Средства защиты информации в компьютерных сетях. Защита информации в компьютерных сетях. Похожие работы на - Методы и средства защиты информации в сетях

Защита информации в компьютерных системах обладает рядом специфических особенностей, связанных с тем, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи. Известно очень большое число угроз информации, которые могут быть реализованы как со стороны внешних, так и внутренних нарушителей. Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа: - перехват информации – целостность информации сохраняется, но её конфиденциальность нарушена; - модификация информации – исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату; - подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от вашего имени (этот вид обмана принято называть спуфингом) или Web – сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров. Исследования практики функционирования систем обработки данных и вычислительных систем показали, что существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:

Чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

Копирование носителей информации и файлов информации с преодолением мер защиты;

Маскировка под зарегистрированного пользователя;

Маскировка под запрос системы;

Использование программных ловушек;

Использование недостатков операционной системы;

Незаконное подключение к аппаратуре и линиям связи;

Злоумышленный вывод из строя механизмов защиты;

Внедрение и использование компьютерных вирусов.

Обеспечение безопасности информации в ВС и в автономно работающих ПЭВМ достигается комплексом организационных, организационно-технических, технических и программных мер. К организационным мерам защиты информации относятся:

Ограничение доступа в помещения, в которых происходит подготовка и обработка информации;

Допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;

Хранение электронных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;

Исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т. д.;

Использование криптографических кодов при передаче по каналам связи ценной информации;

Уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации.

Криптографическая защита информации.

К риптографические методы защиты информации - это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ.

Современная криптография включает в себя четыре крупных раздела:

Симметричные криптосистемы . В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. (Шифрование - преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом, дешифрование - обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный);

Криптосистемы с открытым ключом . В системах с открытым ключом используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.(Ключ - информация, необходимая для беспрепятственного шифрования и дешифрования текстов.);

Электронная подпись . Системой электронной подписи. называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

Управление ключами . Это процесс системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

О сновные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Опасность злоумышленных несанкционированных действий над информацией приняла особенно угрожающий характер с развитием компьютерных сетей. Большинство систем обработки информации создавалось, как обособленные объекты: рабочие станции, ЛВС, большие универсальные компьютеры и т.д. Каждая система использует свою рабочую платформу (Windows, Linux), а также разные сетевые протоколы (TCP/IP). Сложная организация сетей создает благоприятные предпосылки для совершения различного рода правонарушений, связанных с несанкционированным доступом к конфиденциальной информации. Большинство операционных систем, как автономных, так и сетевых, не содержат надежных механизмов защиты информации.

Следствием опасности сетевых систем стали постоянно увеличивающиеся расходы и усилия на защиту информации, доступ к которой можно осуществить через сетевые каналы связи. Сохранить целостность данных можно только при условии принятия специальных мер контроля доступа к данным и шифрования передаваемой информации. Разные системы нуждаются в разных степенях защиты. Актуальной стала задача объединения систем с различными степенями защищенности (например, на платформах Unix и Windows).

Необходимо иметь четкое представление о возможных каналах утечки информации и путях несанкционированного доступа к защищаемой информации. Только в этом случае возможно построение эффективных механизмов защиты информации в компьютерных сетях .

Угрозы безопасности сети

Пути утечки информации и несанкционированного доступа в компьютерных сетях в основной своей массе совпадают с таковыми в автономных системах. Дополнительные возможности возникают за счет существования каналов связи и возможности удаленного доступа к информации. К ним относятся:

электромагнитная подсветка линий связи;
незаконное подключение к линиям связи;
дистанционное преодоление систем защиты;
ошибки в коммутации каналов;
нарушение работы линий связи и сетевого оборудования.

Вопросы безопасности сетей решаются в рамках архитектуры

безопасности, в структуре которой различают:

угрозы безопасности;
службы (услуги) безопасности;
механизмы обеспечения безопасности.

Под угрозой безопасности понимаются действие или событие, которые могут привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Угрозы принято делить на:

непреднамеренные, или случайные;
умышленные.

Случайные угрозы возникают как результат ошибок в программном обеспечении, выхода из строя аппаратных средств, неправильных действий пользователей или администратора сети и т.п.

Умышленные угрозы преследуют цель нанесения ущерба пользователям и абонентам сети и, в свою очередь, подразделяются на активные и пассивные.

Пассивные угрозы направлены на несанкционированное использование информационных ресурсов сети, но при этом не оказывают влияния на ее функционирование. Примером пассивной угрозы является получение информации, циркулирующей в каналах сети, посредством прослушивания.

Активные угрозы имеют целью нарушение нормального процесса функционирования сети посредством целенаправленного воздействия на ее аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя компьютера или операционной системы, искажение сведений в пользовательских базах данных или системной информации и т.п.

К основным угрозам безопасности информации в сети относятся:

раскрытие конфиденциальной информации;
компроментация информации;
несанкционированный обмен информацией;
отказ от информации;
отказ в обслуживании;
несанкционированное использование ресурсов сети;
ошибочное использование ресурсов сети.

Угрозы раскрытия конфиденциальной информации реализуются путем несанкционированного доступа к базам данных.

Компрометация информации реализуется посредством внесения несанкционированных изменений в базы данных.

Несанкционированное использование ресурсов сети является средством раскрытия или компрометации информации, а также наносит ущерб пользователям и администрации сети.

Ошибочное использование ресурсов является следствием ошибок, имеющихся в программном обеспечении ЛВС.

Несанкционированный обмен информацией между абонентами сети дает возможность получать сведения, доступ к которым запрещен, т.е., по сути, приводит к раскрытию информации.

Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или отправки.

Отказ в обслуживании представляет собой весьма распространенную угрозу, источником которой является сама сеть. Подобный отказ особенно опасен в случаях, когда задержка с предоставлением ресурсов сети может привести к тяжелым для абонента последствиям.

Службы безопасности сети

Различия в составе и особенностях служб безопасности. Протоколы информационного обмена в сетях делятся на две большие группы: виртуального соединения и дейтаграммные, в соответствии с которыми сети также принято делить на виртуальные и дейтаграммные.

В виртуальных сетях, передача информации между абонентами организуется по так называемому виртуальному каналу и происходит в три этапа: создание канала (соединение), собственно передача, уничтожение канала (разъединение). Сообщения разбиваются на блоки, которые передаются в порядке их следования в сообщении.

В дейтаграммных сетях пакеты (дейтаграммы ) сообщения передаются от отправителя к получателю независимо друг от друга по различным маршрутам, в связи с чем порядок доставки пакетов может не соответствовать порядку их следования в сообщении. Виртуальная сеть в концептуальном плане реализует принцип организации телефонной связи, тогда как дейтаграммная - почтовой.

Международная организация стандартизации (МОС) определяет следующие службы безопасности:

1) аутентификацию (подтверждение подлинности);
2) обеспечение целостности;
3) засекречивание данных;
4) контроль доступа;
5) защиту от отказов.

Две последние службы едины для дейтаграммных и виртуальных сетей. Первые три характеризуются определенными отличиями, обусловленными особенностями используемых в сетях протоколов.

Служба аутентификации применительно к виртуальным сетям называется службой аутентификации объекта (одноуровневого) и обеспечивает подтверждение того факта, что отправитель информации является именно тем, за кого он себя выдает. Применительно к дейтаграммным сетям служба аутентификации называется службой аутентификации источника данных.

Под целостностью понимается точное соответствие отправленных и полученных данных между собой. Службы целостности для рассматриваемых сетей выглядят следующим образом:

виртуальные сети:
служба целостности соединения с восстановлением;
служба целостности соединения без восстановления;
служба целостности выборочных полей соединения;
дейтаграммные сети:
служба целостности без соединения;
служба целостности выборочных полей без соединения.

Под полями понимаются отдельные определенные элементы блоков или пакетов передаваемых данных. Под восстановлением понимаются процедуры восстановления данных, уничтоженных или потерянных в результате обнаружения искажений, вставок или повторов в блоках или дейтаграммах. В службах целостности дейтаграммных сетей наличие процедур восстановления не предусматривается.

Службы засекречивания данных - это:

служба засекречивания соединения - обеспечивает секретность всех данных, пересылаемых объектами по виртуальному каналу;
служба засекречивания без соединения - обеспечивает секретность данных, содержащихся в каждой отдельной дейтаграмме;
служба засекречивания отдельных полей соединения;
служба засекречивания трафика - нейтрализует возможность получения сведений об абонентах сети и характере использования сети.

Механизмы безопасности

Среди механизмов безопасности сетей, предусмотренных МОС, обычно выделяют следующие основные :

шифрование;
контроль доступа;
цифровую подпись.

Шифрование применяется для реализации служб засекречивания и используется в ряде других служб.

Механизмы контроля доступа обеспечивают реализацию одноименной службы безопасности, осуществляют проверку полномочий объектов сети, т.е. программ и пользователей, на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется в точке инициализации связи, в промежуточных точках, а также в конечной точке.

Механизмы контроля доступа делятся на две основные группы:

аутентификации объектов , требующих ресурса, с последующей проверкой допустимости доступа, для которой используется специальная информационная база контроля доступа;
использования меток безопасности , связываемых с объектами; наличие у объекта мандата дает право на доступ к ресурсу.

Самым распространенным и одновременно самым ненадежным методом аутентификации является парольный доступ. Более совершенными являются пластиковые карточки и электронные жетоны. Наиболее надежными считаются методы аутентификации по особым приметам личности, так называемые биометрические методы.

Цифровая подпись используется для реализации служб аутентификации и защиты от отказов. По своей сути она призвана служить электронным аналогом реквизита «подпись», используемого на бумажных документах. Механизм цифровой подписи базируется на использовании способа шифрования с открытым ключом. Знание соответствующего открытого ключа дает возможность получателю электронного сообщения однозначно опознать его отправителя.

Дополнительные механизмы безопасности следующие:

обеспечение целостности данных;
аутентификация;
подстановка трафика;
управление маршрутизацией;
арбитраж.

Механизмы обеспечения целостности данных направлены на реализацию одноименной службы как применительно к отдельному блоку данных, так и к потоку данных. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Возможны и более простые методы контроля целостности потока данных, например нумерация блоков, дополнение их меткой времени и т.д.

Механизмы обеспечения аутентификации используются для реализации одноименной службы, при этом различают одностороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов одного уровня проверяет подлинность другого, тогда как во втором проверка является взаимной. На практике механизмы аутентификации, как правило, совмещаются с контролем доступа, шифрованием, цифровой подписью и арбитражем.

Механизмы подстановки трафика используются для реализации службы засекречивания потока данных. Они основываются на генерации объектами сети фиктивных блоков, их шифровании и организации их передачи по каналам сети.

Механизмы управления маршрутизацией используются для реализации служб засекречивания. Эти механизмы обеспечивают выбор маршрутов движения информации по сети.

Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами сети, третьей стороной. Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтвердить упомянутые характеристики.

В общем случае для реализации одной службы безопасности может использоваться комбинация нескольких механизмов безопасности.

Защита сетевых операционных систем

Операционная система и аппаратных средства сети обеспечивают защиту ресурсов сети, одним из которых является сама ОС, т.е.

входящие в нее программы и системная информация. Поэтому в сетевой ОС ЛВС должны быть так или иначе реализованы механизмы безопасности.

Принято различать:

пассивные объекты защиты (файлы, прикладные программы, терминалы, области оперативной памяти и т.п.);
активные субъекты (процессы), которые могут выполнять над объектами определенные операции.

Защита объектов реализуется операционной системой посредством контроля за выполнением субъектами совокупности правил, регламентирующих указанные операции. Эту совокупность иногда называют статусом защиты. Операции, которые могут выполняться над защищенными объектами, принято называть правами доступа, а права доступа субъекта по отношению к конкретному объекту - возможностями. В качестве формальной модели статуса защиты в ОС чаще всего используется так называемая матрица контроля доступа.

Достаточно простым в реализации средством разграничения доступа к защищаемым объектам является механизм колец безопасности.

Защита файлов в ОС организована следующим образом. С каждым файлом связывается множество прав доступа: чтение, обновление и (или) выполнение (для исполняемых файлов). Владелец файла, т.е. создавшее его лицо, пользуется но отношению к файлу всеми правами. Часть этих прав он может передать членам группы - лицам, которым он доверяет сведения, имеющиеся в файле.

Доступ к ресурсам ОС чаще всего ограничен средствами защиты по паролям. Пароль может быть использован и в качестве ключа для шифрования-дешифрования информации в пользовательских файлах. Сами пароли также хранятся в зашифрованном виде, что затрудняет их выявление и использование злоумышленниками. Пароль может быть изменен пользователем, администратором системы либо самой системой по истечении установленного интервала времени.

Защита распределенных баз данных

Обеспечение безопасности распределенных баз данных (РБД) косвенно реализуется сетевой ОС. Однако все названные механизмы и средства инвариантны конкретным способам представления информации в БД. Подобная инвариантность приводит к тому, что в случае непринятия специальных мер, все пользователи СУБД имеют равные права по использованию и обновлению всей информации, имеющейся в базе данных. В тоже время информация, как и при ее неавтоматизированном накоплении и использовании, должна быть разбита на категории по грифу секретности, группам пользователей, которым она доступна, а также по операциям над нею, которые разрешены указанным группам. Реализация этого процесса требует разработки и включения в состав СУБД специальных механизмов защиты.

Принятие решения о доступе к той или иной информации, имеющейся в РБД, может зависеть от следующих факторов:

1) времени и точки доступа;
2) наличия в БД определенных сведений;
3) текучесть состояния СУБД;
4) полномочий пользователя;
5) предыстории обращения к данным.
1. Доступ к БД с каждого терминала ЛВС может быть ограничен некоторым фиксированным отрезком времени.
2. Пользователь может получить из БД интересующие его сведения только при условии, что база данных содержит некоторую взаимосвязанную с ними информацию определенного содержания.
3. Обновление информации в некоторой БД может быть разрешено пользователю только в те моменты времени, когда она не обновляется другими пользователями.
4. Для каждого пользователя прикладной программы устанавливаются индивидуальные права на доступ к различным элементам базы данных. Эти нрава регламентируют операции, которые пользователь может выполнять над указанными элементами. Например, пользователю может быть разрешен отбор элементов БД, содержащих информацию о товарах, предлагаемых на бирже, но запрещено обновление этих сведений.
5. В основе лежит то обстоятельство, что интересующую его информацию пользователь может получить не непосредственным отбором тех или иных элементов БД, а косвенным путем, т.е. посредством анализа и сопоставления ответов СУБД на последовательно вводимые запросы (команды на обновление данных). В связи с этим для обеспечения безопасности информации в БД в общем случае необходимо учитывать предысторию обращения к данным.

Локальные вычислительные сети: Справочник. В 3-х кн. Кн. 1. Принципы построения, архитектура, коммуникационные средства / Под ред. С.В. Назарова.М.: Финансы и статистика, 1994.

Защита данных в компьютерных сетях становится одной из самых открытых проблем в современных информационно-вычислительных системах. На сегодняшний день сформулировано три базовых принципа информационной безопасности, задачей которой является обеспечение:

целостности данных;

защита от сбоев, ведущих к потере информации или ее уничтожения;

конфиденциальности информации;

Рассматривая проблемы, связанные с защитой данных в сети, возникает вопрос о классификации сбоев и несанкционированности доступа, что ведет к потере или нежелательному изменению данных. Это могут быть сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и т.д.), потери информации (из-за инфицирования компьютерными вирусами, неправильного хранения архивных данных, нарушений прав доступа к данным), некорректная работа пользователей и обслуживающего персонала. Перечисленные нарушения работы в сети вызвали необходимость создания различных видов защиты информации. Условно их можно разделить на три класса:

средства физической защиты;

программные средства (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа);

административные меры защиты (доступ в помещения, разработка стратегий безопасности фирмы и т.д.).

Одним из средств физической защиты являются системы архивирования и дублирования информации. В локальных сетях, где установлены один-два сервера, чаще всего система устанавливается непосредственно в свободные слоты серверов. В крупных корпоративных сетях предпочтение отдается выделенному специализированному архивационному серверу, который автоматически архивирует информацию с жестких дисков серверов и рабочих станций в определенное время, установленное администратором сети, выдавая отчет о проведенном резервном копировании. Наиболее распространенными моделями архивированных серверов являются Storage Express System корпорации Intel ARCserve for Windows.

Для борьбы с компьютерными вирусами наиболее часто применяются антивирусные программы, реже - аппаратные средства защиты. Однако, в последнее время наблюдается тенденция к сочетанию программных и аппаратных методов защиты. Среди аппаратных устройств используются специальные антивирусные платы, вставленные в стандартные слоты расширения компьютера. Корпорация Intel предложила перспективную технологию защиты от вирусов в сетях, суть которой заключается в сканировании систем компьютеров еще до их загрузки. Кроме антивирусных программ, проблема защиты информации в компьютерных сетях решается введением контроля доступа и разграничением полномочий пользователя. Для этого используются встроенные средства сетевых операционных систем, крупнейшим производителем которых является корпорация Novell. В системе, например, NetWare, кроме стандартных средств ограничения доступа (смена паролей, разграничение полномочий), предусмотрена возможность кодирования данных по принципу "открытого ключа" с формированием электронной подписи для передаваемых по сети пакетов.

Однако, такая система защиты слабомощна, т.к. уровень доступа и возможность входа в систему определяются паролем, который легко подсмотреть или подобрать. Для исключения неавторизованного проникновения в компьютерную сеть используется комбинированный подход - пароль + идентификация пользователя по персональному "ключу". "Ключ" представляет собой пластиковую карту (магнитная или со встроенной микросхемой - смарт-карта) или различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т.д. Серверы и сетевые рабочие станции, оснащенные устройствами чтения смарт-карт и специальным программным обеспечением, значительно повышают степень защиты от несанкционированного доступа.

Смарт-карты управления доступом позволяют реализовать такие функции, как контроль входа, доступ к устройствам ПК, к программам, файлам и командам. Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos, в основу которой входят три компонента:

база данных, которая содержит информацию по всем сетевым ресурсам, пользователям, паролям, информационным ключам и т.д.;

авторизационный сервер (authentication server), задачей которого является обработка запросов пользователей на предоставление того или иного вида сетевых услуг. Получая запрос, он обращается к базе данных и определяет полномочия пользователя на совершение определенной операции. Пароли пользователей по сети не передаются, тем самым, повышая степень защиты информации;

сервер выдачи разрешений (Ticket-granting server) получает от авторизационного сервера "пропуск" с именем пользователя и его сетевым адресом, временем запроса, а также уникальный "ключ". Пакет, содержащий "пропуск", передается также в зашифрованном виде. Сервер выдачи разрешений после получения и расшифровки "пропуска" проверяет запрос, сравнивает "ключи" и при тождественности дает "добро" на использование сетевой аппаратуры или программ.

По мере расширения деятельности предприятий, роста численности абонентов и появления новых филиалов, возникает необходимость организации доступа удаленных пользователей (групп пользователей) к вычислительным или информационным ресурсам к центрам компаний. Для организации удаленного доступа чаще всего используются кабельные линии и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода. В мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов - их разделение и передача параллельно по двум линиям, - что делает невозможным "перехват" данных при незаконном подключении "хакера" к одной из линий. Используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки "перехваченных" данных. Мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленным пользователям не все ресурсы центра компании могут быть доступны.

В настоящее время разработаны специальные устройства контроля доступа к вычислительным сетям по коммутируемым линиям. Примером может служить, разработанный фирмой AT&T модуль Remote Port Securiti Device (PRSD), состоящий из двух блоков размером с обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют устанавливать несколько уровней защиты и контроля доступа:

шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей;

контроль доступа с учетом дня недели или времени суток.

Прямое отношение к теме безопасности имеет стратегия создания резервных копий и восстановления баз данных. Обычно эти операции выполняются в нерабочее время в пакетном режиме. В большинстве СУБД резервное копирование и восстановление данных разрешаются только пользователям с широкими полномочиями (права доступа на уровне системного администратора, либо владельца БД), указывать столь ответственные пароли непосредственно в файлах пакетной обработки нежелательно. Чтобы не хранить пароль в явном виде, рекомендуется написать простенькую прикладную программу, которая сама бы вызывала утилиты копирования/восстановления. В таком случае системный пароль должен быть "зашит" в код указанного приложения. Недостатком данного метода является то, что всякий раз при смене пароля эту программу следует перекомпилировать.

Применительно к средствам защиты от НСД определены семь классов защищенности (1-7) средств вычислительной техники (СВТ) и девять классов (1А,1Б,1В,1Г,1Д,2А,2Б,3А,3Б) автоматизированных систем (АС). Для СВТ самым низким является седьмой класс, а для АС - 3Б.

Рассмотрим более подробно приведенные сертифицированные системы защиты от НСД.

Система "КОБРА" соответствует требованиям 4-ого класса защищенности (для СВТ), реализует идентификацию и разграничение полномочий пользователей и криптографическое закрытие информации, фиксирует искажения эталонного состояния рабочей среды ПК (вызванные вирусами, ошибками пользователей, техническими сбоями и т.д.) и автоматически восстанавливает основные компоненты операционной среды терминала.

Подсистема разграничения полномочий защищает информацию на уровне логических дисков. Пользователь получает доступ к определенным дискам А,В,С,...,Z. Все абоненты разделены на 4 категории:

суперпользователь (доступны все действия в системе);

администратор (доступны все действия в системе, за исключением изменения имени, статуса и полномочий суперпользователя, ввода или исключения его из списка пользователей);

программисты (может изменять личный пароль);

коллега (имеет право на доступ к ресурсам, установленным ему суперпользователем).

Помимо санкционирования и разграничения доступа к логическим дискам, администратор устанавливает каждому пользователю полномочия доступа к последовательному и параллельному портам. Если последовательный порт закрыт, то невозможна передача информации с одного компьютера на другой. При отсутствии доступа к параллельному порту, невозможен вывод на принтер.

Тема 3.3: Прикладные программы для создания Веб-сайтов

Тема 3.4: Применение Интернет в экономике и защита информации

Программы для создания сайтов

3.4. Применение Интернет в экономике и защита информации

3.4.1. Организация компьютерной безопасности и защита информации

Информация является одним из наиболее ценных ресурсов любой компании, поэтому обеспечение защиты информации является одной из важнейших и приоритетных задач.

Безопасность информационной системы - это свойство, заключающее в способности системы обеспечить ее нормальное функционирование, то есть обеспечить целостность и секретность информации. Для обеспечения целостности и конфиденциальности информации необходимо обеспечить защиту информации от случайного уничтожения или несанкционированного доступа к ней.

Под целостностью понимается невозможность несанкционированного или случайного уничтожения, а также модификации информации. Под конфиденциальностью информации - невозможность утечки и несанкционированного завладения хранящейся, передаваемой или принимаемой информации.

Известны следующие источники угроз безопасности информационных систем:

антропогенные источники, вызванные случайными или преднамеренными действиями субъектов;
техногенные источники, приводящие к отказам и сбоям технических и программных средств из-за устаревших программных и аппаратных средств или ошибок в ПО;
стихийные источники, вызванные природными катаклизмами или форс-мажорными обстоятельствами.

В свою очередь антропогенные источники угроз делятся:

на внутренние (воздействия со стороны сотрудников компании) и внешние (несанкционированное вмешательство посторонних лиц из внешних сетей общего назначения) источники;
на непреднамеренные (случайные) и преднамеренные действия субъектов.

Существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа к ней в системах и сетях:

перехват информации;
модификация информации (исходное сообщение или документ изменяется или подменяется другим и отсылается адресату);
подмена авторства информации (кто-то может послать письмо или документ от вашего имени);
использование недостатков операционных систем и прикладных программных средств;
копирование носителей информации и файлов с преодолением мер защиты;
незаконное подключение к аппаратуре и линиям связи;
маскировка под зарегистрированного пользователя и присвоение его полномочий;
введение новых пользователей;
внедрение компьютерных вирусов и так далее.

Для обеспечения безопасности информационных систем применяют системы защиты информации, которые представляют собой комплекс организационно - технологических мер, программно - технических средств и правовых норм, направленных на противодействие источникам угроз безопасности информации.

При комплексном подходе методы противодействия угрозам интегрируются, создавая архитектуру безопасности систем. Необходимо отметить, что любая системы защиты информации не является полностью безопасной. Всегда приходиться выбирать между уровнем защиты и эффективностью работы информационных систем.

К средствам защиты информации ИС от действий субъектов относятся:

средства защита информации от несанкционированного доступа;
защита информации в компьютерных сетях;
криптографическая защита информации;
электронная цифровая подпись;
защита информации от компьютерных вирусов.

Средства защита информации от несанкционированного доступа

Получение доступа к ресурсам информационной системы предусматривает выполнение трех процедур: идентификация, аутентификация и авторизация.

Идентификация - присвоение пользователю (объекту или субъекту ресурсов) уникальных имен и кодов (идентификаторов).

Аутентификация - установление подлинности пользователя, представившего идентификатор или проверка того, что лицо или устройство, сообщившее идентификатор является действительно тем, за кого оно себя выдает. Наиболее распространенным способом аутентификации является присвоение пользователю пароля и хранение его в компьютере.

Авторизация - проверка полномочий или проверка права пользователя на доступ к конкретным ресурсам и выполнение определенных операций над ними. Авторизация проводится с целью разграничения прав доступа к сетевым и компьютерным ресурсам.

Защита информации в компьютерных сетях

Локальные сети предприятий очень часто подключаются к сети Интернет. Для защиты локальных сетей компаний, как правило, применяются межсетевые экраны - брандмауэры (firewalls). Экран (firewall) - это средство разграничения доступа, которое позволяет разделить сеть на две части (граница проходит между локальной сетью и сетью Интернет) и сформировать набор правил, определяющих условия прохождения пакетов из одной части в другую. Экраны могут быть реализованы как аппаратными средствами, так и программными.

Криптографическая защита информации

Для обеспечения секретности информации применяется ее шифрование или криптография. Для шифрования используется алгоритм или устройство, которое реализует определенный алгоритм. Управление шифрованием осуществляется с помощью изменяющегося кода ключа.

Извлечь зашифрованную информацию можно только с помощью ключа. Криптография - это очень эффективный метод, который повышает безопасность передачи данных в компьютерных сетях и при обмене информацией между удаленными компьютерами.

Электронная цифровая подпись

Для исключения возможности модификации исходного сообщения или подмены этого сообщения другим необходимо передавать сообщение вместе с электронной подписью. Электронная цифровая подпись - это последовательность символов, полученная в результате криптографического преобразования исходного сообщения с использованием закрытого ключа и позволяющая определять целостность сообщения и принадлежность его автору при помощи открытого ключа.

Другими словами сообщение, зашифрованное с помощью закрытого ключа, называется электронной цифровой подписью. Отправитель передает незашифрованное сообщение в исходном виде вместе с цифровой подписью. Получатель с помощью открытого ключа расшифровывает набор символов сообщения из цифровой подписи и сравнивает их с набором символов незашифрованного сообщения.

При полном совпадении символов можно утверждать, что полученное сообщение не модифицировано и принадлежит его автору.

Защита информации от компьютерных вирусов

Компьютерный вирус – это небольшая вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных и распространяться по каналам связи.

В зависимости от среды обитания основными типами компьютерных вирусов являются:

Программные (поражают файлы с расширением.СОМ и.ЕХЕ) вирусы
Загрузочные вирусы.
Макровирусы.
Сетевые вирусы.

Источниками вирусного заражения могут быть съемные носители и системы телекоммуникаций. К наиболее эффективным и популярным антивирусным программам относятся: Антивирус Касперского 7.0, AVAST, Norton AntiVirus и многие другие. Более подробная информация о вирусах и методах защиты от них изложена на страничке