Организация работа пользователей в локальных компьютерных сетях.
Локальные компьютерные сети — это система, которая объединяет между собой компьютеры от нескольких сотен и более. Она может объединять как компьютеры одного здания, так и расположенные на гораздо большей площади. Локальные компьютерные сети, иначе ЛВС (локальные вычислительные сети), бывают:
При построении локальной сети необходимо провести качественное обследование территории, спроектировать и осмыслить предстоящую работу, подобрать материал, тип используемого кабеля.
Построение и прокладка локальных компьютерных сетей выполняется квалифицированными специалистами. Профессионализм помогает безошибочно определить характеристики помещения, точно подобрать материалы, оптимальным образом выполнить топологию сети.
Работы в локальных сетях можно разбить на этапы:
Политика использования сетевых ресурсов состоит из двух частей, которые эквивалентны специфической сетевой политике:
конкретных правил работы.
В действиях любого сетевого администратора, направленных на реализацию сетевой политики, выделяются следующие основные задачи:
- мониторинг работы своего сетевого сегмента и создание отчетов об использовании ресурсов сети;
- осуществление управления доступом, исходя из конкретных целей работы своего подразделения;
- поддержание на должном уровне функционирования своего компьютерного сетевого оборудования и программного обеспечения.
Преимущества, получаемые при сетевом объединении персональных компьютеров, демонстрирует пример локальных сетей:
разделение программных средств;
разделение ресурсов процессора;
многопользовательский режим.
Существуют несколько типов приложений, которые могут быть использованы в ЛВС:
несетевые (однопользовательские);
специализированные сетевые;
программы-планировщики или программы группового обеспечения.
Защита информации в сетях ЭВМ осуществляется на семиуровневой модели протоколов межсетевого обмена OSI:
- физический уровень;
- канальный уровень;
- сетевой уровень;
- транспортный уровень.
Физический уровень обеспечивает электрические, функциональные и процедурные средства установления, поддержания и разъединения физического соединения.
Канальный уровень используется для организации связи между двумя станциями с помощью имеющегося в наличии (обычно ненадежного) канала связи. При этом станции могут быть связаны несколькими каналами. Протоколы канального уровня (или протоколы управления звеном передачи данных) занимают особое место в иерархии уровней: они служат связующим звеном между реальным каналом, внося-щим ошибки в передаваемые данные, и протоколами более высоких уровней, обеспечивая безошибочную передачу данных.
Сетевой уровень предоставляет вышестоящему транспортному уровню набор услуг, главными из которых являются сквозная передача блоков данных между передающей и приемной станциями, то есть, выполнение функций маршрутизации и ретрансляции и глобальное адресование пользователей. Другими словами, нахождение получателя по указанному адресу, выбор оптимального (в условиях данной сети) маршрута и доставка блока сообщения по указанному адресу.
На сетевом уровне данные представляются в виде пакета, который содержит информационное поле и заголовок, присваиваемый протоколом. Заголовок пакета содержит у правляющую информацию, указывающую адрес отправителя, возможно, маршрут и параметры передачи пакета (приоритет, номер пакета в сообщении, параметры безопасности, максимум ретрансляции и др.).
Различают следующие виды сетевого взаимодействия:
с установлением соединения;
без установления соединения (дейтаграммный режим).
Транспортный уровень предназначен для сквозной передачи данных через сеть между оконечными пользователями — абонентами сети. Протоколы транспортного уровня функционируют только между оконечными системами.
Основными функциями протоколов транспортного уровня являются разбиение сообщений или фрагментов сообщений на пакеты, передача пакетов через сеть и сборка пакетов
Наиболее известным протоколом транспортного уровня является TCP (Transmission Control Protocol), используемый в архитектуре протоколов DARPA и принятый в качестве стандарта Министерством обороны США. Он используется в качестве высоконадежного протокола взаимодействия между ЭВМ в сети с коммутацией пакетов.
Ответственность пользователей за функционирование сети заключается в защите информации, расположенной в сети.
Цели защиты информации в сетях ЭВМ общие для всех АСОД, а именно: обеспечение целостности (физической и логической) информации, а также предупреждение несанкционированной ее модификации, несанкционированного получения и размножения. Функции защиты также носят общий для всех АСОД характер. Задачи защиты информации в сетях ЭВМ определяются теми угрозами, которые потенциально возможны в процессе их функционирования.
Для сетей передачи данных реальную опасность представляют следующие угрозы:
прослушивание каналов;
умышленное уничтожение или искажение (фальсификация) проходящих по сети сообщений;
присвоение злоумышленником своему узлу или ретранслятору чужого идентификатора;
преднамеренный разрыв линии связи;
внедрение сетевых вирусов.
В соответствии с этим специфические задачи защиты в сетях передачи данных состоят в следующем:
- Аутентификация одноуровневых объектов, заключающаяся в подтверждении подлинности одного или нескольких взаимодействующих объектов при обмене информацией между ними.
- Контроль доступа, т. е. защита от несанкционированного использования ресурсов сети.
- Маскировка данных, циркулирующих в сети.
- Контроль и восстановление целостности всех находящихся в сети данных.
- Арбитражное обеспечение, т. е. защита от возможных отказов от фактов отправки, приема или содержания отправленных или принятых данных.
Применительно к различным уровням семиуровневого протокола передачи данных в сети задачи могут быть конкретизированы следующим образом:
1. Физический уровень — контроль электромагнитных излучений линий связи и устройств, поддержка коммутационного оборудования в рабочем состоянии. Защита на данном уровне обеспечивается с помощью экранирующих устройств, генераторов помех, средств физической защиты передающей среды.
2. Канальный уровень — увеличение надежности защиты (при необходимости) с помощью шифрования передаваемых по каналу данных. В этом случае шифруются все передаваемые данные, включая служебную информацию.
3. Сетевой уровень — наиболее уязвимый уровень с точки зрения зашиты. На нем формируется вся маршрутизирующая информация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Кроме того, протоколами сетевого уровня пакеты обрабатываются на всех маршрутизаторах, шлюзах и других промежуточных узлах. Почти все специфические сетевые нарушения осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельных сообщений или потока в целом, маскировка под другой узел и др.).
Защита от подобных угроз осуществляется протоколами сетевого и транспортного уровней и с помощью средств криптозащиты. На данном уровне может быть реализована, например, выборочная маршрутизация.
4. Транспортный уровень — осуществляет контроль за функциями сетевого уровня на приемном и передающем узлах (на промежуточных узлах протокол транспортного уровня не функционирует). Механизмы транспортного уровня проверяют целостность отдельных пакетов данных, последовательности пакетов, пройденный маршрут, время отправления и доставки, идентификацию и аутентификацию отправителя и получателя и другие функции. Все активные угрозы становятся видимыми на данном уровне.
Гарантом целостности передаваемых данных является криптозащита, как самих данных, так и служебной информации. Никто, кроме имеющих секретный ключ получателя и/или отправителя, не может прочитать или изменить информацию таким образом, чтобы изменение осталось незамеченным.
Анализ трафика предотвращается передачей сообщений, не содержащих информацию, которые, однако, выглядят как реальные сообщения. Регулируя интенсивность этих сообщений в зависимости от объема передаваемой информации, можно постоянно добиваться равномерного трафика. Однако все эти меры не могут предотвратить угрозу уничтожения, переориентации или задержки сообщения. Единственной защитой от таких нарушений может быть параллельная доставка дубликатов сообщения по другим путям.
5. Протоколы верхних уровней обеспечивают контроль взаимодействия принятой или переданной информации с локальной системой. Протоколы сеансового и представительного уровня функций защиты не выполняют. В функции защиты протокола прикладного уровня входит управление доступом к определенным наборам данных, идентификация и аутентификация определенных пользователей, а также другие функции, определяемые конкретным протоколом. Более сложными эти функции являются в случае реализации полномочной политики безопасности в сети.
Особенности защиты информации в вычислительных сетях обусловлены тем, что сети, обладающие несомненными (по сравнению с локальными ЭВМ) преимуществами обработки информации, усложняют организацию защиты, причем основные проблемы при этом состоят в следующем:
разделение совместно используемых ресурсов;
расширение зоны контроля;
комбинация различных программно-аппаратных средств;
множество точек атаки;
сложность управления и контроля доступа к системе.
Для решения перечисленных задач в ВС создаются специальные механизмы защиты (или сервисы безопасности). Их перечень и содержание для общего случая могут быть представлены следующим образом: