- •7 Модели безопасности основных ос
- •7.1 Понятие доступа и мониторинг безопасности
- •7.2 Основные типы политики безопасности
- •7.3 Реализация политики безопасности
- •7.3.1 Условия гарантированного легального доступа
- •7.4 Построение изолированной программной среды
- •7.5 Методика проектирования защищаемого фрагмента компьютерной системы
- •7.6 Контроль целостности объекта
- •7.6.1 Метод «безопасной загрузки» («ступенчатого контроля»)
- •7.7 Процесс установки ипс
- •7.8 Работа в ипс
- •7.9 Домены безопасности
- •9 Алгоритмы аутентификации пользователей
- •9.1 Типовые схемы идентификации и аутентификации пользователя
- •9.2 Взаимная проверка подлинности пользователей
- •9.3 Применение пароля для аутентификации
- •9.4 Биометрическая идентификация и аутентификация
- •10 Многоуровневая защита корпоративных сетей
- •10.1 Реализации многоуровневой комплексной защиты
- •10.1.1 Многоуровневая защита от ошибок
- •10.1.2 Многоуровневая защита от закладок
- •10.1.3 Многоуровневая защита от нсд
- •10.2 Корпоративные сети с многоуровневой коммутацией
- •10.2.1 Безопасность в многоуровневой модели
- •10.3 Защита информации в базах данных
- •4) Случайный выбор записи для обработки: такая организация выбора записей не позволяет проследить множество запросов.
- •10.4 Назначение экранирующих систем и требования к ним
- •10.5 Ограничение доступа в www серверах
- •11 Защита информации в сетях
- •11.1 Потенциальные угрозы безопасности информации в лвс
- •11.2 Система защиты информации от нсд в лвс
- •11.2.1 Защита от преднамеренного нсд
- •1 При этом защита данных файл-сервера осуществляется одним способом или в различных сочетаниях четырьмя способами:
- •3 Опознание пользователя и разграничение доступа в лвс можно также организовать с помощью шифровального устройства.
- •4 В менее ответственных лвс для защиты от модификации информации при её передаче по телефонным каналам используется система «обратный вызов».
- •5 Для защиты данных, передающихся по кабелю, существует несколько способов.
- •11.2.2 Средства управления защитой информации в лвс
- •11.2.3 Защита информации лвс от случайных нсд
- •11.2.4 Архивирование данных
- •11.2.5 Схема системы защиты информации в лвс
- •11.3 Оценка уровня безопасности информации от преднамеренного нсд в лвс
11.2 Система защиты информации от нсд в лвс
Анализ ЛВС как объекта защиты, возможных каналов несанкционированного доступа (ВКНСД) к информации ограниченного пользования и потенциальных угроз позволяет выбрать и построить соответствующую систему защиты.
11.2.1 Защита от преднамеренного нсд
НСД со стороны пользователя-нарушителя, очевидно, потребует создания на программном уровне ЛВС СИСТЕМЫ ОПОЗНАНИЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА к информации (СОРДИ) со всеми её атрибутами:
– средствами идентификации и аутентификации пользователей, а также
– разграничения их полномочий по доступу к информации файл-сервера и другим ПЭВМ данной ЛВС.
1 При этом защита данных файл-сервера осуществляется одним способом или в различных сочетаниях четырьмя способами:
А) входным паролем.
Это первый уровень сетевой защиты. Защита при входе в сеть применяется по отношению ко всем пользователям. Чтобы выйти в файл-сервер, пользователю нужно знать своё «имя» и соответствующий пароль (6–8 символов).
Администратор безопасности может установить ДОПОЛНИТЕЛЬНЫЕ ОГРАНИЧЕНИЯ ПО ВХОДУ в сеть:
1) ограничить период времени, в течение которого пользователь может входить в сеть;
2) назначить рабочим станциям специальные адреса, с которыми разрешено входить в сеть;
3) ограничить количество рабочих станций, с которых можно выйти в сеть;
4) установить режим «запрета постороннего вторжения», когда ПРИ НЕСКОЛЬКИХ несанкционированных попытках С НЕВЕРНЫМ ПАРОЛЕМ устанавливается ЗАПРЕТ НА ВХОД в сеть.
Б) Попечительской защитой данных.
Это второй уровень защиты данных в сети – используется для управления возможностями индивидуальных пользователей по работе с файлами в заданном каталоге.
ПОПЕЧИТЕЛЬ – это пользователь, которому предоставлены привилегии или права для работы с каталогом и файлами внутри него.
Любой попечитель может иметь восемь разновидностей прав:
– Read – право Чтения открытых файлов;
– Write – право Записи в открытые файлы;
– Open – право Открытия существующего файла;
– Create – право Создания (и одновременно открытия) новых файлов;
– Delete – право Удаления существующих файлов;
– Parental – Родительские права:
* право Создания, Переименования, Стирания подкаталогов каталога;
* право Установления попечителей и прав в каталоге;
* право Установления попечителей и прав в подкаталоге;
– Search – право Поиска каталога;
– Modify – право Модификации файловых атрибутов.
В) Защитой в каталоге.
Это третий уровень защиты данных в сети. Каждый каталог имеет «маску максимальных прав».
Когда создаётся каталог, маска прав каталога содержит те же восемь разновидностей прав, что и попечитель.
Ограничения каталога применяются только в одном заданном каталоге. Защита в каталоге не распространяется на его подкаталоги.
Д) Защитой атрибутами файлов.
Четвёртый уровень защиты данных в сети. При этом предусмотрена возможность устанавливать, может ли индивидуальный файл быть изменён или разделён.
Защита атрибутами файлов используется в основном для Предотвращения Случайных Изменений Или Удаления отдельных файлов.
Такая защита, в частности, полезна для защиты информационных файлов общего пользования, которые обычно читаются многими пользователями. Эти файлы не должны допускать порчи при попытках изменений или стирания. В защите данных используются четыре файловых атрибута: «Запись–Чтение/Только чтение» и «Разделяемый/Неразделяемый».
2 Чтобы исключить ВОЗМОЖНОСТЬ ОБХОДА систем опознания и разграничения доступа в ПЭВМ и ЛВС путём применения отладочных программ, а также проникновения компьютерных вирусов, РЕКОМЕНДУЕТСЯ, если это возможно, в данной ЛВС применять ПЭВМ БЕЗ ДИСКОВОДОВ или хотя бы ЗАБЛОКИРОВАТЬ ИХ МЕХАНИЧЕСКОЙ крышкой, опечатываемой администратором безопасности.
Данная мера, кроме того, защищает от кражи данных, которые можно скопировать на мобильные носители данных в течение нескольких минут. Эти носители легко спрятать и вынести за пределы даже охраняемой территории.
Многие поставщики сетей сейчас обеспечивают ВОЗМОЖНОСТЬ ЗАГРУЗКИ локальных рабочих станций С ЦЕНТРАЛЬНОГО СЕРВЕРА и таким образом делают ПЭВМ без диска пригодной для использования в сети.
В тех же случаях, когда требуется локальное запоминающее устройство, допускается возможность замены внешнего мобильного носителя на местный жёсткий диск.