Інформаційна безпека мережах ЕОМ

Информационная безпеку мережах ЭВМ.

Защита даних в комп’ютерних мережах стає одним із найвідкритіших негараздів у сучасних інформаційно-обчислювальних системах. Сьогодні сформульовано три базових принципу інформаційну безпеку, чиїм завданням є забезпечення:

— цілісності даних — захист від збоїв, які ведуть втрати інформації, або її;

— конфіденційності інформації;

— доступності інформації для авторизованих користувачів.

Рассматривая проблеми, пов’язані із захистом даних у мережі, виникає запитання про класифікації збоїв і несанкционированности доступу, що веде до втрати чи небажаному зміни даних. Це може бути збої устаткування (кабельної системи, дискових систем, серверів, робочих станцій тощо.), втрати інформації (через інфікування комп’ютерними вірусами, неправильного зберігання архівах, порушень прав доступу до даних), некоректну роботу користувачів і обслуговуючого персоналу. Перелічені порушення роботи у мережі викликали необхідність створення різних видів захисту. Умовно їх можна розділити втричі класу:

— кошти фізичного захисту;

— програмні кошти (антивірусні програми, системи розмежування повноважень, програмні засіб контролю доступу);

— административные захисту (доступ до приміщень, розробка стратегій безпеки фірми і т.д.).

Одним з коштів фізичного захисту є системи архівування і дублювання інформації. У локальних мережах, де встановлено один-два серверу, найчастіше система встановлюється у вільні слоты серверів. У великих корпоративних мережах перевагу надають наголошеного спеціалізованому архивационному серверу, який автоматично архивирует інформацію з жорстких дисків серверів і експертних робочих станцій у час, встановлений адміністратором мережі, видаючи звіт про проведеному резервному копіюванні. Найпоширенішими моделями архивированных серверів є Storage Express System корпорації Intel ARCserve for Windows.

Для боротьби з комп’ютерними вірусами найчастіше застосовуються антивірусні програми, рідше — апаратні засоби захисту. Проте, останнім часом спостерігається тенденція до поєднання програмних і апаратних методів захисту. Серед апаратних пристроїв використовуються спеціальні антивірусні плати, вставлені у стандартні слоты розширення комп’ютера. Корпорація Intel запропонувала перспективну технологію захисту від вірусів у мережах, суть якої в скануванні систем комп’ютерів ще до його їх завантаження. Крім антивірусних програм, проблема захисту інформацією комп’ютерних мережах вирішується запровадженням контролю доступу і розмежуванням повноважень користувача. І тому використовуються вбудовані кошти мережевих операційними системами, найбільшим виробником яких є корпорація Novell. У системі, наприклад, NetWare, крім стандартних коштів обмеження доступу (зміна паролів, розмежування повноважень), передбачена можливість кодування даних із принципу «відкритого ключа «з формуванням електронного підпису для переданих через мережу пакетів.

Однако, така система захисту слабомощна, т.к. рівень доступу і можливість входу до системи визначаються паролем, який легко підглянути чи підібрати. Щоб не допустити неавторизованного проникнення у комп’ютерну мережу використовується комбінований підхід — пароль + ідентифікація користувача по персонального «ключу ». «Ключ «є пластикову карту (магнітна чи з вбудованої мікросхемою — смарт-карта) або різні устрою для ідентифікації особистості по біометричної інформації - по райдужною оболонці очі, відбиткам пальців, розмірам пензля руками і т.д. Сервери і мережні робочі станції, оснащені пристроями читання смарт-карт і спеціальним програмним забезпеченням, значно підвищують рівень захисту від несанкціонованого доступу.

Смарт-карты управління доступом дозволяють реалізувати таких функцій, як контроль входу, доступом до пристроям ПК, до програм, файлам і командам. Однією з вдалих прикладів створення комплексного рішення контролю доступу у відкритих системах, заснованого як у програмних, і на апаратних засобах захисту, стала система Kerberos, основою якої входять три компонента:

— база даних, що містить інформацію з всім мережним ресурсів, користувачам, паролям, інформаційним ключам тощо.;

— авторизационный сервер (authentication server), завданням якого є обробка запитів користувачів про надання тієї чи іншої виду мережевих послуг. Одержуючи запит, він звертається до бази даних, і визначає повноваження користувача скоєння певної операції. Паролі користувачів через мережу не передаються, цим, підвищуючи рівень захисту інформації;

— Ticket-granting server (сервер видання дозволів) одержує вигоду від авторизационного серверу «перепустку «безпосередньо з ім'ям користувача та її мережним адресою, часом запиту, і навіть унікальний «ключ ». Пакет, у якому «перепустку », передається й у зашифрованому вигляді. Сервер видання дозволів після отримання й розшифровки «пропуску «перевіряє запит, порівнює «ключі «і за тотожності дає «добро «використання мережевий апаратури чи програм.

