Реферат: Информационные технологии в экономике. Информационная безопасность в сетях ЭВМ

 5.Информационная безопасность в сетях ЭВМ

Защитаданных в компьютерных сетях становится одной из самых открытых проблем всовременных информационно-вычислительных системах. На сегодняшний деньсформулировано три базовых принципа информационной безопасности, задачейкоторой является обеспечение:

— целостности данных — защита от сбоев, ведущих к потере информации или ееуничтожения;

— конфиденциальности информации;

— доступности информации для авторизованных пользователей.

Рассматриваяпроблемы, связанные с защитой данных в сети, возникает вопрос о классификациисбоев и несанкционированности доступа, что ведет к потере или нежелательномуизменению данных. Это могут быть сбои оборудования (кабельной системы, дисковыхсистем, серверов, рабочих станций и т.д.), потери информации (из-заинфицирования компьютерными вирусами, неправильного хранения архивных данных,нарушений прав доступа к данным), некорректная работа пользователей иобслуживающего персонала. Перечисленные нарушения работы в сети вызвали необходимостьсоздания различных видов защиты информации. Условно их можно разделить на трикласса:

— средства физической защиты;

— программные средства (антивирусные программы, системы разграничения полномочий,программные средства контроля доступа);

- административныемеры защиты (доступ в помещения, разработка стратегий безопасности фирмы ит.д.).

Однимиз средств физической защиты являются системы архивирования и дублирования информации. В локальных сетях, где установленыодин-два сервера, чаще всего система устанавливается непосредственно всвободные слоты серверов. В крупных корпоративных сетях предпочтение отдаетсявыделенному специализированному архивационному серверу, который автоматическиархивирует информацию с жестких дисков серверов и рабочих станций вопределенное время, установленное администратором сети, выдавая отчет опроведенном резервном копировании. Наиболее распространенными моделямиархивированных серверов являются Storage Express System корпорации IntelARCserve for Windows.

Дляборьбы с компьютерными вирусами наиболее часто применяются антивирусныепрограммы, реже — аппаратные средства защиты. Однако, в последнее времянаблюдается тенденция к сочетанию программных и аппаратных методов защиты.Среди аппаратных устройств используются специальные антивирусные платы,вставленные в стандартные слоты расширения компьютера. Корпорация Intelпредложила перспективную технологию защиты от вирусов в сетях, суть которойзаключается в сканировании системкомпьютеров еще до их загрузки. Кроме антивирусных программ, проблемазащиты информации в компьютерных сетях решается введением контроля доступа и разграничением полномочий пользователя. Для этого используются встроенные средствасетевых операционных систем, крупнейшим производителем которых являетсякорпорация Novell. В системе, например, NetWare, кроме стандартных средствограничения доступа (смена паролей, разграничение полномочий), предусмотренавозможность кодирования данных по принципу «открытого ключа» сформированием электронной подписи для передаваемых по сети пакетов.

Однако,такая система защиты слабомощна, т.к. уровень доступа и возможность входа всистему определяются паролем, который легко подсмотреть или подобрать. Дляисключения неавторизованного проникновения в компьютер­ную сеть используетсякомбинированный подход — пароль +идентификация пользователя по персональному «ключу».«Ключ» представляет собой пластиковую карту (магнитная или совстроенной микросхемой — смарт-карта) или различные устройства дляидентификации личности по биометрической информации — по радужной оболочкеглаза, отпечаткам пальцев, размерам кисти руки и т.д. Серверы и сетевые рабочиестанции, оснащенные устройствами чтения смарт-карт и специальным программнымобеспечением, значительно повышают степень защиты от несанкционированногодоступа.

Смарт-картыуправления доступом позволяют реализовать такие функции, как контроль входа,доступ к устройствам ПК, к программам, файлам и командам. Одним из удачныхпримеров создания комплексного решения для контроля доступа в открытыхсистемах, основанного как на программных, так и на аппаратных средствах защиты,стала система Kerberos, в основу которой входят три компонента:

— базаданных, которая содержит информацию по всем сетевым ресурсам, пользователям,паролям, информационным ключам и т.д.;

— авторизационный сервер (authentication server), задачей которого являетсяобработка запросов пользователей на предоставление того или иного вида сетевыхуслуг. Получая запрос, он обращается к базе данных и определяет полномочияпользователя на совершение определенной операции. Пароли пользователей по сетине передаются, тем самым, повышая степень защиты информации;

- Ticket-grantingserver (сервер выдачи разрешений) получает от авторизационного сервера«пропуск» с именем пользователя и его сетевым адресом, временемзапроса, а также уникальный «ключ». Пакет, содержащий«пропуск», передается также в зашифрованном виде. Сервер выдачиразрешений после получения и расшифровки «пропуска» проверяет запрос,сравнивает «ключи» и при тождественности дает «добро» наиспользование сетевой аппаратуры или программ.

Помере расширения деятельности предприятий, роста численности абонентов ипоявления новых филиалов, возникает необходимость организации доступа удаленныхпользователей (групп пользователей) к вычислительным или информационнымресурсам к центрам компаний. Для организации удаленного доступа чаще всегоиспользуются кабельные линии и радиоканалы. В связи с этим защита информации,передаваемой по каналам удаленного доступа, требует особого подхода. В мостах имаршрутизаторах удаленного доступа применяется сегментация пакетов — ихразделение и передача параллельно по двум линиям, — что делает невозможным«перехват» данных при незаконном подключении «хакера» к однойиз линий. Используемая при передаче данных процедура сжатия передаваемыхпакетов гарантирует невозможность расшифровки «перехваченных» данных.Мосты и маршрутизаторы удаленного доступа могут быть запрограммированы такимобразом, что удаленным пользователям не все ресурсы центра компании могут бытьдоступны.

Внастоящее время разработаны специальные устройства контроля доступа квычислительным сетям по коммутируемым линиям. Примером может служить,разработанный фирмой AT&T модуль Remote Port Securiti Device (PRSD), состоящийиз двух блоков размером с обычный модем: RPSD Lock (замок), устанавливаемый вцентральном офисе, и RPSD Key (ключ), подключаемый к модему удаленногопользователя. RPSD Key и Lock позволяют устанавливать несколько уровней защитыи контроля доступа:

 - шифрование данных, передаваемых по линии припомощи генерируемых цифровых ключей;

— контроль доступа с учетом дня недели или времени суток.

Прямоеотношение к теме безопасности имеет стратегия создания резервных копий ивосстановления баз данных. Обычно эти операции выполняются в нерабочее время впакетном режиме. В большинстве СУБД резервное копирование и восстановлениеданных разрешаются только пользователям с широкими полномочиями (права доступана уровне системного администратора, либо владельца БД), указывать стольответственные пароли непосредственно в файлах пакетной обработки нежелательно.Чтобы не хранить пароль в явном виде, рекомендуется написать простенькуюприкладную программу, которая сама бы вызывала утилитыкопирования/восстановления. В таком случае системный пароль должен быть«зашит» в код указанного приложения. Недостатком данного методаявляется то, что всякий раз при смене пароля эту программу следует перекомпилировать.

Применительнок средствам защиты от НСД определены семь классов защищенности (1-7) средстввычислительной техники (СВТ) и девять классов (1А,1Б,1В,1Г,1Д,2А,2Б,3А,3Б)автоматизированных систем (АС). Для СВТ самым низким является седьмой класс, адля АС — 3Б.

Рассмотримболее подробно приведенные сертифицированные системы защиты от НСД.

Система«КОБРА» соответствует требованиям 4-ого класса защищенности (дляСВТ), реализует идентификацию и разграничение полномочий пользователей икриптографическое закрытие информации, фиксирует искажения эталонного состояниярабочей среды ПК (вызванные вирусами, ошибками пользователей, техническимисбоями и т.д.) и автоматически восстанавливает основные компоненты операционнойсреды терминала.

Подсистемаразграничения полномочий защищаетинформацию на уровне логических дисков. Пользователь получает доступ копределенным дискам А, В, С,...,Z. Все абоненты разделены на 4 категории:

— суперпользователь (доступны все действия в системе);

 - администратор (доступны все действия всистеме, за исключением изменения имени, статуса и полномочийсуперпользователя, ввода или исключения его из списка пользователей);

— программисты (может изменять личный пароль);

- коллега(имеет право на доступ к ресурсам, установленным ему суперпользователем).

Помимосанкционирования и разграничения доступа к логическим дискам, администраторустанавливает каждому пользователю полномочия доступа к последовательному ипараллельному портам. Если последовательный порт закрыт, то невозможна передачаинформации с одного компьютера на другой. При отсутствии доступа кпараллельному порту, невозможен вывод на принтер.

еще рефераты
Еще работы по компьютерным сетям