Защита информации и администрирование в локальных сетях

Понятие локальной и глобальной компьютерной сети. Категории программного обеспечения. Потенциальные угрозы безопасности информации в локальных сетях. Системы резервирования и архивирования данных. Защита от преднамеренного несанкционированного доступа.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 08.12.2014
Размер файла 64,8 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Хакасский государственный университет им. Н. Ф. Катанова

Кафедра: Институт информационных технологий и инженерного образования

Факультет: «Информационные системы и технологии»

Реферат на тему: Защита информации и администрирование в локальных сетях

Выполнил:

Студент гр.44

Тороков Каримжан Еремеевич

Абакан

2014 г

Оглавление

1. Общее определение локальной сети

2. Потенциальные угрозы безопасности информации в локальных сетях

3. Физическая защита

4. Система защиты информации от несанкционированного доступа в локальных сетях

5. Средства управления защитой информации в локальных сетях

6. Защита информации в локальных сетях от случайного несанкционированного доступа

7. Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в локальных сетях

1. Общее определение локальной сети

Любой способ распределения ресурсов между двумя и более компьютерами можно назвать сетью.

Локальная компьютерная сеть (локальная сеть) представляет собой особый тип сети, объединяющий близко расположенные системы, как правило, в пределах группы сотрудников или отдела предприятия. Эти компьютеры и другое оборудование соединены однотипными средствами коммуникаций - чаще всего витой парой проводов, коаксиальным или оптическим кабелем, беспроводными средствами связи (инфракрасного или радиоволнового диапазона).

Все устройства соединенные в одну сетью способны обмениваться между собой информацией. Небольшие сети называются локальными, а сеть из нескольких локальных сетей называется глобальными сетями WAN (wide area network).

Подсоединившись к другому удаленному компьютеру через локальную сеть можно получить полный доступ к файлам пользователя, а также получить полный контроль над устройством. Поэтому существует необходимость в защите пользовательской информации.

Защита на уровне пароля и имени недостаточно для должной защиты от посягательства посторонних лиц. Необходима шифровка данных разными способами.

Тот факт, что многие пользователи сети имеют доступ к одним и тем же ресурсам, упрощает распространение информации в пределах локальной сети, так как не требует осваивать новые методы передачи данных.

Самый главный плюс локальной сети - это простой доступ к сетевым ресурсам. локальная сеть безопасность архивирование несанкционированный

Для доступа к сетевым ресурсам применяется целый ряд аппаратных и программных компонентов. Аппаратура - сетевая интерфейсная плата - электрически подсоединяет рабочую станцию к локальной сети. Она устанавливается в пустое расширительное гнездо персонального компьютера либо подключается к соответствующему порту мобильных компьютеров (или в гнездо РСМСI).

Сетевое программное обеспечение делится на три категории:

1) Программное обеспечение управления сетевой платой;

2) Программное обеспечение, выполняющее правила (или протокол) общения в сети;

3) Программное обеспечение сетевой операционной системы.

Хотя сейчас уже все операционные системы наделены сетевыми свойствами следует различать операционную систему рабочей станции, обеспечивающую ее работу в локальной сети, и операционную систему узловой станции - Сервера, обеспечивающей работу всей сети.

Существует два типа локальных сетей: равноправные (одноранговые) и с выделенным сервером. В равноправных сетях все устройства могут вступать в отношения к другому устройству как клиент или как сервер. Тогда как в сети с выделенным сервером все устройства общаются с главным сервером.

Одноранговые сети просты в установке и для операционной системы не требуется отдельный компьютер. Но эти сети менее функциональны по сравнению с сетям с выделенным сервером. Т. к. все пользователи сети являются равноправными, то по мере роста сети она быстро становится неуправляемой.

Но все же одноранговая сеть является оптимальным решением для соединения всего нескольких устройств.

Если же необходим централизованный доступ и более высокий уровень защиты информации сеть с выделенным сервером подходит намного лучше т. к. файлы хранятся на одном главном сервере, и в случае выхода из строя одного и более устройств в сети файлы, которые находятся на главном сервере, будут доступны для других устройств.

В централизованной сети компьютер, который будет использоваться в качестве главного сервера, должен быть более мощным чем обычные ПК (персональный компьютер). Серверу необходимо обрабатывать запросы сразу от множества устройств, поэтому на серверном оборудовании стоят специальное серверное оборудование и установлен специальный софт для работы в сети. На обычных ПК используется меньшие процессоры и объем оперативной памяти куда меньше, чем на серверном оборудовании.

Операционные системы на ПК заточены на использование обычным пользователем, тогда как на серверном оборудовании не установлены операционные системы с графической оболочкой. Чтобы управлять им используются текстовые команды.

Конечно же, существуют операционные системы для серверов с графической оболочкой, такие как Windows server.

Существует много видов сетей, наибольшее распространение получило четыре модификации соединений ПК в локальных сетях:

1. Ethernet

2. Arknet

3. Token-Ring

4. FDDI

В сети Ethernet все устройства, подключённые к магистральному кабелю, считаются равноправными и пытаются захватить канал. Каждый раз, когда какое-то устройство хочет передать пакет, оно должно проверить, занят канал или нет. Если другое устройство в данный момент осуществляет передачу пакета, то все остальные устройства в сети переходят в режим приема. Пакет, который в данный момент передается, отправляется все устройствам в сети, а они в свою очередь проверят кому адресован пакет. Устройство в сети проверяет предназначен пакет или нет ему, анализируя заголовок пакета, который содержит и адрес назначения, и адрес отправителя. Если они соответствуют его данным, происходит прием пакета информации.

