Remkomplekty.ru

IT Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Средства обеспечения безопасности вычислительных сетей

Обеспечение безопасности в компьютерных сетях

Информационный ресурс корпоративного уровня особенно уязвим и требует качественной и надежной защиты, так как информационная структура разнородна и состоит из распределенных систем, технологий, баз и банков данных. Мероприятия по защите корпоративной информации должны обеспечивать выполнение следующих задач:

• защита от проникновения в компьютерную сеть и утечки информации из сети по каналам связи;

• разграничение потоков информации между сегментами сети;

• защита наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования;

• защита важных рабочих мест и ресурсов от несанкционированного доступа;

• криптографическая защита наиболее важных информационных ресурсов.

Работа с сервисами сети Интернет существенно увеличивает диапазон угроз информации, обрабатываемой в корпорации.

Для поддержания режима информационной безопасности в компьютерных сетях особенно важны программно-технические меры и средства. Ключевыми механизмами являются: идентификации и аутентификация; управление доступом; технологии обнаружения атак; протоколирование и ре­гистрация; криптография и сетевая защита; экранирование.

Использование в корпоративных сетях межсетевых экранов предотвращает возможность нарушения пользователями установленных администраторами правил безопасности информации, позволяет решать ряд задач:

• безопасное взаимодействие пользователей и информационных ресурсов, расположенных в экстранет- и интранет-сетях, с внешними сетями;

• создание технологически единого комплекса мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия;

• построение иерархической системы защиты, предоставляющей адекватные средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети.

Для защиты информации, передаваемой по открытым каналам связи, поддерживающим протоколы TCP/IP, существует ряд программных продуктов, предназначенных для построения VPN на основе международных стандартов IPSec. Виртуальные сети создаются чаще всего на базе арендуемых и коммутируемых каналов связи в сетях общего пользования (сеть Интернет). Для небольших и средних компаний они являются хорошей альтернативой изолированным корпоративным сетям, так как обладают преимуществами: высокая гарантированная надежность, изменяемая топология, простота конфигурирования и масштабирования, контроль всех событий и действий в сети, относительно невысокая стоимость аренды каналов и коммуникационного оборудования.

Системы шифрования с открытым криптографическим интерфейсом реализуют различные криптоалгоритмы. Это дает возможность использовать продукты в любой стране мира в соответствии с принятыми национальными стандартами. В настоящее время информационные продукты, предназначенные для шифрования в корпоративных сетях, устанавливаются только на тех рабочих местах, на которых хранится очень важная информация.

Наличие разнообразных модификаций (для клиентских, серверных платформ, сети масштаба офиса, генерации ключевой информации) позволяет подбирать оптимальное по стоимости и надежности решение с возможностью постепенного наращивания мощности системы защиты.

В связи с постоянными изменениями сети важно свое­временное выявление новых уязвимых мест, угроз и атак на информационные ресурсы и внесение изменений в соответствующие настройки информационного комплекса и его подсистем, и в том числе в подсистему защиты. Для этого рабочее место администратора системы должно быть укомплектовано специализированными программными средствами обследования сетей и выявления уязвимых мест (наличия «дыр») для проведения атак «извне» и «снаружи», а также комплексной оценки степени защищенности от атак нарушителей. Например, в состав продуктов ЭЛВИС+, Net Pro VPN входят наиболее мощные среди обширного семейства коммерческих пакетов продукты компании Internet Security Systems (Internet Scanner и System Security Scanner), а также продукты компании Cisco: система обнаружения несанкционированного доступа NetRanger и сканер уязвимости систе­мы безопасности NetSonar.

Поддержка процесса идентификации и аутентификации пользователей и реализация механизма интеграции существующих приложений и всех компонент подсистемы безопасности осуществляется на основе технологии построения инфраструктуры открытых ключей (Public Key Infrastruture — PKI). Основными функциями PKI являются поддержка жизненного цикла цифровых ключей и сертификатов (генерация, распределение, отзыв и пр.). Несмотря на существующие международные стандарты, определяющие функционирование системы PKI и способствующие ее взаимодействию с различными средствами защиты информации, к сожалению, не каждое средство информационной защиты, даже если его производитель декларирует соответствие стандартам, может работать с любой системой PKI.

Наиболее критичными с точки зрения безопасности ресурсами в корпоративных сетях являются серверы. Основным способом вмешательства в нормальный процесс их функционирования является проведение атак с использованием уязвимых мест сетевого аппаратного и программного обеспечения. Основная задача — своевременное обнаружение атаки и противодействие ей.

Защита важных рабочих мест и ресурсов от несанкционированного доступа как средство обеспечения информационной безопасности в компьютерных сетях проводится с помощью дополнительных средств защиты, в частности криптографических, регламентирование и протоколирование действий пользователей, разграничение прав пользователей по доступу к локальным ресурсам.

Одним из важнейших методов повышения безопасности сетей является использование средств, предусмотренных в стандартных протоколах их построения (модель OSI). Фактически обязательно применение следующих методов: орга­низация доменов безопасности на уровне транспортной сети и на уровне сервиса электронной почты; регистрация попыток пользователей установления соединений вне заданных доменов безопасности; протокольная аутентификация устанавливаемых соединений; определение доступного сервиса для каждого конкретного абонента и др.

Проблема защиты информации сети Интернет сегодня самая актуальная и в ней выделяются две категории: обща я безопасность и надежность финансовых операций. Безопасность сети можно обеспечивать на различных уровнях сетевого взаимодействия (рис. 7.6, табл. 7.3) с использованием различных протоколов защиты.

В качестве протокола сетевого уровня в настоящее время используется протокол IPv6, который обеспечивает расширенное адресное пространство; улучшенные возможности маршрутизации; управление доставкой информации; средства обеспечения безопасности, использующие алгоритмы аутентификации и шифрования. Спецификация IPsec, входящая в стандарт IPv6, предусматривает стандартный способ шифрования трафика на сетевом уровне IP и обеспечивает защиту на основе сквозного шифрования (шифрует каждый проходящий по каналу пакет независимо от приложения что позволяет создавать в сети Интернет виртуальные частные сети). IPsec использует различные методы обеспечения комплексной информационной безопасности (применение цифровой подписи с использованием открытого ключа; алгоритм шифрования, подобный DES, для шифрования передаваемых данных; использование хэш-алгоритма для определения подлинности пакетов и др.)

Преимущества применения IPsec на сетевом уровне: поддержка отличных от TCP протоколов; поддержка виртуальных сетей в незащищенных сетях; более надежная защита от анализа трафика; защита от атак типа «отказ в обслуживании» и др.

Ядро IPSec составляют три протокола: протокол аутентификации (Authenti-cation Header, АН — гарантирует целостность и аутентичность данных), протокол шифрования (Encapsulation Sectirity Payload, ESP — шифрует передаваемые данные, гарантируя конфиденциальность, но он может также поддерживать аутентификацию и целостность данных) и протокол обмена ключами (Internet Key Exchange, IKE — решает вспомогательную задачу автоматического предоставления конечным точкам канала секретных ключей, необходимых для работы протоколов аутентификации и шифрования данных).

Протокол IPsec создавался в рамках разработок средств защищенной передачи пакетов в сети Интернет-2.

Методы обеспечения безопасности сетей;

Рассмотрим конкретные методы и средства защиты, которые используются в компьютерных сетях.

Парольная защита основывается на том, что для того, чтобы использовать какой-либо ресурс, необходимо задать пароль (некоторая комбинация символов). С помощью паролей защищаются файлы, архивы, программы и отдельные компьютеры. У парольной защиты есть недостатки — это слабая защищенность коротких паролей, которые с помощью специальных программ можно быстро раскрыть простым перебором. При выборе пароля нужно соблюдать ряд требований: пароль не должен состоять менее, чем из восьми символов; не использовать один и тот же пароль для доступа к разным ресурсам; не использовать старый пароль повторно; менять пароль как можно чаще. В сетях пароли могут использоваться самостоятельно, а также в качестве основы для различных методов аутентификации.

Идентификацию и аутентификацию пользователей можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов.

Идентификация представляет собой процедуру распознавания пользователя (процесса) по его имени.

Аутентификация — это процедура проверки подлинности пользователя, аппаратуры или программы для получения доступа к определенной информации или ресурсу.

В качестве синонима слова «аутентификация» иногда используют сочетание «проверка подлинности». Субъект может подтвердить свою подлинность, если предъявит, по крайней мере, одну из следующих сущностей:

— нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.,

— нечто, чем он владеет: личную карточку или иное устройство аналогичного назначения,

— нечто, что является частью его самого: голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики,

— нечто, ассоциированное с ним, например координаты.

Читать еще:  Угрозы национальной безопасности российской федерации

Криптографические методы защиты основываются на шифровании информации и программ. Готовое к передаче сообщение — будь то данные, речь либо графическое изображение того или иного документа, обычно называется открытым, или незащищенным текстом. Такое сообщение в процессе передачи по незащищенным каналам связи может быть легко перехвачено. Для предотвращения несанкционированного доступа к сообщению оно зашифровывается, преобразуясь в закрытый текст. Санкционированный пользователь, получив сообщение, дешифрует его обратным преобразованием криптограммы. В результате чего получается исходный открытый текст.

Шифрование может быть симметричным и асимметричным. Симметричное шифрование использует один и тот же секретный ключ для шифровки и дешифровки. Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит новую проблему рассылки ключей. С другой стороны, получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.

При ассиметричном шифровании для шифрования используется один общедоступный ключ, а для дешифрования — другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.

Асимметричные методы шифрования позволяют реализовать так называемую электронную подпись. Идея состоит в том, что отправитель посылает два экземпляра сообщения — открытое и дешифрованное его секретным ключом. Получатель может зашифровать с помощью открытого ключа отправителя дешифрованный экземпляр и сравнить с открытым ключом. Если они совпадут, личность и подпись отправителя можно считать установленными.

Существенным недостатком асимметричных методов является их низкое быстродействие, поэтому их приходится сочетать с симметричными. Так, для решения задачи рассылки ключей сообщение сначала симметрично шифруют случайным ключом, затем этот ключ шифруют открытым асимметричным ключом получателя, после чего сообщение и ключ отправляются по сети.

При использовании асимметричных методов необходимо иметь гарантию подлинности пары (имя, открытый ключ) адресата. Для решения этой задачи вводится понятие сертификационного центра, который заверяет справочник имен/ключей своей подписью.

Шифрование программ гарантирует невозможность внесения в них изменений. Криптографическая защита данных осуществляется и при хранении данных и при передаче их по сети. В настоящее время возможна как программная, так и аппаратная реализация средств криптографии.

Привязка программ и данных к конкретному компьютеру (сети или ключу). Идея этого метода заключается в том, чтобы включить в данные или в программу параметры или характеристики конкретного компьютера, что сделает невозможным чтение данных или выполнение программ на другом компьютере. Различные модификации этого метода применительно к сети могут требовать или выполнение всех операций на конкретном компьютере, или активного соединения сети с конкретным компьютером. Метод «привязки» может значительно повысить защищенность сети.

Разграничение прав доступа пользователей к ресурсам сети. Этот метод основан на использовании наборов таблиц, которые определяют права пользователей. Они построены по правилам «разрешено все, кроме» или «разрешено только». Таблицы по паролю или идентификатору пользователя определяют его права доступа к дискам, файлам, операциям чтения, записи, копирования, удаления и другим сетевым ресурсам. Такое разграничение доступа определяется, как правило, возможностями используемой ОС.

Управление доступом может быть достигнуто при использовании дискреционного или мандатного управления доступом.

Дискреционная модель разграничения доступа предполагает назначение каждому объекту списка контроля доступа, элементы которого определяют права доступа к объекту конкретного субъекта. Правом редактирования дискреционного списка контроля доступа обычно обладают владелец объекта и администратор безопасности. Эта модель отличается простотой реализации, но возможна утечка конфиденциальной информации даже в результате санкционированных действий пользователей.

Мандатная модель разграничения доступа предполагает назначение объекту метки (грифа) секретности, а субъекту — уровня допуска. Доступ субъектов к объектам в мандатной модели определяется на основании правил «не читать выше» и «не записывать ниже». Использование мандатной модели, в отличие от дискреционного управления доступом, предотвращает утечку конфиденциальной информации, но снижает производительность компьютерной системы.

Протоколирование и аудит состояния системы безопасности составляют основу обеспечения безопасности корпоративной сети.

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия.

Аудит — это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.

Реализация протоколирования и аудита преследует следующие главные цели:

— обеспечение подотчетности пользователей и администраторов — обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений. Тем самым обеспечивается целостность информации;

— обеспечение возможности реконструкции последовательности событий — позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе;

— обнаружение попыток нарушений информационной безопасности;

— предоставление информации для выявления и анализа проблем — позволяют помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д.

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита используются для формирования стратегии развития системы защиты информации в организации. Необходимо помнить, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную пользу и способствовать повышению уровня информационной безопасности компании.

При подключении корпоративной сети к открытым сетям, например к сети Internet, появляются угрозы несанкционированного вторжения в закрытую (внутреннюю) сеть из открытой (внешней), а также угрозы несанкционированного доступа из закрытой сети к ресурсам открытой. Подобный вид угроз характерен также для случая, когда объединяются отдельные сети, ориентированные на обработку конфиденциальной информации разного уровня секретности.

Нарушитель через открытую внешнюю сеть может вторгнуться в сеть организации и получить доступ к техническим ресурсам и конфиденциальной информации, получить пароли, адреса серверов, а иногда и их содержимое, войти в информационную систему организации под именем зарегистрированного пользователя и т.д.

Угрозы несанкционированного доступа из внутренней сети во внешнюю сеть являются актуальными в случае ограничения разрешенного доступа во внешнюю сеть правилами, установленными в организации.

Ряд задач по отражению угроз для внутренних сетей способны решить межсетевые экраны.

Межсетевой экран (МЭ) или брандмауэр (Firewall) — это средство защиты, которое можно использовать для управления доступом между надежной сетью и менее надежной. Основная функция МЭ — централизация управления доступом. Если удаленные пользователи могут получить доступ к внутренним сетям в обход МЭ, его эффективность близка к нулю. МЭ обычно используются для защиты сегментов локальной сети организации.

Межсетевые экраны обеспечивают несколько типов защиты:

— блокирование нежелательного трафика;

— перенаправление входного трафика только к надежным внутренним системам;

— сокрытие уязвимых систем, которые нельзя обезопасить от атак из глобальной сети другим способом;

— протоколирование трафика в и из внутренней сети;

— сокрытие информации (имен систем, топологии сети, типов сетевых устройств и внутренних идентификаторов пользователей, от внешней сети;

— обеспечение более надежной аутентификации, чем та, которую представляют стандартные приложения.

Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. Прозрачность — это видимость МЭ как внутренним пользователям, так и внешним, осуществляющим взаимодействие через МЭ, который прозрачен для пользователей, если он не мешает им получить доступ к сети. Обычно МЭ конфигурируются так, чтобы быть прозрачными для внутренних пользователей сети (посылающим пакеты наружу), и, с другой стороны, МЭ конфигурируется так, чтобы быть непрозрачным для внешних пользователей, пытающихся получить доступ к внутренней сети извне. Это обычно обеспечивает высокий уровень безопасности и не мешает внутренним пользователям.

Важным понятием экранирования является зона риска, определяемая как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Для повышения надежности защиты, экран реализуют как совокупность элементов, так что «взлом» одного из них еще не открывает доступ ко всей внутренней сети. Экранирование и с точки зрения сочетания с другими сервисами безопасности, и с точки зрения внутренней организации использует идею многоуровневой защиты, за счет чего внутренняя сеть оказывается в пределах зоны риска только в случае преодоления злоумышленником нескольких, по-разному организованных защитных рубежей. Экранирование может использоваться как сервис безопасности не только в сетевой, но и в любой другой среде, где происходит обмен сообщениями.

Читать еще:  Онлайн чекер вирусов

Обеспечение безопасности информации в вычислительных сетях

В вычислительных сетях сосредоточивается информация, исключительное право на

пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вмешательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации.

Физическая защита системы и данных может осуществляться только в отношении рабочих ЭВМ и узлов связи и оказывается невозможной для средств передачи, имеющих

большую протяженность. По этой причине в вычислительных сетях должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.

Исследования практики функционирования систем обработки данных и вычислительных систем показали, что существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:

􀂃 чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

􀂃 копирование носителей информации и файлов информации с преодолением мер защиты;

􀂃 маскировка под зарегистрированного пользователя;

􀂃 маскировка под запрос системы;

􀂃 использование программных ловушек;

􀂃 использование недостатков операционной системы;

􀂃 незаконное подключение к аппаратуре и линиям связи;

􀂃 злоумышленный вывод из строя механизмов защиты;

􀂃 внедрение и использование компьютерных вирусов.

Обеспечение безопасности информации в вычислительных сетях и в автономно работающих ПЭВМ достигается комплексом организационных, организационно-технических и программных мер.

К организационным мерам защиты относятся:

􀂃 ограничение доступа в помещения, в которых происходит подготовка и обработка информации;

􀂃 допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;

􀂃 хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;

􀂃 исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т.д.;

􀂃 использование криптографических кодов при передаче по каналам связи ценной информации;

􀂃 уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты

Организационно-технические меры включают:

􀂃 осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника питания или через специальные сетевые фильтры;

􀂃 установку на дверях помещений кодовых замков;

􀂃 использования для отображения информации при вводе-выводе жидкокристаллических или плазменных дисплеев, а для получения твердых копий — струйных принтеров и термопринтеров, поскольку дисплей дает такое высокочастотное электромагнитное излучение, что изображение с его экрана можно принимать на расстоянии нескольких сотен километров;

􀂃 уничтожение информации, хранящейся в ПЗУ и на НЖМД, при списании или от-

правке ПЭВМ в ремонт;

􀂃 установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;

􀂃 ограничение электромагнитного излучения путем экранирования помещений, где

проходит обработка информации, листами из металла или из специальной пластмассы.

Технические средства защиты — это системы охраны территорий и помещений с помощью экранирования машинных залов и организации контрольно-пропускных систем.

Защита информации в сетях и вычислительных средствах с помощью технических

средств реализуется на основе организации доступа к памяти с помощью:

􀂃 контроля доступа к различным уровням памяти компьютеров; блокировки данных и ввода ключей;

􀂃 выделения контрольных битов для записей с целью идентификации и др.

Архитектура программных средств защиты информации включает:

􀂃 контроль безопасности, в том числе контроль регистрации вхождения в систему,

фиксацию в системном журнале, контроль действий пользователя;

􀂃 реакцию (в том числе звуковую) на нарушение системы защиты контроля доступа к ресурсам сети; контроль мандатов доступа;

􀂃 формальный контроль защищенности операционных систем (базовой общесистемной и сетевой); контроль алгоритмов защиты;

􀂃 проверку и подтверждение правильности функционирования технического и программного обеспечения.

Для надежной защиты информации и выявления случаев неправомочных действий

проводится регистрация работы системы: создаются специальные дневники и протоколы, в которых фиксируются все действия, имеющие отношение к защите информации в системе.

Фиксируются время поступления заявки, ее тип, имя пользователя и терминала, с которого инициализируется заявка.

Используются также специальные программы для тестирования системы защиты. Периодически или в случайно выбранные моменты времени они проверяют работоспособность аппаратных и программных средств защиты.

К отдельной группе мер по обеспечению сохранности информации и выявлению несанкционированных запросов относятся программы обнаружения нарушений в режиме реального времени. Программы данной группы формируют специальный сигнал при регистрации действий, которые могут привести к неправомерным действиям по отношению к защищаемой информации. Сигнал может содержать информацию о характере нарушения, месте его возникновения и другие характеристики. Кроме того, программы могут запретить доступ к защищаемой информации или симулировать такой режим работы (например, моментальная загрузка устройств ввода-вывода), который позволит выявить нарушителя и задержать его соответствующей службой.

Один из распространенных способов защиты — явное указание секретности выводимой информации. В системах, поддерживающих несколько уровней секретности, вывод на экран терминала или печатающего устройства любой единицы информации (например, файла, записи или таблицы) сопровождается специальным грифом с указанием уровня секретности.

Это требование реализуется с помощью соответствующих программных средств.

В отдельную группу выделены средства защиты от несанкционированного использования программного обеспечения.

Особое внимание уделяется законодательным средствам, регулирующим использование программных продуктов. В соответствии с Законом Российской Федерации об информации, информатизации и защите информации от 25 января 1995 г. предусматриваются санкции к физическим и юридическим лицам за нелегальное приобретение и использование программных средств.

Большую опасность представляют компьютерные вирусы.

Компьютерный вирус — это специально написанная небольшая по раз мерам про-

грамма, которая может «приписывать» себя к другим про. граммам (т.е. заражать их), а также выполнять различные нежелательные действия.

Программа, внутри которой находится компьютерный вирус, называется зараженной.

Когда такая программа начинает работу, то сначала управление получает вирус, который находит и заражает другие программы, а также выполняет ряд вредных действий, в частности «засоряет» активную память, портит файлы и т.д.

Для маскировки вируса его действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении каких-либо условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает как обычно, т.е. внешне работа зараженной программы какое-то время не отличается от работы незараженной программы.

Если не принимать мер по защите от вируса, то последствия заражения вирусом компьютеров могут быть серьезными, В число средств и методов защиты от компьютерных вирусов входят:

􀂃 общие средства защиты информации, которые полезны так же, как и страховка от физической порчи машинных дисков, неправильно работающих программ или ошибочных действий пользователя;

􀂃 профилактические меры, позволяющие уменьшить вероятность заражения вирусом; специализированные программы для защиты от вирусов.

Методы защиты локальной сети

По утверждениям IT-специалистов, процесс построения локальной сети — это лишь третья часть работы по конструированию. Второй этап — проведение настройки конфигурации, первый — обеспечение безопасности локальной сети. Каждому предприятию необходимо сохранить приватность сведений, которые передаются по разным каналам или находятся на хранении внутри самой корпоративной системы.

С какими целями необходимо обеспечить безопасность?

Цели во многом зависят от индивидуальной ситуации. Но можно выделить три основные, характерные для всех случаев.

  1. Предотвращение любых попыток изменить информацию, сохранение ее в неизменном виде.
  2. Обеспечение конфиденциальности всех занесенных данных.
  3. Доступность всех действий и сохранение возможности проводить операции.

Обеспечение неизменности гарантирует, что в случае, если произойдет вторжение злоумышленников внутрь операционной системы ПК, файлы не подвергнутся уничтожению. Также невозможно изменение их содержимого и подмена исходных файлов.

К конфиденциальной информации относятся следующие сведения:

  • сведения, которые составляют коммерческую тайну;
  • личные данные санкционированных пользователей;
  • список логинов, паролей;
  • документация, находящаяся во внутреннем пользовании фирмы;
  • бухгалтерские отчеты;
  • сохраненные рабочие переписки;
  • кадры фото и видеосъемки, наблюдений;
  • иная важная информация.

Подобные файлы представляют особый интерес для преступников и конкурентов, так как могут использоваться не только для хищения финансовых средств, но и с целью обнародования данных в личных целях.

При выполнении действий по защите возникает еще одна проблема: обеспечение доступности. Серверы, принтеры, рабочие станции, критические файлы и иные ресурсы должны находиться в состоянии круглосуточного доступа для всех пользователей.

Читать еще:  Безопасный режим на ноутбуке hp

Методики защиты

Все меры по обеспечению безопасности должны быть предварительно проработаны, сформулированы в виде плана. Один из самых важных моментов — профилактика возникновения форс-мажорных ситуаций.

Для обеспечения защиты создаются физические препятствия к проникновению злоумышленников к аппаратуре. Устанавливается контроль над всеми ресурсами системы. Криптографическое преобразование информации с целью маскировки проводится при передаче ее по линиям связи на большие расстояния. Заключительный этап — создание свода правил безопасности, принуждение всех сотрудников организации к их исполнению.

Программные инструменты

Главным образом обеспечение безопасности локальных сетей зависит от программных средств. К таковым относятся:

  1. Межсетевые экраны. Это промежуточные элементы компьютерной сети, которые служат для фильтрации входящего и исходящего трафика. Риск несанкционированного доступа к информации становится меньше.
  2. Прокси-серверы. Производят ограничение маршрутизации между глобальной и локальной частями сети.
  3. VPN. Позволяют передавать информацию по зашифрованным каналам.
  4. Разные наборы протоколов, которые нужны для создания защищенного соединения и установления контроля над элементами локальной сети.

Эти приложения, встроенные в оперативную систему и специализированные, шифруют данные. Данные разграничивают потоки информации.

Комплексная защита

Наша компания создала решение, обеспечивающее полный контроль за локальными сетями. Это ИКС — межсетевой экран, снабженный всеми необходимыми функциями для защиты сети.

Информационная безопасность в компьютерных сетях

Дата публикации: 24.05.2016 2016-05-24

Статья просмотрена: 9914 раз

Библиографическое описание:

Абраров Р. Д., Курязов Д. А. Информационная безопасность в компьютерных сетях // Молодой ученый. — 2016. — №9.5. — С. 10-12. — URL https://moluch.ru/archive/113/29719/ (дата обращения: 06.04.2020).

На сегодняшний день компьютерная сеть является привычным средством коммуникации, а также инструментом для обмена информацией. В связи при создание компьютерных сетей с много пользовательским режиме работы в локальных и глобальных сетях возникает целый ряд взаимосвязанных проблем по защите информации, хранящейся в компьютерах или серверах компьютерной сети. Современные сетевые операционные системы, которые уже полностью защищены от атак и угрозой также представляют мощные средства защиты от несанкционированного доступа к сетевым ресурсам. Однако, возникают случаи, когда даже такая защита становится уязвимой и не срабатывает программные продукты для защиты информации. Практика показывает, что несанкционированный пользователь или программные продукты, называемые как вирусы, имеющий достаточный опыт в области системного и сетевого программирования, задавшийся целью подключиться к сети, даже имея ограниченный доступ к отдельным ресурсам, рано или поздно все равно может получить доступ к некоторым защищенным ресурсам сети. Поэтому возникает проблемы необходимости в создании дополнительных аппаратных и программных средств защиты сетевых ресурсов от несанкционированного доступа или подключения [1].

К аппаратным средствам защиты относятся различные брандмауэры, сетевые экраны, фильтры, антивирусные программы, устройства шифрования протокола и т. д.

К программным средствам защиты можно отнести: слежения сетевых подключений (мониторинг сети); средства архивации данных; антивирусные программы; криптографические средства; средства идентификации и аутентификации пользователей; средства управления доступом; протоколирование и аудит.

Как примеры комбинаций вышеперечисленных мер можно привести:

— защиту баз данных;

— защиту информации при работе в компьютерных сетях.

При создание крупномасштабных (локальных, корпоративных и т. д.) компьютерных сетей возникает проблема обеспечения взаимодействия большого числа компьютеров, серверов, подсетей и сетей т. е. проблема поиска и выбора оптимальной топологий становится главной задачей. Важнейшим компонентом локальных и корпоративных сетей является их системная топология, которая определяется архитектурой межкомпьютерных связей.

Известно, что в компьютерных сетях для обеспечения безопасности информации и сети подлежит обработке критическая информация. Термином «критическая информация» это: определенные факты относительно намерений, способностей и действий, жизненно необходимых для эффективного управления и деятельности критически важных структур, эффективного выполнения стоящих стратегических задач с различными грифами секретности; информация для служебного пользования; информация, составляющая коммерческую тайну или тайну фирмы; информация, являющаяся собственностью некоторой организации или частного лица. На рис.1. представлены Угрозы при беспроводном доступе к локальной сети.

Рис. 1. Угрозы при беспроводном доступе к локальной сети (Основные уязвимости и угрозы беспроводных сетей. Вещание радиомаяка. Обнаружение WLAN. Подслушивание. Ложные точки доступа в сеть. Отказ в обслуживании. Атаки типа «человек-в-середине». Анонимный доступ в Интернет).

В компьютерных сетях должны, предусмотрены аутентификация и шифрование, но данные элементы защиты не всегда обеспечивают надежную безопасность сети [2]:

— использование шифрования в несколько раз уменьшает скорость передачи данных по каналу, поэтому, нередко, шифрование сознательно не применяется администраторами сетей с целью оптимизации трафика;

— в компьютерных сетях зачастую применяется устаревшая технология шифрования. Существуют программы, которые могут достаточно быстро подобрать ключи для проникновения в сеть.

Каждый узел сети является самостоятельной компьютерной системой со всеми проблемами добавляются, связанные с линиями связи и процедурой передачи информации.

С точки зрения безопасности компьютерные сети обладают следующими недостатками [3]:

— недостаточный контроль над клиентскими компьютерами;

— отсутствие механизма настраиваемого доступа нескольких пользователей к разным ресурсам на одном компьютере;

— необходимость подготовленности пользователя к разным административным мерам — обновлению антивирусной базы, архивированию данных, определению механизмов доступа к раздаваемым ресурсам и т. д.;

— разделение ресурсов и загрузка распределяются по различным узлам сети, многие пользователи имеют потенциальную возможность доступа к сети как к единой компьютерной системе;

— операционная система, представляющая сложный комплекс взаимодействующих программ. В силу этого обстоятельство трудно сформулировать четкие требования безопасности, особенно к общецелевым сетям, разрабатывавшимся без учета безопасности;

— неопределенная периферия сильно влияет невозможность определения, в большинстве случаев, точных пределов сети. Один и тот же узел может одновременно работать в нескольких сетях, и, следовательно, ресурсы одной сети вполне могут использоваться с узлов, входящих в другую сеть. Такое широкомасштабное разделение ресурсов, несомненно, преимущество;

— множественность точек атаки компьютерной системе, можно контролировать доступ к системе пользователей, поскольку этот доступ осуществляется с терминалов компьютерной системы. Ситуация в сети совершенно иная: к одному и тому же файлу может быть затребован так называемый удаленный доступ с различных узлов сети. Поэтому, если администратор отдельной системы может проводить четкую политику безопасности в отношении своей системы, то администратор узла сети лишен такой возможности;

— не определённая распределение траектории доступа. Пользователь или захватчик может затребовать доступ к ресурсам некоторого узла сети, с которым данный узел не связан напрямую сетью. В таких случаях доступ осуществляется через некоторый промежуточный узел, связанный с обоими узлами, или даже через несколько промежуточных узлов. В компьютерных сетях весьма непросто точно определить, откуда именно пришел запрос на доступ, особенно если захватчик приложит немного усилий к тому, чтобы скрыть это;

— слабая защищенность линии связи. Сеть тем и отличается от отдельной системы, что непременно включает в себя линии связи, по которым между узлами передаются данные. Это может быть элементарный провод, а может быть линия радиосвязи, в том числе и спутниковый канал. При наличии определенных условий (и соответствующей аппаратуры) к проводу можно незаметно (или почти незаметно) подсоединиться, радиолинию можно успешно прослушивать — т. е. ничто не препятствует тому, чтобы «выкачивать» передаваемые сообщения из линий связи и затем выделять из всего потока требуемые.

На основе анализа угрозы безопасности компьютерных сетей можно сделать выводы о свойствах и функциях, которые должна обладать система обеспечения безопасности локальных и корпоративный сетей (КС).

  1. Идентификация защищаемых ресурсов, т. е. при подключение компьютерным сетям присвоение защищаемым ресурсам, по которым в дальнейшем система производит аутентификацию.
  2. Аутентификация защищаемых ресурсов.
  3. Применение парольной защиты ресурсов во — всей части компьютерной сети.
  4. Регистрация всех действий: вход пользователя в сеть, выход из сети, нарушение прав доступа к защищаемым ресурсам и т. д.
  5. Обеспечение защиты информации при проведении сканирование сети от вредоносных программ и ремонтно-профилактических работ.
  1. Палмер Майкл, Синклер Роберт Брюс. Проектирование и внедрение компьютерных сетей. Учебное пособие 2-издание. СПб.: BHV, 2004. — 752с.
  2. Варлатая С. К., Шаханова М. В. Защита информационных процессов в компьютерных сетях. Учебно-методический комплекс. М.: Проспект, 2015. — 216с.
  3. В. М. Вишневский. Теоретические основы проектирования компьютерных сетей. М.: Техносфера, 2003. — 512с.
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector
×
×