Локальные и глобальные компьютерные сети защита информации от несанкционированного доступа

Защита информации в локальных и глобальных компьютерных сетях. Средства защиты информации от несанкционированного доступа

Защита информации от несанкционированного доступа и модификации призвана обеспечить решение одной из наиболее важных задач – защиту хранимой и обрабатываемой информации от всевозможных злоумышленных покушений, которые могут нанести существенный экономический и другой материальный и нематериальный ущерб.

Требования по защите информации от несанкционированного доступа направлены на достижение трех основных свойств защищаемой информации:

· засекреченная информация должна быть доступна только тому, кому она предназначена (конфиденциальность);

· информация, на основе которой принимаются важные решения, должна быть достоверной и точной и должна быть защищена от возможных непреднамеренных и злоумышленных искажений (целостность);

· информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию всегда, когда в них возникает необходимость (доступность).

Наиболее эффективный способ защиты при выходе в сеть Интернет обеспечивает установка системы FireWall (файервол, межсетевой экран, брандмауэр). Это комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей межсетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Примеры программных файерволов: Agnitum Outpost, Symantec Firewall, ZoneAlarm.

Криптографическая защита информации

Криптография (от англ. cryptography) – наука о способах преобразования (шифрования) информации с целью защиты ее от незаконного или нежелательного использования. Используются различные типы шифрования.

Симметричное шифрование основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Асимметричное шифрование характеризуется тем, что для шифрования используется один ключ, являющийся общедоступным, а для дешифрования – другой, являющийся секретным. При этом знание общедоступного ключа не позволяет определить секретный ключ.

Наряду с шифрованием современная криптография включает в себя асимметричные криптосистемы, системы электронной цифровой подписи (ЭЦП), хеш-функции, управление ключами, получение скрытой информации, квантовую криптографию.

Электронная цифровая подпись

Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, позволяющий установить отсутствие искажения информации в документе с момента формирования ЭЦП и проверить принадлежность подписи владельцу сертификата ключа ЭЦП.

ЭЦП представляет собой небольшой объем информации, содержащий в себе сжатый и зашифрованный образ электронного документа. Цифровая подпись предназначена для аутентификации лица, подписавшего электронный документ. Кроме этого, использование цифровой подписи позволяет осуществить:

· контроль целостности передаваемого документа (при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему);

· защиту от изменений (подделки) документа – гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев;

· невозможность отказа от авторства, так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом;

Читайте также:  Общие сведения о компьютерных сетях топология сетей

· доказательное подтверждение авторства документа, так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать свое авторство подписи под документом.

Механизм ЭЦП основывается на алгоритмах ассиметричного шифрования и включает две процедуры: формирование подписи отправителем и ее опознание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных или его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знание которого достаточно для опознавания отправителя.

Воспользуйтесь поиском по сайту:

Источник

8.4. Защита информации в глобальных и локальных сетях

Защита информации, передаваемой по каналам удаленного доступа, требует особого подхода. В мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов — их разделение и передача параллельно по двум линиям, — что делает невозможным «перехват» данных при незаконном подключении «хакера» к одной из линий. Используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки «перехваченных» данных.

В настоящее время разработаны специальные устройства контроля доступа к вычислительным сетям по коммутируемым линиям.

Прямое отношение к теме безопасности имеет стратегия создания резервных копий и восстановления баз данных. Обычно эти операции выполняются в нерабочее время в пакетном режиме.

Применительно к средствам защиты от несанкционированного доступа (НСД) определены семь классов защищенности (1-7) средств вычислительной техники (СВТ) и девять классов (1А,1Б,1В,1Г,1Д,2А,2Б,3А,3Б) автоматизированных систем (АС). Для СВТ самым низким является седьмой класс, а для АС — 3Б.

Рассмотрим основные направления защиты в компьютерных сетях.

Угроза удаленного администрирования

Под удаленным администрированием понимается несанкционированное управление удаленным компьютером. Удален­ное администрирование позволяет брать чужой компьютер под свое управление. Это может позволить копировать и модифицировать имеющиеся на нем данные, устанавливать на нем произвольные программы, в том числе и вредоносные, исполь­зовать чужой компьютер для совершения преступных действий в Сети «от его имени».

Для эффективной защиты от удаленного администрирования необходимо пред­ставлять себе методы, которыми оно достигается. Таких методов два. Первый метод — установить на компьютере «жертвы» программу (аналог сервера), с которой зло­умышленник может создать удаленное соединение в то время, когда «жертва» нахо­дится в Сети. Программы, используемые для этого, называются троянскими. По своим признакам они в значительной степени напоминают компьютерные вирусы. Для защиты от них следует ограничить доступ посторонних лиц к сетевым компьютерам. Доступ закры­вается обычными административными способами (физическое ограничение доступа, парольная защита и т. п.).

Второй метод удаленного администрирования основан на использовании уязвимостей (ошибок), имеющихся в программном обеспечении компьютерной системы партнера по связи. Программы, используемые для эксплуатации уязвимостей компьютерных систем, называются эксплоитами. Обычно их атакам подвергаются серверы. Для защиты используются специально выделенные компью­теры или программы, выполняющие функцию межсетевых экранов (щитов). Такие средства также называют брандмауэрами (firewall). Такая программа не позволяет про­сматривать извне состав программного обеспечения на сервере и не пропускает несанкционированные данные и команды.

Читайте также:  Корпоративной компьютерной сетью это

Угроза активного содержимого

Активное содержимое — это активные объекты, встроенные в Web-страницы. В отличие от пассивного содержимого (текстов, рисунков, аудиоклипов и т. п.), активные объекты включают в себя не только дан­ные, но и программный код. Агрессивный программный код, попавший на компью­тер «жертвы», способен вести себя как компьютерный вирус или как агентская программа.

Если предположить, что потребитель ни на какие заманчивые предложения сервера не соглашается, то тогда опасными активными объектами и сценариями для него остаются только апплеты Java, элементы ActiveX, сценарии JavaScript и VBScript. Для защиты необходимо оценить угрозу своему компьютеру и, соответ­ственно, настроить браузер так, чтобы опасность была минимальна. Если никакие ценные данные или конфиденциальные сведения на компьютере не хранятся, защиту можно отключить и просматривать Web-страницы в том виде, как предпо­лагал их разработчик. Если угроза нежелательна, прием Java-апплетов, элементов ActiveX и активных сценариев можно отключить. Компромиссный вариант – в каждом конкретном случае запрашивать разрешение на прием того или иного актив­ного объекта.

Угроза перехвата или подмены данных на путях транспортировки

С проникно­вением Интернета в экономику очень остро встает угроза перехвата или подмены данных на путях транспортировки. Одновременно с потребностью в защите данных возникает потребность в удостоверении (иденти­фикации) партнеров по связи и подтверждении (аутентификации) целостности данных. Методы защиты – криптографические методы.

Кроме того, через Интернет передаются файлы программ. Подмена этих файлов на путях транспортировки может привести к тому, что вместо ожидаемой программы клиент получит ее аналог с «расширенными» свойствами.

Методы защиты – антивирусные программы, организационные мероприятия.

Угроза вмешательства в личную жизнь

В основе этой угрозы лежат коммерческие интересы рекламных организаций. В жела­нии увеличить свои доходы от рекламы множество компаний организуют Web-узлы не столько для того, чтобы предоставлять клиентам сетевые услуги, сколько для того, чтобы собирать о них персональные сведения. Эти сведения обобщаются, классифицируются и поставляются рекламным и маркетинговым службам. Про­цесс сбора персональной информации автоматизирован, не требует практически никаких затрат и позволяет без ведома клиентов исследовать их предпочтения, вкусы, привязанности.

При посещении почти любых Web-страниц нам на глаза попадаются рекламные объявления (их называют баннерами). При их приеме браузер устанавливает связь с их владельцем (с рекламной системой) и незаметно для пользователя регистрируется в этой системе. Мы можем не обращать внимания на эту рекламу и никогда ею не пользоваться, но, переходя от одной Web-страницы к другой, мы создаем свой пси­хологический портрет (он называется профилем). По характеру посещаемых Web-узлов и Web-страниц удаленная служба способна определить пол, возраст, уро­вень образования, род занятий, круг интересов, уровень благосостояния и даже характер заболеваний лица, которое никогда к ней не обращалось. Достаточно хотя бы один раз зарегистрироваться где-то под своим именем и фамилией, и ранее собранные абстрактные сведения приобретают вполне конкретный характер — так обра­зуются негласные персональные базы данных на участников работы в Сети.

Читайте также:  Кабельные системы для компьютерных сетей

Сопоставляя данные по разным людям или по одним и тем же людям, но получен­ные в разное время, следящие системы получают профили не только на отдельных лиц, но и на коллективы: семьи, рабочие группы, предприятия. Полученные дан­ные могут использоваться как легально, так и нелегально.

Наиболее простым и очевидным источ­ником для сбора сведений об активности клиентов Интернета являются маркеры cookie. Они используются для регистрации браузера пользователя на сервере.

Маркеры могут быть временными и постоянными. Временный маркер хранится в оперативной памяти до тех пор, пока браузер работает. По окончании его работы все временные маркеры, полученные от серверов, уничтожаются.

Постоянные маркеры обрабатываются иначе. Когда браузер завершает работу, все постоянные маркеры, накопившиеся в оперативной памяти, переносятся на жест­кий диск в виде файлов cookie. Так происходит маркировка жесткого диска, а можно сказать, что не только его, а вообще компьютера клиента. При последующих выхо­дах в Интернет в момент запуска браузера происходит считывание накопившихся маркеров cookie в оперативную память, откуда браузер предъявляет их серверам, которые их поставили.

Физической угрозы маркеры cookie компьютеру не представляют — это файлы дан­ных, которые не являются программным кодом и потому безвредны в смысле несанк­ционированных действий. Но они представляют угрозу в смысле вмешательства в личную жизнь. Большинство браузеров имеют специальные средства настройки защиты от cookie.

Кроме маркеров cookie источни­ком для сбора сведений о клиентах Сети является информация, легально постав­ляемая браузером. Во время связи по протоколу HTTP браузер сообщает свое назва­ние, номер версии, тип операционной системы компьютера клиента и URLадрес Web-страницы, которую клиент посещал в последний раз.

Кроме этого, у серверов есть приемы, позволяющие в некоторых случаях получить адрес электронной почты клиента, хотя эти приемы используют только негласно и потому правовой режим их сомнителен.

Еще одним источником персональной информации являются так называемые актив­ные сценарии JavaScript (Java-скрипты).

Источник

Оцените статью
Adblock
detector