Информационный рынок

Каждый сбой работы компьютерной сети это не только “моральный”  ущерб для работников предприятия  и сетевых администраторов. По мере развития технологий платежей электронных, “безбумажного” документооборота и  других, серьезный сбой локальных  сетей может просто парализовать работу целых корпораций и банков, что приводит к ощутимым материальным потерям. Не случайно что защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике. На сегодняшний день сформулировано три базовых принципа информационной безопасности, которая должна обеспечивать:

целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных;

конфиденциальность информации;

доступность для всех авторизованных пользователей.

Предупреждение  компьютерных преступлений.

Технические меры защити - резервирование особо важных компьютерных подсистем, организацию вычислительных сетей  с возможностью перераспределения  ресурсов в случае нарушения работоспособности  отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку  резервных систем электропитания, оснащение  помещений замками, установку сигнализации.

Организационные меры защиты - охрана вычислительного центра, тщательный подбор персонала, организацию обслуживания вычислительного центра посторонней  организацией или лицами, универсальность  средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые  должны обеспечить безопасность центра, выбор места расположения центра.

Правовые меры - разработка норм, устанавливающих ответственность  за компьютерные преступления, защиту авторских прав программистов, совершенствование  уголовного и гражданского законодательства, а также судопроизводства.

Защита данных в компьютерных сетях.

При рассмотрении проблем  защиты данных в сети прежде всего возникает вопрос о классификации сбоев и нарушений прав доступа, которые могут привести к уничтожению или нежелательной модификации данных. Среди таких потенциальных “угроз” можно выделить :

Сбои оборудования :

сбои кабельной системы;

перебои электропитания;

сбои дисковых систем;

сбои систем архивации  данных;

сбои работы серверов, рабочих  станций,сетевых карт и т.д.

2. Потери информации из-за  некорректной работы ПО :

потеря или изменение  данных при ошибках ПО;

потери при заражении  системы компьютерными вирусами;

3. Потери, связанные с  несанкционированным доступом :

несанкционированное копирование, уничтожение или подделка информации;

ознакомление с конфиденциальной информацией, составляющей тайну, посторонних  лиц;

4. Потери информации, связанные  с неправильным хранением архивных  данных.

5. Ошибки обслуживающего  персонала и пользователей :

случайное уничтожение или  изменение данных;

некорректное использование  программного и аппаратного обеспечения, ведущее к уничтожению или  изменению данных.

В зависимости от возможных  видов нарушений работы сети многочисленные виды защиты информации объединяются в три основных класса :

средства физической защиты, включающие средства защиты кабельной системы, систем электропитания, средства архивации, дисковые массивы и т.д.;

программные средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа;

административные  меры защиты, включающие контроль доступа в помещения, разработку стратегии безопасности фирмы, планов действий в чрезвычайных ситуациях и т.д.

Следует отметить, что подобное деление достаточно условно, поскольку  современные технологии развиваются  в направлении сочетания программных  и аппаратных средств защиты.

Физическая защита данных.

Кабельная система, по данным различных исследований, является причиной более чем половины всех отказов сети. В связи с этим кабельной системе должно уделяться особое внимание с самого момента проектирования сети.

Наилучшим образом избавить себя от “головной боли” по поводу неправильной прокладки кабеля является использование структурированных  кабельных систем, использующих одинаковые кабели для передачи данных в локальной  вычислительной сети, локальной телефонной сети, передачи видеоинформации или  сигналов от датчиков пожарной безопасности или охранных систем. К структурированным  кабельным системам относятся, например, SYSTIMAX SCS фирмы AT&T, OPEN DECconnect компании Digital, кабельная система корпорации IBM.

Понятие “структурированность”  означает, что кабельную систему  здания можно разделить на несколько  уровней в зависимости от назначения и месторасположения компонентов  кабельной системы. Например, кабельная  система SYSTIMAX SCS состоит из :

внешней подсистемы (campus subsystem) - состоит из медного оптоволоконного кабеля, устройств электрической защиты и заземления и связывает коммуникационную и обрабатывающую аппаратуру в здании;

аппаратных (equipment room) - размещение различного коммуникационного оборудования, предназначенного для обеспечения работы административной подсистемы;

административной подсистемы (administrative subsystem) – входят кабельная система (неэкранированная витая пара и оптоволокно), устройства коммутации и сопряжения магистрали и горизонтальной подсистемы, соединительные шнуры, маркировочные средства и т.д.;

магистрали (backbone cabling) - состоит из медного кабеля или комбинации медного и оптоволоконного кабеля и вспомогательного оборудования;

горизонтальной подсистемы (horizontal subsystem) - на базе витого медного кабеля расширяет основную магистраль от входных точек административной системы этажа к розеткам на рабочем месте;

Рабочих мест (work location subsystem)- включает в себя соединительные шнуры, адаптеры, устройства сопряжения и обеспечивает механическое и электрическое соединение между оборудованием рабочего места и горизонтальной кабельной подсистемы.

Наибольшее распространение  в настоящее время получили следующие  стандарты кабельных систем :

Спецификации  корпорации IBM, которые предусматривают девять различных типов кабелей. Наиболее распространенным среди них является кабель IBM type 1 - экранированная витая пара (STP) для сетей Token Ring.

Система категорий  Underwriters Labs (UL) представлена этой лабораторией совместно с корпорацией Anixter. Система включает пять уровней кабелей.

Стандарт EIA/TIA 568> был разработан совместными усилиями UL, American National Standarts Institute (ANSI) и Electronic Industry Association/Telecommunications Industry Association, подгруппой TR41.8.1 для кабельных систем на витой паре (UTP).

В дополнение к стандарту EIA/TIA 568 существует документ DIS 11801, разработанный International Standard Organization (ISO) и International Electrotechnical Commission (IEC). Данный стандарт использует термин “категория” для отдельных кабелей и термин “класс” для кабельных систем.

Необходимо также отметить, что требования стандарта EIA/TIA 568 относятся  только к сетевому кабелю. Но реальные системы, помимо кабеля, включают также  соединительные разъемы, розетки, распределительные  панели и другие элементы. Использования  только кабеля категории 5 не гарантирует  создание кабельной системы этой категории. В связи с этим все  выше перечисленное оборудование должно быть также сертифицировано на соответствие данной категории кабельной системы.

Программные и программно-аппаратные методы защиты.

Наиболее распространенными  методами защиты от вирусов по сей  день остаются различные антивирусные программы.

Однако в качестве перспективного подхода к защите от компьютерных вирусов в последние годы все  чаще применяется сочетание программных  и аппаратных методов защиты. Среди  аппаратных устройств такого плана  можно отметить специальные антивирусные платы, которые вставляются в  стандартные слоты расширения компьютера. Корпорация Intel в 1994 году предложила перспективную технологию защиты от вирусов в компьютерных сетях. Flash-память сетевых адаптеров Intel EtherExpress PRO/10 содержит антивирусную программу, сканирующую все системы компьютера еще до его загрузки.

Защита от несанкционированного доступа.

Помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение  полномочий пользователей.

В компьютерных сетях при  организации контроля доступа и  разграничения полномочий пользователей  чаще всего используются встроенные средства сетевых операционных систем. Так, крупнейший производитель сетевых  ОС - корпорация Novell - в своем последнем продукте NetWare 4.1 предусмотрел помимо стандартных средств ограничения доступа, таких, как система паролей и разграничения полномочий, ряд новых возможностей, обеспечивающих первый класс защиты данных. Новая версия NetWare предусматривает, в частности, возможность кодирования данных по принципу “открытого ключа” (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов.

В то же время в такой  системе организации защиты все  равно остается слабое место: уровень  доступа и возможность входа  в систему определяются паролем. Для исключения возможности неавторизованного  входа в компьютерную сеть в последнее  время используется комбинированный  подход - пароль + идентификация пользователя по персональному “ключу”.

В качестве “ключа” может  использоваться пластиковая карта (магнитная или со встроенной микросхемой - smart-card) или различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза или отпечатков пальцев, размерам кисти руки и так далее.

Оснастив сервер или сетевые  рабочие станции, например, устройством  чтения смарт-карточек и специальным программным обеспечением, можно значительно повысить степень защиты от несанкционированного доступа. В этом случае для доступа к компьютеру пользователь должен вставить смарт-карту в устройство чтения и ввести свой персональный код. Программное обеспечение позволяет установить несколько уровней безопасности, которые управляются системным администратором. Возможен и комбинированный подход с вводом дополнительного пароля, при этом приняты специальные меры против “перехвата” пароля с клавиатуры. Этот подход значительно надежнее применения паролей, поскольку, если пароль подглядели, пользователь об этом может не знать, если же пропала карточка, можно принять меры немедленно.

Смарт-карты управления доступом позволяют реализовать, в частности, такие функции, как контроль входа, доступ к устройствам персонального  компьютера, доступ к программам, файлам и командам. Кроме того, возможно также осуществление контрольных  функций, в частности, регистрация  попыток нарушения доступа к  ресурсам, использования запрещенных  утилит, программ, команд DOS.

Одним из удачных примеров создания комплексного решения для  контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах  защиты, стала система Kerberos. В основе этой схемы авторизации лежат три компонента:

база данных, содержащая информацию по всем сетевым ресурсам, пользователям, паролям, шифровальным ключам и т.д.;

авторизационный сервер (authentication server), обрабатывающий все запросы пользователей на предмет получения того или иного вида сетевых услуг.

Авторизационный сервер, получая запрос от пользователя, обращается к базе данных и определяет, имеет ли пользователь право на совершение данной операции. Примечательно, что пароли пользователей по сети не передаются, что также повышает степень защиты информации;

ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера “пропуск”, содержащий имя пользователя и его сетевой адрес, время запроса и ряд других параметров, а также уникальный сессионный ключ. Пакет, содержащий “пропуск”, передается также в зашифрованном по алгоритму DES виде. После получения и расшифровки “пропуска” сервер выдачи разрешений проверяет запрос и сравнивает ключи и затем дает “добро” на использование сетевой аппаратуры или программ.

Среди других подобных комплексных  схем можно отметить разработанную  Европейской Ассоциацией Производителей Компьютеров (ECMA) систему Sesame (Secure European System for Applications in Multivendor Environment), предназначенную для использования в крупных гетерогенных сетях.

Защита информации при удаленном доступе.

По мере расширения деятельности предприятий, роста численности  персонала и появления новых  филиалов, возникает необходимость  доступа удаленных пользователей (или групп пользователей) к вычислительным и информационным ресурсам главного офиса компании, где чаще всего  для организации удаленного доступа  используются кабельные линии (обычные  телефонные или выделенные) и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода.

В частности, в мостах и  маршрутизаторах удаленного доступа применяется сегментация пакетов - их разделение и передача параллельно по двум линиям, что делает невозможным “перехват” данных при незаконном подключении “хакера” к одной из линий. К тому же используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможности расшифровки “перехваченных” данных. Кроме того, мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленные пользователи будут ограничены в доступе к отдельным ресурсам сети главного офиса.

Разработаны и специальные  устройства контроля доступа к компьютерным сетям по коммутируемым линиям. Например, фирмой AT&T предлагается модуль Remote Port Security Device (PRSD), представляющий собой два блока размером с обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют установить несколько уровней защиты и контроля доступа, в частности: