|
Воспользуйтесь формой поиска по сайту, чтобы найти реферат, курсовую или дипломную работу по вашей теме.
Информационная безопасность в сетях ЭВМКомпьютерные сети
Защита данных в компьютерных сетях становится одной из самых открытых проблем в современных информационно-вычислительных системах. На сегодняшний день сформулировано три базовых принципа информационной безопасности, задачей которой является обеспечение:
целостности данных - защита от сбоев, ведущих к потере информации или ее уничтожения;
конфиденциальности информации;
доступности информации для авторизованных пользователей.
Рассматривая проблемы, связанные с защитой данных в сети, возникает вопрос о классификации сбоев и несанкционированности доступа, что ведет к потере или нежелательному изменению данных. Это могут быть сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и т.д.), потери информации (из-за инфицирования компьютерными вирусами, неправильного хранения архивных данных, нарушений прав доступа к данным), некорректная работа пользователей и обслуживающего персонала. Перечисленные нарушения работы в сети вызвали необходимость создания различных видов защиты информации. Условно их можно разделить на три класса:
средства физической защиты;
программные средства (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа);
административные меры защиты (доступ в помещения, разработка стратегий безопасности фирмы и т.д.).
Одним из средств физической защиты являются системы архивирования и дублирования информации. В локальных сетях, где установлены один-два сервера, чаще всего система устанавливается непосредственно в свободные слоты серверов. В крупных корпоративных сетях предпочтение отдается выделенному специализированному архивационному серверу, который автоматически архивирует информацию с жестких дисков серверов и рабочих станций в определенное время, установленное администратором сети, выдавая отчет о проведенном резервном копировании. Наиболее распространенными моделями архивированных серверов являются Storage Express System корпорации Intel ARCserve for Windows.
Для борьбы с компьютерными вирусами наиболее часто применяются антивирусные программы, реже - аппаратные средства защиты. Однако, в последнее время наблюдается тенденция к сочетанию программных и аппаратных методов защиты. Среди аппаратных устройств используются специальные антивирусные платы, вставленные в стандартные слоты расширения компьютера. Корпорация Intel предложила перспективную технологию защиты от вирусов в сетях, суть которой заключается в сканировании систем компьютеров еще до их загрузки. Кроме антивирусных программ, проблема защиты информации в компьютерных сетях решается введением контроля доступа и разграничением полномочий пользователя. Для этого используются встроенные средства сетевых операционных систем, крупнейшим производителем которых является корпорация Novell. В системе, например, NetWare, кроме стандартных средств ограничения доступа (смена паролей, разграничение полномочий), предусмотрена возможность кодирования данных по принципу «открытого ключа» с формированием электронной подписи для передаваемых по сети пакетов.
Однако, такая система защиты слабомощна, т. к. уровень доступа и возможность входа в систему определяются паролем, который легко подсмотреть или подобрать. Для исключения неавторизованного проникновения в компьютерную сеть используется комбинированный подход - пароль + идентификация пользователя по персональному «ключу». «Ключ» представляет собой пластиковую карту (магнитная или со встроенной микросхемой - смарт-карта) или различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т.д. Серверы и сетевые рабочие станции, оснащенные устройствами чтения смарт-карт и специальным программным обеспечением, значительно повышают степень защиты от несанкционированного доступа.
Смарт-карты управления доступом позволяют реализовать такие функции, как контроль входа, доступ к устройствам ПК, к программам, файлам и командам. Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos, в основу которой входят три компонента:
база данных, которая содержит информацию по всем сетевым ресурсам, пользователям, паролям, информационным ключам и т.д.;
авторизационный сервер (authentication server), задачей которого является обработка запросов пользователей на предоставление того или иного вида сетевых услуг. Получая запрос, он обращается к базе данных и определяет полномочия пользователя на совершение определенной операции. Пароли пользователей по сети не передаются, тем самым, повышая степень защиты информации;
Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера «пропуск» с именем пользователя и его сетевым адресом, временем запроса, а также уникальный «ключ». Пакет, содержащий «пропуск», передается также в зашифрованном виде. Сервер выдачи разрешений после получения и расшифровки «пропуска» проверяет запрос, сравнивает «ключи» и при тождественности дает «добро» на использование сетевой аппаратуры или программ.
По мере расширения деятельности предприятий, роста численности абонентов и появления новых филиалов, возникает необходимость организации доступа удаленных пользователей (групп пользователей) к вычислительным или информационным ресурсам к центрам компаний. Для организации удаленного доступа чаще всего используются кабельные линии и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода. В мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов - их разделение и передача параллельно по двум линиям, - что делает невозможным «перехват» данных при незаконном подключении «хакера» к одной из линий. Используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки «перехваченных» данных. Мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленным пользователям не все ресурсы центра компании могут быть доступны.
В настоящее время разработаны специальные устройства контроля доступа к вычислительным сетям по коммутируемым линиям. Примером может служить, разработанный фирмой AT&T модуль Remote Port Securiti Device (PRSD), состоящий из двух блоков размером с обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют устанавливать несколько уровней защиты и контроля доступа:
шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей;
контроль доступа с учетом дня недели или времени суток.
Прямое отношение к теме безопасности имеет стратегия создания резервных копий и восстановления баз данных. Обычно эти операции выполняются в нерабочее время в пакетном режиме. В большинстве СУБД резервное копирование и восстановление данных разрешаются только пользователям с широкими полномочиями (права доступа на уровне системного администратора, либо владельца БД), указывать столь ответственные пароли непосредственно в файлах пакетной обработки нежелательно. Чтобы не хранить пароль в явном виде, рекомендуется написать простенькую прикладную программу, которая сама бы вызывала утилиты копирования/восстановления. В таком случае системный пароль должен быть «зашит» в код указанного приложения. Недостатком данного метода является то, что всякий раз при смене пароля эту программу следует перекомпилировать.
Применительно к средствам защиты от НСД определены семь классов защищенности (1-7) средств вычислительной техники (СВТ) и девять классов (1А, 1Б, 1В, 1Г, 1Д, 2А, 2Б, 3А, 3Б) автоматизированных систем (АС). Для СВТ самым низким является седьмой класс, а для АС - 3Б.
Рассмотрим более подробно приведенные сертифицированные системы защиты от НСД.
Система «КОБРА» соответствует требованиям 4-ого класса защищенности (для СВТ), реализует идентификацию и разграничение полномочий пользователей и криптографическое закрытие информации, фиксирует искажения эталонного состояния рабочей среды ПК (вызванные вирусами, ошибками пользователей, техническими сбоями и т.д.) и автоматически восстанавливает основные компоненты операционной среды терминала.
Подсистема разграничения полномочий защищает информацию на уровне логических дисков. Пользователь получает доступ к определенным дискам А, В, С,., Z. Все абоненты разделены на 4 категории:
суперпользователь (доступны все действия в системе);
администратор (доступны все действия в системе, за исключением изменения имени, статуса и полномочий суперпользователя, ввода или исключения его из списка пользователей);
программисты (может изменять личный пароль);
коллега (имеет право на доступ к ресурсам, установленным ему суперпользователем).
Помимо санкционирования и разграничения доступа к логическим дискам, администратор устанавливает каждому пользователю полномочия доступа к последовательному и параллельному портам. Если последовательный порт закрыт, то невозможна передача информации с одного компьютера на другой. При отсутствии доступа к параллельному порту, невозможен вывод на принтер.
Описание предмета: «Компьютерные сети»Курс «Компьютерные сети» представляет собой систематическое введение в сетевую проблематику и дает базовые
знания, необходимые для понимания многих курсов. Наряду с изучением принципов работы сети как единого целого
рассматриваются основные понятия и наиболее важные характеристики программных и аппаратных компонентов,
образующих сеть: компьютеров, коммуникационной аппаратуры и операционных систем. Приводится обзор наиболее
популярных стеков коммуникационных протоколов и рассматривается их соответствие семиуровневой модели ISO/OSI.
Изучаются принципы работы коммуникационной аппаратуры различных типов: повторителей, мостов, коммутаторов,
маршрутизаторов, мультиплексоров. Приводятся типовые структуры вычислительных сетей. Поясняется функциональное
назначение основных элементов сетевой операционной системы - сервера, редиректора и коммуникационных драйверов.
Дается характеристика наиболее известных сетевых ОС. Рассматриваются принципы межсетевого взаимодействия.
Приводятся основные понятия из области сетевой безопасности .
Литература - Т.Л. Партыка, И.И. Попов. Информационная безопасность. – М.: Форум, Инфра-М, 2002. – 368 с.
- В.А. Варфоломеев, Э.К. Лецкий, М.И. Шамров, В.В. Яковлев. Архитектура и технологии IBM eServer zSeries. – М.: Интернет-университет информационных технологий, 2005. – 640 с.
- Н.З. Емельянова, Т.Л. Партыка, И.И. Попов. Защита информации в персональном компьютере. – М.: Форум, 2009. – 368 с.
- В.А. Варфоломеев, Э.К. Лецкий, М.И. Шамров, В.В. Яковлев. Архитектура и технологии IBM eServer zSeries. – М.: Интернет-университет информационных технологий, 2010. – 640 с.
- Т.Л. Партыка, И.И. Попов. Информационная безопасность. – М.: Форум, 2012. – 432 с.
- Т.Л. Партыка, И.И. Попов. Информационная безопасность. – М.: Форум, 2012. – 432 с.
- Е.В. Глинская, Н.В. Чичварин. Информационная безопасность конструкций ЭВМ и систем. Учебное пособие. – М.: Инфра-М, 2016. – 118 с.
Образцы работ
Задайте свой вопрос по вашей проблеме
Внимание!
Банк рефератов, курсовых и дипломных работ содержит тексты, предназначенные
только для ознакомления. Если Вы хотите каким-либо образом использовать
указанные материалы, Вам следует обратиться к автору работы. Администрация
сайта комментариев к работам, размещенным в банке рефератов, и разрешения
на использование текстов целиком или каких-либо их частей не дает.
Мы не являемся авторами данных текстов, не пользуемся ими в своей деятельности
и не продаем данные материалы за деньги. Мы принимаем претензии от авторов,
чьи работы были добавлены в наш банк рефератов посетителями сайта без указания
авторства текстов, и удаляем данные материалы по первому требованию.
|
