Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Ekzamen_GOS.docx
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
8.21 Mб
Скачать

158.Защита информации от несанкционированного доступа в компьютерных сетях.

Выделим основные методы создания безопасных распределенных КС:

  • использование выделенных каналов связи путем физического соединения каждой пары объектов распре­деленной КС или применения топологии «звезда» и сетевого коммутатора, через который осуществляется связь между объектами;

  • разработка дополнительных средств идентификации объектов и применение средств шифрования передаваемой по каналу ин­формации;

  • контроль маршрута поступающих сообщений;

  • контроль создания и использования виртуального соединения между объектами распределенной КС (на­пример, ограничение числа запросов от одного из объектов и разрыв соединения после истечения определен­ного интервала времени);

  • разработка распределенной КС с полной информацией об ее объектах, если это возможно, или организа­ция взаимодействия между объектом КС и поисковым сервером только с созданием виртуального канала.

Среди программно-аппаратных и программных средств обеспечения информационной безопасности рас­пределенных КС можно выделить: межсетевые экраны (МСЭ), средства анализа защищенности и средства обнаружения атак.

Межсетевой экран или брандмауэр - это система или комбинация систем, позволяющих разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Чаще всего эта граница проводится между локальной сетью и INTERNET, хотя ее можно провести и внутри локальной сети. Брандмауэр, таким образом, пропускает через себя весь трафик. Для каж­дого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил.

Обычно в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и со­ответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь счета пользователей (а значит и потенциальных дыр), только счет администратора. Некоторые брандмауэры работают только в од­нопользовательском режиме. Многие брандмауэры имеют систему проверки целостности программных ко­дов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.

Средства анализа защищенности работают на основе сценариев проверки, хранящихся в специальных ба­зах данных, и выдают результаты своей работы в виде отчетов, которые могут быть конвертированы в раз­личные форматы. Основными функциями программных средств анализа защищенности КС являются:

  • проверка используемых в системе средств идентификации и аутентификации, разграничения доступа, ау­дита и правильности их настроек с точки зрения безопасности информации в КС;

  • контроль целостности системного и прикладного программного обеспечения КС;

  • проверка наличия известных неустраненных уязвимостей в системных и прикладных программах, ис­пользуемых в КС, и др.

К недостаткам средств анализа защищенности КС относятся:

  • зависимость их от конкретных систему недостаточная надежность (их применение может иногда вы - зывать сбои в работе анализируемых систем)^ малый срок эффективной эксплуатации (не учитываются но­вые обнаруженные уязвимости, которые и являются наиболее опасными);

  • возможность использования нарушителями в целях подготовки к атаке на КС.

Программные средства обнаружения атак (Intrusion Detection Systems, IDS) применяются для решения двух основных задач:

  • обнаружение признаков атак на основе анализа журналов безопасности операционной системы, журна­лов МСЭ и других служб;

  • инспекция пакетов данных непосредственно в каналах связи (с использованием мультиагентных систем).

В обоих случаях средствами обнаружения атак используются базы данных с зафиксированными сетевыми

событиями и шаблонами известных атак. Эти средства работают в реальном масштабе времени и реагируют на попытки использования известных уязвимостей КС или несанкционированного исследования защищенной части сети организации, а также ведут журнал регистрации зафиксированных событий для последующего анализа.

К основным недостаткам средств обнаружения атак относятся:

  • неспособность эффективно функционировать в высокоскоростных сетях;

  • возможность пропуска неизвестных атак;

  • необходимость постоянного обновления базы данных с шаблонами атак;

  • сложность определения реакции этих средств на обнаруженные попытки атаки.

Виртуальные частные сети

Виртуальные частные сети (VPN) сети используются организациями для соединения с удаленными сайтами и с другими организациями. Частные сети состоят из каналов связи, арендуемых у различных телефонных компаний и поставщиков услуг интернета. Эти каналы связи характеризуются тем, что они соединяют только два объекта, будучи отделенными от другого трафика, так как арендуемые каналы обеспечивают двустороннюю связь между двумя сайтами. Частные сети обладают множеством преимуществ:

  • Информация сохраняется в секрете.

  • Удаленные сайты могут осуществлять обмен информацией незамедлительно.

  • Удаленные пользователи не ощущают себя изолированными от системы, к которой они осуществляют доступ.

К сожалению, этот тип сетей обладает одним большим недостатком - высокой стоимостью.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]