КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Информационная безопасность в сетях ЭВМ
|
|
|
|
Безопасность в сети Internet
Защита данных в компьютерных сетях становится одной из самых открытых проблем в современных информационно-вычислительных системах. На сегодняшний день сформулировано три базовых принципа информационной безопасности, задачей которой является обеспечение: целостности данных - защита от сбоев, ведущих к потере ин-формации или ее уничтожения; конфиденциальности информации; доступности информации для авторизованных пользователей.
Рассматривая проблемы, связанные с защитой данных в сети, возникает вопрос о классификации сбоев и несанкционированности доступа, что ведет к потере или нежелательному изменению дан-ных. Это могут быть сбои оборудования, потери информации, некорректная работа пользователей и обслуживающего персонала. Перечисленные нарушения работы в сети вызвали необходимость создания различных видов защиты информации. Условно их можно разделить на три класса: средства физической защиты; программные средства (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа); административные меры защиты (доступ в помещения, разработка стратегий безопасности фирмы и т.д.).
Одним из средств физической защиты являются системы архивирования и дублирования информации. В локальных сетях, где установлены один-два сервера, чаще всего система устанавливается непосредственно в свободные слоты серверов. В крупных корпоративных сетях предпочтение отдается выделенному специализированному архивационному серверу, который автоматически архивирует информацию с жестких дисков серверов и рабочих станций в определенное время, установленное администратором сети, выдавая отчет о проведенном резервном копировании. Наиболее распространенными моделями архивированных серверов являются Storage Express System корпорации Intel ARCserve for Windows. Для борьбы с компьютерными вирусами наиболее часто применяются анти-вирусные программы, реже - аппаратные средства защиты. Одна-ко в последнее время наблюдается тенденция к сочетанию про-граммных и аппаратных методов защиты. Среди аппаратных уст-ройств используются специальные антивирусные платы, вставлен-ные в стандартные слоты расширения компьютера. Корпорация Intel предложила перспективную технологию защиты от вирусов в сетях, суть которой заключается в сканировании систем компьюте-ров еще до их загрузки. Кроме антивирусных программ, проблема защиты информации в компьютерных сетях решается введением контроля доступа и разграничением полномочий пользователя. Для этого используются встроенные средства сетевых операционных систем, крупнейшим производителем которых является корпорация Novell. Однако, такая система защиты слабомощна, т.к. уровень доступа и возможность входа в систему определяются паролем, ко-торый легко подсмотреть или подобрать. Для исключения неавторизованного проникновения в компьютерную сеть используется комбинированный подход - пароль + идентификация пользователя по персональному "ключу". "Ключ" представляет собой пластико-вую карту или различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза, от-печаткам пальцев, размерам кисти руки и т.д. Серверы и сетевые рабочие станции, оснащенные устройствами чтения смарт-карт и специальным программным обеспечением, значительно повышают степень защиты от несанкционированного доступа. Смарт-карты управления доступом позволяют реализовать такие функции, как контроль входа, доступ к устройствам ПК, к программам, файлам и командам. Одним из удачных примеров создания комплексного ре-шения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала сис-тема Kerberos, в основу которой входят три компонента: база данных, которая содержит информацию по всем сетевым ресурсам, пользователям, паролям и т.д.; авторизационный сервер (authentication server), задачей кото-рого является установить качество запросов пользователей на предоставление того или иного вида сетевых услуг. Получая запрос, он обращается к базе данных и определяет полномо-чия пользователя на совершение определенной операции. Па-роли пользователей по сети не передаются, тем самым, по-вышая степень защиты информации; Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера "пропуск" с именем пользователя и его сетевым адресом, временем запроса, а также уникальный "ключ". Пакет, содержащий "пропуск", передается также в зашифрованном виде. Сервер выдачи разрешений после по-лучения и расшифровки "пропуска" проверяет запрос, срав-нивает "ключи" и при тождественности дает "добро" на ис-пользование сетевой аппаратуры или программ.