Если произойдет ситуация, когда несколько устройств начнут передачу одновременно, произойдет коллизия - наложение сигналов. Передача прервется и каждое устройство, попавшее в коллизию, переходит в режим задержки, в котором оно находится рандомное кол-во времени, это помогает снова не попасть в коллизию после задержки. Устройство, вышедшее из коллизии, продолжает передачу.

В результате при больших нагрузках сетей с произвольным методом доступа пропускная способность сети резко падает и входит в насыщение. В сетях Ethernet насыщение предотвращается балансировкой нагрузки путем разделения сети на сегменты или выбором оптимальной технологии сети.

Локальные сети типа Ethernet используют топологию (способ соединения) «звезда» и «общая шина». При необходимости можно объединит эти две топологии в одну сеть.

Спецификация 10Ваsе2 (шинная топология), представляющая сеть Ethernet на тонком коаксиальном кабеле (типа RG - 58 А/U), использует легкие кабели и разъемы (ВNС). Монтаж сети при этом предельно прост: соединения осуществляются прямо на задней стенке персонального компьютера с помощью Т-коннектора, подключаемого к разъему на сетевом адаптере. Протяженность сегмента ограничена длиной 185 м, при этом можно подключить до 30 сетевых узлов. Максимальная протяженность ограничена следующими требованиями:

1 можно включить последовательно не более трех сегментов;

2 между сегментами можно включить две соединительные линии без возможности включения в них рабочих станций;

3 на всей сети должно быть не более 90 сетевых узлов;

4 общая длина кабельной трассы сети должна быть не более 925 м.

Спецификация 10Ваsе5 основана на специальном толстом кабеле и имеет топологию шины.

Основное отличие «толстого» Ethernet состоит в том, что все подключения к кабелю должны выполняться через внешние трансиверы. Все сетевые узлы должны иметь АUI-порт и соответствующий кабель, длина которого не должна превышать 50 м, а длина сегмента - 500 м.

Максимальный размер сети определяют следующие параметры:

максимальное число объединяемых сегментов (без межповторительных), как и у «тонкого» Ethernet - 5;

максимальная длина сети - 2500 м;

максимальное число станций на сегмент - 100.

Сети этого типа реализуются в последнее время в небольших количествах и только там, где требуется большая протяженность кабельной трассы, или используются в качестве базовой сети.

Спецификация 10Ваsе-Т предлагает использовать кабели с неэкранированными витыми парами (UТР) категории не ниже третьей. В отличие от упомянутых выше сетей элементарная сеть Ethernet на витых парах имеет топологию «звезды».

Рабочие станции с помощью сегментов из витых пар подключаются к концентратору (hub). Такая конфигурация упрощает подключение новых рабочих станций и делает их независимыми друг от друга.

Рабочие группы могут объединяться в более сложные конфигурации локальных сетей соединениями между концентраторами, а также подключением сегментов на толстом или тонком коаксиальном кабеле.

Для рекомендации 10Ваsе-Т на витой паре предусматриваются ограничения:

между рабочими станциями может быть до 5 сегментов и не более 4 концентраторов;

длина сегмента - не более 100 м.

2. Потенциальные угрозы безопасности информации в локальных сетях

В случае взлома какой-либо сети, злоумышленник хочет получить доступ к информации с целью модификации, разрушения и хищения информации.

Единственным отличием локальных сетей, учитывая ее относительно малую территорию размещения, является возможность расположения каналов связи локальных сетей на охраняемой территории, что значительно сокращает количество потенциальных нарушителей и в некоторых менее ответственных системах позволяет с целью экономии уменьшить прочность защиты информации в кабельных линиях связи. Малые габариты компьютера позволяют разместить его на столе в отдельном защищенном помещении и облегчают, с одной стороны, проблему контроля доступа к его внутренним линиям связи и монтажу устройств.

С другой стороны, возникает вопрос контроля целостности локальных сетей, т. е. схемы соединений сети, так как локальная сеть - система по своей идее децентрализованная. А всегда ли необходим такой контроль? Специалисты считают, что в очень маленьких локальных сетях с парой компьютеров, которые разделяют жесткий диск и принтер, диагностика не нужна. Но по мере роста сети возникает необходимость в мониторинге сети и ее диагностике. Большинство локальных сетей имеют процедуры самотестирования низкого уровня, которые должны запускаться при включенной сети. Эти тесты обычно охватывают кабель, конфигурацию аппаратных средств, в частности плату интерфейса сети. В составе больших локальных сетей предусмотрены сложные системы с двойным назначение - мониторингом и диагностикой. Центр управления сетью - это пассивное мониторинговое устройство, которое собирает данные о потоках сообщений в сети, ее характеристиках, сбоях, ошибках и т. д. Данные о потоках сообщений показывают, кто пользуется сетью, а также когда и как она применяется.

Сетевые операционные системы, содержат диагностику локальных сетей. Обычно консоль и монитор этой системы совместно действуют как маленькая версия центра управления сетью. Применяются в сети и аппаратные средства сетевой диагностики, для чего применяются специализированные чипы.

Однако упомянутые выше средства диагностики локальных сетей не обнаруживают несанкционированное подключение к сети посторонних персональных компьютеров. Отключение компьютера от сети контролируется, иногда с перерывами по желанию оператора или по запросу пользователя.

В больших локальных сетях (до 10 км) кабельные линии могут выходить за пределы охраняемой территории или в качестве линий связи могут использоваться телефонные линии связи обычных автоматизированных телефонных станций, на которых информация может подвергнуться несанкционированному доступу. Кроме того, сообщения в локальной сети могут быть прочитаны на всех ее узлах, несмотря на специфические сетевые адреса. Посредством пользовательских модификаций последних все узлы сети могут считывать данные, циркулирующие в данной локальной сети.

Таким образом, можно перечислить максимальное количество возможных каналов преднамеренного несанкционированного доступа к информации для локальных сетей.

Со стороны «периметра» системы они будут следующими:

доступ в локальную сеть со стороны штатного персонального компьютера;

доступ в локальную сеть со стороны кабельных линий связи.

Несанкционированный доступ со стороны штатного персонального компьютера (включая серверы) возможен по каналам, перечисленным в разд. 7, гл. 1. для автономного режима ее работы. Но в локальной сети необходимо защищаться и от пользователя-нарушителя, допущенного только к определенной информации файл-сервера и/или ограниченного круга других пользователей данной локальной сети.

Несанкционированный доступ в локальных сетях со стороны кабельных линий может произойти по следующим каналам:

1) Со стороны штатного пользователя-нарушителя одного персонального компьютера при обращении к информации другого, в том числе файл-серверу;

2) При подключении постороннего персонального компьютера и другой посторонней аппаратуры;

3) При побочных электромагнитных излучениях и наводках информации.

Кроме того, в результате аварийных ситуаций, отказов аппаратуры, ошибок операторов и разработчиков программного обеспечения локальной сети возможны переадресация информации, отображение и выдача ее на рабочих местах, для нее не предназначенных, потеря информации в результате ее случайного стирания или пожара. Практика показывает, что большинство людей не уделяют серьезного внимания защите информации, особенно резервированию, до тех пор, пока у них не произойдет серьезная потеря информации.

Магнитная память, а затем лазерная запись - достоинство автоматизированной системы: освобождение от многочисленных бумаг открыла большие возможности для пользователя. Но хранение данных в этой изменчивой среде значительно повышает вероятность потери данных: несколько нажатий клавиш могут уничтожить результаты работы многих часов и даже лет. Проникновение программного вируса в персональный компьютер может также неприятно отразиться на всей работе и информации локальной сети, а также остальных персональных компьютеров, входящих в состав локальной сети.

3. Физическая защита

Безопасность компьютерной системы зависит от окружения, в котором она работает. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компьютеров.

Существуют следующие направления физической защиты:

*физическое управление доступом;

*противопожарные меры;

*защита поддерживающей инфраструктуры;

*защита от перехвата данных;

*защита мобильных систем;

Меры физического управления доступом позволяют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации и, кроме того, отдельные помещения, например те, где расположены серверы, коммуникационная аппаратура и т. п. Средства физического управления доступом известны давно - это охрана, двери с замками, перегородки, телекамеры, датчики движения и многое другое.

Крайне необходимо установить противопожарную сигнализацию и автоматические средства пожаротушения.

К поддерживающей инфраструктуре можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций. В принципе к ним применимы те же требования целостности и доступности, что и к информационным системам. Для обеспечения целостности нужно защищать оборудование от краж и повреждений. Для поддержания доступности целесообразно выбирать оборудование с максимальным временем наработки на отказ, дублировать ответственные узлы, всегда иметь под рукой запчасти.

Отдельную проблему составляют аварии водопровода. Они происходят нечасто, но чреваты серьезными материальными потерями. При размещении компьютеров разумно принять во внимание расположение водопроводных и канализационных труб и постараться держаться от них подальше. Сотрудники должны знать, куда следует обращаться при обнаружении протечек.

Перехват данных может осуществляться самыми разными способами: подсматриванием за экраном монитора, чтением пакетов, передаваемых по локальной сети, улавливанием стука иголок матричного принтера или кнопок на клавиатуре, анализом побочных электромагнитных излучений и наводок (ПЭМИН). Некоторые способы перехвата данных, например анализ ПЭМИН, относительно доступны и дешевы, а бороться с ними трудно и дорого.

4. Система защиты информации от несанкционированного доступа в локальных сетях

Защита от преднамеренного несанкционированного доступа. Анализ локальной сети как объекта защиты, возможных каналов несанкционированного доступа к информации ограниченного пользования и потенциальных угроз позволяет выбрать и построить соответствующую систему защиты.

Перечисленные выше возможные каналы несанкционированного доступа рассмотрены с позиций максимально возможных угроз, ожидаемых от нарушителя-профессионала, модель поведения которого как наиболее опасная принята за исходную предпосылку в концепции защиты (см. разд. 3). Поэтому, несмотря на существующие на практике менее опасные модели, будем пока следовать принятым ранее решениям.

Несанкционированный доступ со стороны пользователя-нарушителя, потребует создания на программном уровне локальной сети системы опознания и разграничения доступа к информации (СОРДИ) со всеми ее атрибутами: средствами идентификации и аутентификации пользователей, а также разграничения их полномочий по доступу к информации файл-сервера и (или) другим персональным компьютерам данной локальной сети. Такими возможностями, в настоящее время, обладают все сетевые операционные система с отличиями в технологиях реализации.

Средства защиты сети позволяют устанавливать, кто имеет право доступа к конкретным каталогам и файлам. При этом защита данных файл-сервера осуществляется одним способом или в различных сочетаниях обычно четырьмя способами:

Входным паролем;

Попечительской защитой данных;

Защитой в каталоге;

Защитой атрибутами файлов.

Первым уровнем сетевой защиты является защита данных входным паролем. Защита при входе в сеть применяется по отношению ко всем пользователям. Чтобы выйти в файл-сервер, пользователю нужно знать свое «имя» и соответствующий пароль (6-8 символов для устойчивости к автоматизированному взлому).

Администратор безопасности может установить дополнительные ограничения по входу в сеть:

Ограничить период времени, в течение которого пользователь может входить в сеть;

Назначить рабочим станциям специальные адреса, с которыми разрешено входить в сеть;

Ограничить количество рабочих станций, с которых можно выйти в сеть;

Установить режим запрета постороннего вторжения, когда при нескольких несанкционированных попытках с неверным паролем устанавливается запрет на вход в сеть.

Второй уровень защиты данных в сети - попечительская защита данных - используется для управления возможностями индивидуальных пользователей по работе с файлами в заданном каталоге. Попечитель (админ) - это пользователь, которому предоставлены привилегии или права для работы с каталогом и файлами внутри него.

Любой попечитель может иметь восемь разновидностей прав:

Read - право Чтения открытых файлов;

Write - право Записи в открытые файлы;

Ореn - право Открытия существующего файла;

Сгеаtе - право Создания (и одновременно открытия) новых файлов;

Deletе - право Удаления существующих файлов;

Раrеntаl - Родительские права:

право Создания, Переименования, Стираная подкаталогов каталога;

право Установления попечителей и прав в каталоге;

право Установления попечителей и прав в подкаталоге;

Search - право Поиска каталога;

Modify - право Модификации файловых атрибутов.

Третий уровень защиты данных в сети - защита данных в каталоге. Каждый каталог имеет «маску максимальных прав». Когда создается каталог, маска прав содержит те же восемь разновидностей прав, что и попечитель. Ограничения каталога применяются только в одном заданном каталоге. Защита в каталоге не распространяется на его подкаталоги.

Защита атрибутами файлов - четвертый уровень защиты данных в сети. При этом предусмотрена возможность устанавливать, может ли индивидуальный файл быть изменен или разделен. Защита атрибутами файлов используется в основном для предотвращения случайных изменений или удаления отдельных файлов. Такая защита, в частности, полезна для защиты информационных файлов общего пользования, которые обычно читаются многими пользователями. Эти файлы не должны допускать порчи при попытках изменений или стирания. В защите данных используются четыре файловых атрибута: «Запись-Чтение/Только чтение» и «Разделяемый/Неразделяемый».

Действующие права в сети - это те права, которые пользователь может применять в данном каталоге. Действующие права определяются сочетанием прав попечительской защиты и прав защиты в каталогах. Файловые атрибуты имеют приоритет над действующими правами пользователя.

Были описаны наиболее часто применяемые атрибуты и политики защиты информации в сети имеющих модификации для разных операционных систем. Однако средства защиты информации в сети не всегда удовлетворяют требованиям потребителей. Поэтому существует ряд разработок специализированных систем и комплексов защиты.

Чтобы исключить возможность обхода систем опознания и разграничения доступа в персональных компьютерах и локальных сетях путем применения отладочных программ, а также проникновения компьютерных вирусов, рекомендуется, если это возможно, в данной локальной сети применять персональные компьютеры без дисководов и внешних портов (типа COM или USB) позволяющих подключить внешний носитель или, по крайней мере, хотя бы заблокировать их механической крышкой, опечатываемой администратором безопасности. Данная мера, кроме того, защищает от кражи данных, которые можно скопировать на флэш-карту в течение нескольких минут. Их легко спрятать и вынести за пределы даже охраняемой территории. Многие поставщики сетей сейчас обеспечивают возможность загрузки локальных рабочих станций с центрального сервера и таким образом делают персональные компьютеры без диска пригодной для использования в сети.

В тех же случаях, когда требуется локальное запоминающее устройство, специалисты допускают возможность замены дисковода флоппи-диска, USB и т.п. на местный жесткий диск.

Опознание пользователя и разграничение доступа в локальных сетях можно также организовать с помощью шифровального устройства. Лучше всего для этой цели использовать аппаратное устройство, так как его подмена или отключение нарушителю не помогут. Такое устройство устанавливается в каждом персональном компьютере и тогда законный пользователь обращается в сеть с помощью ключа-пароля, ответные значения которого хранятся на тех рабочих станциях, к обмену с которыми он допущен. В свою очередь на файл-сервере по этому паролю ему могут предоставляться персональные массивы данных. Еще одно достоинство этого метода в том, что ключ-пароль данного пользователя не хранится на данном персональном компьютере, а запоминается пользователем или хранится на специальном носителе типа карточки. Решения с шифрованием на программном уровне введены практически уже во все операционные системы, в том числе обслуживающие рабочие станции.

Все данные, включая коды паролей, которые поступают в сеть, и все данные, которые хранятся на жестком диске, должны быть зашифрованы. При передаче данных в сеть до начала шифрования с целью привязки к передаваемой информации идентификатор и/или адрес получателя и отправителя (передаваемые в открытом виде) совместно с информацией должны подвергаться обработке обычными средствами повышения достоверности, результат которой одновременно с зашифрованной информацией поступает на персональный компьютер-получатель, где после дешифрации принятая информация проверяется на совпадение. Данная процедура позволит обнаружить подмену идентификатора и/или адреса, т. е. попытку навязывания ложной информации при несанкционированном подключении к сети. При этом следует предостеречь разработчиков и пользователей локальных сетей от излишнего увлечения шифрованием. Шифрованию не должны подвергаться всем известные формализованные запросы и сообщения, так как, зная закон преобразования, нарушитель путем перебора известных формализованных сообщений может вычислить действительное значение ключа, с помощью которого одно из них закрыто, а знание последнего позволит нарушителю ознакомиться с остальной зашифрованной информацией.

Поступающая в сеть зашифрованная ключом отправителя информация дешифруется на персональном компьютере-получателе с помощью ключа, значение которого соответствует идентификатору и/или адресу отправителя.

Напомним, что ключи шифрования отправителей хранятся в персональном компьютере-получателе в зашифрованном виде, они зашифрованы ключом-паролем получателя информации.

В некоторых менее ответственных локальных сетях для защиты от модификации информации при ее передаче по телефонным каналам используется система «обратный вызов».

Система защиты «обратный вызов» и управление пользователем являются частью телефонных систем и могут быть использованы в передаче данных «ПК - сеть» на значительное расстояние. Если нужно подключиться к персональному компьютеру, где имеется система защиты «обратный вызов», следует сообщить об этом системе, и тогда ее устройство защиты подготавливается для «обратного вызова» на ваше местонахождение. Другими словами, система имеет в памяти полный листинг на каждого допущенного пользователя. В этот файл включены семизначный идентификационный номер, который вы должны набрать, когда хотите обратиться к файлу; телефонный номер, по которому вас можно найти; главные ЭВМ, к которым вам разрешен доступ. Одним словом, подлинность обращения обеспечивается обратным вызовом, т. е. соединение с вами устанавливается вашим адресатом по вашему вызову. Данный метод, однако, не защищает от утечки информации.

Для защиты данных, передающихся по кабелю, существует несколько методов. Первый метод - уборка кабеля из поля зрения - должен быть предпринят для защиты кабеля от повреждения и удовлетворения правил электробезопасности, т. е. если кабель проложить в труднодоступном скрытом месте, это будет способствовать его защите от несанкционированного доступа.

Кабель, по которому передаются данные, излучает радиосигналы подобно передающей антенне. Постое оборудование для перехвата установленное рядом с кабелем, может собирать и записывать эти передачи. Если величина излучающего сигнала превышает сигналы шумов на расстоянии за пределами охраняемой территории, следует принять определенные меры защиты.

Величину излучающего сигнала на кабеле можно уменьшить при помощи экрана в виде заземленной оплетки из медных проводов, охватывающих провода, несущие информацию. Другой способ решить эту проблему заключается в применении волоконно-оптического кабеля, использующего тонкий стеклянный волновод, по которому передача информации осуществляется с помощью модуляции света. Однако в последнее время появились сообщения о возможности съема информации и с этих кабелей. Поэтому наилучшим средством защиты от вышеуказанных угроз служит шифрование передаваемой информации, о котором сообщалось выше. Заметим, что данное шифрование и шифрование, упоминаемое выше при описании средств защиты информации в персональных компьютерах, не одно и то же, хотя оно и может выполняться на одном и том же устройстве (аппаратном или программном). В одном случае оно может быть предназначено для персонального использования (закрытия информации на носителях), в другом - для сетевого контроля и разграничения доступа. В сравнении с обычными большими системами здесь исчезают понятия абонентского и линейного шифрования, так как в локальных сетях отсутствуют узлы, подобные узлам коммутации в больших сетях передачи данных.

5. Средства управления защитой информации в локальных сетях

Средства централизованного контроля и управления защитой информации в локальных сетях включают:

1) Персональное автоматизированное рабочее место службы безопасности информации (АРМ СБИ);

2) Специальное программное обеспечение (СПО);

3) Организационные мероприятия.

В качестве АРМ СБИ в больших локальных сетях лучше всего использовать специально выделенный персональный компьютер, введенный в состав сети и размещенный в отдельном помещении, оборудованном средствами охранной сигнализации. Однако в большинстве случаев будущие владельцы локальных сетей не захотят нести лишние расходы. Поэтому в менее ответственных системах целесообразно выполнение задач АРМ СБИ совместить с выполнением задач управления локальной сетью на персональном компьютере администратора сети, выполняющего также роль супервизора системы. Однако согласно принципу разделения привилегий, исключающему сосредоточение всех полномочий у одного человека, в ответственных системах функции службы безопасности необходимо разделить между службой безопасности информации и руководством фирмы, в организациях - между службой безопасности информации и владельцем локальной сети. Это означает, что функции автоматизированного управления безопасностью могут выполняться с двух персональных компьютеров: администратора и руководителя.

Нормальный режим работы локальной сети - когда функции управления выполняет администратор, а руководитель контролирует его действия и при необходимости может в этот процесс вмешаться.

Все изменения, вносимые администратором (руководителем) в систему, должны автоматически регулироваться и сообщаться на персональный компьютер руководителя (администратора) в виде отображения на его дисплее краткого сообщения о характере произведенных изменений. Далее руководитель (администратор) может специальным запросом уточнить информацию. Совмещение указанных задач, однако, не означает отключение, даже на короткий период времени, функций обнаружения и блокировки несанкционированного доступа, а также контроля функционирования средств защиты.

Специальное программное обеспечение средств централизованного контроля и управления безопасности информации включает следующие программы:

ввода списков идентификаторов пользователей сети;

генерации и ввода кодов ключей-паролей;

ввода и контроля полномочий пользователей;

регистрации и отображения сообщений о фактах несанкционированного доступа: несовпадений кодов ключей-паролей, нарушений полномочий с указанием времени, места и даты события;

регистрации обращений к информации, хранимой в файл-сервере и рабочих станциях с указанием автора обращения, времени и даты выдачи информации;

ведения журнала учета и регистрации доступа к информации;

формирования и выдачи необходимых справок по несанкционированному доступу;

контроля целостности программного обеспечения локальной сети;

контроля конфигурации локальной сети;

управления шифрованием информации;

периодического тестирования и контроля функционирования перечисленных функций;

документирования перечисленных работ;

ведения статистики несанкционированного доступа.

Особое внимание следует обратить на необходимость постоянного контроля несанкционированного доступа и выработки сигнала тревожной сигнализации на автоматизированное место службы безопасности информации, так как во многих подобных программах ограничиваются только регистрацией события. Отсутствие механизма немедленного отображения сигнала несанкционированного доступа с указанием его места возникновения существенно снижает безопасность информации и дает время нарушителю на выполнение своей задачи, так как просмотр журнала регистрации может быть отложен или забыт по каким-либо причинам.

Организационные мероприятия по управлению и контролю доступа к техническим средствам и информации необходимы для проведения централизованной защиты на локальных сетях в целом, а также для дублирования в целях усиления прочности наиболее слабых звеньев защиты. Правильная и четкая организация защиты - залог ее высокой эффективности. Однако необходимо помнить, что гарантированные результаты дает только автоматика, а не человек со всеми слабостями человеческой натуры.

Объем и виды организационных мероприятий на локальных сетях аналогичны мероприятиям, приведенным в разд. 2, 4, 5.

6. Защита информации в локальных сетях от случайного несанкционированного доступа

Природа случайных воздействий на аппаратуру, программное обеспечение и в конечном итоге на информацию в локальной сети не отличается от процессов, описанных в разд. 2. Методы и средства защиты от них в локальных сетях аналогичны методам и средствам, применяемым в больших вычислительных сетях. Однако специалисты по локальным сетям на персональных компьютерах этому вопросу уделяют специальное внимание, акцентируя его на следующих методах и средствах защиты, специфичных для локальных сетях.

Для резервирования данных можно использовать несколько различных типов оборудования и средств: резервные сменные носители, вспомогательный жесткий диск, дисковод со сменными жесткими дисками, лентопротяжное устройство со сменными кассетами.

Из этих возможностей лучшей является лентопротяжное устройство со сменными кассетами.

Его преимущества:

большая емкость ленты;

дешевизна;

возможность хранения лент в другом месте;

неограниченная емкость системы.

Необходимо отметить, что прогресс в технологиях построения винчестеров позволяет значительно увеличить объем пространства записи при сохранении высокой скорости доступа, поэтому многие компании переходят на комбинированные средства резервирования.

Весьма желательно хранить резервные ключи отдельно от оригинальных. Резервные копии, хранящиеся в одном месте с первичными данными, могут быть уничтожены в одной и той же аварийной ситуации. Возможность хранения сколь угодно больших объемов данных особенно важна при создании архивов.

Магнитные ленты имеют один недостаток: медленную запись. Однако если процедура резервирования не требует обслуживания устройств, то скорость записи становится несущественной.

Для надежной записи данных на магнитную ленту рекомендуется блок данных записывать более одного раза в разных местах ленты.

Обычно используются два типа систем резервирования: поточный и «файл-за-файлом». Поточные системы предназначены для резервирования и восстановления больших блоков данных. Метод «файл-за-файлом», известный как стартстопный метод, также может создавать резервные копии больших блоков данных, но может еще и восстанавливать отдельные файлы. Перемотка ленты вперед и назад обеспечивает произвольный доступ к данным. Такие ленты размечены как жесткий диск и могут использоваться как жесткий диск, хотя они работают с меньшей скоростью.

Большинство потерь данных вызваны ошибками людей, при этом обычно теряется только один или два файла. Но восстановление целого диска из-за нескольких файлов - потеря времени. При восстановлении целого диска все пользователи должны выйти из сети, что влечет за собой дополнительную потерю времени у обслуживающего персонала.

Отказоустойчивость - другая область защиты данных, которая может быть использована с системой резервирования. Отказоустойчивость обеспечивается дополнительными компонентами системы для предотвращения потери данных или простоя из-за отказа элемента системы. Благодаря своей базовой архитектуре локальная сеть обладает высокой степенью отказоустойчивости. Отказ отдельной рабочей станции не влияет на работу локальной сети, а отказ сервера или другого оборудования локальной сети не мешает использовать рабочую станцию как изолированный персональный компьютер.

Однако локальные сети все чаще применяется для управления критическими данными и критическими прикладными программами, что требует большей эффективности защиты. Для этого в некоторых локальных сетях применяют дополнительные меры, например установку дополнительных или резервных компонентов. При отказе основного компонента может использоваться резервный.

Система отказоустойчивости не должна рассматриваться как замена системы резервирования. Отказоустойчивость, например, не спасет от ошибок оператора, не сможет защитить от потерь при пожаре или другой аварийной ситуации.

Архивирование данных. Система резервирования может использоваться как подключенное архивное устройство. При помощи архива редко используемые данные удаляются с жесткого диска и хранятся в архивной библиотеке. При необходимости файл может быть загружен обратно на жесткий диск. Такая процедура обладает множеством достоинств, включая уменьшение требуемого свободного пространства на жестком диске.

Система архивирования данных обычно содержит программу, которая проверяет частоту использования отдельных программ. Когда система находит редко используемую программу, например, по определению супервизора - 6 дней, то она становится кандидатом перевода ее в архив. Если файл данных перенесен с жесткого диска в архив, его имя, как обычно, поддерживается в каталоге жесткого диска. Но вместо самих данных в файл должно быть помещено сообщение о местонахождении файла в архивной библиотеке. Можно также поместить и описание процедуры для загрузки файла из архива в сеть.

Архивные ленты хранятся так же, как и содержание библиотеки: ленты пронумерованы и лежат на полке в удобном месте. Если материал ценный, то для архивных лент должны быть сделаны резервные копии. Для резервирования необходимо выполнить процедуру занесения в архив дважды перед уничтожением файлов.

Архивы помогают также и при защите данных от преднамеренного доступа. Платежная ведомость, например, может храниться в архиве, а не на диске. Когда ведомость используют, ее загружают в сеть, а после завершения работы удаляют с жесткого диска и снова помещают в архивную библиотеку. Для работы с платежной ведомостью нужно иметь соответствующие права доступа к ее файлу.

Дальнейшее улучшение системы архивирования идет в сторону поддержания записанных на ленту файлов в доступном состоянии. В сети эта технология поддерживается сервером лент или архивным сервером. С архивным сервером файлы не нужно загружать на жесткий диск, вместо этого доступ к ним может производиться прямо на лентопротяжном устройстве. Недостатком является то, что лентопротяжные устройства работают медленнее, чем жесткий диск. Но это компенсируется тем, что файлы можно использовать без процедуры восстановления.

В качестве системы резервирования информации в локальных сетях может использоваться система управления иерархической памятью, позволяющая в современных компьютерных сетях хранить информацию практически в неограниченном объеме. Система автоматически перемещает файлы между более дорогими высокоскоростными магнитными дисками и менее дорогими медленными запоминающими устройствами на оптических дисках и магнитных лентах.

Система архивирования данных выполняет роль и устройства резервирования: днем система может работать как сетевой ресурс, а ночью - как устройство хранения и защиты данных.

7. Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в локальных сетях

Оценку уровня безопасности целесообразно проводить по трем классам: I, II и III имея в виду, что по I классу оцениваются локальные сети, в которых средствами защиты перекрыты все возможные каналы несанкционированного доступа, по II классу - локальные сети, в которых могут отсутствовать средства защиты от несанкционированного доступа со стороны линий связи и каналов ПЭМИН, по IIIклассу - локальные сети, в которых перекрыт только несанкционированный доступ к персональным компьютерам, серверам, средствам контроля и управления функционированием и безопасностью информации. Оценка уровня безопасности внутри класса производится в результате количественной оценки прочности каждого средства защиты, перекрывающего количество возможных каналов несанкционированного доступа в соответствии с присвоенным локальной сети классом.

Критериями оценки уровня безопасности информации в локальных сетях может быть выбрана группа показателей, полученных в результате расчета прочности отдельных средств защиты, составляющих в целом систему защиты. Целесообразным для оценки уровня безопасности информации в локальных сетях использовать следующую группу показателей:

РК ЛВС - уровень безопасности информации от преднамеренного несанкционированного доступа, контролируемого системой защиты локальной сети;

РШ ЛВС - уровень безопасности информации на ВКНСД, выходящих за пределы возможностей системы контроля несанкционированного доступа.

Значение прочности защиты для контролируемых ВКНСД можно определить на основе выражения:

PK ЛКС = PK PC U[1-(1-Р1)(1-Р2)(1-P3)(1-P5)]U[1-(1-P1)(1-P2)(1-P6)]U[1-(1-P1)(1-P2)(1-P3)(1-P7)]U[1-(1-P1)(1-P2)]U[1-(1-P1)(1-P2)(1-P8)(1-P5)]U[1-(1-P1)(1-P2)(1-P3)(1-P7)(1-P5)]

для неконтролируемых ВКНСД:

PШ ЛВС = PШ PCUP4UP9UP10

Размещено на Allbest.ru

...

Подобные документы

  • Организация компьютерной безопасности и защиты информации от несанкционированного доступа на предприятиях. Особенности защиты информации в локальных вычислительных сетях. Разработка мер и выбор средств обеспечения информационной безопасности сети.

    дипломная работа [1,6 M], добавлен 26.05.2014

  • Понятие государственной и коммерческой тайны. Основные нормативные документы по оценке информационной безопасности. Потенциальные угрозы безопасности информации в локальных вычислительных сетях. Криптография и ее применение. Защита от удаленных атак.

    курсовая работа [37,3 K], добавлен 24.03.2013

  • Этапы развития компьютерной техники во второй половине XX века. Понятие и различные конфигурации локальных сетей, цели их использования. Особенности глобальной сети, интегрированные приложения для работы в Интернете. Обеспечение безопасности данных.

    презентация [380,8 K], добавлен 08.11.2012

  • Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.

    дипломная работа [225,1 K], добавлен 16.06.2012

  • Пути несанкционированного доступа, классификация способов и средств защиты информации. Анализ методов защиты информации в ЛВС. Идентификация и аутентификация, протоколирование и аудит, управление доступом. Понятия безопасности компьютерных систем.

    дипломная работа [575,2 K], добавлен 19.04.2011

  • Сетевые операционные системы, их характеристика и виды. Функции программного обеспечения локальной компьютерной сети. Структура и функции прокси-сервера и межсетевого экрана. Базы данных в локальных сетях, электронная почта, системы удаленного доступа.

    курсовая работа [43,9 K], добавлен 21.07.2012

  • Исследование способов организации компьютерных сетей. Определение количества рабочих мест и места прокладки кабеля. Выбор сетевого оборудования. Проводные средства для передачи данных в локальных сетях. Защита от несанкционированного доступа к серверу.

    курсовая работа [975,8 K], добавлен 22.01.2016

  • Построение целостной системы защиты автоматизированной информационной системы. Особенности систем защиты от несанкционированного доступа на автономных компьютерах и рабочих станциях в локальных вычислительных сетях, защита от несанкционированного доступа.

    курсовая работа [1,5 M], добавлен 28.01.2010

  • Анализ программных средств несанкционированного доступа к информации в сетях ЭВМ и способов защиты. Возможности операционных систем по защите и разграничению доступа к информации и выбор самой защищенной. Планирование сети штаба объединения ВВС и ПВО.

    дипломная работа [1,0 M], добавлен 14.09.2010

  • Механизм разработки общих рекомендаций для исследуемого учреждения, по обеспечению защиты информации в системах обработки данных и разработке типового пакета документов по недопущению несанкционированного доступа к служебной и секретной информации.

    доклад [102,9 K], добавлен 30.04.2011

  • Определение в процессе исследования эффективного способа защиты информации, передающейся по Wi-Fi сети. Принципы работы Wi-Fi сети. Способы несанкционированного доступа к сети. Алгоритмы безопасности беспроводных сетей. Нефиксированная природа связи.

    курсовая работа [2,3 M], добавлен 18.04.2014

  • Проблема выбора между необходимым уровнем защиты и эффективностью работы в сети. Механизмы обеспечения защиты информации в сетях: криптография, электронная подпись, аутентификация, защита сетей. Требования к современным средствам защиты информации.

    курсовая работа [32,1 K], добавлен 12.01.2008

  • Проверка локальной вычислительной сети техникума (ТОГБОУ СПО "КИТ") с помощью сетевого сканера безопасности XSpider. Средства защиты информации. Отключение удаленного помощника. Система защиты информации от несанкционированного доступа SECRET NET.

    отчет по практике [1,4 M], добавлен 21.10.2015

  • Исторические аспекты возникновения и развития информационной безопасности. Средства обеспечения защиты информации и их классификация. Виды и принцип действия компьютерных вирусов. Правовые основы защиты информации от несанкционированного доступа.

    презентация [525,3 K], добавлен 09.12.2015

  • История развития компьютерной техники. Появление и распространение персональных компьютеров. Виды конфигурации локальных сетей. Интегрированные приложения для работы в Интернете. Правовое регулирование и проблемы информационной безопасности в России.

    презентация [474,3 K], добавлен 10.12.2011

  • Защита информации и ее виды. Роль информационной безопасности. Защита от несанкционированного доступа к информации. Физическая защита данных на дисках. Виды компьютерных вирусов. Защита от вредоносных программ и спамов (антивирусы, хакерские утилиты).

    презентация [160,9 K], добавлен 04.10.2014

  • Политика защиты информации. Возможные угрозы, каналы утечки информации. Разграничение прав доступа и установление подлинности пользователей. Обзор принципов проектирования системы обеспечения безопасности информации. Межсетевой экран. Антивирусная защита.

    дипломная работа [1,9 M], добавлен 05.11.2016

  • Защита от несанкционированного доступа к информации: биометрическая и с использованием паролей. Физическая защита данных на дисках. Понятие вредоносных и антивирусных программ. Компьютерные вирусы, сетевые черви, троянские программы и защита от них.

    презентация [2,4 M], добавлен 07.12.2014

  • Особенности передачи информации в локальных сетях и методах её отслеживания (нахождения). Анализ программного обеспечения, которое позволяет осуществлять сканирование ресурсов локальной сети. Специфика технологий, используемых для сканирования, их виды.

    курсовая работа [74,7 K], добавлен 02.12.2010

  • Общий анализ структуры локальной вычислительной сети военного назначения. Необходимость повышения защиты информации путем использования дополнительных средств защиты. Создание виртуальных защищенных сетей в рамках локальной компьютерной сети объекта.

    дипломная работа [1,2 M], добавлен 20.10.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.