Sredstva zaštite informacija u računalnim mrežama. Zaštita informacija u računalnim mrežama. Slični radovi - Metode i sredstva zaštite informacija u mrežama

Zaštita informacija u računalnim sustavima ima niz specifičnosti koje se odnose na činjenicu da informacije nisu striktno povezane s medijem te da se mogu jednostavno i brzo kopirati i prenositi komunikacijskim kanalima. Postoji vrlo velik broj prijetnji informacijama koje mogu izvesti i vanjski i unutarnji prekršitelji. Problemi koji nastaju sa sigurnošću prijenosa informacija pri radu u računalnim mrežama mogu se podijeliti u tri glavne vrste: - presretanje informacija - cjelovitost informacija je sačuvana, ali je povrijeđena njihova povjerljivost; - izmjena informacija – izvorna poruka se mijenja ili potpuno zamjenjuje drugom i šalje primatelju; - zamjena autorstva informacije. Ovaj problem može imati ozbiljne posljedice. Na primjer, netko može poslati e-poštu u vaše ime (ova vrsta prijevare obično se naziva spoofing) ili se web poslužitelj može pretvarati da je elektronička trgovina, prihvaćati narudžbe, brojeve kreditnih kartica, ali ne slati nikakvu robu. Istraživanja prakse funkcioniranja sustava za obradu podataka i računalnih sustava pokazala su da postoji više mogućih pravaca curenja informacija i načina neovlaštenog pristupa u sustavima i mrežama. Među njima:

Čitanje preostalih informacija u memoriji sustava nakon izvršenja ovlaštenih zahtjeva;

Kopiranje medija za pohranu i informacijskih datoteka prevladavanjem sigurnosnih mjera;

Maskiranje kao registrirani korisnik;

Maskiranje kao zahtjev sustava;

Korištenje softverskih zamki;

Iskorištavanje nedostataka operativnog sustava;

Nezakonito spajanje na opremu i komunikacijske linije;

Zlonamjerni kvar zaštitnih mehanizama;

Uvođenje i uporaba računalnih virusa.

Osiguranje sigurnosti informacija u zrakoplovima iu autonomno operativnim osobnim računalima ostvaruje se skupom organizacijskih, organizacijskih, tehničkih, tehničkih i programskih mjera. Mjere organizacijske sigurnosti informacija uključuju:

Ograničenje pristupa prostorijama u kojima se pripremaju i obrađuju informacije;

Dopuštanje samo provjerenim službenicima da obrađuju i prenose povjerljive informacije;

Pohranjivanje elektroničkih medija i dnevnika u sefove koji su zatvoreni za neovlaštene osobe;

Onemogućavanje neovlaštenim osobama pregledavanja sadržaja obrađenih materijala putem displeja, printera i sl.;

Korištenje kriptografskih kodova pri prijenosu vrijednih informacija preko komunikacijskih kanala;

Uništavanje tinte, papira i drugih materijala koji sadrže fragmente vrijednih informacija.

Kriptografska zaštita informacija.

DO kriptografske metode zaštite informacija su posebne metode šifriranja, kodiranja ili druge transformacije informacija, zbog čega njihov sadržaj postaje nedostupan bez predočenja ključa kriptograma i obrnute transformacije. Kriptografski način zaštite je, naravno, najpouzdaniji način zaštite, jer se štiti sama informacija, a ne pristup istoj (primjerice, kriptirana datoteka se ne može pročitati čak i ako je medij ukraden). Ova metoda zaštite implementirana je u obliku programa ili programskih paketa.

Moderna kriptografija uključuje četiri glavna dijela:

Simetrični kriptosustavi. U simetričnim kriptosustavima isti se ključ koristi i za šifriranje i za dešifriranje. (Šifriranje je proces transformacije: izvorni tekst, koji se također naziva otvorenim tekstom, zamjenjuje se šifriranim tekstom, dešifriranje je obrnuti proces šifriranja. Na temelju ključa, šifrirani tekst se pretvara u original);

Kriptosustavi s javnim ključem. Sustavi javnih ključeva koriste dva ključa, javni ključ i privatni ključ, koji su međusobno matematički povezani. Informacije se šifriraju javnim ključem koji je dostupan svima, a dešifriraju se privatnim ključem koji je poznat samo primatelju poruke (Ključ je informacija potrebna za nesmetano šifriranje i dešifriranje tekstova.);

Elektronički potpis. Sustav elektroničkog potpisa. naziva se kriptografska transformacija priložena tekstu, koja omogućuje, kada tekst primi drugi korisnik, provjeru autorstva i autentičnosti poruke.

Upravljanje ključem. Ovo je sistemski proces obrada informacija, čiji je sadržaj kompilacija i distribucija ključeva među korisnicima.

