- •Безопасность и управление доступом в Информационных системах
- •Раздел 1 - Автоматизированные системы обработки информации и управления как объекты безопасности информации.
- •Раздел 2 - Методы обеспечения безопасности информации в информационных системах
- •Раздел 3 - Проектирование системы обеспечения безопасности информации в автоматизированных системах обработки информации и данных.
- •Раздел 4 - Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки
- •Раздел 5 - Безопасность информации в информационных сетях и автоматизированных системах управления.
- •Раздел 6 - Оценка уровня безопасности информации в информационных системах.
- •Раздел 7 - Обеспечение безопасности информации в персональных компьютерах и локальных сетях.
- •Раздел 8 - Организационно-правовое обеспечение информационной безопасности.
- • Глава 3 - Персональные данные. Аннотация
- •Предисловие
- •Раздел I. Автоматизированные системы обработки информации и управления как объекты безопасности информации
- •Глава 1. Предмет безопасности информации
- •Глава 2. Объекты информационной безопасности
- •Глава 3. Потенциальные угрозы безопасности информации в информационных системах
- •Раздел II. Методы обеспечения безопасности информации в информационных системах Глава 1. Краткий обзор методов обеспечения безопасности информации
- •Глава 2. Ограничение доступа
- •Глава 3. Контроль доступа к аппаратуре
- •Глава 4. Разграничение и контроль доступа к информации в системе
- •Глава 5. Разделение привилегий на доступ.
- •Глава 6. Идентификация и установление подлинности объекта (субъекта)
- •Глава 7. Криптографическое преобразование информации.
- •Глава 8. Защита информации от утечки за счет побочного электромагнитного излучения и наводок (пэмин)
- •Глава 9. Методы и средства защиты информации от случайных воздействий
- •Глава 10. Методы обеспечения безопасности информации при аварийных ситуациях
- •Глава 11. Организационные мероприятия по обеспечению безопасности информации
- •Глава 2. Основные принципы проектирования систем обеспечения безопасности информации в автоматизированных системах обработки информации.
- •Раздел IV. Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки Глава 1. Исходные предпосылки
- •Глава 2. Состав средств и структура системы обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации
- •Глава 4. Обеспечение безопасности информации и программного обеспечения от преднамеренного несанкционированного доступа (пнсд) при вводе, выводе и транспортировке
- •Глава 5. Средства управления обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации информационной системы
- •Глава 6. Организационные мероприятия по обеспечению безопасности информации в комплексах средств автоматизации информационных систем
- •Раздел V. Безопасность информации в информационных сетях и автоматизированных системах управления
- •Глава 1. Анализ объектов обеспечения безопасности информации и постановка задачи
- •Глава 2. Принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления
- •Глава 3. Эталонная модель открытых систем
- •Глава 4. Механизмы безопасности информации в трактах передачи данных и в каналах связи
- •Глава 5. Рекомендации по безопасности информации в телекоммуникационных каналах связи
- •Глава 6. Система безопасности информации в трактах передачи данных автоматизированной системы управления
- •Глава 7. Управление доступом к информации в сети передачи и в автоматизированной системе управления
- •Глава 8. Организационные мероприятия по обеспечению безопасности информации в сетях передачи информации и автоматизированных системах управления
- •Раздел VI. Оценка уровня безопасности информации в информационных системах
- •Глава 1. Анализ методов оценки защищенности информации
- •Глава 2. Принципиальный подход к оценке уровня безопасности информации от преднамеренного несанкционированного доступа в информационной системе
- •Глава 3. Метод оценки уровня безопасности информации в комплексе средств автоматизации обработки информации
- •Глава 4. Метод оценки уровня безопасности информации в информационных сетях и в автоматизированных системах управления
- •Раздел VII. Обеспечение безопасности информации в персональных компьютерах и локальных сетях
- •Глава 1. Безопасность информации в персональных компьютерах
- •Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в персональных компьютерах
- •Глава 2. Обеспечение безопасности информации в локальных сетях
- •Раздел VIII. Организационно-правовое обеспечение информационной безопасности
- •Глава 1. Информация как объект права собственности.
- •Глава 2. Информация как коммерческая тайна
- •Глава 3. Персональные данные
- •Тема 5: Угрозы информационной безопасности в ас
- •Особенности современных ас как объекта защиты
- •Уязвимость основных структурно-функциональных элементов распределенных ас
- •Угрозы безопасности информации, ас и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Основные непреднамеренные искусственные угрозы
- •Основные преднамеренные искусственные угрозы
- •Классификация каналов проникновения в систему и утечки информации
- •Неформальная модель нарушителя
- •Тема 8: Организационная структура системы обеспечения информационной безопасности Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала ас
- •Понятие технологии обеспечения информационной безопасности
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Разовые мероприятия
- •Периодически проводимые мероприятия
- •Мероприятия, проводимые по необходимости
- •Постоянно проводимые мероприятия
- •Распределение функций по оиб
- •Служба безопасности (отдел защиты информации)
- •Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций
- •Управление автоматизации (фонд алгоритмов и программ - фап
- •Все Управления и отделы (структурные подразделения) организации
- •Система организационно-распорядительных документов по организации комплексной системы защиты информации
Глава 2. Обеспечение безопасности информации в локальных сетях
Локальные сети как объект защиты информации
В широком смысле слова любой способ соединения двух и более компьютеров с целью распределения ресурсов — файлов, принтеров и т. п. — можно назвать сетью.
Локальная компьютерная сеть (локальная сеть) представляет собой особый тип сети, объединяющий близко расположенные системы, как правило, в пределах группы сотрудников или отдела предприятия. Эти компьютеры и другое оборудование соединены однотипными средствами коммуникаций — чаще всего витой парой проводов, коаксиальным или оптическим кабелем, беспроводными средствами связи (инфракрасного или радиоволнового диапазона).
Все устройства в локальных сетях способны обмениваться информацией друг с другом непосредственно. Отдельные локальные сети объединяются в глобальную вычислительную сеть WAN (wide area network). С помощью ее устройств, не относящихся к одной и той же физической локальной сетью, устанавливаются соединения через специализированное оборудование.
Локальная сеть позволяет прозрачно распределять ресурсы отсутствующие на рабочих станциях. Подсоединившись к таким ресурсам, можно распоряжаться ими как собственными. Тот факт, что многие пользователи сети имеют доступ к одним и тем же ресурсам, упрощает распространение информации в пределах локальной сети, так как не требует осваивать новые методы передачи данных.
Существуют особые сетевые программы, использующие локальную сеть для передачи информации: электронная почта, программы планирования, групповое программное обеспечение и т.п. Однако самое основное свойство локальной сети — простой доступ к сетевым ресурсам. Для доступа к сетевым ресурсам применяется целый ряд аппаратных и программных компонентов. Аппаратура — сетевая интерфейсная плата — электрически подсоединяет рабочую станцию к локальной сети. Она устанавливается в пустое расширительное гнездо персонального компьютера либо подключается к соответствующему порту мобильных компьютеров (или в гнездо РСМСI).
Сетевое программное обеспечение делится на три категории:
Программное обеспечение управления сетевой платой;
Программное обеспечение, выполняющее правила (или протокол) общения в сети;
Программное обеспечение сетевой операционной системы.
Первый компонент может состоять из одной или нескольких небольших программ. Он отвечает за наведение мостов между сетевой платой и стеком протокола. Стек протокола — это компонент, осведомленный о правилах движения данных по сети, он связывает интерфейсную плату с оболочкой. Оболочка, или сетевой клиент, знает особенности используемых в сети операционных систем и осуществляет связь между ними. Оболочка отвечает за передачу и удовлетворение запросов на сетевые ресурсы.
Операционная система рабочей станции — не единственная операционная система в локальной сети. На файловом сервере работает особая операционная система, называемая сетевой операционной системой.
Хотя сейчас уже все операционные системы наделены сетевыми свойствами следует различать операционную систему рабочей станции обеспечивающую ее работу в локальной сети и операционную систему узловой станции – Сервера, обеспечивающей работу всей сети.
Информационные свойства локальной сети во многом зависят от состава поддерживаемых ею операционных систем функционирующих на рабочих станциях и серверах. Если локальная сеть поддерживает только одну операционную систему, т. е. имеет однородный состав узлов (компьютер или сервер с установленными в них сетевыми адаптерами), то такая локальная сеть называется гомогенной (или однородной), в противном случае — гетерогенной (или разнородной).
Локальные сети бывают двух основных типов: равноправные (или одноранговые) и с выделенным сервером. В равноправной локальной сети все узлы равноправны: любая рабочая станция может выступать по отношению к другой как клиент или как сервер. В сети с выделенным сервером все клиенты общаются с центральным сервером.
Одноранговые сети обычно легко устанавливать, и для их операционной системы не требуется выделять особый компьютер. С другой стороны, эти сети обладают меньшими функциональными возможностями по сравнению с сетями на основе выделенного сервера. В частности, проблемы централизованной защиты ресурсов и данных в таких сетях часто не разрешимы, так как каждый пользователь сам контролирует доступ к своей системе. По мере роста размеров таких сетей они быстро становятся неуправляемыми.
И все же простая сеть с равноправными узлами может стать оптимальным решением, если необходимо объединить всего несколько машин.
Равноправные сетевые операционные системы хороши для мелких сетей и идеальны в случае необходимости объединения лишь нескольких машин в целях коллективного применения специальных файлов и принтеров, когда не требуется централизованного администрирования. Но иногда доступ к некоторым ресурсам должен быть представлен лишь определенным пользователям и администратору требуется управлять такими ресурсами. Например, к определенному ресурсу должен быть организован централизованный доступ, в частности для организации пула модемов или принтеров. В этих случаях лучше обратиться к сети с выделенным сервером. В таких сетях один или несколько компьютеров организуют централизованный доступ к своим ресурсам. Все запросы от рабочей станции проходят через серверы. Компьютер, используемый в качестве сервера, должен быть более мощным и надежным.
Программное обеспечение сервера обеспечивает централизованное администрирование и защиту и управляет доступом к ресурсам при помощи реконфигурируемых бюджетов пользователей. Администратор сети контролирует эти бюджеты и определяет, что должен видеть и делать пользователь, зарегистрированный в сети. Локальные сети с выделенным сервером обычно сложнее в установке по сравнению с одноранговыми, но они мощнее, функционально многообразнее и поддерживают крупные сетевые системы.
Существует много разновидностей сетей. Те из них, что строятся на основе мэйнфреймов и мини-компьютеров, часто обеспечивают такие же возможности, как и локальные сети, но с некоторыми отличиями. Некоторые сети использует протоколы, обычно не применяемые в локальных сетях, и нередко выступает в качестве средства дистанционного доступа к базам данных.
Наибольшее распространение получили четыре модификации соединений персональных компьютеров в локальных сетях: Ethernet, Arknet, Token-Ring и FDDI.
Сети Ethernet (топология "общая шина") отличаются своими несомненными достоинствами: небольшой стоимостью и оптимальной производительностью (10 Мбит/с). Сети Ethernet реализуют недетерминированный метод множественного доступа с контролем несущей. Все сетевые компьютеры, подключенные к магистральному кабелю, являются равноправными и пытаются захватить канал, т. е. начать передачу. Каждый раз, когда узел готов передавать свой пакет, он должен проверить, занят канал или нет. Для этого проводится проверка несущей: ее отсутствие означает, что канал свободен. Если один из узлов начал передачу пакета, канал становится занятым, и все остальные узлы переходят в состояние приема. Пакеты, переданные сети одним из ее узлов, направляются всем остальным активным узлам, т. е. сеть является широковещательной. Узел назначения сам определяет, что информация предназначена именно ему, анализируя заголовок пакета, который содержит и адрес назначения, и адрес отправителя. Если они соответствуют его данным, происходит прием пакета информации.
При таком методе доступа к каналу следует предусмотреть ситуацию, когда несколько узлов начинают передачу одновременно, т. е. происходит коллизия — наложение сигналов. В этом случае передача прерывается и каждый узел, попавший в коллизию, переходит в состояние задержки, в котором он находится в течение некоторого случайного промежутка времени. Его величина определяется самим узлом, что уменьшает вероятность попадания в новую коллизию сразу же после обработки предыдущей. Вышедший из коллизии узел повторяет передачу. В результате при больших нагрузках сетей с произвольным методом доступа пропускная способность сети резко падает и входит в насыщение. В сетях Ethernet насыщение предотвращается балансировкой нагрузки путем разделения сети на сегменты или выбором оптимальной технологии сети.
Локальные сети типа Ethernet используют топологии (способ объединения между собой узлов локальной сети) "звезда" и "общая шина". При необходимости можно объединять вместе несколько сетей с обеими топологиями, в результате чего получаются разветвленные конфигурации сети.
Построение сетей Ethernet определяется рекомендациями IEEE 802.3: спецификациями 10Ваsе2, 10Ваsе5, 10Ваsе-Т.
Спецификация 10Ваsе2 (шинная топология), представляющая сеть Ethernet на тонком коаксиальном кабеле (типа RG — 58 А/U), использует легкие кабели и разъемы (ВNС). Монтаж сети при этом предельно прост: соединения осуществляются прямо на задней стенке персонального компьютера с помощью Т-коннектора, подключаемого к разъему на сетевом адаптере. Протяженность сегмента ограничена длиной 185 м, при этом можно подключить до 30 сетевых узлов. Максимальная протяженность ограничена следующими требованиями:
можно включить последовательно не более трех сегментов;
между сегментами можно включить две соединительные линии без возможности включения в них рабочих станций;
на всей сети должно быть не более 90 сетевых узлов;
общая длина кабельной трассы сети должна быть не более 925 м
Спецификация 10Ваsе5 основана на специальном толстом кабеле и имеет топологию шины.
Основное отличие "толстого" Ethernet состоит в том, что все подключения к кабелю должны выполняться через внешние транссиверы. Все сетевые узлы должны иметь АUI-порт и соответствующий кабель, длина которого не должна превышать 50 м, а длина сегмента — 500 м.
Максимальный размер сети определяют следующие параметры:
максимальное число объединяемых сегментов (без межповторительных), как и у "тонкого" Ethernet — 5;
максимальная длина сети — 2500 м;
максимальное число станций на сегмент — 100.
Сети этого типа реализуются в последнее время в небольших количествах и только там, где требуется большая протяженность кабельной трассы, или используются в качестве базовой сети.
Спецификация 10Ваsе-Т предлагает использовать кабели с неэкранированными витыми парами (UТР) категории не ниже третьей. В отличие от упомянутых выше сетей элементарная сеть Ethernet на витых парах имеет топологию "звезды".
Рабочие станции с помощью сегментов из витых пар подключаются к концентратору (hub). Такая конфигурация упрощает подключение новых рабочих станций и делает их независимыми друг от друга.
Рабочие группы могут объединяться в более сложные конфигурации локальных сетей соединениями между концентраторами, а также подключением сегментов на толстом или тонком коаксиальном кабеле.
Для рекомендации 10Ваsе-Т на витой паре предусматриваются ограничения:
между рабочими станциями может быть до 5 сегментов и не более 4 концентраторов;
длина сегмента — не более 100 м.
В локальных сетях возможно возникновение такой ситуации, когда несколько рабочих станций пытаются получить доступ к одному файл-серверу. В этом случае узким местом становится канал связи между коммутатором и сервером, а рабочим станциям по-прежнему приходится конкурировать за этот канал с пропускной способностью 10 Мбит/с.
Мы рассмотрели базовые рекомендации для локальных сетей. Для более подробного изучения данных вопросов рекомендуем обратиться к соответствующей специальной и учебной литературе.
Отказоустойчивость локальных сетей в значительной мере обусловлена особенностями их топологии, способом доступа к информации и данным, а также встроенными системами диагностики и устранения сбоев.
Потенциальные угрозы безопасности информации в локальных сетях
Рассматривая объект защиты с позиций защиты циркулирующей в ней информации, в общем случае автономную локальную сеть можно представить как сеть, элементами которой являются малые комплексы средств автоматизации — персональные компьютеры с различным набором внешних устройств, а каналами связи — кабельные магистрали. Потенциальные угрозы в виде попыток несанкционированного доступа с целью модификации, разрушения, хищения информации или ознакомления с нею аналогичны приведенным в разд. 2. Возможные каналы несанкционированного доступа к информации в локальных сетях такие же, как в больших информационных и вычислительных сетях, рассмотренных в гл. 1, разд. 5. Единственным отличием локальных сетей, учитывая ее относительно малую территорию размещения, является возможность расположения каналов связи локальных сетей на охраняемой территории, что значительно сокращает количество потенциальных нарушителей и в некоторых менее ответственных системах позволяет с целью экономии уменьшить прочность защиты информации в кабельных линиях связи. Малые габариты компьютера позволяют разместить его на столе в отдельном защищенном помещении и облегчают, с одной стороны, проблему контроля доступа к его внутренним линиям связи и монтажу устройств.
С другой стороны, возникает вопрос контроля целостности локальных сетей, т. е. схемы соединений сети, так как локальная сеть — система по своей идее децентрализованная. Вполне естествен вопрос: а всегда ли необходим такой контроль? Специалисты считают, что в очень маленьких локальных сетях с парой компьютеров, которые разделяют жесткий диск и принтер, диагностика является ненужным излишеством. Но по мере роста сети возникает необходимость в мониторинге сети и ее диагностике. Большинство локальных сетей имеют процедуры самотестирования низкого уровня, которые должны запускаться при включенной сети. Эти тесты обычно охватывают кабель, конфигурацию аппаратных средств, в частности плату интерфейса сети. В составе больших локальных сетей предусмотрены сложные системы с двойным назначением — мониторингом и диагностикой. Центр управления сетью - это пассивное мониторинговое устройство, которое собирает данные о потоках сообщений в сети, ее характеристиках, сбоях, ошибках и т. д. Данные о потоках сообщений показывают, кто пользуется сетью, а также когда и как она применяется.
Сетевые операционные системы, содержат диагностику локальных сетей. Обычно консоль и монитор этой системы совместно действуют как маленькая версия центра управления сетью. Применяются в сети и аппаратные средства сетевой диагностики, для чего обычно применяются специализированные чипы.
Однако упомянутые выше средства диагностики локальных сетей не обнаруживают несанкционированное подключение к сети посторонних персональных компьютеров. Отключение компьютера от сети контролируется, иногда с перерывами по желанию оператора или по запросу пользователя.
В больших локальных сетях (до 10 км) кабельные линии могут выходить за пределы охраняемой территории или в качестве линий связи могут использоваться телефонные линии связи обычных автоматизированных телефонных станций, на которых информация может подвергнуться несанкционированному доступу. Кроме того, сообщения в локальной сети могут быть прочитаны на всех ее узлах, несмотря на специфические сетевые адреса. Посредством пользовательских модификаций последних все узлы сети могут считывать данные, циркулирующие в данной локальной сети.
Таким образом, можно перечислить максимальное количество возможных каналов преднамеренного несанкционированного доступа к информации для локальных сетей.
Со стороны "периметра" системы они будут следующими:
доступ в локальную сеть со стороны штатного персонального компьютера;
доступ в локальную сеть со стороны кабельных линий связи.
Несанкционированный доступ со стороны штатного персонального компьютера (включая серверы) возможен по каналам, перечисленным в разд. 7, гл. 1. для автономного режима ее работы. Но в локальной сети необходимо защищаться и от пользователя-нарушителя, допущенного только к определенной информации файл-сервера и/или ограниченного круга других пользователей данной локальной сети.
Несанкционированный доступ в локальных сетях со стороны кабельных линий может произойти по следующим каналам:
со стороны штатного пользователя-нарушителя одного персонального компьютера при обращении к информации другого, в том числе файл-серверу;
при подключении постороннего персонального компьютера и другой посторонней аппаратуры;
при побочных электромагнитных излучениях и наводках информации.
Кроме того, в результате аварийных ситуаций, отказов аппаратуры, ошибок операторов и разработчиков программного обеспечения локальной сети возможны переадресация информации, отображение и выдача ее на рабочих местах, для нее не предназначенных, потеря информации в результате ее случайного стирания или пожара. Практика показывает, что большинство людей не уделяют серьезного внимания защите информации, особенно резервированию, до тех пор, пока у них не произойдет серьезная потеря информации.
Магнитная память, а затем лазерная запись — достоинство автоматизированной системы: освобождение от многочисленных бумаг открыла большие возможности для пользователя. Но хранение данных в этой изменчивой среде значительно повышает вероятность потери данных: несколько нажатий клавиш могут уничтожить результаты работы многих часов и даже лет. Проникновение программного вируса в персональный компьютер может также неприятно отразиться на всей работе и информации локальной сети, а также остальных персональных компьютеров, входящих в состав локальной сети.
Система защиты информации от несанкционированного доступа в локальных сетях
Защита от преднамеренного несанкционированного доступа. Анализ локальной сети как объекта защиты, возможных каналов несанкционированного доступа к информации ограниченного пользования и потенциальных угроз позволяет выбрать и построить соответствующую систему защиты.
Перечисленные выше возможные каналы несанкционированного доступа рассмотрены с позиций максимально возможных угроз, ожидаемых от нарушителя-профессионала, модель поведения которого как наиболее опасная принята за исходную предпосылку в концепции защиты (см. разд. 3). Поэтому, несмотря на существующие на практике менее опасные модели, будем пока следовать принятым ранее решениям.
Несанкционированный доступ со стороны пользователя-нарушителя, очевидно, потребует создания на программном уровне локальной сети системы опознания и разграничения доступа к информации (СОРДИ) со всеми ее атрибутами: средствами идентификации и аутентификации пользователей, а также разграничения их полномочий по доступу к информации файл-сервера и (или) другим персональным компьютерам данной локальной сети. Такими возможностями, в настоящее время, обладают все сетевые операционные система с отличиями в технологиях реализации.
Средства защиты сети позволяют устанавливать, кто имеет право доступа к конкретным каталогам и файлам. При этом защита данных файл-сервера осуществляется одним способом или в различных сочетаниях обычно четырьмя способами:
входным паролем;
попечительской защитой данных;
защитой в каталоге;
защитой атрибутами файлов.
Первым уровнем сетевой защиты является защита данных входным паролем. Защита при входе в сеть применяется по отношению ко всем пользователям. Чтобы выйти в файл-сервер, пользователю нужно знать свое "имя" и соответствующий пароль (6 - 8 символов для устойчивости к автоматизированному взлому).
Администратор безопасности может установить дополнительные ограничения по входу в сеть:
ограничить период времени, в течение которого пользователь может входить в сеть;
назначить рабочим станциям специальные адреса, с которыми разрешено входить в сеть;
ограничить количество рабочих станций, с которых можно выйти в сеть;
установить режим запрета постороннего вторжения, когда при нескольких несанкционированных попытках с неверным паролем устанавливается запрет на вход в сеть.
Второй уровень защиты данных в сети — попечительская защита данных — используется для управления возможностями индивидуальных пользователей по работе с файлами в заданном каталоге. Попечитель — это пользователь, которому предоставлены привилегии или права для работы с каталогом и файлами внутри него.
Любой попечитель может иметь восемь разновидностей прав:
Read - право Чтения открытых файлов;
Write - право Записи в открытые файлы;
Ореn - право Открытия существующего файла;
Сгеаtе - право Создания (и одновременно открытия) новых файлов;
Deletе - право Удаления существующих файлов;
Раrеntаl — Родительские права:
право Создания, Переименования, Стираная подкаталогов
каталога;
право Установления попечителей и прав в каталоге;
право Установления попечителей и прав в подкаталоге;
Search - право Поиска каталога;
Modify — право Модификации файловых атрибутов.
Третий уровень защиты данных в сети - защита данных в каталоге. Каждый каталог имеет "маску максимальных прав". Когда создается каталог, маска прав содержит те же восемь разновидностей прав, что и попечитель. Ограничения каталога применяются только в одном заданном каталоге. Защита в каталоге не распространяется на его подкаталоги.
Защита атрибутами файлов — четвертый уровень защиты данных в сети. При этом предусмотрена возможность устанавливать, может ли индивидуальный файл быть изменен или разделен. Защита атрибутами файлов используется в основном для предотвращения случайных изменений или удаления отдельных файлов. Такая защита, в частности, полезна для защиты информационных файлов общего пользования, которые обычно читаются многими пользователями. Эти файлы не должны допускать порчи при попытках изменений или стирания. В защите данных используются четыре файловых атрибута: "Запись-Чтение/Только чтение" и "Разделяемый/Неразделяемый".
Действующие права в сети - это те права, которые пользователь может применять в данном каталоге. Действующие права определяются сочетанием прав попечительской защиты и прав защиты в каталогах. Файловые атрибуты имеют приоритет над действующими правами пользователя.
Были описаны наиболее часто применяемые атрибуты и политики защиты информации в сети имеющих модификации для разных операционных систем. Однако средства защиты информации в сети не всегда удовлетворяют требованиям потребителей. Поэтому существует ряд разработок специализированных систем и комплексов защиты.
Чтобы исключить возможность обхода систем опознания и разграничения доступа в персональных компьютерах и локальных сетях путем применения отладочных программ, а также проникновения компьютерных вирусов, рекомендуется, если это возможно, в данной локальной сети применять персональные компьютеры без дисководов и внешних портов (типа COM или USB) позволяющих подключить внешний носитель или по крайней мере хотя бы заблокировать их механической крышкой, опечатываемой администратором безопасности. Данная мера, кроме того, защищает от кражи данных, которые можно скопировать на флэш-карту в течение нескольких минут. Их легко спрятать и вынести за пределы даже охраняемой территории. Многие поставщики сетей сейчас обеспечивают возможность загрузки локальных рабочих станций с центрального сервера и таким образом делают персональные компьютеры без диска пригодной для использования в сети.
В тех же случаях, когда требуется локальное запоминающее устройство, специалисты допускают возможность замены дисковода флоппи-диска, USB и т.п. на местный жесткий диск.
Опознание пользователя и разграничение доступа в локальных сетях можно также организовать с помощью шифровального устройства. Лучше всего для этой цели использовать аппаратное устройство, так как его подмена или отключение нарушителю не помогут. Такое устройство устанавливается в каждом персональном компьютере и тогда законный пользователь обращается в сеть с помощью ключа-пароля, ответные значения которого хранятся на тех рабочих станциях, к обмену с которыми он допущен. В свою очередь на файл-сервере по этому паролю ему могут предоставляться персональные массивы данных. Еще одно достоинство этого метода в том, что ключ-пароль данного пользователя не хранится на данном персональном компьютере, а запоминается пользователем или хранится на специальном носителе типа карточки. Решения с шифрованием на программном уровне введены практически уже во все операционные системы, в том числе обслуживающие рабочие станции.
Все данные, включая коды паролей, которые поступают в сеть, и все данные, которые хранятся на жестком диске, должны быть зашифрованы. При передаче данных в сеть до начала шифрования с целью привязки к передаваемой информации идентификатор и/или адрес получателя и отправителя (передаваемые в открытом виде) совместно с информацией должны подвергаться обработке обычными средствами повышения достоверности, результат которой одновременно с зашифрованной информацией поступает на персональный компьютер-получатель, где после дешифрации принятая информация проверяется на совпадение. Данная процедура позволит обнаружить подмену идентификатора и/или адреса, т. е. попытку навязывания ложной информации при несанкционированном подключении к сети. При этом следует предостеречь разработчиков и пользователей локальных сетей от излишнего увлечения шифрованием. Шифрованию не должны подвергаться всем известные формализованные запросы и сообщения, так как, зная закон преобразования, нарушитель путем перебора известных формализованных сообщений может вычислить действительное значение ключа, с помощью которого одно из них закрыто, а знание последнего позволит нарушителю ознакомиться с остальной зашифрованной информацией.
Поступающая в сеть зашифрованная ключом отправителя информация дешифруется на персональном компьютере-получателе с помощью ключа, значение которого соответствует идентификатору и/или адресу отправителя.
Напомним, что ключи шифрования отправителей хранятся в персональном компьютере-получателе в зашифрованном виде, они зашифрованы ключом-паролем получателя информации. Выбор методов и способов шифрования приведен в гл. 10.
В некоторых менее ответственных локальных сетях для защиты от модификации информации при ее передаче по телефонным каналам используется система "обратный вызов".
Система защиты "обратный вызов" и управление пользователем являются частью телефонных систем и могут быть использованы в передаче данных "ПК — сеть" на значительное расстояние. Если нужно подключиться к персональному компьютеру, где имеется система защиты "обратный вызов", следует сообщить об этом системе, и тогда ее устройство защиты подготавливается для "обратного вызова" на ваше местонахождение. Другими словами, система имеет в памяти полный листинг на каждого допущенного пользователя. В этот файл включены семизначный идентификационный номер, который вы должны набрать, когда хотите обратиться к файлу; телефонный номер, по которому вас можно найти; главные ЭВМ, к которым вам разрешен доступ. Одним словом, подлинность обращения обеспечивается обратным вызовом, т. е. соединение с вами устанавливается вашим адресатом по вашему вызову. Данный метод, однако, не защищает от утечки информации.
Для защиты данных, передающихся по кабелю, существует несколько методов. Первый метод — уборка кабеля из поля зрения — должен быть предпринят для защиты кабеля от повреждения и удовлетворения правил электробезопасности, т. е. если кабель проложить в труднодоступном скрытом месте, это будет способствовать его защите от несанкционированного доступа.
Кабель, по которому передаются данные, излучает радиосигналы подобно передающей антенне. Постое оборудование для перехвата установленное рядом с кабелем, может собирать и записывать эти передачи. Если величина излучающего сигнала превышает сигналы шумов на расстоянии за пределами охраняемой территории, следует принять определенные меры защиты.
Величину излучающего сигнала на кабеле можно уменьшить при помощи экрана в виде заземленной оплетки из медных проводов, охватывающих провода, несущие информацию. Другой способ решить эту проблему заключается в применении волоконно-оптического кабеля, использующего тонкий стеклянный волновод, по которому передача информации осуществляется с помощью модуляции света. Однако в последнее время появились сообщения о возможности съема информации и с этих кабелей. Поэтому наилучшим средством защиты от вышеуказанных угроз служит шифрование передаваемой информации, о котором сообщалось выше. Заметим, что данное шифрование и шифрование, упоминаемое выше при описании средств защиты информации в персональных компьютерах, не одно и то же, хотя оно и может выполняться на одном и том же устройстве (аппаратном или программном). В одном случае оно может быть предназначено для персонального использования (закрытия информации на носителях), в другом — для сетевого контроля и разграничения доступа. В сравнении с обычными большими системами здесь исчезают понятия абонентского и линейного шифрования, так как в локальных сетях отсутствуют узлы, подобные узлам коммутации в больших сетях передачи данных.
Таблица 1. Распределение средств защиты по возможному каналу несанкционированного доступа (ВКНСД) локальной компьютерной сети (ЛКС)
Наименование ВКНСД |
Средства защиты |
Прочность |
Класс защиты |
||
I |
II |
III |
|||
ВКНСД элемента сети (ПК) |
Система безопасности информации элемента сети (ПК) |
GPC |
+ |
+ |
+ |
ВКНСД сервера |
Средства контроля доступа на территорию объекта |
Р1 |
+ |
+ |
+ |
Средства контроля доступа в помещение сервера |
Р2 |
+ |
+ |
— |
|
Программа контроля и разграничения доступа к информации ЛКС |
Р3 |
+ |
+ |
+ |
|
Средства шифрования |
Р4 |
+ |
— |
— |
|
Организационные мероприятия |
Р5 |
+ |
+ |
+ |
|
Несанкционированного доступа со стороны средств контроля и управления конфигурацией, адресными таблицами и функциональным контролем ЛКС |
Средства контроля доступа на территорию объекта |
Р1 |
+ |
+ |
+ |
Средства контроля доступа в помещение администратора |
Р2 |
+ |
+ |
— |
|
Программа опознания и контроля доступа к информации ПК |
Р6 |
+ |
+ |
+ |
|
Программа контроля и разграничения доступа к информации ЛКС |
Р3 |
+ |
+ |
+ |
|
Средства контроля целостности ЛКС |
Р7 |
+ |
+ |
+ |
|
Несанкционированного доступа со стороны линий связи ЛКС |
Средства контроля доступа на территорию объекта |
Р1 |
+ |
+ |
+ |
Организационные мероприятия |
Р5 |
+ |
+ |
— |
|
Система шифрования |
Р4 |
+ |
— |
— |
|
Несанкционированного доступа со стороны аппаратуры передачи данных в каналы связи, концентра торов, мостов, коммутаторов и т. д. |
Средства контроля доступа на территорию объекта |
Р1 |
+ |
+ |
+ |
Средства контроля доступа в помещение |
Р2 |
+ |
— |
— |
|
Средства контроля вскрытия аппаратуры |
Р8 |
+ |
— |
— |
|
Оргмероприятия |
Р5 |
+ |
+ |
+ |
|
Несанкционированного доступа к информации за счет ПЭМИН |
Средства контроля доступа на территорию объекта |
Р1 |
+ |
— |
— |
|
Средства уменьшения и зашумления сигналов, несущих секретную информацию |
Р9 |
+ |
— |
— |
Несанкционированного доступа со стороны средств контроля и управления безопасностью информации в ЛКС |
Средства контроля доступа на территорию объекта |
Р1 |
+ |
+ |
+ |
Средства контроля доступа в помещение |
Р2 |
+ |
+ |
— |
|
Программа опознания и контроля доступа к информации ПК |
Р6 |
+ |
+ |
+ |
|
Программа контроля и разграничения доступа к информации ЛКС |
Р3 |
+ |
+ |
+ |
|
Средства контроля целостности ЛКС |
Р7 |
+ |
+ |
— |
|
Средства шифрования информации в ПК |
Р10 |
+ |
— |
— |
|
Средства шифрования информации в ЛКС |
Р4 |
+ |
— |
— |
|
Оргмероприятия |
Р5 |
+ |
+ |
+ |
|
Примечания:
1. Знак "+" означает наличие средства защиты, знак "—" - отсутствие средства защиты.
2. Считаем, что все помещения оборудованы системой контроля одного типа.
Для расчета и оценки уровня безопасности информации в локальной сети в зависимости от заданной модели нарушителя, ценности и важности обрабатываемой информации необходимо использовать три класса защиты, соответствующих первым трем классам из четырех, приведенных для персональных компьютеров.
Величина прочности каждого средства защиты определяется по методике и формулам 4 и 5 главы 2, раздела 3. Итоговая оценка уровня прочности защиты информации в локальной сети определяется в соответствующем разделе.
Средства управления защитой информации в локальных сетях.
Средства централизованного контроля и управления защитой информации в локальных сетях включают:
персональное автоматизированное рабочее место службы безопасности информации (АРМ СБИ);
специальное программное обеспечение (СПО);
организационные мероприятия.
В качестве АРМ СБИ (рис. 1) в больших локальных сетях лучше всего использовать специально выделенный персональный компьютер, введенный в состав сети и размещенный в отдельном помещении, оборудованном средствами охранной сигнализации. Однако в большинстве случаев будущие владельцы локальных сетей не захотят нести лишние расходы. Поэтому в менее ответственных системах целесообразно выполнение задач АРМ СБИ совместить с выполнением задач управления локальной сетью на персональном компьютере администратора сети, выполняющего также роль супервизора системы. Однако согласно принципу разделения привилегий, исключающему сосредоточение всех полномочий у одного человека, в ответственных системах функции службы безопасности необходимо разделить между службой безопасности информации и руководством фирмы, в организациях — между службой безопасности информации и владельцем локальной сети. Это означает, что функции автоматизированного управления безопасностью могут выполняться с двух персональных компьютеров: администратора и руководителя.
Нормальный режим работы локальной сети — когда функции управления выполняет администратор, а руководитель контролирует его действия и при необходимости может в этот процесс вмешаться.
|
|
|
|
Рис. 1. Структурная схема автоматизированного рабочего места службы безопасности информации: СБИ – служба безопасности информации; УКВА – устройство контроля вскрытия аппаратуры; КП – ключ-пароль
Все изменения, вносимые администратором (руководителем) в систему, должны автоматически регулироваться и сообщаться на персональный компьютер руководителя (администратора) в виде отображения на его дисплее краткого сообщения о характере произведенных изменений. Далее руководитель (администратор) может специальным запросом уточнить информацию. Совмещение указанных задач, однако, не означает отключение, даже на короткий период времени, функций обнаружения и блокировки несанкционированного доступа, а также контроля функционирования средств защиты.
Специальное программное обеспечение средств централизованного контроля и управления безопасности информации включает следующие программы:
ввода списков идентификаторов пользователей сети;
генерации и ввода кодов ключей-паролей;
ввода и контроля полномочий пользователей;
регистрации и отображения сообщений о фактах несанкционированного доступа: несовпадений кодов ключей-паролей, нарушений полномочий с указанием времени, места и даты события;
регистрации обращений к информации, хранимой в файл-сервере и рабочих станциях с указанием автора обращения, времени и даты выдачи информации;
ведения журнала учета и регистрации доступа к информации;
формирования и выдачи необходимых справок по несанкционированному доступу;
контроля целостности программного обеспечения локальной сети;
контроля конфигурации локальной сети;
управления шифрованием информации;
периодического тестирования и контроля функционирования перечисленных функций;
документирования перечисленных работ;
ведения статистики несанкционированного доступа.
Особое внимание следует обратить на необходимость постоянного контроля несанкционированного доступа и выработки сигнала тревожной сигнализации на автоматизированное место службы безопасности информации, так как во многих подобных программах ограничиваются только регистрацией события. Отсутствие механизма немедленного отображения сигнала несанкционированного доступа с указанием его места возникновения существенно снижает безопасность информации и дает время нарушителю на выполнение своей задачи, так как просмотр журнала регистрации может быть отложен или забыт по каким-либо причинам.
Организационные мероприятия по управлению и контролю доступа к техническим средствам и информации необходимы для проведения централизованной защиты на локальных сетях в целом, а также для дублирования в целях усиления прочности наиболее слабых звеньев защиты. Правильная и четкая организация защиты — залог ее высокой эффективности. Однако необходимо помнить, что гарантированные результаты дает только автоматика, а не человек со всеми слабостями человеческой натуры.
Объем и виды организационных мероприятий на локальных сетях аналогичны мероприятиям, приведенным в разд. 2, 4, 5.
Защита информации в локальных сетях от случайного несанкционированного доступа. Природа случайных воздействий на аппаратуру, программное обеспечение и в конечном итоге на информацию в локальной сети не отличается от процессов, описанных в разд. 2. Методы и средства защиты от них в локальных сетях аналогичны методам и средствам, применяемым в больших вычислительных сетях. Однако специалисты по локальным сетям на персональных компьютерах этому вопросу уделяют специальное внимание, акцентируя его на следующих методах и средствах защиты, специфичных для локальных сетях.
Для резервирования данных можно использовать несколько различных типов оборудования и средств: резервные сменные носители, вспомогательный жесткий диск, дисковод со сменными жесткими дисками, лентопротяжное устройство со сменными кассетами.
Из этих возможностей лучшей является лентопротяжное устройство со сменными кассетами.
Его преимущества:
большая емкость ленты;
дешевизна;
возможность хранения лент в другом месте;
неограниченная емкость системы.
Необходимо отметить, что прогресс в технологиях построения винчестеров позволяет значительно увеличить объем пространства записи при сохранении высокой скорости доступа, поэтому многие компании переходят на комбинированные средства резервирования.
Весьма желательно хранить резервные ключи отдельно от оригинальных. Резервные копии, хранящиеся в одном месте с первичными данными, могут быть уничтожены в одной и той же аварийной ситуации. Возможность хранения сколь угодно больших объемов данных особенно важна при создании архивов.
Магнитные ленты имеют один недостаток: медленную запись. Однако если процедура резервирования не требует обслуживания устройств, то скорость записи становится несущественной.
Для надежной записи данных на магнитную ленту рекомендуется блок данных записывать более одного раза в разных местах ленты.
Обычно используются два типа систем резервирования: поточный и "файл-за-файлом". Поточные системы предназначены для резервирования и восстановления больших блоков данных. Метод "файл-за-файлом", известный как стартстопный метод, также может создавать резервные копии больших блоков данных, но может еще и восстанавливать отдельные файлы. Перемотка ленты вперед и назад обеспечивает произвольный доступ к данным. Такие ленты размечены как жесткий диск и могут использоваться как жесткий диск, хотя они работают с меньшей скоростью.
Большинство потерь данных вызваны ошибками людей, при этом обычно теряется только один или два файла. Но восстановление целого
диска из-за нескольких файлов — потеря времени. При восстановлении целого диска все пользователи должны выйти из сети, что влечет за собой дополнительную потерю времени у обслуживающего персонала.
Отказоустойчивость — другая область защиты данных, которая может быть использована с системой резервирования. Отказоустойчивость обеспечивается дополнительными компонентами системы для предотвращения потери данных или простоя из-за отказа элемента системы. Благодаря своей базовой архитектуре локальная сеть обладает высокой степенью отказоустойчивости. Отказ отдельной рабочей станции не влияет на работу локальной сети, а отказ сервера или другого оборудования локальной сети не мешает использовать рабочую станцию как изолированный персональный компьютер.
Однако локальные сети все чаще применяется для управления критическими данными и критическими прикладными программами, что требует большей эффективности защиты. Для этого в некоторых локальных сетях применяют дополнительные меры, например установку дополнительных или резервных компонентов. При отказе основного компонента может использоваться резервный.
Система отказоустойчивости не должна рассматриваться как замена системы резервирования. Отказоустойчивость, например, не спасет от ошибок оператора, не сможет защитить от потерь при пожаре или другой аварийной ситуации.
Архивирование данных. Система резервирования может использоваться как подключенное архивное устройство. При помощи архива редко используемые данные удаляются с жесткого диска и хранятся в архивной библиотеке. При необходимости файл может быть загружен обратно на жесткий диск. Такая процедура обладает множеством достоинств, включая уменьшение требуемого свободного пространства на жестком диске.
Система архивирования данных обычно содержит программу, которая проверяет частоту использования отдельных программ. Когда система находит редко используемую программу, например, по определению супервизора — 6 дней, то она становится кандидатом перевода ее в архив. Если файл данных перенесен с жесткого диска в архив, его имя, как обычно, поддерживается в каталоге жесткого диска. Но вместо самих данных в файл должно быть помещено сообщение о местонахождении файла в архивной библиотеке. Можно также поместить и описание процедуры для загрузки файла из архива в сеть.
Архивные ленты хранятся так же, как и содержание библиотеки: ленты пронумерованы и лежат на полке в удобном месте. Если материал ценный, то для архивных лент должны быть сделаны резервные копии. Для резервирования необходимо выполнить процедуру занесения в архив дважды перед уничтожением файлов.
Архивы помогают также и при защите данных от преднамеренного доступа. Платежная ведомость, например, может храниться в архиве, а не на диске. Когда ведомость используют, ее загружают в сеть, а после завершения работы удаляют с жесткого диска и снова помещают в архивную библиотеку. Для работы с платежной ведомостью нужно иметь соответствующие права доступа к ее файлу.
Дальнейшее улучшение системы архивирования идет в сторону поддержания записанных на ленту файлов в доступном состоянии. В сети эта технология поддерживается сервером лент или архивным сервером. С архивным сервером файлы не нужно загружать на жесткий диск, вместо этого доступ к ним может производиться прямо на лентопротяжном устройстве. Недостатком является то, что лентопротяжные устройства работают медленнее, чем жесткий диск. Но это компенсируется тем, что файлы можно использовать без процедуры восстановления.
В качестве системы резервирования информации в локальных сетях может использоваться система управления иерархической памятью, позволяющая в современных компьютерных сетях хранить информацию практически в неограниченном объеме. Система автоматически перемещает файлы между более дорогими высокоскоростными магнитными дисками и менее дорогими медленными запоминающими устройствами на оптических дисках и магнитных лентах.
Система архивирования данных выполняет роль и устройства резервирования: днем система может работать как сетевой ресурс, а ночью — как устройство хранения и защиты данных.
Структурная схема системы защиты информации в локальных сетях. В соответствии с установленными возможными каналами несанкционированного доступа и выбранными средствами защиты рассмотрим структурную схему системы защиты информации в локальных сетях, приведенную на рис. 2. Состав средств защиты информации в локальных сетях в данной структуре показан в расчете на обеспечение I класса безопасности информации. Функции контроля и управления безопасностью информации в локальных сетях аналогичны функциям управления и контроля, приведенным в разд. 4.
|
|
|
|
Рис. 2. Структурная схема системы защиты информации в локальных сетях: ЛКС – локальная компьютерная сеть; НСД – несанкционированный доступ; ПК – персональный компьютер; ПЭМИН – побочное электромагнитное излучение и наводки.
Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в локальных сетях
Оценку уровня безопасности целесообразно проводить по трем классам: I, II и III имея в виду, что по I классу оцениваются локальные сети, в которых средствами защиты перекрыты все перечисленные в табл. 37.1 возможные каналы несанкционированного доступа, по II классу — локальные сети, в которых могут отсутствовать средства защиты от несанкционированного доступа со стороны линий связи и каналов ПЭМИН, по III классу — локальные сети, в которых перекрыт только несанкционированный доступ к персональным компьютерам (см. класс 3 в табл. 5, гл. 1, разд. 7), серверам, средствам контроля и управления функционированием и безопасностью информации. Оценка уровня безопасности внутри класса производится в результате количественной оценки прочности каждого средства защиты, перекрывающего количество возможных каналов несанкционированного доступа в соответствии с присвоенным локальной сети классом.
Критериями оценки уровня безопасности информации в локальных сетях может быть выбрана группа показателей, полученных в результате расчета прочности отдельных средств защиты, составляющих в целом систему защиты. Поэтому с учетом табл.1 целесообразным для оценки уровня безопасности информации в локальных сетях использовать следующую группу показателей:
РК ЛВС - уровень безопасности информации от преднамеренного несанкционированного доступа, контролируемого системой защиты локальной сети;
РШ ЛВС - уровень безопасности информации на ВКНСД, выходящих за пределы возможностей системы контроля несанкционированного доступа.
При этом оценка прочности средства защиты, перекрывающего один ВКНСД, определяется соответственно по формулам 4 и 15, гл. 1, разд.3, а расчет суммарной прочности защиты при применении на одном ВКНСД нескольких средств защиты производится по формуле 18, гл. 1, разд.3. В конечном итоге значение прочности защиты для контролируемых ВКНСД можно определить на основе выражения:
PK ЛКС = PK PC U[1-(1-Р1)(1-Р2)(1-P3)(1-P5)]U[1-(1-P1)(1-P2)(1-P6)]U[1-(1-P1)(1-P2)(1-P3)(1-P7)]U[1-(1-P1)(1-P2)]U[1-(1-P1)(1-P2)(1-P8)(1-P5)]U[1-(1-P1)(1-P2)(1-P3)(1-P7)(1-P5)]
для неконтролируемых ВКНСД:
PШ ЛВС = PШ PCUP4UP9UP10