По мері розширення підприємств, зростання кількості абонентів і нових філій, виникла потреба організації доступу віддалених користувачів (груп користувачів) до обчислювальним чи інформаційних ресурсів центрів компаній. Для організації віддаленого доступу найчастіше використовують кабельні лінії радіоканали. У зв’язку з цим захист інформації, переданої каналами віддаленого доступу, особливого підходу. У мости і маршрутизаторах віддаленого доступу застосовується сегментація пакетів — їх розподіл витрат і передача паралельно з двох лініях, — що унеможливлює «перехоплення «даних у разі незаконного підключенні «хакера «до однієї з ліній. Використовувана під час передачі даних процедура стискування переданих пакетів гарантує неможливість розшифровки «перехоплених «даних. Мости і маршрутизатори віддаленого доступу можна запрограмувати в такий спосіб, що віддаленим користувачам в усіх ресурси центру можуть бути доступні.

В справжнє час розроблено спеціальні устрою контролю доступу до обчислювальним мереж по комутаційних лініях. Прикладом може бути, розроблений фірмою AT&T модуль Remote Port Securiti Device (PRSD), що з двох блоків розміром із звичайний модем: RPSD Lock (замок), який установлюють у центральному офісі, і RPSD Key (ключ), подключаемый до модему віддаленого користувача. RPSD Key і Lock дозволяють встановлювати кілька рівнів захисту та контролю доступа:

— шифрування даних, переданих лінією з допомогою генерируемых цифрових ключів;

— контроль доступу з урахуванням дня тижня або часі діб.

Прямое ставлення до цієї теми безпеки має стратегія створення резервних копій і відновлення баз даних. Зазвичай це операції виконуються у неробочий час у пакетному режимі. У багатьох СУБД резервне копіювання та своєчасне відновлення даних дозволяються лише користувачам з широкі повноваження (права доступу лише на рівні системного адміністратора, або власника БД), вказувати настільки відповідальні паролі у файлах пакетної обробки небажано. Щоб не зберігати пароль вочевидь, рекомендується написати простеньку прикладну програму, які самі б викликала утиліти копирования/восстановления. У цьому разі системний пароль може бути «зашитий «в код зазначеного докладання. Вадою цієї методу і те, що кожного разу на зміну пароля цю програму слід перекомпілювати.

Применительно до засобам захисту від НСД визначено сім класів захищеності (1−7) коштів обчислювальної техніки (СВТ) і дев’ять класів (1А, 1Б, 1 В, 1 Г, 1Д, 2А, 2Б, 3А, 3Б) автоматизованих систем (АС). Для СВТ найнижчим є сьомий клас, а для АС — 3Б.

Рассмотрим докладніше наведені сертифіковані системи захисту від НСД.

Система «КОБРА «відповідає вимогам 4-ого класу захищеності (для СВТ), реалізує ідентифікацію і розмежування повноважень користувачів і криптографічне закриття інформації, фіксує спотворення еталонного стану робочої середовища ПК (викликані вірусами, помилками користувачів, технічними збоями тощо.) і автоматично відновлює основні компоненти операційній середовища термінала.

Подсистема розмежування повноважень захищає інформацію лише на рівні логічних дисків. Користувач отримує доступом до певним дискам А, В, С,…, Z. Усі абоненти розділені на виборах 4 категорії:

— суперкористувач (доступні всі дії у системі);

— адміністратор (доступні всі дії в системі, крім зміни імені, статусу повноважень суперкористувача, введення чи вилучення його з списку користувачів);

— програмісти (може змінювати особистий пароль);

— коллега (має декларація про доступом до ресурсів, встановленим йому суперкористувачем).

Помимо санкціонування і розмежування доступу до логічним дискам, адміністратор встановлює кожному користувачеві повноваження доступу до послідовному і рівнобіжному портам. Якщо послідовний порт закритий, то неможлива передача інформації з однієї комп’ютера в інший. За відсутності доступу до рівнобіжному порту, неможливий висновок на принтер.

Список литературы

Для підготовки даної роботи було використані матеріали із російського сайту internet.