Защита информации в локальных сетях


Пути несанкционированного доступа

Несанкционированный доступ к информации, находящейся в локальных сетях бывает:

  • косвенным — без физического доступа к элементам локальных сетей;
  • прямым — с физическим доступом к элементам локальных сетей.

В настоящее время существуют следующие пути несанкционированного получения информации (каналы утечки информации):

  • применение подслушивающих устройств;
  • дистанционное фотографирование;
  • перехват электромагнитных излучений;
  • хищение носителей информации и производственных отходов;
  • считывание данных в массивах других пользователей;
  • копирование носителей информации;
  • несанкционированное использование терминалов;
  • маскировка под зарегистрированного пользователя с помощью хищения паролей и других реквизитов разграничения доступа;
  • использование программных ловушек;
  • получение защищаемых данных с помощью серии разрешённых запросов;
  • использование недостатков языков программирования и операционных систем;
  • преднамеренное включение в библиотеки программ специальных блоков типа «троянских коней»;
  • незаконное подключение к аппаратуре или линиям связи вычислительной системы;
  • злоумышленный вывод из строя механизмов защиты.

Средства защиты информации

Для решения проблемы защиты информации основными средствами, используемыми для создания механизмов защиты принято считать:

Технические средства

Технические средства — электрические, электромеханические, электронные и др. типа устройства. Преимущества технических средств связаны с их надёжностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объём и масса, высокая стоимость. Технические средства подразделяются на:

  • аппаратные — устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с аппаратурой локальных сетей по стандартному интерфейсу (схемы контроля информации по чётности, схемы защиты полей памяти по ключу, специальные регистры);
  • физические — реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения. Замки на дверях, решётки на окнах).

Программные средства

Программные средства — программы, специально предназначенные для выполнения функций, связанных с защитой информации. А именно программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств — универсальность, гибкость, надёжность, простота установки, способность к модификации и развитию.

Недостатки — ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Смешанные аппаратно-программные средства

Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

Организационные средства

Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учётом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

В ходе развития концепции защиты информации специалисты пришли к выводу, что использование какого-либо одного из выше указанных способов защиты, не обеспечивает надёжного сохранения информации. Необходим комплексный подход к использованию и развитию всех средств и способов защиты информации.

Программные средства защиты информации

По степени распространения и доступности на первом месте стоят программные средства, поэтому далее они рассматриваются более подробно. Другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации.

Среди программных средств защиты информации в локальных сетях можно выделить и подробнее рассмотреть следующие:

  • средства архивации данных — средства, осуществляющие слияние нескольких файлов и даже каталогов в единый файл — архив, одновременно с сокращением общего объёма исходных файлов путём устранения избыточности, но без потерь информации, то есть с возможностью точного восстановления исходных файлов.;
  • антивирусные программы — программы разработанные для защиты информации от вирусов;
  • криптографические средства — включают способы обеспечения конфиденциальности информации, в том числе с помощью шифрования и аутентификации;
  • средства идентификации и аутентификации пользователей — аутентификацией (установлением подлинности) называется проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдаёт. А идентификация обеспечивает выполнение функций установления подлинности и определение полномочий субъекта при его допуске в систему, контролирования установленных полномочий в процессе сеанса работы, регистрации действий и др.
  • средства управления доступом — средства, имеющие целью ограничение и регистрацию входа-выхода объектов на заданной территории через «точки прохода»;
  • протоколирование и аудит — протоколирование обеспечивает сбор и накопление информации о событиях, происходящих в информационной системе. Аудит — это процесс анализа накопленной информации. Целью компьютерного аудита является контроль соответствия системы или сети требуемым правилам безопасности, принципам или индустриальным стандартам. Аудит обеспечивает анализ всего, что может относиться к проблемам безопасности, или всего, что может привести к проблемам защиты.

Встроенные

Встроенные средства защиты информации в сетевых ОС доступны, но не всегда, как уже отмечалось, могут полностью решить возникающие на практике проблемы. Например, сетевые ОС NetWare 3.x, 4.x позволяют осуществить надёжную «эшелонированную» защиту данных от аппаратных сбоев и повреждений. Система SFT (System Fault Tolerance — система устойчивости к отказам) компании Novell включает три основные уровня:

  • SFT Level I предусматривает, в частности, создание дополнительных копий FAT и Directory Entries Tables, немедленную верификацию каждого вновь записанного на файловый сервер блока данных, а также резервирование на каждом жёстком диске около 2 % от объёма диска. При обнаружении сбоя данные перенаправляются в зарезервированную область диска, а сбойный блок помечается как «плохой» и в дальнейшем не используется.
  • SFT Level II содержит дополнительные возможности создания «зеркальных» дисков, а также дублирования дисковых контроллеров, источников питания и интерфейсных кабелей.
  • SFT Level III позволяет применять в локальной сети дублированные серверы, один из которых является «главным», а второй, содержащий копию всей информации, вступает в работу в случае выхода «главного» сервера из строя.

Система контроля и ограничения прав доступа в сетях NetWare (защита от несанкционированного доступа) также содержит несколько уровней:

  • уровень начального доступа (включает имя и пароль пользователя, систему учётных ограничений — таких как явное разрешение или запрещение работы, допустимое время работы в сети, место на жёстком диске, занимаемое личными файлами данного пользователя, и т. д.);
  • уровень прав пользователей (ограничения на выполнение отдельных операций и/или на работу данного пользователя, как члена подразделения, в определённых частях файловой системы сети);
  • уровень атрибутов каталогов и файлов (ограничения на выполнение отдельных операций, в том числе удаления, редактирования или создания, идущие со стороны файловой системы и касающиеся всех пользователей, пытающихся работать с данными каталогами или файлами);
  • уровень консоли файл-сервера (блокирование клавиатуры файл-сервера на время отсутствия сетевого администратора до ввода им специального пароля).

Специализированные

Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых решений следует отметить следующие две системы, позволяющие ограничить и контролировать информационные потоки.

  • Firewalls — брандмауэры (firewall — огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищённая разновидность метода — это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.
  • Proxy-servers (proxy — доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью — маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не даёт достаточной защиты против атак на более высоких уровнях — например, на уровне приложения (вирусы, код Java и JavaScript).

См. также

Примечания

    Литература

    • Герасименко В. А. Защита информации в автоматизированных системах обработки данных: развитие, итоги, перспективы. Зарубежная радиоэлектроника, 2003, № 3.
    • Закер К. Компьютерные сети. Модернизация и поиск неисправностей. СПб.: БХВ-Петербург, 2001.
    • Галицкий А. В., Рябко С. Д., Шаньгин В. Ф. Защита информации в сети — анализ технологий и синтез решений. М.: ДМК Пресс, 2004. — 616 с.
    This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.