![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Пример системы защиты локальной вычислительной сети
Для иллюстрации приведем краткое описание системы защиты локальной вычислительной сети на основе ОС Novell NetWare, известной под названием «Secret NET». Назначение системы защиты. Система защиты «Secret NET» (далее по тексту Система защиты) предназначена для обеспечения защиты хранимой и обрабатываемой в локальной вычислительной сети (ЛВС) информации от несанкционированного доступа (ознакомления, искажения, разрушения) и противодействия попыткам нарушения нормального функционирования ЛВС и прикладных систем на ее основе. В качестве защищаемого объекта выступает ЛВС персональных ЭВМ, работающих под сетевой операционной системой Novell NetWare 3.1x (файловые серверы), объединенных при помощи сетевого оборудования Ethernet, Arcnet или Token-Ring. Максимальное количество защищенных станций — 256, защищенных файловых серверов — 8, уникально идентифицируемых пользователей — 255. Система защиты позволяет решать следующие задачи: • защита от лиц, не допущенных к работе с системой обработки информации; • регламентация (разграничение) доступа законных пользователей и программ к информационным, программным и аппаратным ресурсам системы в строгом соответствии с принятой в организации политикой безопасности; • защита ЭВМ сети от внедрения вредоносных программ (закладок), а также инструментальных и технологических средств проникновения; • обеспечение целостности критических ресурсов Системы защиты и среды исполнения прикладных программ; • регистрация, сбор, хранение и выдача сведений обо всех событиях, происходящих в сети и имеющих отношение к ее безопасности; • централизованное управление средствами Системы защиты. Для решения перечисленных задач Система защиты включает следующие подсистемы (ПС): • идентификации и аутентификации пользователей; • разграничения доступа к ресурсам; • контроля целостности; • регистрации; • управления средствами защиты (администрирования). Общее содержание функций подсистем заключается в следующем. ПС идентификации и аутентификации. Выполняет функцию идентификации/аутентификации (проверки подлинности) пользователя при каждом его входе в Систему, а также после каждой приостановки его работы. Для идентификации в системе каждому пользователю присваивается уникальное имя. Обеспечивается работа с именами длиной до 12 символов (символов латинского алфавита и специальных символов). Вводимое имя отображается на экране рабочей станции. Проверка подлинности пользователя осуществляется после его идентификации для подтверждения того, что пользователь действительно является тем, кем представился. Проверка осуществляется путем проверки правильности введенного пароля. Поддерживается работа с паролями длиной до 16 символов. Вводимый пароль не отображается на экране рабочей станции. При неправильно введенном пароле на экран выдается сообщение об ошибке и подается звуковой сигнал. При трехкратном неверном вводе пароля блокируется клавиатура, выдается сообщение о попытке НСД на сервер управления доступом и осуществляется оперативное оповещение администратора безопасности, регистрируется попытка НСД в системном журнале и выдается звуковой сигнал. Пароли администратора и всех пользователей системы хранятся в зашифрованном виде и могут быть изменены как администратором безопасности, так и конкретным пользователем (изменение только своего пароля) с помощью специальных программных средств. Для повышения защищенности идентификация/аутентификация пользователя может проводиться до загрузки операционной системы. Это обеспечивается специальным техническим устройством (микросхемой ПЗУ или платой Secret NET Card). ПС разграничения доступа. Реализует концепцию диспетчера доступа, при которой ПС является посредником при всех обращениях субъектов к объектам доступа (попытки обращения к объекту в обход ПС приводят к отказу в доступе); может работать в одном из двух режимов функционирования: основном и технологическом. Технологический режим предназначен для точного определения объектов, к которым должен иметь доступ пользователь, и прав доступа к ним. При работе в этом режиме Система только регистрирует все попытки доступа к защищаемым ресурсам в системном журнале и выдает предупреждающие сообщения на экран. В основном режиме Система защиты не только регистрирует попытки доступа к защищаемым ресурсам, но и блокирует их. Пользователю предоставлена только возможность назначения прав доступа других пользователей к принадлежащим ему (созданным им) объектам. Для реализации избирательного управления доступом подсистема поддерживает замкнутую среду доверенного программного обеспечения (с помощью индивидуальных для каждого пользователя списков программ, разрешенных для запуска). Создание и ведение списков программ возложено на администратора. Для этого в его распоряжении имеются специальные программные средства. Для совместного использования программ и данных Система защиты предусматривает возможность объединения пользователей в группы. Права доступа группы наследуются всеми пользователями этой группы. ПС обеспечивает контроль доступа субъектов к следующим объектам: • физическим и логическим устройствам (дискам, принтерам); • каталогам дисков; • файлам; • физическим и логическим секторам дисков. В подсистеме реализована сквозная иерархическая схема действия прав доступа к локальным объектам рабочей станции, при которой объект нижнего уровня наследует права доступа объектов доступа верхних уровней (диск — каталог — файл). Права доступа пользователя к объектам системы могут принимать следующие значения: • запрет доступа — пользователь не имеет возможности выполнять с объектом какие-либо действия; • наличие доступа — в этом случае уровень доступа может быть одним из следующих: доступ на чтение, доступ на запись, доступ на исполнение (субъект может только запустить объект на исполнение). ПС контроля целостности. В системе контролируется целостность следующих объектов: операционных систем локальных рабочих станций, программ Системы защиты, файлов паспортов пользователей и системных областей локальных дисков рабочих станций, а также файлов пользователей (по требованию пользователей). Контроль осуществляется методом контрольного суммирования с использованием специального алгоритма и производится периодически администратором. Для этого ему предоставлены соответствующие программные средства. В случае обнаружения нарушения целостности контролируемых объектов производится регистрация этого события в системном журнале и оперативное оповещение администратора. В случае нарушения целостности системных областей диска, кроме того, производится их восстановление с использованием резервных копий. ПC регистрации событий безопасности — обеспечивает: • ведение и анализ журналов регистрации событий безопасности (системных журналов), причем журнал регистрации ведется для каждой рабочей станции сети; • оперативное ознакомление администратора с системным журналом любой станции и с журналом событий об НСД; • получение твердой копии системного журнала; • преобразование содержимого системных журналов в формат DBF для их дальнейшего анализа; • объединение системных журналов и их архивирование; • оперативное оповещение администратора о нарушениях безопасности. ПС управления средствами защиты. Подсистема позволяет администрации безопасности осуществлять: • централизованное (с АРМ администратора) создание и удаление пользователей, изменение их полномочий и паролей; • установку атрибутов доступа пользователей к ресурсам; • централизованное создание, удаление и изменение состава групп пользователей, а также их прав доступа; • централизованное управление группами компьютеров; • централизованное управление оперативным оповещением о НСД; • централизованное управление регистрацией событий и просмотр системных журналов. Контрольные вопросы 1. Перечислите уровни информационной безопасности. 2. В чем состоят основные угрозы информационной безопасности? 3. Что такое политика безопасности? 4. Перечислите основные направления физической защиты. 5. Охарактеризуйте основные программно-технические меры защиты информации. 6. Что такое протоколирование и аудит? 7. Что такое криптология? 8. Что такое ключ? 9. Что из себя представляет криптосистема? 10. Дайте определение стойкости криптосистемы. 11. Объясните суть алгоритма DES и укажите на его особенности. 12. Какие классы антивирусных программ вам известны? 13. Какие вредоносные программные закладки кроме вирусов вам вестны? 14. Какие типы компьютерных вирусов вам известны? 15. Укажите основные признаки заражения компьютера. 16. Какие существуют методы борьбы с компьютерными вирусами? 17. Дайте классификацию антивирусных программ. 18. Что такое программа-полифаг? 19. Что такое программа-детектор? 20. В чем заключается установление и контроль привилегий в СУБД? 21. Что такое механизм ролей? 22. Охарактеризуйте задачи стандарта Х.800. 23. Что такое туннелирование? 24. Перечислите механизмы защиты информации в сетях. Заключение Современный период развития цивилизованного общества характеризует процесс информатизации. Информатизация общества — это глобальный социальный процесс, особенность которого состоит в том, что доминирующим видом деятельности в сфере общественного производства является сбор, накопление, продуцирование, обработка, хранение, передача и использование информации, осуществляемые на основе современных средств микропроцессорной и вычислительной техники, а также на базе разнообразных средств информационного обмена. Информатизация общества обеспечивает: • активное использование постоянно расширяющегося интеллектуального потенциала общества, сконцентрированного в печатном фонде, и научной, производственной и других видах деятельности его членов, • интеграцию информационных технологий с научными, производственными, инициирующую развитие всех сфер общественного производства, интеллектуализацию трудовой деятельности; • высокий уровень информационного обслуживания, доступность любого члена общества к источникам достоверной информации, визуализацию представляемой информации, существенность используемых данных. Применение открытых информационных систем, рассчитанных на использование всего массива информации, доступной в данный момент обществу в определенной его сфере, позволяет усовершенствовать механизмы управления общественным устройством, способствует гуманизации и демократизации общества, повышает уровень благосостояния его членов. Процессы, происходящие в связи с информатизацией общества, способствуют не только ускорению научно-технического прогресса, интеллектуализации всех видов человеческой деятельности, но и созданию качественно новой информационной среды социума, обеспечивающей развитие творческого потенциала индивида.
|