Сеть ЭВМ

Информационная безопасность в сетях ЭВМ

Защита данных в компьютерных сетях становится одной из самых открытых проблем в

современных информационно-вычислительных системах. Насегодняшний день

сформулировано три базовых принципа информационной безопасности задачей которой

является обеспечение:

- целостности данных - защита от сбоев ведущих к потере информации или ее

уничтожения;

- конфиденциальности информации;

- доступности информации для авторизованных пользователей.

Рассматривая проблемы связанные с защитой данных в сети возникает вопрос о

классификации сбоев и несанкционированности доступа что ведет к потере или

нежелательному изменению данных. Это могут быть сбои оборудования (кабельной

системы дисковых систем серверов рабочих станций ит.д.) потери информации

(из-за инфицирования компьютерными вирусами неправильного хранения архивных

данных нарушений прав доступа к данным) некорректная работа пользователей и

обслуживающего персонала. Перечисленные нарушения работы в сети вызвали

необходимость создания различных видов защитыинформации. Условно их можно

разделить на три класса:

- средства физической защиты;

- программные средства (антивирусные программы системы разграничения

полномочий программные средства контроля доступа);

-административные меры защиты (доступ в помещения разработка стратегий

безопасности фирмы и т.д.).

Одним из средств физической защиты являются системы архивирования и дублирования

информации. В локальных сетях где установлены один-двасервера чаще всего

система устанавливается непосредственно в свободные слоты серверов. В крупных

корпоративных сетях предпочтение отдается выделенномуспециализированному

архивационному серверу который автоматически архивирует информацию с жестких

дисков серверов и рабочих станций в определенное время установленное

администратором сети выдавая отчет о проведенном резервном копировании.

Наиболее распространенными моделями архивированных серверовявляются Storage

Express System корпорации Intel ARCserve for Windows.

Для борьбы с компьютерными вирусами наиболее часто применяются антивирусные

программы реже - аппаратные средства защиты. Однако в последнее время

наблюдается тенденция к сочетанию программных и аппаратных методов защиты. Среди

аппаратных устройств используются специальныеантивирусные платы вставленные в

стандартные слоты расширения компьютера. Корпорация Intel предложила

перспективную технологию защиты от вирусов в сетях суть которой заключается в

сканировании систем компьютеров еще до их загрузки. Кроме антивирусных программ

проблема защиты информации вкомпьютерных сетях решается введением контроля

доступа и разграничением полномочийпользователя. Для этого используются

встроенные средства сетевых операционных систем крупнейшим производителем

которых является корпорацияNovell. В системе например NetWare кроме

стандартных средств ограничения доступа (смена паролей разграничение

полномочий) предусмотрена возможностькодирования данных по принципу "открытого

ключа" с формированием электронной подписи для передаваемых по сети пакетов.

Однако такая система защиты слабомощна т.к. уровень доступа и возможность

входа в систему определяются паролем который легкоподсмотреть или подобрать.

Для исключения неавторизованного проникновения в компьютер­ную сеть используется

комбинированный подход - пароль +идентификация пользователя по персональному

"ключу". "Ключ" представляет собой пластиковую карту (магнитная или совстроенной

микросхемой - смарт-карта) или различные устройства для идентификации личности

по биометрической информации - по радужной оболочкеглаза отпечаткам пальцев

размерам кисти руки и т.д. Серверы и сетевые рабочие станции оснащенные

устройствамичтения смарт-карт и специальным программнымобеспечением значительно

повышают степень защиты от несанкционированного доступа.

Смарт-карты управления доступом позволяют реализовать такие функции как

контроль входа доступ к устройствам ПК к программам файлам и командам. Одним

из удачных примеров создания комплексного решения для контроля доступа в

открытых системах основанного как на программных так и нааппаратных средствах

защиты стала система Kerberos в основу которой входят три компонента:

- база данных которая содержит информацию по всем сетевым ресурсам

пользователям паролям информационным ключам и т.д.;

- авторизационный сервер (authentication server) задачей которого является

обработка запросов пользователей на предоставлениетого или иного вида сетевых

услуг. Получая запрос он обращается к базе данных и определяет полномочия

пользователя на совершение определенной операции.Пароли пользователей по сети не

передаются тем самым повышая степень защиты информации;

-Ticket-granting server (сервер выдачи разрешений) получает от авторизационного

сервера "пропуск" с именемпользователя и его сетевым адресом временем запроса

а также уникальный "ключ". Пакет содержащий "пропуск" передается также

взашифрованном виде. Сервер выдачи разрешений после получения и расшифровки

"пропуска" проверяет запрос сравнивает "ключи" и притождественности дает

"добро" на использование сетевой аппаратуры или программ.

