Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Российский университет кооперации
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
МТ-Б 1 сессия / Информатика / Информатика лекции вар.2 / Информатика лекции вар.2 / bt4_Комп_сети_безопасность.doc
Скачиваний:
27
Добавлен:
17.04.2015
Размер:
1.98 Mб
Скачать
►Содержание►

  1. Методы и средства защиты компьютерной информации

Методы и средства защиты ИС можно условно разделить на три больших группы

  • организационно-технические;

  • административно-правовые;

  • программно-технические.

Методы и средства защиты ИС

Организационно-технические подразумевают:

создание на предприятии специальных помещений для размещения компьютеров с ценной информацией;

выполнение работ по защите помещений от электромагнитного излучения с тем, чтобы исключить «съем» данных с мониторов и клавиатуры;

организацию пропускного режима и видеонаблюдения;

создание перечня объектов защиты и регламента доступа к ним;

организацию контроля и регистрацию использования переносных носителей данных и мобильных телефонов и т.п.

Создать эффективную систему безопасности только техническими средствами невозможно.

Необходимо применять административно-правовые методы защиты информационных систем. Должен быть разработан набор внутрифирменных регламентирующих документов.

Прежде всего - это положение о коммерческой тайне. В этом документе должны найти отражение следующие моменты:

  • информация, являющаяся коммерческой тайной;

  • технические носители, на которых размещаются данные, являющиеся коммерческой тайной;

  • режим коммерческой тайны (порядок доступа, регистрация доступа, права доступа);

  • ответственность за нарушение режима и разглашение коммерческой тайны;

  • обязанности лиц, допущенных к коммерческой тайне и отвечающих за защиту коммерческой тайны.

Важно, чтобы в перечень конфиденциальной информации были включены сведения о структуре вычислительной сети, средствах защиты и их конфигурации.

Должен быть разработан документ, регламентирующий работу пользователей информационной системы. Это может быть либо положение о защите информации (информационной безопасности), либо правила эксплуатации информационной системы предприятия. В этом документе должны быть изложены:

  • порядок установки ПО на компьютеры;

  • порядок подключения компьютеров к сети;

  • правила доступа в Интернет;

  • правила использования электронной почты;

  • действия в случае нарушения режима информационной безопасности.

Отдельно или в составе этого документа необходимо разработать требования по безопасности к програ

Программно-технические средства предназначены для предотвращения нарушения конфиденциальности и целостности данных, хранимых и обрабатываемых в информационной системе. Нарушение целостности – это несанкционированное внесение изменений в данные. Разрешение (санкционирование) доступа к данным осуществляется путем идентификации и аутентификации пользователя информационной системы.

Идентификация пользователя – это присвоение ему уникального кода, аутентификация – установление подлинности субъекта.

Каждый пользователь информационной системы должен иметь имя.

Имя не является секретным.

Секретной является информация, с помощью которой пользователь удостоверяет свою личность.

Обычно это пароль, который пользователь хранит в голове или в своих секретных записях и вводит с клавиатуры.

Для хранения пароля могут применяться специальные устройства: магнитные карты, чип карты, электронные ключи, брелки с USB- интерфейсом и т.д.

Средства зашиты вычислительных сетей предназначены для борьбы с внешними и внутренними угрозами. Для отражения угроз такого рода используют межсетевые экраны или как их еще называют firewall или брандмауэр (brandmauer).

Межсетевой экран – это программная или программно – аппаратная система защиты, обеспечивающая разделение сети на две части.

Суть защиты – пропуск сетевых пакетов с данными из одной части сети в другую в соответствии с установленным набором правил.

Межсетевые экраны могут устанавливаться внутри ЛВС предприятия для создания внутренних защищенных сегментов сети.

Для защиты сети от внешних угроз межсетевой экран устанавливается на границе между ЛВС и глобальной сетью Интернет.

Таким образом, с помощью брандмауэра можно запретить доступ из Интернет во внутреннюю сеть и разрешить доступ из внутренней сети в Интернет.

Брандмауэр может быть установлен и на отдельный персональный компьютер или сервер с целью защиты их от несанкционированного доступа со стороны других компьютеров локальной сети или сети Интернет.

В персональном брандмауэре устанавливаются параметры, регулирующие функционирование ПК в сети, например:

  • какие программы имеют право на выход в сеть;

  • правила пропуска пакетов из сети;

  • список доверенных сетевых адресов.

В операционную систему Windows, начиная с ХР, встроен персональный брандмауэр, выполняющий вышеперечисленные функции. Будучи включенным брандмауэр блокирует доступ к компьютеру из сети. Но бывают ситуации, когда для некоторых программ необходимо предоставить возможность доступа к ним из сети, например, программа сетевого общения Skype.

Как правило, межсетевые экраны включают в себя следующие компоненты:

фильтрующий маршрутизатор,

шлюз сетевого уровня,

шлюз прикладного уровня.

Фильтрующий маршрутизатор принимает решение о фильтрации пакетов с данными на основе сведений, содержащихся в IP-заголовке пакета: IP-адрес отправителя, IP-адрес получателя, порт отправителя, порт получателя. Тем самым можно запретить общение с нежелательными сервисами в Интернет. Так как кроме IP-заголовка маршрутизатор ничего не проверяет, то, изменив адрес в заголовке, злоумышленник может преодолеть этот барьер и проникнуть в сеть.

Шлюз сетевого уровня выполняет преобразование внутренних IP-адресов в один внешний IP-адрес, через который и происходит обмен данными с внешней сетью. Внутренняя структура локальной сети, таким образом, скрыта от внешнего мира. При этом шлюз при установке связи проверяет допустимость связи клиента с запрашиваемым ресурсом во внешней сети. Однако, такой шлюз пропускает пакеты в обоих направлениях, не проверяя их содержимого.

Шлюз прикладного уровня исключает прямое взаимодействие компьютера локальной сети и внешнего компьютера и дает возможность фильтрации протокола. Кроме этого шлюз предоставляет возможность регистрировать все попытки доступа извне в локальную сеть и предупреждать о возможных атаках на сеть.

Внешний экран на основе специальных правил (списков доступа) не пропускает внешний трафик, приходящий с «запрещенных» адресов сети Интернет. В список «запрещенных» обычно включают адреса спамеров, порносайтов и т.п.

В демилитаризованной зоне размещаются ресурсы, которые должны быть доступны из внешней сети, такие как WEB-сервер, почтовый сервер и т.п. Компьютеры, на которых расположены эти ресурсы имеют реальные IP-адреса, т.е. они «видны» в сети Интернет и к ним может обратиться любой пользователь, но опасность входящего трафика значительно снижена.

Схема взаимодействия внутренней и внешней сетей.

Внутренний экран «маскирует» компьютеры ЛВС, используя механизм трансляции сетевых адресов. В ЛВС используются локальные IP- адреса, которые не могут применяться в глобальной сети Интернет. Эти адреса специально зарезервированы для локальных сетей.

Экран осуществляет отображение пространства внутренних адресов на несколько реальных, имеющихся в распоряжении предприятия. Инициатором межсетевого обмена может выступать только компьютер ЛВС. Произвольный доступ из Интернет к любому компьютеру ЛВС невозможен. Дополнительно в межсетевом экране могут быть установлены правила, регулирующие права пользователей ЛВС на выход в Интернет.

Соседние файлы в папке Информатика лекции вар.2
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности