Способы обеспечения информационной безопасности при передаче данных в открытых вычислительных сетях

Лекция 24 Обеспечение безопасности информации в лвс

В вычислительных сетях сосредотачивается информация, исключитель­ное право на пользование которой принадлежит определенным лицам или группам лиц, действующим в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вме­шательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в вычислительных се­тях должны приниматься меры по защите вычислительных ресурсов и средств связи от их несанкционированного использования, то есть должен быть исключен доступ к сети лиц, не имеющих на это права. Физическая за­щита системы и данных может осуществляться только в отношении рабочих компьютеров и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.

Исследования практики функционирования систем обработки данных и вычислительных сетей показали, что существует много возможных направ­лений утечки информации и путей несанкционированного доступа в систе­мах и сетях. В их числе:

  • чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
  • копирование носителей информации и файлов информации с преодо-­ лением мер защиты;
  • маскировка под зарегистрированного пользователя;
  • маскировка под запрос системы;
  • использование программных ловушек;
  • использование недостатков операционной системы;
  • незаконное подключение к аппаратуре и линиям связи;
  • злоумышленный вывод из строя механизмов защиты;
  • внедрение и использование компьютерных вирусов и др.
  • ограничение доступа в помещения, в которых происходит подготов­ка и обработка информации;
  • допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
  • хранение магнитных носителей и регистрационных журналов в за­крытых для доступа посторонних лиц сейфах;
  • исключение просмотра посторонними лицами содержания обрабаты­ваемых материалов на дисплее, принтере, в распечатках и т.д.;
  • использование криптографических кодов при передаче по каналам связи ценной информации;
  • уничтожение красящих лент от принтеров, бумаги и иных материа­лов, содержащих фрагменты ценной информации.
  • осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника питания или через специальные се­тевые фильтры;
  • установка на дверях помещений кодовых замков;
  • использование для отображения информации при вводе/выводе жид­кокристаллических или плазменных дисплеев, а для получения твердых ко­пий — струйных или термопринтеров, поскольку дисплей с ЭЛТ дает такое высокочастотное излучение, что его изображение с экрана можно принимать на расстоянии нескольких сотен метров;
  • уничтожение информации, хранящейся в ПЗУ и на магнитных дис­ках, при списании или отправке их в ремонт;
  • установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;
  • охрана территорий и помещений с помощью экранирования машин­ных залов металлическими листами, установки систем наблюдения и органи­зации контрольно-пропускных систем.
  • контроля доступа к различным уровням памяти компьютеров;
  • блокировки данных и ввода ключей;
  • выделения контрольных битов для записей с целью идентификации.
  • контроль безопасности, в том числе контроль регистрации вхожде­ния в систему, фиксацию в системном журнале, контроль действий пользова­теля;
  • реакцию (в том числе звуковую) на нарушение системы защиты кон­троля доступа к ресурсам сети;
  • контроль мандатов доступа;
  • формальный контроль защищенности операционных систем (базовой общесистемной и сетевой);
  • контроль алгоритмов защиты;
  • проверку и подтверждение правильности функционирования техни­ческого и программного обеспечения.
  • некоторые программы перестают работать или работают не корректно;
  • на экран выводятся посторонние сообщения, символы, рисунки и т.д.;
  • работа компьютера существенно замедляется;
  • некоторые файлы или файловая система полностью оказываются ис-­ порченными и т.д.
  • подтверждение подлинности того, что объект, который предлагает се­- бя в качестве отправителя информации в сети, действительно им является;
  • целостность информации, выявляя искажения, вставки, повторы и уничтожение данных, передаваемых в сетях, а также последующее восста-­ новление данных;
  • секретность всех данных, передаваемых по каналам вычислительной системы;
  • нейтрализацию попыток несанкционированного использования вы­ числительных ресурсов. При этом контроль доступа может быть либо изби­- рательным, то есть распространяться только на некоторые виды доступа к ресурсам, например, на обновление информации в базе данных, либо пол-­ ным;
  • нейтрализацию угрозы отказа от информации со стороны ее отправи-­ теля и/или получателя;
  • получателя информации доказательствами, которые исключают по­ пытки отправителя отрицать факты передачи указанной информации или ее содержания.
Читайте также:  Кто является сетевым протоколом

Источник

7. Информационная безопасность вычислительных сетей

Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.

Сетевые системы характерны тем, что наряду с локальными угрозами, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид угроз, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые или удаленные угрозы. Они характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности вычислительных сетей с точки зрения противостояния удаленным атакам приобретает первостепенное значение. Специфика распределенных вычислительных систем состоит в том, что если в локальных вычислительных сетях наиболее частыми являются угрозы раскрытия и целостности, то в сетевых системах на первое место выходит угроза отказа в обслуживании.

Удаленная угроза – потенциально возможное информационное разрушающее воздействие на распределенную вычислительную сеть, осуществляемая программно по каналам связи. Это определение охватывает обе особенности сетевых систем – распределенность компьютеров и распределенность информации. Поэтому при рассмотрении вопросов информационной безопасности вычислительных сетей рассматриваются два подвида удаленных угроз – это удаленные угрозы на инфраструктуру и протоколы сети и удаленные угрозы на телекоммуникационные службы. Первые используют уязвимости в сетевых протоколах и инфраструктуре сети, а вторые – уязвимости в телекоммуникационных службах.

Читайте также:  Приложение для построения компьютерных сетей

Цели сетевой безопасности могут меняться в зависимости от ситуации, но основные цели обычно связаны с обеспечением составляющих «информационной безопасности»:

Целостность данных – одна из основных целей информационной безопасности сетей – предполагает, что данные не были изменены, подменены или уничтожены в процессе их передачи по линиям связи, между узлами вычислительной сети. Целостность данных должна гарантировать их сохранность как в случае злонамеренных действий, так и случайностей. Обеспечение целостности данных является обычно одной из самых сложных задач сетевой безопасности.

Конфиденциальность данных – вторая главная цель сетевой безопасности. При информационном обмене в вычислительных сетях большое количество информации относится к конфиденциальной, например, личная информация пользователей, учетные записи (имена и пароли), данные о кредитных картах и др.

Доступность данных – третья цель безопасности данных в вычислительных сетях. Функциями вычислительных сетей являются совместный доступ к аппаратным и программным средствам сети и совместный доступ к данным. Нарушение информационной безопасности как раз и связана с невозможностью реализации этих функций.

В локальной сети должны быть доступны: принтеры, серверы, рабочие станции, данные пользователей и др.

В глобальных вычислительных сетях должны быть доступны информационные ресурсы и различные сервисы, например, почтовый сервер, сервер доменных имен, web-сервер и др.

При рассмотрении вопросов, связанных с информационной безопасностью, в современных вычислительных сетях необходимо учитывать следующие факторы:

  • глобальную связанность;
  • разнородность корпоративных информационных систем;
  • распространение технологии «клиент/сервер».

Применительно к системам связи глобальная связанность означает, что речь идет о защите сетей, пользующихся внешними сервисами, основанными на протоколах TCP/IP, и предоставляющих аналогичные сервисы вовне. Весьма вероятно, что внешние сервисы находятся в других странах, поэтому от средств защиты в данном случае требуется следование стандартам, признанным на международном уровне. Национальные границы, законы, стандарты не должны препятствовать защите потоков данных между клиентами и серверами.

Читайте также:  Все о портах компьютерной сети

Из факта глобальной связанности вытекает также меньшая эффективность мер физической защиты, общее усложнение проблем, связанных с защитой от несанкционированного доступа, необходимость привлечения для их решения новых программно-технических средств, например, межсетевых экранов.

Разнородность аппаратных и программных платформ требует от изготовителей средств защиты соблюдения определенной технологической дисциплины. Важны не только чисто защитные характеристики, но и возможность встраивания этих систем в современные корпоративные информационные структуры. Если, например, продукт, предназначенный для криптографической защиты, способен функционировать исключительно на платформе Wintel (Windows+Intel), то его практическая применимость вызывает серьезные сомнения.

Корпоративные информационные системы оказываются разнородными еще в одном важном отношении – в разных частях этих систем хранятся и обрабатываются данные разной степени важности и секретности.

Использования технологии «клиент/сервер» с точки зрения информационной безопасности имеет следующие особенности:

  • каждый сервис имеет свою трактовку главных аспектов информационной безопасности (доступности, целостности, конфиденциальности);
  • каждый сервис имеет свою трактовку понятий субъекта и объекта;
  • каждый сервис имеет специфические угрозы;
  • каждый сервис нужно по-своему администрировать;
  • средства безопасности в каждый сервис нужно встраивать по-особому.

Источник

Оцените статью
Adblock
detector