Elettracompany.com

Компьютерный справочник
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита информации в эвм

Особенности защиты информации в персональных ЭВМ

Содержание.

1. Особенности защиты информации в персональных ЭВМ……………………. 4

2.Угрозы информации в персональных ЭВМ……………………………………. 5

3. Обеспечение целостности информации в ПК…………………………………. 6

4. Разграничение доступа к элементам защищаемой информации……………….7

5. Защита информации от копирования…………………………………………….8

6. Защита при помощи компьютерных компакт-дисков…………………………..10

7. Защита программ, установленных на жёстком диске…………………………..10

8. Внешний модуль против API……………………………………………………..11

9. Организационные меры защиты от несанкционированного копирования…. 11

10. Юридические меры защиты от несанкционированного копирования……….11

Список использованной литературы……………………………………………….15

Введение.

Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:

ñцелостность данных — защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;

ñдоступность информации для всех авторизованных пользователей.

Скопировать можно любые данные: как «аналоговые», так и цифровые.

Под системой защиты от копирования понимается система, которая обеспечивает выполнение ею своих функций только при опознании некоторого уникального не поддающегося копированию элемента, называемого ключевым.

Особенности защиты информации в персональных ЭВМ

Персональные компьютеры (ПК) обладают всеми свойствами ЭВМ других классов, поэтому, вообще говоря, все проблемы защиты информации в построенных на их основе системах и подходы к защите аналогичны другим классам. Однако персональным компьютерам присущ ряд таких свойств, которые, с одной стороны, благоприятствуют защите, а с другой — затрудняют ее и усложняют.

К основным из указанных свойств относятся:

1. малые габариты и вес, что делает их не просто транспортабельными, а легко переносимыми;

2. наличие встроенного внутреннего ЗУ большого объема, сохраняющего записанные данные после выключения питания;

3. наличие сменного ЗУ большого объема и малых габаритов;

4. наличие устройств сопряжения с каналами связи;

5. оснащенность программным обеспечением с широкими функциональными возможностями;

6. массовость производства и распространения;

7. относительно низкая стоимость.

Перечисленные и некоторые другие особенности создали объективные предпосылки для массового распространения ПК практически во всех сферах деятельности современного общества, резкого повышения интенсивности циркуляции информации, децентрализации процессов ее хранения и обработки, существенного изменения структуры и содержания информационных технологий.

С точки зрения общих подходов к защите особенно существенными являются две особенности ПК. Как известно, в АСОД, базирующихся на больших ЭВМ, наряду с зашитой информации непосредственно в ЭВМ такое же решающее (если не большее) значение имеет общая организация защиты: организация и обеспечение технологических процессов циркуляции и обработки потоков информации; охрана территории, зданий и помещений; подбор, обучение и организация работы персонала и т.п.
В АСОД с большими ЭВМ основные вопросы защиты, как правило, решают специалисты-профессионалы в области защиты информации. Для персональных же ЭВМ, во-первых, вопросы общей организации защиты могут быть решены физической изоляцией (например, размещением ПК в отдельной комнате, закрываемой на замок), поэтому превалирующую роль играет внутренняя защита, во-вторых, в большинстве случаев заботу о защите информации должны проявлять сами пользователи, которые не только не являются профессионалами в области защиты, но нередко вообще имеют лишь навыки непосредственного решения ограниченного набора задач. Этими особенностями и обусловлена необходимость самостоятельного рассмотрения вопросов защиты информации в персональных ЭВМ с акцентированием внимания именно на внутренней защите.

На формирование множества возможных подходов к защите информации в ПК и выбор наиболее целесообразного из них в конкретных ситуациях определяющее влияние оказывают следующие факторы:

2. потенциально возможные способы защиты;

3. имеющиеся средства защиты.

Основные цели защиты информации:

1. обеспечение физической целостности;

2. обеспечение логической целостности;

3. предупреждение несанкционированного получения;

4. предупреждение несанкционированной модификации;

5. предупреждение несанкционированного копирования.

