- Средств обеспечения информационной безопасности в компьютерных сетях
- Раздел III. Иинформационная
- 8.1. Особенности обеспечения информационной безопасности в компьютерных сетях
- 8.1.1. Особенности информационной безопасности в компьютерных сетях
- 3. Обеспечение защиты информации в компьютерных сетях
- Угрозы безопасности сети
Средств обеспечения информационной безопасности в компьютерных сетях
Защита информации вызывает необходимость системного подхода, т.е. здесь нельзя ограничиваться отдельными мероприятиями. Системный подход к защите информации требует, чтобы средства и действия, используемые для обеспечения информационной безопасности — организационные, физические и программно-технические — рассматривались как единый комплекс взаимосвязанных взаимодополняющих и взаимодействующих мер. Один из основных принципов системного подхода к защите информации — принцип «разумной достаточности», суть которого: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.
Несанкционированный доступ — чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий.
Проблема несанкционированного доступа к информации обострилась и приобрела особую значимость в связи с развитием компьютерных сетей, прежде всего глобальной сети Интернет.
Для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкционированного доступа. Перечислим основные типовые пути несанкционированного получения информации:
— хищение носителей информации и производственных отходов;
— копирование носителей информации с преодолением мер защиты;
— маскировка под зарегистрированного пользователя;
— мистификация (маскировка под запросы системы);
— использование недостатков операционных систем и языков программирования;
— использование программных закладок и программных блоков типа «троянский конь»;
— перехват электронных излучений;
— перехват акустических излучений;
— применение подслушивающих устройств;
— злоумышленный вывод из строя механизмов защиты и т.д.
Для защиты информации от несанкционированного доступа применяются: организационные мероприятия, технические средства, программные средства, криптография.
Организационные мероприятия включают в себя:
— хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.);
— ограничение доступа лиц в компьютерные помещения и т.д.
Технические средства включают в себя различные аппаратные способы защиты информации:
— фильтры, экраны на аппаратуру;
— ключ для блокировки клавиатуры;
— устройства аутентификации — для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.;
— электронные ключи на микросхемах и т.д.
Программные средства защиты информации создаются в результате разработки специального программного обеспечения, которое бы не позволяло постороннему человеку, не знакомому с этим видом защиты, получать информацию из системы.
Программные средства включают в себя:
— парольный доступ-задание полномочий пользователя;
— блокировка экрана и клавиатуры, например с помощью комбинации клавиш в утилите Diskreet из пакета Norton Utilites;
— использование средств парольной защиты BIOS на сам BIOS и на ПК в целом и т.д.
Под криптографическим способом защиты информации подразумевается ее шифрование при вводе в компьютерную систему.
На практике обычно используются комбинированные способы защиты информации от несанкционированного доступа.
Среди механизмов безопасности сетей обычно выделяют следующие основные:
Шифрование применяется для реализации служб засекречивания и используется в ряде других служб.
Механизмы контроля доступа обеспечивают реализацию одноименной службы безопасности, осуществляют проверку полномочий объектов сети, т.е. программ и пользователей, на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется в точке инициализации связи, в промежуточных точках, а также в конечной точке.
Механизмы контроля доступа делятся на две основные группы:
— аутентификация объектов, требующих ресурса, с последующей проверкой допустимости доступа, для которой используется специальная информационная база контроля доступа;
— использование меток безопасности, наличие у объекта соответствующего мандата дает право на доступ к ресурсу.
Самым распространенным и одновременно самым ненадежным методом аутентификации является парольный доступ. Более совершенными являются пластиковые карточки и электронные жетоны. Наиболее надежными считаются методы аутентификации по особым параметрам личности, так называемые биометрические методы.
Цифровая подпись по своей сути призвана служить электронным аналогом ручной подписи, используемой на бумажных документах.
Дополнительными механизмами безопасности являются следующие:
— обеспечение целостности данных;
Механизмы обеспечения целостности данных применимы как к отдельному блоку данных, так и к потоку данных. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Возможны и более простые методы контроля целостности потока данных, например нумерация блоков, дополнение их меткой имени и т.д.
В механизме обеспечения аутентификации различают постороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов одного уровня проверяет подлинность другого, тогда как во втором — проверка является взаимной. На практике часто механизмы аутентификации, как правило, совмещаются с контролем доступа, шифрованием, цифровой подписью и арбитражем.
Механизмы подстановки трафика основываются на генерации объектами сети фиктивных блоков, их шифровании и организации их передачи по каналам сети.
Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по сети.
Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами сети, третьей стороной. Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтвердить упомянутые характеристики.
В общем случае для реализации одной службы безопасности может использоваться комбинация нескольких механизмов безопасности.
Также одним из методов защиты информации является создание физической преграды пути злоумышленникам к защищаемой информации (если она хранится на каких-либо носителях).
Управление доступом — эффективный метод защиты информации, регулирующий использование ресурсов информационной системы, для которой разрабатывалась концепция информационной безопасности.
Методы и системы защиты информации, опирающиеся на управление доступом, включают в себя следующие функции защиты информации в локальных сетях информационных систем:
· Идентификация пользователей, ресурсов и персонала системы информационной безопасности сети;
· Опознание и установление подлинности пользователя по вводимым учетным данным (на данном принципе работает большинство моделей информационной безопасности);
· Допуск к определенным условиям работы согласно регламенту, предписанному каждому отдельному пользователю, что определяется средствами защиты информации и является основой информационной безопасности большинства типовых моделей информационных систем;
· Протоколирование обращений пользователей к ресурсам, информационная безопасность которых защищает ресурсы от несанкционированного доступа и отслеживает некорректное поведение пользователей системы.
· Информационная безопасность предприятий и экономическая информационная безопасность и других систем должна обеспечивать своевременное реагирование на попытки несанкционированного доступа к данным посредством сигнализации, отказов и задержке в работе.
Раздел III. Иинформационная
8.1. Особенности обеспечения информационной безопасности в компьютерных сетях
8.1.1. Особенности информационной безопасности в компьютерных сетях
Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.
Сетевые системы характерны тем, что наряду с локальными угрозами, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид угроз, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые или удаленные угрозы. Они характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности вычислительных сетей с точки зрения противостояния удаленным атакам приобретает первостепенное значение. Специфика распределенных вычислительных систем состоит в том, что если в локальных вычислительных сетях наиболее частыми являются угрозы раскрытия и целостности, то в сетевых системах на первое место выходит угроза отказа в обслуживании.
Удаленная угроза – потенциально возможное информационное разрушающее воздействие на распределенную вычислительную сеть, осуществляемая программно по каналам связи. Это определение охватывает обе особенности сетевых систем – распределенность компьютеров и распределенность информации. Поэтому при рассмотрении вопросов информационной безопасности вычислительных сетей рассматриваются два подвида удаленных угроз – это удаленные угрозы на инфраструктуру и протоколы сети и удаленные угрозы на
телекоммуникационные службы. Первые используют уязвимости в сетевых протоколах и инфраструктуре сети, а вторые – уязвимости в телекоммуникационных службах.
Цели сетевой безопасности могут меняться в зависимости от ситуации, но основные цели обычно связаны с обеспечением составляющих «информационной безопасности»:
- целостности данных;
- конфиденциальности данных;
- доступности данных.
- связана с невозможностью реализации этих функций.
- локальной сети должны быть доступны: принтеры, серверы, рабочие станции, данные пользователей и др.
- глобальных вычислительных сетях должны быть доступны информационные ресурсы и различные сервисы, например, почтовый сервер, сервер доменных имен, web-сервер и др.
- глобальную связанность;
- разнородность корпоративных информационных систем;
- распространение технологии «клиент/сервер».
- каждый сервис имеет свою трактовку главных аспектов информационной безопасности (доступности, целостности, конфиденциальности);
- каждый сервис имеет свою трактовку понятий субъекта и объекта;
- каждый сервис имеет специфические угрозы;
- каждый сервис нужно по-своему администрировать;
- средства безопасности в каждый сервис нужно встраивать по-особому.
- электромагнитная подсветка линий связи;
- незаконное подключение к линиям связи;
- дистанционное преодоление систем защиты;
- ошибки в коммутации каналов;
- нарушение работы линий связи и сетевого оборудования.
- угрозы безопасности;
- службы (услуги) безопасности;
- механизмы обеспечения безопасности.
- непреднамеренные, или случайные;
- умышленные.
- раскрытие конфиденциальной информации;
- компрометация информации;
- несанкционированный обмен информацией;
- отказ от информации;
- отказ в обслуживании;
- несанкционированное использование ресурсов сети;
- ошибочное использование ресурсов сети.
3. Обеспечение защиты информации в компьютерных сетях
Опасность злоумышленных несанкционированных действий над информацией приняла особенно угрожающий характер с развитием компьютерных сетей. Большинство систем обработки информации создавалось как обособленные объекты: рабочие станции, ЛВС, большие универсальные компьютеры и т.д. Каждая система использует свою рабочую платформу (MS DOS, Windows, Novell), а также разные сетевые протоколы (TCP/IP, VMS, MVS). Сложная организация сетей создает благоприятные предпосылки для совершения различного рода правонарушений, связанных с несанкционированным доступом к конфиденциальной информации. Большинство операционных систем, как автономных, так и сетевых, не содержат надежных механизмов защиты информации.
Угрозы безопасности сети
Пути утечки информации и несанкционированного доступа в компьютерных сетях в основной своей массе совпадают с таковыми в автономных системах (см. выше). Дополнительные возможности возникают за счет существования каналов связи и возможности удаленного доступа к информации. К ним относятся: