Технологии и средства защиты информации в глобальной и локальной компьютерных сетях от разрушения, несанкционированного доступа
Сетевые операционные системы имеют встроенные средства защиты информации. Например, сетевая ОС NetWare 4.0 имеет систему SFT (система устойчивости к отказам), которая предусматривает три уровня:
1. Первый уровень. Создает дополнительные копии таблицы размещения файлов, верификацию вновь записанного на сервер блока данных, резервирует на диске 2% от объема диска. При обнаружении сбоя данные направляются в зарезервированную область диска, а сбойный блок помечается как “плохой” и больше не используется.
2. Второй уровень. Создание “зеркальных” дисков.
3. Третий уровень. Использует в локальной сети дублированные серверы.
Система ограничения прав доступа в сетях NetWare тоже содержит несколько уровней.
1. Уровень начального доступа включает имя и пароль пользователя, систему учетных ограничений.
2. Уровень прав пользователей определяет персональные ограничения на выполнение операций.
3. Уровень атрибутов каталогов и файлов накладывает ограничения на операции удаления, редактирования, создания со стороны файловой системы.
4. Уровень консоли файл-сервера блокирует клавиатуру в отсутствие администратора.
Однако полагаться на эту систему защиты информации можно не всегда. Это же справедливо по отношению к таким мощным сетевым ОС, как Windows NT, UNIX.
Отдельные средства защиты, хорошо себя зарекомендовавшие, встраиваются в систему защиты ОС. Например, в ОС NetWare есть возможность кодирования данных по принципу открытого ключа с формированием электронной подписи для передаваемых по сети пакетов.
Специализированные программные средства защиты информации от несанкционированного доступа имеют лучшие возможности, чем встроенные средства сетевых ОС. Кроме программ шифрования, отметим следующие две системы.
Firewalls — брандмауэры. Между локальной и глобальной сетями создаются промежуточные сервера, которые инспектируют и фильтруют проходящий трафик. Это позволяет резко снизить угрозу несанкционированного доступа извне, но не устраняет эту опасность совсем. Более надежен метод маскарада, когда весь исходящий из локальной сети трафик посылается от имени Firewall-сервера, делая локальную сеть невидимой.
Proxy-servers. Весь трафик между локальной и глобальной сетями запрещается полностью, обращение из локальной сети в глобальную проходит через сервер-посредник. Обращение из глобальной сети в локальную невозможно. Этот метод не дает защиты на уровне приложений.
1. Могилев А.В., Пак Н.И., Хеннер Е.К. Информатика: Учебное пособие для педагогических вузов / Под ред. Е.К. Хеннера. М.: Академия, 2004, 848 с.
2. Информатика. Учебник / Под ред. Н.В. Макаровой. М.: Финансы и статистика, 2000, 768 с.
3. Партыка Т.Л., Попов И.И. Информационная безопасность. Учебное пособие. М.: ФОРУМ: ИНФРА-М, 2002, 368 с.
3. Обеспечение защиты информации в компьютерных сетях
Опасность злоумышленных несанкционированных действий над информацией приняла особенно угрожающий характер с развитием компьютерных сетей. Большинство систем обработки информации создавалось как обособленные объекты: рабочие станции, ЛВС, большие универсальные компьютеры и т.д. Каждая система использует свою рабочую платформу (MS DOS, Windows, Novell), а также разные сетевые протоколы (TCP/IP, VMS, MVS). Сложная организация сетей создает благоприятные предпосылки для совершения различного рода правонарушений, связанных с несанкционированным доступом к конфиденциальной информации. Большинство операционных систем, как автономных, так и сетевых, не содержат надежных механизмов защиты информации.
Угрозы безопасности сети
Пути утечки информации и несанкционированного доступа в компьютерных сетях в основной своей массе совпадают с таковыми в автономных системах (см. выше). Дополнительные возможности возникают за счет существования каналов связи и возможности удаленного доступа к информации. К ним относятся:
- электромагнитная подсветка линий связи;
- незаконное подключение к линиям связи;
- дистанционное преодоление систем защиты;
- ошибки в коммутации каналов;
- нарушение работы линий связи и сетевого оборудования.
- угрозы безопасности;
- службы (услуги) безопасности;
- механизмы обеспечения безопасности.
- непреднамеренные, или случайные;
- умышленные.
- раскрытие конфиденциальной информации;
- компрометация информации;
- несанкционированный обмен информацией;
- отказ от информации;
- отказ в обслуживании;
- несанкционированное использование ресурсов сети;
- ошибочное использование ресурсов сети.
3. Методы и средства защиты информации в компьютерных сетях
Накопленный опыт технологий защиты информации в компьютерных сетях показывает, что только комплексный подход к защите информации может обеспечить современные требования безопасности.
Комплексный подход подразумевает комплексное развитие всех методов и средств защиты.
Рассмотрим кратко основные методы и средства обеспечения безопасности информации в компьютерных сетях.
Методы защиты информации делятся:
- препятствия
- управление доступом
- маскировка
- регламентация
- принуждение
- побуждение
Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (компьютеру, сетевому оборудованию)
Управление доступом — метод защиты информации регулированием использования всех ресурсов системы. Управление доступом включает следующие функции защиты:
-идентификация пользователей, персонала и ресурсов системы, путем присвоения каждому объекту персонального идентификатора;
— опознавание объекта или субъекта по предъявляемому им идентификатору;
— проверка полномочий на запрашиваемые ресурсы;
— регистрация обращений к защищаемым ресурсам;
— реагирование при попытках несанкционированных действий
Маскировка — метод защиты информации с помощью ее криптографического закрытия (шифрования). В настоящее время этот метод является наиболее надежным.
Известны три основных алгоритма: алгоритм DES, современный алгоритм Clipper (Capston) и так называемая общественная инициатива — алгоритм PGP.
Алгоритм шифрования DES (Data Encryption Standard) был разработан в начале 70- х годов. Алгоритм шифрования был реализован в виде интегральной схемы с длиной ключа в 64 символа (56 символов используются непосредственно для алгоритма шифрования и 8 для обнаружения ошибок).
Расчет алгоритмов в то время показывал, что ключ шифрования может иметь 72 квадриллиона комбинаций. Алгоритм DES был принят в США в качестве федерального стандарта обработки информации в 1977 году, а в середине 80- х был утвержден как международный стандарт, который каждые пять лет проходит процедуру подтверждения. Для оценки уровня защиты информации аналитики приводят такие факт: современный компьютер стоимостью 1 млн долларов раскроет шифр за 7 часов, стоимостью 10 млн долларов — за 20 минут, 100 млн долларов — за 2 минуты. Агенство национальной безопасности США имеет такой компьютер.
Новый метод шифрования информации — технология Clipper — разработан агентсвом национальной безопасности США для защиты от прослушивания телефонных разговоров.
Для защиты данных этот метод носит название Capston. В основе метода положен принцип двух ключей- микросхем, обеспечивающие шифрование информации со скоростью до 1 гигабита в секунду. Пользователи получают ключи в двух пунктах, управляемых правительственными органами или частными концернами. Система ключей состоит из двух интегральных схем «Clipper chip» и «Capston chip» и алгоритма шифрования SKIPJACK. Алгоритм шифрования шифрует символьные блоки данных с помощью 80 — символьного ключа в 32 прохода. Он в 16 миллионов раз мощнее алгоритма DES и считается, только через несколько десятков лет компьютеры стоимостью 100 млн долларов смогут расшифровывать
информацию за 2 минуты. Для сети Интренет разработан специальный протокол шифрования SKIP (Simple Key management for Internet Protocol ), управляющий шифрованием потоков информации.
Отметим, что в настоящее время федеральные власти США запрещают экспорт протокола SKIP, поэтому во многих странах предпринимаются попытки создания его аналога.
Криптографические программные средства PGP (Pretty Good Privacy) были разработаны в 1991 году американским программистом Ф. Циммерманном для зашифровки сообщений электронной почты. Программа PGP свободна для доступа в Интернет и может быть установлена на любой компьютер. Принцип работы программы PGP основан на использовании двух программ- ключей: одной у отправителя, а другой у получателя. Программы- ключи защищены не паролями, а шифровальной фразой. Расшифровать сообщение можно, только используя два ключа. Программа PGP использует сложный математический алгоритм, что вместе с принципом использования двух ключей делает дешифрацию практически невозможной. Появление программ PGP вызвало скандал в правоохранительных кругах США, так они лишают возможности контроля за информацией.
Отметим, что криптографические алгоритмы широко используются для защиты электронной цифровой подписи.
Более полную информацию о криптографических методах можно получить на сайте www.cripto.com или www.confident.ru
Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного
доступа к ней сводился бы к мимнимуму.
Принуждение — такой метод защиты информации, пр котором пользователи и администраторы сети вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под
угрозой материальной, административной или уголовной ответственности.
Побуждение — метод защиты, который побуждает пользователей и администраторов сети не нарушать установленных за счет соблюдения моральных и этических норм.
Средства защиты информации делятся:
- технические средства
- программные средства
- организационные средства
- морально- этические
- законодательные