Обеспечение логической целостности информации для ПК малоактуально, другие же цели применительно к ПК могут быть конкретизированы следующим образом.
Обеспечение физической целостности.
Физическая целостность информации в ПК зависит от целостности самого ПК, целостности дисков и дискет, целостности информации на дисках, дискетах и полях оперативной памяти. В широком спектре угроз целостности, информации в ПК следует обратить особое внимание на угрозы, связанные с недостаточно высокой квалификацией большого числа владельцев ПК. В этом плане особо опасной представляется возможность уничтожения или искажения данных на жестком диске (винчестере), на котором могут накапливаться очень большие объемы данных, самим пользователем.

Предупреждение несанкционированной модификации.
Весьма опасной разновидностью несанкционированной модификации информации в ПК является действие вредоносных программ (компьютерных вирусов), которые могут разрушать или уничтожать программы или массивы данных. Данная опасность приобретает актуальность в связи с тем, что среди владельцев ПК общепринятой становится практика обмена дискетами. В получаемой дискете может содержаться весьма неприятный сюрприз.

Предупреждение несанкционированного получения информации, находящейся в ПК.
Данная цель защиты приобретает особую актуальность в тех случаях, когда хранимая или обрабатываемая информация содержит тайну того или иного характера (государственную, коммерческую и т. п.). Возможности несанкционированного получения информации в современных ПК очень широки и разнообразны, поэтому данный вид защиты требует серьезного внимания.

Предупреждение несанкционированного копирования информации.
Актуальность данной разновидности защиты определяется следующими тремя обстоятельствами:

1. накопленные массивы информации все больше становятся товаром;

2. все более широкое распространение получает торговля компьютерными программами;

3. накопители на гибких МД и оптические дисководы с перезаписью создают весьма благоприятные условия для широкомасштабного копирования информации ПК.

Защита информации в персональных ЭВМ

Автор работы: Пользователь скрыл имя, 25 Декабря 2011 в 14:53, реферат

Краткое описание

целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения

Содержание

1. Введение
— Что такое информационная безопасность?
— Актуальность защиты информации
2. Основная часть
Особенности защиты информации в персональных ЭВМ
— Свойство персональных компьютеров
— Факторы защиты персональных компьютеров
— Основные цели защиты персональных компьютеров
— Актуальность защиты информации
— Угрозы информации и персональных ЭВМ
— Виды несанкционированного доступа
— Исходные характеристики элементов защиты
— Обеспечение целостности информации в ПК
— Защита от несанкционированного доступа
-Объективно существующие обстоятельства, способствующие несанкционированному доступу
— Основные механизмы защиты ПК от НСД
— Физическая защита ПК и носителей информации
— Способы опознавания пользователей
— Средства опознавания пользователей
— Разграничения доступа к элементам защищаемой информации
— Комбинирование метода разграничения доступа на основе матрицы полномочий с методом разграничения по уровням секретности.
— Криптографическое закрытие защищаемой информации, хранимой на носителях.
— Регистрация всех обращений к защищаемой информации
— Криптографическая система обеспечивает
— Защита информации от копирования.
— Защита от несанкционированного доступа к компьютеру без завершения сеанса работы
— Защита в среде MS – DOC.
— Защита в средах Windows
— Защита ПК от вредоносных закладок
3. Заключительная часть
Вывод
4. Библиография
Используемая литература

Вложенные файлы: 1 файл

Министерство Образования и Науки Российской Федерации.docx

Министерство Образования и Науки Российской Федерации

Реферат на тему: «Защита информации в персональных ЭВМ».

Факультет: Автоматики и вычислительной техники

Новосибирск 2011 год

Примечательная особенность нынешнего периода — переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и которое при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие «информационные ресурсы», и хотя оно узаконено, но осознано пока еще недостаточно. Информационные ресурсы — отдельные документы и отдельные массивы, документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации — весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами.

Читать еще:  Http www iobit com appgoto php

Особое место отводится информационным ресурсам в условиях рыночной экономики.

Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и оперативнее (Время деньги. ) производит и продает. В сущности, это универсальное правило рынка. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром.

В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа.

В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место. При этом «целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения».

Как видно из этого определения целей защиты, информационная безопасность — довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.

Основное внимание уделяется защите конфиденциальной информации, с которой большей частью встречаются предприниматели негосударственного сектора экономики.

Люди осознают и отдают себе отчет в сложности проблемы защиты информации вообще, и с помощью технических средств в частности. Тем не менее, взгляд на эту проблему излагается на этом Web-сайте, считается, что этим охватывается не все аспекты сложной проблемы, а лишь определенные ее части.

Защита памяти в мультипрограммных ЭВМ

Организация защиты памяти в ЭВМ

При мультипрограммном режиме работы ЭВМ в ее памяти одновременно могут находиться несколько независимых программ. Поэтому необходимы специальные меры по предотвращению или ограничению обращений одной программы к областям памяти, используемым другими программами. Программы могут также содержать ошибки, которые, если этому не воспрепятствовать, приводят к искажению информации, принадлежащей другим программам. Последствия таких ошибок особенно опасны, если разрушению подвергнутся программы операционной системы. Другими словами, надо исключить воздействие программы пользователя на работу программ других пользователей и программ операционной системы. Следует защищать и сами программы от находящихся в них возможных ошибок.

Таким образом, средства защиты памяти должны предотвращать 2

  • неразрешенное взаимодействие пользователей друг с другом,
  • несанкционированный доступ пользователей к данным,
  • повреждение программ и данных из-за ошибок в программах,
  • намеренные попытки разрушить целостность системы ,
  • использование информации в памяти не в соответствии с ее функциональным назначением.

Чтобы воспрепятствовать разрушению одних программ другими, достаточно защитить область памяти данной программы от попыток записи в нее со стороны других программ, а в некоторых случаях и своей программы ( защита от записи ), при этом допускается обращение других программ к этой области памяти для считывания данных.

В других случаях, например при ограничениях на доступ к информации, хранящейся в системе, необходимо запрещать другим программам любое обращение к некоторой области памяти как на запись , так и на считывание. Такая защита от записи и считывания помогает в отладке программы, при этом осуществляется контроль каждого случая обращения за область памяти своей программы.

Для облегчения отладки программ желательно выявлять и такие характерные ошибки в программах, как попытки использования данных вместо команд или команд вместо данных в собственной программе, хотя эти ошибки могут и не разрушать информацию (несоответствие функционального использования информации).

Если нарушается защита памяти , исполнение программы приостанавливается и вырабатывается запрос прерывания по нарушению защиты памяти .

Защита от вторжения программ в чужие области памяти может быть организована различными методами. Но при любом подходе реализация защиты не должна заметно снижать производительность компьютера и требовать слишком больших аппаратурных затрат.

Методы защиты базируются на некоторых классических подходах, которые получили свое развитие в архитектуре современных ЭВМ. К таким методам можно отнести защиту отдельных ячеек, метод граничных регистров , метод ключей защиты [ 7 ] .

Защита отдельных ячеек памяти организуется в ЭВМ, предназначенных для работы в системах управления, где необходимо обеспечить возможность отладки новых программ без нарушения функционирования находящихся в памяти рабочих программ, управляющих технологическим процессом. Это может быть достигнуто выделением в каждой ячейке памяти специального «разряда защиты». Установка этого разряда в «1» запрещает производить запись в данную ячейку, что обеспечивает сохранение рабочих программ. Недостаток такого подхода — большая избыточность в кодировании информации из-за излишне мелкого уровня защищаемого объекта ( ячейка ).

В системах с мультипрограммной обработкой целесообразно организовывать защиту на уровне блоков памяти, выделяемых программам, а не отдельных ячеек.

Метод граничных регистров (рис. 17.1) заключается во введении двух граничных регистров, указывающих верхнюю и нижнюю границы области памяти, куда программа имеет право доступа .

При каждом обращении к памяти проверяется, находится ли используемый адрес в установленных границах. При выходе за границы обращение к памяти не производится, а формируется запрос прерывания , передающий управление операционной системе. Содержание граничных регистров устанавливается операционной системой при загрузке программы в память .

Модификация этого метода заключается в том, что один регистр используется для указания адреса начала защищаемой области, а другой содержит длину этой области.

Метод граничных регистров , обладая несомненной простотой реализации, имеет и определенные недостатки. Основным из них является то, что этот метод поддерживает работу лишь с непрерывными областями памяти.

Метод ключей защиты, в отличие от предыдущего, позволяет реализовать доступ программы к областям памяти, организованным в виде отдельных модулей, не представляющих собой единый массив .

Память в логическом отношении делится на одинаковые блоки, например, страницы. Каждому блоку памяти ставится в соответствие код, называемый ключом защиты памяти, а каждой программе, принимающей участие в мультипрограммной обработке, присваивается код ключа программы. Доступ программы к данному блоку памяти для чтения и записи разрешен, если ключи совпадают (то есть данный блок памяти относится к данной программе) или один из них имеет код 0 (код 0 присваивается программам операционной системы и блокам памяти, к которым имеют доступ все программы: общие данные, совместно используемые подпрограммы и т. п.). Коды ключей защиты блоков памяти и ключей программ устанавливаются операционной системой.

В ключе защиты памяти предусматривается дополнительный разряд режима защиты. Защита действует только при попытке записи в блок, если в этом разряде стоит 0, и при любом обращении к блоку, если стоит 1. Коды ключей защиты памяти хранятся в специальной памяти ключей защиты, более быстродействующей, чем оперативная память .

Читать еще:  Защита инвертора от встречного напряжения

Функционирование этого механизма защиты памяти поясняется схемой на рис. 17.2.

При обращении к памяти группа старших разрядов адреса ОЗУ , соответствующая номеру блока, к которому производится обращение, используется как адрес для выборки из памяти ключей защиты кода ключа защиты, присвоенного операционной системой данному блоку. Схема анализа сравнивает ключ защиты блока памяти и ключ программы, находящийся в регистре слова состояния программы ( ССП ), и вырабатывает сигнал «Обращение разрешено» или сигнал » Прерывание по защите памяти». При этом учитываются значения режима обращения к ОЗУ ( запись или считывание), указываемого триггером режима обращения ТгРО, и режима защиты, установленного в разряде режима обращения (РРО) ключа защиты памяти .

Методы защиты информации в автоматизированных системах и сетях ЭВМ;

В настоящее время широко используются автоматизированные системы (АС) различных архитектур, однако подавляющее большинство из них являются сетями ЭВМ. Неоспоримые преимущества использования сетевых технологий при обработке информации в то же время оборачиваются значительными проблемами при организации защиты информации в сетях.

Можно отметить следующие основные проблемы защиты информации в сетях:

1) Расширение зоны контроля (администратору или оператору АС или подсети необходимо контролировать деятельность пользователей, которые находятся вне пределов его досягаемости, в том числе, и в другой стране. Помимо этого, ему необходимо поддерживать рабочий контакт со своими коллегами в других организациях).

2) Комбинация различных программно-аппаратных средств (при соединении нескольких АС, в том числе и однородных по характеристикам, в общую сеть, значительно увеличивается уязвимость всей системы в целом. При этом, выполнение специфических требований безопасности отдельной АС, может оказаться несовместимым с требованиями на других АС).

3) Неизвестный периметр (быстрое увеличение количества АС в сети приводит к тому, что определить границы сети подчас бывает сложно; при этом, один и тот же узел может быть доступен для пользователей различных сетей, таким образом, не всегда возможно точно определить сколько пользователей имеют доступ к определенному узлу и кто они).

4) Множество точек атаки (при передаче данных или сообщений через несколько промежуточных узлов, любой из них может оказаться потенциальным источником угрозы, что безусловно снижает защищенность сети. Количество возможных точек атаки также во много раз увеличивает возможность получить доступ ко многим современным сетям с помощью коммутируемых линий связи и модема. Указанный способ считается одним из наиболее опасных, поскольку он прост, легко осуществим и при этом трудно контролируем. Также к уязвимым местам сети относятся: линии связи, усилители сигнала, ретрансляторы, модемы и т.д.).

5) Сложность управления и контроля доступа к системе (большинство атак на сеть могут быть осуществлены с помощью сети из удаленных точек, то есть без получения физического доступа к определенному узлу. При этом, идентификация нарушителя может быть трудновыполнимой, а чаще и невозможной задачей.

Атака на сеть может быть осуществлена с двух уровней:

· Верхнего, когда для проникновения на другой узел и выполнения несанкционированного доступа злоумышленником используются свойства сети. В этом случае меры защиты сети определяются в зависимости от потенциальных возможностей нарушителя и от надежности средств защиты отдельных узлов сети.

