Лекция 24 Обеспечение безопасности информации в лвс
В вычислительных сетях сосредотачивается информация, исключительное право на пользование которой принадлежит определенным лицам или группам лиц, действующим в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вмешательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в вычислительных сетях должны приниматься меры по защите вычислительных ресурсов и средств связи от их несанкционированного использования, то есть должен быть исключен доступ к сети лиц, не имеющих на это права. Физическая защита системы и данных может осуществляться только в отношении рабочих компьютеров и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.
Исследования практики функционирования систем обработки данных и вычислительных сетей показали, что существует много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:
-
чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
-
копирование носителей информации и файлов информации с преодо- лением мер защиты;
-
маскировка под зарегистрированного пользователя;
-
маскировка под запрос системы;
-
использование программных ловушек;
-
использование недостатков операционной системы;
-
незаконное подключение к аппаратуре и линиям связи;
-
злоумышленный вывод из строя механизмов защиты;
-
внедрение и использование компьютерных вирусов и др.
Обеспечение безопасности достигается комплексом организационных,
организационно-технических и программных мер.
Организационные меры защиты:
-
ограничение доступа в помещения, в которых происходит подготовка и обработка информации;
-
допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
-
хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;
-
исключение просмотра посторонними лицами содержания обрабатываемых материалов на дисплее, принтере, в распечатках и т.д.;
-
использование криптографических кодов при передаче по каналам связи ценной информации;
-
уничтожение красящих лент от принтеров, бумаги и иных материалов, содержащих фрагменты ценной информации.
Организационно-технические меры защиты:
-
осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника питания или через специальные сетевые фильтры;
-
установка на дверях помещений кодовых замков;
-
использование для отображения информации при вводе/выводе жидкокристаллических или плазменных дисплеев, а для получения твердых копий - струйных или термопринтеров, поскольку дисплей с ЭЛТ дает такое высокочастотное излучение, что его изображение с экрана можно принимать на расстоянии нескольких сотен метров;
-
уничтожение информации, хранящейся в ПЗУ и на магнитных дисках, при списании или отправке их в ремонт;
-
установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;
-
охрана территорий и помещений с помощью экранирования машинных залов металлическими листами, установки систем наблюдения и организации контрольно-пропускных систем.
Технические средства защиты.
Защита информации в сетях и вычислительных системах с помощью технических средств реализуется на основе организации доступа к памяти с помощью:
-
контроля доступа к различным уровням памяти компьютеров;
-
блокировки данных и ввода ключей;
-
выделения контрольных битов для записей с целью идентификации.
Архитектура программных средств защиты информации включает:
-
контроль безопасности, в том числе контроль регистрации вхождения в систему, фиксацию в системном журнале, контроль действий пользователя;
-
реакцию (в том числе звуковую) на нарушение системы защиты контроля доступа к ресурсам сети;
-
контроль мандатов доступа;
-
формальный контроль защищенности операционных систем (базовой общесистемной и сетевой);
-
контроль алгоритмов защиты;
-
проверку и подтверждение правильности функционирования технического и программного обеспечения.
Для надежной защиты информации и выявления случаев неправомочных действий проводится регистрация работы системы: создаются специальные дневники и протоколы, в которых фиксируются все действия, имеющие отношение к защите информации в системе. Фиксируются время поступления заявки, ее тип, имя пользователя и терминала, с которого инициализируется заявка. При отборе событий, подлежащих регистрации, необходимо иметь в виду, что с ростом количества регистрируемых событий затрудняется просмотр дневника и обнаружение попыток преодоления защиты. В этом случае можно применить программный анализ и фиксировать сомнительные события.
Используются также специальные программы для тестирования системы защиты. Периодически или в случайно выбранное время они проверяют работоспособность аппаратных и программных средств защиты. К отдельной группе мер по обеспечению сохранности информации и выявлению несанкционированных запросов относятся программы обнаружения нарушений э режиме реального времени. Программы данной группы формируют специальный сигнал при регистрации событий, которые могут привести к неправомерным действиям по отношению к защищаемой информации. Сигнал может содержать данные о характере нарушения, месте его возникновения и другие характеристики. Кроме того, программы могут запретить доступ к защищаемой информации или симулировать такой режим работы (например, моментальная загрузка устройств ввода-вывода), который позволит выявить нарушителя и задержать его соответствующей службой.
Один из распространенных способов защиты - явное указание секретности выводимой информации. В системах, поддерживающих несколько уровней секретности, вывод на экран терминала или печатающего устройства любой единицы информации (таблицы, записи или файла) сопровождается специальным грифом с указанием уровня секретности. Это требование реализуется с помощью соответствующих программных средств.
В отдельную группу выделены средства защиты от несанкционированного использования программного обеспечения. Они приобретают особое значение вследствие широкого распространения персональных компьютеров. Исследования, проведенные зарубежными экспертами, свидетельствуют, что на одну проданную копию оригинальной программы приходится минимум одна нелегальная копия. А для особо популярных программ это соотношение достигает 1:7.
Особое внимание уделяется законодательным средствам, регулирующим использование программных продуктов. В соответствии с Законом РФ об информации, информатизации и защите информации от 25 января 1995 г. предусматриваются санкции к физическим и юридическим лицам за нелегальное приобретение и использование программных средств.
Большую опасность представляют компьютерные вирусы, заражающие другие программы. Когда зараженная программа начинает работу, то сначала управление получает вирус, который находит и заражает другие программы, а также выполняет ряд вредных действий: "засоряет" активную память, портит файлы или очищает жесткий диск от информации и т.д. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает как обычно. Однако по прошествии некоторого времени на компьютере может происходить следующее:
-
некоторые программы перестают работать или работают не корректно;
-
на экран выводятся посторонние сообщения, символы, рисунки и т.д.;
-
работа компьютера существенно замедляется;
-
некоторые файлы или файловая система полностью оказываются ис- порченными и т.д.
Если не принимать мер профилактики и борьбы с вирусами, то последствия могут оказаться плачевными.
Комплексное решение вопросов безопасности вычислительной системы или сети принято называть архитектурой безопасности, где выделяются угрозы безопасности, службы безопасности и механизмы обеспечения безопасности. Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую и обрабатываемую информацию, а также программные и аппаратные средства. Угрозы подразделяются на случайные (непреднамеренные) и умышленные. Источником первых могут быть ошибки в ПО, ошибочные действия пользователей, выход из строя аппаратных средств и др.
Умышленные угрозы преследуют цель нанесения ущерба абонентам сети или пользователям вычислительных систем и подразделяются на активные и пассивные. Пассивные угрозы не разрушают информационные ресурсы и не оказывают влияния на функционирование систем и сетей. Их задача -несанкционированно получить информацию. Активные угрозы преследуют цель нарушать нормальный процесс функционирования путем разрушения или радиоэлектронного подавления линий связи, вывод из строя компьютеров или операционных систем, искажение баз данных и т.д.
К основным угрозам безопасности относятся: раскрытие конфиденциальной информации, несанкционированное использование ресурсов вычислительных систем, отказ от информации.
Создаваемая служба безопасности вычислительной сети призвана обеспечить:
-
подтверждение подлинности того, что объект, который предлагает се- бя в качестве отправителя информации в сети, действительно им является;
-
целостность информации, выявляя искажения, вставки, повторы и уничтожение данных, передаваемых в сетях, а также последующее восста- новление данных;
-
секретность всех данных, передаваемых по каналам вычислительной системы;
-
нейтрализацию попыток несанкционированного использования вы числительных ресурсов. При этом контроль доступа может быть либо изби- рательным, то есть распространяться только на некоторые виды доступа к ресурсам, например, на обновление информации в базе данных, либо пол- ным;
-
нейтрализацию угрозы отказа от информации со стороны ее отправи- теля и/или получателя;
-
получателя информации доказательствами, которые исключают по пытки отправителя отрицать факты передачи указанной информации или ее содержания.
К механизмам обеспечения безопасности относятся: идентификация пользователей, шифрование данных, электронная подпись, управление маршрутизацией и др.
Идентификация пользователей. Право доступа к определенным вычислительным и информационным ресурсам, программам и наборам данных, а также вычислительной сети в целом предоставляется ограниченному контингенту лиц. Для защиты вычислительной сети от несанкционированного доступа применяется идентификация пользователей (сообщений), позволяющая устанавливать конкретного пользователя, работающего за терминалом и принимающего либо отправляющего сообщения. Идентификация
пользователей чаще всего производится с помощью паролей. Пароль - совокупность символов, известных подключенному к сети абоненту, - вводится им в начале сеанса взаимодействия с сетью, а иногда и в конце сеанса (в особо ответственных случаях пароль нормального выхода из сети может отличаться от входного). Наконец, система может предусматривать ввод пароля для подтверждения правомочности пользователя через определенные кванты времени.
Для защиты средств идентификации пользователей от неправомочного использования пароли передаются и сравниваются в зашифрованном виде, что исключает возможность прочтения паролей без знания ключей защиты.
Для идентификации пользователей могут использоваться и физические методы, например карточка с магнитным покрытием, на которой записывается персональный идентификатор пользователя, карточки с встроенным чипом. Для уменьшения риска злоупотреблений карточки, как правило, используются с каким-либо другим способом идентификации пользователя, например, с коротким паролем. Наиболее надежным (хотя и наиболее сложным) является способ идентификации пользователя на основе анализа его индивидуальных параметров: отпечатков пальцев, рисунка линий ладони рук, радужной оболочки глаз и т.д.
Шифрование данных. Секретность данных обеспечивается методами криптографии, то есть методами преобразования данных из общепринятой формы в кодированную (шифрование) и обратного преобразования (дешифрование) на основе правил, известных только взаимодействующим абонентам сети. Криптография применяется для защиты передаваемых данных, а также информации, хранимой в базах данных, в пакетах магнитных дисков, на гибких магнитных дисках и лентах и т.д.
К криптографическим средствам предъявляются требования сохранения секретности, даже когда известна сущность алгоритмов шифрования-дешифрования. Секретность обеспечивается введением в алгоритмы специальных ключей (кодов). Зашифрованный текст превращается в исходный в том случае, когда и в процессе шифрования и дешифрования использовался один и тот же ключ. Область значений ключа выбирается столь большой, что практически исключается возможность его определения путем простого перебора возможных значений.
- Федеральное агентство железнодорожного транспорта уральский государственный университет путей сообщения
- Оглавление
- Лекция 1. Информации, ее виды и свойства. Информатизация общества.
- Лекция 2. Понятие об информатике и информационных технологиях.
- Лекция 13. Классификация компьютеров…………………………………………....95
- Введение
- Лекция 1
- Информация ее виды и свойства.
- Информатизация общества. Влияние информатизации
- На изменение условий труда и характер производства.
- Понятие об информатике и информационных технологиях. Рынок информационных продуктов и услуг. Индустрия информатики.
- Связь между информацией, сообщением и сигналом. Виды сигналов.
- Процессы восприятия, сбора и передачи информации в информационных системах
- Системы счисления
- Измерение количества информации и ее кодирование
- Представление чисел при обработке в компьютере
- Информационные системы, их назначение, Структуры и признаки классификации
- Понятие об экспертных системах
- Понятие об алгоритмах
- Понятие об алгебре логики
- Классификация компьютеров
- Основные принципы работы компьютера.
- Архитектура, конфигурация и организация эвм
- Информационная модель эвм
- Физический и логический уровни работы с компьютером
- Организация взаимодействия устройств персонального компьютера
- Принципы хранения информации в компьютере
- Обработка информации в компьютере. Классификация программ
- Понятие о телеобработке и вычислительных сетях
- Классификация сетей. Способы коммутации и передачи данных
- Сообщение (данные)
- Методы доступа в лвс
- Лекция 24 Обеспечение безопасности информации в лвс
- Лекция 25 Глобальные сети. Сеть Интернет
- Службы или ресурсы Интернета
- Поиск информации в Интернете. Классификация web – сайтов
- Информатика
- 620034, Екатеринбург, Колмогорова, 66, УрГупс