Методы и средства защиты компьютерной информации информационная безопасность компьютерных сетей

Методы и средства защиты компьютерной информации

Методы и средства защиты ИС можно условно разделить на три больших группы

  • организационно-технические;
  • административно-правовые;
  • программно-технические.

Методы и средства защиты ИС Организационно-технические подразумевают: создание на предприятии специальных помещений для размещения компьютеров с ценной информацией; выполнение работ по защите помещений от электромагнитного излучения с тем, чтобы исключить «съем» данных с мониторов и клавиатуры; организацию пропускного режима и видеонаблюдения; создание перечня объектов защиты и регламента доступа к ним; организацию контроля и регистрацию использования переносных носителей данных и мобильных телефонов и т.п. Создать эффективную систему безопасности только техническими средствами невозможно. Необходимо применять административно-правовые методы защиты информационных систем. Должен быть разработан набор внутрифирменных регламентирующих документов. Прежде всего — это положение о коммерческой тайне. В этом документе должны найти отражение следующие моменты:

  • информация, являющаяся коммерческой тайной;
  • технические носители, на которых размещаются данные, являющиеся коммерческой тайной;
  • режим коммерческой тайны (порядок доступа, регистрация доступа, права доступа);
  • ответственность за нарушение режима и разглашение коммерческой тайны;
  • обязанности лиц, допущенных к коммерческой тайне и отвечающих за защиту коммерческой тайны.

Важно, чтобы в перечень конфиденциальной информации были включены сведения о структуре вычислительной сети, средствах защиты и их конфигурации. Должен быть разработан документ, регламентирующий работу пользователей информационной системы. Это может быть либо положение о защите информации (информационной безопасности), либо правила эксплуатации информационной системы предприятия. В этом документе должны быть изложены:

  • порядок установки ПО на компьютеры;
  • порядок подключения компьютеров к сети;
  • правила доступа в Интернет;
  • правила использования электронной почты;
  • действия в случае нарушения режима информационной безопасности.

Отдельно или в составе этого документа необходимо разработать требования по безопасности к програ Программно-технические средства предназначены для предотвращения нарушения конфиденциальности и целостности данных, хранимых и обрабатываемых в информационной системе. Нарушение целостности – это несанкционированное внесение изменений в данные. Разрешение (санкционирование) доступа к данным осуществляется путем идентификации и аутентификации пользователя информационной системы. Идентификация пользователя – это присвоение ему уникального кода, аутентификация – установление подлинности субъекта. Каждый пользователь информационной системы должен иметь имя. Имя не является секретным. Секретной является информация, с помощью которой пользователь удостоверяет свою личность. Обычно это пароль, который пользователь хранит в голове или в своих секретных записях и вводит с клавиатуры. Для хранения пароля могут применяться специальные устройства: магнитные карты, чип карты, электронные ключи, брелки с USB- интерфейсом и т.д. Средства зашиты вычислительных сетей предназначены для борьбы с внешними и внутренними угрозами. Для отражения угроз такого рода используют межсетевые экраны или как их еще называют firewall или брандмауэр (brandmauer). Межсетевой экран – это программная или программно – аппаратная система защиты, обеспечивающая разделение сети на две части. Суть защиты – пропуск сетевых пакетов с данными из одной части сети в другую в соответствии с установленным набором правил. Межсетевые экраны могут устанавливаться внутри ЛВС предприятия для создания внутренних защищенных сегментов сети. Для защиты сети от внешних угроз межсетевой экран устанавливается на границе между ЛВС и глобальной сетью Интернет. Таким образом, с помощью брандмауэра можно запретить доступ из Интернет во внутреннюю сеть и разрешить доступ из внутренней сети в Интернет. Брандмауэр может быть установлен и на отдельный персональный компьютер или сервер с целью защиты их от несанкционированного доступа со стороны других компьютеров локальной сети или сети Интернет. В персональном брандмауэре устанавливаются параметры, регулирующие функционирование ПК в сети, например:

