Средства защиты информации в сети

Вопросы обеспечения защиты информации являются очень важными.

К физическим средствам защиты относятся:

· обеспечение безопасности помещений, где размещены серверы сети;

· ограничение посторонним лицам физического доступа к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;

· использование средств защиты от сбоев электросети.

Правила безопасности определяют такие свойства, как защита ресурсов одного пользователя от других и установление квот по ресурсам для предотвращения захвата одним пользователем всех системных ресурсов.

Обеспечение защиты информации от несанкционированного доступа является обязательной функцией распределенных (сетевых) операционных систем. В большинстве популярных систем гарантируется степень безопасности данных, соответствующая уровню С2 в системе стандартов США.

Безопасной считается такая система, которая «посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации».

В соответствии с системой стандартов США иерархия уровней безопасности помечает низший уровень безопасности как D, а высший – как А:

· В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов.

· Основными свойствами, характерными для С -систем, являются: наличие подсистемы учета событий, связанных с безопасностью, и избирательный контроль доступа. Уровень С делится на 2 подуровня: уровень С1, обеспечивающий защиту данных от ошибок пользователей, но не от действий злоумышленников, и более строгий уровень С2. На уровне С2 должны присутствовать средства секретного входа, обеспечивающие идентификацию пользователей путем ввода уникального имени и пароля перед тем, как им будет разрешен доступ к системе. Избирательный контроль доступа, требуемый на этом уровне, позволяет владельцу ресурса определить, кто имеет доступ к ресурсу и что он может с ним делать. Владелец делает это путем предоставляемых прав доступа пользователю или группе пользователей. Средства учета и наблюдения – обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью, или любые попытки создать, получить доступ или удалить системные ресурсы. Защита памяти заключается в том, что память инициализируется перед тем, как повторно используется. На этом уровне система не защищена от ошибок пользователя, но поведение его может быть проконтролировано по записям в журнале, оставленным средствами наблюдения.

· Системы уровня В основаны на помеченных данных и распределении пользователей по категориям, то есть реализуют мандатный контроль доступа. Каждому пользователю присваивается рейтинг защиты, и он может получать доступ к данным только в соответствии с этим рейтингом. Этот уровень в отличие от уровня С защищает систему от ошибочного поведения пользователя.

· Уровень А является самым высоким уровнем безопасности, он требует в дополнение ко всем требованиям уровня В выполнения формального, математически обоснованного доказательства соответствия системы требованиям безопасности.

Имеется две группы функций службы безопасности: идентификация (аутентификация) и авторизация. Идентификация проверяет идентичность объекта (например, пользователя или сервиса). Под авторизацией доступа будем понимать действия системы, которые допускают или не допускают доступ данного пользователя к данному файлу в зависимости от прав доступа пользователя и ограничений доступа, установленных для файла.

Чтобы обеспечить защиту информации, передающейся по сети, применяются различные схемы шифрования. Необходимость в такой защите вызвана тем, что при пересылке пакетов по сети не исключен перехват кадров. Большинство схем шифрования работает внутри прикладного и транспортного уровня модели OSI. Для обеспечения открытости, гибкости и эффективности вычислительных сетей Международной организацией стандартов утверждены определённые требования к организации взаимодействия между системами сети. Эти требования получили название OSI (Open System Interconnection) – «эталонная модель взаимодействия открытых систем».

Согласно требованиям эталонной модели, каждая система вычислительной сети должна осуществлять взаимодействие посредством передачи кадра данных. Образование и передача кадра осуществляется с помощью 7-ми последовательных действий, получивших название «уровень обработки» (табл.1.1).

Средством защиты информации (например, в Windows ХР) также является использованиие файловой системы с шифрованием (Encrypted File System, EFS), позволяющей хранить файлы и папки в зашифрованном виде. Шифрование данных выполняется незаметно для пользователя при открытии или сохранении документов. Кроме того, система не оставляет на диске незашифрованной информации после завершения работы с шифрованным файлом.

Благодаря этому пользователи решат проблему возможной утечки секретной информации при краже переносного компьютера или жесткого диска.

Таблица 1.1