· Нижнего, когда для осуществления несанкционированного доступа нарушительиспользует свойства сетевых протоколов, что может привести к утечке информации и даже потере контроля за сетью. Для обеспечения защиты сети используемые протоколы должны обеспечивать защиту сообщений и их потока в целом.

Как и для защиты отдельных АС, для защиты сетей, должны выполняться следующие условия:

· поддержание конфиденциальности передаваемой и обрабатываемой в сети информации;

· поддержание целостности передаваемой и обрабатываемой в сети информации;

· поддержание доступности ресурсов (компонентов) сети.

Данные условия определяют действия по обеспечению защиты сети от нападений с верхнего уровня. Конкретные задачи, которые необходимо решить при организации защиты сети, зависят от возможностей протоколов высокого уровня: чем шире эти возможности, тем больше задач приходится решать. Так, если возможности сети ограничены только пересылкой наборов данных, то основная задача защиты сети состоит в предотвращении несанкционированного доступа к наборам данных, доступным для пересылки. В случае, если возможности сети позволяют выполнять удаленный запуск программ, работу в режиме виртуального терминала, тогда необходимо организовать полный комплекс защитных мер, в том числе и по каналам связи.

Защита сети должна быть спланирована как единый комплекс мер, учитывающий все особенности обработки информации. При этом организация защиты сети, разработка политики безопасности, ее реализация и управление защитой подчиняются общим правилам. В то же время, необходимо учитывать, что для каждого узла сети необходимо обеспечить индивидуальную защиту в зависимости от выполняемых функций и возможностей сети. Рассмотрим защиту отдельного узла, который является частью общей защиты.

Для защиты отдельного узла системы необходимо организовать:

· контроль доступа к файлам и другим наборам данных, которые доступны из локальной сети (других сетей);

· контроль процессов, которые активизированы с удаленных узлов;

· контроль сетевого трафика;

· эффективную идентификацию и аутентификацию пользователей, которые получают доступ к данному узлу из сети;

· контроль доступа к ресурсам локального узла, доступным для использования пользователями сети;

· контроль за распространением информации в пределах локальной сети (связанных с ЛС других сетей).

Однако сеть имеет сложную структуру для передачи информации с одного узла на другой, при этом в процессе передачи информации проходит несколько стадий преобразований. Все эти преобразования должны вносить свой вклад в защиту передаваемой информации, в противном случае нападения с нижнего уровня могут поставить под угрозу защиту сети.

Таким образом, защита сети как единой системы складывается из мер защиты каждого отдельного узла и функций защиты протоколов данной сети.

Пассивные угрозыпредставляют собой нарушение конфиденциальности данных, передаваемых по сети, в том числе просмотр и/или запись данных, анализ трафика передаваемых пакетов по линиям связи.

Активные угрозы представляют собой нарушение целостности или доступности ресурсов или компонентов сети. В этом случае нарушитель осуществляет несанкционированное использование устройств, имеющих доступ к сети,

для изменения отдельных сообщений или потока сообщений, в том числе для уничтожения или задержки отдельных сообщений или потока сообщений (отказ служб передачи сообщений);

для присвоения своему узлу чужого идентификатора в целях получения или отправки сообщения от чужого имени (так называемый «маскарад»);

для внедрения сетевых вирусов;

для осуществления модификации потока сообщений, то есть нарушитель может уничтожить, модифицировать, задержать, переупорядочивать, дублировать сообщения и вставлять поддельные сообщения.

Перечисленные выше активные и пассивные угрозы сети могут привести к нарушениям работы сети или к утечке конфиденциальной информации, поэтому протоколы, которые формируют сообщения и ставят их в поток, должны предусматривать меры для защиты сообщений и их неискаженной доставки получателю.

Далее будет рассмотрен вопрос выбора сетевой архитектуры, как базовый вопрос, определяющий в последующем необходимый набор средств защиты сети.

При выборе архитектуры вычислительной сети в целях обеспечения безопасности сети наиболее целесообразно выбрать архитектуру Интранет, которая представляет собойприменение технологии Internet в рамках корпоративных систем.

Системы архитектуры Интранет (I — системы) характеризуются следующими свойствами:

· на сервере информация представляется в форме, предназначенной для прочтения пользователем, то есть в конечном виде;

· передается клиентам информация в виде, пригодном для восприятия человеком;

· для обмена информацией между клиентом и сервером используется протокол открытого стандарта;

· прикладная система сконцентрирована на сервере.

Для обеспечения информационной безопасности I-систем перечень необходимых защитных сервисов включает:

· защита подключений к внешним сетям;

· разграничение доступа между сегментами корпоративной сети;

· аутентификация в открытых сетях;

· защита корпоративных потоков данных, передаваемых по открытым сетям;

· обеспечение безопасности распределенной программной среды;

Читать еще:  Построение трехмерных графиков в matlab

· защита потоков данных между клиентами и серверами;

· защита важнейших сервисов, в частности Web-сервиса;

· протоколирование и аудит в рамках сетевых конфигураций;

· обеспечение простоты архитектуры информационной системы.

Информационная безопасность в сетях ЭВМ

Защита данных в компьютерных сетях становится одной из самых открытых проблем в современных информационно-вычислительных системах. На сегодняшний день сформулировано три базовых принципа информационной безопасности, задачей которой является обеспечение:

— целостности данных — защита от сбоев, ведущих к потере информации или ее уничтожения;

— доступности информации для авторизованных пользователей.

Рассматривая проблемы, связанные с защитой данных в сети, возникает вопрос о классификации сбоев и несанкционированности доступа, что ведет к потере или нежелательному изменению данных. Это могут быть сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и т.д.), потери информации (из-за инфицирования компьютерными вирусами, неправильного хранения архивных данных, нарушений прав доступа к данным), некорректная работа пользователей и обслуживающего персонала. Перечисленные нарушения работы в сети вызвали необходимость создания различных видов защиты информации. Условно их можно разделить на три класса:

— средства физической защиты;

— программные средства (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа);

-административные меры защиты (доступ в помещения, разработка стратегий безопасности фирмы и т.д.).

Одним из средств физической защиты являются системы архивирования и дублирования информации. В локальных сетях, где установлены один-два сервера, чаще всего система устанавливается непосредственно в свободные слоты серверов. В крупных корпоративных сетях предпочтение отдается выделенному специализированному архивационному серверу, который автоматически архивирует информацию с жестких дисков серверов и рабочих станций в определенное время, установленное администратором сети, выдавая отчет о проведенном резервном копировании. Наиболее распространенными моделями архивированных серверов являются Storage Express System корпорации Intel ARCserve for Windows.

Для борьбы с компьютерными вирусами наиболее часто применяются антивирусные программы, реже — аппаратные средства защиты. Однако, в последнее время наблюдается тенденция к сочетанию программных и аппаратных методов защиты. Среди аппаратных устройств используются специальные антивирусные платы, вставленные в стандартные слоты расширения компьютера. Корпорация Intel предложила перспективную технологию защиты от вирусов в сетях, суть которой заключается в сканировании систем компьютеров еще до их загрузки. Кроме антивирусных программ, проблема защиты информации в компьютерных сетях решается введением контроля доступа и разграничением полномочий пользователя. Для этого используются встроенные средства сетевых операционных систем, крупнейшим производителем которых является корпорация Novell. В системе, например, NetWare, кроме стандартных средств ограничения доступа (смена паролей, разграничение полномочий), предусмотрена возможность кодирования данных по принципу «открытого ключа» с формированием электронной подписи для передаваемых по сети пакетов.

Однако, такая система защиты слабомощна, т.к. уровень доступа и возможность входа в систему определяются паролем, который легко подсмотреть или подобрать. Для исключения неавторизованного проникновения в компьютерную сеть используется комбинированный подход — пароль + идентификация пользователя по персональному «ключу». «Ключ» представляет собой пластиковую карту (магнитная или со встроенной микросхемой — смарт-карта) или различные устройства для идентификации личности по биометрической информации — по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т.д. Серверы и сетевые рабочие станции, оснащенные устройствами чтения смарт-карт и специальным программным обеспечением, значительно повышают степень защиты от несанкционированного доступа.

