Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Под безопасностью информационной системы (ИС) понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения информации, модификации или физического разрушения ее компонентов.
Среди угроз безопасности следует выделять случайные или преднамеренные.
Случайные возникают из-за выхода из строя аппаратных средств, неправильного действия работников и др.
Особое внимание уделяется преднамеренным (умышленным), которые в отличии от случайных преследуют цель нанесения ущерба управляемой системе или пользователям.
Умышленные угрозы подразделяются на:
• пассивные угрозы направлены на несанкционированное использование информационных ресурсов;
• активные угрозы имеют цель нарушения нормального функционирования ИС путем целенаправленного воздействия на ее компоненты.
К основным угрозам безопасности информации и нормального функционирования ИС относятся:
• утечка конфиденциальной информации;
• компрометация информации;
• несанкционированное использование информационных ресурсов;
• ошибочное использование информационных ресурсов;
• несанкционированный обмен информацией;
• отказ от информации;
• нарушение информационного обслуживания;
• незаконное использование привилегий.
Кроме вышеперечисленного, к угрозам безопасности информации относятся так называемые вредоносные программы, цель которых порча информации, классифицируются следующим образом:
• логические бомбы используются для искажения или уничтожения информации;
• троянский конь - программа, выполняющая в дополнение к основным функциям дополнительные, не описанные в документации;
• вирус - программы, которые могут заражать другие программы путем внесения в них модифицированной копии, обладающей способностью к дальнейшему размножению;
• червь - программа, распространяющаяся через сеть, и не оставляющая своей копии на магнитном носителе;
• захватчик паролей - это программы, специально предназначенные для воровства паролей и др.
ИНФОМАЦИОННАЯ БЕЗОПАСНОСТЬ В СЕТЯХ ЭВМ
Защита данных в компьютерных сетях становится одной из самых открытых проблем в современных информационно-вычислительных системах. На сегодняшний день сформулировано три базовых принципа информационной безопасности, задачей которой является обеспечение:
• целостности данных - защита от сбоев, ведущих к потере информации, или ее уничтожения.
• конфиденциальности информации.
• доступности информации для авторизованных пользователей.
Рассматривая проблемы, связанные с защитой данных в сети, возникает вопрос о классификации сбоев и несанкционированности доступа, что ведет к потере или нежелательному изменению данных.
Причины нарушения 3-х базовых принципов:
1. сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и т. д.);
2. потери информации (из-за инфицирования компьютерными вирусами, неправильного хранения архивных данных, нарушений прав доступа к данным);
3. некорректная работа пользователей и обслуживающего персонала.
Перечисленные нарушения работы в сети вызвали необходимость создания различных видов защиты информации. Условно их можно разделить на три класса:
• средства физической защиты;
• программные средства (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа);
• административные меры защиты (доступ в помещения, разработка стратегий безопасности фирмы и т. д.).
Одним из средств физической защиты являются системы архивирования и дублирования информации. В локальных сетях, где установлены один-два сервера, устройства, содержащие эти системы, устанавливается непосредственно в свободные слоты серверов. В крупных корпоративных сетях предпочтение отдается выделенному специализированному архивационному серверу, который автоматически архивирует информацию с жестких дисков серверов и рабочих станций в определенное время, установленное администратором сети, выдавая отчет о проведенном резервном копировании.
Для борьбы с компьютерными вирусами наиболее часто применяются антивирусные программы, реже - аппаратные средства защиты. В последнее время наблюдается тенденция к сочетанию программных и аппаратных методов защиты. Среди аппаратных устройств используются специальные антивирусные платы, вставленные в стандартные слоты расширения компьютера. Кроме антивирусных программ, проблема защиты информации в компьютерных сетях решается введением контроля доступа и разграничением полномочий пользователя. Для исключения неавторизованного проникновения в компьютерную сеть используется комбинированный подход - пароль + идентификация пользователя по персональному "ключу". "Ключ" представляет собой пластиковую карту (магнитная или со встроенной микросхемой - смарт-карта) или различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т. д. Серверы и сетевые рабочие станции, оснащенные устройствами чтения смарт-карт и специальным программным обеспечением, значительно повышают степень защиты от несанкционированного доступа. Смарт-карты управления доступом позволяют реализовать такие функции, как контроль входа, доступ к устройствам ПК, к программам, к файлам и командам.
Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos, в основу которой входят три компонента:
-база данных, которая содержит информацию по всем сетевым ресурсам, пользователям, паролям, информационным ключам и т. д.;
-авторизационный сервер (authentication server), задачей которого является обработка запросов пользователей на предоставление того или иного вида сетевых услуг. Получая запрос, он обращается к базе данных и определяет полномочия пользователя на совершение определенной операции. Пароли пользователей по сети не передаются, тем самым, повышая степень защиты информации;
-Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера "пропуск" с именем пользователя и его сетевым адресом, временем запроса, а также уникальный "ключ". Пакет, содержащий "пропуск", передается также в зашифрованном виде. Сервер выдачи разрешений после получения и расшифровки "пропуска" проверяет запрос, сравнивает "ключи" и при тождественности дает "добро" на использование сетевой аппаратуры или программ.
По мере расширения деятельности предприятий, роста численности абонентов и появления новых филиалов, возникает необходимость организации доступа удаленных пользователей (групп пользователей) к вычислительным или информационным ресурсам к центрам компаний. Для организации удаленного доступа чаще всего используются кабельные линии и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода. В мостах и маршрутизаторах применяется сегментация пакетов - их разделение и передача параллельно по двум линиям, - что делает невозможным "перехват" данных при незаконном подключении "хакера" к одной из линий. Используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки "перехваченных" данных. Мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленным пользователям не все ресурсы центра компании могут быть доступны.
В настоящее время разработаны специальные устройства контроля доступа к вычислительным сетям по коммутируемым линиям. Примером может служить, разработанный фирмой AT&T модуль Remote Port Securiti Device (PRSD), состоящий из двух блоков размером с обычный модем: RPSD Lock (замок), устанавливаемый в специальном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют устанавливать несколько уровней защиты и контроля доступа:
-шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей;
-контроль доступа с учетом дня недели или времени суток.
Прямое отношение к теме безопасности информации имеет стратегия создания резервных копий и восстановления баз данных (БД). Обычно эти операции выполняются в нерабочее время в пакетном режиме. В большинстве СУБД резервное копирование и восстановление данных разрешаются только пользователям с широкими полномочиями (права доступа на уровне системного администратора или владельца БД), указывать столь ответственные пароли непосредственно в файлах пакетной обработки нежелательно. Чтобы не хранить пароль в явном виде, рекомендуется написать простенькую прикладную программу, которая сама бы вызывала утилиты копирования/восстановления. В таком случае системный пароль должен быть "зашит" в код указанного приложения. Недостатком данного метода является то, что всякий раз при смене пароля эту программу следует перекомпилировать.
Дата публикования: 2014-11-28; Прочитано: 381 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!