Служба безопасности вычислительных сетей

Лекция 24 Обеспечение безопасности информации в лвс

В вычислительных сетях сосредотачивается информация, исключитель­ное право на пользование которой принадлежит определенным лицам или группам лиц, действующим в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вме­шательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в вычислительных се­тях должны приниматься меры по защите вычислительных ресурсов и средств связи от их несанкционированного использования, то есть должен быть исключен доступ к сети лиц, не имеющих на это права. Физическая за­щита системы и данных может осуществляться только в отношении рабочих компьютеров и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.

Исследования практики функционирования систем обработки данных и вычислительных сетей показали, что существует много возможных направ­лений утечки информации и путей несанкционированного доступа в систе­мах и сетях. В их числе:

  • чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
  • копирование носителей информации и файлов информации с преодо-­ лением мер защиты;
  • маскировка под зарегистрированного пользователя;
  • маскировка под запрос системы;
  • использование программных ловушек;
  • использование недостатков операционной системы;
  • незаконное подключение к аппаратуре и линиям связи;
  • злоумышленный вывод из строя механизмов защиты;
  • внедрение и использование компьютерных вирусов и др.
  • ограничение доступа в помещения, в которых происходит подготов­ка и обработка информации;
  • допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
  • хранение магнитных носителей и регистрационных журналов в за­крытых для доступа посторонних лиц сейфах;
  • исключение просмотра посторонними лицами содержания обрабаты­ваемых материалов на дисплее, принтере, в распечатках и т.д.;
  • использование криптографических кодов при передаче по каналам связи ценной информации;
  • уничтожение красящих лент от принтеров, бумаги и иных материа­лов, содержащих фрагменты ценной информации.
  • осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника питания или через специальные се­тевые фильтры;
  • установка на дверях помещений кодовых замков;
  • использование для отображения информации при вводе/выводе жид­кокристаллических или плазменных дисплеев, а для получения твердых ко­пий — струйных или термопринтеров, поскольку дисплей с ЭЛТ дает такое высокочастотное излучение, что его изображение с экрана можно принимать на расстоянии нескольких сотен метров;
  • уничтожение информации, хранящейся в ПЗУ и на магнитных дис­ках, при списании или отправке их в ремонт;
  • установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;
  • охрана территорий и помещений с помощью экранирования машин­ных залов металлическими листами, установки систем наблюдения и органи­зации контрольно-пропускных систем.
  • контроля доступа к различным уровням памяти компьютеров;
  • блокировки данных и ввода ключей;
  • выделения контрольных битов для записей с целью идентификации.
  • контроль безопасности, в том числе контроль регистрации вхожде­ния в систему, фиксацию в системном журнале, контроль действий пользова­теля;
  • реакцию (в том числе звуковую) на нарушение системы защиты кон­троля доступа к ресурсам сети;
  • контроль мандатов доступа;
  • формальный контроль защищенности операционных систем (базовой общесистемной и сетевой);
  • контроль алгоритмов защиты;
  • проверку и подтверждение правильности функционирования техни­ческого и программного обеспечения.
  • некоторые программы перестают работать или работают не корректно;
  • на экран выводятся посторонние сообщения, символы, рисунки и т.д.;
  • работа компьютера существенно замедляется;
  • некоторые файлы или файловая система полностью оказываются ис-­ порченными и т.д.
  • подтверждение подлинности того, что объект, который предлагает се­- бя в качестве отправителя информации в сети, действительно им является;
  • целостность информации, выявляя искажения, вставки, повторы и уничтожение данных, передаваемых в сетях, а также последующее восста-­ новление данных;
  • секретность всех данных, передаваемых по каналам вычислительной системы;
  • нейтрализацию попыток несанкционированного использования вы­ числительных ресурсов. При этом контроль доступа может быть либо изби­- рательным, то есть распространяться только на некоторые виды доступа к ресурсам, например, на обновление информации в базе данных, либо пол-­ ным;
  • нейтрализацию угрозы отказа от информации со стороны ее отправи-­ теля и/или получателя;
  • получателя информации доказательствами, которые исключают по­ пытки отправителя отрицать факты передачи указанной информации или ее содержания.
Читайте также:  Вид топологии локальных сетей это

Источник

12 Вопросы сетевой безопасности. Общая характеристика угроз и служб безопасности вычислительных систем и сетей.

Несанкционированный доступ к данным — злоумышленное или случайное действие, нарушающее технологическую схему обработки данных и ведущее к получению, модификации или уничтожению данных.

Канал утечки данных — потенциальная возможность НСД, которая обусловлена архитектурой, технологической схемой функционирования ИВС, а также существующей организацией работы с данными.

Косвенными называются такие каналы утечки, использование которых для НСД не требует непосредственного доступа к техническим устройствам ИВС.

Прямые каналы утечки данных требуют непосредственного доступа к техническим средствам ИВС и данным. Наличие прямых каналов утечки обусловлено недостатками технических и программных средств защиты, ОС, СУБД, математического и программного обеспечения, а также просчетами в организации технологического процесса работы с данными. Прямые каналы утечки данных позволяют нарушителю подключиться к аппаратуре ИВС, получить доступ к данным и выполнить действия по анализу, модификации и уничтожению данных-

Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов ИВС, не оказывая при этом влияния на ее функционирование.

Активные угрозы имеют целью нарушение нормального процесса функционирования ИВС посредством целенаправленного воздействия на ее аппаратные, программные и информационные ресурсы.

К основным угрозам безопасности относят: раскрытие конфиденциальной информации, компрометация информации, несанкционированное использование ресурсов ИВС, ошибочное использование ресурсов ИВС, несанкционированный обмен информацией, отказ от информации, отказ в обслуживании.

Службы безопасности ИВС на концептуальном уровне специфицируют направления нейтрализации перечисленных или каких-либо иных угроз. В свою очередь, указанные направления реализуются механизмами безопасности. В рамках идеологии открытых систем службы и механизмы безопасности могут использоваться на любом из уровней эталонной модели: физическом (1), канальном (2), сетевом (3), транспортном (4), сеансовом (5), представительском (6) и прикладном (7).

Читайте также:  Укажите виды топологий локальной вычислительной сети

— аутентификация (подтверждение подлинности);

Служба аутентификации применительно к виртуальным сетям называется службой аутентификации одноуровневого объекта. На этапе установления соединения она обеспечивает подтверждение (опровержение) того, что объект, который предлагает себя в качестве отправителя информации по виртуальному каналу, является именно тем, за кого он себя выдает. На этапе передачи сообщений данная служба обеспечивает подтверждение (опровержение) того, что поступивший блок отправлен именно тем объектом, с которым установлено соединение.

Применительно к дейтаграммным сетям рассматриваемая служба называется службой аутентификации источника данных и обеспечивает подтверждение (опровержение) того, что поступившая дейтаграмма отправлена именно тем объектом, который указан в дейтаграмме в качестве ее отправителя.

Службы целостности можно классифицировать как по виду сетей, в которых они применяются (виртуальные, дейтаграммные) и действиям, выполняемым при обнаружении аномальных ситуаций (с восстановлением данных или без него); так и по степени охвата передаваемых данных (блоки в целом либо их элементы, называемые выборочными полями).

Служба целостности соединения с восстановлением используется в виртуальных сетях и обеспечивает выявление искажений, вставок, повторов и уничтожения данных, передаваемых по соединению, а также их последующее восстановление. Служба целостности соединения без восстановления обеспечивает выполнение всех перечисленных функций, кроме последней. Служба целостности выборочных полей соединения отличается от предыдущей тем, что обеспечивает выполнение указанных функций по отношению к отдельным элементам (фрагментам) передаваемых блоков.

Служба целостности без соединения обеспечивает выявление искажений в дейтаграммах, а в ограниченном числе случаев — кроме того, вставок и повторов. Служба целостности выборочных полей без соединения обеспечивает выявление искажений в отдельных элементах дейтаграмм. Наличие процедур восстановления в службах целостности дейтаграммных сетей документами МОС не предусматривается.

Службы засекречивания данных, как и службы целостности, можно классифицировать по виду сетей, где они используются, и степени охвата передаваемых данных.

Читайте также:  Сколько платят наладчик компьютерных сетей

Служба засекречивания соединения обеспечивает секретность всех данных, пересылаемых по виртуальному каналу образовавшими его объектами. Служба засекречивания без соединения обеспечивает секретность данных, содержащихся в каждой отдельной дейтаграмме. Служба засекречивания выборочных полей выполняет функции двух предшествующих служб применительно к элементам дейтаграмм или блоков, пересылаемых по виртуальному соединению.

Служба засекречивания потока данных (трафика), нейтрализующая возможность получения сведений об абонентах ИВС и характере использования сети посредством наблюдения за наличием (отсутствием) передачи данных по каналам ИВС, длиной передаваемых сообщений, отправителями и получателями последних, а также интенсивностью информационного обмена.

Служба контроля доступа направлена на нейтрализацию попыток несанкционированного использования ресурсов ИВС. Контроль доступа в общем случае может быть избирательным, то есть распространяться только на некоторые виды доступа к ресурсу (например, на обновление информации в базе данных), либо полным, то есть относиться к ресурсу в целом независимо от характера его использования.

Службы защиты от отказов направлены на нейтрализацию угрозы отказа от информации со стороны ее отправителя и /или получателя.

Служба защиты от отказов с подтверждением источника обеспечивает получателя информации доказательствами (в виде данных), которые исключает попытки отправителя отрицать факт передачи указанной информации или ее содержание. Аналогично, служба защиты от отказов с подтверждением доставки обеспечивает отправителя информации доказательствами, исключающими попытки получателя отрицать факт ее получения или ее содержание.

Соответствие между службами безопасности и уровнями OSI:

Источник

Оцените статью
Adblock
detector