рефераты
рефераты рефераты
 логин:   
 пароль:  Регистрация 

МЕНЮ
   Архитектура
География
Геодезия
Геология
Геополитика
Государство и право
Гражданское право и процесс
Делопроизводство
Детали машин
Дистанционное образование
Другое
Жилищное право
Журналистика
Компьютерные сети
Конституционное право зарубежныйх стран
Конституционное право России
Краткое содержание произведений
Криминалистика и криминология
Культурология
Литература языковедение
Маркетинг реклама и торговля
Математика
Медицина
Международные отношения и мировая экономика
Менеджмент и трудовые отношения
Музыка
Налоги
Начертательная геометрия
Оккультизм и уфология
Педагогика
Полиграфия
Политология
Право
Предпринимательство
Программирование и комп-ры
Психология - рефераты
Религия - рефераты
Социология - рефераты
Физика - рефераты
Философия - рефераты
Финансы деньги и налоги
Химия
Экология и охрана природы
Экономика и экономическая теория
Экономико-математическое моделирование
Этика и эстетика
Эргономика
Юриспруденция
Языковедение
Литература
Литература зарубежная
Литература русская
Юридпсихология
Историческая личность
Иностранные языки
Эргономика
Языковедение
Реклама
Цифровые устройства
История
Компьютерные науки
Управленческие науки
Психология педагогика
Промышленность производство
Краеведение и этнография
Религия и мифология
Сексология
Информатика программирование
Биология
Физкультура и спорт
Английский язык
Математика
Безопасность жизнедеятельности
Банковское дело
Биржевое дело
Бухгалтерский учет и аудит
Валютные отношения
Ветеринария
Делопроизводство
Кредитование



Главная > Компьютерные сети > Лекция: Информационные технологии в экономике. Информационная безопасность в сетях ЭВМ

Компьютерные сети : Лекция: Информационные технологии в экономике. Информационная безопасность в сетях ЭВМ

Лекция: Информационные технологии в экономике. Информационная безопасность в сетях ЭВМ

5. Информационная безопасность в сетях ЭВМ

Защита данных в компьютерных сетях становится одной из самых открытых
проблем в современных информационно-вычислительных системах. На
сегодняшний день сформулировано три базовых принципа информационной
безопасности, задачей которой является обеспечение:

- целостности данных - защита от сбоев, ведущих к потере информации или
ее уничтожения;

- конфиденциальности информации;

- доступности информации для авторизованных пользователей.

Рассматривая проблемы, связанные с защитой данных в сети, возникает
вопрос о классификации сбоев и несанкционированности доступа, что ведет
к потере или нежелательному изменению данных. Это могут быть сбои
оборудования (кабельной системы, дисковых систем, серверов, рабочих
станций и т.д.), потери информации (из-за инфицирования компьютерными
вирусами, неправильного хранения архивных данных, нарушений прав доступа
к данным), некорректная работа пользователей и обслуживающего персонала.
Перечисленные нарушения работы в сети вызвали необходимость создания
различных видов защиты информации. Условно их можно разделить на три
класса:

- средства физической защиты;

- программные средства (антивирусные программы, системы разграничения
полномочий, программные средства контроля доступа);

- административные меры защиты (доступ в помещения, разработка стратегий
безопасности фирмы и т.д.).

Одним из средств физической защиты являются системы архивирования и
дублирования информации. В локальных сетях, где установлены один-два
сервера, чаще всего система устанавливается непосредственно в свободные
слоты серверов. В крупных корпоративных сетях предпочтение отдается
выделенному специализированному архивационному серверу, который
автоматически архивирует информацию с жестких дисков серверов и рабочих
станций в определенное время, установленное администратором сети,
выдавая отчет о проведенном резервном копировании. Наиболее
распространенными моделями архивированных серверов являются Storage
Express System корпорации Intel ARCserve for Windows.

Для борьбы с компьютерными вирусами наиболее часто применяются
антивирусные программы, реже - аппаратные средства защиты. Однако, в
последнее время наблюдается тенденция к сочетанию программных и
аппаратных методов защиты. Среди аппаратных устройств используются
специальные антивирусные платы, вставленные в стандартные слоты
расширения компьютера. Корпорация Intel предложила перспективную
технологию защиты от вирусов в сетях, суть которой заключается в
сканировании систем компьютеров еще до их загрузки. Кроме антивирусных
программ, проблема защиты информации в компьютерных сетях решается
введением контроля доступа и разграничением полномочий пользователя. Для
этого используются встроенные средства сетевых операционных систем,
крупнейшим производителем которых является корпорация Novell. В системе,
например, NetWare, кроме стандартных средств ограничения доступа (смена
паролей, разграничение полномочий), предусмотрена возможность
кодирования данных по принципу "открытого ключа" с формированием
электронной подписи для передаваемых по сети пакетов.

Однако, такая система защиты слабомощна, т.к. уровень доступа и
возможность входа в систему определяются паролем, который легко
подсмотреть или подобрать. Для исключения неавторизованного
проникновения в компьютерную сеть используется комбинированный подход -
пароль + идентификация пользователя по персональному "ключу". "Ключ"
представляет собой пластиковую карту (магнитная или со встроенной
микросхемой - смарт-карта) или различные устройства для идентификации
личности по биометрической информации - по радужной оболочке глаза,
отпечаткам пальцев, размерам кисти руки и т.д. Серверы и сетевые рабочие
станции, оснащенные устройствами чтения смарт-карт и специальным
программным обеспечением, значительно повышают степень защиты от
несанкционированного доступа.

