Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Содержание

Введение

1.Понятие ЛВС

2.Основы информационной безопасности ЛВ

3.Угрозы безопасности в ЛВС

4.Способы и средства защиты информации в ЛВС

Заключение

Список используемой литературы

Введение

На сегодняшний день в мире существует более 130 миллионов компьютеров, и более 80 % из них объединены в различные информационно-вычислительные сети, от малых локальных сетей в офисах, до глобальных сетей типа Internet. Всемирная тенденция к объединению компьютеров в сети обусловлена рядом важных причин, таких как ускорение передачи информационных сообщений, возможность быстрого обмена информацией между пользователями, получение и передача сообщений (Е - Маil писем и прочего) не отходя от рабочего места, возможность мгновенного получения любой информации из любой точки земного шара, а так же обмен информацией между компьютерами разных фирм производителей работающих под разным программным обеспечением. Такие огромные потенциальные возможности, которые несет в себе вычислительная сеть и тот новый потенциальный подъем, который при этом испытывает информационный комплекс, а так же значительное ускорение производственного процесса не дают нам право не принимать это к разработке и не применять их на практике. Но очевидно, что все вышесказанное нуждается в защите.

Все вышеперечисленное определяет актуальность и безусловную практическую значимость данной работы.

Целью данной работы является анализ состояния информационной безопасности в локальных вычислительных сетях, а так же ознакомление с существующими методами и средствами их защиты.

Для осуществления этой цели необходимо выполнить следующие задачи:

Во-первых, провести обзор литературных источников, посвященных проблемам информационной безопасности в локальных вычислительных сетях;

Во-вторых, изучить возможные угрозы и способы борьбы с ними;

В-третьих, провести анализ средств обеспечивающих безопасность в ЛВС.

1. Понятие локальной вычислительной сети

  Сеть - это группа компьютеров, соединенных друг с другом каналом связи. Канал обеспечивает обмен данными внутри сети (то есть обмен данными между компьютерами данной группы). Сеть может состоять из двух-трех компьютеров, а может объединять несколько тысяч ПК. Физически обмен данными между компьютерами может осуществляться по специальному кабелю, телефонной линии, волоконно-оптическому кабелю или по радиоканалу. [2]

Компьютеры в сети можно соединять:

· непосредственно друг с другом (так называемое двухточечное соединение);

· через промежуточные узлы связи.

Компьютеры, подключенные к сети, могут выполнять две функции: они могут быть рабочими станциями или серверами.

Рабочая станция - это любой рабочий компьютер в сети, не являющийся сервером, как правило, за ними работают пользователи. Требования к рабочим станциям определяются кругом задач станции. Обычно главными требованиями являются требования к быстродействию и к объему оперативной памяти.

Серверы - это компьютеры, которые управляют всей сетью и накапливают у себя все данные рабочих станций. Серверы могут работать в автоматическом режиме - они стоят без клавиатуры и иногда даже без монитора, но в любом случае серверы осуществляют функции управления сетью и концентрации данных. Администратор сети - лицо, в обязанности которого входят все вопросы, связанные с установкой и эксплуатацией сети, а также решение всех проблем, связанных с правами и возможностями пользователей сети.

Обычно в качестве сервера выбирается самый большой и мощный компьютер в сети. Однако развитие компьютерной техники явно ведет к уменьшению внутренних компонентов - компьютер становится быстрее и экономичнее. Поэтому за короткий срок сервер может устареть быстрее, чем обычные компьютеры, к которым не предъявляются такие высокие требования.

Принято различать локальные и глобальные сети. В сущности, главная разница между ними понятна уже по названиям, но есть и некоторые существенные технологические отличия.

Локальные сети (от английского local - местный) - это сети, состоящие из близко расположенных компьютеров, чаще всего находящихся в одной комнате, в одном здании или в близко расположенных зданиях. Локальные компьютерные сети, охватывающие некое предприятие или фирму и объединяющие разнородные вычислительные ресурсы в единой среде, называют корпоративными (от английского corporate - корпоративный, общий). [2]

Важнейшей характеристикой локальных сетей является скорость передачи данных, поэтому компьютеры соединяются с помощью высокоскоростных адаптеров со скоростью передачи данных не менее 10 Мбит/с. В локальных сетях применяются высокоскоростные цифровые линии связи. Кроме того, локальные сети должны легко адаптироваться, обладать гибкостью: пользователи должны иметь возможность располагать компьютеры, подключенные к сети там, где понадобится, добавлять или перемещать компьютеры или другие устройства, а также по необходимости отключать их без прерываний в работе сети.

