Защита данных в компьютерных сетях.
Существуют несколько видов защиты информации. Защита выбирается в
зависимости от оборудования, возможностей и совместимости.
Рассмотрим некоторые из них.
Одним из средств физической защиты являются системы архивирования и
дублирования информации. В локальных сетях, где установлены один-два
сервера, чаще всего система устанавливается непосредственно в свободные
слоты серверов. В крупных корпоративных сетях предпочтение отдается
выделенному специализированному архивационному серверу, который
автоматически архивирует информацию с жестких дисков серверов и рабочих
станций в определенное время, установленное администратором сети, выдавая
отчет о проведенном резервном копировании. Наиболее распространенными
моделями архивированных серверов являются Storage Express System корпорации
Intel ARCserve for Windows.
Для борьбы с компьютерными вирусами наиболее часто применяются антивирусные
программы, реже - аппаратные средства защиты. Однако, в последнее время
наблюдается тенденция к сочетанию программных и аппаратных методов защиты.
Среди аппаратных устройств используются специальные антивирусные платы,
вставленные в стандартные слоты расширения компьютера. Корпорация Intel
предложила перспективную технологию защиты от вирусов в сетях, суть которой
заключается в сканировании систем компьютеров еще до их загрузки. Кроме
антивирусных программ, проблема защиты информации в компьютерных сетях
решается введением контроля доступа и разграничением полномочий
пользователя. Для этого используются встроенные средства сетевых
операционных систем, крупнейшим производителем которых является корпорация
Novell. В системе, например, NetWare, кроме стандартных средств ограничения
доступа (смена паролей, разграничение полномочий), предусмотрена
возможность кодирования данных по принципу "открытого ключа" с
формированием электронной подписи для передаваемых по сети пакетов.
Однако, такая система защиты слабомощна, т.к. уровень доступа и возможность
входа в систему определяются паролем, который легко подсмотреть или
подобрать. Для исключения неавторизованного проникновения в компьютерную
сеть используется комбинированный подход - пароль + идентификация
пользователя по персональному "ключу". "Ключ" представляет собой
пластиковую карту (магнитная или со встроенной микросхемой - смарт-карта)
или различные устройства для идентификации личности по биометрической
информации - по радужной оболочке глаза, отпечаткам пальцев, размерам кисти
руки и т.д. Серверы и сетевые рабочие станции, оснащенные устройствами
чтения смарт-карт и специальным программным обеспечением, значительно
повышают степень защиты от несанкционированного доступа.
Смарт-карты управления доступом позволяют реализовать такие функции, как
контроль входа, доступ к устройствам ПК, к программам, файлам и командам.
Одним из удачных примеров создания комплексного решения для контроля
доступа в открытых системах, основанного как на программных, так и на
аппаратных средствах защиты, стала система Kerberos, в основу которой
входят три компонента:
- база данных, которая содержит информацию по всем сетевым ресурсам,
пользователям, паролям, информационным ключам и т.д.;
- авторизационный сервер (authentication server), задачей которого является
обработка запросов пользователей на предоставление того или иного вида
сетевых услуг. Получая запрос, он обращается к базе данных и определяет
полномочия пользователя на совершение определенной операции. Пароли
пользователей по сети не передаются, тем самым, повышая степень защиты
информации;
- Ticket-granting server (сервер выдачи разрешений) получает от
авторизационного сервера "пропуск" с именем пользователя и его сетевым
адресом, временем запроса, а также уникальный "ключ". Пакет, содержащий
"пропуск", передается также в зашифрованном виде. Сервер выдачи разрешений
после получения и расшифровки "пропуска" проверяет запрос, сравнивает
"ключи" и при тождественности дает "добро" на использование сетевой
аппаратуры или программ.
Существует множество причин, которые могут серьёзно повлиять на работу
локальных и глобальных сетей, привести к потере ценной информации. Среди
них можно выделить следующие:
1. Несанкционированный доступ извне, копирование или изменение информации
случайные или умышленные действия, приводящие к:
- искажению либо уничтожению данных;
- ознакомление посторонних лиц с информацией, составляющей банковскую,
финансовую или государственную тайну.
2. Некорректная работа программного обеспечения, приводящая к потере или
порче данных из-за:
- ошибок в прикладном или сетевом ПО;
- заражения систем компьютерными вирусами.
3. Технические сбои оборудования, вызванные:
- отключением электропитания;
- отказом дисковых систем и систем архивации данных;
- нарушением работы серверов, рабочих станций, сетевых карт, модемов.
4. Ошибки обслуживающего персонала.
Конечно, универсального решения, исключающего все перечисленные причины,
нет, однако во многих организациях разработаны и применяются технические и
административные меры, позволяющие риск потери данных или
несанкционированного доступа к ним свести к минимуму.
Продукты защиты: проблема выбора
Огромное количество всевозможных продуктов нам предлагает рынок. Как
уберечь от подделки, как выбрать нужное. Подчас даже опытный руководитель
не сможет дать сегодня вам ответ на эти и многие другие вопросы, которые
возникают при обращении, будь то простых пользователей или опытных
профессионалов.
Абсолютной защиты быть не может. Распространено такое мнение - "установил
защиту и можно ни о чем не беспокоиться". Полностью защищенный компьютер -
это тот, который стоит под замком в бронированной комнате в сейфе, не
подключен ни к какой сети (даже электрической) и выключен. Такой компьютер
имеет абсолютную защиту, однако, использовать его нельзя. В этом примере не
выполняется требование доступности информации. "Абсолютности" защиты мешает
не только необходимость пользоваться защищаемыми данными, но и усложнение
защищаемых систем. Использование постоянных, не развивающихся механизмов
защиты опасно, и для этого есть несколько причин. Одна из них - развитие
вашей собственной сети. Ведь защитные свойства электронных систем
безопасности во многом зависят от конфигурации сети и используемых в ней
программ. Даже если не менять топологию сети, то все равно придется когда-
нибудь использовать новые версии ранее установленных продуктов. Однако
может случиться так, что новые возможности этого продукта пробьют брешь в
защите.
Кроме того, нельзя забывать о развитии и совершенствовании средств
нападения. Техника так быстро меняется, что трудно определить, какое новое
устройство или программное обеспечение, используемое для нападения, может
обмануть вашу защиту.