OKO Glavna područja korištenja kriptografskih metoda su prijenos povjerljivih informacija kroz komunikacijske kanale (na primjer, e-pošta), utvrđivanje autentičnosti prenesenih poruka, pohranjivanje informacija (dokumenata, baza podataka) na medije u šifriranom obliku.

Opasnost od zlonamjernih neovlaštenih radnji nad informacijama posebno je postala prijeteća razvojem računalnih mreža. Većina sustava za obradu informacija stvorena je kao zasebni objekti: radne stanice, LAN-ovi, velika univerzalna računala itd. Svaki sustav koristi svoju operativnu platformu (Windows, Linux), kao i različite mrežni protokoli(TCP/IP). Složena organizacija mreža stvara povoljne uvjete za počinjenje raznih vrsta kaznenih djela vezanih uz neovlašteni pristup povjerljivim informacijama. Većina operativni sustavi, kako autonomni tako i umreženi, ne sadrže pouzdane mehanizme za sigurnost informacija.

Posljedica opasnosti umreženih sustava su sve veći troškovi i napori da se zaštite informacije kojima se može pristupiti mrežnim komunikacijskim kanalima. Cjelovitost podataka može se održati samo ako se poduzmu posebne mjere za kontrolu pristupa podacima i šifriranje prenesenih informacija. Razni sustavi zahtijevaju različite stupnjeve zaštite. Zadatak kombiniranja sustava s različitim stupnjevima sigurnosti (na primjer, na Unix i Windows platformama) postao je hitan.

Potrebno je jasno razumjeti moguće kanale curenja informacija i načine neovlaštenog pristupa zaštićenim informacijama. Samo u tom slučaju moguće je izgraditi učinkovite mehanizme za zaštitu informacija računalne mreže.

Mrežne sigurnosne prijetnje

Putovi curenja informacija i neovlaštenog pristupa u računalnim mrežama uglavnom se podudaraju s onima u autonomnim sustavima. Dodatne mogućnosti nastaju zbog postojanja komunikacijskih kanala i mogućnosti daljinskog pristupa informacijama. To uključuje:

elektromagnetsko osvjetljenje komunikacijskih linija;
nezakonito spajanje na komunikacijske vodove;
daljinsko savladavanje obrambenih sustava;
greške u preklapanju krugova;
prekid komunikacijskih linija i mrežne opreme.

Sigurnosni problemi mreže rješavaju se unutar arhitekture

sigurnost, čija struktura uključuje:

sigurnosne prijetnje;
zaštitarske usluge (usluge);
sigurnosnih mehanizama.

Pod, ispod sigurnosna prijetnja odnosi se na radnju ili događaj koji može dovesti do uništenja, izobličenja ili neovlaštenog korištenja mrežnih resursa, uključujući pohranjene, prenesene i obrađene informacije, kao i softver i hardver.

Prijetnje se obično dijele na:

nenamjerno ili slučajno;
namjeran.

Nasumične prijetnje nastaju kao rezultat softverskih pogrešaka, kvara hardvera, pogrešnih postupaka korisnika ili mrežnog administratora itd.

Namjerne prijetnje imaju za cilj nanošenje štete korisnicima i pretplatnicima mreže, a dijele se na aktivne i pasivne.

Pasivne prijetnje usmjereni su na neovlašteno korištenje mrežnih informacijskih resursa, ali ne utječu na njegovo funkcioniranje. Primjer pasivne prijetnje je dobivanje informacija koje kruže mrežnim kanalima putem prisluškivanja.

Aktivne prijetnje imaju za cilj ometanje normalnog funkcioniranja mreže ciljanim utjecajem na njezin hardver, softver i informacijske resurse. Aktivne prijetnje uključuju, na primjer, uništavanje ili elektroničko ometanje komunikacijskih linija, onesposobljavanje računala ili operativnog sustava, iskrivljavanje podataka u korisničkim bazama podataka ili informacija o sustavu itd.

Glavne prijetnje sigurnosti informacija na mreži uključuju:

otkrivanje povjerljivih podataka;
kompromitacija informacija;
neovlaštena razmjena informacija;
odbijanje informacija;
uskraćivanje usluge;
neovlašteno korištenje mrežnih resursa;
pogrešno korištenje mrežnih resursa.

Prijetnje otkrivanjem povjerljivih podataka provodi neovlaštenim pristupom bazama podataka.

Kompromis informacija provodi neovlaštenim mijenjanjem baza podataka.

Neovlašteno korištenje mrežnih resursa je sredstvo otkrivanja ili kompromitiranja informacija, a također uzrokuje štetu korisnicima i mrežnoj administraciji.

Zlouporaba resursa je posljedica grešaka u LAN softveru.

Neovlaštena razmjena informacija između pretplatnika mreže omogućuje primanje informacija kojima je pristup zabranjen, tj. u biti dovodi do otkrivanja informacija.

Odbijanje informacija sastoji se u nepriznavanju od strane primatelja ili pošiljatelja ovih informacija činjenica o njihovom primitku ili slanju.

Uskraćivanje usluge je vrlo česta prijetnja koja dolazi iz same mreže. Takvo odbijanje posebno je opasno u slučajevima kada kašnjenje u pružanju mrežnih resursa može dovesti do ozbiljnih posljedica za pretplatnika.

Usluge mrežne sigurnosti

Razlike u sastavu i karakteristikama zaštitarskih službi. Protokoli za razmjenu informacija u mrežama dijele se u dvije velike skupine: virtualna veza i datagram, prema čemu se i mreže obično dijele na virtualne i datagramske.

U virtualan mrežama, prijenos informacija između pretplatnika organiziran je prema tzv virtualni kanal i odvija se u tri faze: stvaranje kanala (spajanje), sam prijenos, uništavanje kanala (prekid veze). Poruke su podijeljene u blokove koji se prenose redoslijedom kojim se pojavljuju u poruci.

U datagram mrežni paketi ( datagrami) poruke se prenose od pošiljatelja do primatelja neovisno jedna o drugoj duž različitih ruta, pa stoga redoslijed kojim se paketi isporučuju možda neće odgovarati redoslijedu kojim se pojavljuju u poruci. Virtualna mreža konceptualno implementira princip organizacije telefonska komunikacija, dok je datagram pošta.

Međunarodna organizacija za standardizaciju (ISO) definira sljedeće sigurnosne usluge:

1) autentikacija (potvrda autentičnosti);
2) osiguranje integriteta;
3) klasifikacija podataka;
4) kontrolu pristupa;
5) zaštita od kvarova.

Posljednje dvije usluge su iste za datagram i virtualne mreže. Prva tri karakteriziraju određene razlike zbog karakteristika protokola koji se koriste u mrežama.

Usluga provjere autentičnosti u odnosu na virtualne mreže naziva se usluga autentifikacije entiteta (jednorazinska) i daje potvrdu činjenice da je pošiljatelj informacije upravo onaj za kojeg se predstavlja. Kada se primijeni na mreže datagrama, usluga provjere autentičnosti naziva se usluga provjere autentičnosti izvora podataka.

Pod, ispod integritet podrazumijeva se da poslani i primljeni podaci točno odgovaraju jedni drugima. Usluge integriteta za mreže koje se razmatraju izgledaju ovako:

virtualne mreže:
usluga integriteta veze s oporavkom;
usluga integriteta veze bez oporavka;
usluga cjelovitosti selektivnih polja veze;
datagram mreže:
usluga integriteta bez veze;
usluga selektivnog integriteta polja bez veze.

Pod, ispod polja odnosi se na pojedinačne specifične elemente blokova ili paketa prenesenih podataka. Oporavak se odnosi na postupke za oporavak podataka koji su uništeni ili izgubljeni zbog otkrića oštećenja, umetanja ili ponavljanja u blokovima ili datagramima. Usluge mrežnog integriteta datagrama ne pružaju postupke oporavka.

Usluge tajnosti podataka su:

usluga tajnosti veze - osigurava tajnost svih podataka koje objekti šalju putem virtualnog kanala;
usluga tajnosti bez veze - osigurava tajnost podataka sadržanih u svakom pojedinom datagramu;
servis za razvrstavanje pojedinih priključnih polja;
usluga prometne tajnosti - neutralizira mogućnost dobivanja podataka o mrežnim pretplatnicima i prirodi korištenja mreže.

Sigurnosni mehanizmi

Među sigurnosnim mehanizmima mreže koje pruža IOC obično se razlikuju sljedeći: Osnovni, temeljni:

enkripcija;
kontrola pristupa;
digitalni potpis.

Šifriranje koristi se za implementaciju usluga klasifikacije i koristi se u nizu drugih usluga.

Mehanizmi kontrole pristupa osigurati implementaciju istoimene sigurnosne usluge, provjeriti autoritet mrežnih objekata, tj. programa i korisnika za pristup mrežnim resursima. Kada se pristupa resursu preko veze, kontrola se provodi na točki na kojoj je veza započeta, na međutočkama, a također i na krajnjoj točki.

Mehanizmi kontrole pristupa dijele se u dvije glavne skupine:

provjera autentičnosti objekta, koji zahtijevaju resurs, nakon čega slijedi provjera pristupa, za što postoji poseban informacijska baza kontrola pristupa;
korištenje sigurnosnih naljepnica, povezan s objektima; Posjedovanje objekta s mandatom daje pravo pristupa resursu.

Najčešća i ujedno najnepouzdanija metoda provjere autentičnosti je pristup lozinkom. Naprednije su plastične kartice i elektronički žetoni. Najpouzdanije metode autentifikacije temeljene na posebnim svojstvima pojedinca, tzv biometrijske metode.

Digitalni potpis koristi se za implementaciju usluga autentifikacije i odbijanja. U svojoj srži, namijenjen je da služi kao elektronički analog rekvizita "potpis" koji se koristi na papirnatim dokumentima. Mehanizam digitalni potpis temelji se na korištenju enkripcije s javnim ključem. Poznavanje odgovarajućeg javnog ključa omogućuje primatelju elektronička pošta jedinstveno identificirati svog pošiljatelja.

Dodatni sigurnosni mehanizmi su sljedeći:

osiguranje integriteta podataka;
ovjera;
supstitucija prometa;
upravljanje usmjeravanjem;
arbitraža.

Mehanizmi integriteta podataka usmjereni su na implementaciju istoimene usluge u odnosu na odvojeni blok podataka i na tok podataka. Cjelovitost bloka osigurava se izvršavanjem međusobno povezanih postupaka šifriranja i dešifriranja od strane pošiljatelja i primatelja. Moguće je više jednostavne metode praćenje cjelovitosti protoka podataka, na primjer, numeriranje blokova, njihovo dodavanje vremenskom oznakom itd.

Mehanizmi provjere autentičnosti koriste se za implementaciju istoimene usluge, razlikujući jednosmjernu i uzajamnu autentifikaciju. U prvom slučaju jedan od međusobno djelujućih objekata jedne razine provjerava identitet drugoga, dok je u drugom slučaju provjera obostrana. U praksi se mehanizmi provjere autentičnosti obično kombiniraju s kontrolom pristupa, enkripcijom, digitalnim potpisom i arbitražom.

Mehanizmi supstitucije prometa koriste se za implementaciju usluge tajnosti toka podataka. Temelje se na generiranju fiktivnih blokova od strane mrežnih objekata, njihovoj enkripciji i organizaciji njihovog prijenosa mrežnim kanalima.

Mehanizmi kontrole usmjeravanja koriste se za implementaciju usluga klasifikacije. Ti mehanizmi osiguravaju izbor ruta za kretanje informacija kroz mrežu.

Arbitražni mehanizmi pružiti potvrdu karakteristika podataka koje treća strana prenosi između mrežnih objekata. U tu svrhu sve informacije koje objekti šalju ili primaju također prolaze kroz arbitra, što mu omogućuje naknadnu potvrdu navedenih karakteristika.

Općenito, kombinacija nekoliko sigurnosnih mehanizama može se koristiti za implementaciju jedne sigurnosne usluge.

Zaštita mrežnih operativnih sustava

Operativni sustav i mrežni hardver osiguravaju zaštitu mrežnih resursa, od kojih je jedan sam OS, tj.

programi i informacije o sustavu uključene u njega. Stoga sigurnosni mehanizmi moraju biti implementirani na ovaj ili onaj način u OS LAN mreže.

Uobičajeno je razlikovati:

pasivni objekti zaštite (datoteke, aplikacijski programi, terminali, područja RAM memorija i tako dalje.);
aktivni subjekti (procesi) koji mogu obavljati određene operacije nad objektima.

Zaštitu objekata implementira operacijski sustav praćenjem implementacije skupa pravila koja reguliraju te operacije od strane subjekata. Ova zbirka se ponekad naziva status zaštite. Obično se pozivaju operacije koje se mogu izvesti na zaštićenim objektima prava pristupa, a prava pristupa subjekta u odnosu na određeni objekt su mogućnosti. Kao formalni model sigurnosnog statusa u OS-u najčešće se koristi takozvana matrica kontrole pristupa.

Prilično jednostavan za provedbu način ograničavanja pristupa zaštićenim objektima je sigurnosni prstenasti mehanizam.

Zaštita datoteka u OS-u organizirana je na sljedeći način. Svaka datoteka ima više dopuštenja povezanih s njom: čitanje, ažuriranje i/ili izvršavanje (za izvršne datoteke). Vlasnik datoteke, tj. Osoba koja ju je izradila uživa sva prava u odnosu na datoteku. Neka od tih prava može prenijeti na članove grupe - osobe kojima povjeri podatke sadržane u datoteci.

Pristup resursima OS-a najčešće je ograničen zaštitom lozinkom. Lozinka se također može koristiti kao ključ za šifriranje/dekriptiranje informacija u korisničkim datotekama. Same lozinke također su pohranjene u šifriranom obliku, što napadačima otežava njihovu identifikaciju i korištenje. Lozinku može promijeniti korisnik, administrator sustava ili sam sustav nakon određenog vremena.

Zaštita distribuiranih baza podataka

Osiguranje sigurnosti distribuiranih baza podataka (RDB) neizravno provodi mrežni OS. Međutim, svi navedeni mehanizmi i sredstva su nepromjenjivi na određene načine prezentiranja informacija u bazi podataka. Takva nepromjenjivost dovodi do činjenice da, ako se ne poduzmu posebne mjere, svi korisnici DBMS-a imaju jednaka prava korištenja i ažuriranja svih informacija dostupnih u bazi podataka. Pritom informacije, kao i kod njihovog ručnog prikupljanja i korištenja, moraju biti podijeljene u kategorije prema stupnju tajnosti, skupinama korisnika kojima su dostupne, kao i radnjama s njima koje su tim skupinama dopuštene. Implementacija ovog procesa zahtijeva razvoj i uključivanje posebnih zaštitnih mehanizama u DBMS.

Donošenje odluke o pristupu određenim informacijama dostupnim u RDB-u može ovisiti o sljedećim čimbenicima:

1) vrijeme i pristupna točka;
2) prisutnost određenih informacija u bazi podataka;
3) fluidnost stanja DBMS-a;
4) ovlaštenje korisnika;
5) povijest pristupa podacima.
1. Pristup bazi podataka sa svakog LAN terminala može se ograničiti na određeno fiksno vremensko razdoblje.
2. Korisnik iz baze podataka može dobiti podatke koji ga zanimaju samo pod uvjetom da baza sadrži neke informacije koje se s njime odnose s određenim sadržajem.
3. Korisniku se može dopustiti ažuriranje informacija u određenoj bazi podataka samo u vrijeme kada ih ne ažuriraju drugi korisnici.
4. Za svakog korisnika aplikacijskog programa utvrđuju se individualna prava pristupa različitim elementima baze podataka. Ova pravila reguliraju operacije koje korisnik može izvesti na određenim elementima. Na primjer, korisniku se može dopustiti odabir elemenata baze podataka koji sadrže informacije o robi ponuđenoj na burzi, ali mu možda neće biti dopušteno ažurirati te informacije.
5. Temelji se na činjenici da korisnik može dobiti informacije koje ga zanimaju ne izravnim odabirom određenih elemenata baze podataka, već neizravno, tj. analizom i usporedbom odgovora DBMS-a na sekvencijalno unesene upite (naredbe za ažuriranje podataka). U tom smislu, kako bi se osigurala sigurnost informacija u bazi podataka, općenito je potrebno uzeti u obzir povijest pristupa podacima.

Lokalne računalne mreže: Imenik. U 3 knjige. Knjiga 1. Principi gradnje, arhitektura, komunikacijski alati / Ed. S.V. Nazarova.M.: Financije i statistika, 1994.

Zaštita podataka u računalnim mrežama postaje jedan od najotvorenijih problema u suvremenim informacijskim i računalnim sustavima. Do danas su formulirana tri temeljna načela sigurnost informacija, čiji je zadatak osigurati:

integritet podataka;

zaštita od kvarova koji dovode do gubitka informacija ili njihovog uništenja;

povjerljivost podataka;

Pri razmatranju problema vezanih uz zaštitu podataka na mreži, postavlja se pitanje klasifikacije kvarova i neovlaštenog pristupa koji dovodi do gubitka ili neželjene izmjene podataka. To mogu biti kvarovi na opremi (kabelski sustav, diskovni sustavi, serveri, radne stanice itd.), gubitak informacija (zbog infekcije računalnim virusima, nepravilnog pohranjivanja arhiviranih podataka, kršenja prava pristupa podacima), neispravan rad korisnika i servisa. pružatelji usluga, osoblje. Navedeni mrežni poremećaji uvjetovali su stvaranje različitih vrsta informacijske sigurnosti. Konvencionalno se mogu podijeliti u tri klase:

sredstva fizičke zaštite;

softver (antivirusni programi, sustavi za razgraničenje ovlaštenja, softver za kontrolu pristupa);

administrativne mjere zaštite (pristup prostorijama, razvoj sigurnosnih strategija poduzeća itd.).

Jedno od sredstava fizičke zaštite su sustavi za arhiviranje i umnožavanje podataka. U lokalnim mrežama gdje je instaliran jedan ili dva poslužitelja najčešće se sustav instalira direktno u slobodne utore poslužitelja. U velikom korporativne mreže prednost se daje namjenskom specijaliziranom poslužitelju za arhiviranje koji automatski arhivira podatke iz tvrdi diskovi poslužitelja i radnih stanica u određeno vrijeme koje odredi mrežni administrator, izdajući izvješće o izvršenom sigurnosnom kopiranju. Najčešći modeli poslužitelja za arhiviranje su Intelov Storage Express System ARCserve za Windows.

Za borbu protiv računalnih virusa najčešće se koriste antivirusni programi, a rjeđa je hardverska zaštita. Međutim, u posljednje vrijeme postoji tendencija prema kombinaciji softverskih i hardverskih metoda zaštite. Od hardverskih uređaja koriste se posebne antivirusne kartice umetnute u standardne utore za proširenje računala. Intel Corporation predložio je obećavajuću tehnologiju za zaštitu od virusa u mrežama, čija je bit skeniranje računalnih sustava prije pokretanja. Osim antivirusnim programima, problem zaštite informacija na računalnim mrežama rješava se uvođenjem kontrole pristupa i razgraničenjem korisničkih ovlasti. U tu svrhu koriste se ugrađeni alati mrežnih operacijskih sustava čiji je najveći proizvođač Novell Corporation. Na sustavu kao što je NetWare, osim standardnim sredstvima ograničenja pristupa (promjena lozinki, diferencijacija ovlasti), moguće je kodiranje podataka po principu „javnog ključa“ uz formiranje elektroničkog potpisa za pakete koji se prenose mrežom.

Međutim, takav sustav zaštite je slab, jer Razina pristupa i mogućnost prijave u sustav određeni su lozinkom koju je lako špijunirati ili pogoditi. Za sprječavanje neovlaštenog ulaska u računalnu mrežu koristi se kombinirani pristup - lozinka + identifikacija korisnika pomoću osobnog "ključa". "Ključ" je plastična kartica (magnetska ili s ugrađenim mikro krugom - pametna kartica) ili različiti uređaji za identifikaciju osobe pomoću biometrijskih podataka - šarenice, otisaka prstiju, veličine ruke itd. Poslužitelji i mrežne radne stanice opremljene čitačima pametnih kartica i posebnim softver, značajno povećavaju stupanj zaštite od neovlaštenog pristupa.

Pametne kartice za kontrolu pristupa omogućuju implementaciju funkcija kao što su kontrola ulaska, pristup PC uređajima, programima, datotekama i naredbama. Jedan od uspješnih primjera stvaranja cjelovitog rješenja kontrole pristupa u otvorenim sustavima, temeljenog kako na softverskoj tako i na hardverskoj sigurnosti, je Kerberos sustav koji se temelji na tri komponente:

baza podataka koja sadrži informacije o svim mrežnim resursima, korisnicima, lozinkama, informacijskim ključevima itd.;

autorizacijski poslužitelj, čija je zadaća obraditi korisničke zahtjeve za pružanje jedne ili druge vrste mrežne usluge. Po primitku zahtjeva pristupa bazi podataka i utvrđuje ovlaštenje korisnika za izvođenje određene operacije. Korisničke lozinke ne prenose se preko mreže, čime se povećava stupanj informacijske sigurnosti;

poslužitelj za izdavanje ulaznica od autorizacijskog poslužitelja prima "propusnicu" s imenom korisnika i mrežnom adresom, vremenom zahtjeva, kao i jedinstvenim "ključem". Paket koji sadrži "propusnicu" također se prenosi u šifriranom obliku. Poslužitelj dopuštenja, nakon primitka i dešifriranja "propusnice", provjerava zahtjev, uspoređuje "ključeve" i, ako su identični, daje zeleno svjetlo za korištenje mrežne opreme ili programa.

Kako poduzeća šire svoje aktivnosti, raste broj pretplatnika i pojavljuju se nove podružnice, javlja se potreba za organiziranjem pristupa udaljenih korisnika (grupa korisnika) računalnim ili informacijskim resursima u centrima poduzeća. Za organizaciju daljinskog pristupa najčešće se koriste kabelske linije i radio kanali. U tom smislu, zaštita informacija koje se prenose kanalima za daljinski pristup zahtijeva poseban pristup. Mostovi i usmjerivači s daljinskim pristupom koriste segmentaciju paketa - dijele ih i paralelno prenose preko dvije linije - što onemogućuje "presretanje" podataka kada se "haker" ilegalno spoji na jednu od linija. Postupak kompresije poslanih paketa koji se koristi pri prijenosu podataka osigurava da se "presretnuti" podaci ne mogu dešifrirati. Mostovi i usmjerivači udaljenog pristupa mogu se programirati na takav način da svi resursi središta tvrtke ne budu dostupni udaljenim korisnicima.

Trenutno su razvijeni posebni uređaji za kontrolu pristupa računalnim mrežama preko dial-up linija. Primjer je modul Remote Port Security Device (PRSD) koji je razvio AT&T, a sastoji se od dva bloka veličine običnog modema: RPSD Lock, instaliran u središnjem uredu, i RPSD ključ, povezan s modemom. udaljeni korisnik. RPSD ključ i brava omogućuju postavljanje nekoliko razina sigurnosti i kontrole pristupa:

šifriranje podataka koji se prenose linijom pomoću generiranih digitalnih ključeva;

kontrola pristupa prema danu u tjednu ili dobu dana.

Strategija stvaranja sigurnosne kopije i oporavak baze podataka. Obično se te operacije izvode izvan radnog vremena u skupnom načinu rada. U većini DBMS-a sigurnosna kopija i oporavak podataka dopušteni su samo korisnicima sa širokim dopuštenjima (prava pristupa na Administrator sustava, ili vlasnik baze podataka), nije preporučljivo navoditi takve osjetljive lozinke izravno u datotekama skupne obrade. Kako se lozinka ne bi eksplicitno spremala, preporuča se napisati jednostavan aplikacijski program koji bi sam pozivao pomoćne programe za kopiranje/oporavak. U tom slučaju, lozinka sustava mora biti "uvezana" u kod navedene aplikacije. Nedostatak ove metode je što svaki put kad se promijeni lozinka, program se mora ponovno kompajlirati.

Vezano uz sredstva zaštite od neovlaštenog pristupa, definirano je sedam sigurnosnih razreda (1-7) računalne opreme (SVT) i devet razreda (1A, 1B, 1B, 1G, 1D, 2A, 2B, 3A, 3B). automatizirani sustavi(KAO). Za SVT, najniža ocjena je sedmi razred, a za AC - 3B.

Pogledajmo pobliže gore navedene certificirane NSD sustave zaštite.

Sustav COBRA ispunjava zahtjeve 4. sigurnosne klase (za SVT), provodi identifikaciju i razgraničenje korisničkih ovlasti i kriptografsko zatvaranje informacija, bilježi poremećaje referentnog stanja radne okoline osobnog računala (uzrokovane virusima, korisničkim pogreškama, tehničkim kvarovima, itd.) i automatski vraća glavne komponente operativnog okruženja terminala.

Podsustav odvajanja ovlaštenja štiti informacije na razini logičke pogone. Korisnik dobiva pristup određenim pogonima A, B, C,..., Z. Svi pretplatnici podijeljeni su u 4 kategorije:

superuser (sve radnje u sustavu su dostupne);

administrator (dostupne su sve radnje u sustavu, osim promjene imena, statusa i ovlasti superkorisnika, njegovog dodavanja ili isključivanja s liste korisnika);

programeri (mogu promijeniti osobnu lozinku);

kolega (ima pravo pristupa resursima koje mu je dodijelio superkorisnik).

Uz autorizaciju i ograničavanje pristupa logičkim pogonima, administrator svakom korisniku postavlja prava pristupa serijskim i paralelnim portovima. Ako je serijski priključak zatvoren, tada je nemoguće prenijeti informacije s jednog računala na drugo. Ako nema pristupa paralelnom priključku, izlaz na pisač nije moguć.

Tema 3.3: Aplikacije za izradu web stranica

Tema 3.4: Primjena Interneta u gospodarstvu i zaštiti informacija

Programi za izradu web stranica

3.4. Primjena Interneta u ekonomiji i zaštiti informacija

3.4.1. Organizacija računalne sigurnosti i zaštite informacija

Informacije su jedan od najvrjednijih resursa svake tvrtke, stoga je osiguranje informacijske sigurnosti jedan od najvažnijih i prioritetnih zadataka.

Sigurnost informacijski sistem- to je svojstvo koje se sastoji u sposobnosti sustava da osigura svoje normalno funkcioniranje, odnosno da osigura cjelovitost i tajnost informacija. Kako bi se osigurala cjelovitost i povjerljivost podataka, potrebno je podatke zaštititi od slučajnog uništenja ili neovlaštenog pristupa istima.

Cjelovitost označava nemogućnost neovlaštenog ili slučajnog uništenja, kao i izmjene podataka. Povjerljivost informacija znači nemogućnost curenja i neovlaštenog preuzimanja pohranjenih, prenesenih ili primljenih informacija.

Poznati su sljedeći izvori prijetnji sigurnosti informacijskih sustava:

antropogeni izvori uzrokovani slučajnim ili namjernim djelovanjem aktera;
umjetnih izvora koji dovode do kvarova i kvarova tehničkih i softver zbog zastarjelog softvera i hardvera ili softverskih grešaka;
prirodni izvori uzrokovani elementarnim nepogodama ili višom silom.

Zauzvrat, antropogeni izvori prijetnji dijele se na:

na interne (utjecaji zaposlenika tvrtke) i eksterne (neovlašteno uplitanje vanjskih osoba iz vanjskih mreža Opća namjena) izvori;
na nenamjerne (slučajne) i namjerne radnje subjekata.

Mnogo je mogućih smjerova curenja informacija i načina neovlaštenog pristupa istima u sustavima i mrežama:

presretanje informacija;
izmjena informacija (izvorna poruka ili dokument se mijenja ili zamjenjuje drugim i šalje primatelju);
zamjena autorstva informacije (netko može poslati pismo ili dokument u vaše ime);
iskorištavanje nedostataka u operativnim sustavima i aplikacijskom softveru;
kopiranje medija za pohranu i datoteka zaobilazeći sigurnosne mjere;
nezakonito spajanje na opremu i komunikacijske linije;
maskiranje u registriranog korisnika i prisvajanje njegovih ovlasti;
uvođenje novih korisnika;
implementacija računalni virusi i tako dalje.

Za osiguranje sigurnosti informacijskih sustava koriste se sustavi informacijske sigurnosti koji predstavljaju skup organizacijskih i tehnoloških mjera, softvera i hardvera te pravnih normi usmjerenih na suprotstavljanje izvorima prijetnji informacijskoj sigurnosti.

S integriranim pristupom, protumjere prijetnji integrirane su kako bi se stvorila sigurnosna arhitektura sustava. Treba napomenuti da svaki informacijski sigurnosni sustav nije potpuno siguran. Uvijek morate birati između razine zaštite i učinkovitosti informacijskih sustava.

Sredstva zaštite IP informacija od radnji subjekata uključuju:

sredstva za zaštitu informacija od neovlaštenog pristupa;
zaštita informacija u računalnim mrežama;
kriptografska zaštita informacija;
elektronički digitalni potpis;
zaštita podataka od računalnih virusa.

Sredstva zaštite informacija od neovlaštenog pristupa

Pristup resursima informacijskog sustava uključuje provođenje triju procedura: identifikacije, autentifikacije i autorizacije.

Identifikacija - dodjeljivanje jedinstvenih imena i kodova (identifikatora) korisniku (objektu ili subjektu izvora).

Autentikacija - utvrđivanje identiteta korisnika koji je dao identifikator ili provjera da je osoba ili uređaj koji daje identifikator zapravo onaj za kojeg se predstavlja. Najčešći način autentifikacije je dodjeljivanje lozinke korisniku i njezino pohranjivanje na računalo.

Autorizacija je provjera ovlasti ili potvrda prava korisnika na pristup određenim resursima i izvršavanje određenih operacija na njima. Autorizacija se provodi kako bi se razlikovala prava pristupa mrežnim i računalnim resursima.

Zaštita informacija u računalnim mrežama

Mreže lokalnih poduzeća vrlo su često povezane s Internetom. Za zaštitu lokalnih mreža tvrtki, u pravilu, koriste vatrozidi- vatrozidi. Vatrozid je sredstvo kontrole pristupa koje vam omogućuje da podijelite mrežu na dva dijela (granica je između lokalna mreža i Internet) i stvoriti skup pravila koja određuju uvjete za prolaz paketa s jednog dijela na drugi. Zasloni se mogu implementirati hardverski ili softverski.

Kriptografska zaštita informacija

Kako bi se osigurala tajnost informacija, koristi se enkripcija ili kriptografija. Enkripcija koristi algoritam ili uređaj koji implementira određeni algoritam. Enkripcijom se upravlja pomoću promjenjivog koda ključa.

Šifrirane informacije mogu se dohvatiti samo pomoću ključa. Kriptografija je vrlo učinkovita metoda koja povećava sigurnost prijenosa podataka u računalnim mrežama i prilikom razmjene informacija između udaljenih računala.

Elektronički digitalni potpis

Kako bi se isključila mogućnost izmjene izvorne poruke ili zamjene ove druge poruke, potrebno je poruku prenijeti uz elektronički potpis. Elektronički digitalni potpis je niz znakova dobiven kao rezultat kriptografske transformacije izvorne poruke korištenjem privatnog ključa i koji omogućuje određivanje integriteta poruke i njezinog autorstva korištenjem javnog ključa.

Drugim riječima, poruka šifrirana privatnim ključem naziva se elektronički digitalni potpis. Pošiljatelj šalje nekriptiranu poruku u izvornom obliku zajedno s digitalnim potpisom. Primatelj koristi javni ključ za dešifriranje skupa znakova poruke iz digitalnog potpisa i uspoređuje ga sa skupom znakova nešifrirane poruke.

Ako se znakovi potpuno podudaraju, možemo reći da primljena poruka nije mijenjana i da pripada njezinom autoru.

Zaštita informacija od računalnih virusa

Računalni virus je mali malware, koji može samostalno stvarati svoje kopije i implementirati ih u programe (izvršne datoteke), dokumente, boot sektore medija za pohranu te ih distribuirati putem komunikacijskih kanala.

Ovisno o okruženju, glavne vrste računalnih virusa su:

Softverski virusi (utječu na datoteke s ekstenzijom .COM i .EXE)
Boot virusi.
Makrovirusi.
Mrežni virusi.

Prijenosni mediji i telekomunikacijski sustavi mogu biti izvori virusne infekcije. Na najučinkovitiji i najpopularniji antivirusni programi uključuju: Kaspersky Anti-Virus 7.0, AVAST, Norton AntiVirus i mnoge druge. Više detaljne informacije o virusima i načinima zaštite od njih opisano je na stranici