По мере расширения деятельности предприятий роста численности абонентов и

появления новых филиалов возникает необходимостьорганизации доступа удаленных

пользователей (групп пользователей) к вычислительным или информационным ресурсам

к центрам компаний. Для организацииудаленного доступа чаще всего используются

кабельные линии и радиоканалы. В связи с этим защита информации передаваемой по

каналам удаленного доступа требует особого подхода. В мостах и маршрутизаторах

удаленного доступа применяется сегментация пакетов - их разделение и передача

параллельно по двумлиниям - что делает невозможным "перехват" данных при

незаконном подключении "хакера" к одной из линий. Используемая при

передачеданных процедура сжатия передаваемых пакетов гарантирует невозможность

расшифровки "перехваченных" данных. Мосты и маршрутизаторы удаленногодоступа

могут быть запрограммированы таким образом что удаленным пользователям не все

ресурсы центра компании могут быть доступны.

В настоящее время разработаны специальные устройства контроля доступа к

вычислительным сетям по коммутируемым линиям. Примером можетслужить

разработанный фирмой AT&T модуль Remote Port Securiti Device (PRSD) состоящий

из двух блоков размером с обычный модем: RPSD Lock (замок) устанавливаемый в

центральном офисе и RPSD Key (ключ) подключаемый к модему удаленного

пользователя. RPSD Key и Lock позволяют устанавливать несколькоуровней защиты и

контроля доступа:

- шифрование данных передаваемых по линии при помощи генерируемых цифровых

ключей;

- контроль доступа с учетом дня недели или времени суток.

Прямое отношение к теме безопасности имеет стратегия создания резервных копий и

восстановления баз данных. Обычно эти операциивыполняются в нерабочее время в

пакетном режиме. В большинстве СУБД резервное копирование и восстановление

данных разрешаются только пользователям с широкимиполномочиями (права доступа на

уровне системного администратора либо владельца БД) указывать столь

ответственные пароли непосредственно в файлах пакетнойобработки нежелательно.

Чтобы не хранить пароль в явном виде рекомендуется написать простенькую

прикладную программу которая сама бы вызывала

утилитыкопирования/восстановления. В таком случае системный пароль должен быть

"зашит" в код указанного приложения. Недостатком данного методаявляется то что

всякий раз присмене пароля эту программу следует перекомпилировать.

Применительно к средствам защиты от НСД определены семь классов защищенности

(1-7) средств вычислительной техники (СВТ) и девятьклассов

(1А 1Б 1В 1Г 1Д 2А 2Б 3А 3Б) автоматизированных систем (АС). Для СВТ самым

низким является седьмой класс а для АС - 3Б.

Рассмотрим более подробно приведенные сертифицированные системы защиты от НСД.

Система "КОБРА" соответствует требованиям 4-ого класса защищенности (для СВТ)

реализует идентификацию и разграничениеполномочий пользователей и

криптографическое закрытие информации фиксирует искажения эталонного состояния

рабочей среды ПК (вызванные вирусами ошибкамипользователей техническими сбоями

и т.д.) и автоматически восстанавливает основные компоненты операционной среды

терминала.

Подсистема разграничения полномочий защищает информацию на уровне логических

дисков. Пользователь получает доступ копределенным дискам А В С ... Z. Все

абоненты разделены на 4 категории:

- суперпользователь (доступны все действия в системе);

-администратор (доступны все действия в системе за исключением изменения

имени статуса иполномочий суперпользователя ввода или исключения его из списка

пользователей);

- программисты (может изменять личный пароль);

-коллега (имеет право на доступ к ресурсам установленным ему

суперпользователем).

Помимо санкционирования и разграничения доступа к логическим дискам

администратор устанавливает каждому пользователю полномочиядоступа к

последовательному и параллельному портам. Если последовательный порт закрыт то

невозможна передача информации с одного компьютера на другой. Приотсутствии

доступа к параллельному порту невозможен вывод на принтер.