Informationsskydd i lokala nätverk

Sätt för obehörig åtkomst

Obehörig åtkomst till information som finns i lokala nätverk är:

• indirekt - utan fysisk åtkomst till elementen i lokala nätverk;
• direkt - med fysisk åtkomst till elementen i lokala nätverk.

För närvarande finns det följande sätt för otillåten mottagning av information ( informationsläckagekanaler ):

• användningen av avlyssningsanordningar;
• fjärrfotografering;
• avlyssning av elektromagnetisk strålning ;
• stöld av lagringsmedia och industriavfall;
• läsa data i andra användares arrayer;
• kopiering av media;
• obehörig användning av terminaler;
• maskera sig till en registrerad användare genom att stjäla lösenord och andra detaljer om åtkomstkontroll;
• användning av mjukvarufällor;
• erhållande av skyddad data med hjälp av en serie tillåtna förfrågningar;
• utnyttja bristerna i programmeringsspråk och operativsystem ;
• avsiktlig inkludering i programbiblioteken av speciella block som "trojanska hästar" ;
• olaglig anslutning till utrustning eller kommunikationslinjer i ett datorsystem ;
• uppsåtligt inaktivera säkerhetsmekanismer.

Informationssäkerhetsverktyg

För att lösa problemet med informationsskydd anses huvudmedlen som används för att skapa skyddsmekanismer vara:

Tekniska medel

Tekniska medel  - elektriska, elektromekaniska, elektroniska och andra typer av enheter. Fördelarna med tekniska medel är relaterade till deras tillförlitlighet, oberoende av subjektiva faktorer och hög motståndskraft mot modifiering. Svagheter  - brist på flexibilitet, relativt stor volym och vikt, hög kostnad. Tekniska medel är indelade i:

• hårdvara - enheter som är inbyggda direkt i utrustningen, eller enheter som samverkar med lokalt nätverksutrustning via ett standardgränssnitt ( paritetsinformationsstyrkretsar, minnesfältskyddskretsar med nyckel, specialregister);
• fysisk - implementeras i form av autonoma enheter och system (elektronisk-mekanisk utrustning för trygghetslarm och övervakning. Lås på dörrar, galler på fönster).

Programvaruverktyg

Mjukvaruverktyg  är program speciellt utformade för att utföra funktioner relaterade till informationssäkerhet . Nämligen program för användaridentifiering, åtkomstkontroll , informationskryptering , radering av kvarvarande (arbets)information såsom temporära filer, testkontroll av skyddssystemet etc. Fördelarna med mjukvaruverktyg  är mångsidighet, flexibilitet, tillförlitlighet, enkel installation, förmåga att modifiera och utveckla.

Nackdelar  - begränsad nätverksfunktionalitet, användningen av en del av resurserna på filservern och arbetsstationerna, hög känslighet för oavsiktliga eller avsiktliga ändringar, eventuellt beroende av typerna av datorer (deras hårdvara ).

Blandad hårdvara och mjukvara

Blandad hårdvara och mjukvara implementerar samma funktioner som hårdvara och mjukvara separat, och har mellanliggande egenskaper.

Organisatoriska medel

Organisatoriska medel består av organisatoriska och tekniska (förberedelse av lokaler med datorer, läggning av ett kabelsystem, med hänsyn till kraven för att begränsa tillgången till det, etc.) och organisatoriska och juridiska (nationella lagar och arbetsregler som fastställts av ledningen för en viss företag). Fördelarna med organisatoriska verktyg är att de låter dig lösa många heterogena problem, är lätta att implementera, reagerar snabbt på oönskade åtgärder i nätverket och har obegränsade möjligheter till modifiering och utveckling. Nackdelar  - stort beroende av subjektiva faktorer, inklusive den övergripande organisationen av arbetet i en viss enhet.

Under utvecklingen av begreppet informationsskydd kom experter till slutsatsen att användningen av någon av ovanstående skyddsmetoder inte säkerställer tillförlitlig lagring av information. En integrerad strategi för användning och utveckling av alla medel och metoder för informationsskydd behövs.

Programvara för informationssäkerhet

När det gäller graden av distribution och tillgänglighet är mjukvaruverktyg i första hand , så de diskuteras mer i detalj nedan. Andra verktyg används i de fall det krävs för att ge en ytterligare nivå av informationsskydd .

Bland programvaruverktygen för att skydda information i lokala nätverk kan följande särskiljas och övervägas mer i detalj:

• dataarkiveringsverktyg  - verktyg som slår samman flera filer och till och med kataloger till en enda fil - arkiv , samtidigt som den totala volymen av källfiler minskar genom att eliminera redundans, men utan förlust av information, det vill säga med förmågan att återställa källfiler korrekt .;
• antivirusprogram  - program utformade för att skydda information från virus ;
• kryptografiska medel  - inkluderar sätt att säkerställa informationens konfidentialitet, inklusive genom kryptering och autentisering ;
• sätt att identifiera och autentisera användare  - autentisering (autentisering) är verifiering av äganderätten till identifieraren som presenteras för åtkomstsubjektet och bekräftelse av dess äkthet. Med andra ord, autentisering består i att kontrollera om den förbindande subjektet är den han utger sig för att vara. Och identifiering säkerställer utförandet av funktionerna att upprätta autentisering och bestämma försökspersonens befogenheter när han släpps in i systemet, kontrollera de etablerade befogenheterna under sessionen, registrera åtgärder, etc.
• tillträdeskontrollmedel  - medel som syftar till att begränsa och registrera in- och utpassering av objekt i ett givet territorium genom "passagepunkter";
• loggning och revision  - loggning säkerställer insamling och ackumulering av information om händelser som inträffar i informationssystemet . Revision  är processen för att analysera ackumulerad information. Syftet med en datorrevision är att verifiera att ett system eller nätverk följer erforderliga säkerhetsregler, riktlinjer eller branschstandarder. En revision ger en analys av allt som kan relateras till säkerhetsproblem, eller allt som kan leda till säkerhetsproblem.

Inbäddad

Inbyggda informationsskyddsverktyg i nätverksoperativsystem är tillgängliga, men inte alltid, som redan nämnts, kan de helt lösa de problem som uppstår i praktiken. Till exempel tillåter NetWare 3.x, 4.x nätverksoperativsystem ett tillförlitligt "skiktat" dataskydd mot maskinvarufel och skador. Novell SFT ( System Fault Tolerance  )-systemet inkluderar tre huvudnivåer:

• SFT Level I tillhandahåller i synnerhet skapandet av ytterligare kopior av FAT och Directory Entries Tables, omedelbar verifiering av varje nyskrivet datablock på filservern och reservation av cirka 2 % av diskutrymmet på varje hårddisk . När ett fel upptäcks omdirigeras data till ett reserverat område på disken, och det dåliga blocket markeras som "dåligt" och används inte vidare.
• SFT Level II innehåller ytterligare funktioner för att skapa "spegel"-skivor, samt duplicera diskkontroller, strömförsörjning och gränssnittskablar.
• SFT Level III låter dig använda duplicerade servrar i det lokala nätverket , varav en är "master", och den andra, som innehåller en kopia av all information, kommer i drift om "master"-servern misslyckas.

Systemet för övervakning och begränsning av åtkomsträttigheter i NetWare -nätverk (skydd mot obehörig åtkomst) innehåller också flera nivåer:

• initial åtkomstnivå (inkluderar användarnamnet och lösenordet , ett system med redovisningsbegränsningar - såsom uttryckligt tillstånd eller arbetsförbud, tillåten nätverkstid, hårddiskutrymme som upptas av den här användarens personliga filer, etc.);
• nivån på användarrättigheter (begränsningar för utförandet av individuella operationer och/eller på en given användares arbete, som medlem av en enhet, i vissa delar av nätverkets filsystem );
• nivån på attribut för kataloger och filer (restriktioner för utförandet av vissa operationer, inklusive radering, redigering eller skapande, som kommer från sidan av filsystemet och som hänför sig till alla användare som försöker arbeta med dessa kataloger eller filer);
• filserverkonsolnivå ( blockerar filserverns tangentbord under frånvaro av nätverksadministratören tills han anger ett speciellt lösenord ).

Specialiserade

Specialiserade mjukvaruverktyg för att skydda information från obehörig åtkomst har i allmänhet bättre kapacitet och egenskaper än inbyggda nätverksoperativsystem . Förutom krypteringsprogram och kryptografiska system finns det många andra externa informationssäkerhetsverktyg tillgängliga. Av de oftast nämnda lösningarna bör följande två system noteras som låter dig begränsa och kontrollera informationsflöden.

• Brandväggar  - brandväggar (brandvägg - brandvägg). Mellan de lokala och globala nätverken skapas speciella mellanservrar som inspekterar och filtrerar all nätverks-/transportlagertrafik som passerar genom dem. Detta gör att du dramatiskt kan minska hotet om obehörig åtkomst utifrån till företagsnätverk , men eliminerar inte helt denna fara. En säkrare version av metoden är maskeringsmetoden, när all trafik som utgår från det lokala nätverket skickas på uppdrag av brandväggsservern, vilket gör det lokala nätverket nästan osynligt.
• Proxy-servrar (fullmakt - fullmakt, förvaltare). All nätverks-/transportlagertrafik mellan de lokala och globala nätverken är helt förbjuden - det finns ingen routing som sådan, och samtal från det lokala nätverket till det globala nätverket sker via speciella mellanliggande servrar. Uppenbarligen blir samtal från det globala nätverket till det lokala nätverket i princip omöjliga i detta fall. Denna metod ger inte tillräckligt skydd mot attacker på högre nivåer - till exempel på applikationsnivå ( virus , Java och JavaScript -kod).

Se även

• intranät
• Lokalt datanätverk
• Informationsläckagekanaler
• Obehörig åtkomst
• Förebyggande av informationsläckor

Anteckningar

Litteratur

• Gerasimenko VA Skydd av information i automatiserade databehandlingssystem: utveckling, resultat, framtidsutsikter. Utländsk radioelektronik, 2003, nr 3.
• Zaker K. Datornätverk. Modernisering och felsökning. St Petersburg: BHV-Petersburg, 2001.
• Galitsky A.V., Ryabko S.D., Shangin V.F. Skydd av information i nätverket - analys av teknik och syntes av lösningar. M.: DMK Press, 2004. - 616 sid.

Länkar