Объединение компьютеров в единую сеть предоставляет пользователям сети новые возможности, несравнимые с возможностями отдельных компьютеров. Сеть - это не сложение, а умножение возможностей отдельных компьютеров. Локальная сеть позволяет организовать передачу файлов из одного компьютера в другой или другие, совместно использовать вычислительные и аппаратные ресурсы, совмещать распределенную обработку данных на нескольких компьютерах с централизованным хранением информации и многое другое.

2. Основы информационной безопасности локальных вычислительных сетей

Современная корпоративная сеть подвержена различным угрозам: распространенные в социальных сетях и нежелательных рассылках средства фишинга могут привести к утечке служебной информации; неосмотрительно запущенное пользователем приложение, содержащее вредоносный код, способно вызвать вирусную эпидемию, потерю данных, нарушить работу отдельных компьютеров или сегментов сети. Противостоять многочисленным угрозам призван защитный периметр, обеспечивающий безопасность, как на уровне рабочих станций, так и на границе с потенциально враждебной средой, будь то переносной носитель данных или внешний канал связи.

В общем случае структура защитного периметра может выглядеть следующим образом:

- уровень корпоративной политики безопасности;

- уровень рабочих станций;

- уровень переносных компьютеров;

- уровень серверов.

Корпоративная политика безопасности подразумевает в числе прочего необходимость идентификации каждого пользователя, категорический запрет на разглашение параметров доступа к любым корпоративным сервисам, поддерживаемый в актуальном состоянии список необходимых сотрудникам приложений при жестком ограничении полномочий конечного пользователя, что исключает возможность сознательного запуска (тем более установки) не предусмотренных служебными обязанностями программ. [1]

Безопасность рабочих станций обеспечивают межсетевой экран и антивирус, а также локальные и доменные настройки политики, ограничивающие влияние пользователя на критичные (для безопасности) параметры системы. Излишне говорить о необходимости оперативной установки обновлений, выпускаемых производителем ОС и разработчиками приложений, предназначенных для работы в Глобальной сети (в первую очередь это касается браузера и почтового клиента). Во всех случаях, когда это возможно, имеет смысл запретить подключение переносных носителей (потребуется установить специализированное ПО).

Защита переносных компьютеров существенно осложняется регулярной работой за пределами корпоративной сети. Для удаленного подключения к офисным ресурсам необходимо использовать туннельный протокол, обеспечивающий шифрование данных (PPTP или L2TP). Сравнительно высокую надежность аутентификации мобильных пользователей могут обеспечить устройства для двухфакторной проверки подлинности: в этом случае помимо индивидуального пароля при подключении требуется предъявить код, генерируемый ключом-брелоком.

Защита файловых серверов и баз данных обеспечивается:

- локальным антивирусом, выполняющим проверку новых и модифицированных файлов;

- жесткой политикой обмена данными и разграничением доступа;

- межсетевым экраном, который препятствует попыткам несанкционированного доступа и оперативно информирует администратора о возникновении угроз.

Цели сетевой безопасности могут меняться в зависимости от ситуации, но основных целей обычно три:

· Целостность данных.

· Конфиденциальность данных.

· Доступность данных.



Схема 1. Основные цели сетевой безопасности

Целостность данных, это одна из основных целей сетевой безопасности, гарантия того, что данные не были изменены, подменены или уничтожены. Целостность данных должна гарантировать их сохранность, как в случае злонамеренных действий, так и случайностей. Обеспечение целостности данных является обычно одной из самых сложных задач сетевой безопасности. [4]

Второй главной целью сетевой безопасности является обеспечение конфиденциальности данных. Не все данные можно относить к конфиденциальной информации. Существует достаточно большое количество информации, которая должна быть доступна всем. Но даже в этом случае обеспечение целостности данных, особенно открытых, является основной задачей.

К конфиденциальной информации можно отнести следующие данные:

· Личная информация пользователей.

· Учетные записи (имена и пароли).

· Данные о кредитных картах.

· Данные о разработках и различные внутренние документы.

· Бухгалтерская информация.

Третьей целью безопасности данных является их доступность. Бесполезно говорить о безопасности данных, если пользователь не может работать с ними из-за их недоступности. Вот приблизительный список ресурсов, которые обычно должны быть «доступны» в локальной сети:

· Принтеры.

· Серверы.

· Рабочие станции.

· Данные пользователей.

· Любые критические данные, необходимые для работы.

3. Угрозы безопасности в локальных вычислительных сетях

Под угрозой (вообще) обычно понимают потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Угрозой интересам субъектов информационных отношений будем называть такое событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты автоматизированной системы (далее АС) может прямо или косвенно привести к нанесению ущерба интересам данных субъектов [5].

На сегодняшний день существует значительное число различных видов угроз.

Основными видами угроз безопасности сети являются:

· стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);

· сбои и отказы оборудования (технических средств) АС;

· последствия ошибок проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);

· ошибки эксплуатации (пользователей, операторов и другого персонала);

· преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).

Все виды могут быть классифицированы по разным признакам, что позволяет более эффективно использовать средства защиты информации.

Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные) (схема 2).

Схема. 2. Угрозы информационной безопасности

Естественные угрозы -- это объективные, не зависимые от человека, факторы, способные нарушить безопасность сети. Угрозы этого типа относят к форс-мажорным.

Искусственные угрозы, напротив, вызваны преднамеренной (умышленные угрозы) или непреднамеренной (неумышленные) деятельностью человека:

· неумышленные угрозы -- связаны с ошибками в проектировании и развертывании сети, ошибками в программном обеспечении, в действиях персонала и т.п.;

· умышленные угрозы -- основаны на корыстных устремлениях людей (злоумышленников).

Источники угроз по отношению к ЛВС разделяются на:

· внутренние -- структурные элементы самой сети, включая аппаратное, программное обеспечение и обслуживающий персонал;

· внешние -- все прочие.

Разберем каждую группу более подробно. Основные непреднамеренные искусственные угрозы АС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

1. Неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

2. неправомерное включение оборудования или изменение режимов работы устройств и программ;

3. неумышленная порча носителей информации;

4. запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);

5. нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

6. заражение компьютера вирусами;

7. неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;

8. разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);

9. проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации;

10. игнорирование организационных ограничений (установленных правил) при ранге в системе;

11. вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);

12. некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;

13. пересылка данных по ошибочному адресу абонента (устройства);

14. ввод ошибочных данных;

15. неумышленное повреждение каналов связи.

Основные возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:

1. Физическое разрушение системы или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы;

2. вывод из строя подсистем обеспечения функционирования сети;

3. дезорганизация функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);

4. внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);

5. вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;

6. применение подслушивающих устройств, дистанционная фото- и видеосъемка и т.п.;

7. перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);

8. перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;

9. хищение носителей информации;

10. несанкционированное копирование носителей информации;

11. хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);

12. чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;

13. чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования;

14. незаконное получение паролей и других реквизитов разграничения доступа с дальнейшим их использованием;

15. несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.;

16. вскрытие криптографических шифров;

17. внедрение аппаратных и программных "закладок" и "вирусов";

18. незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;

19. незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.

Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а несколько перечисленных выше путей.

Самыми частыми и самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки являются угрозами: неправильно введенные данные, ошибка в программе, а иногда они создают слабости, которыми могут воспользоваться злоумышленники - таковы обычно ошибки администрирования. Согласно статистики 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и расхлябанностью. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль за правильностью совершаемых действий.

4. Способы и средства защиты информации в локальных вычислительных сетях

Способы защиты информации в ЛВС включают в себя следующие элементы [6]:

1. Препятствие - физически преграждает злоумышленнику путь к защищаемой информации (на территорию и в помещения с аппаратурой, носителям информации).

2. Управление доступом - способ защиты информации регулированием использования всех ресурсов системы (технических, программных средств, элементов данных).

Управление доступом включает следующие функции защиты:

идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального имени, кода, пароля и опознание субъекта или объекта по предъявленному им идентификатору;

проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;

разрешение и создание условий работы в пределах установленного регламента;

регистрацию обращений к защищаемым ресурсам;

реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.

Схема 3. Способы и средства защиты информации в ЛВС

3. Маскировка - способ защиты информации в ЛВС путем ее криптографического преобразования. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее защиты.

4. Регламентация - заключается в разработке и реализации в процессе функционирования ЛВС комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения в ЛВС защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Для эффективной защиты необходимо строго регламентировать структурное построение ЛВС (архитектура зданий, оборудование помещений, размещение аппаратуры), организацию и обеспечение работы всего персонала, занятого обработкой информации.

5. Принуждение - пользователи и персонал ЛВС вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Рассмотренные способы защиты информации реализуются применением различных средств защиты, причем различают правовые (законодательные), морально-этические, организационные (административные), физические и технические (аппаратно-программные) меры[6].

Организационными средствами защиты называются организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ЛВС для обеспечения защиты информации. Организационные меры предусматривают:

Ограничение доступа в помещения, в которых происходит обработка конфиденциальной информации.

Допуск к решению задач на ПЭВМ по обработке секретной, конфиденциальной информации проверенных должностных лиц, определение порядка проведения работ на ПЭВМ.

Хранение магнитных носителей в тщательно закрытых прочных шкафах.

Назначение одной или нескольких ПЭВМ для обработки ценной информации и дальнейшая работа только на этих ПЭВМ.

Установка дисплея, клавиатуры и принтера таким образом, чтобы исключить просмотр посторонними лицами содержания обрабатываемой информации.

Постоянное наблюдение за работой принтера и других устройств вывода на материальных носитель ценной информации.

Уничтожение красящих лент или иных материалов, содержащих фрагменты ценной информации.

Запрещение ведения переговоров о непосредственном содержании конфиденциальной информации лицам, занятым ее обработкой.

Организационно-технические меры предполагают:

Ограничение доступа внутрь корпуса ПЭВМ путем установления механических запорных устройств.

Уничтожение всей информации на винчестере ПЭВМ при ее отправке в ремонт с использованием средств низкоуровневого форматирования.

Организацию питания ПЭВМ от отдельного источника питания или от общей (городской) электросети через стабилизатор напряжения (сетевой фильтр).

Использование для отображения информации жидкокристаллических или плазменных дисплеев, а для печати - струйных или лазерных принтеров.

Размещение дисплея, системного блока, клавиатуры и принтера на расстоянии не менее 2,5-3,0 метров от устройств освещения, кондиционирования воздуха, связи (телефона), металлических труб, телевизионной и радиоаппаратуры, а также других ПЭВМ, не использующихся для обработки конфиденциальной информации.

Отключение ПЭВМ от локальной сети или сети удаленного доступа при обработке на ней конфиденциальной информации, кроме случая передачи этой информации по сети.

Установка принтера и клавиатуры на мягкие прокладки с целью снижения утечки информации по акустическому каналу.

Во время обработки ценной информации на ПЭВМ рекомендуется включать устройства, создающие дополнительный шумовой фон (кондиционеры, вентиляторы), обрабатывать другую информацию на рядом стоящих ПЭВМ.

Уничтожение информации непосредственно после ее использования.

К законодательным средствам защиты относятся законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения вычислительных средств в данной стране или обществе.

Более подробно остановимся на аппаратно-программных средствах обеспечения защиты информации в локальной вычислительной сети.

К аппаратным (техническим) средствам относятся различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, сторожа, защитная сигнализация и др. Вторую - генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить [5]. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

Виды аппаратных средств защиты информации:

Специализированная сеть хранения SAN (Storage Area Network) обеспечивает данным гарантированную полосу пропускания, исключает возникновение единой точки отказа системы, допускает практически неограниченное масштабирование как со стороны серверов, так и со стороны информационных ресурсов.

Дисковые хранилища отличаются высочайшей скоростью доступа к данным за счет распределения запросов чтения/записи между несколькими дисковыми накопителями. Применение избыточных компонентов и алгоритмов в RAID массивах предотвращает остановку системы из-за выхода из строя любого элемента - так повышается доступность. Доступность, один из показателей качества информации, определяет долю времени, в течение которого информация готова к использованию, и выражается в процентном виде: например, 99,999% («пять девяток») означает, что в течение года допускается простой информационной системы по любой причине не более 5 минут. Удачным сочетанием большой емкости, высокой скорости и приемлемой стоимости в настоящее время являются решения с использованием накопителей Serial ATA и SATA 2.

Ленточные накопители (стримеры, автозагрузчики и библиотеки) по-прежнему считаются самым экономичным и популярным решением создания резервной копии. Они изначально созданы для хранения данных, предоставляют практически неограниченную емкость (за счет добавления картриджей), обеспечивают высокую надежность, имеют низкую стоимость хранения, позволяют организовать ротацию любой сложности и глубины, архивацию данных, эвакуацию носителей в защищенное место за пределами основного офиса. С момента своего появления магнитные ленты прошли пять поколений развития, на практике доказали свое преимущество и по праву являются основополагающим элементом практики backup (резервного копирования).

Помимо рассмотренных технологий следует также упомянуть обеспечение физической защиты данных (разграничение и контроль доступа в помещения, видеонаблюдение, охранная и пожарная сигнализация), организация бесперебойного электроснабжения оборудования.

Рассмотрим примеры аппаратных средств.

1) eToken - Электронный ключ eToken - персональное средство авторизации, аутентификации и защищённого хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронной цифровой подписью (ЭЦП). eToken выпускается в форм-факторах USB-ключа, смарт-карты или брелока. Модель eToken NG-OTP имеет встроенный генератор одноразовых паролей. Модель eToken NG-FLASH имеет встроенный модуль flash-памяти объемом до 4 ГБ. Модель eToken PASS содержит только генератор одноразовых паролей. Модель eToken PRO (Java) аппаратно реализует генерацию ключей ЭЦП и формирование ЭЦП. Дополнительно eToken могут иметь встроенные бесконтактные радио-метки (RFID-метки), что позволяет использовать eToken также и для доступа в помещения.

Модели eToken следует использовать для аутентификации пользователей и хранения ключевой информации в автоматизированных системах, обрабатывающих конфиденциальную информацию, до класса защищенности 1Г включительно. Они являются рекомендуемыми носителями ключевой информации для сертифицированных СКЗИ (КриптоПро CSP, Крипто-КОМ, Домен-К, Верба-OW и др.)

2) Комбинированный USB-ключ eToken NG-FLASH - одно из решений в области информационной безопасности от компании Aladdin. Он сочетает функционал смарт-карты с возможностью хранения больших объёмов пользовательских данных во встроенном модуле . Он сочетает функционал смарт-карты с возможностью хранения больших пользовательских данных во встроенном модуле flash-памяти. eToken NG-FLASH также обеспечивает возможность загрузки операционной системы компьютера и запуска пользовательских приложений из flash-памяти.

Возможные модификации:

- по объёму встроенного модуля flash-памяти: 512 МБ; 1, 2 и 4 ГБ;

- сертифицированная версия (ФСТЭК России);

- по наличию встроенной радио-метки;

- по цвету корпуса.

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. [2] Преимущества программных средств -универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

К основным программным средствам защиты информации относятся:

-Программы идентификации и аутентификации пользователей сети;

-программы разграничения доступа пользователей к ресурсам сети;

-программы шифрования информации;

-программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.

-программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т. п.);

-программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью сети, для обеспечения возможности восстановления и доказательства факта происшествия этих событий;

-программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);

-программы тестового контроля защищенности сети и др.

Рассмотрим их более подробно:

1.)Программы идентификации и аутентификации пользователей сети. Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации. локальный вычислительный сеть сервер

Идентификация позволяет субъекту - пользователю или процессу, действующему от имени определенного пользователя, назвать себя, сообщив свое имя. Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого себя выдает. В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности". Субъект может подтвердить свою подлинность, если предъявит, по крайней мере, одну из следующих сущностей:

· нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.;

· нечто, чем он владеет: личную карточку или иное устройство аналогичного назначения;

· нечто, что является частью его самого: голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики.

Примером таких программ является Система «Zlogin» - аутентификация с использованием электронных ключей

Система Zlogin предназначена для двухфакторной аутентификации пользователей сети с использованием электронных ключей или смарт-карт. Вместо пароля пользователь должен предъявить смарт-карту или электронный USB-ключ и ввести PIN-код.

Zlogin предоставляет пользователям возможность аутентификации пользователей с использованием электроннызх ключей или смарт-карт в следующие системы:

· Домен NT (сервер Windows NT);

· Active Directory (сервер Windows 2000/2003);

· NDS/eDirectory (сервер Novell NetWare 4.x-6.x);

· SAMBA (сервер Linux);

· Локальные рабочие станции Windows NT/2000/XP.

Кроме этого, Zlogin обеспечивает аутентификацию пользователей, использующих для доступа к сетевым ресурсам терминальные службы:

· Microsoft Windows Terminal Services;

· Citrix MetaFrame.

Программно-аппаратный комплекс «Соболь» - это средство защиты компьютера от несанкционированного доступа, обеспечивающее доверенную загрузку. ПАК «Соболь» обеспечивает контроль и регистрацию доступа пользователей к компьютерам, осуществляет контроль целостности программной среды и доверенную загрузку установленных операционных систем.

2.)Программы разграничения доступа пользователей к ресурсам сети.

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты - пользователи и процессы могут выполнять над объектами - информацией и другими компьютерными ресурсами. Речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность путем запрещения обслуживания неавторизованных пользователей. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект - объект) определить множество допустимых операций, зависящее от некоторых дополнительных условий, и контролировать выполнение установленного порядка.

Контроль прав доступа производится разными компонентами программной среды - ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением и т.д.

При принятии решения о предоставлении доступа обычно анализируется следующая информация.

· Идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера). Подобные идентификаторы являются основой добровольного управления доступом.

· Атрибуты субъекта (метка безопасности, группа пользователя). Метки безопасности - основа принудительного управления доступом.