Смарт-карты управления доступом позволяют реализовать такие функции, как контроль входа, доступ к устройствам ПК, к программам, файлам и командам. Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos, в основу которой входят три компонента:

— база данных, которая содержит информацию по всем сетевым ресурсам, пользователям, паролям, информационным ключам и т.д.;

— авторизационный сервер (authentication server), задачей которого является обработка запросов пользователей на предоставление того или иного вида сетевых услуг. Получая запрос, он обращается к базе данных и определяет полномочия пользователя на совершение определенной операции. Пароли пользователей по сети не передаются, тем самым, повышая степень защиты информации;

-Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера «пропуск» с именем пользователя и его сетевым адресом, временем запроса, а также уникальный «ключ». Пакет, содержащий «пропуск», передается также в зашифрованном виде. Сервер выдачи разрешений после получения и расшифровки «пропуска» проверяет запрос, сравнивает «ключи» и при тождественности дает «добро» на использование сетевой аппаратуры или программ.

По мере расширения деятельности предприятий, роста численности абонентов и появления новых филиалов, возникает необходимость организации доступа удаленных пользователей (групп пользователей) к вычислительным или информационным ресурсам к центрам компаний. Для организации удаленного доступа чаще всего используются кабельные линии и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода. В мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов — их разделение и передача параллельно по двум линиям, — что делает невозможным «перехват» данных при незаконном подключении «хакера» к одной из линий. Используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки «перехваченных» данных. Мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленным пользователям не все ресурсы центра компании могут быть доступны.

В настоящее время разработаны специальные устройства контроля доступа к вычислительным сетям по коммутируемым линиям. Примером может служить, разработанный фирмой AT&T модуль Remote Port Securiti Device (PRSD), состоящий из двух блоков размером с обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют устанавливать несколько уровней защиты и контроля доступа:

— шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей;

— контроль доступа с учетом дня недели или времени суток.

Прямое отношение к теме безопасности имеет стратегия создания резервных копий и восстановления баз данных. Обычно эти операции выполняются в нерабочее время в пакетном режиме. В большинстве СУБД резервное копирование и восстановление данных разрешаются только пользователям с широкими полномочиями (права доступа на уровне системного администратора, либо владельца БД), указывать столь ответственные пароли непосредственно в файлах пакетной обработки нежелательно. Чтобы не хранить пароль в явном виде, рекомендуется написать простенькую прикладную программу, которая сама бы вызывала утилиты копирования/восстановления. В таком случае системный пароль должен быть «зашит» в код указанного приложения. Недостатком данного метода является то, что всякий раз при смене пароля эту программу следует перекомпилировать.

Применительно к средствам защиты от НСД определены семь классов защищенности (1-7) средств вычислительной техники (СВТ) и девять классов (1А,1Б,1В,1Г,1Д,2А,2Б,3А,3Б) автоматизированных систем (АС). Для СВТ самым низким является седьмой класс, а для АС — 3Б.

Рассмотрим более подробно приведенные сертифицированные системы защиты от НСД.

Система «КОБРА» соответствует требованиям 4-ого класса защищенности (для СВТ), реализует идентификацию и разграничение полномочий пользователей и криптографическое закрытие информации, фиксирует искажения эталонного состояния рабочей среды ПК (вызванные вирусами, ошибками пользователей, техническими сбоями и т.д.) и автоматически восстанавливает основные компоненты операционной среды терминала.

Подсистема разграничения полномочий защищает информацию на уровне логических дисков. Пользователь получает доступ к определенным дискам А,В,С. Z. Все абоненты разделены на 4 категории:

— суперпользователь (доступны все действия в системе);

-администратор (доступны все действия в системе, за исключением изменения имени, статуса и полномочий суперпользователя, ввода или исключения его из списка пользователей);

— программисты (может изменять личный пароль);

-коллега (имеет право на доступ к ресурсам, установленным ему суперпользователем).

Помимо санкционирования и разграничения доступа к логическим дискам, администратор устанавливает каждому пользователю полномочия доступа к последовательному и параллельному портам. Если последовательный порт закрыт, то невозможна передача информации с одного компьютера на другой. При отсутствии доступа к параллельному порту, невозможен вывод на принтер.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector