загрузка...

трусы женские
загрузка...

Мережа ЕОМ

Інформаційна безпека в мережах ЕОМ
Захист даних в комп'ютерних мережах стає однією з найбільш відкритих проблем в
сучасних інформаційно-обчислювальних системах. Насьогоднішній день
сформульовано три базові принципи інформаційної безпеки, завданням якої
є забезпечення:
- цілісності даних - захист від збоїв, що ведуть до втрати інформації або її
знищення;
- Конфіденційності інформації;
- Доступності інформації для авторизованих користувачів.
Розглядаючи проблеми, пов'язані з захистом даних в мережі, виникає питання про
класифікації збоїв і несанкционированом доступу, що веде до втрати або
небажаного зміни даних. Це можуть бути збої устаткування (кабельної
системи, дискових систем, серверів, робочих станцій ит.д.), втрати інформації
(через інфікування комп'ютерними вірусами, неправильного зберігання архівних
даних, порушень прав доступу до даних), некоректна робота користувачів і
обслуговуючого персоналу. Перелічені порушення роботи в мережі викликали
необхідність створення різних видів защітиінформаціі. Умовно їх можна
розділити на три класи:
- засоби фізичного захисту;
- Програмні засоби (антивірусні програми, системи розмежування
повноважень, програмні засоби контролю доступу);
-Адміністративні Заходи захисту (доступ до приміщень, розробка стратегій
безпеки фірми і т.д.).
Одним із засобів фізичного захисту є системи архівування і дублювання
інформації. У локальних мережах, де встановлені один-двасервера, найчастіше
система встановлюється безпосередньо у вільні слоти серверів. У великих
корпоративних мережах перевага віддається выделенномуспециализированному
архіваціонному серверу, який автоматично архівує інформацію з жорстких
дисків серверів і робочих станцій в певний час, встановлений
адміністратором мережі, видаючи звіт про проведене резервному копіюванні.
Найбільш поширеними моделями архівіруваних серверовявляются Storage
Express System корпорації Intel ARCserve for Windows.
Для боротьби з комп'ютерними вірусами найбільш часто застосовуються антивірусні
програми, рідше - апаратні засоби захисту. Однак, останнім часом
спостерігається тенденція до поєднання програмних і апаратних методів захисту. Серед
апаратних пристроїв використовуються спеціальниеантівірусние плати, вставлені в
стандартні слоти розширення комп'ютера. Корпорація Intel запропонувала
перспективну технологію захисту від вірусів у мережах, суть якої полягає в
скануванні систем комп'ютерів ще до їх завантаження. Крім антивірусних програм,
проблема захисту інформації вкомпьютерних мережах вирішується введенням контролю
доступу та розмежуванням полномочійпользователя. Для цього використовуються
вбудовані засоби мережевих операційних систем, найбільшим виробником
яких є корпораціяNovell. В системі, наприклад, NetWare, окрім
стандартних засобів обмеження доступу (зміна паролів, розмежування
повноважень), передбачена возможностькодірованія даних за принципом "відкритого
ключа "з формуванням електронного підпису для переданих по мережі пакетів.
Однак, така система захисту слабомощна, т.к. рівень доступу і можливість
входу в систему визначаються паролем, який легкоподсмотреть або підібрати.
Для виключення неавторизованого проникнення в комп'ютерну мережу використовується
комбінований підхід - пароль + ідентифікація користувача по персональному
"ключу". "Ключ" являє собою пластикову карту (магнітна або совстроенной
мікросхемою - смарт-карта) або різні пристрої для ідентифікації особистості
по біометричної інформації - по райдужною оболочкеглаза, відбитками пальців,
розмірам кисті руки і т.д. Сервери і мережеві робочі станції, оснащені
устройствамічтенія смарт-карт і спеціальним программнимобеспеченіем, значно
підвищують ступінь захисту від несанкціонованого доступу.
Смарт-карти управління доступом дозволяють реалізувати такі функції, як
контроль входу, доступ до пристроїв ПК, до програм, файлів і команд. Одним
з вдалих прикладів створення комплексного рішення для контролю доступу в
відкритих системах, заснованого як на програмних, так і нааппаратних засобах
захисту, стала система Kerberos, в основу якої входять три компонента:
- база даних, яка містить інформацію по всіх мережних ресурсів,
користувачам, паролів, інформаційним ключам і т.д .;
- Авторизаційний сервер (authentication server), завданням якого є
обробка запитів користувачів на предоставленіетого чи іншого виду мережевих
послуг. Отримуючи запит, він звертається до бази даних і визначає повноваження
користувача на вчинення певної операціі.Паролі користувачів по мережі не
передаються, тим самим, підвищуючи ступінь захисту інформації;
-Ticket-Granting server (сервер видачі дозволів) отримує від авторизационного
сервера "пропуск" з іменемпользователя і його мережевою адресою, часом запиту,
а також унікальний "ключ". Пакет, що містить "пропуск", передається також
взашіфрованном вигляді. Сервер видачі дозволів після отримання та розшифровки
"пропуску" перевіряє запит, порівнює "ключі" і прітождественності дає
"добро" на використання мережевої апаратури або програм.
У міру розширення діяльності підприємств, зростання чисельності абонентів і
появи нових філій, виникає необходімостьорганізаціі доступу віддалених
користувачів (груп користувачів) до обчислювальних або інформаційним ресурсам
до центрів компаній. Для організацііудаленного доступу найчастіше використовуються
кабельні лінії та радіоканали. У зв'язку з цим захист інформації, переданої по
каналам віддаленого доступу, вимагає особливого підходу. В мостах і маршрутизаторах
віддаленого доступу застосовується сегментація пакетів - їх поділ і передача
паралельно по двумлініям, - що робить неможливим "перехоплення" даних при
незаконному підключенні "хакера" до однієї з ліній. Використовувана при
передачеданних процедура стиснення переданих пакетів гарантує неможливість
розшифровки "перехоплених" даних. Мости і маршрутизатори удаленногодоступа
можуть бути запрограмовані таким чином, що віддаленим користувачам не все
ресурси центру компанії можуть бути доступні.
В даний час розроблені спеціальні пристрої контролю доступу до
обчислювальним мережам по комутаційних лініях. Прикладом можеслужити,
розроблений фірмою AT & T модуль Remote Port Securiti Device (PRSD), що складається
з двох блоків розміром зі звичайний модем: RPSD Lock (замок), що встановлюється в
центральному офісі, і RPSD Key (ключ), що підключається до модему віддаленого
користувача. RPSD Key і Lock дозволяють встановлювати несколькоуровней захисту та
контролю доступу:
- шифрування даних, переданих по лінії за допомогою генеруються цифрових
ключів;
- Контроль доступу з урахуванням дня тижня або часу доби.
Пряме відношення до теми безпеки має стратегія створення резервних копій і
відновлення баз даних. Зазвичай ці операціівиполняются в неробочий час в
пакетному режимі. У більшості СУБД резервне копіювання і відновлення
даних дозволяються тільки користувачам з шірокіміполномочіямі (права доступу на
рівні системного адміністратора, або власника БД), вказувати настільки
відповідальні паролі безпосередньо в файлах пакетнойобработкі небажано.
Щоб не зберігати пароль в явному вигляді, рекомендується написати простеньку
прикладну програму, яка сама б викликала
утілітикопірованія / відновлення. В такому випадку системний пароль повинен бути
"зашитий" в код зазначеного додатка. Недоліком даного методаявляется те, що
всякий раз прісмене пароля цю програму слід перекомпілювати.
Стосовно до засобів захисту від НСД визначені сім класів захищеності
(1-7) засобів обчислювальної техніки (СВТ) і девятьклассов
(1А, 1Б, 1В, 1Г, 1Д, 2А, 2Б, 3А, 3Б) автоматизованих систем (АС). Для СВТ самим
низьким є сьомий клас, а для АС - 3Б.
Розглянемо більш докладно наведені сертифіковані системи захисту від НСД.
Система "КОБРА" відповідає вимогами 4-ого класу захищеності (для СВТ),
реалізує ідентифікацію і разграніченіеполномочій користувачів і
криптографічне закриття інформації, фіксує спотворення еталонного стану
робочого середовища ПК (викликані вірусами, ошібкаміпользователей, технічними збоями
і т.д.) і автоматично відновлює основні компоненти операційного середовища
терміналу.
Підсистема розмежування повноважень захищає інформацію на рівні логічних
дисків. Користувач отримує доступ копределенной дискам А, В, С, ..., Z. Все
абоненти розділені на 4 категорії:
- надкористувач (доступні всі дії в системі);
-администратор (Доступні всі дії в системі, за винятком зміни
імені, статусу іполномочій суперкористувача, введення або виключення його зі списку
користувачів);
- Програмісти (може змінювати особистий пароль);
-коллега (Має право на доступ до ресурсів, встановленим йому
суперкористувачем).
Крім санкціонування та розмежування доступу до логічних дисків,
адміністратор встановлює кожному користувачеві полномочіядоступа до
послідовному та паралельного портів. Якщо послідовний порт закритий, то
неможлива передача інформації з одного комп'ютера на інший. Привідсутності
доступу до паралельного порту, неможливий висновок на принтер.



загрузка...
ur.co.ua

енциклопедія  з сиру  аджапсандалі  ананаси  узвар