ЛВС с защитой контроля доступа
Локальные вычислительные сети (ЛВС) — это компьютерные сети, соединяющих между собой некоторое количество компьютеров в границах одной комнаты, здания или группы зданий.
Введение
Проблема защиты от несанкционированного доступа к информации приобрела актуальность для большинства компаний. Сведения, способные вызвать интерес у третьих лиц, расположены в базах данных и медицинских заведений, и производственных компаний, и государственных структур. Причем охрана персональных данных является требованием закона, а оставшиеся информационные массивы должны охраняться на основании внутренней политики организации, направленной на формирование удобной и эффективной системы защиты.
ЛВС с защитой контроля доступа
Локальной вычислительной сетью (ЛВС) является незначительная по размерам компьютерная сеть, служащая интересам определенного числа пользователей, которая покрывает одно или несколько зданий, к примеру, офисы или помещения высших учебных заведений.
ЛВС могут быть классифицированы по методу администрирования следующим образом:
- Локальные вычислительные сети.
- Распределенные вычислительные сети.
- Городские вычислительные сети.
В ЛВС компьютерное оборудование объединяется с помощью медных или оптоволоконных кабелей или даже при помощи спутниковой связи. Объединение персональных компьютеров в сеть предоставляет следующую совокупность возможностей:
- Передача информации без съемных носителей.
- Возможность совместной работы в программе, которая установлена на одном компьютере, нескольким пользователям.
- Возможность совместного использования различных устройств, таких как, к примеру, принтер.
- Возможность использования одного решения для защиты конфиденциальных данных на нескольких рабочих станциях.
С другими сетями ЛВС могут соединяться при помощи шлюзов. ЛВС можно подключить к сети Интернет или использовать в автономном режиме. При втором варианте решать задачу обеспечения безопасности информации гораздо более просто.
При решении проблемы защиты информации в локальных сетях прежде всего следует определить релевантную модель угроз, для того чтобы можно было сделать оценку степени рисков, способных воздействовать на информацию. При формировании модели угроз следует учитывать, что несанкционированный доступ может быть следующих видов:
- Косвенный, который осуществляется без прямого физического доступа к информации.
- Прямой, который осуществляется при наличии физического доступа к сети.
Список методов противозаконного получения сведений является достаточно широким. Угрозу для системы могут создавать даже те, которые применяются достаточно редко. Основными методами организации несанкционированного доступа к данным в ЛВС являются следующие:
- Метод фотографирования экрана.
- Метод считывания электромагнитных волн мониторов, именуемый перехватом ван Эйка.
- Метод запрещенного копирования, который становится в последнее время главной угрозой для информационной безопасности.
- Метод хищения носителей данных.
- Метод проникновения в компьютеры других пользователей, для того чтобы получить информацию ограниченного доступа, иногда с применением чужих средств идентификации, таких как, логины, пароли, смарт-карты.
- Метод использования программных ловушек.
- Метод получения информации при помощи серии разрешенных запросов.
- Метод использования недостатков программ и операционных систем, для того чтобы получить сведения.
- Метод использования вредоносных программных продуктов.
- Метод нелегитимного подключения к сети.
Со всеми этими методами хищения информации следует вести борьбу. По статистике, до восьмидесяти процентов случаев несанкционированного доступа к информации сопряжены с действиями внутренних пользователей. Внешние атаки на корпоративные сети осуществляются более редко, особенно, когда для защиты данных ЛВС не имеет подключения к сети Интернет.
Следует отметить, что несанкционированный доступ к данным способен вызвать следующие серьезные инциденты:
- Разглашение и распространение информации. Данному риску особенно подвержена документация, которая имеет характер коммерческой тайны, а также интеллектуальные активы. Их завладение третьими лицами, конкурентами способно привести к финансовому ущербу для организации. Разглашение сведений, которые относятся к персональным данным, может повлечь за собой ответственность по нормам действующего законодательства.
- Выполнение намеренного искажения, подмены достоверной информации на ложные данные.
- Ликвидация по умыслу третьего лица или из-за поломки оборудования, информационных носителей или как результат непреднамеренного заражения рабочей станции с помощью компьютерных вирусов.
Достаточно непросто определить, какой конкретно ущерб способна принести организации недостаточно эффективная забота о защите информации. Возникновение на рынке инсайдерских данных способно влиять на курс акций фирмы, уменьшить ее капитализацию.
Необходимо отметить, что на вопросах безопасности не следует экономить. Как утверждают эксперты «Лаборатории Касперского», усредненный бюджет на защиту информации в информационных сетях для российской компании составил более одного миллиона долларов. А в течение ближайших лет, благодаря развитию кибернетических технологий, бюджет информационной безопасности может вырасти еще примерно на восемнадцать процентов.
Применение разных средств, предназначенных для информационной защиты, следует учитывать еще на этапах проектирования архитектуры сети. Защитные методики можно разделить на следующие основные группы:
- Организационные методы.
- Технические или аппаратные методы.
- Программные методы.
- Аппаратно-программные методы.
Все перечисленные средства предназначены для создания сложностей при попытках несанкционированного доступа в ЛВС.
Лекция 24 Обеспечение безопасности информации в лвс
В вычислительных сетях сосредотачивается информация, исключительное право на пользование которой принадлежит определенным лицам или группам лиц, действующим в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вмешательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в вычислительных сетях должны приниматься меры по защите вычислительных ресурсов и средств связи от их несанкционированного использования, то есть должен быть исключен доступ к сети лиц, не имеющих на это права. Физическая защита системы и данных может осуществляться только в отношении рабочих компьютеров и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.
Исследования практики функционирования систем обработки данных и вычислительных сетей показали, что существует много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:
- чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
- копирование носителей информации и файлов информации с преодо- лением мер защиты;
- маскировка под зарегистрированного пользователя;
- маскировка под запрос системы;
- использование программных ловушек;
- использование недостатков операционной системы;
- незаконное подключение к аппаратуре и линиям связи;
- злоумышленный вывод из строя механизмов защиты;
- внедрение и использование компьютерных вирусов и др.
- ограничение доступа в помещения, в которых происходит подготовка и обработка информации;
- допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
- хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;
- исключение просмотра посторонними лицами содержания обрабатываемых материалов на дисплее, принтере, в распечатках и т.д.;
- использование криптографических кодов при передаче по каналам связи ценной информации;
- уничтожение красящих лент от принтеров, бумаги и иных материалов, содержащих фрагменты ценной информации.
- осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника питания или через специальные сетевые фильтры;
- установка на дверях помещений кодовых замков;
- использование для отображения информации при вводе/выводе жидкокристаллических или плазменных дисплеев, а для получения твердых копий — струйных или термопринтеров, поскольку дисплей с ЭЛТ дает такое высокочастотное излучение, что его изображение с экрана можно принимать на расстоянии нескольких сотен метров;
- уничтожение информации, хранящейся в ПЗУ и на магнитных дисках, при списании или отправке их в ремонт;
- установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;
- охрана территорий и помещений с помощью экранирования машинных залов металлическими листами, установки систем наблюдения и организации контрольно-пропускных систем.
- контроля доступа к различным уровням памяти компьютеров;
- блокировки данных и ввода ключей;
- выделения контрольных битов для записей с целью идентификации.
- контроль безопасности, в том числе контроль регистрации вхождения в систему, фиксацию в системном журнале, контроль действий пользователя;
- реакцию (в том числе звуковую) на нарушение системы защиты контроля доступа к ресурсам сети;
- контроль мандатов доступа;
- формальный контроль защищенности операционных систем (базовой общесистемной и сетевой);
- контроль алгоритмов защиты;
- проверку и подтверждение правильности функционирования технического и программного обеспечения.
- некоторые программы перестают работать или работают не корректно;
- на экран выводятся посторонние сообщения, символы, рисунки и т.д.;
- работа компьютера существенно замедляется;
- некоторые файлы или файловая система полностью оказываются ис- порченными и т.д.
- подтверждение подлинности того, что объект, который предлагает се- бя в качестве отправителя информации в сети, действительно им является;
- целостность информации, выявляя искажения, вставки, повторы и уничтожение данных, передаваемых в сетях, а также последующее восста- новление данных;
- секретность всех данных, передаваемых по каналам вычислительной системы;
- нейтрализацию попыток несанкционированного использования вы числительных ресурсов. При этом контроль доступа может быть либо изби- рательным, то есть распространяться только на некоторые виды доступа к ресурсам, например, на обновление информации в базе данных, либо пол- ным;
- нейтрализацию угрозы отказа от информации со стороны ее отправи- теля и/или получателя;
- получателя информации доказательствами, которые исключают по пытки отправителя отрицать факты передачи указанной информации или ее содержания.