Реферат: Защита информации
Министерство общего ипрофессионального образования
Северо-КавказскийГосударственный Технический Университет
Реферат
" Защита информации "
Выполнил:студент четвертого курса ФИСТГруппы ИСЭ-962
ГриценкоВ. Л.
Проверил:
Оценка: __________
Ставрополь 2000г.
СодержаниеВведение1.Управлениедоступом и полномочиями, защита информации 42.Авторизациядоступа к данным сети (NetWare) 83.Новаяинициатива компании Internet Security Systems по обеспечению безопасности ведущих промышленных предприятий 9
ВведениеПотребность в защите информации зависит от рода выполняемойвами работы и от чувствительности информации , которой вы управляете. Однаковсе хотят секретности и чувства безопасности, которое появляется вместе собоснованной уверенностью в том, что они не могут стать жертвой нарушения защиты информации . Так же, как вы можете изготавливать приспособления, помогающиесделать ваш дом менее привлекательным для грабителей, так и каждый пользовательможет сделать приспособления, которые помогают поддерживать секретность ибезопасность его работы.Любая компьютерная система требует некоторого рода защиты . Уровни защиты включают в себя физическую защиту (центрального процессора, дисков итерминалов), защиту файлов, защиту процессов и всей работающей системы.В многопользовательской среде еще более важно усиливать защиту . Каждыйпользователь имеет право засекречивать и защищать свою среду и свои файлы. Ниодин компьютер не имеет стопроцентной защиты . Ваша среда лишь настолькозащищена, насколько вы сделали ее таковой. Защитные мероприятия могут достигатьтакой степени, что начинают мешать свободному обмену идеями и затруднятьиспользование гибкости системы или исследование ее новых аспектов. Лично ясчитаю, что пользователи должны иметь свободу делать все, что они хотят, покаэто не вредит системе или другим пользователям.
Управление доступом и полномочиями, защита информации
СерверExchange позволяет использовать разнообразные средства, чтобы сохранитьнеприкосновенной важную информацию. Среди них:
· подтверждение прав пользователя надоступ к серверу, выполняемое средствами защиты Windows NT Server;
· проверка прав пользователя надоступ к информационным ресурсам, включая почтовые ящики, общие папки, почтовыешлюзы и т.п.;
· аудит и протоколирование всистемном журнале событий, имеющих отношение к системе разграничения доступа;
· расширенные средства защиты, такиекак шифрование и цифровая подпись сообщений;
· шифрование трафика между клиентоми сервером.
Списки доступа и наследование полномочий
Контроль доступа к объектам каталога и информационныххранилищ в Exchange производится на основе списков доступа (accesscontrol lists). Список доступа содержит перечень идентификаторовпользователей домена Windows NT. С каждым пользовательским идентификаторомассоциирован набор привилегий, определяющих, какие действия способен выполнитьконкретный пользователь над данным объектом. Ниже приведен список привилегий,поддерживаемых сервером Exchange:
· право создавать объекты,расположенные в иерархии ниже данного (Add Child), например вложенныепользовательские контейнеры;
· право модифицироватьпользовательские атрибуты объекта (Modify User Attributes), напримердобавлять адресатов в список рассылки;
· право модифицироватьадминистративные атрибуты объекта (Modify Admin Attributes), напримеризменять название улицы или отображаемое имя в свойствах пользовательскогоящика;
· право удалять текущий объект (Delete);
· право производить посылку от имениданного объекта (Send As), как правило, используется дляпользовательских ящиков или серверных контейнеров;
· право выполнять регистрацию впочтовом ящике, выполнять посылку и прием сообщений (Mailbox Owner), какправило, используется для пользовательских ящиков или серверных контейнеров;
· право выполнять репликациюкаталога (Replication), как правило, используется для серверныхконтейнеров;
· изменять набор привилегий для текущегообъекта (Modify Permission), например, без данной привилегииадминистратор может создавать новых пользователей, но не имеет права изменятьсписки доступа к существующим почтовым ящикам.
Для удобства назначения прав существует несколькостандартных наборов привилегии, называемых ролями. Ниже приводитсясписок стандартных ролей и их привилегий:
· роль администратор (Admin.),дает право создавать новые объекты каталога, удалять и модифицироватьсуществующие, но не позволяет модифицировать для них списки доступа;
· роль администратор полномочий (PermissionsAdmin.), дополнительно к правам администратора позволяет изменять текущиесписки доступа на объекты;
· роль посылка от имени (SendAs), дает право посылать сообщения от имени данного объекта;
· роль администратор учетнойзаписи сервиса (Service Account Admin.), предназначена дляиспользования только сервисом Exchange Server, имеет полный набор прав наобъект;
· роль пользователь (User),дает право на получение доступа к почтовому ящику и назначение прав другимпользователям на доступ к содержимому этого ящика.
В случае, когда требуемый или достаточный набор правне может быть обеспечен ни одной стандартной ролью, пользователю можноназначить нестандартный набор привилегий (роль custom). Примеромиспользования специального набора привилегий может являться случай настройкиRAS-коннектора между двумя площадками. В этом случае достаточный наборпривилегий, которым должен обладать звонящий агент передачи сообщений (MTA) — право Send As и Mailbox Owner на контейнере серверов принимающей стороны.