|
|
|
|
|
|
По мере расширения деятельности предприятий, роста численно-сти абонентов и появления новых филиалов, возникает необходи-мость организации доступа удаленных пользователей к вычислительным или информационным ресурсам к центрам компаний. Для организации удаленного доступа чаще всего используются кабель-ные линии и радиоканалы. В связи с этим защита информации, пе-редаваемой по каналам удаленного доступа, требует особого подхо-да. В мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов - их разделение и передача параллельно по двум линиям, - что делает невозможным "перехват" данных при не-законном подключении "хакера" к одной из линий. Используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки "перехваченных" данных. Мосты и маршрутизаторы удаленного доступа могут быть запро-граммированы таким образом, что удаленным пользователям не все ресурсы центра компании могут быть доступны. В настоящее вре-мя разработаны специальные устройства контроля доступа к вы-числительным сетям по коммутируемым линиям. Примером может служить, разработанный фирмой AT&T модуль Remote Port Securiti Device (PRSD), состоящий из двух блоков размером с обычный мо-дем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользовате-ля. RPSD Key и Lock позволяют устанавливать несколько уровней защиты и контроля доступа: шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей; контроль доступа с учетом дня недели или времени суток.
|
|
|
Прямое отношение к теме безопасности имеет стратегия созда-ния резервных копий и восстановления баз данных. Обычно эти опе-рации выполняются в нерабочее время в пакетном режиме. В боль-шинстве СУБД резервное копирование и восстановление данных разрешаются только пользователям с широкими полномочиями, указывать столь ответственные пароли непосредственно в файлах пакетной обработки нежелательно. Чтобы не хранить пароль в яв-ном виде, рекомендуется написать простенькую прикладную про-грамму, которая сама бы вызывала утилиты копирова-ния/восстановления. В таком случае системный пароль должен быть "зашит" в код указанного приложения. Недостатком данного метода является то, что всякий раз при смене пароля эту программу следует перекомпилировать.
Применительно к средствам защиты от НСД определены семь классов защищенности (1-7) средств вычислительной техники (СВТ) и девять классов (1А,1Б,1В,1Г,1Д,2А,2Б,3А,3Б) автоматизи-рованных систем (АС). Для СВТ самым низким является седьмой класс, а для АС - 3Б.
Система "КОБРА" соответствует требованиям 4-ого класса за-щищенности (для СВТ), реализует идентификацию и разграничение полномочий пользователей и криптографическое закрытие инфор-мации, фиксирует искажения эталонного состояния рабочей среды ПК (вызванные вирусами, ошибками пользователей, техническими сбоями и т.д.) и автоматически восстанавливает основные компо-ненты операционной среды терминала. Подсистема разграничения полномочий защищает информацию на уровне логических дисков. Пользователь получает доступ к определенным дискам А,В,С,...,Z. Все абоненты разделены на 4 категории: суперпользователь (доступны все действия в системе); администратор (доступны все действия в системе, за исклю-чением изменения имени, статуса и полномочий суперполь-зователя, ввода или исключения его из списка пользовате-лей); программисты (может изменять личный пароль); коллега (имеет право на доступ к ресурсам, установленным ему суперпользователем).
|
|
|
Помимо санкционирования и разграничения доступа к логиче-ским дискам, администратор устанавливает каждому пользователю полномочия доступа к последовательному и параллельному портам. Если последовательный порт закрыт, то невозможна передача ин-формации с одного компьютера на другой. При отсутствии доступа к параллельному порту, невозможен вывод на принтер.
Защита информации в глобальной сети Internet
Internet и информационная безопасность несовместны по самой природе Internet. Она родилась как чисто корпоративная сеть. Одна-ко в настоящее время с помощью единого стека протоколов TCP/IP и единого адресного пространства объединяет не только корпора-тивные и ведомственные сети, являющиеся сетями с ограниченным доступом, но и рядовых пользователей, которые имеют возмож-ность получить прямой доступ в Internet со своих домашних ком-пьютеров с помощью модемов и телефонной сети.
Как известно, чем проще доступ в Сеть, тем хуже ее информаци-онная безопасность. Поэтому с полным основанием можно сказать, что изначальная простота доступа в Internet - хуже воровства, так как пользователь может даже и не узнать, что у него были скопиро-ваны - файлы и программы, не говоря уже о возможности их порчи и корректировки.
Платой за пользование Internet является всеобщее снижение ин-формационной безопасности, поэтому для предотвращения несанк-ционированного доступа к своим компьютерам все корпоративные и ведомственные сети, а также предприятия, использующие техно-логию intranet, ставят фильтры (fire-wall) между внутренней сетью и Internet, что фактически означает выход из единого адресного про-странства. Еще большую безопасность даст отход от протокола TCP/IP и доступ в Internet через шлюзы. Этот переход можно осу-ществлять одновременно с процессом построения всемирной ин-формационной сети общего пользования, на базе использования се-тевых компьютеров, которые с помощью сетевой карты 10Base-T и кабельного модема обеспечивают высокоскоростной доступ (10 Мбит/с) к локальному Web-серверу через сеть кабельного телевиде-ния. Для решения этих и других вопросов при переходе к новой ар-хитектуре Internet нужно предусмотреть следующее:
Во-первых, ликвидировать физическую связь между будущей Internet и корпоративными и ведомственными сетями, сохранив ме-жду ними лишь информационную связь через систему WWW.
