![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Обзор современных программных СЗИ
В последующих х будут более или менее подробно рассмотрены подсистемы безопасности (ПСБ) наиболее распространенных программных систем и наиболее широко представленные на рынке специализированные ПСЗИ: -ПСБ системного ПО (операционных систем); -ПСБ хранилищ данных под управлением СУБД; -средства защиты файлов и дисков; -средства создания защищенных каналов передачи информации; -средства защиты от вторжений из глобальных сетей. Подсистемы безопасности операционных систем. Наиболее распространенными в России ОС на данный момент являются продукты фирмы Microsoft. В классе домашних, офисных, клиентских – это повсеместно ОС группы Windows 95/98/XP. В классе серверных платформ преобладают ОС Windows NT/2000, затем следуют ОС Nowell Netware и на третьем месте – различные релизы LINUX удельный вес которых постоянно растет. Типовыми функциями подсистемы безопасности ОС (ПСБ) являются: -защита жизненно важных компонентов самой ОС; -аутентификация пользователей; -управление доступом пользователей к ресурсам и функциям; -аудит работы ОС и пользователей. Общеизвестно, что ОС Windows 95/98 фактически являются однопользовательскими системами, и в них практически отсутствуют ПСБ. То есть, любой пользователь, получивший доступ к компьютеру, на котором они установлены, обладает полным доступом ко всем ресурсам и функциям этих ОС. При организации одноранговых сетей из компьютеров, оснащенных данными ОС, можно разграничить доступ к различным папкам в структуре их файловых систем с других компьютеров в сети (включая доступ по паролю и доступ только на чтение). ОС группы Windows NT/2000/ХР являются многопользовательскими, как при использовании в качестве рабочей станции, так и в качестве сервера. При инициации эти ОС создают по умолчанию суперпользователя “АДМИНИСТРАТОР” с полным набором прав доступа, от имени которого можно создавать затем других пользователей, имеющих собственные идентификаторы, пароли, а также различные (ограниченные) права доступа к ресурсам и функциям, даже если они работают на одном и том же компьютере. Сетевой доступ к серверам на базе этих ОС также является более безопасным и гибко настраиваемым. ОС Nowell Netware являются в чистом виде сетевыми и устанавливаются только на выделенные серверы, консоль которых в принципе может использоваться только для администрирования системы и только одним пользователем (SUPERVISOR). Он также может создавать других пользователей и наделять их различными правами доступа к объектам сетевой файловой системы (NDS). Многопользовательская ОС LINUX может использоваться в качестве пользовательской и серверной платформы. Полным набором прав доступа к этой ОС обладает суперпользователь ROOT, только от имени которого могут запускаться почти все сервисы администрирования системы. ПСБ LINUX имеет несколько степеней защиты – от упрощенного до “параноидального”. Кроме стандартных средств аутентификации, управления доступом и аудита, в нее встроены программные маршрутизаторы и межсетевые экраны. К достоинствам ПСБ LINUX следует отнести также “бесследное” удаление файлов (в отличие от ОС Windows и Netware). Следует также отметить, что для ОС LINUX имеются средсва эмуляции серверов Windows NT 4.0 (SAMBA) и Nowell Netware 3.12 (MARS), поддерживающие все функции ПСБ этих ОС. Средства ЗИ в системах управления базами данных (СУБД). В настоящее время существует большое количество классов СУБД, позволяющих создавать базы данных различных масштабов и уровней защищенности – от однопользовательских “настольных” БД до мощных корпоративных хранилищ данных, используемых сотнями и тысячами пользователей посредством удаленного доступа по различным каналам. Однопользовательские (“настольные”) СУБД практически не имеют собственных средств ЗИ. Основная проблема заключается в том, что пользователь, получивший доступ к работе с данными, накопленными в БД, через некий стандартный интерфейс (приложение) одновременно получает права на уровне ОС на чтение/модификацию файлов БД. Как правило, эти файлы можно прочитать каким-либо внешним средством просмотра: -для наиболее распространенных файлов типа dbase - это различные вьюеры в файловых менеджерах типа Norton Commander, MS Excell, программа Dbview и т.п.; -ряд форматов файлов БД можно читать просто любым текстовым редактором или вьюером, поскольку они записаны просто в структурированный ASCII-файл. При этом, даже если файлы данных нельзя прочитать напрямую в связи с использованием какого-либо специального формата или средств шифрования, их можно скопировать, испортить или удалить. К этому классу относятся следующие СУБД: клоны Dbase, Clipper, FoxPro, Paradox, MS Access. Многопользовательские СУБД, поддерживающие технологию “файл-сервер” (см. лекцию 13) являются, как правило, расширениями “настольных” СУБД и наследуют их недостатки в сфере информационной безопасности. Так, например, удаленные пользователи имеют те же права на файлы данных, что и локальные пользователи. Наиболее защищенными являются СУБД, поддерживающие различные варианты технологии “клиент-сервер” (см. лекцию 13). Их глобальными преимуществами являются: -наличие механизма, отделяющего пользователей от файлов БД (системы драйверов); -возможность располагать файлы БД на разных физических носителях и серверах, доступ к которым пользователям закрыт; -наличие гибкой системы разграничения полномочий пользователей (групп) к различным объектам БД (таблицам, их столбцам и строкам). К этому классу относятся следующие СУБД: MS SQL-server, Informix, DB2, " Oracle", " Линтер". На примере двух последних будут рассмотрены механизмы работы СЗИ СУБД данного класса. ПСЗИ для персональных компьютеров. Поскольку ПК являются наиболее массовым вариантом использования компьютерной техники, в дальнейшем изучении ПСЗИ будет также уделено внимание рассмотрению специализированных средств, повышающих уровень безопасности ПК, обеспечиваемый с помощью штатных ОС. Учитывая, что основными проблемами ОС W95/98 являются отстутствие средств аутентификации, управления доступом и защиты от вторжений извне, в последующих х планируется изучение: -программных средств для аутентификации доступа к компьютеру; -ПО для создания защищенных файлов, папок, логических дисков; -средств защиты ПК при работе в " Интернет". ПСЗИ первой группы блокируют штатный (незащищенный) процесс старта ОС W95/98 и заменяют его процессом авторизованного входа в систему, как при старте NT (например, программа Access Denied). Средства второй группы обеспечивают дифференцированный доступ разных пользователей к объектам файловой системы (файлам, папкам, логическим дискам). При этом, как правило, с помощью данных средств пользователи защищают собственные конфиденциальные информационные ресурсы. Основным методом, используемым в них, является шифрование. К данным средствам относятся: Secret Disc, Dallas Lock, Norton Your Eays Only и т.п. К средствам третьей группы относятся различные классы программ: -ПСБ стандартных броузеров (IE Explorer, Mozilla, Opera...); -персональные брандмауэры (); -антивирусные средства (AVP, Doctor WEB...); -программы поиска “шпионов” и “закладок”(AD-Aware...). На рынке представлен большой выбор средств, реализующих как одну из перечисленных функций, так и являющихся интегрированными решениями в данном секторе. Специализированные ПСЗИ для локальных и корпоративных сетей. Локальные сети с точки зрения информационной безопасности характеризуются ограниченностью в пространстве (как правило, в пределах контролируемой зоны внутри одного здания), отсутствием прямых соединений с другими ЛС, единой транспортной средой (кабель, протоколы, интерфейсы). Специализированные программные СЗИ для локальных сетей являются, как правило, надстройками над сетевыми ОС и обеспечивают более удобное управление их ПСБ и (или) добавляют некоторые дополнительные эксклюзивные функции безопасности. К подобным средствам относятся, например, сетевые компоненты программно-аппаратных комплексов " Secret Net" и " СНЕГ-ЛВС". Корпоративные сети характеризуются, наоборот, наличием переходов между различными физическими сетями и линиями связи, а также значительной территориальной распределенностью. В роли специализированных ПСЗИ для корпоративных сетей выступают: -брандмауэры и маршрутизаторы; -средства организации виртуальных частных сетей; -средства обнаружения и блокирования сетевых атак; средства защиты электронной почты (антивирусы, системы ЭЦП).
|