Смарт-карты управления доступом позволяют реализовать такие функции, как
контроль входа, доступ к устройствам ПК, к программам, файлам и
командам. Одним из удачных примеров создания комплексного решения для
контроля доступа в открытых системах, основанного как на программных,
так и на аппаратных средствах защиты, стала система Kerberos, в основу
которой входят три компонента:

- база данных, которая содержит информацию по всем сетевым ресурсам,
пользователям, паролям, информационным ключам и т.д.;

- авторизационный сервер (authentication server), задачей которого
является обработка запросов пользователей на предоставление того или
иного вида сетевых услуг. Получая запрос, он обращается к базе данных и
определяет полномочия пользователя на совершение определенной операции.
Пароли пользователей по сети не передаются, тем самым, повышая степень
защиты информации;

- Ticket-granting server (сервер выдачи разрешений) получает от
авторизационного сервера "пропуск" с именем пользователя и его сетевым
адресом, временем запроса, а также уникальный "ключ". Пакет, содержащий
"пропуск", передается также в зашифрованном виде. Сервер выдачи
разрешений после получения и расшифровки "пропуска" проверяет запрос,
сравнивает "ключи" и при тождественности дает "добро" на использование
сетевой аппаратуры или программ.

По мере расширения деятельности предприятий, роста численности абонентов
и появления новых филиалов, возникает необходимость организации доступа
удаленных пользователей (групп пользователей) к вычислительным или
информационным ресурсам к центрам компаний. Для организации удаленного
доступа чаще всего используются кабельные линии и радиоканалы. В связи с
этим защита информации, передаваемой по каналам удаленного доступа,
требует особого подхода. В мостах и маршрутизаторах удаленного доступа
применяется сегментация пакетов - их разделение и передача параллельно
по двум линиям, - что делает невозможным "перехват" данных при
незаконном подключении "хакера" к одной из линий. Используемая при
передаче данных процедура сжатия передаваемых пакетов гарантирует
невозможность расшифровки "перехваченных" данных. Мосты и маршрутизаторы
удаленного доступа могут быть запрограммированы таким образом, что
удаленным пользователям не все ресурсы центра компании могут быть
доступны.

В настоящее время разработаны специальные устройства контроля доступа к
вычислительным сетям по коммутируемым линиям. Примером может служить,
разработанный фирмой AT&T модуль Remote Port Securiti Device (PRSD),
состоящий из двух блоков размером с обычный модем: RPSD Lock (замок),
устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к
модему удаленного пользователя. RPSD Key и Lock позволяют устанавливать
несколько уровней защиты и контроля доступа:

- шифрование данных, передаваемых по линии при помощи генерируемых
цифровых ключей;

- контроль доступа с учетом дня недели или времени суток.

Прямое отношение к теме безопасности имеет стратегия создания резервных
копий и восстановления баз данных. Обычно эти операции выполняются в
нерабочее время в пакетном режиме. В большинстве СУБД резервное
копирование и восстановление данных разрешаются только пользователям с
широкими полномочиями (права доступа на уровне системного
администратора, либо владельца БД), указывать столь ответственные пароли
непосредственно в файлах пакетной обработки нежелательно. Чтобы не
хранить пароль в явном виде, рекомендуется написать простенькую
прикладную программу, которая сама бы вызывала утилиты
копирования/восстановления. В таком случае системный пароль должен быть
"зашит" в код указанного приложения. Недостатком данного метода является
то, что всякий раз при смене пароля эту программу следует
перекомпилировать.

Применительно к средствам защиты от НСД определены семь классов
защищенности (1-7) средств вычислительной техники (СВТ) и девять классов
(1А,1Б,1В,1Г,1Д,2А,2Б,3А,3Б) автоматизированных систем (АС). Для СВТ
самым низким является седьмой класс, а для АС - 3Б.

Рассмотрим более подробно приведенные сертифицированные системы защиты
от НСД.

Система "КОБРА" соответствует требованиям 4-ого класса защищенности (для
СВТ), реализует идентификацию и разграничение полномочий пользователей и
криптографическое закрытие информации, фиксирует искажения эталонного
состояния рабочей среды ПК (вызванные вирусами, ошибками пользователей,
техническими сбоями и т.д.) и автоматически восстанавливает основные
компоненты операционной среды терминала.

Подсистема разграничения полномочий защищает информацию на уровне
логических дисков. Пользователь получает доступ к определенным дискам
А,В,С,...,Z. Все абоненты разделены на 4 категории:

- суперпользователь (доступны все действия в системе);

- администратор (доступны все действия в системе, за исключением
изменения имени, статуса и полномочий суперпользователя, ввода или
исключения его из списка пользователей);

- программисты (может изменять личный пароль);

- коллега (имеет право на доступ к ресурсам, установленным ему
суперпользователем).

Помимо санкционирования и разграничения доступа к логическим дискам,
администратор устанавливает каждому пользователю полномочия доступа к
последовательному и параллельному портам. Если последовательный порт
закрыт, то невозможна передача информации с одного компьютера на другой.
При отсутствии доступа к параллельному порту, невозможен вывод на
принтер.




Информационная Библиотека
для Вас!



 

 Поиск по порталу:
 

© ИНФОРМАЦИОННАЯ БИБЛИОТЕКА 2010 г.