Во-вторых, заменить маршрутизаторы на коммутаторы, исключив обработку в узлах IP-протокола и, поменяв его на режим трансляции кадров Ethernet, при котором процесс коммутации сводится к простой операции сравнения MAC-адресов.
В-третьих, перейти в новое единое адресное пространство на базе физических адресов доступа к среде передачи (MAC-уровень), привязанное к географическому расположению сети, и позволяющее в рамках 48-бит создать адреса для более чем 64 триллионов независимых узлов.
Безопасность данных является одной из главных проблем в Internet. Одна только мысль о том, что какие-нибудь хулиганы или конкуренты, смогут получить доступ к архивам коммерческих данных, заставляет руководство корпораций отказываться от использования открытых информационных систем. Специалисты утверждают, что подобные опасения безосновательны, так как у компаний, имеющих доступ и к открытым, и частным сетям, практически рав-ные шансы стать жертвами компьютерного террора.
В области информации дилемма безопасности формулируется следующим образом: следует выбирать между защищенностью сис-темы и ее открытостью. Правильнее, впрочем, говорить не о выборе, а о балансе, так как система, не обладающая свойством открыто-сти, не может быть использована.
Сейчас вряд ли кому-то надо доказывать, что при подключении к Internet Вы подвергаете риску безопасность Вашей локальной сети и конфиденциальность содержащейся в ней информации. Одним из наиболее распространенных механизмов защиты от интернетовских бандитов - “хакеров” является применение межсетевых экранов - брэндмауэров (firewalls). Стоит отметить, что вследствие непрофес-сионализма администраторов и недостатков некоторых типов брандмауэров порядка 30% взломов совершается после установки защитных систем. Не следует думать, что все изложенное выше - “заморские диковины”. Всем, кто еще не уверен, что Россия уве-ренно догоняет другие страны по числу взломов серверов и локаль-ных сетей и принесенному ими ущербу, следует познакомиться с тематической подборкой материалов российской прессы и материалами Hack Zone (Zhurnal.Ru). Не смотря на кажущийся правовой хаос в рассматриваемой области, любая деятельность по разработке, продаже и использованию средств защиты информации регулируется множеством законодательных и нормативных документов, а все используемые системы подлежат обязательной сертификации Государственной Технической Комиссией при президенте России. Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно разделить на четыре уровня:
• законодательный (законы, нормативные акты, стандарты и т.п.);
• административный (действия общего характера, предпринимаемые руководством организации);
• процедурный (конкретные меры безопасности, имеющие дело с людьми);
• программно-технический (конкретные технические меры).
ЗАКОНОДАТЕЛЬНЫЙ УРОВЕНЬ
В настоящее время наиболее подробным законодательным документом в области информационной безопасности является Уголовный кодекс, точнее говоря, его новая редакция, вступившая в силу в мае 1996 года. В разделе IX (“Преступления против общественной безопасности”) имеется глава 28 - “Преступления в сфере компьютерной информации”. Она содержит три статьи - 272 (“Неправомерный доступ к компьютерной информации”), 273 (“Создание, использование и распространение вредоносных программ для ЭВМ”) и 274 - “Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети”. Уголовный кодекс стоит на страже всех аспектов информационной безопасности: доступности, целостности, конфиденциальности, предусматривая наказания за “уничтожение, блокирова-ние, модификацию и копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети”. Весьма энергичную работу в об-ласти современных информационных технологий проводит Государственная техническая комиссия (Гостехкомиссия) при Президенте Российской Федерации. В рамках серии руководящих документов (РД) Гостехкомиссии подготовлен проект РД, устанавливающий классификацию межсетевых экранов (firewalls), или брандмауэров) по уровню обеспечения защищенности от несанк-ционированного доступа (НСД). Это принципиально важный доку-мент, позволяющий упорядочить использование защитных средств, необходимых для реализации технологии Intranet.
|
|
|
|
Дата добавления: 2014-01-06; Просмотров: 1725; Нарушение авторских прав?; Мы поможем в написании вашей работы!