Реферат разграничение прав доступа в сети

Вопросы защиты сетей и передачи данных актуальны как никогда. Инфраструктура ИТ организаций постоянно расширяется, кроме того, компании все чаще сталкиваются с необходимостью открыть доступ из Internet к внутренним сетям для своих клиентов. В таких условиях требуется обеспечить простой и надежный доступ к определенной информации, находящейся во внутренней сети, чтобы остальные данные оставались недоступными как для внешних пользователей, так и для хакеров. Объектами посягательств могут быть сами технические средства (компьютеры и периферия) как материальные объекты, программное обеспечение и базы данных, для которых технические средства являются окружением.

Каждый сбой работы компьютерной сети это не только «моральный» ущерб для работников предприятия и сетевых администраторов. По мере развития технологий электронных платежей, «безбумажного» документооборота, серьезный сбой локальных сетей может парализовать работу целых корпораций и банков, что приведёт к ощутимым материальным потерям. Не случайно, защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике.

На сегодняшний день сформулировано три базовых принципа информационной безопасности, которая должна обеспечивать:

  • конфиденциальность – также известная как секретность, важная информация должна быть доступна только ограниченному кругу лиц. В частности, конфиденциальность информации гарантирует, что финансовая или личная информация клиента не будет получена неавторизованными лицами, например, с целью кражи личности или использования чужой кредитной карточки;

  • целостность – означает, что изменения информации, приводящие к её потере или искажению, должны быть запрещены. Угрозу целостности баз данных и ресурсов, как правило, представляет хакерство;

  • доступность – означает то, что информация должна быть доступна авторизованным пользователем, когда она им необходима. Доступность – это гарантия того, что информацию можно получать в оговорённом временном интервале.

Следует также отметить, что отдельные сферы деятельности (банковские и финансовые институты, информационные сети, системы государственного управления, оборонные и специальные структуры) требуют специальных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем, в соответствии с характером и важностью решаемых ими задач.

10 стр., 4513 слов

Общая характеристика и виды преступлений в сфере компьютерной информации

... данных и предъявляют повышенные требования к надежности функционирования компьютерных информационных систем в соответствии с характером и важностью решаемых ими задач. Каждое противоправное посягательство в сфере компьютерной информации это не только сбой работы компьютерной сети ...

Целью написания курсовой работы является изучение и уяснение особенностей управления безопасностью в компьютерных сетях, изучение административных, физических, технических мер безопасности. Поставленная цель предопределила решение задач, в которых следует рассмотреть организацию политики безопасности сети, сервисы сетевой безопасности, защиту сети от вредоносного ПО, средства физической защиты сети, программное обеспечение для управления безопасностью сети.

1.Особенности защиты информации в компьютерных сетях

С точки зрения защиты информации, компьютерные сети важно разделить на корпоративные и общедоступные. В корпоративных сетях все элементы принадлежат одному ведомству за исключением, может быть, каналов связи. Примерами таких сетей могут служить сети государственного и военного управления, сети авиационных и железнодорожных компаний и др.

Противоположностью таким сетям являются общедоступные коммерческие сети, в которых во главу угла ставится распространение информации, а вопросы защиты собственных информационных ресурсов решаются, в основном, на уровне пользователей. В качестве примера такой сети можно привести сеть Internet.

Корпоративные сети могут быть связаны с общедоступными сетями. В этом случае администрации (владельцам) корпоративных сетей необходимо предпринимать дополнительные меры предосторожности для блокирования возможных угроз со стороны общедоступных сетей.

В общем случае распределенная компьютерная система (РКС) представляет собой множество сосредоточенных компьютерных систем (КС), связанных в единую систему с помощью коммуникационной подсистемы. Распределенные КС строятся по сетевым технологиям и представляют собой вычислительные сети (ВС).

Коммуникационная подсистема включает в себя:

  • коммуникационные модули (КМ);

  • каналы связи;

  • концентраторы;

  • межсетевые шлюзы (мосты).

коммуникационных модулей

Каналы связи

В любой РКС в соответствии с функциональным назначением может быть выделено три подсистемы:

  • пользовательская подсистема;

  • подсистема управления;

  • коммуникационная подсистема.

При построении системы защиты информации в любой распределенной КС необходимо учитывать:

  • сложность системы, которая определяется как количеством подсистем, так и разнообразием их типов и выполняемых функций;

  • невозможность обеспечения эффективного контроля за доступом к ресурсам, распределенным на больших расстояниях;

  • возможность принадлежности ресурсов сети различным владельцам.

Особенностью защиты информации от непреднамеренных угроз в КС является необходимость обеспечения гарантированной передачи информации по коммуникационной подсети.

66 стр., 32512 слов

Защита информации. Основные методы защиты

... защиты вашей информации. Любая компьютерная система защиты информации не является полностью безопасной. С одной стороны, средств обеспечения безопасности ... к банковским базам данных посредством телекоммуникационных сетей. Ни одного киберпреступления не зарегистрировано ни ... и другие методы контроля информации. Это открывает практически неограниченные возможности доступа к любой информации, используемой ...

пассивные

пассивным

  • получить информацию путем перехвата незашифрованных сообщений;

  • анализировать трафик, накапливая информацию об интенсивности обмена отдельных абонентов, о структуре сообщений, о маршрутах доставки сообщений и т. п.

Активные угрозы предусматривают воздействие на передаваемые сообщения в сети и несанкционированную передачу фальсифицированных сообщений с целью воздействия на информационные ресурсы объектов РКС и дестабилизацию функционирования системы. Возможно также непосредственное воздействие на коммуникационную подсистему с целью повреждения аппаратных средств передачи информации.

Все методы и средства, обеспечивающие безопасность информации в защищенной вычислительной сети, могут быть распределены по группам:

  • обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных КС;

  • защита информации на уровне подсистемы управления сетью;

  • защита информации в каналах связи;

  • обеспечение контроля подлинности взаимодействующих процессов.

сетевая безопасность

2.Организация политики безопасности сети

По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на:

  • правовые (законодательные),

  • морально-этические,

  • организационные (административные),

  • физические,

  • технические (аппаратурные и программные).

Безопасность сети определяется ее администратором. Именно он должен позаботиться о распределении ответственности между пользователями и администраторами, он определяет конфигурацию программного обеспечения узла, вырабатывает меры на случай вторжения или повреждения системы. Так же, как любая работа должна начинаться с тщательного планирования, эффективной защите компьютерной сети должна предшествовать разработ­ка политики безопасности.

политикой безопасности

Управление безопасностью

сервисами

Технические средства безопасности могут быть либо встроены в программное (операционные системы, приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

3.Защита информации на уровне подсистемы управления

Управление передачей сообщений осуществляется по определенным правилам, которые называются протоколами. В настоящее время в вычислительных сетях реализуются два международных стандарта взаимодействия удаленных элементов сети: протокол ТСР/IР и протокол Х.25.

Протокол TCP/IP был разработан в 70-е годы и с тех пор завоевал признание во всем мире. На основе протокола TCP/IP построена сеть Internet. Протокол Х.25 явился дальнейшим развитием технологии передачи данных, построенной на основе коммутации пакетов. Протокол Х.25 создан в соответствии с моделью взаимодействия открытых сетей (OSI), разработанной Международной организацией стандартизации (ISO).

В соответствии с моделью все функции сети разбиваются на 7 уровней, а в модели ТСР/IР насчитывается 5 уровней (рис.1).

Модель OSI

Модель TCP/IP

Прикладной

Прикладной

Представительский

Сеансовый

Транспортный

Транспортный

Сетевой

Сетевой

Канальный

Канальный

Физический

Физический

Рис1. Уровневые модели протоколов

Задачи обеспечения безопасности информации в сети решаются на всех уровнях. Выполнение протоколов организуется с помощью подсистемы управления. Наряду с другими на уровне подсистемы управления решаются следующие проблемы защиты информации в КС.

  1. Создание единого центра управления сетью, в котором решались бы и вопросы обеспечения безопасности информации.

  2. Регистрация всех объектов сети и обеспечение их защиты.

  3. Управление доступом к ресурсам сети.

  4. Генерация и рассылка ключей шифрования абонентам компьютерной сети.

  5. Мониторинг трафика (потока сообщений в сети), контроль соблюдения правил работы абонентами, оперативное реагирование на нарушения.

  6. Организация восстановления работоспособности элементов сети при нарушении процесса их функционирования.

4.Сервисы сетевой безопасности

4.1Идентификация, аутентификация, авторизация

Механизмы идентификации, аутентификации и авторизации необходимы для подтверждения подлинности субъекта, обеспечения его работы в системе, и определения законности прав субъекта на данный объект или на определенные действия с ним.

Идентификация, Аутентификация, Авторизация

Объектами идентификации и аутентификации могут быть: люди (пользователи, операторы и др.); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки и др.); магнитные носители информации; информация на экране монитора, табло и др.

Один из наиболее распространенных методов аутентификации – присвоение лицу или другому имени пароля и хранение его значения в вычислительной системе. Пароль — это совокупность символов, определяющая объект (субъект).

При выборе пароля возникают вопросы о его размере, стойкости к несанкционированному подбору, способам его применения. Естественно, чем больше длина пароля, тем большую безопасность будет обеспечивать система, ибо потребуются большие усилия для его отгадывания. При этом выбор длины пароля в значительной степени определяется развитием технических средств, их элементной базой и быстродействием.

4.2Разграничение доступа

Основным объектом внимания средств контроля доступа являются совместно используемые ресурсы сети. Совместное использование объектов порождает ситуацию «взаимного недоверия» при которой разные пользователи одного объекта не могут до конца доверять друг другу.

Существует четыре основных способа разделения доступа субъектов к совместно используемым объектам:

  • физическое – субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т.д.);

  • временное – субъекты с различными правами доступа к объекту получают его в различные промежутки времени;

  • логическое – субъекты получают доступ к совместно используемому объекту в рамках единой операционной среды, но под контролем средств разграничения доступа, которые моделируют виртуальную операционную среду «один субъект — все объекты»; в этом случае разделение может быть реализовано различными способами: разделение оригинала объекта, разделение с копированием объекта и т.д.

  • криптографическое – все объекты хранятся в зашифрованном виде, права доступа определяются наличием ключа для расшифрования объекта.

4.3Протоколирование/аудит.

Протоколирование/аудит традиционно являлись последним рубежом обороны, обеспечивающим анализ последствий нарушения информационной безопасности и выявление злоумышленников. Такой аудит можно назвать пассивным.

Довольно очевидным обобщением пассивного аудита для сетевой среды является совместный анализ регистрационных журналов отдельных компонентов на предмет выявления противоречий, что важно в случаях, когда злоумышленнику удалось отключить протоколирование или модифицировать журналы.

В современном арсенале защитных средств также имеется активный аудит, направленный на выявление подозрительных действий в реальном масштабе времени. Активный аудит включает два вида действий:

  • выявление нетипичного поведения (пользователей, программ, аппаратуры);

  • выявление начала злоумышленной активности.

Нетипичное поведение выявляется статистическими методами, путем сопоставления с предварительно полученными образцами. Начало злоумышленной активности обнаруживается по совпадению с сигнатурами известных атак. За обнаружением следует заранее запрограммированная реакция (как минимум – информирование системного администратора, как максимум – контратака на систему предполагаемого злоумышленника).

Важным элементом современной трактовки протоколирования/аудита является протокол автоматизированного обмена информацией о нарушениях безопасности между корпоративными системами, подключенными к одной внешней сети. Работа над этим протоколом ведется под эгидой IETF. Группа IETF (Internet Engineering Task Forse) – инженерная группа, входящая в структуру архитектурного совета Интернет, разработала набор протоколов, которые обеспечивают безопасную связь в глобальной сети. Все вместе они называются семейством протоколов IPsec (IP security или защитным протоколом IP).

В этих протоколах аутентификация и шифрование данных выполняются на уровне протокола IP.

4.4Экранирование.

Экранирование как сервис безопасности выполняет следующие функции:

  • разграничение сетевого доступа путем фильтрации передаваемых данных;

  • преобразование передаваемых данных.

Для блокирования угроз, исходящих из общедоступной системы, используется специальное программное или аппаратно-программное средство, которое получило название межсетевой экран (Firewall) (рис. 2).

Как правило, межсетевой экран реализуется на выделенной машине, через которую защищенная КС подключается к общедоступной сети.

Защищенная Межсетевой Общедоступная

сеть экран сеть

Рис. 2 Соединение сетей с помощью межсетевого экрана

Межсетевой экран реализует контроль за информацией, поступающей в защищенную КС и (или) выходящей из защищенной системы.

Межсетевой экран выполняет четыре функции:

  • фильтрация данных;

  • использование экранирующих агентов;

  • трансляция адресов;

  • регистрация событий.

фильтрация

экранирующие агенты

трансляции адресов

регистрацию событий

Экран не является симметричным. Он различает понятия: «снаружи» и «внутри». Экран обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней среды.

В зависимости от степени конфиденциальности и важности информации установлены 5 классов защищенности межсетевых экранов. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Самый низкий класс защищенности – пятый, а самый высокий – первый. Межсетевой экран первого класса устанавливается при обработке информации с грифом «особой важности».

4.5Шифрование

Наиболее надежным и универсальным методом защиты информации в каналах связи является шифрование. Шифрование позволяет защитить информацию от утраты конфиденциальности и навязывания ложной информации.

В основе шифрования лежат два основных понятия: алгоритм и ключ .

Алгоритм – это способ закодировать исходный текст, в результате чего получается зашифрованное послание. Зашифрованное послание может быть интерпретировано только с помощью ключа.

Использование ключа при шифровании предоставляет два существенных преимущества. Во-первых, можно использовать один алгоритм с разными ключами для отправки посланий разным адресатам. Во-вторых, если секретность ключа будет нарушена, его можно легко заменить, не меняя при этом алгоритм шифрования.

симметричное шифрование

шифрования с открытым ключом

Цифровая подпись

Цифровая подпись представляет собой контрольную двоичную последовательность. Она получается путем специальных преобразований хэш-функции от данных сообщения и секретного ключа отправителя сообщения. Таким образом, цифровая подпись, с одной стороны, несет в себе контрольную характеристику (хэш-функцию) содержимого сообщения, а с другой однозначно указывает на связь содержимого сообщения и владельца секретного ключа. Использование хэш-функции позволяет зафиксировать подмену или модификацию данных сообщения.

При удовлетворительных результатах проверки цифровой подписи получатель может быть уверен, что полученное сообщение пришло от субъекта, владеющего секретным ключом, и содержательная часть сообщения не подвергалась изменениям. Если цифровая подпись получается в соответствии с официальным государственным стандартом, то она имеет юридическую силу обычной подписи под документом.

5.Защита от вредоносного ПО

Сегодня существует и постоянно создается гигантское количество вредоносного и шпионского ПО, которое преследует целью порчу информации и направлено на нарушение системы защиты информации от несанкционированного доступа. Вредоносное ПО можно классифицировать по следующим критериям:

  • Троянская программа – вредоносная программа, проникающая на компьютер под видом безвредной. Такая программа, будучи запущенной на компьютере, может мешать работе пользователя, шпионить за пользователем, использовать ресурсы компьютера для какой-либо незаконной деятельности.

  • Вирус – это специальная программа, способная к самостоятельному распространению, размножению и внедрению своего кода в другие программы путем модификации данных с целью выполнения вредоносного кода. Вирусы распространяются, внедряя себя в исполняемый код других программ или же заменяя собой другие программы.

Обеспечение безопасности информационных систем от вирусных атак традиционно заключается в использовании такой службы защиты информации, как антивирусное ПО и сетевые экраны.

  • Червь – разновидность самовоспроизводящихся вредоносных компьютерных программ, распространяющихся в компьютерных сетях.

  • Перехватчик паролей – программный комплекс для воровства паролей и учетных данных в процессе обращения пользователей к терминалам аутентификации информационной системы.

6.Средства физической защиты.

6.1Защита кабельной системы.

сканеры сетевого кабеля

Наилучшим образом избавить себя от проблем, связанных неправильной прокладкой кабеля является использование, структурированных кабельных систем (SCS), использующих одинаковые кабели для передачи данных в локальной вычислительной сети, локальной телефонной сети, передачи видеоинформации или сигналов от датчиков пожарной безопасности или охранных систем. Для защиты кабеля от физических (а иногда и температурных и химических воздействий) является прокладка кабелей с использованием защищенных коробов.

При прокладке сетевого кабеля вблизи источников электромагнитного излучения необходимо выполнять следующие требования:

а) неэкранированная витая пара должна отстоять минимум на 15-30 см от электрического кабеля, розеток, трансформаторов и т.д.

б) требования к коаксиальному кабелю менее жесткие – расстояние до электрической линии или электроприборов должно быть не менее 10-15 см.

6.2Защита при отключении электропитания

Надёжной мерой по обеспечению защиты информации, от потерь, вызываемых кратковременным отключением электроэнергии, является установка источников бесперебойного питания. Подобные устройства, различающиеся по своим техническим и потребительским характеристикам, могут обеспечить питание всей ЛВС или отдельного компьютера в течение промежутка времени, достаточного для восстановления работы электросети или записи информации на магнитные носители.

За рубежом крупные компании устанавливают резервные линии электропитания, подключённые к разным подстанциям, и при выходе из строя одной из них электричество подаётся с другой.

6.3Предотвращение сбоя дисковых систем

Для восстановления данных при сбоях магнитных дисков применяются либо дублирующие друг друга зеркальные диски, либо системы дисковых массивов – Redundant Arrays of Inexpensive Disks (RAID).

Дисковые массивы можно реализовывать как во внутреннем, так и во внешнем исполнениях – в корпусе сервера ЛВС или на специальном шасси. Организация надёжной и эффективной системы архивации данных – ещё одна важная задача по обеспечению сохранности информации в сети. В больших ЛВС для организации резервного копирования целесообразно использовать специализированный архивационный сервер. Одной из наиболее эффективных аппаратных систем такого рода является семейство архивационных серверов StorageExpress фирмы Intel.

7.Программное обеспечение для управления безопасностью сети

Заключение

Единого рецепта, обеспечивающего 100% гарантии сохранности данных и надёжной работы сети не существует. Однако создание комплексной, продуманной концепции безопасности, учитывающей специфику задач конкретной организации, поможет свести риск потери ценнейшей информации к минимуму.

В арсенале специалистов по информационной безопасности имеется широкий спектр защитных мер: законодательных, морально-этических, административных, физических и технических средств. Все они обладают своими достоинствами и недостатками, которые необходимо знать и правильно учитывать при создании систем защиты.

При построении конкретных систем компьютерной безопасности необходимо руководствоваться основными принципами организации защиты: системностью, комплексностью, непрерывностью защиты, разумной достаточностью, гибкостью управления и применения, открытостью алгоритмов и механизмов защиты и простотой применения защитных мер и средств, а также придерживаться рекомендаций, полученных на основе опыта предыдущих разработок. Основными известными универсальными защитными механизмами являются:

  • идентификация (именование и опознавание) ,

  • аутентификация (подтверждение подлинности) и авторизация;

  • контроль (разграничение) доступа к ресурсам системы;

  • регистрация и анализ событий, происходящих в системе;

  • криптографическое закрытие, контроль целостности и аутентичности данных, передаваемых по каналам связи;

  • контроль целостности ресурсов системы.

Эти универсальные механизмы защиты обладают своими достоинствами и недостатками и могут применяться в различных вариациях и совокупностях в конкретных методах и средствах защиты. Все известные каналы проникновения и утечки информации должны быть перекрыты с учетом анализа риска, вероятностей реализации угроз безопасности в конкретной прикладной системе и обоснованного рационального уровня затрат на защиту.

Наилучшие результаты достигаются при системном подходе к вопросам безопасности компьютерных систем и комплексном использовании определенных совокупностей различных мер защиты на всех этапах жизненного цикла системы начиная с самых ранних стадий ее проектирования.

В ближайшее время успех или неудача масштабного применения систем защиты информации будет зависеть от наличия в них развитых средств управления режимами работы защитными механизмами, и реализации функций, позволяющих существенно упрощать процессы установки, настройки и эксплуатации средств защиты.

Список использованной литературы

[Электронный ресурс]//URL: https://pravsob.ru/referat/razgranichenie-prav-dostupa-v-seti/

  1. В.И. Завгородний. Комплексная защита информации в компьютерных системах. — М.: Логос; ПБОЮЛ Н.А. Егоров, 2001. 264 с

  2. Защита информации в компьютерных сетях. Практический курс: учебное пособие / А. Н. Андрончик, В. В. Богданов, Н. А. Домуховский, А. С. Коллеров, Н. И. Синадский, Д. А. Хорьков, М. Ю. Щербаков; под ред. Н. И. Синадского. Екатеринбург : УГТУ-УПИ, 2008. 248 с.

  3. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 3-е изд. – СПб.: Питер, 2006. – 958с.: ил

  4. Сеть своими руками. С.В. Глушаков, А.М. Мирошник, Т.С. Хачиров. – М: АСТ: АСТ Москва; Владимир ВКТ, 2008. – 286с. Учебный курс.

  5. Мак-Клар, Стюарт, Скембрей, Джоел, Курц, Джордж. Секреты хакеров. Безопасность сетей — готовые решения, 3-е издание. : Пер. с англ. – М.: Издательский дом «Вильямс», 2002. – 736 с.: ил.

  6. Зима В. М., Молдовян А. А., Молдовян Н. А. Безопасность глобальных сетевых технологий. – 2-е изд. – СПб.: БХВ-Петербург, 2003. — 368 с: ил.