Средства защиты данныхРефераты >> Программирование и компьютеры >> Средства защиты данных
1.4.1 Тенденции и вопросы безопасности интранет
В последние годы разразился технологический бум. Особенно бурно развитие стало набирать обороты в 90-х годах. В частности, развиваются такие направления, как вычислительная техника, телекоммуникации, программные приложения и системы специального назначения. В результате появился большой набор инструментов и сервисов для работы с информационно-технологическими системами. При повсеместном распространения вычислительных средств, огромное число пользователей может теперь использовать компьютеры для необозримого числа задач. В попытке удовлетворить растущие требования, множество компаний разрабатывают вычислительные средства и прикладные программы в соответствии с нуждами конкретных пользователей. Таким образом, увеличение объемов продукции для ПК, специализированных информационно-технологических систем, а также компьютерного оборудования для распределенной обработки данных и программных задач, характеризует одну из очевидных тенденций нашего времени.
Распределенная обработка данных всегда влечет за собой большую зависимость от телекоммуникационных линий, средств связи и интранет. Другими словами, использование коммуникационного оборудования способствует интеграции недавно разработанных вычислительных средств с конкретным программным приложением пользователя. В результате, становится возможным эффективное распределение вычислительных ресурсов и функций.
С другой стороны, возросшая зависимость организаций от возможностей компьютерных систем привела к тому, что при хранении и обработке данных становится все больше конфиденциальной финансовой и ведомственной информации, доступ к которой может быть удаленным (по частным или общественным линиям связи и через интранет). Успехи в развитии компьютерной технологии привели к созданию чрезвычайно сложной информационно-хронологической среды, где пользователи имеют удаленный доступ к системам и одновременно выполняется множество различных приложений, программ, задач и операций.
Например, интранет-сети могут быть автономными или являться частью локальной вычислительной сети. Вследствие того, что организация полностью владеет системой, в сети могут проводиться регулярные проверки, периодичность которых зависит от расстояния между сегментами сети. Поэтому, коммуникационные линии внутри одного здания, совсем несложно проконтролировать. На нее часто в качестве соединительных линий используется витая пара проводов, коаксиальный кабель и оптоволоконные линии. Однако, проблемы безопасности внутренних каналов связи возрастают, когда организация начинает передавать линии в аренду или использовать их в качестве телефонных. В итоге проблемы безопасности становятся такими же, как и для локальной вычислительной сети, поскольку организация ослабляет контроль над своим компьютерным оборудованием. В основном мы рассматриваем терминальные локальные сети. С другой стороны, они могут состоять из кабелей, находящихся в собственности пользователя (включая оптоволоконные), СВЧ, выделенных и телефонных линий. К тому же здесь вероятность вторжения и подслушивания гораздо выше, чем в сети интранет.
Поднимемся еще на одну или две ступеньки выше и рассмотрим проблемы безопасности, связанные с общенациональными сетями интранет. Они обладают достаточно большим размером и используют частные или общественные линии связи. Если используются общественные линии связи, то передача данных целиком производится поставщиками средств информации.
Таким образом, обратим основное внимание на различные проблемы функционирования, являющиеся результатом возникновения потенциальных угроз работе системы. Возможны следующие проблемы:
1. Угрозы из-за случайных происшествий или неправильной работы, деструктивной для регулярного функционирования системы - сюда также включаются неправильные действия системы или пользователей.
2. Угрозы, как проявление умышленных и незаконных действий, в результате которых происходит изменение, уничтожение или разглашение системных ресурсов, либо просто создаются затруднения в регулярном функционировании системы.
Меры по обеспечению целостности или ограничения по целостности являются процедурами и методами для устранения случайных действий аппаратуры и пользователей, появляющихся во время работы. С другой стороны, превентивные методы, применяемые умышленной разрушительной деятельности, называются компьютерной защитой. Следовательно, логическая структура политики безопасности должна включать в себя активную защиту и пассивное сохранение целостности системных ресурсов.
Кроме того, в пределах корпоративной интранет используются различные стратегии, большинство из которых разрабатываются и реализуются в виде так называемых служб обеспечения безопасности. Каждая стратегия относится к какому-либо специфическому аспекту функционирования компьютерной системы. Отсюда, функция первой службы обеспечения безопасности состоит в идентификации и аутентификации пользователя, которая осуществляет проверку личности.
1.4.2 Идентификация пользователя
Идентификация - это присвоение какому-либо объекту или субъекту уникального образа, имени или числа. Установление подлинности(аутентификация) заключается в проверке, является ли проверяемый объект (субъект) в самом деле тем, за кого себя выдает. Пример аутентификации с помощью электронной почты приведен на рисунке Г.2 (смотри Приложение Г).
Конечная цель идентификации и установления подлинности объекта в вычислительной системе - допуск его к информации ограниченного пользования в случае положительного исхода проверки или отказ в допуске в случае отрицательного исхода проверки.
Объектами идентификации и установления подлинности в вычислительной системе могут быть:
• человек (оператор, пользователь, должностное лицо);
• техническое средство (терминал, дисплей, ЭВМ, КСА);
• документы (распечатки, листинги и др.);
• носители информации (магнитные ленты, диски и др.);
• информация на дисплее, табло и т. д.
Установление подлинности объекта может производиться человеком, аппаратным устройством, программой, вычислительной системой и т. д.
В вычислительных системах применение указанных методов в целях защиты информации при ее обмене предполагает конфиденциальность образов и имен объектов.
При обмене информацией между человеком и ЭВМ (а при удаленных связях обязательно) вычислительными системами в сети рекомендуется предусмотреть взаимную проверку подлинности полномочий объекта и субъекта. В указанных целях необходимо, чтобы каждый из объектов (субъектов) хранил в своей памяти, недоступной для посторонних, список образов (имен) объектов (субъектов), с которыми производится обмен информацией, подлежащей защите.
В вычислительных системах с централизованной обработкой информации и относительно невысокими требованиями к защите установление ее подлинности на технических средствах отображения и печати гарантируется наличием системы защиты информации данной вычислительной системы. Однако с усложнением вычислительных систем по причинам, указанным выше, вероятность возникновения несанкционированного доступа к информации и ее модификации существенно увеличивается. Поэтому в более ответственных случаях отдельные сообщения или блоки информации подвергаются специальной защите, которая заключается в создании средств повышения достоверности информации и криптографического преобразования. Установление подлинности полученной информации, включая отображение на табло и терминалах, заключается в контроле положительных результатов обеспечения достоверности информации и результатов дешифрования полученной информации до отображения ее на экране. Подлинность информации на средствах ее отображения тесно связана с подлинностью документов. Достоверность информации на средствах отображения и печати в случае применения указанных средств защиты зависит от надежности функционирования средств, доставляющих информацию на поле отображения после окончания процедур проверки ее достоверности. Чем ближе к полю отображения (бумажному носителю) эта процедура приближается, тем достовернее отображаемая информация.