5.6. Службы безопасности лвс.
Защита информации в компьютерных сетях становится одной из самых острых проблем в современной информатике. Сформулировано три базовых принципа информационной безопасности, которая должна обеспечить:
- целостность данных (защиту от сбоев, ведущих к потере информации, а также неавторизированного создания или уничтожения данных);
- конфиденциальность информации;
- доступность информации для всех авторизированных пользователей.
- общесистемное программное обеспечение (ОС, СУБД, офисные приложения и т.п.);
- прикладное программное обеспечение;
- информационное обеспечение (БД, файлы).
- администраторы ЛВС;
- пользователи, допущенные к обработке информации ЛВС;
- технический персонал, обслуживающий вычислительную технику, но не допущенный к обработке информации в ЛВС в повседневной деятельности;
- удаленные пользователи, не допущенные к обработке информации в ЛВС;
- разработчики программного обеспечения и вычислительной техники, используемых в ЛВС.
- копирование, уничтожение или подделка информации;
- ознакомление с конфиденциальной информацией посторонних лиц.
- случайное уничтожение или изменение данных;
- некорректное использование программное обеспечения, ведущее к уничтожению или изменению данных.
- при ошибках в программном обеспечении или внесении в него недекларированных возможностей;
- при заражении системы компьютерными вирусами.
- кабельной системы;
- электропитания;
- дисковых систем;
- систем архивации данных;
- серверов, рабочих станций, сетевых карт и т.п.
- перехват побочных электромагнитных излучений;
- перехват в радиосетях;
- принудительное магнитное облучение (подсветка) линий связи с целью паразитной модуляции несущей частоты;
- применение подслушивающих устройств (закладок);
- перехват акустических излучений и восстановление текста принтера;
- хищение носителей информации;
- копирование информации с ее носителей с преодолением средств защиты;
- маскировка под зарегистрированного пользователя;
- маскировка под запросы системы;
- использование программных ловушек;
- незаконное подключение к аппаратуре и линиям связи;
- злоумышленных вывод из строя средств защиты;
- внедрение и использование компьютерных вирусов.
- искажение информации в файлах либо таблицы разрешения файлов, которое может привести к разрушению файловой системы в целом;
- имитация сбоев программных средств;
- создание визуальных и звуковых эффектов, включая отображения сообщений, вводящих операторов в заблуждение или затрудняющих их работу;
- инициирование ошибок в программах пользователей или операционных систем.
- физическая защита кабельной системы, электропитания, средств архивации, дисковых массивов и т.д.;
- организация мер защиты вычислительной техники, кадровый подбор и расстановка персонала, контроль доступа в помещения и парольная защита компьютеров, планы действия в чрезвычайных ситуациях и т.д.;
- программно-технические средства защиты информации, вычислительной техники и систем передачи данных, а именно – средства защиты от НСД (средства поиска и обнаружения закладных устройств НСД к информации); межсетевые экраны; средства шифрования (криптографии) информации, передаваемой по каналам связи; электромагнитное управление техники или помещений, в которых расположена техника; активная радиотехническая маскировка с использованием широкополосных генераторов шума; электронно-сетевая подпись; антивирусные программы; системы разграничения доступа; системы мониторинга и анализа уязвимости ЛВС.
- аутентификация (подтверждение подлинности);
- обеспечение целостности передаваемых данных;
- контроль доступа;
- защита от отказов.
- создание системы безопасности, построенной на базе каналов связи и средств коммутации территориальных сетей связи общего использования, в которых применяются открытые протоколы Internet;
- отказ от средств Internet, создание локальной сети на базе специализированной или выделенной сети связи с использованием конкретной сетевой технологии, в частности ATM, FR, ISDN.
Лекция 24 Обеспечение безопасности информации в лвс
В вычислительных сетях сосредотачивается информация, исключительное право на пользование которой принадлежит определенным лицам или группам лиц, действующим в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вмешательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в вычислительных сетях должны приниматься меры по защите вычислительных ресурсов и средств связи от их несанкционированного использования, то есть должен быть исключен доступ к сети лиц, не имеющих на это права. Физическая защита системы и данных может осуществляться только в отношении рабочих компьютеров и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.
Исследования практики функционирования систем обработки данных и вычислительных сетей показали, что существует много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:
- чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
- копирование носителей информации и файлов информации с преодо- лением мер защиты;
- маскировка под зарегистрированного пользователя;
- маскировка под запрос системы;
- использование программных ловушек;
- использование недостатков операционной системы;
- незаконное подключение к аппаратуре и линиям связи;
- злоумышленный вывод из строя механизмов защиты;
- внедрение и использование компьютерных вирусов и др.
- ограничение доступа в помещения, в которых происходит подготовка и обработка информации;
- допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
- хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;
- исключение просмотра посторонними лицами содержания обрабатываемых материалов на дисплее, принтере, в распечатках и т.д.;
- использование криптографических кодов при передаче по каналам связи ценной информации;
- уничтожение красящих лент от принтеров, бумаги и иных материалов, содержащих фрагменты ценной информации.
- осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника питания или через специальные сетевые фильтры;
- установка на дверях помещений кодовых замков;
- использование для отображения информации при вводе/выводе жидкокристаллических или плазменных дисплеев, а для получения твердых копий — струйных или термопринтеров, поскольку дисплей с ЭЛТ дает такое высокочастотное излучение, что его изображение с экрана можно принимать на расстоянии нескольких сотен метров;
- уничтожение информации, хранящейся в ПЗУ и на магнитных дисках, при списании или отправке их в ремонт;
- установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;
- охрана территорий и помещений с помощью экранирования машинных залов металлическими листами, установки систем наблюдения и организации контрольно-пропускных систем.
- контроля доступа к различным уровням памяти компьютеров;
- блокировки данных и ввода ключей;
- выделения контрольных битов для записей с целью идентификации.
- контроль безопасности, в том числе контроль регистрации вхождения в систему, фиксацию в системном журнале, контроль действий пользователя;
- реакцию (в том числе звуковую) на нарушение системы защиты контроля доступа к ресурсам сети;
- контроль мандатов доступа;
- формальный контроль защищенности операционных систем (базовой общесистемной и сетевой);
- контроль алгоритмов защиты;
- проверку и подтверждение правильности функционирования технического и программного обеспечения.
- некоторые программы перестают работать или работают не корректно;
- на экран выводятся посторонние сообщения, символы, рисунки и т.д.;
- работа компьютера существенно замедляется;
- некоторые файлы или файловая система полностью оказываются ис- порченными и т.д.
- подтверждение подлинности того, что объект, который предлагает се- бя в качестве отправителя информации в сети, действительно им является;
- целостность информации, выявляя искажения, вставки, повторы и уничтожение данных, передаваемых в сетях, а также последующее восста- новление данных;
- секретность всех данных, передаваемых по каналам вычислительной системы;
- нейтрализацию попыток несанкционированного использования вы числительных ресурсов. При этом контроль доступа может быть либо изби- рательным, то есть распространяться только на некоторые виды доступа к ресурсам, например, на обновление информации в базе данных, либо пол- ным;
- нейтрализацию угрозы отказа от информации со стороны ее отправи- теля и/или получателя;
- получателя информации доказательствами, которые исключают по пытки отправителя отрицать факты передачи указанной информации или ее содержания.
Службы безопасности сети
Службы безопасности сети указывают направления нейтрализации возможных угроз безопасности. Службы безопасности находят свою практическую реализацию в различных механизмах безопасности. Одна и та же служба безопасности может быть реализована с использованием разных механизмов безопасности или их совокупности.
Международная организация стандартизации (МОС) определяет следующие службы безопасности:
- аутентификация (подтверждение подлинности);
- обеспечение целостности;
- засекречивание данных;
- контроль доступа;
- защита от отказов.
4. Организация защиты информации в корпоративной сети
- обследование информационной системы на предмет установления ее организационной и информационной структуры и угроз безопасности информации;
- выбор и установка средств защиты;
- подготовка персонала работе со средствами защиты;
- организация обслуживания по вопросам информационной безопасности;
- создание системы периодического контроля информационной безопасности ИС.
- организация сети организации;
- существующие угрозы безопасности информации, возможности их реализации и предполагаемый ущерб от этой реализации;
- организация хранения информации в ИС;
- организация обработки информации (на каких рабочих местах и с помощью какого программного обеспечения);
- регламентация допуска персонала к той или иной информации;
- ответственность персонала за обеспечение безопасности.
- защита от несанкционированного проникновения в корпоративную сеть и возможности утечки информации по каналам связи;
- разграничение потоков информации между сегментами сети;
- защита критичных ресурсов сети;
- защита рабочих мест и ресурсов от несанкционированного доступа (НСД);
- криптографическая защита информационных ресурсов.