Загальні аспекти захисту інформації

Одним із засобів фізичного захисту є системи архівування і дублювання інформації. У локальних мережах, де встановлені один-два сервери, найчастіше система встановлюється безпосередньо у вільні слоти серверів. У великих корпоративних мережах перевага віддається виділеному спеціалізованому архіваціонному сервера, який автоматично архівує інформацію з жорстких дисків серверів і робочих станцій в певний час, встановлений адміністратором мережі, видаючи звіт про проведене резервному копіюванні. Найбільш поширеними моделями архівуються серверів є Storage Express System корпорації Intel ARCserve for Windows.

Для боротьби з комп’ютерними вірусами найбільш часто застосовуються антивірусні програми, рідшеапаратні засоби захисту. Однак, останнім часом спостерігається тенденція до поєднання програмних і апаратних методів захисту. Серед апаратних пристроїв використовуються спеціальні антивірусні плати, вставлені в стандартні слоти розширення комп’ютера. Корпорація Intel запропонувала перспективну технологію захисту від вірусів в мережах, суть якої полягає в скануванні систем комп’ютерів ще до їх завантаження. Крім антивірусних програм, проблема захисту інформації в комп’ютерних мережах вирішується введенням контролю доступу та розмежуванням повноважень користувача. Для цього використовуються вбудовані засоби мережевих операційних систем, найбільшим виробником яких є корпорація Novell. В системі, наприклад, NetWare, крім стандартних засобів обмеження доступу (зміна паролів, розмежування повноважень), передбачена можливість кодування даних за принципом відкритого ключа" з формуванням електронного підпису для переданих по мережі пакетів.

Однак, така система захисту слабомощна, тому що рівень доступу і можливість входу в систему визначаються паролем, який легко підглянути або підібрати. Для виключення несанкціонованого проникнення в компьютерную мережу використовується комбінований підхідпароль + ідентифікація користувача по персональному ключу". Ключ" являє собою пластикову карту (магнітна або з вбудованою мікросхемоюсмарт-карта) або різні пристрої для ідентифікації особи за біометричної інформаціїпо райдужній оболонці ока, відбитками пальців, розмірами кисті руки і т.д. Сервери і мережеві робочі станції, оснащені пристроями читання смарт-карт і спеціальним програмним забезпеченням, значно підвищують ступінь захисту від несанкціонованого доступу.

Смарт-карти управління доступом дозволяють реалізувати такі функції, як контроль входу, доступ до пристроїв ПК, до програм, файлів і команд. Одним з вдалих прикладів створення комплексного рішення для контролю доступу в відкритих системах, заснованого як на програмних, так і на апаратних засобах захисту, стала система Kerberos, в основу якої входять три компоненти:

база даних, яка містить інформацію по всіх мережних ресурсів, користувачам, паролів, інформаційним ключам і т.д.;

авторизаційний сервер (authentication server), завданням якого є обробка запитів користувачів на надання того чи іншого виду мережевих послуг. Отримуючи запит, він звертається до бази даних і визначає повноваження користувача на здійснення певної операції. Паролі користувачів по мережі не передаються, тим самим, підвищуючи ступінь захисту інформації;

тicket-granting server (сервер видачі дозволів) отримує від авторизаційного сервера перепустка" з ім'ям користувача і його мережевою адресою, часом запиту, а також унікальний ключ". Пакет, що містить «перепустку», передається також в зашифрованому виду. Сервер видачі дозволів після отримання та розшифровки перепустки" перевіряє запит, порівнює ключі" і при тотожності дає добро" на використання мережевої апаратури або програм.

У міру розширення діяльності підприємств, зростання чисельності абонентів і появи нових філій, виникає необхідність організації доступу віддалених користувачів (груп користувачів) до обчислювальних або інформаційних ресурсів до центрів компаній. Для організації віддаленого доступу найчастіше використовуються кабельні лінії та радіоканали. У зв’язку з цим захист інформації, переданої по каналах віддаленого доступу, вимагає особливого підходу. У мостах і маршрутизаторах віддаленого доступу застосовується сегментація пакетівїх поділ і передача паралельно по двох лініях, — що унеможливлює перехоплення" даних при незаконному підключенні хакера" до однієї з ліній. Використовувана при передачі даних процедура стиснення переданих пакетів гарантує неможливість розшифровки «перехоплених» даних. Мости і маршрутизатори віддаленого доступу можуть бути запрограмовані таким чином, що віддаленим користувачам не всі ресурси центру компанії можуть бути доступні.

В даний час розроблені спеціальні пристрої контролю доступу до обчислювальних мереж по комутованих лініях. Прикладом може служити, розроблений фірмою AT & T модуль Remote Port Securiti Device (PRSD), що складається з двох блоків розміром зі звичайний модем: RPSD Lock (замок), що встановлюється в центральному офісі, і RPSD Key (ключ), що підключається до модему віддаленого користувача. RPSD Key і Lock дозволяють встановлювати декілька рівнів захисту і контролю доступу:

шифрування даних, що передаються по лінії за допомогою генеруються цифрових ключів;

контроль доступу з урахуванням дня тижня або часу доби.

Пряме відношення до теми безпеки має стратегія створення резервних копій і відновлення баз даних. Зазвичай ці операції виконуються в неробочий час в пакетному режимі. У більшості СУБД резервне копіювання і відновлення даних дозволяються тільки користувачам з широкими повноваженнями (права доступу на рівні системного адміністратора, або власника БД), вказувати настільки відповідальні паролі безпосередньо в файлах пакетної обробки небажано. Щоб не зберігати пароль в явному вигляді, рекомендується написати простеньку прикладну програму, яка сама б викликала утиліти копіювання / відновлення. В такому випадку системний пароль повинен бути зашитий" в код зазначеного додатка. Недоліком даного методу є те, що всякий раз при зміні пароля цю програму слід перекомпілювати.

Стосовно до засобів захисту від несанкціонованого доступу визначені сім класів захищеності (1−7) засобів обчислювальної техніки (ЗОТ) і дев’ять класів (1А, 1Б, 1 В, 1 Г, 1Д, 2А, 2Б, 3А, 3Б) автоматизованих систем (АС). Для ЗОТ найнижчим є сьомий клас, а для АС -3Б.

Розглянемо більш докладно наведені сертифіковані системи захисту від несанкціонованого доступу.

Система КОБРА" відповідає вимогам 4-го класу захищеності (для ЗОТ), реалізує ідентифікацію і розмежування повноважень користувачів і криптографічне закриття інформації, фіксує спотворення еталонного стану робочого середовища ПК (викликані вірусами, помилками користувачів, технічними збоями і т.д.) і автоматично відновлює основні компоненти операційного середовища терміналу.

Підсистема розмежування повноважень захищає інформацію на рівні логічних дисків. Користувач отримує доступ до певних дискам А, В, С, …, Z. Всі абоненти розділені на 4 категорії:

привілейований користувач (доступні всі дії в системі);

адміністратор (доступні всі дії в системі, за винятком зміни імені, статусу і повноважень суперкористувача, введення або виключення його зі списку користувачів);

програмісти (може змінювати особистий пароль);

колега (має право на доступ до ресурсів, встановленим йому суперкористувачем).

Крім санкціонування та розмежування доступу до логічних дисків, адміністратор встановлює кожному користувачеві повноваження доступу до послідовного і паралельного портів. Якщо послідовний порт закритий, то неможлива передача інформації з одного комп’ютера на інший. При відсутності доступу до паралельного порту, неможливий висновок на принтер.