системы.

Необходимо отметить, что прогресс в технологиях построения винчестеров позволяет значительно увеличить объем пространства записи при сохранении высокой скорости доступа, поэтому многие компании переходят на комбинированные средства резервирования.

Весьма желательно хранить резервные ключи отдельно от оригинальных. Резервные копии, хранящиеся в одном месте с первичными данными, могут быть уничтожены в одной и той же аварийной ситуации. Возможность хранения сколь угодно больших объемов данных особенно важна при создании архивов.

Магнитные ленты имеют один недостаток: медленную запись. Однако если процедура резервирования не требует обслуживания устройств, то скорость записи становится несущественной.

Для надежной записи данных на магнитную ленту рекомендуется блок данных записывать более одного раза в разных местах ленты.

Обычно используются два типа систем резервирования: поточный и "файл-за-файлом". Поточные системы предназначены для резервирования и восстановления больших блоков данных. Метод "файл-за-файлом", известный как стартстопный метод, также может создавать резервные копии больших блоков данных, но может еще и восстанавливать отдельные файлы. Перемотка ленты вперед и назад обеспечивает произвольный доступ к данным. Такие ленты размечены как жесткий диск и могут использоваться как жесткий диск, хотя они работают с меньшей скоростью.

Большинство потерь данных вызваны ошибками людей, при этом обычно теряется только один или два файла. Но восстановление целого

диска из-за нескольких файлов — потеря времени. При восстановлении целого диска все пользователи должны выйти из сети, что влечет за собой дополнительную потерю времени у обслуживающего персонала.

Отказоустойчивость — другая область защиты данных, которая может быть использована с системой резервирования. Отказоустойчивость обеспечивается дополнительными компонентами системы для предотвращения потери данных или простоя из-за отказа элемента системы. Благодаря своей базовой архитектуре локальная сеть обладает высокой степенью отказоустойчивости. Отказ отдельной рабочей станции не влияет на работу локальной сети, а отказ сервера или другого оборудования локальной сети не мешает использовать рабочую станцию как изолированный персональный компьютер.

Однако локальные сети все чаще применяется для управления критическими данными и критическими прикладными программами, что требует большей эффективности защиты. Для этого в некоторых локальных сетях применяют дополнительные меры, например установку дополнительных или резервных компонентов. При отказе основного компонента может использоваться резервный.

Система отказоустойчивости не должна рассматриваться как замена системы резервирования. Отказоустойчивость, например, не спасет от ошибок оператора, не сможет защитить от потерь при пожаре или другой аварийной ситуации.

Архивирование данных. Система резервирования может использоваться как подключенное архивное устройство. При помощи архива редко используемые данные удаляются с жесткого диска и хранятся в архивной библиотеке. При необходимости файл может быть загружен обратно на жесткий диск. Такая процедура обладает множеством достоинств, включая уменьшение требуемого свободного пространства на жестком диске.

Система архивирования данных обычно содержит программу, которая проверяет частоту использования отдельных программ. Когда система находит редко используемую программу, например, по определению супервизора — 6 дней, то она становится кандидатом перевода ее в архив. Если файл данных перенесен с жесткого диска в архив, его имя, как обычно, поддерживается в каталоге жесткого диска. Но вместо самих данных в файл должно быть помещено сообщение о местонахождении файла в архивной библиотеке. Можно также поместить и описание процедуры для загрузки файла из архива в сеть.

Архивные ленты хранятся так же, как и содержание библиотеки: ленты пронумерованы и лежат на полке в удобном месте. Если материал ценный, то для архивных лент должны быть сделаны резервные копии. Для резервирования необходимо выполнить процедуру занесения в архив дважды перед уничтожением файлов.

Архивы помогают также и при защите данных от преднамеренного доступа. Платежная ведомость, например, может храниться в архиве, а не на диске. Когда ведомость используют, ее загружают в сеть, а после завершения работы удаляют с жесткого диска и снова помещают в архивную библиотеку. Для работы с платежной ведомостью нужно иметь соответствующие права доступа к ее файлу.

Дальнейшее улучшение системы архивирования идет в сторону поддержания записанных на ленту файлов в доступном состоянии. В сети эта технология поддерживается сервером лент или архивным сервером. С архивным сервером файлы не нужно загружать на жесткий диск, вместо этого доступ к ним может производиться прямо на лентопротяжном устройстве. Недостатком является то, что лентопротяжные устройства работают медленнее, чем жесткий диск. Но это компенсируется тем, что файлы можно использовать без процедуры восстановления.

В качестве системы резервирования информации в локальных сетях может использоваться система управления иерархической памятью, позволяющая в современных компьютерных сетях хранить информацию практически в неограниченном объеме. Система автоматически перемещает файлы между более дорогими высокоскоростными магнитными дисками и менее дорогими медленными запоминающими устройствами на оптических дисках и магнитных лентах.

Система архивирования данных выполняет роль и устройства резервирования: днем система может работать как сетевой ресурс, а ночью — как устройство хранения и защиты данных.

Структурная схема системы защиты информации в локальных сетях. В соответствии с установленными возможными каналами несанкционированного доступа и выбранными средствами защиты рассмотрим структурную схему системы защиты информации в локальных сетях, приведенную на рис. 2. Состав средств защиты информации в локальных сетях в данной структуре показан в расчете на обеспечение I класса безопасности информации. Функции контроля и управления безопасностью информации в локальных сетях аналогичны функциям управления и контроля, приведенным в разд. 4.

Рис. 2. Структурная схема системы защиты информации в локальных сетях: ЛКС – локальная компьютерная сеть; НСД – несанкционированный доступ; ПК – персональный компьютер; ПЭМИН – побочное электромагнитное излучение и наводки.

Дата добавления: 2014-12-08; Просмотров: 1091; Нарушение авторских прав?; Мы поможем в написании вашей работы!