- •38.) Засоби захисту комп’ютерних мереж. Системи захисту в мережі Internet.
- •39.) Оптимізація мереж. Вибір конфігурації FastEthernet.
- •Правила моделі 1
- •Розрахунок по моделі 2
- •Способи доступу в Інтернет
- •Електропроводка (лінія 220в)
- •Лінії передач з використанням штучнихсупутників Землі
- •42.) Модеми. Структура. Стандарти на модуляцію.
- •Структура модема.
- •43.) Підключення до глобальної мережі. Технологія віртуальних каналів.
- •44.) Технологія передачі інформації в Internet. Адресація (ір - адресація)
38.) Засоби захисту комп’ютерних мереж. Системи захисту в мережі Internet.
Інформаційна безпека – це проведення правових, організаційних і інженерно-технічних заходів при формуванні і використанні інформаційних технологій, інфраструктури і інформаційних ресурсів, захисту інформації високої значущості і прав суб'єктів, що беруть участь в інформаційній діяльності.
Інформаційна безпека дає гарантію того, що досягаються наступні цілі:
конфіденційність критичної інформації
цілісність інформації і пов'язаних з нею процесів (створення, введення, обробки і виводу)
доступність інформації, коли вона потрібна
облік всіх процесів, пов'язаних з інформацією.
Засоби забезпечення інформаційної безпеки залежно від способу з реалізації можна розділити на наступні класи методів:
- організаційні методи мають на увазі раціональну конфігурацію, організацію і адміністрування системи.
- технологічні методи, що включають технології виконання мережевого адміністрування, моніторингу і аудиту безпеки інформаційних ресурсів, ведення електронних журналів реєстрації користувачів, фільтрації і антивірусної обробки інформації, що поступає;
- апаратні методи, що реалізовують фізичний захист системи від несанкцио нированного доступу, апаратні функції ідентифікації периферійних терминалов системи і користувачів, режими підключення мережевих компонен тов і т. д.;
- програмні методи — це найпоширеніші методи захисту інформації (наприклад, програми ідентифікації користувачів, парольною защити і перевірки повноважень, брандмауери, криптопротоколы і т. д.).
Всі джерела погроз інформаційній безпеці можливо підрозділити на зовнішніх і внутрішніх.
До зовнішніх джерел відносяться:
- ворожа політика іноземних держав в області глобального інформаційного моніторингу, розповсюдження інформації і нових інформаційних технологій;
- діяльність іноземних розвідувальних і спеціальних служб;
- діяльність іноземних політичних і економічних структур, направлена проти інтересів держави;
- злочинні дії міжнародних груп, формувань і окремих осіб;
- стихійні лиха і катастрофи.
Внутрішніми джерелами погроз є:
- протизаконна діяльність політичних і економічних структур в області формування, розповсюдження і використання інформації;
- неправомірні дії державних структур, які приводять до порушення законних прав громадян і організацій в інформаційній сфері;
- порушення встановлених регламентів збору, обробка і передачі інформації;
- навмисні дії і ненавмисні помилки персоналу інформаційних систем
- відмови технічних засобів і збої програмного забезпечення в інформаційних і телекомунікаційних системах.
Класифікація інформаційних погроз по засобах впливу.
Програмно-апаратні засоби погроз включають:
впровадження програм-вірусів;
установку програмних і апаратних закладних пристроїв;
знищення або модифікацію даних в інформаційних системах.
Фізичні засоби погроз можна підрозділити на:
знищення або руйнування засобів обробки інформації і зв'язку;
знищення, руйнування або розкрадання машинних або інших оригіналів носіїв інформації;
розкрадання програмних або апаратних ключів і засобів криптографічного захисту інформації
вплив на персонал;
постачання «заражених» компонентів інформаційних систем.
перехоплення інформації в технічних каналах його витоку;
впровадження електронних пристроїв перехоплення інформації в технічних засобах і приміщеннях;
перехоплення, дешифровка і нав'язування помилковій інформації в мережах передача даних і лініях зв'язку;
вплив на парольно- ключові системи;
радіоелектронне придушення ліній зв'язку і систем управління.
До інформаційних засобів погроз відносяться:
порушення адресності і своевременност інформаційного обміну, протизаконний збір і використання інформації;
несанкціонований доступ до інформаційних ресурсів;
незаконне копіювання даних в інформаційних системах;
Основними об'єктами інформаційної безпеки в загальнодержавних інформаційних і телекомунікаційних системах є:
- інформаційні ресурси,
- засоби і системи автоматизації
- технічні засоби і системи,
Питання, що стосуються забезпечення безпеки комп'ютерних систем, можна умовно розділити на наступні групи:
1. Забезпечення фізичної безпеки компонентів комп'ютерної системи. Сюди відносяться питання захисту комп'ютерних систем від пожежі, затоплення, інших стихійних лих, збоїв живлення, крадіжки, пошкодження, задимлення і так далі
2. Забезпечення логічної безпеки компонентів комп'ютерних систем. Сюди відносяться питання эащиты комп'ютерних систем від неавтоpизованного доступу, від умисних і ненавмисних помилок в діях людей і програм, які можуть привести до збитку і так далі
3. Забезпечення соціальної безпеки компонентів комп'ютерних систем. Сюди відносяться питання розробки законодавства, регулюючого при менение комп'ютерів і визначального порядок розслідування і покарання наpуше ний безпеки комп'ютерних систем; принципи і правила такої організації обслуговування користувачів в комп'ютерних системах, яка зменшувала б ризик порушення безпеки комп'ютерних систем і так далі
4. Забезпечення етичної безпеки компонентів комп'ютерних систем.
Основні поняття, якими оперує теорія комп'ютерної безпеки є: загрози, уразливості і атаки.
загроза безпеці комп'ютерної системи — це потенційно можлива подія, неважливо, навмисна чи ні, яке може надати небажану дію на саму систему, а також на інформацію, що зберігається в ній.
Уразливість комп'ютерної системи — це деяка слабкість системи безпеки, яка може послужити причиною нанесення комп'ютерній системі збитку.
атака на комп'ютерну систему — це дія, що робиться зловмисником, яке полягає в пошуку і використанні тієї або іншої уразливості. При здійсненні атаки виконується дія деякого суб'єкта комп'ютерної системи (користувача, програми, процесу і так далі), що використовує уразливість комп'ютерної системи для досягнення цілей, що виходять за межі ав тоpизации даного суб'єкта в комп'ютерній системі Далі, виділяються три основні види погроз безпеці — це погрози розкриття, загрози цілісності і загрози відмови в обслуговуванні.
Загроза розкриття полягає в тому, що інформація стає відомою тому, кому не слідувало б її знати. В термінах комп'ютерної безпеки загроза розкриття має місце всякий раз, коли дістав доступ до деякої конфіденційної інформації, що зберігається в обчислювальній системі або передаваній від однієї системи до іншої. Іноді замість слова «розкриття» використовуються терміни «крадіжка» або «витік».
Загроза цілісності. включає будь-яку умисну зміну (модифікацію або навіть видалення) даних, що зберігаються в обчислювальній системі або передаваних з однієї системи в іншу.
Загроза відмови в обслуговуванні виникає всякий раз, коли в результаті деяких дій блокується доступ до деякого ресурсу обчислювальної системи.
Із зростанням числа важливих операцій, що здійснюються в електронному вигляді, проблема захисту мережевої взаємодії придбала життєву важливість. Електронні транзакції, які здійснюються як усередині однієї організації, так і між різними організаціями, вимагають захисту від різних погроз, включаючи перехоплення даних, підробку посвідчень і несанкціоновану модифікацію повідомлень. Windows Server 2003 забезпечує такий захист за допомогою компонентів, необхідних для створення PKI.
Введення в інфраструктуру відкритих ключів
Інфраструктура відкритих ключів — це набір програмних компонентів і що дію ммть політик, керівників розповсюдженням і використанням відкритих і закритих ключів за допомогою цифрових сертифікатів. Для захисту передаваних в мережі даних комп'ютери за допомогою різних методів шифрування кодують повідомлення і створюють цифрові підписи, таких, що засвідчують їх достовірність. Щоб один комп'ютер зміг зашифрувати повідомлення, а інший — розшифрувати його, обом потрібний ключ.
Застосування сертифікатів
Щоб шифрування відкритим ключем було надійним способом захисту даних, необхідний контрольований механізм розповсюдження відкритих ключів, щоб ніхто не зміг поширювати відкриті ключі від імені інших осіб і отримувати призначені їм зашифровані повідомлення (а вони можуть бути розшифровані за допомогою відповідного закритого ключа). Для розповсюдження відкритих ключів в Windows Server 2003 і більшості інших ОС, підтримуючих PKI, використовуються цифрові сертифікати. Цифровий сертифікат (digital certificate) — це документ, надійно зв'язуючий відкритий ключ з конкретною особою або організацією.
Крім відкритого ключа сертифікат містить наступні атрибути:
версія стандарту Х.509, в якій описаний формат даного сертифікату;
серійний номер. Привласнене значення ЦС, що однозначно ідентифікує сертифікат;
ідентифікатор алгоритму підпису, що визначає алгоритм, використаний ЦС при генерації цифрового підпису для сертифікату;
ім'я центру сертифікації — найменування структури, що видала сертифікат;
термін дії, протягом якої діє сертифікат;
ім'я власника — ім'я особи, якій виданий сертифікат.
Багато сертифікатів містять і інші атрибути залежно від свого призначення.
Для застосування шифрування з відкритим ключем необхідно отримати сертифікат від адміністративної структури, званої центром сертифікації (ЦС). ЦС може бути сторонньою компанією, якою довірено засвідчувати достовірність учасників електронних транзакцій, або програмним модулем на комп'ютері під управлінням Windows Server 2003 або іншій ОС. Тип використовуваного організацією ЦС залежить від учасників захищених транзакцій.
Отримання сертифікату від ЦС може відбуватися уручну, коли користувач явно запрошує сертифікат, або автоматично, коли додаток запрошує і отримує сертифікат в ході звичайної роботи. Незалежно від способу отримання сертифікату ЦС генерує криптографічну пару, що складається із закритого і відкритого ключів. Закритий ключ зберігається на комп'ютері користувача в зашифрованому вигляді, а відкритий ключ видається у складі сертифікату. Сертифікат, по суті, є контейнером відкритого ключа і пов'язаної з ним інформації, що полегшує передачу ключа людям, яким він необхідний.
Призначення PKI
У Windows Server 2003 PKI дозволяє адміністраторові мережі вирішувати наступні завдання.
Публікація сертифікатів. Служби сертифікації дозволяють створювати сертифікати і публікувати їх на Web-сайте або в Active Directory, звідки клієнти (користувачі, комп'ютери і додатки) можуть їх отримати.
Подача заявок клієнтами. Подачею заявки (enrollment) називається запит і отримання сертифікату клієнтом у ЦС. Коли клієнт запрошує сертифікат, ЦС (або адміністратор ЦС) перевіряє достовірність клієнта і видає сертифікат на його ім'я.
Використання сертифікатів. Запитавши і отримавши сертифікат, клієнт може використовувати його в різних механізмах захисту даних залежно від можливостей і призначення сертифікату.
Оновлення сертифікатів. Сертифікати зазвичай діють протягом обмеженого періоду, після якого клієнт повинен відновити сертифікат в ЦС або припинити його використання.
Відгук сертифікатів. Коли адміністратор ЦС явним чином відкликає сертифікат, ЦС додає його в список відгуку сертифікатів (certificate revocation list, CRL). ЦС регулярно публікує цей список, щоб повідомити інші системи в мережі про сертифікати, що припинили дію.
Подібно до більшості компонентів мережі, реалізація PKI вимагає ретельного планування, яке зазвичай включає наступні основні етапи.
Визначення вимог до сертифікатів.
Створення інфраструктури центрів сертифікації.
Настройка сертифікатів.
Створення інфраструктури ЦС
Визначивши область застосування сертифікатів і користувачів, яким вони необхідні, можна приступати до планування інфраструктури ЦС, що видають сертифікати. ЦС організовані в ієрархію, в якій достовірність кожного ЦС підтверджує інший ЦС, розташований рівнем вище, достовірність цього ЦС — ЦС ще більш високого рівня і так далі до вищого, кореневого ЦС. Кореневий ЦС є останньою інстанцією організації відносно сертифікації. ЦС видають сертифікати не тільки додаткам і користувачам, але і іншим ЦС. Довіряючи деякому кореневому ЦС, ви автоматично довіряєте всім його підлеглим ЦС. Довірчі відносини між ЦС, подібно до дозволів файлової системи, направлені від кореня ієрархії до її нижніх рівнів.
При створенні інфраструктури ЦС в організації потрібно вирішити, скільки потрібний ЦС, які ЦС використовувати, де їх розміщувати і якими відносинами довіри вони повинні бути зв'язані.
Внутрішні і зовнішні ЦС
Потреби сертифікації можуть задовольнятися внутрішніми ЦС, що працюють на комп'ютерах вашої мережі, або зовнішніми комерційними ЦС. У окремих ситуаціях (наприклад, для підписання коди) вибір типу ЦС ясний, але часто він залежить від потреб і можливостей вашої організації.
Часто в організаціях поєднують використання внутрішніх і зовнішніх ЦС. Внутрішні ЦС застосовуються для захисту операцій усередині організації, а зовнішні — для захисту зовнішніх транзакцій, наприклад операцій з клієнтами.