Меню Рубрики

Как провести анализ средств защиты информации

Информация является одним из наиболее ценных ресурсов любой компании, поэтому обеспечение защиты информации является одной из важнейших и приоритетных задач.

Безопасность информационной системы — это свойство, заключающее в способности системы обеспечить ее нормальное функционирование, то есть обеспечить целостность и секретность информации. Для обеспечения целостности и конфиденциальности информации необходимо обеспечить защиту информации от случайного уничтожения или несанкционированного доступа к ней.

Под целостностью понимается невозможность несанкционированного или случайного уничтожения, а также модификации информации. Под конфиденциальностью информации — невозможность утечки и несанкционированного завладения хранящейся, передаваемой или принимаемой информации.

Известны следующие источники угроз безопасности информационных систем:

— антропогенные источники, вызванные случайными или преднамеренными действиями субъектов;

— техногенные источники, приводящие к отказам и сбоям технических и программных средств из-за устаревших программных и аппаратных средств или ошибок в ПО;

— стихийные источники, вызванные природными катаклизмами или форс-мажорными обстоятельствами.

В свою очередь антропогенные источники угроз делятся:

на внутренние (воздействия со стороны сотрудников компании) и внешние (несанкционированное вмешательство посторонних лиц из внешних сетей общего назначения) источники;

на непреднамеренные (случайные) и преднамеренные действия субъектов.

Существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа к ней в системах и сетях:

— модификация информации (исходное сообщение или документ изменяется или подменяется другим и отсылается адресату);

подмена авторства информации (кто-то может послать письмо или документ от вашего имени);

— использование недостатков операционных систем и прикладных программных средств;

— копирование носителей информации и файлов с преодолением мер защиты;

незаконное подключение к аппаратуре и линиям связи;

— маскировка под зарегистрированного пользователя и присвоение его полномочий;

— введение новых пользователей;

— внедрение компьютерных вирусов и так далее.

Для обеспечения безопасности информационных систем применяют системы защиты информации, которые представляют собой комплекс организационно — технологических мер, программно — технических средств и правовых норм, направленных на противодействие источникам угроз безопасности информации.

При комплексном подходе методы противодействия угрозам интегрируются, создавая архитектуру безопасности систем. Необходимо отметить, что любая системы защиты информации не является полностью безопасной. Всегда приходиться выбирать между уровнем защиты и эффективностью работы информационных систем.

К средствам защиты информации ИС от действий субъектов относятся:

— средства защита информации от несанкционированного доступа;

— защита информации в компьютерных сетях;

— криптографическая защита информации;

— электронная цифровая подпись;

— защита информации от компьютерных вирусов.

Средства защита информации от несанкционированного доступа

Получение доступа к ресурсам информационной системы предусматривает выполнение трех процедур: идентификация, аутентификация и авторизация.

Идентификация — присвоение пользователю (объекту или субъекту ресурсов) уникальных имен и кодов (идентификаторов).

Аутентификация — установление подлинности пользователя, представившего идентификатор или проверка того, что лицо или устройство, сообщившее идентификатор является действительно тем, за кого оно себя выдает. Наиболее распространенным способом аутентификации является присвоение пользователю пароля и хранение его в компьютере.

Авторизация — проверка полномочий или проверка права пользователя на доступ к конкретным ресурсам и выполнение определенных операций над ними. Авторизация проводится с целью разграничения прав доступа к сетевым и компьютерным ресурсам.

Защита информации в компьютерных сетях

Локальные сети предприятий очень часто подключаются к сети Интернет. Для защиты локальных сетей компаний, как правило, применяются межсетевые экраны — брандмауэры (firewalls). Экран (firewall) — это средство разграничения доступа, которое позволяет разделить сеть на две части (граница проходит между локальной сетью и сетью Интернет) и сформировать набор правил, определяющих условия прохождения пакетов из одной части в другую. Экраны могут быть реализованы как аппаратными средствами, так и программными.

Криптографическая защита информации

Для обеспечения секретности информации применяется ее шифрование или криптография. Для шифрования используется алгоритм или устройство, которое реализует определенный алгоритм. Управление шифрованием осуществляется с помощью изменяющегося кода ключа.

Извлечь зашифрованную информацию можно только с помощью ключа. Криптография — это очень эффективный метод, который повышает безопасность передачи данных в компьютерных сетях и при обмене информацией между удаленными компьютерами.

Электронная цифровая подпись

Для исключения возможности модификации исходного сообщения или подмены этого сообщения другим необходимо передавать сообщение вместе с электронной подписью. Электронная цифровая подпись — это последовательность символов, полученная в результате криптографического преобразования исходного сообщения с использованием закрытого ключа и позволяющая определять целостность сообщения и принадлежность его автору при помощи открытого ключа.

Другими словами сообщение, зашифрованное с помощью закрытого ключа, называется электронной цифровой подписью. Отправитель передает незашифрованное сообщение в исходном виде вместе с цифровой подписью. Получатель с помощью открытого ключа расшифровывает набор символов сообщения из цифровой подписи и сравнивает их с набором символов незашифрованного сообщения.

При полном совпадении символов можно утверждать, что полученное сообщение не модифицировано и принадлежит его автору.

Защита информации от компьютерных вирусов

Компьютерный вирус – это небольшая вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных и распространяться по каналам связи.

В зависимости от среды обитания основными типами компьютерных вирусов являются:

— Программные (поражают файлы с расширением .СОМ и .ЕХЕ) вирусы

Источниками вирусного заражения могут быть съемные носители и системы телекоммуникаций. К наиболее эффективным и популярным антивирусным программам относятся: Антивирус Касперского 7.0, AVAST, Norton AntiVirus и многие другие.

5 Разработать фрагменты по эксплуатации, инсталляции и настройке информационной системы (руководство программисту/системному администратору, руководство пользователя)

1. Собирать данные для анализа использования и функционирования информационной системы, участвовать в составлении отчетной документации, принимать участие в разработке проектной документации на модификацию информационной системы.

2. Взаимодействовать со специалистами смежного профиля при разработке методов, средств и технологий применения объектов профессиональной деятельности.

3. Производить модификацию отдельных модулей информационной системы в соответствии с рабочим заданием, документировать произведенные изменения.

4. Участвовать в экспериментальном тестировании информационной системы на этапе опытной эксплуатации, фиксировать выявленные ошибки кодирования в разрабатываемых модулях информационной системы.

5. Разрабатывать фрагменты документации по эксплуатации информационной системы.

6. Участвовать в оценке качества и экономической эффективности информационной системы.

7. Производить инсталляцию и настройку информационной системы в рамках своей компетенции, документировать результаты работ.

8. Консультировать пользователей информационной системы и разрабатывать фрагменты методики обученияпользователей информационной системы.

9. Выполнять регламенты по обновлению, техническому сопровождению и восстановлению данных информационной системы, работать с технической документацией.

10. Обеспечивать организацию доступа пользователей информационной системы в рамках своей компетенции.

Примерная программа профессионального модуля может быть использована в дополнительном профессиональном образовании и профессиональной подготовке по профессии рабочих 16199 Операторэлектронно-вычислительных и вычислительных машин, профессиональной подготовке работников в областях, связанных с эксплуатацией и разработкой информационных систем, при наличии среднего (полного) образования. Опыт работы не требуется.

Цели и задачи профессионального модуля – требования к результатам освоения модуля

С целью овладения указанным видом профессиональной деятельности и соответствующими профессиональными компетенциями обучающийся в ходе освоения профессионального модуля должен:

— инсталляции, настройки и сопровождения одной из информационных систем;

— выполнения регламентов по обновлению, техническому сопровождению и восстановлению данных информационной системы;

— сохранения и восстановления базы данных информационной системы;

— организации доступа пользователей к информационной системе в рамках компетенции конкретного пользователя;

— обеспечения сбора данных для анализа использования и функционирования информационной системы и участия в разработке проектной и отчетной документации;

— определения состава оборудования и программных средств разработки информационной системы;

использования инструментальных средств программирования информационной системы;

— участия в экспериментальном тестировании информационной системы на этапе опытной эксплуатации и нахождения ошибок кодирования в разрабатываемых модулях информационной системы;

— разработки фрагментов документации по эксплуатации информационной системы;

— участия в оценке качества и экономической эффективности информационной системы;

— модификации отдельных модулей информационный системы;

— взаимодействия со специалистами смежного профиля при разработке методов, средств и технологий применения объектов профессиональной деятельности.

— осуществлять сопровождение информационной системы, настройку под конкретного пользователя, согласно технической документации;

— поддерживать документацию в актуальном состоянии;

— принимать решение о расширении функциональности информационной системы, о прекращении эксплуатации информационной системы или ее реинжиниринге;

— идентифицировать технические проблемы, возникающие в процессе эксплуатации системы;

— производить документирование на этапе сопровождения;

— осуществлять сохранение и восстановление базы данных информационной системы;

— составлять планы резервного копирования, определять интервал резервного копирования;

— организовывать разноуровневый доступ пользователей информационной системы в рамках своей компетенции

— манипулировать данными с использованием языка запросов баз данных, определять ограничения целостности данных;

— выделять жизненные циклы проектирования компьютерных систем;

— использовать методы и критерии оценивания предметной области и методы определения стратегии развития бизнес-процессов организации;

— строить архитектурную схему организации;

— проводить анализ предметной области;

— осуществлять выбор модели построения информационной системы и программных средств;

— оформлять программную и техническую документацию, с использованием стандартов оформления программной документации;

— применять требования нормативных документов к основным видам продукции (услуг) и процессов;

— применять документацию систем качества;

— применять основные правила и документы системы сертификации Российской Федерации;

— основные задачи сопровождения информационной системы;

— регламенты по обновлению и техническому сопровождению обслуживаемой информационной системы;

— характеристики и атрибуты качества;

— методы обеспечения и контроля качества;

— терминологию и методы резервного копирования;

— отказы системы; восстановление информации в информационной системе;

— принципы организации разно-уровневого доступа в информационных системах, политику безопасности в современных информационных системах;

— цели автоматизации организации;

— задачи и функции информационных систем;

— типы организационных структур;

— основные модели построения информационных систем, их структуру, особенности и области применения;

— особенности программных средств используемых в разработке информационных систем;

— методы и средства проектирования информационных систем;

— основные понятия системного анализа;

— национальную и международную систему стандартизации и сертификации и систему обеспечения качества продукции, методы контроля качества.

Выполняя эту курсовую работу, я развил навыки самостоятельного анализа поставленной задачи, выработал пути её решения на основе существующих программных продуктов, расширил знания, полученные мною в процессе теоретического обучения; выработал умение критически анализировать задачу и выбирать наиболее целесообразный метод ее решения.

В процессе прохождения производственной практики на предприятии ПАО «Оренбургнефть» мною были получены практические навыки:

технологического процесса сбора и обработки информации, применяемые на предприятии ПАО «Оренбургнефть», также сохранения и защиты полученной информации.

Также я ознакомился с деятельностью предприятия ПАО «Оренбургнефть»

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Олимпиады по информатике. Задачи и решения: методические рекомендации для учителей и учащихся школ. — Красноярск, 1991.

2. Основы информатики и вычислительной техники. Ч. 1,2/ Под ред. А. П. Ершова и В. М. Монахова. — М.: Просвещение, 1988.

3. Основы информатики и вычислительной техники в базовой школе / Л. А. Залогова, С. В. Русаков , И. Г. Семакин и др. — Пермь, 1995.

4. Паппас К., Мюррей У. Программирование на С и C++. — Киев: «Ирина»; BHV, 2000.

5. Пильщиков В.Н. Сборник упражнений по языку Паскаль.— М.: Наука, 1989.

6. Подбельский В.В., Фомин С.С. Программирование на языке Си. — М.: Финансы и статистика, 1999.

7. Подбельский В.В. Язык Си++. — М.: Финансы и статистика, 1996.

8. Попов Б.В. TURBO PASCAL для школьников. Версия 7.0. — М.: Финансы и статистика, 1996.

9. Романов Е.Л. http://ermak.cs.nstu.ru/cprog — электронный учебник по дисциплине «Информатика».

10. Сборник задач по программированию / Авт.-сост. А П. Шестаков. — Пермь: Перм. ун-т, 1999.

11. Сычев Н. А. Задания для вступительных экзаменов по информатике в НГУ // Информатика и образование. — 1995. — №2;

12. Хонсбергер Р. Математические изюминки. — М.: Наука, 1992.

13. Шень А. Программирование: теоремы и задачи. — М.: МЦНМО, 1995.

Дата добавления: 2017-02-28 ; просмотров: 1163 | Нарушение авторских прав

источник

На предприятии ТОО «IT-Line» сервер является сервером терминалов, файл-сервером, а так же прокси-сервером.

В качестве антивирусной защиты на предприятии используется Dr. Web Enterprise Suite. Так же на сервере установлен TrustAccess 1.2 (firewall).

TrustAccess — распределенный межсетевой экран высокого класса защиты c централизованным управлением, предназначенный для защиты серверов и рабочих станций локальной сети от несанкционированного доступа, а также разграничения сетевого доступа к информационным системам предприятия.

Рассмотрим более подробно основные достоинства данных приложений:

TrustAccess от компании «Код безопасности» представляет собой сетевой экран, позволяющий защищать компьютеры (рабочие машины или серверы) от несанкционированного доступа. Сферой применения TrustAccess является защита локальной сети предприятий и обеспечение разделяемого доступа к папкам с документами.

Продукт может использоваться для защиты конфиденциальных секретных документов, а также документов составляющих государственную тайну. TrustAccess может использоваться как в сетях с доменной организацией, так и в одноранговых сетях, при этом объектом защиты могут быть как физические, так и виртуальные машины [31].

TrustAccess построен на основе архитектуры «клиент-сервер». Настройка аутентификации, правил фильтрации и разграничение прав доступа производится администратором на сервере управления.

Фильтрация осуществляется на защищаемых компьютерах. Все действия пользователей в процессе работы с программой сводятся к прохождению процедуры аутентификации на серверной части TrustAccess.