В зависимости от типа объекта, набор привилегий можетнаследоваться всеми или только некоторыми объектами, находящимися в каталоге нанижних уровнях иерархии.
В Exchange Server используется следующая схеманаследования прав (рисунок 1):
· права на объект организация,пользователи с правами на этот объект могут менять только отображаемое имяорганизации, привилегии не наследуются другими объектами иерархии;
· права на объект площадка,пользователи с правами на этот объект могут манипулировать объектами уровняплощадки и контейнерами адресатов. Привилегии автоматически наследуются всемивложенными, за исключением объекта настройки;
· права на объект настройки,пользователи с правами на этот объект могут управлять всеми настройками текущейплощадки, как-то таблицы маршрутизации, соединения, мониторы, серверы и т.д.Привилегии автоматически наследуются объектами нижних уровней, за исключениемконтейнеров адресатов, которые наследуют набор привилегий объекта площадка.
Такая схема наследования позволяет разделить функциимежду несколькими администраторами, одни из которых отвечают за ведение базыпользователей и общие папки организации, другие обеспечивают взаимодействиесерверов в пределах площадки и сопряжение с внешним миром, включая шлюзы вдругие почтовые системы и синхронизацию каталога в рамках организации.
/> <td/> />Следует иметь ввиду, что если все функцииадминистрирования должны выполняться одним лицом, то ему необходимо назначитьсоответствующие привилегии на каждом из трех указанных объектов. Приинсталляции первого сервера площадки администратор, выполняющий установку,автоматически получает права Permissions Admin. на упомянутые объекты.
Рис.1. Схема наследованияпривилегий
Отдельно следует упомянуть о назначении привилегий наобщие папки. Как и для прочих объектов каталога, для общих папок поддерживаютсясписки доступа и роли, однако назначение прав пользователям происходит на основеучетных записей в доменах Windows NT, а не на основе записей в глобальнойадресной книге. Это позволяет пользователям, относящимся к различным площадкаморганизации выполнять над данными, находящимися в локальных репликах общихпапок, действия, предписанные администратором.
На общие папки могут быть назначены следующие права:
· создание сообщений (Create Items), дает право пользователю помещатьновые сообщения в папку;
· чтение сообщений (Read Items),дает право пользователю просматривать сообщения в папке;
· создание подпапок (Create Subfolders), дает право пользователюсоздавать папки, вложенные в данную;
· владелец папки (Folder Owner), дает пользователю все права на папку;
· ответственный за папку (Folder Contact), получает уведомления о конфликтах иразрешает их, обычные пользователи посылают данному пользователю пожелания ирекомендации;
· видимость папки (Folder Visible), позволяет пользователю видетьданную папку при просмотре иерархии общих папок;
· редактирование (Edit), дает право пользователю редактироватьсообщения;
· удаление (Delete), дает право пользователю удалять сообщения.
Два последних права имеют три градации каждое:
· ничего (None), не дает пользователю права выполнять действиенад сообщениями;
· собственные (Own), дает пользователю право выполнять действие надсообщениями, созданные им сами;
· все (All), дает пользователю право выполнять действие надсообщениями, созданными другими пользователями.
Для упрощения задачи назначения полномочий на общиепапки, в сервере Exchange предусмотрен набор стандартных ролей:
· роль владелец (Owner), даетправо пользователю назначать привилегии другим пользователям, манипулироватьсообщениями в папке и вложенными папками, назначать способы представления папки(folder Views), а так же удалять саму папку и все в нее вложенные;
· роль главный редактор(Publishing Editor), дает право пользователю создавать, редактировать и удалятьлюбые сообщения и создавать подпапки;
· роль редактор (Editor), вотличие от главного редактора не имеет права создавать подпапки;
· роль главный автор(Publishing Author), дает право пользователю создавать, редактировать и удалятьсозданные им сообщения и создавать подпапки;
· роль автор (Author), вотличие от главного автора, не имеет права создавать подпапки;
· роль не редактирующий автор(Nonediting Author), в отличие от автора не имеет права редактироватьсообщения, но имеет право удалять собственные;
· роль читатель (Reviewer),дает право пользователю только просматривать сообщения, созданные другимипользователями;
· роль помощник (Contributor),дает право пользователю только создавать сообщения;
· роль никто (None), не даетпользователю никаких прав в папке.
Кроме пользователей в глобальной адресной книге, правамогут быть назначены псевдопользователю Anonymous, представляющему клиентов, использующиханонимный режим доступа к общим папкам, например при обращении к серверуExchange из клиентских программ чтения новостей Internet.
Авторизациядоступа к данным сети (NetWare)
В NetWare реализованы три уровня защиты данных(рисунок 2).
Здесь под аутентификацией понимается:
· процесс подтверждения подлинностиклиента при его подключении к сети,
·
/> <td/> />процесс установления подлинности пакетов,передаваемых между сервером и рабочей станцией.
Рис. 2Уровни защиты данных в NetWare
Права по отношению к файлу (каталогу) определяют,какие операции пользователь может выполнить с файлом (каталогом). Администраторможет для каждого клиента сети определить права по отношению к любому сетевомуфайлу или каталогу.
Атрибуты определяют некоторые системные свойствафайлов (каталогов). Они могут быть назначены администратором для любогосетевого файла или каталога.
Например, чтобы записать данные в файл, клиент должен:
· знать свой идентификатор и парольдля подключения к сети,
· иметь право записи данных в этотфайл,
· файл должен иметь атрибут,разрешающий запись данных.
Следует отметить, что атрибуты файла (каталога) имеютболее высокий приоритет, чем права пользователей по отношению к этому файлу.
Новая инициатива компании Internet Security Systems по обеспечениюбезопасности ведущих промышленных предприятий
19 октября 1998 года — г. Атланта и г.Стэмфорд. –
Угрозы, окружающие современныеинформационные системы, растут с астрономической скоростью. Состав преступниковколеблется от неопытных недовольных пользователей, ищущих признания, до хорошоорганизованных организаций, использующих сложнейшие структурированные атаки дляпромышленного шпионажа. Вопросы, касающиеся защиты информации , являлисьдвижущей силой, стоящей за образованием Комиссии по защите наиболее важныхинфраструктур при Президенте США (United States President's Commission onCritical Infrastructure Protection). В своих первых материалах комиссияконстатировала: «Возможность нанесения вреда — особенно черезинформационные сети — является реальной; она возрастает с угрожающей скоростью,и у нас небольшая защита против этого». Работы комиссии указывают нанеобходимость перехода на более высокий уровень совместного использования информации для улучшения понимания шагов, которые необходимо предпринятьправительственным агентствам и корпорациям Америки для эффективной защиты сетевых ресурсов.
Проект Spotlight (Project Spotlight) — новая программа, которая решает эти вопросы и представляет первую официальнуюинициативу, направленную на информационное обеспечение как частного, так иобщественного секторов о современном состоянии защиты информации .
Организаторами Project Spotlight сталиведущие компании, внесшие уникальный вклад в области защиты информации :Client/Server Labs, первая испытательная лаборатория в области информационныхтехнологий для проведения широкомасштабных проверок предприятия; компанияInternet Security Systems, Inc. (ISS), ведущий поставщик средств адаптивногоуправления сетевой безопасностью, которые автоматически обнаруживают иреагируют на нарушения безопасности; META Group, ведущая фирма, занимающаясяисследованиями и предоставляющая аналитические услуги в области информационныхтехнологий.
«Project Spotlight представляет первуюпопытку собрать наиболее важные количественные данные, которые предоставятболее высокий уровень знаний, касающийся защиты от угроз и облегчатразработку эффективных контрмер по противодействию нарушениямбезопасности», сказал, бывший сенатор и последний со-председательКонсультационного комитета Комиссии по защите наиболее важных инфраструктурпри Президенте. «Цель проекта — дальнейшее развитие технологий в областизашиты информации , которые позволят организациям осуществлять болееактивную защиту систем своего предприятия, благодаря более высокойосведомленности в вопросах защиты , а также предоставит методы и решения поуправлению рисками».
Project Spotlight будет включать подобраннуюгруппу из компаний, входящих в списки Fortune 500 и Global 2000. КомандаProject Spotlight будет заниматься установкой программного обеспечения пообнаружению атак и анализу защищенности, а также собирать и анализироватьданные об атаках и уязвимостях. Углубленный анализ и соответствующие отчетыпозволят лучше понять возможность использования той или иной уязвимости илиугрозы, имеющих место в информационных системах участников проекта Spotlight.
«Одно из правил American ElectronicsAssociations — оказывать влияние на Public Policy», — заявилаисполнительный директор Южно-Восточного подразделения AEA Бетти Грей-Роуз(Betty Gray-Rose). «В этом смысле, мы считаем, что Project Spotlight ипреследуемая им цель ознакомления как общественного, так и частного секторов ссовременным состоянием в области защиты информации , являетсячрезвычайно важной. Кроме того, в том, что касается участников этой компании, информация , которую они получат о состоянии защиты своей собственнойинформационной системы, будет бесценной для них».
Участникам Project Spotlight будетпредоставлена следующая информация:
Реальные данные по угрозам и уязвимостям,собранные в промышленном секторе — эта информация будет оцениваться с цельюопределения ее потенциального воздействия на корпоративные информационныесистемы и сети.
Специальные данные по уязвимостям — этаинформация позволит участникам проекта своевременно принимать соответствующиемеры по устранению уязвимостей.
База данных по уязвимостям и угрозам, организованнаяпо отраслям промышленности — предназначена для проведения анализа направлениявнешних воздействий.
Количественный и качественныйстатистический анализ — основа для ранжирования и создания предпосылок длябудущих инвестиций в технологию защиты информации .
Всесторонний отчет по уязвимостям и угрозам- сравнение состояния защиты участника проекта с состояниями защиты других корпораций и промышленных предприятий.