Защита информации и администрирование в локальных сетях

Размещено на http://www.allbest.ru/

Хакасский государственный университет им. Н. Ф. Катанова

Кафедра: Институт информационных технологий и инженерного образования

Факультет: «Информационные системы и технологии»

Реферат на тему: Защита информации и администрирование в локальных сетях

Выполнил:

Студент гр.44

Тороков Каримжан Еремеевич

Абакан

2014 г

Оглавление

1. Общее определение локальной сети

2. Потенциальные угрозы безопасности информации в локальных сетях

3. Физическая защита

4. Система защиты информации от несанкционированного доступа в локальных сетях

5. Средства управления защитой информации в локальных сетях

6. Защита информации в локальных сетях от случайного несанкционированного доступа

7. Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в локальных сетях

1. Общее определение локальной сети

Любой способ распределения ресурсов между двумя и более компьютерами можно назвать сетью.

Локальная компьютерная сеть (локальная сеть) представляет собой особый тип сети, объединяющий близко расположенные системы, как правило, в пределах группы сотрудников или отдела предприятия. Эти компьютеры и другое оборудование соединены однотипными средствами коммуникаций - чаще всего витой парой проводов, коаксиальным или оптическим кабелем, беспроводными средствами связи (инфракрасного или радиоволнового диапазона).

Все устройства соединенные в одну сетью способны обмениваться между собой информацией. Небольшие сети называются локальными, а сеть из нескольких локальных сетей называется глобальными сетями WAN (wide area network).

Подсоединившись к другому удаленному компьютеру через локальную сеть можно получить полный доступ к файлам пользователя, а также получить полный контроль над устройством. Поэтому существует необходимость в защите пользовательской информации.

Защита на уровне пароля и имени недостаточно для должной защиты от посягательства посторонних лиц. Необходима шифровка данных разными способами.

Тот факт, что многие пользователи сети имеют доступ к одним и тем же ресурсам, упрощает распространение информации в пределах локальной сети, так как не требует осваивать новые методы передачи данных.

Самый главный плюс локальной сети - это простой доступ к сетевым ресурсам. локальная сеть безопасность архивирование несанкционированный

Для доступа к сетевым ресурсам применяется целый ряд аппаратных и программных компонентов. Аппаратура - сетевая интерфейсная плата - электрически подсоединяет рабочую станцию к локальной сети. Она устанавливается в пустое расширительное гнездо персонального компьютера либо подключается к соответствующему порту мобильных компьютеров (или в гнездо РСМСI).

Сетевое программное обеспечение делится на три категории:

1) Программное обеспечение управления сетевой платой;

2) Программное обеспечение, выполняющее правила (или протокол) общения в сети;

3) Программное обеспечение сетевой операционной системы.

Хотя сейчас уже все операционные системы наделены сетевыми свойствами следует различать операционную систему рабочей станции, обеспечивающую ее работу в локальной сети, и операционную систему узловой станции - Сервера, обеспечивающей работу всей сети.

Существует два типа локальных сетей: равноправные (одноранговые) и с выделенным сервером. В равноправных сетях все устройства могут вступать в отношения к другому устройству как клиент или как сервер. Тогда как в сети с выделенным сервером все устройства общаются с главным сервером.

Одноранговые сети просты в установке и для операционной системы не требуется отдельный компьютер. Но эти сети менее функциональны по сравнению с сетям с выделенным сервером. Т. к. все пользователи сети являются равноправными, то по мере роста сети она быстро становится неуправляемой.

Но все же одноранговая сеть является оптимальным решением для соединения всего нескольких устройств.

Если же необходим централизованный доступ и более высокий уровень защиты информации сеть с выделенным сервером подходит намного лучше т. к. файлы хранятся на одном главном сервере, и в случае выхода из строя одного и более устройств в сети файлы, которые находятся на главном сервере, будут доступны для других устройств.

В централизованной сети компьютер, который будет использоваться в качестве главного сервера, должен быть более мощным чем обычные ПК (персональный компьютер). Серверу необходимо обрабатывать запросы сразу от множества устройств, поэтому на серверном оборудовании стоят специальное серверное оборудование и установлен специальный софт для работы в сети. На обычных ПК используется меньшие процессоры и объем оперативной памяти куда меньше, чем на серверном оборудовании.

Операционные системы на ПК заточены на использование обычным пользователем, тогда как на серверном оборудовании не установлены операционные системы с графической оболочкой. Чтобы управлять им используются текстовые команды.

Конечно же, существуют операционные системы для серверов с графической оболочкой, такие как Windows server.

Существует много видов сетей, наибольшее распространение получило четыре модификации соединений ПК в локальных сетях:

1. Ethernet

2. Arknet

3. Token-Ring

4. FDDI

В сети Ethernet все устройства, подключённые к магистральному кабелю, считаются равноправными и пытаются захватить канал. Каждый раз, когда какое-то устройство хочет передать пакет, оно должно проверить, занят канал или нет. Если другое устройство в данный момент осуществляет передачу пакета, то все остальные устройства в сети переходят в режим приема. Пакет, который в данный момент передается, отправляется все устройствам в сети, а они в свою очередь проверят кому адресован пакет. Устройство в сети проверяет предназначен пакет или нет ему, анализируя заголовок пакета, который содержит и адрес назначения, и адрес отправителя. Если они соответствуют его данным, происходит прием пакета информации.

Если произойдет ситуация, когда несколько устройств начнут передачу одновременно, произойдет коллизия - наложение сигналов. Передача прервется и каждое устройство, попавшее в коллизию, переходит в режим задержки, в котором оно находится рандомное кол-во времени, это помогает снова не попасть в коллизию после задержки. Устройство, вышедшее из коллизии, продолжает передачу.

В результате при больших нагрузках сетей с произвольным методом доступа пропускная способность сети резко падает и входит в насыщение. В сетях Ethernet насыщение предотвращается балансировкой нагрузки путем разделения сети на сегменты или выбором оптимальной технологии сети.

Локальные сети типа Ethernet используют топологию (способ соединения) «звезда» и «общая шина». При необходимости можно объединит эти две топологии в одну сеть.

Спецификация 10Ваsе2 (шинная топология), представляющая сеть Ethernet на тонком коаксиальном кабеле (типа RG - 58 А/U), использует легкие кабели и разъемы (ВNС). Монтаж сети при этом предельно прост: соединения осуществляются прямо на задней стенке персонального компьютера с помощью Т-коннектора, подключаемого к разъему на сетевом адаптере. Протяженность сегмента ограничена длиной 185 м, при этом можно подключить до 30 сетевых узлов. Максимальная протяженность ограничена следующими требованиями:

1 можно включить последовательно не более трех сегментов;

2 между сегментами можно включить две соединительные линии без возможности включения в них рабочих станций;

3 на всей сети должно быть не более 90 сетевых узлов;

4 общая длина кабельной трассы сети должна быть не более 925 м.

Спецификация 10Ваsе5 основана на специальном толстом кабеле и имеет топологию шины.

Основное отличие «толстого» Ethernet состоит в том, что все подключения к кабелю должны выполняться через внешние трансиверы. Все сетевые узлы должны иметь АUI-порт и соответствующий кабель, длина которого не должна превышать 50 м, а длина сегмента - 500 м.

Максимальный размер сети определяют следующие параметры:

максимальное число объединяемых сегментов (без межповторительных), как и у «тонкого» Ethernet - 5;

максимальная длина сети - 2500 м;

максимальное число станций на сегмент - 100.

Сети этого типа реализуются в последнее время в небольших количествах и только там, где требуется большая протяженность кабельной трассы, или используются в качестве базовой сети.

Спецификация 10Ваsе-Т предлагает использовать кабели с неэкранированными витыми парами (UТР) категории не ниже третьей. В отличие от упомянутых выше сетей элементарная сеть Ethernet на витых парах имеет топологию «звезды».

Рабочие станции с помощью сегментов из витых пар подключаются к концентратору (hub). Такая конфигурация упрощает подключение новых рабочих станций и делает их независимыми друг от друга.

Рабочие группы могут объединяться в более сложные конфигурации локальных сетей соединениями между концентраторами, а также подключением сегментов на толстом или тонком коаксиальном кабеле.

Для рекомендации 10Ваsе-Т на витой паре предусматриваются ограничения:

между рабочими станциями может быть до 5 сегментов и не более 4 концентраторов;

длина сегмента - не более 100 м.

2. Потенциальные угрозы безопасности информации в локальных сетях

5. Средства управления защитой информации в локальных сетях

Средства централизованного контроля и управления защитой информации в локальных сетях включают:

1) Персональное автоматизированное рабочее место службы безопасности информации (АРМ СБИ);

2) Специальное программное обеспечение (СПО);

3) Организационные мероприятия.

В качестве АРМ СБИ в больших локальных сетях лучше всего использовать специально выделенный персональный компьютер, введенный в состав сети и размещенный в отдельном помещении, оборудованном средствами охранной сигнализации. Однако в большинстве случаев будущие владельцы локальных сетей не захотят нести лишние расходы. Поэтому в менее ответственных системах целесообразно выполнение задач АРМ СБИ совместить с выполнением задач управления локальной сетью на персональном компьютере администратора сети, выполняющего также роль супервизора системы. Однако согласно принципу разделения привилегий, исключающему сосредоточение всех полномочий у одного человека, в ответственных системах функции службы безопасности необходимо разделить между службой безопасности информации и руководством фирмы, в организациях - между службой безопасности информации и владельцем локальной сети. Это означает, что функции автоматизированного управления безопасностью могут выполняться с двух персональных компьютеров: администратора и руководителя.

Нормальный режим работы локальной сети - когда функции управления выполняет администратор, а руководитель контролирует его действия и при необходимости может в этот процесс вмешаться.

Все изменения, вносимые администратором (руководителем) в систему, должны автоматически регулироваться и сообщаться на персональный компьютер руководителя (администратора) в виде отображения на его дисплее краткого сообщения о характере произведенных изменений. Далее руководитель (администратор) может специальным запросом уточнить информацию. Совмещение указанных задач, однако, не означает отключение, даже на короткий период времени, функций обнаружения и блокировки несанкционированного доступа, а также контроля функционирования средств защиты.

Специальное программное обеспечение средств централизованного контроля и управления безопасности информации включает следующие программы:

ввода списков идентификаторов пользователей сети;

генерации и ввода кодов ключей-паролей;

ввода и контроля полномочий пользователей;

регистрации и отображения сообщений о фактах несанкционированного доступа: несовпадений кодов ключей-паролей, нарушений полномочий с указанием времени, места и даты события;

регистрации обращений к информации, хранимой в файл-сервере и рабочих станциях с указанием автора обращения, времени и даты выдачи информации;

ведения журнала учета и регистрации доступа к информации;

формирования и выдачи необходимых справок по несанкционированному доступу;

контроля целостности программного обеспечения локальной сети;

контроля конфигурации локальной сети;

управления шифрованием информации;

периодического тестирования и контроля функционирования перечисленных функций;

документирования перечисленных работ;

ведения статистики несанкционированного доступа.

Особое внимание следует обратить на необходимость постоянного контроля несанкционированного доступа и выработки сигнала тревожной сигнализации на автоматизированное место службы безопасности информации, так как во многих подобных программах ограничиваются только регистрацией события. Отсутствие механизма немедленного отображения сигнала несанкционированного доступа с указанием его места возникновения существенно снижает безопасность информации и дает время нарушителю на выполнение своей задачи, так как просмотр журнала регистрации может быть отложен или забыт по каким-либо причинам.

Организационные мероприятия по управлению и контролю доступа к техническим средствам и информации необходимы для проведения централизованной защиты на локальных сетях в целом, а также для дублирования в целях усиления прочности наиболее слабых звеньев защиты. Правильная и четкая организация защиты - залог ее высокой эффективности. Однако необходимо помнить, что гарантированные результаты дает только автоматика, а не человек со всеми слабостями человеческой натуры.

Объем и виды организационных мероприятий на локальных сетях аналогичны мероприятиям, приведенным в разд. 2, 4, 5.

6. Защита информации в локальных сетях от случайного несанкционированного доступа

Природа случайных воздействий на аппаратуру, программное обеспечение и в конечном итоге на информацию в локальной сети не отличается от процессов, описанных в разд. 2. Методы и средства защиты от них в локальных сетях аналогичны методам и средствам, применяемым в больших вычислительных сетях. Однако специалисты по локальным сетям на персональных компьютерах этому вопросу уделяют специальное внимание, акцентируя его на следующих методах и средствах защиты, специфичных для локальных сетях.

Для резервирования данных можно использовать несколько различных типов оборудования и средств: резервные сменные носители, вспомогательный жесткий диск, дисковод со сменными жесткими дисками, лентопротяжное устройство со сменными кассетами.

Из этих возможностей лучшей является лентопротяжное устройство со сменными кассетами.

Его преимущества:

большая емкость ленты;

дешевизна;

возможность хранения лент в другом месте;

неограниченная емкость системы.

Необходимо отметить, что прогресс в технологиях построения винчестеров позволяет значительно увеличить объем пространства записи при сохранении высокой скорости доступа, поэтому многие компании переходят на комбинированные средства резервирования.

Весьма желательно хранить резервные ключи отдельно от оригинальных. Резервные копии, хранящиеся в одном месте с первичными данными, могут быть уничтожены в одной и той же аварийной ситуации. Возможность хранения сколь угодно больших объемов данных особенно важна при создании архивов.

Магнитные ленты имеют один недостаток: медленную запись. Однако если процедура резервирования не требует обслуживания устройств, то скорость записи становится несущественной.

Для надежной записи данных на магнитную ленту рекомендуется блок данных записывать более одного раза в разных местах ленты.

Обычно используются два типа систем резервирования: поточный и «файл-за-файлом». Поточные системы предназначены для резервирования и восстановления больших блоков данных. Метод «файл-за-файлом», известный как стартстопный метод, также может создавать резервные копии больших блоков данных, но может еще и восстанавливать отдельные файлы. Перемотка ленты вперед и назад обеспечивает произвольный доступ к данным. Такие ленты размечены как жесткий диск и могут использоваться как жесткий диск, хотя они работают с меньшей скоростью.

Большинство потерь данных вызваны ошибками людей, при этом обычно теряется только один или два файла. Но восстановление целого диска из-за нескольких файлов - потеря времени. При восстановлении целого диска все пользователи должны выйти из сети, что влечет за собой дополнительную потерю времени у обслуживающего персонала.

Отказоустойчивость - другая область защиты данных, которая может быть использована с системой резервирования. Отказоустойчивость обеспечивается дополнительными компонентами системы для предотвращения потери данных или простоя из-за отказа элемента системы. Благодаря своей базовой архитектуре локальная сеть обладает высокой степенью отказоустойчивости. Отказ отдельной рабочей станции не влияет на работу локальной сети, а отказ сервера или другого оборудования локальной сети не мешает использовать рабочую станцию как изолированный персональный компьютер.

Однако локальные сети все чаще применяется для управления критическими данными и критическими прикладными программами, что требует большей эффективности защиты. Для этого в некоторых локальных сетях применяют дополнительные меры, например установку дополнительных или резервных компонентов. При отказе основного компонента может использоваться резервный.

Система отказоустойчивости не должна рассматриваться как замена системы резервирования. Отказоустойчивость, например, не спасет от ошибок оператора, не сможет защитить от потерь при пожаре или другой аварийной ситуации.

Архивирование данных. Система резервирования может использоваться как подключенное архивное устройство. При помощи архива редко используемые данные удаляются с жесткого диска и хранятся в архивной библиотеке. При необходимости файл может быть загружен обратно на жесткий диск. Такая процедура обладает множеством достоинств, включая уменьшение требуемого свободного пространства на жестком диске.

Система архивирования данных обычно содержит программу, которая проверяет частоту использования отдельных программ. Когда система находит редко используемую программу, например, по определению супервизора - 6 дней, то она становится кандидатом перевода ее в архив. Если файл данных перенесен с жесткого диска в архив, его имя, как обычно, поддерживается в каталоге жесткого диска. Но вместо самих данных в файл должно быть помещено сообщение о местонахождении файла в архивной библиотеке. Можно также поместить и описание процедуры для загрузки файла из архива в сеть.

Архивные ленты хранятся так же, как и содержание библиотеки: ленты пронумерованы и лежат на полке в удобном месте. Если материал ценный, то для архивных лент должны быть сделаны резервные копии. Для резервирования необходимо выполнить процедуру занесения в архив дважды перед уничтожением файлов.

Архивы помогают также и при защите данных от преднамеренного доступа. Платежная ведомость, например, может храниться в архиве, а не на диске. Когда ведомость используют, ее загружают в сеть, а после завершения работы удаляют с жесткого диска и снова помещают в архивную библиотеку. Для работы с платежной ведомостью нужно иметь соответствующие права доступа к ее файлу.

Дальнейшее улучшение системы архивирования идет в сторону поддержания записанных на ленту файлов в доступном состоянии. В сети эта технология поддерживается сервером лент или архивным сервером. С архивным сервером файлы не нужно загружать на жесткий диск, вместо этого доступ к ним может производиться прямо на лентопротяжном устройстве. Недостатком является то, что лентопротяжные устройства работают медленнее, чем жесткий диск. Но это компенсируется тем, что файлы можно использовать без процедуры восстановления.

В качестве системы резервирования информации в локальных сетях может использоваться система управления иерархической памятью, позволяющая в современных компьютерных сетях хранить информацию практически в неограниченном объеме. Система автоматически перемещает файлы между более дорогими высокоскоростными магнитными дисками и менее дорогими медленными запоминающими устройствами на оптических дисках и магнитных лентах.

Система архивирования данных выполняет роль и устройства резервирования: днем система может работать как сетевой ресурс, а ночью - как устройство хранения и защиты данных.

7. Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в локальных сетях

Оценку уровня безопасности целесообразно проводить по трем классам: I, II и III имея в виду, что по I классу оцениваются локальные сети, в которых средствами защиты перекрыты все возможные каналы несанкционированного доступа, по II классу - локальные сети, в которых могут отсутствовать средства защиты от несанкционированного доступа со стороны линий связи и каналов ПЭМИН, по IIIклассу - локальные сети, в которых перекрыт только несанкционированный доступ к персональным компьютерам, серверам, средствам контроля и управления функционированием и безопасностью информации. Оценка уровня безопасности внутри класса производится в результате количественной оценки прочности каждого средства защиты, перекрывающего количество возможных каналов несанкционированного доступа в соответствии с присвоенным локальной сети классом.

Критериями оценки уровня безопасности информации в локальных сетях может быть выбрана группа показателей, полученных в результате расчета прочности отдельных средств защиты, составляющих в целом систему защиты. Целесообразным для оценки уровня безопасности информации в локальных сетях использовать следующую группу показателей:

РК ЛВС - уровень безопасности информации от преднамеренного несанкционированного доступа, контролируемого системой защиты локальной сети;

РШ ЛВС - уровень безопасности информации на ВКНСД, выходящих за пределы возможностей системы контроля несанкционированного доступа.

Значение прочности защиты для контролируемых ВКНСД можно определить на основе выражения:

PK ЛКС = PK PC U[1-(1-Р1)(1-Р2)(1-P3)(1-P5)]U[1-(1-P1)(1-P2)(1-P6)]U[1-(1-P1)(1-P2)(1-P3)(1-P7)]U[1-(1-P1)(1-P2)]U[1-(1-P1)(1-P2)(1-P8)(1-P5)]U[1-(1-P1)(1-P2)(1-P3)(1-P7)(1-P5)]

для неконтролируемых ВКНСД:

PШ ЛВС = PШ PCUP4UP9UP10

Размещено на Allbest.ru