Информационные технологии в экономике. Информационная безопасность в сетях ЭВМ

5.Информационная безопасность в сетях ЭВМ Защитаданных в компьютерных сетях становится одной из самых открытых проблем всовременных информационно-вычислительных системах.На сегодняшний деньсформулировано три базовых принципа информационной безопасности, задачейкоторой является обеспечение - целостности данных - защита от сбоев, ведущих к потереинформации или ее уничтожения - конфиденциальности информации - доступности информации для авторизованных пользователей. Рассматриваяпроблемы, связанные с защитой данных в сети, возникает вопрос о классификациисбоев и несанкционированности доступа, что ведет к потере или нежелательномуизменению данных.

Это могут быть сбои оборудования кабельной системы, дисковыхсистем, серверов, рабочих станций и т.д потери информации из-заинфицирования компьютерными вирусами, неправильного хранения архивных данных,нарушений прав доступа к данным , некорректная работа пользователей иобслуживающего персонала. Перечисленные нарушения работы в сети вызвалинеобходимость создания различных видов защиты информации.

Условно их можноразделить на три класса - средства физической защиты - программные средства антивирусные программы, системыразграничения полномочий, программные средства контроля доступа - административные меры защиты доступ в помещения,разработка стратегий безопасности фирмы и т.д. .Однимиз средств физической защиты являются системы архивирования и дублированияинформации. В локальных сетях, где установлены один-два сервера, чаще всегосистема устанавливается непосредственно в свободные слоты серверов.

В крупныхкорпоративных сетях предпочтение отдается выделенному специализированномуархивационному серверу, который автоматически архивирует информацию с жесткихдисков серверов и рабочих станций в определенное время, установленноеадминистратором сети, выдавая отчет о проведенном резервном копировании.Наиболее распространенными моделями архивированных серверов являются StorageExpress System корпорации Intel ARCserve for Windows.

Дляборьбы с компьютерными вирусами наиболее часто применяются антивирусныепрограммы, реже - аппаратные средства защиты. Однако, в последнее времянаблюдается тенденция к сочетанию программных и аппаратных методов защиты.Среди аппаратных устройств используются специальные антивирусные платы,вставленные в стандартные слоты расширения компьютера.Корпорация Intelпредложила перспективную технологию защиты от вирусов в сетях, суть которойзаключается в сканировании систем компьютеров еще до их загрузки.

Кромеантивирусных программ, проблема защиты информации в компьютерных сетях решаетсявведением контроля доступа и разграничением полномочий пользователя.Для этого используются встроенные средства сетевых операционных систем,крупнейшим производителем которых является корпорация Novell.В системе,например, NetWare, кроме стандартных средств ограничения доступа сменапаролей, разграничение полномочий , предусмотрена возможность кодированияданных по принципу открытого ключа с формированием электроннойподписи для передаваемых по сети пакетов.

Однако,такая система защиты слабомощна, т.к. уровень доступа и возможность входа всистему определяются паролем, который легко подсмотреть или подобрать.Дляисключения неавторизованного проникновения в компьютер ную сеть используетсякомбинированный подход - пароль идентификация пользователя поперсональному ключу . Ключ представляет собойпластиковую карту магнитная или со встроенной микросхемой - смарт-карта илиразличные устройства для идентификации личности по биометрической информации -по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т.д.Серверы и сетевые рабочие станции, оснащенные устройствами чтения смарт-карт испециальным программным обеспечением, значительно повышают степень защиты отнесанкционированного доступа.

Смарт-картыуправления доступом позволяют реализовать такие функции, как контроль входа,доступ к устройствам ПК, к программам, файлам и командам.Одним из удачныхпримеров создания комплексного решения для контроля доступа в открытыхсистемах, основанного как на программных, так и на аппаратных средствах защиты,стала система Kerberos, в основу которой входят три компонента - базаданных, которая содержит информацию по всем сетевым ресурсам, пользователям,паролям, информационным ключам и т.д. -авторизационный сервер authentication server , задачей которого являетсяобработка запросов пользователей на предоставление того или иного вида сетевыхуслуг.

Получая запрос, он обращается к базе данных и определяет полномочияпользователя на совершение определенной операции.

Пароли пользователей по сетине передаются, тем самым, повышая степень защиты информации - Ticket-grantingserver сервер выдачи разрешений получает от авторизационного сервера пропуск с именем пользователя и его сетевым адресом, временемзапроса, а также уникальный ключ . Пакет, содержащий пропуск , передается также в зашифрованном виде. Сервер выдачиразрешений после получения и расшифровки пропуска проверяет запрос,сравнивает ключи и при тождественности дает добро наиспользование сетевой аппаратуры или программ.

По мерерасширения деятельности предприятий, роста численности абонентов и появленияновых филиалов, возникает необходимость организации доступа удаленныхпользователей групп пользователей к вычислительным или информационнымресурсам к центрам компаний. Для организации удаленного доступа чаще всегоиспользуются кабельные линии и радиоканалы.В связи с этим защита информации,передаваемой по каналам удаленного доступа, требует особого подхода.

В мостах имаршрутизаторах удаленного доступа применяется сегментация пакетов - ихразделение и передача параллельно по двум линиям что делает невозможным перехват данных при незаконном подключении хакера кодной из линий.Используемая при передаче данных процедура сжатия передаваемыхпакетов гарантирует невозможность расшифровки перехваченных данных.Мосты и маршрутизаторы удаленного доступа могут быть запрограммированы такимобразом, что удаленным пользователям не все ресурсы центра компании могут бытьдоступны.

Внастоящее время разработаны специальные устройства контроля доступа квычислительным сетям по коммутируемым линиям.Примером может служить,разработанный фирмой AT amp T модуль Remote Port Securiti Device PRSD ,состоящий из двух блоков размером с обычный модем RPSD Lock замок , устанавливаемыйв центральном офисе, и RPSD Key ключ , подключаемый к модему удаленногопользователя.

RPSD Key и Lock позволяют устанавливать несколько уровней защитыи контроля доступа - шифрование данных, передаваемых по линии припомощи генерируемых цифровых ключей -контроль доступа с учетом дня недели или времени суток. Прямоеотношение к теме безопасности имеет стратегия создания резервных копий ивосстановления баз данных. Обычно эти операции выполняются в нерабочее время впакетном режиме.В большинстве СУБД резервное копирование и восстановлениеданных разрешаются только пользователям с широкими полномочиями права доступана уровне системного администратора, либо владельца БД , указывать стольответственные пароли непосредственно в файлах пакетной обработки нежелательно.

Чтобы не хранить пароль в явном виде, рекомендуется написать простенькуюприкладную программу, которая сама бы вызывала утилитыкопирования восстановления. В таком случае системный пароль должен быть зашит в код указанного приложения.Недостатком данного методаявляется то, что всякий раз при смене пароля эту программу следуетперекомпилировать.

Применительнок средствам защиты от НСД определены семь классов защищенности 1-7 средстввычислительной техники СВТ и девять классов 1А,1Б,1В,1Г,1Д,2А,2Б,3А,3Б автоматизированных систем АС . Для СВТ самым низким является седьмой класс, адля АС - 3Б. Рассмотримболее подробно приведенные сертифицированные системы защиты от НСД. Система КОБРА соответствует требованиям 4-ого класса защищенности дляСВТ , реализует идентификацию и разграничение полномочий пользователей икриптографическое закрытие информации, фиксирует искажения эталонного состояниярабочей среды ПК вызванные вирусами, ошибками пользователей, техническимисбоями и т.д. и автоматически восстанавливает основные компоненты операционнойсреды терминала.

Подсистемаразграничения полномочий защищает информацию на уровне логическихдисков.Пользователь получает доступ к определенным дискам А,В,С Z. Всеабоненты разделены на 4 категории - суперпользователь доступны все действия в системе - администратор доступны все действия всистеме, за исключением изменения имени, статуса и полномочийсуперпользователя, ввода или исключения его из списка пользователей - программисты может изменять личный пароль - коллега имеет право на доступ к ресурсам,установленным ему суперпользователем . Помимосанкционирования и разграничения доступа к логическим дискам, администраторустанавливает каждому пользователю полномочия доступа к последовательному ипараллельному портам. Если последовательный порт закрыт, то невозможна передачаинформации с одного компьютера на другой.

При отсутствии доступа кпараллельному порту, невозможен вывод на принтер.