Исследование проблемы информационной безопасности сетей

Общие черты программ:

- все изменения информации в файле-контейнере происходят сначала в оперативной памяти, т. е., жесткий диск всегда остается зашифрованным. Даже в случае зависания компьютера секретные данные так и остаются зашифрованными;

- программы могут блокировать скрытый логический диск по истечении определенного промежутка времени;

- все они недоверчиво относятся к временным файлам (своп-файлам). Есть возможность зашифровать всю конфиденциальную информацию, которая могла попасть в своп-файл. Очень эффективный метод скрытия информации, хранящейся в своп-файле - это вообще отключить его, при этом не забыв нарастить оперативную память компьютера;

- физика жесткого диска такова, что даже если поверх одних данных записать другие, то предыдущая запись полностью не сотрется. С помощью современных средств магнитной микроскопии (Magnetic Force Microscopy - MFM) их все равно можно восстановить. С помощью этих программ можно надежно удалять файлы с жесткого диска, не оставляя никаких следов их существования;

- все три программы сохраняют конфиденциальные данные в надежно зашифрованном виде на жестком диске и обеспечивают прозрачный доступ к этим данным из любой прикладной программы;

- они защищают зашифрованные файлы-контейнеры от случайного удаления;

- отлично справляются с троянскими приложениями и вирусами.

Способы идентификации пользователя.

Пароли - это лишь один из способов подтверждения подлинности. Существуют другие способы:

1) предопределенная информация, находящаяся в распоряжении пользователя: пароль, личный идентификационный номер, соглашение об использовании специальных закодированных фраз;

2) элементы аппаратного обеспечения, находящиеся в распоряжении пользователя: ключи, магнитные карточки, микросхемы и т. п.;

3) характерные личные особенности пользователя: отпечатки пальцев, рисунок сетчатки глаза, размеры фигуры, тембр голоса и другие более сложные медицинские и биохимические свойства;

4) характерные приемы и черты поведения пользователя в режиме реального времени: особенности динамики, стиль работы на клавиатуре, скорость чтения, умение использовать манипуляторы и т. д.;

5) привычки: использование специфических компьютерных заготовок;

6) навыки и знания пользователя, обусловленные образованием, культурой, обучением, предысторией, воспитанием, привычками и т. п.

Если кто-то желает войти в вычислительную систему через терминал или выполнить пакетное задание, вычислительная система должна установить подлинность пользователя. Сам пользователь, как правило, не проверяет подлинность вычислительной системы. Если процедура установления подлинности является односторонней, такую процедуру называют процедурой одностороннего подтверждения подлинности объекта.

Специализированные программные средства защиты информации.

Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Кроме программ шифрования, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых следует отметить следующие две системы, позволяющие ограничить информационные потоки.

Firewalls - брандмауэры (дословно firewall - огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные сервера, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java и JavaScript).

Рассмотрим подробнее работу брандмауэра. Это метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами. Брандмауэр является защитным барьером, состоящим из нескольких компонентов (например шлюза, на котором работает программное обеспечение брандмауэра).

Брандмауэр конфигурируется в соответствии с принятой в организации политикой контроля доступа к внутренней сети. Все входящие и исходящие пакеты должны проходить через брандмауэр, который пропускает только авторизованные пакеты.

Брандмауэр с фильтрацией пакетов - является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отбраковывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов.

Брандмауэр экспертного уровня - проверяет содержимое принимаемых пакетов на трех уровнях модели OSI - сетевом, сеансовом и прикладном. Для выполнения этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизованных пакетов.

Создание брандмауера относится к решению задачи экранирования. Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем (рисунок. 6). Контроль потоков состоит в их фильтрации, возможно, с выполнением некоторых преобразований.

Рисунок 6. - Экран как средство разграничения доступа:

На следующем уровне детализации экран (полупроницаемую мембрану) удобно представлять как последовательность фильтров. Каждый из фильтров, проанализировав данные, может задержать (не пропустить) их, а может и сразу "перебросить" за экран. Кроме того, допускается преобразование данных, передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю (рисунок 7).

Рисунок 7. - Экран как последовательность фильтров:

Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией.

Обычно экран не является симметричным, для него определены понятия «внутри» и «снаружи». При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны (МЭ) чаще всего устанавливают для защиты корпоративной сети организации, имеющей выход в Internet.

Экранирование помогает поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, вызванную внешней активностью.

Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом. Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности в ИС организации. Экранирование может быть частичным, защищающим определенные информационные сервисы (например, экранирование электронной почты).

Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект трудно нападать, особенно с помощью фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в том случае, когда гипертекстовые документы формируются динамически. Каждый пользователь видит лишь то, что ему положено видеть. Можно провести аналогию между динамически формируемыми гипертекстовыми документами и представлениями в реляционных базах данных, с той существенной оговоркой, что в случае Web возможности существенно шире.

Экранирующая роль Web-сервиса наглядно проявляется и тогда, когда этот сервис осуществляет посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам, например таблицам базы данных. Здесь не только контролируются потоки запросов, но и скрывается реальная организация данных.

3. Анализ особенностей построения сетей

В настоящее время в России происходит бурное развитие широкополосных беспроводных сетей передачи информации. Предпосылкой этого развития, с одной стороны, явилось интенсивное развитие глобальной сети Интернет, с другой стороны внедрение самых современных методов кодирования, модуляции и передачи информации. Для стран, в которых обширная территория сочетается с невысокой плотностью населения, широкополосные беспроводные сети находятся вне конкуренции по быстроте развертывания, цене и набору приложений.

Существует достаточно много критериев классификации беспроводных сетей. Обычно их разделяют:

1) по ширине полосы передачи - на узкополосные, широкополосные и сверхширокополосные;

2) по локализации объектов - на статические и динамические (при этом следует различать собственно возможность мобильности абонентов и мобильность отдельных крупных зоновых узлов сети, причем чувствительность технологии связи может ограничивать скорость абонента);

3) по используемой технологии - на спутниковые, атмосферные и оптические;

4) по методам доступа к беспроводной среде - на системы с пространственным разделением (SDM), системы с частотным разделением (FDM), системы временным разделением (TDM), системы с кодовым разделением (CDM). Имеются также их различные модификации;

5) по географической протяженности - на персональные (WPAN), локальные (WLAN), региональные (городские - WMAN) и глобальные (WWAN);

Стандартизацией широкополосных сетей занимается Институт инженеров по электротехнике и электронике IEEE (Institute of Electrical and Electronics Engineers), а именно комитет IEEE 802, занимающийся стандартизацией технологий сетей передачи данных. Термин WiMAX (Worldwide Interoperability for Microwave Access) является коммерческим названием стандарта региональных (городских) сетей широкополосного беспроводного доступа WMAN - IEEE 802.16, в нем описаны нижние уровни модели OSI: физический и уровень доступа к среде передачи MAC (Medium Access Control).

А именно: радио-интерфейсы, методы модуляции и доступа к каналам, системы управления потоками и взаимодействие с протоколами высших уровней. Структурная схема сети стандарта WiMAX представлена на рисунке 8, здесь же представлены основные протоколы, по которым осуществляется взаимодействие элементов сети.

При этом в сетях типа WiMAX различают 3 градации абонентских устройств по степени подвижности:

1) неподвижные абонентские устройства (fixed wireless), с внешними (outdoor) и внутренними (indoor) блоками с узконаправленными антеннами, так называемый фиксированный беспроводный доступ, который описывается стандартом 802.16d-2004;

2) портативные (portable, nomadic) абонентские устройства, которые могут передвигаться со скоростью до 5 км/ч, так называемый мобильный доступ, ранний стандарт 802.16e-2005;

3) мобильные (mobile) абонентские устройства, которые могут обеспечивать работу при передвижении абонента со скоростью до 120 км/ч, так называемая полная мобильность, стандарт 802.16e-2006;

4) неподвижные абонентские устройства (fixed wireless), с внешними (outdoor) и внутренними (indoor) блоками с узконаправленными антеннами, так называемый фиксированный беспроводный доступ, который описывается стандартом 802.16d-2004;

5) портативные (portable, nomadic) абонентские устройства, которые могут передвигаться со скоростью до 5 км/ч, так называемый мобильный доступ, ранний стандарт 802.16e-2005;

6) мобильные (mobile) абонентские устройства, которые могут обеспечивать работу при передвижении абонента со скоростью до 120 км/ч, так называемая полная мобильность, стандарт 802.16e-2006.

Разработчики стандарта стремились создать единый для всех приложений протокол МАС уровня независимо от особенностей физического канала. Это требование было выдвинуто в связи с тем, что пользователям необходимы самые различные сервисы, качество услуг которых должно удовлетворять заданному уровню QoS. МАС уровень разделен на три подуровня.

Развитие сетей связи, основывающихся на технологии коммутации пакетов, уже достигло того уровня, когда можно говорить об их широком использовании операторами связи. Вместе с тем, методики расчета сетей типа WiMAX до сих пор остаются недостаточно развитыми, и в большинстве случаев при их проектировании закладывается потребность в гораздо большей пропускной способности, чем оказывается необходимо на самом деле. Использование технологии коммутации пакетов и ряда других сопутствующих технологий приводит к принципиально иной структуре трафика, требующей разработки новых методов расчета и новых алгоритмов управление для таких сетей.

Классы обслуживание WiMAX оговариваются при подключении станции к сети.

Существует 5 классов обслуживания:

1) высшим из них является класс доступа по первому требованию UGS (Unsolicited Grant Service), при котором абонентской станции немедленно предоставляется заранее оговоренная (при подключении к сети), фиксированная скорость передачи. Несмотря на применение коммутации пакетов, этот класс позволяет эмулировать канал связи и, как при коммутации каналов, обеспечивает постоянную скорость передачи, что требуется, например, в традиционной телефонии:

Рисунок 8. - Структурная схема беспроводной широкополосной сети типа WiMAX:

2) вторым является класс доступа с переменной скоростью с передачей данных в режиме реального времени RT-VR rtPS (Real-Time Variable Rate), при котором абонентская станция передает информацию, чувствительную к задержкам, с переменной скоростью без потери допустимого качества. Таким способом может передаваться видеоинформация с переменным сжатием;

3) третий класс доступа с переменной скоростью без передачи данных в режиме реального времени NRT-VR nrtPS (Non-Real-Time Variable Rate) используется для передачи информации нечувствительной к задержкам, но требующей гарантированной скорости. Например, этот класс используется для передачи файлов (протоколы FTP, HTTP);

4) четвертый класс доступа в режиме максимально возможной в данный момент скорости BE (Best Effort) используется для передачи данных, не критичных к скорости передачи и времени задержки. Преимущественно данный класс используется для передачи данных в Интернете;

5) для передачи данных приложений реального времени в рекомендации вводится промежуточный между UGS и RT-VT пятый расширенный класс доступа с переменной скоростью с передачей данных в режиме реального времени ERT-VR (Extended Real-Time Variable Rate), который обеспечивает постоянные скорость и задержку, например при передаче голоса с подавлением пауз.

В протоколе МАС уровня предусмотрена поддержка дуплекса (частотного или временного), синхронизации, разрешение столкновений, возможных на этапе установления системы или на интервалах запроса на передачу. На этом уровне также обеспечивается измерение дальности до абонентских станций, необходимое для корректной работы протокола, обновление описания канала и разделение абонентского оборудования на абонентские группы.

Следующий - основной подуровень - CPS (Common Part Sablayer), на котором формируются протокольные блоки данных (пакеты) - PDU (Protocol Data Unit). Пакеты могут быть информационными и управляющими. Информационный PDU включает 6-байтовый заголовок (в нем указывается СID), поле данных (здесь передаются подзаголовки МАС уровня, управляющие сообщения и собственно данные, далее следует контрольная сумма. Управляющий PDU передает запрос на выделение или увеличение полосы пропускания, размер которой указывается в заголовке, поля данных в нем нет.

Третий подуровень уровня МАС - подуровень защиты (секретности) - PS (Privacy Sablayer), здесь выполняются функции криптозащиты и механизмы аутентификации. Имеется набор различных алгоритмов шифрования на участке между базовой станцией (BTS) и абонентской станцией (MS). Уровень безопасности включает два протокола:

1) протокол инкапсуляции для шифрования пакетов, включающий несколько вариантов пар «шифрование - аутентификация» и правила их применения к пакетам МАС уровня;

2) протокол управления ключами шифрования PKM (Privacy Key Management), обеспечивающий распределение ключей от BTS к MS, механизмы криптозащиты выполняются управляющими сообщениями.

Основной принцип доступа к каналу для предоставления канальных ресурсов - доступ по запросу DAMA (Demand Assigned Multiple Access), - при этом различают запросы для каждого соединения и для всех соединений данного абонента. Предусматривается два режима доступа - для каждого отдельного соединения и для всех соединений данной MS. Во втором случае значительно сокращается объем передаваемой служебной информации. Для приложений, имитирующих режим коммутации каналов, периодичность и размер пакетов фиксированы (например, поток Е1 в телефонии) и предусмотрен механизм предоставления интервалов фиксированной длины с заданной периодичностью.

Для подтверждения приема и обратной связи с передающей стороной разработаны протоколы подтверждения передачи, основанные на механизме окна, размер окна может динамически изменяться. По каналу обратной связи могут передаваться результаты периодических измерений параметров радиоканалов, информация о коррекции мощности передатчиков, особое значение эта информация приобретает при работе с адаптивными многолучевыми антеннами. Стандартом также рекомендуются полосы частот и соответствующие скорости передачи при различных видах модуляции. Максимальная скорость передачи, предусмотренная в стандарте - 134,4 Мбит/с при полосе 28 МГц и модуляции 64QAM.Рассмотренные ранее особенности построения данных сетей позволяют выявить ряд их недостатков, связанных с изменением производительности при эксплуатации сетей WiMAX. В настоящее время в России отсутствуют мобильные абоненты WiMAX, только появляются мобильные абоненты, имеющие портативный доступ. При их появлении и дальнейшем широком распространении следует ожидать перехода на более низкоскоростные схемы кодирования и передачу большого количества информации по сетям. Одной из важных задач, решаемых при проектировании сетей типа WiMAX, является разработка адаптивного алгоритма контроля доступа, позволяющего повысить эффективность использования ресурсов сети.

Опишем математическую модель сегмента сети связи WiMAX, которую предполагается использовать в разрабатываемом адаптивном алгоритме. Рассматривается процесс интенсивностей, управляемый марковским MMРP, позволяющий точно описать суперпозицию нескольких соединений, а также его аппроксимация - процесс, управляемый марковским MMPP. Предлагаемый для разрабатываемого алгоритма критерий принятия соединения на обслуживание получен на основании результатов расчетов модели MMPP/D/1/K.

Если использовать эту методику напрямую, разрабатываемый алгоритм контроля доступа соединений окажется достаточно требовательным к вычислительным ресурсам системы и будет плохо масштабироваться при росте числа состояний MMPP-процесса, т. е., количества одновременных соединений, при этом он не сможет выполняться в режиме реального времени (в пределах миллисекунд), что будет означать невозможность его применения в реальных сетях WiMAX.

В связи с этим необходимо произвести упрощение исходной математической модели. Количество состояний MMPP-процесса в работе снижено до двух (рисунок 9). В новом процессе состояние OL будет соответствовать состояниям перегрузки, а другое состояние UL будет соответствовать состояниям не догрузки сети.