  • какие программы имеют право на выход в сеть;
  • правила пропуска пакетов из сети;
  • список доверенных сетевых адресов.
Читайте также:  Компьютерные сети автоматизированные информационные системы

В операционную систему Windows, начиная с ХР, встроен персональный брандмауэр, выполняющий вышеперечисленные функции. Будучи включенным брандмауэр блокирует доступ к компьютеру из сети. Но бывают ситуации, когда для некоторых программ необходимо предоставить возможность доступа к ним из сети, например, программа сетевого общения Skype. Как правило, межсетевые экраны включают в себя следующие компоненты: фильтрующий маршрутизатор, шлюз сетевого уровня, шлюз прикладного уровня. Фильтрующий маршрутизатор принимает решение о фильтрации пакетов с данными на основе сведений, содержащихся в IP-заголовке пакета: IP-адрес отправителя, IP-адрес получателя, порт отправителя, порт получателя. Тем самым можно запретить общение с нежелательными сервисами в Интернет. Так как кроме IP-заголовка маршрутизатор ничего не проверяет, то, изменив адрес в заголовке, злоумышленник может преодолеть этот барьер и проникнуть в сеть. Шлюз сетевого уровня выполняет преобразование внутренних IP-адресов в один внешний IP-адрес, через который и происходит обмен данными с внешней сетью. Внутренняя структура локальной сети, таким образом, скрыта от внешнего мира. При этом шлюз при установке связи проверяет допустимость связи клиента с запрашиваемым ресурсом во внешней сети. Однако, такой шлюз пропускает пакеты в обоих направлениях, не проверяя их содержимого. Шлюз прикладного уровня исключает прямое взаимодействие компьютера локальной сети и внешнего компьютера и дает возможность фильтрации протокола. Кроме этого шлюз предоставляет возможность регистрировать все попытки доступа извне в локальную сеть и предупреждать о возможных атаках на сеть. Внешний экран на основе специальных правил (списков доступа) не пропускает внешний трафик, приходящий с «запрещенных» адресов сети Интернет. В список «запрещенных» обычно включают адреса спамеров, порносайтов и т.п. В демилитаризованной зоне размещаются ресурсы, которые должны быть доступны из внешней сети, такие как WEB-сервер, почтовый сервер и т.п. Компьютеры, на которых расположены эти ресурсы имеют реальныеIP-адреса, т.е. они «видны» в сети Интернет и к ним может обратиться любой пользователь, но опасность входящего трафика значительно снижена. Схема взаимодействия внутренней и внешней сетей. Внутренний экран «маскирует» компьютеры ЛВС, используя механизм трансляции сетевых адресов. В ЛВС используются локальные IP- адреса, которые не могут применяться в глобальной сети Интернет. Эти адреса специально зарезервированы для локальных сетей. Экран осуществляет отображение пространства внутренних адресов на несколько реальных, имеющихся в распоряжении предприятия. Инициатором межсетевого обмена может выступать только компьютер ЛВС. Произвольный доступ из Интернет к любому компьютеру ЛВС невозможен. Дополнительно в межсетевом экране могут быть установлены правила, регулирующие права пользователей ЛВС на выход в Интернет.

Читайте также:  Что такое вычислительные сети предприятия

Источник

3. Методы и средства защиты информации в компьютерных сетях

Накопленный опыт технологий защиты информации в компьютерных сетях показывает, что только комплексный подход к защите информации может обеспечить современные требования безопасности.

Комплексный подход подразумевает комплексное развитие всех методов и средств защиты.

Рассмотрим кратко основные методы и средства обеспечения безопасности информации в компьютерных сетях.

Методы защиты информации делятся:

  • препятствия
  • управление доступом
  • маскировка
  • регламентация
  • принуждение
  • побуждение

Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (компьютеру, сетевому оборудованию)

Управление доступом — метод защиты информации регулированием использования всех ресурсов системы. Управление доступом включает следующие функции защиты:

-идентификация пользователей, персонала и ресурсов системы, путем присвоения каждому объекту персонального идентификатора;

— опознавание объекта или субъекта по предъявляемому им идентификатору;

— проверка полномочий на запрашиваемые ресурсы;

— регистрация обращений к защищаемым ресурсам;

— реагирование при попытках несанкционированных действий

Маскировка — метод защиты информации с помощью ее криптографического закрытия (шифрования). В настоящее время этот метод является наиболее надежным.

Известны три основных алгоритма: алгоритм DES, современный алгоритм Clipper (Capston) и так называемая общественная инициатива — алгоритм PGP.

Алгоритм шифрования DES (Data Encryption Standard) был разработан в начале 70- х годов. Алгоритм шифрования был реализован в виде интегральной схемы с длиной ключа в 64 символа (56 символов используются непосредственно для алгоритма шифрования и 8 для обнаружения ошибок).

Расчет алгоритмов в то время показывал, что ключ шифрования может иметь 72 квадриллиона комбинаций. Алгоритм DES был принят в США в качестве федерального стандарта обработки информации в 1977 году, а в середине 80- х был утвержден как международный стандарт, который каждые пять лет проходит процедуру подтверждения. Для оценки уровня защиты информации аналитики приводят такие факт: современный компьютер стоимостью 1 млн долларов раскроет шифр за 7 часов, стоимостью 10 млн долларов — за 20 минут, 100 млн долларов — за 2 минуты. Агенство национальной безопасности США имеет такой компьютер.

Читайте также:  Сетевой график по модели вершина работа

Новый метод шифрования информации — технология Clipper — разработан агентсвом национальной безопасности США для защиты от прослушивания телефонных разговоров.

Для защиты данных этот метод носит название Capston. В основе метода положен принцип двух ключей- микросхем, обеспечивающие шифрование информации со скоростью до 1 гигабита в секунду. Пользователи получают ключи в двух пунктах, управляемых правительственными органами или частными концернами. Система ключей состоит из двух интегральных схем «Clipper chip» и «Capston chip» и алгоритма шифрования SKIPJACK. Алгоритм шифрования шифрует символьные блоки данных с помощью 80 — символьного ключа в 32 прохода. Он в 16 миллионов раз мощнее алгоритма DES и считается, только через несколько десятков лет компьютеры стоимостью 100 млн долларов смогут расшифровывать

информацию за 2 минуты. Для сети Интренет разработан специальный протокол шифрования SKIP (Simple Key management for Internet Protocol ), управляющий шифрованием потоков информации.

Отметим, что в настоящее время федеральные власти США запрещают экспорт протокола SKIP, поэтому во многих странах предпринимаются попытки создания его аналога.

Криптографические программные средства PGP (Pretty Good Privacy) были разработаны в 1991 году американским программистом Ф. Циммерманном для зашифровки сообщений электронной почты. Программа PGP свободна для доступа в Интернет и может быть установлена на любой компьютер. Принцип работы программы PGP основан на использовании двух программ- ключей: одной у отправителя, а другой у получателя. Программы- ключи защищены не паролями, а шифровальной фразой. Расшифровать сообщение можно, только используя два ключа. Программа PGP использует сложный математический алгоритм, что вместе с принципом использования двух ключей делает дешифрацию практически невозможной. Появление программ PGP вызвало скандал в правоохранительных кругах США, так они лишают возможности контроля за информацией.

Отметим, что криптографические алгоритмы широко используются для защиты электронной цифровой подписи.

Более полную информацию о криптографических методах можно получить на сайте www.cripto.com или www.confident.ru

Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного

доступа к ней сводился бы к мимнимуму.

Принуждение — такой метод защиты информации, пр котором пользователи и администраторы сети вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под

угрозой материальной, административной или уголовной ответственности.

Побуждение — метод защиты, который побуждает пользователей и администраторов сети не нарушать установленных за счет соблюдения моральных и этических норм.

Средства защиты информации делятся:

  • технические средства
  • программные средства
  • организационные средства
  • морально- этические
  • законодательные

Источник

Оцените статью
Adblock
detector