TrustAccess состоит из трех компонентов:

1. сервер управления — обеспечивает централизованное управление агентами TrustAccess на защищаемых компьютерах, а также обработку и хранение данных. Основные функции — аутентификация абонентов TrustAccess при помощи протокола Kerberos, регистрация событий безопасности и хранение конфигураций. Рекомендуется устанавливать на выделенный сервер или на один из компьютеров в сети;

2. агент межсетевого экрана (далее — агент) — предназначен для аутентификации пользователя, установления доверенного канала передачи данных и обеспечения функции разграничения доступа к защищаемым компьютерам;

3. автоматизированное рабочее место (АРМ) администратора — обеспечивает централизованное управление абонентами и механизмами защиты. Устанавливается на рабочее место администратора безопасности.

Для прохождения процедуры аутентификации в TrustAccess пользователи могут использовать не только пароль, но и дополнительные аппаратные средства. К ним относятся персональные идентификаторы eToken (производства фирмы Aladdin Knowledge Systems) или iButton (производства фирмы Dallas Semiconductor).

Для обеспечения защиты компьютеров используются наборы правил [32]:

1. правила доступа. Применяются для ограничения доступа к сетевым сервисам защищаемого компьютера. Для настройки правил используются данные о параметрах соединения с компьютером (учетные записи, наименования протоколов, портов TCP/IP и т.д.);

2. прикладные правила. Используются для фильтрации доступа к общим папкам защищаемого компьютера и сетевых соединений по протоколу Named Pipes;

3. системные правила. Используются для ограничения доступа к защищаемым компьютерам по сетевым протоколам, портам, удаленным адресам

Также TrustAccess позволяет блокировать различные сетевые протоколы (IPv4, IPv6, Novell IPX, LLC, IPX) и настраивать защиту от сетевых сбоев. Осуществляется защита от различных сетевых атак: «Man in the Middle», подмены защищаемого объекта, Replay-атак, подмены IP-адреса перехвата сетевых пакетов, прослушивания сети, подмены сетевых пакетов, отказа в обслуживании.

Читайте также:  Какие анализы нужно принести гастроэнтерологу

Рисунок 11. Схема применения различных правил

Важной особенностью TrustAccess является возможность его совместного использования на одном компьютере с другими программами для обеспечения безопасности, в том числе и с сетевыми экранами других производителей.

Защита персональных данных. TrustAccess позволяет получать доступ к защищаемым серверам, базам данных или общим ресурсам только тем пользователям, которые работают с персональными данными. Для всех остальных пользователей в локальной сети доступ к указанным ресурсам и данным будет недоступен.

Изоляция информационных систем персональных данных. Изоляция или разделение сети на взаимодействующие участки, позволяет снизить общую стоимость защиты

Разграничения доступа пользователей к серверам. TrustAccess позволяет разграничить сетевой доступ к нескольким серверам на основе групп пользователей. Например, в зависимости от того, в каком отделе работает сотрудник, он получает доступ к тому или иному серверу базы данных.

Рисунок 12. Пример организации доступа к серверам разным группам пользователей

Также можно организовать доступ к файл-серверу на уровне общих папок. Это можно делать на основе уровня допуска или должностей. Например, доступ к общей папке на доступном всем сервере может предоставляться только бухгалтерам.

Решение Dr. Web Enterprise Suite имеет клиент-серверную архитектуру. Установка клиентов производится на защищаемые рабочие станции и серверы. Антивирусный сервер обеспечивает централизованное администрирование антивирусной и антиспам-защиты сети предприятия, включая развертывание, обновление вирусных баз и программных модулей компонентов, мониторинг состояния сети, извещения о вирусных событиях, сбор статистики. Установка антивирусного сервера и развёртывание антивирусной сети на базе Dr. Web ES отличается простотой и занимает минимум времени.

Для развёртывания антивирусной сети могут применяться преимущества технологии Active Directory, использующейся в Windows-серверах. Для связи антивирусного сервера с антивирусными агентами может использоваться как протокол TCP/IP, так и IPX/SPX/NetBIOS, что позволяет развернуть антивирусную сеть, не меняя исторически сложившуюся инфраструктуру сети. Антивирусная сеть, основанная на решении Dr. Web Enterprise Suite обладает высокой прозрачностью работы. Все компоненты антивирусной сети могут вести файлы отчётов, подробность которых можно настроить [33].

Любое действие над файлами, производимыми компонентами антивирусной сети, отображаются в статистике. Существует система оповещения администратора о проблемах, возникающих в антивирусной сети, сообщения которой могут отображаться как в консоли администратора, так и приходить по электронной почте.

Лучший выбор для компаний, заботящихся о безопасности своего бизнеса. Многообразие и количество современных компьютерных угроз вывели приоритет мероприятий по защите данных, проводимых в организациях, на передних план. Антивирус является одним из главных технических инструментов, позволяющих автоматизировано решить эту проблему и продолжать бесперебойно бизнес-процесс.

К приемуществам Dr. Web Enterprise Suite можно отнести:

Среди клиентов «Доктор Веб» — крупные компании с мировым именем, банки, государственные организации, сети которых насчитывают десятки тысяч компьютеров. Антивирусным решениям «Доктор Веб» доверяют высшие органы государственной и исполнительной власти, компании топливно-энергетического сектора, предприятия с мульти-аффилиатной структурой. Dr. Web имеет 14-летний опыт разработок решений для бизнеса, проверенных нашими пользователями и временем.

2. Исключительная масштабируемость

Возможность иерархического построения системы антивирусной защиты на базе нескольких серверов Dr. Web Enterprise Suite, соединённых между собой и обеспечивающих своими ресурсами единую антивирусную сеть, делает это решение незаменимым для компаний, имеющих многофилиальную структуру. Программа легко масштабируется в зависимости от размеров и сложности сети и может быть адаптирована как для простых сетей из нескольких компьютеров, так и для сложных распределенных интранет-сетей, насчитывающих десятки тысяч узлов.

Масштабирование обеспечивается возможностью использовать группирование из нескольких взаимодействующих серверов Dr. Web Enterprise Suite и отдельного SQL-сервера для хранения данных и комплексной структурой взаимодействия между ними.

3. Единый центр управления антивирусной защитой

Dr. Web Enterprise Suite предоставляет возможность установки рабочего места администратора (консоли) практически на любом компьютере под управлением любой операционной системы.

Dr. Web Enterprise Suite позволяет администратору, работающему как внутри сети, так и на удаленном компьютере (через сеть Интернет), централизовано управлять всеми компонентами антивирусной защиты, отслеживать состояние всех защищенных узлов, получать уведомления о вирусных инцидентах и настраивать автоматическую реакцию на них [34].

Для этого достаточно наличия связи по протоколу TCP/IP между рабочим местом администратора и антивирусным сервером. Легкость в развертывании антивирусной сети, гибкие возможности настроек инсталляционных пакетов для развертывания клиентской части, быстрое и эффективное распространение сервером Dr. Web Enterprise Suite обновлений вирусных баз и программных модулей на защищаемые компьютеры, не требующее для немедленного начала работы каких-либо дополнительных настроек и составления расписания обновления и исключительное удобство администрирования бесспорно относятся к числу многочисленных достоинств Dr. Web Enterprise Suite, отличающих данный продукт от аналогичных решений на рынке.

4. Низкозатратное администрирование

Возможность единого «взгляда сверху» на антивирусную сеть предприятия любого масштаба с одного рабочего места (через консоль администратора) — причем, где бы оно не находилось, — сокращает время на администрирование и затраты на восстановление жизнеспособности сети после вирусной атаки. Dr. Web Enterprise Suite позволяет существенно сократить время на обслуживание и значительно снижает нагрузку на системных администраторов. Цифры — упрямая вещь и говорят сами за себя. По результатам опроса, количество пользователей Dr. Web, которые либо не имели причин обращаться в службу технической поддержки вообще, либо обратились всего лишь один раз за год — 67%!

5. Экономия трафика локальной сети

Решение обеспечивает минимальный, в сравнении с аналогичными решениями других производителей, сетевой трафик, основанный на специально разработанном протоколе обмена информацией в сетях, построенных на основе протоколов TCP/IP, IPX и NetBIOS с возможностью применения специальных алгоритмов сжатия трафика. Экономия сетевого трафика обеспечивается специальным оптимизированным протоколом, поддерживающим компрессию данных между клиентом и сервером.

6. Лучшее ценовое предложение на рынке

Dr. Web Enterprise Suite чрезвычайно экономичное решение для любого бизнеса. При увеличении количества защищаемых объектов применяется прогрессивная шкала снижения цены.

7. Самый широкий спектр поддерживаемых ОС и сетевых протоколов

Архитектура серверной части ПО Dr. Web Enterprise Suite позволяетиспользовать его как на Windows-, так и на UNIX-серверах — это не позволяет делать ни одна другая аналогичная программа.

Серверы: Windows NT 4.0/2000/XP/2003/2008, Linux, Free BSD (до 7.0), (x86 и Sparc) — для 32- и 64-битных систем.

Клиентская часть ES может устанавливаться на компьютеры под управлением Windows 95 OSR2/98/Me/NT 4.0/2000/XP/Vista.

Решение поддерживает одновременно несколько сетевых протоколов между защищаемыми компьютерами и антивирусным сервером: TCP/IP, IPX/SPX, NetBIOS. Безопасность передачи данных между различными компонентами системы обеспечивается возможностью шифрования данных, что позволяет администрировать антивирусную сеть из любой точки мира через Интернет.

Dr. Web Enterprise Suite содержит опцию встроенного резервного копирования критически важных данных и конфигурации антивирусного сервера а также опцию восстановления сервера из резервной копии [25-37].

источник

Обеспечение надежной защиты информации предполагает:

Обеспечение безопасности информации в СОД это есть процесс непрерывный, заключающийся в систематическом контроле защищенности, выявлении узких и слабых мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты.

Безопасность информации в СОД. Последняя может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты.

Надлежащую подготовку пользователей и соблюдение ими всех правил защиты.

Что никакую систему защиты нельзя считать абсолютно надежной, надо исходить их того, что может найтись такой искусный злоумышленник, который отыщет лазейку для доступа к информации.

Защита информации в ПЭВМ. Каналы утечки информации.

Защита информации в ПЭВМ — организованная совокупность правовых мероприятий, средств и методов (организационных, технических, программных), предотвращающих или снижающих возможность образования каналов утечки, искажения обрабатываемой или хранимой информации в ПЭВМ.

Канал утечки (КУ) информации — совокупность источника информации, материального носителя или среды распространения несущего эту информацию сигнала и средства выделения информации из сигнала или носителя.

Известны следующие КУ (Рис. 3):

Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в технических средствах обработки информации. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки).

Электромагнитный канал в свою очередь делится на:

Радиоканал (высокочастотные излучения).

Сетевой канал (наводки на провода заземления).

Канал заземления (наводки на провода заземления).

Линейный канал (наводки на линии связи между ПЭВМ).

Акустический канал. Он связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации.

Канал несанкционированного копирования.

Канал несанкционированного доступа.

Рис. 3. Основные каналы утечки информации при обработке ее на ПЭВМ

Прямое хищение (потеря) магнитных носителей информации и документов, образующихся при обработке данных на ПЭВМ.

Организационные меры защиты — меры общего характера, затрудняющие доступ к ценной информации посторонним лицам, вне зависимости от особенностей способа обработки информации и каналов утечки информации.

Организационно-технические меры защиты — меры, связанные со спецификой каналов утечки и метода обработки информации , но не требующие для своей реализации нестандартных приемов и/или оборудования.

Технические меры защиты — меры, жестко связанные с особенностями каналов утечки и требующее для своей реализации специальных приемов, оборудования или программных средств.

Программные “вирусы” — программы, обладающие свойствами самодублирования и могущие скрывать признаки своей работы и причинять ущерб информации в ПЭВМ.

файловые — присоединяются к выполняемым файлам;

загрузочные — размещаются в загрузочных секторах ПЭВМ.

Несанкционированный доступ к информации в ПЭВМ — действие противника, приводящие к его ознакомлению с содержанием ценной информации или пользованию программными средствами без ведома их владельца.

Несанкционированные действия прикладных программ — действия негативного характера, не связанные с основным назначением прикладных программ.

Организационные и организационно-технические меры защиты информации в системах обработки данных.

Организационные меры предусматривают:

Ограничение доступа в помещения, в которых происходит обработка конфиденциальной информации.

Допуск к решению задач на ПЭВМ по обработке секретной, конфиденциальной информации проверенных должностных лиц, определение порядка проведения работ на ПЭВМ.

Хранение магнитных носителей в тщательно закрытых прочных шкафах.

Назначение одной или нескольких ПЭВМ для обработки ценной информации и дальнейшая работа только на этих ПЭВМ.

Установка дисплея, клавиатуры и принтера таким образом, чтобы исключить просмотр посторонними лицами содержания обрабатываемой информации.

Постоянное наблюдение за работой принтера и других устройств вывода на материальных носитель ценной информации.

Уничтожение красящих лент или иных материалов, содержащих фрагменты ценной информации.

Запрещение ведения переговоров о непосредственном содержании конфиденциальной информации лицам, занятым ее обработкой.

Организационно-технические меры предполагают:

Ограничение доступа внутрь корпуса ПЭВМ путем установления механических запорных устройств.

Уничтожение всей информации на винчестере ПЭВМ при ее отправке в ремонт с использованием средств низкоуровневого форматирования.

Организацию питания ПЭВМ от отдельного источника питания или от общей (городской) электросети через стабилизатор напряжения (сетевой фильтр) или мотор-генератор.

Использование для отображения информации жидкокристаллических или плазменных дисплеев, а для печати — струйных или лазерных принтеров.

Размещение дисплея, системного блока, клавиатуры и принтера на расстоянии не менее 2,5-3,0 метров от устройств освещения, кондиционирования воздуха, связи (телефона), металлических труб, телевизионной и радиоаппаратуры, а также других ПЭВМ, не использующихся для обработки конфиденциальной информации.

Отключение ПЭВМ от локальной сети или сети удаленного доступа при обработке на ней конфиденциальной информации, кроме случая передачи этой информации по сети.

Установка принтера и клавиатуры на мягкие прокладки с целью снижения утечки информации по акустическому каналу.

Во время обработки ценной информации на ПЭВМ рекомендуется включать устройства, создающие дополнительный шумовой фон (кондиционеры, вентиляторы), а также обрабатывать другую информацию на рядом стоящих ПЭВМ. Эти устройства должны быть расположены на расстоянии не менее 2,5-3,0 метров.

Уничтожение информации непосредственно после ее использования.

Основные методы защиты ПЭВМ от утечек информации по электромагнитному каналу.

Основным источником высокочастотного электромагнитного излучения является дисплей. Изображение с его экрана можно принимать на расстоянии сотен метров. Полностью нейтрализовать утечку можно лишь с использованием генераторов шума. Другим способ защиты является использование плазменных или жидкокристаллических дисплеев.

Еще одним надежным способом является полное экранирование помещения стальными, алюминиевыми или из специальной пластмассы листами толщиной не менее 1 мм с надежным заземлением. На окна в этом случае рекомендуется помещать сотовый фильтр — алюминиевую решетку с квадратными ячейками размером не более 1 см.

Принтер является источником мощного низкочастотного электромагнитного излучения, которое быстро затухает с ростом расстояния. Тем не менее, это излучение также опасно. Борьба с ним крайне затруднена, так как оно имеет сильную магнитную составляющую, которая плохо зашумляется и экранируется. Поэтому рекомендуется либо зашумление мощным шумовым сигналом, либо использование струйного или лазерного принтеров, или термопечати.

Очень опасны специально встроенные в ПЭВМ передатчики или радиомаяки (закладки — программные или технические средства, облегчающие выделение информации из каналов утечки или нарушающие предписанный алгоритм работы ПЭВМ). По этой же причине не рекомендуется обрабатывать ценную информацию на случайных ПЭВМ и подделках под фирму из развивающихся стран. Если компьютер отсылался в ремонт, то необходимо убедиться, что в нем нет закладов.

Электромагнитное излучение от внешних проводников и кабелей ПЭВМ невелика, но необходимо следить, чтобы они не пересекались с проводами, выходящими за пределы помещения.

Монтаж заземлении от периферийного оборудования необходимо вести в пределах контролируемой зоны. Нельзя допускать, чтобы заземление пересекалось с другими проводниками.

Все соединения ПЭВМ с “внешним миром” необходимо проводить через электрическую развязку.

Основными сервисами безопасности являются:

•идентификация и аутентификация,

Идентификация и аутентификация

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация — это первая линия обороны, «проходная» информационного пространства организации.

Идентификация позволяет субъекту — пользователю или процессу, действующему от имени определенного пользователя, назвать себя, сообщив свое имя. Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого себя выдает. В качестве синонима слова «аутентификация» иногда используют сочетание «проверка подлинности». Субъект может подтвердить свою подлинность, если предъявит по крайней мере одну из следующих сущностей:

•нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.,

•нечто, чем он владеет: личную карточку или иное устройство аналогичного назначения,

•нечто, что является частью его самого: голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики,

•нечто, ассоциированное с ним, например координаты.

Надежная идентификация и аутентификация затруднена по ряду принципиальных причин. Во-первых, компьютерная система основывается на информации в том виде, в каком она была получена; строго говоря, источник информации остается неизвестным. Например, злоумышленник мог воспроизвести ранее перехваченные данные. Следовательно, необходимо принять меры для безопасного ввода и передачи идентификационной и аутентификационной информации; в сетевой среде это сопряжено с особыми трудностями. Во-вторых, почти все аутентификационные сущности можно узнать, украсть или подделать. В-третьих, имеется противоречие между надежностью аутентификации с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это повышает вероятность подглядывания за вводом. В-четвертых, чем надежнее средство защиты, тем оно дороже.

Читайте также:  Какие анализы сдавать для уролога

Необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации. Обычно компромисс достигается за счет комбинирования двух первых из перечисленных базовых механизмов проверки подлинности.

Наиболее распространенным средством аутентификации являются пароли. Система сравнивает введенный и ранее заданный для данного пользователя пароль; в случае совпадения подлинность пользователя считается доказанной. Другое средство, постепенно набирающее популярность и обеспечивающее наибольшую эффективность, — секретные криптографические ключи пользователей.

Главное достоинство парольной аутентификации — простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Надежность паролей основывается на способности помнить их и хранить в тайне. Ввод пароля можно подсмотреть. Пароль можно угадать методом грубой силы, используя, быть может, словарь. Если файл паролей зашифрован, но доступен на чтение, его можно перекачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор.

Пароли уязвимы по отношению к электронному перехвату — это наиболее принципиальный недостаток, который нельзя компенсировать улучшением администрирования или обучением пользователей. Практически единственный выход — использование криптографии для шифрования паролей перед передачей по линиям связи или вообще их не передавать, как это делается в сервере аутентификации Kerberos.

Тем не менее следующие меры позволяют значительно повысить надежность парольной защиты:

•наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);

•управление сроком действия паролей, их периодическая смена;

•ограничение доступа к файлу паролей;

•ограничение числа неудачных попыток входа в систему, что затруднит применение метода грубой силы;

•обучение и воспитание пользователей;

•использование программных генераторов паролей, которые, основываясь на несложных правилах, могут порождать только благозвучные и, следовательно, запоминающиеся пароли.

Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации, основанные, например, на применении токенов.

Токен — это предмет или устройство, владение которым подтверждает подлинность пользователя. Различают токены с памятью (пассивные, которые только хранят, но не обрабатывают информацию) и интеллектуальные токены (активные).

Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобных токенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки. Таким образом, здесь фактически применяется комбинация двух способов защиты, что существенно затрудняет действия злоумышленника.

Необходима обработка аутентификационной информации самим устройством чтения, без передачи в компьютер — это исключает возможность электронного перехвата.

Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.

Как известно, одним из самых мощных средств в руках злоумышленника является изменение программы аутентификации, при котором пароли не только проверяются, но и запоминаются для последующего несанкционированного использования.

Интеллектуальные токены характеризуются наличием собственной вычислительной мощности. Они подразделяются на интеллектуальные карты, стандартизованные ISO и прочие токены. Карты нуждаются в интерфейсном устройстве, прочие токены обычно обладают ручным интерфейсом (дисплеем и клавиатурой) и по внешнему виду напоминают калькуляторы. Чтобы токен начал работать, пользователь должен ввести свой личный идентификационный номер.

По принципу действия интеллектуальные токены можно разделить на следующие категории.

Статический обмен паролями: пользователь обычным образом доказывает токену свою подлинность, затем токен проверяется компьютерной системой.

Динамическая генерация паролей: токен генерирует пароли, периодически изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по электронному интерфейсу или набирается пользователем на клавиатуре терминала.

Запросно-ответные системы: компьютер выдает случайное число, которое преобразуется криптографическим механизмом, встроенным в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного интерфейса. В последнем случае пользователь читает запрос с экрана терминала, набирает его на клавиатуре токена (возможно, в это время вводится и личный номер), а на дисплее токена видит ответ и переносит его на клавиатуру терминала.

Главным достоинством интеллектуальных токенов является возможность их применения при аутентификации по открытой сети. Генерируемые или выдаваемые в ответ пароли постоянно меняются, и злоумышленник не получит заметных дивидендов, даже если перехватит текущий пароль. С практической точки зрения, интеллектуальные токены реализуют механизм одноразовых паролей.

Еще одним достоинством является потенциальная многофункциональность интеллектуальных токенов. Их можно применять не только для целей безопасности, но и, например, для финансовых операций.

Устройства контроля биометрических характеристик сложны и недешевы, поэтому пока они применяются только в специфических организациях с высокими требованиями к безопасности.

В последнее время набирает популярность аутентификация путем выяснения координат пользователя. Идея состоит в том, чтобы пользователь посылал координаты спутников системы GPS (Global Positioning System), находящихся в зоне прямой видимости. Сервер аутентификации знает орбиты всех спутников, поэтому может с точностью до метра определить положение пользователя.

Поскольку орбиты спутников подвержены колебаниям, предсказать которые крайне сложно, подделка координат оказывается практически невозможной. Ничего не даст и перехват координат — они постоянно меняются. Непрерывная передача координат не требует от пользователя каких-либо дополнительных усилий, поэтому он может без труда многократно подтверждать свою подлинность. Аппаратура GPS сравнительно недорога и апробирована, поэтому в тех случаях, когда легальный пользователь должен находиться в определенном месте, данный метод проверки подлинности представляется весьма привлекательным.

Очень важной и трудной задачей является администрирование службы идентификации и аутентификации. Необходимо постоянно поддерживать конфиденциальность, целостность и доступность соответствующей информации, что особенно непросто в сетевой разнородной среде. Целесообразно, наряду с автоматизацией, применить максимально возможную централизацию информации. Достичь этого можно применяя выделенные серверы проверки подлинности (такие как Kerberos) или средства централизованного администрирования (например CA-Unicenter). Некоторые операционные системы предлагают сетевые сервисы, которые могут служить основой централизации административных данных.

Централизация облегчает работу не только системным администраторам, но и пользователям, поскольку позволяет реализовать важную концепцию единого входа. Единожды пройдя проверку подлинности, пользователь получает доступ ко всем ресурсам сети в пределах своих полномочий.

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты — пользователи и процессы могут выполнять над объектами — информацией и другими компьютерными ресурсами. Речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом — это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность путем запрещения обслуживания неавторизованных пользователей. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций, зависящее от некоторых дополнительных условий, и контролировать выполнение установленного порядка.

Контроль прав доступа производится разными компонентами программной среды — ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением (таким как монитор транзакций) и т.д.

При принятии решения о предоставлении доступа обычно анализируется следующая информация.

Идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера и т.п.). Подобные идентификаторы являются основой добровольного управления доступом.

Атрибуты субъекта (метка безопасности, группа пользователя и т.п.). Метки безопасности — основа принудительного управления доступом.

Место действия (системная консоль, надежный узел сети и т.п.).

Время действия (большинство действий целесообразно разрешать только в рабочее время).

Внутренние ограничения сервиса (число пользователей согласно лицензии на программный продукт и т.п.).

Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ.

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой набор возможных событий, но в любом случае их можно подразделить на внешние — вызванные действиями других сервисов, внутренние — вызванные действиями самого сервиса, и клиентские — вызванные действиями пользователей и администраторов.

Аудит — это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.

Реализация протоколирования и аудита преследует следующие главные цели:

•обеспечение подотчетности пользователей и администраторов;

•обеспечение возможности реконструкции последовательности событий; •обнаружение попыток нарушений информационной безопасности; •предоставление информации для выявления и анализа проблем.

Обеспечение подотчетности важно в первую очередь как средство сдерживания. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воздержатся от незаконных операций. Если есть основания подозревать какого-либо пользователя в нечестности, можно регистрировать его действия особенно детально, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений. Тем самым обеспечивается целостность информации.

Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.

Выявление и анализ проблем позволяют помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д.

Одним из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации является криптография. Во многих отношениях она занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них и, в то же время, последним защитным рубежом.

Различают два основных метода шифрования, называемые симметричными и асимметричными. В первом из них один и тот же ключ используется и для шифровки, и для расшифровки сообщений. Существуют весьма эффективные методы симметричного шифрования. Имеется и стандарт на подобные методы — ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».

Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит новую проблему рассылки ключей. С другой стороны, получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.

В асимметричных методах применяются два ключа. Один из них, несекретный, используется для шифровки и может публиковаться вместе с адресом пользователя, другой — секретный, применяется для расшифровки и известен только получателю. Самым популярным из асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (100-значными) простыми числами и их произведениями.

Асимметричные методы шифрования позволяют реализовать так называемую электронную подпись, или электронное заверение сообщения. Идея состоит в том, что отправитель посылает два экземпляра сообщения — открытое и дешифрованное его секретным ключом (естественно, дешифровка незашифрованного сообщения на самом деле есть форма шифрования). Получатель может зашифровать с помощью открытого ключа отправителя дешифрованный экземпляр и сравнить с открытым. Если они совпадут, личность и подпись отправителя можно считать установленными.

Существенным недостатком асимметричных методов является их низкое быстродействие, поэтому их приходится сочетать с симметричными, при этом следует учитывать, что асимметричные методы на 3 — 4 порядка медленнее симметричных. Так, для решения задачи рассылки ключей сообщение сначала симметрично шифруют случайным ключом, затем этот ключ шифруют открытым асимметричным ключом получателя, после чего сообщение и ключ отправляются по сети.

При использовании асимметричных методов необходимо иметь гарантию подлинности пары (имя, открытый ключ) адресата. Для решения этой задачи вводится понятие сертификационного центра, который заверяет справочник имен/ключей своей подписью.

Услуги, характерные для асимметричного шифрования, можно реализовать и с помощью симметричных методов, если имеется надежная третья сторона, знающая секретные ключи своих клиентов. Эта идея положена, например, в основу сервера аутентификации Kerberos.

Криптографические методы позволяют надежно контролировать целостность информации. В отличие от традиционных методов контрольного суммирования, способных противостоять только случайным ошибкам, криптографическая контрольная сумма (имитовставка), вычисленная с применением секретного ключа, практически исключает все возможности незаметного изменения данных.

В последнее время получила распространение разновидность симметричного шифрования, основанная на использовании составных ключей. Идея состоит в том, что секретный ключ делится на две части, хранящиеся отдельно. Каждая часть сама по себе не позволяет выполнить расшифровку. Если у правоохранительных органов появляются подозрения относительно лица, использующего некоторый ключ, они могут получить половинки ключа и дальше действовать обычным для симметричной расшифровки образом.

Экран — это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем.

В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует. В более общем случае экран или полупроницаемую оболочку удобно представлять себе как последовательность фильтров. Каждый из них может задержать данные, а может и сразу «перебросить» их «на другую сторону». Кроме того, допускаются передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю.

Помимо функций разграничения доступа экраны осуществляют также протоколирование информационных обменов.

Обычно экран не является симметричным, для него определены понятия «внутри» и «снаружи». При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример экрана — устройство защиты порта, контролирующее доступ к коммуникационному порту компьютера до и после независимо от всех прочих системных защитных средств.

Экранирование позволяет поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности.

Важным понятием экранирования является зона риска, определяемая как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Для повышения надежности защиты, экран реализуют как совокупность элементов, так что «взлом» одного из них еще не открывает доступ ко всей внутренней сети. Экранирование и с точки зрения сочетания с другими сервисами безопасности, и с точки зрения внутренней организации использует идею многоуровневой защиты, за счет чего внутренняя сеть оказывается в пределах зоны риска только в случае преодоления злоумышленником нескольких, по-разному организованных защитных рубежей. Экранирование может использоваться как сервис безопасности не только в сетевой, но и в любой другой среде, где происходит обмен сообщениями.

Читайте также:  Как делать анализ на английском

Небольшими сетями пользуются в основном небольшие организации, где все сотрудники знают друг друга и доверяют друг другу. Однако, даже в этом случае сеть должна обеспечивать хотя бы минимальные средства защиты информации своих пользователей.

В любой организации найдутся документы и сведения, которые не обязательно знать всем пользователям местной сети. Такая информация должна храниться в специальном каталоге, доступ к которому имеют только уполномоченные лица.

Чаще любопытство, чем злой умысел сотрудников заставляют их прочитывать чужие файлы.

Далеко не каждый пользователь сети настолько силен и в других компьютерных системах, чтобы иметь неограниченный доступ к сетевым дискам. Одна неосторожная команда может уничтожить весь каталог сетевых файлов. Одна из причин, по которой в сетях устанавливают систему защиты, состоит в том, чтобы уберечь сетевую информацию от необдуманных действий пользователей.

Первый шаг по установке системы защиты состоит в создании специальных пользовательских входов, предоставляющих доступ к сети только определенному составу пользователей. Если пользователь не имеет своего входа, он не сможет войти в сеть.

Каждый вход связан с идентификатором пользователя, который вводится при входе в сеть.

Кроме пользовательского кода, вход содержит также другую информацию о своем владельце: пароль, полное имя и права доступа, которые определяют, какие действия и сетевые команды позволено использовать в работе этому сотруднику, а какие нет.

Иногда система установлена таким образом, что некоторая группа пользователей может работать в сети только в определенный период времени.

В некоторых системах существует возможность открывать специализи-

Возможность создания специализированных входов значительно облегчает работу, так как можно предоставить равные права пользования сетью некоторой группе сотрудников. Однако, дело в том, что пользователи специализированного входа работают с одним и тем же паролем. Это значительно ослабляет систему защиты сети, поскольку она действует эффективнее, если каждый пользователь имеет свой личный пароль и хранит его в строжайшем секрете.

Если есть необходимость предоставить одинаковые права доступа некоторой группе сотрудников, лучше пользоваться не специализированными, а групповыми входами. В этом случае каждый пользователь входа имеет как бы отдельный подвход с собственным идентификатором и паролем, однако всем абонентам группового входа предоставляются равные права при работе с сетевой системой. Такой подход намного надежнее, поскольку каждый сотрудник имеет свой личный сетевой пароль.

Одним из важнейших аспектов системы сетевой защиты является система личных паролей сотрудников.

Иногда устанавливают также время действия пароля. Например, 30 дней. По истечении этого срока пользователь должен сменить пароль. Это не слишком удобно, однако сокращает риск того, что кто-либо узнает пароль и захочет им воспользоваться немного позже.

Пользовательские входы и пароли — это первая линия обороны системы защиты.

После того как пользователь получил доступ к сети, введя правильный идентификатор и пароль, он переходит ко второй линии, предлагаемой системой защиты: сеть определяет привилегии, которые имеет данный пользователь.

Все пользователи сети были задуманы как равные сотрудники одной системы. Но некоторые из них имеют определенные дополнительные права. Привилегии —отличают таких пользователей от остальных сотрудников.

От типа сетевой операционной системы зависит, какие именно привилегии можно устанавливать в своей сети.

Обычно права доступа распространяются на целые каталоги, хотя возможно установить и специальный доступ к некоторым отдельным файлам или группам файлов. При этом используется специализированное имя файла.

В большинстве сетей права доступа устанавливаются на весь каталог целиком и распространяются на все подкаталоги, если только на какие-нибудь из последних не наложены специальные права.

Главным отличием атрибутов DOS от прав доступа в сетевых системах яв- ляется то, что значение атрибута распространяется на всех пользователей, желающих работать с файлом. В то же время права доступа у пользователей разные; тогда как один из них имеет право только читать файл, другой может пользоваться неограниченным доступом к этой информации. Понятно, что, как минимум, один человек в сети должен иметь неограниченный доступ ко всей информации, хранящейся в сети и ко всем сетевым ресурсам. Такой человек называется контролером сети, или администратором. Он несет ответственность за установку и работу системы защиты. Вот почему на этого пользователя не налагаются никакие защитные ограничения.

Во многих сетях администраторский вход открывается автоматически при установке системы. Идентификатор пользователя и пароль, используемые в этом входе, должны быть отражены в сетевой документации. Они одинаковы для любой системы данного типа. Необходимо сменить пароль на таком входе. Иначе любой пользователь, знающий стандартные идентификатор и пароль, устанавливаемые системой на администраторском входе, сможет работать в сети с неограниченными возможностями доступа к любым компонентам системы.

Одна из причин, по которой NetWare решила отказаться от DOS и создать собственную операционную систему, заключалась в несовершенстве файловых атрибутов, предлагаемых DOS. Вместо 4-х DOS-атрибутов NetWare обеспечивает 14 своих.

Каждый серверный компьютер в сети должен иметь свой собственный список пользовательских входов. Если установлена сеть из пяти машин, причем каждая из них работает и как сервер, и как рабочая станция, то необходимо создать пять различных списков: по одному на каждый сервер. Списками нужно правильно управлять, иначе они могут выйти из-под контроля.

Необходимо следить за тем, чтобы идентификатор конкретного пользователя был одинаковым на всех серверах. Нå обязательно, чтобы каждый пользователь имел доступ ко всем серверам. В целях безопасности системы лучше, если пользователю будет предоставлен доступ только к тем серверным компьютерам, которые нужны ему непосредственно для работы.

В некоторых сетях существует возможность копирования пользовательских списков с одного сервера на другой. Это позволяет легче и эффективнее управлять сетью. После того как составлен один из списков, его можно скопировать его на все остальные серверные машины. Если нужно внести изменения в список, достаточно изменить всего одну копию, а затем просто записать ее на все сетевые серверы.

В некоторых сетях, например NetWare 4.0 или Windows for Workgroups, предусмотрена возможность использования одного общего списка для всех серверных компьютеров. LANtastic 5.0 тоже предоставляет подобные услуги. Можно пользоваться удаленными входами (remote accounts), которые позволяют ограничиться хранением пользовательского списка всего на одном сервере. Остальные серверные машины в случае необходимости обращаются за информацией к серверу, на котором находится список.

Рассмотренные способы защиты, предоставляются сетевым программным обеспечением. Но существует много других возможностей защитить сетевую информацию от постороннего вторжения. Вот несколько вариантов подобной защиты. Все компьютеры сети должны быть расположены в надежных и безопасных местах.

Необходимо соблюдать предосторожности при работе с принтером. Если отсылается на печать какая-нибудь конфиденциальная информация, необходимо обеспечить, чтобы она распечатывалась без присутствия посторонних лиц.

Если в сети установлен модем, позволяющий пользователю получать доступ к системе с удаленного компьютера, то посторонних вторжений можно ожидать и со стороны модема. В данном случае необходимо, чтобы каждый идентификатор пользователя был защищен паролем.

Управленческие меры обеспечения информационной безопасности

Главная цель мер, предпринимаемых на управленческом уровне, — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является многоуровневая политика безопасности, отражающая подход образовательного учреждения к защите своих информационных активов.

Основные направления защиты информации в СОД.

Меры непосредственной защиты ПЭВМ .

Важным аспектом всестороннего подхода к защите ЭВМ являются меры защиты вычислительных устройств от прямых угроз, которые можно разбить на две категории:

Меры защиты от стихийных бедствий.

Меры защиты от злоумышленников.

Наиболее опасным из стихийных бедствий можно считать пожар. Соблюдение элементарных пожарных норм позволяет решить эту проблему. Наиболее важен и интересен второй пункт.

Для того, чтобы защитить компьютеры от злоумышленников, а следовательно защитить информацию, необходимо ограничить непосредственный доступ к вычислительной системе. Для этого следует организовать охрану вычислительного комплекса. Можно выделить четыре вида охранных мер:

охрана границ территории (некоторой зоны, окружающей здание);

охрана самого здания или некоторого пространства вокруг него;

Для защиты границ территории можно использовать ограды, инфракрасные или СВЧ-детекторы, датчики движения а также замкнутые телевизионные системы.

Для защиты здания последнее должно иметь толстые стены, желательно из железобетона, толщиной примерно 30-35 см.

При защите входов в здание необходимо надежно охранять все возможные пути проникновения в здание — как обычно используемые входы, так и окна и вентиляционные отверстия.

Обычные входы можно контролировать посредством личного опознавания входящего охраной или с использованием некоторых механизмов, например, ключей или специальных карточек.

Для обнаружения проникновения злоумышленника в критическую зону можно использовать существующие системы сигнализации. Фотометрические системы обнаруживают изменения уровня освещенности. Звуковые, ультразвуковые или СВЧ — системы обнаружения перемещения объектов реагируют на изменение частоты сигнала, отраженного от движущегося тела. Звуковые и сейсмические (вибрационные) системы обнаруживают шум и вибрацию. И наконец, системы, реагирующие на приближение к защищаемому объекту, обнаруживают нарушение структуры электромагнитного или электростатического поля.

Идентификация и установление личности.

Так как функционирование всех механизмов ограничения доступа, использующих аппаратные средства или средства математического обеспечения основно на предположении, что пользователь представляет собой конкретное лицо, то должен существовать некоторый механизм установление его подлинности. Этот механизм может быть основан на выявлении того, что знает только данный пользователь или имеет при себе, или на выявлении некоторых особенностей самого пользователя.

При использовании замков и электрических или механических кнопочных систем применяются комбинации наборов знаков. Такая система, используемая для регулирования доступа к ЭВМ, называется системой паролей. Недостаток этой системы состоит в том, что пароли могут быть украдены (при этом пользователь может и не заметить потери), забыты или переданы. Для уменьшения опасности связанной с кражей паролей, последние должны часто изменяться, что создает проблемы формирования и распределения паролей. Аналогичный метод, называемый “рукопожатием”, предусматривает успешное выполнение некоторого алгоритма в качестве условия доступа к системе. В процессе “рукопожатия” пользователь должен обменяться с алгоритмом последовательностью паролей (они должны быть названы правильно и в правильной последовательности), хотя сам пользователь не знает алгоритма. Установление подлинности с помощью паролей вследствие своей простоты нашло наиболее широкое применение в вычислительных системах.

Пользователь может иметь при себе стандартный ключ или специальную карточку с нанесенным на нее, например, оптическим, магнитным или другим кодом.

Разработаны знаковые системы, которые основаны на изучении образца подчерка или подписи пользователя. Существуют системы, в которых для установления личности применяют геометрические характеристики руки или спектрограммы голоса пользователя. Также существуют системы, которые используют отпечатки пальцев пользователя и сравнивают их с хранящимися образцами.

Меры защиты против электронного и электромагнитного перехвата.

Подключение к линиям связи может быть осуществлено двумя способами. При пассивном подключении злоумышленник только прослушивает передаваемые данные, тогда как при активном подключении он передает некоторые собственные данные либо в конце законно передаваемых данных, либо вмести них. Основной мерой противодействия подключениям к линиям связи является шифрование сообщений. Кроме того, так как единственными местами, где легко подключиться к линии передачи данных, являются точки внутри помещений, где расположено передающее или приемное оборудование, линии передачи данных и кабельные шкафы должны надежно охраняться. Подключение к внешним участкам линий связи вынуждает вести передачу данных с высокой степенью уплотнения, что является малоэффективной и дорогостоящей операцией.

Вполне реальной угрозой является перехват электромагнитного излучения от ЭВМ или терминала. Правда, вследствие использования режима мультипрограммирования, когда одновременно обрабатывается несколько заданий пользователей, данные, полученные таки путем от большинства вычислительных систем, очень трудно поддаются дешифрованию. Однако, подслушивание терминалов вполне реально, особенно в пределах дальности порядка 6 м. Трудность выполнения этой операции быстро возрастает с расстоянием, так что подслушивание с расстояния, превышающего 45 м, становится крайне дорогостоящей операцией. При использовании более дорогой аппаратуры можно усилить и слабый сигнал. Например, большинство терминалов с ЭЛТ регенерируют отображаемую информацию через короткие интервалы времени. Следовательно, применяя сложные методы, можно совместно обработать и использовать данные нескольких каких циклов генерации.

Основные понятия безопасности компьютерных систем.

Под безопасностью информации понимается “состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз”.

Целостность понимается как “способность средств вычислительной техники или автоматизированной системы обеспечивать неизменность вида и качества информации в условиях случайного искажения или угрозы разрушения. Согласно руководящему документу Гостехкомиссии России “Защита от несанкционированного доступа к информации. Термины и определения” угрозы безопасности и целостности состоят в потенциально возможных воздействиях на вычислительную систему (ВС), которые прямо или косвенно могут нанести ущерб безопасности и целостности информации, обрабатываемой системой.

Ущерб целостности информации состоит в ее изменении, приводящем к нарушению ее вида или качества.

Ущерб безопасности подразумевает нарушение состояния защищенности содержащейся в ВС информации путем осуществления несанкционированного доступа (НСД) к объектам ВС.

НСД определяется как “доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых ВС”. Можно ввести более простое определение НСД: НСД заключается в получении пользователем или программой доступа к объекту, разрешение на который в соответствии с принятой в системе политикой безопасности отсутствует.

Реализация угрозы называется атакой.

Человек, стремящийся реализовать угрозу, называется нарушителем, или злоумышленником. Существует множество классификаций видов угроз по принципам и характеру их воздействия на систему, по используемым средствам, по целям атаки и т.д. Рассмотрим общую классификацию угроз безопасности ВС по средствам воздействия на ВС. С этой точки зрения все угрозы могут быть отнесены к одному из следующих классов (рис.4):

1. Вмешательство человека в работу ВС. К этому классу относятся организационные средства нарушения безопасности ВС (кража носителей информации, НСД к устройствам хранения и обработки информации, порча оборудования и т.д.) и осуществление нарушителем НСД к программным компонентам ВС (все способы несанкционированного проникновения в ВС, а также способы получения пользователем-нарушителем незаконных прав доступа к компонентам ВС). Меры, противостоящие таким угрозам, носят организационный характер (охрана, режим доступа к устройствам ВС), а также включают в себя совершенствование систем разграничения доступа и системы обнаружения попыток атак (например, попыток подбора паролей).

источник