· Место действия (системная консоль, надежный узел сети).

· Время действия (большинство действий целесообразно разрешать только в рабочее время).

· Внутренние ограничения сервиса (число пользователей согласно лицензии на программный продукт).

Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ.

Пример средства разграничения доступа: Secret Net.[8] Сертифицированное средство защиты информации от несанкционированного доступа на рабочих станциях и серверах. Secret Net предназначен для защиты информации, составляющей коммерческую или государственную тайну или относящейся к персональным данным. Является эффективным средством защиты от внутренних (инсайдерских) угроз, может применяться как на автономных станциях, так и в информационных сетях.

Ключевые возможности СЗИ Secret Net:

Разграничение доступа - усиленная аутентификация пользователей, полномочное управление доступом на основе категорий конфиденциальности ресурсов и прав допуска пользователей, разграничение доступа к устройствам компьютера. В качестве персональных идентификаторов могут быть использованы: iButton, eToken, Rutoken.

Доверенная информационная среда - защита компьютера от загрузки с внешних носителей либо программным, либо аппаратным способом; замкнутая программная среда; контроль целостности программ и данных.

Контроль каналов распространения конфиденциальной информации - регистрация событий безопасности, контроль печати и отчуждения конфиденциальной информации, гарантированное уничтожение данных.

Контроль устройств - контроль неизменности аппаратной конфигурации компьютера и доступа пользователей к устройствам компьютеров, централизованные политики использования отчуждаемых носителей в организации.

Централизованное управление, мониторинг и аудит (сетевой вариант) - удаленное управление и оперативный мониторинг в режиме реального времени, централизованные политики безопасности, аудит событий информационной безопасности. Возможность развертывания серверов безопасности с подчинением в филиалах организации.

Защита терминальных сессий - защита инфраструктуры основанной на терминальных сессиях для платформ Citrix и Microsoft.

Масштабируемая система защиты - Secret Net поставляется как в автономном варианте, предназначенном для защиты отдельных компьютеров, так и в сетевом, обеспечивающем средства централизованного управления, мониторинга и аудита безопасности.

3.) Программы шифрования информации.

Одним из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации является криптография. Во многих отношениях она занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них и, в то же время, последним защитным рубежом.

Различают два основных метода шифрования, называемые симметричными и асимметричными. В первом из них один и тот же ключ используется и для шифровки, и для расшифровки сообщений. Существуют весьма эффективные методы симметричного шифрования. Имеется и стандарт на подобные методы - ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования".

Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит новую проблему рассылки ключей. С другой стороны, получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.

В асимметричных методах применяются два ключа. Один из них, несекретный, используется для шифровки и может публиковаться вместе с адресом пользователя, другой - секретный, применяется для расшифровки и известен только получателю. Самым популярным из асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (100-значными) простыми числами и их произведениями.

Асимметричные методы шифрования позволяют реализовать так называемую электронную подпись, или электронное заверение сообщения.

Криптографические методы позволяют надежно контролировать целостность информации. В отличие от традиционных методов контрольного суммирования, способных противостоять только случайным ошибкам, криптографическая контрольная сумма (имитовставка), вычисленная с применением секретного ключа, практически исключает все возможности незаметного изменения данных.

Примером является программа для шифрования данных «True Crypt».

True Type предлагает мощнейшую защиту зашифрованных данных: система двойных паролей, стирание следов шифрования, включая следы работы с мышью и нажатий кнопок клавиатуры, и, наконец, обеспечение двух уровней правдоподобного отрицания наличия зашифрованных данных. То есть, во-первых, с помощью "Мастера создания томов TrueCrypt" после обычного зашифрованного тома вы можете создать так называемый скрытый том (стеганография), который создается внутри обычного. Доступ к такому тому может получить только тот, кто знает о его существовании. То есть, даже если злоумышленники узнают пароль к вашему обычному тому, то все равно они не смогут получить доступ к данным в скрытом томе. Во-вторых, ни один том TrueCrypt не может быть идентифицирован (тома TrueCrypt невозможно отличить от набора случайных данных, то есть файл нельзя связать с TrueCrypt как с программой, его создавшей).

Основные возможности программы

· Создание виртуального зашифрованного логического диска, хранящегося в виде файла.

· Шифрование целых разделов жесткого диска.

· Шифрование других носителей: flash-карт, дискет, usb-флэшек и других съемных устройств хранения данных.

· Функция обманного ввода пароля.

· Основные алгоритмы шифрования: AES (256-бит ключ), Serpent, Twofish.

· Основана на алгоритме Encryption for the Masses (E4M) 2.02a.

· Имеется русская локализация программы (только для Windows.

4.)Другие программные средства защиты информации

4.1. Межсетевые экраны (также называемые брандмауэрами или файрволами - от нем. Brandmauer, англ. firewall -- «противопожарная стена»). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.



Схема. 4. Структура межсетевого экрана

Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации путем:

1) анализа информации по заданным в интерпретируемых правилах критериям, например по адресам получателя и отправителя или по типу приложения, для которого эта информация предназначена;

2) принятия на основе интерпретируемых правил одного из следующих решений:

*не пропустить данные;

*обработать данные от имени получателя и возвратить результат отправителю;

*передать данные на следующий фильтр для продолжения анализа;

*пропустить данные, игнорируя следующие фильтры.

Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например преобразование данных, регистрация событий и др. Соответственно правила фильтрации определяют перечень условий, по которым осуществляется:

*разрешение или запрещение дальнейшей передачи данных;

* выполнение дополнительных защитных функций.

В качестве критериев анализа информационного потока могут использоваться следующие параметры:

* служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные;

* непосредственное содержимое пакетов сообщений, проверяемое, например, на

наличие компьютерных вирусов;

* внешние характеристики потока информации, например, временные,

частотные характеристики, объем данных и т. д.

Используемые критерии анализа зависят от уровней модели OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором МЭ фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

Межсетевые экраны бывают:

Бесплатные	Ashampoo FireWall Free * Comodo * Core Force (англ.) * Online Armor * PC Tools * PeerGuardian (англ.) * Sygate (англ.)
Проприетарные	Ashampoo FireWall Pro * AVG Internet Security * CA Personal Firewall * Jetico (англ.) * Kaspersky * Microsoft ISA Server * Norton * Outpost * Trend Micro (англ.) * Windows Firewall * Sunbelt (англ.) * WinRoute (англ.) * ZoneAlarm
Аппаратные	Fortinet * Cisco * Juniper * Check Point*D-link
FreeBSD	Ipfw * IPFilter * PF
Mac OS	NetBarrier X4 (англ.)
Linux	Netfilter (Iptables * Firestarter * Iplist * NuFW * Shorewall) * Uncomplicated Firewall

Для примера рассмотрим межсетевой экран компании D-link DFL-860E межсетевой экран для малого бизнеса.[7] 

Рис. 1. Межсетевой экран D-link DFL-860E

Характеристики:

Интерфейсы

* Ethernet:

+ 2 порта 10/100/1000 Ethernet WAN

+ 1 порт 10/100/1000 Ethernet DMZ (настраиваемый)

+ 8 портов 10/100/1000 Ethernet LAN

* USB: 2 USB порта (зарезервировано)

* Console: RJ-45

Производительность системы

* Производительность межсетевого экрана²: 200 Мбит/с

* Производительность VPN³: 60 Мбит/с

* Производительность IPS⁴: 80 Мбит/с

* Производительность антивируса⁴: 50 Мбит/с

* Количество параллельных сессий: 40,000⁵

* Количество новых сессий (в секунду): 4,000

* Политики: 1000

Межсетевой экран

* Прозрачный режим

* NAT, PAT

* Протокол динамической маршрутизации: OSFP

* H.323 NAT Traversal

* Политики по расписанию

* Application Layer Gateway

* Активная сетевая безопасность

Сетевые функции

* DHCP сервер/клиент

* DHCP Relay

* Маршрутизация на основе политик

* IEEE 802.1q VLAN: 16

* VLAN на основе портов

* IP Multicast: IGMP v3

Виртуальные частные сети (VPN)

* Шифрование (DES)

* Выделенные VPN-туннели: 300⁵

* Сервер PPTP/L2TP

* Hub and Spoke

* IPSec NAT Travesal

* SSL VPN: Функция будет доступна в будущем

Балансировка нагрузки

* Балансировка исходящего трафика

* Балансировка нагрузки сервера

* Алгоритм балансировки нагрузки серверов: Round-robin, Weight-based Round-robin, Destination-based, Spill-over

* Перенаправление трафика при обрыве канала (fail-over)

Управление полосой пропускания

* Traffic Shaping на основе политик

* Гарантированная полоса пропускания

* Максимальная полоса пропускания

* Полоса пропускания на основе приоритета

* Динамическое распределение полосы пропускания

High Availability (HA)

Резервирование канала WAN

Intrusion Detection & Prevention System (IDP/IPS)

* Автоматическое обновление шаблонов

* Защита от атак DoS, DDoS

* Предупреждение об атаках по электронной почте

* Расширенная подписка IDP/IPS (приобретается отдельно)

* Черный список по IP (пороговая величина или IDP/IPS)

Фильтрация содержимого

* Тип HTTP: Белый / черный список URL

* Тип скриптов: Java Cookie, ActiveX, VB

* Тип e-mail: Белый / черный список e-mail

* Внешняя база данных фильтрации содержимого

Антивирусная защита

* Антивирусное сканирование в реальном времени

* Неограниченный размер файла

* Сканирование VPN-туннелей

* Поддержка сжатых файлов

* Поставщик сигнатур: Kaspersky

* Количество антивирусных сигнатур: 4000*

* Автоматическое обновление шаблонов

АПКШ «Континент». Аппаратно-программный комплекс, сочетающий в себе межсетевой экран, средство построения VPN-сетей и маршрутизатор.

АПКШ «Континент» предназначен для обеспечения надежной защиты информационных сетей организации от вторжения со стороны сетей передачи данных (межсетевое экранирование), конфиденциальности при передаче информации по открытым каналам связи (VPN), организации безопасного доступа удаленных пользователей посредством VPN, а также защищенного взаимодействия сетей различных организаций.

4.2.Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java и JavaScript).

Чаще всего прокси-серверы применяются для следующих целей:

· Обеспечение доступа с компьютеров локальной сети в Интернет.

· Кэширование данных: если часто происходят обращения к одним и тем же внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по запросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получение клиентом запрошенной информации.

· Сжатие данных: прокси-сервер загружает информацию из Интернета и передаёт информацию конечному пользователю в сжатом виде. Такие прокси-серверы используются в основном с целью экономии внешнего трафика клиента или внутреннего - компании, в которой установлен прокси-сервер.

· Защита локальной сети от внешнего доступа: например, можно настроить прокси-сервер так, что локальные компьютеры будут обращаться к внешним ресурсам только через него, а внешние компьютеры не смогут обращаться к локальным вообще (они «видят» только прокси-сервер). См. также NAT.

· Ограничение доступа из локальной сети к внешней: например, можно запретить доступ к определённым веб-сайтам, ограничить использование интернета каким-то локальным пользователям, устанавливать квоты на трафик или полосу пропускания, фильтровать рекламу и вирусы.

· Анонимизация доступа к различным ресурсам. Прокси-сервер может скрывать сведения об источнике запроса или пользователе. В таком случае целевой сервер видит лишь информацию о прокси-сервере, например, IP-адрес, но не имеет возможности определить истинный источник запроса. Существуют также искажающие прокси-серверы, которые передают целевому серверу ложную информацию об истинном пользователе.

· Обход ограничений доступа. Прокси-серверы популярны среди пользователей несвободных стран, где доступ к некоторым ресурсам ограничен законодательно и фильтруется.

Виды прокси-серверов:

Прозрачный прокси -- схема связи, при которой трафик, или его часть, перенаправляется на прокси-сервер неявно (средствами маршрутизатора). При этом клиент может использовать все преимущества прокси-сервера без дополнительных настроек браузера (или другого приложения для работы с интернет).

Обратный прокси -- прокси-сервер, который в отличие от прямого, ретранслирует запросы клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. Часто используется для балансировки сетевой нагрузки между несколькими веб-серверами и повышения их безопасности, играя при этом роль межсетевого экрана на прикладном уровне

Наиболее распространенные прокси-серверы:

· 3proxy (BSD, многоплатформенный)

· CoolProxy (proprietary, Windows)

· Eserv (GPL, Windows)

· HandyCache (shareware, Windows) бесплатен для домашнего использования

· Kerio Control (proprietary, Windows, Linux)

· Microsoft Forefront Threat Management Gateway, ранее Microsoft ISA Server (proprietary, Windows)

· nginx (веб-сервер, имеющий режим работы в качестве reverse proxy и часто для этого использующийся)

· Squid (GPL, многоплатформенный)

· Traffic Inspector (proprietary, Windows)

· UserGate (proprietary, Windows)

· Интернет Контроль Сервер (shareware, FreeBSD)

· TOR (BSD, многоплатформенный)

· Ideco ICS (Linux)

4.3.VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых не возможно прослушивание трафика посторонними людьми. Используемые технологии: PPTP, PPPoE, IPSec.



Схема 5. Классификация VPN

Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).

Пользователи Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети -- PPTP, причём используемую зачастую не для создания частных сетей.

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол -- IP (такой способ использует реализация PPTP -- Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» на постсоветском пространстве для предоставления выхода в Интернет.