Рисунок 9. - Деление состояний на UL и OL:

В процессе работы алгоритма контроля доступа соединений возникают ситуации, когда свободных ресурсов сети связи (пропускной способности) оказывается недостаточно для принятия на обслуживание нового вызова. В таком случае предлагается модифицировать параметры уже установленных соединений для сокращения занимаемой ими пропускной способности. Пропускная способность, занимаемая одним соединением, зависит от класса обслуживания и периода пакетизации.

При модификации этих параметров для принятия нового соединения на обслуживание необходимо учитывать имеющиеся ограничения на классы обслуживания. информационный компьютерный интернет

Заключение

Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми.

Вечная проблема - защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества. Главная тенденция, характеризующая развитие современных информационных технологий - рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь.

Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются:

- переход от традиционной "бумажной" технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях;

- объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;

- увеличение сложности программных средств и связанное с этим уменьшение их надежности и увеличением числа уязвимостей.

Компьютерные сети, в силу своей специфики, просто не смогут нормально функционировать и развиваться, игнорируя проблемы защиты информации.

В первой главе моей квалификационной работы были рассмотрены различные виды угроз и рисков. Угрозы безопасности делятся не естественные и искусственные, а искусственные в свою очередь делятся на непреднамеренные и преднамеренные.

К самым распространенным угрозам относятся ошибки пользователей компьютерной сети, внутренние отказы сети или поддерживающей ее инфраструктуры, программные атаки и вредоносное программное обеспечение.

Меры обеспечения безопасности компьютерных сетей подразделяются на: правовые (законодательные), морально-этические, организационные (административные), физические, технические (аппаратно-программные).

Во второй главе ВКР я подробно рассмотрел некоторые из физических, аппаратных и программных способов защиты. К современным программным средствам защиты информации относятся криптографические методы, шифрование дисков, идентификация и аутентификация пользователя. Для защиты локальной или корпоративной сети от атак из глобальной сети применяют специализированные программные средства: брандмауэры или прокси-серверы. Брандмауэры - это специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Прокси-сервер - это сервер-посредник, все обращения из локальной сети в глобальную происходят через него. Организация надежной и эффективной системы архивации данных также является одной из важнейших задач по обеспечению сохранности информации в сети. Для обеспечения восстановления данных при сбоях магнитных дисков в последнее время чаще всего применяются системы дисковых массивов - группы дисков, работающих как единое устройство, соответствующих стандарту RAID. Для выявления уязвимых мест с целью их оперативной ликвидации предназначен сервис анализа защищенности. Системы анализа защищенности (называемые также сканерами защищенности), как и рассмотренные выше средства активного аудита, основаны на накоплении и использовании знаний. В данном случае имеются в виду знания о пробелах в защите: о том, как их искать, насколько они серьезны и как их устранять.

Список используемых источников

1. Сеть передачи данных СО РАН // Информационные материалы научно-координационного совета целевой программы «Информационно-телекоммуникационные ресурсы СО РАН», Новосибирск, 2005.

2. Шокин Ю.И., Федотов А.М. Организация и поддержка информационно-вычислительных ресурсов СО РАН // Сб. научных трудов. Инновационные недра Кузбасса. IT-технологии. - Кемерово, ИНТ, 2007. С. 30-34. Федотов А.М. Информационная безопасность в корпоративной сети.

3. Scarfone, K. Guide to Intrusion Detection and Prevention Systems (IDPS). Recommendations of the National Institute of Standards and Technology / Karen Scarfone, Peter Mell, Computer Security Division, Information Technology Laboratory, National Institute of Standards and Technology Special Publication 800-94. - Gaithersburg, 2007. - 127 p.

4. Жижимов О. Л., RCDL'2007, 15-18 октября 2007 г. Переславль-Залесский. С. 296-299.

5. Белов С.Д., Жижимов О.Л., Попов Д.С., Чубаров Л.Б, «Системный анализ и информационные технологии» САИТ-2007. Обнинск, Россия, 10-14 сентября 2007, С. 174-178.

Приложение

Размещено на Allbest.ru