- •7 Модели безопасности основных ос
- •7.1 Понятие доступа и мониторинг безопасности
- •7.2 Основные типы политики безопасности
- •7.3 Реализация политики безопасности
- •7.3.1 Условия гарантированного легального доступа
- •7.4 Построение изолированной программной среды
- •7.5 Методика проектирования защищаемого фрагмента компьютерной системы
- •7.6 Контроль целостности объекта
- •7.6.1 Метод «безопасной загрузки» («ступенчатого контроля»)
- •7.7 Процесс установки ипс
- •7.8 Работа в ипс
- •7.9 Домены безопасности
- •9 Алгоритмы аутентификации пользователей
- •9.1 Типовые схемы идентификации и аутентификации пользователя
- •9.2 Взаимная проверка подлинности пользователей
- •9.3 Применение пароля для аутентификации
- •9.4 Биометрическая идентификация и аутентификация
- •10 Многоуровневая защита корпоративных сетей
- •10.1 Реализации многоуровневой комплексной защиты
- •10.1.1 Многоуровневая защита от ошибок
- •10.1.2 Многоуровневая защита от закладок
- •10.1.3 Многоуровневая защита от нсд
- •10.2 Корпоративные сети с многоуровневой коммутацией
- •10.2.1 Безопасность в многоуровневой модели
- •10.3 Защита информации в базах данных
- •4) Случайный выбор записи для обработки: такая организация выбора записей не позволяет проследить множество запросов.
- •10.4 Назначение экранирующих систем и требования к ним
- •10.5 Ограничение доступа в www серверах
- •11 Защита информации в сетях
- •11.1 Потенциальные угрозы безопасности информации в лвс
- •11.2 Система защиты информации от нсд в лвс
- •11.2.1 Защита от преднамеренного нсд
- •1 При этом защита данных файл-сервера осуществляется одним способом или в различных сочетаниях четырьмя способами:
- •3 Опознание пользователя и разграничение доступа в лвс можно также организовать с помощью шифровального устройства.
- •4 В менее ответственных лвс для защиты от модификации информации при её передаче по телефонным каналам используется система «обратный вызов».
- •5 Для защиты данных, передающихся по кабелю, существует несколько способов.
- •11.2.2 Средства управления защитой информации в лвс
- •11.2.3 Защита информации лвс от случайных нсд
- •11.2.4 Архивирование данных
- •11.2.5 Схема системы защиты информации в лвс
- •11.3 Оценка уровня безопасности информации от преднамеренного нсд в лвс
11.1 Потенциальные угрозы безопасности информации в лвс
В общем случае автономную ЛВС можно представить как сеть, элементами которой являются малые комплексы средств автоматизации – ПЭВМ с различным набором внешних устройств, а каналами связи – кабельные магистрали.
ПОТЕНЦИАЛЬНЫЕ УГРОЗЫ – это попытки несанкционированного доступа с целью модификации, разрушения, хищения информации или ознакомления с нею. Возможные каналы несанкционированного доступа к информации в ЛВС такие же, как в больших вычислительных сетях.
Отличием ЛВС, учитывая её относительно малую территорию размещения, является возможность расположения каналов связи ЛВС на охраняемой территории, что значительно сокращает количество потенциальных нарушителей и в некоторых менее ответственных системах позволяет с целью экономии уменьшить прочность защиты информации в кабельных линиях связи. Малые габариты компьютера позволяют разместить его на столе в отдельном защищённом помещении и облегчают, с одной стороны, проблему контроля доступа к его внутренним линиям связи и монтажу устройств.
С другой стороны, возникает ВОПРОС КОНТРОЛЯ ЦЕЛОСТНОСТИ ЛВС, т. е. схемы соединений сети, так как ЛВС – система по своей идее децентрализованная.
Также возникает вопрос: А ВСЕГДА ЛИ НЕОБХОДИМ ТАКОЙ КОНТРОЛЬ? Считается, что в очень маленьких ЛВС с парой компьютеров, которые разделяют жёсткий диск и принтер, диагностика является излишеством.
Но по мере РОСТА сети возникает необходимость в мониторинге сети и её диагностике.
Большинство ЛВС имеют ПРОЦЕДУРЫ САМОТЕСТИРОВАНИЯ низкого уровня, которые должны запускаться при включении сети.
Эти тесты обычно охватывают кабель, конфигурацию аппаратных средств, в частности плату интерфейса сети.
В составе БОЛЬШИХ ЛВС предусматриваются сложные системы с двойным назначением – МОНИТОРИНГОМ И ДИАГНОСТИКОЙ.
ЦЕНТР УПРАВЛЕНИЯ СЕТЬЮ (ЦУС) – это пассивное мониторинговое устройство, КОТОРОЕ СОБИРАЕТ ДАННЫЕ о потоках сообщений в сети, её характеристиках, сбоях, ошибках и т. д.
Данные о потоках сообщений показывают, КТО пользуется сетью, а также КОГДА и КАК она применяется.
Однако упомянутые выше средства диагностики ЛВС НЕ ОБНАРУЖИВАЮТ несанкционированное подключение к сети ПОСТОРОННЕЙ ЭВМ.
Отключение компьютера от сети контролируется, иногда с перерывами по желанию оператора или по запросу пользователя.
В больших ЛВС (до 10 км) кабельные линии могут выходить за пределы охраняемой территории или в качестве линий связи могут использоваться телефонные линии связи обычных АТС, на которых информация может подвергнуться несанкционированному доступу.
Кроме того, сообщения в локальной сети МОГУТ БЫТЬ ПРОЧИТАНЫ НА ВСЕХ ЕЕ УЗЛАХ, несмотря на специфические сетевые адреса. Посредством пользовательских модификаций последних все узлы сети могут считывать данные, циркулирующие в данной ЛВС.
Таким образом, в число возможных КАНАЛОВ преднамеренного несанкционированного доступа к информации для ЛВС входят:
– доступ в ЛВС со стороны штатной ПЭВМ;
– доступ в ЛВС со стороны кабельных линий связи.
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП СО СТОРОНЫ ШТАТНОЙ ПЭВМ (включая серверы) возможен по каналам для автономного режима её работы.
Здесь необходимо защищаться и от пользователя-нарушителя, допущенного только к определённой информации файл-сервера, и от ограниченного круга других пользователей данной ЛВС.
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП В ЛВС СО СТОРОНЫ КАБЕЛЬНЫХ ЛИНИЙ:
– со стороны штатного пользователя-нарушителя одной ПЭВМ при обращении к информации другой, в том числе файл-серверу;
– при подключении посторонней ПЭВМ и другой посторонней аппаратуры;
– при побочных электромагнитных излучениях и наводках за счёт переизлучения информации.
Кроме того, в результате аварийных ситуаций, отказов аппаратуры, ошибок операторов и разработчиков ПО ЛВС, возможны:
– переадресация информации;
– отображение и выдача её на рабочих местах, для неё не предназначенных;
– потеря информации в результате её случайного стирания или пожара.
Машинная память – достоинство автоматизированной системы. Но хранение данных в этой изменчивой среде повышает вероятность потери данных: несколько нажатий клавиш могут уничтожить результаты работы многих часов и даже лет.
Проникновение вируса в ПЭВМ может также неприятно отразиться на всей работе и информации ЛВС.