Начальная

Windows Commander

Far
WinNavigator
Frigate
Norton Commander
WinNC
Dos Navigator
Servant Salamander
Turbo Browser

Winamp, Skins, Plugins
Необходимые Утилиты
Текстовые редакторы
Юмор

File managers and best utilites

Средства безопасности и ограничения доступа к информации. Реферат ограничения доступа к информации на основе закона


Средства безопасности и ограничения доступа к информации

РЕФЕРАТ

по дисциплине «Информатика»

по теме: «Средства безопасности и ограничения доступа к информации»

Введение

Информация в ЭВМ – в личных или служебных компьютерах, а также на сетевых серверах приобретает все большую ценность и ее утрата или модификация может принести значимый материальный ущерб.

Значимость информации для людей и организаций приводит к необходимости освоения средств и методов надежного хранения ее в ЭВМ, а также к ограничению доступа к информации для третьих лиц.

Цель данной работы – всесторонне проанализировать средства разграничения и доступа к информации. Задачи работы – рассмотреть основные составляющие информационной безопасности и основные способы ее защиты. В качестве примера средств ограничения доступа к информации в работе рассматривается межсетевой экран.

1. Информационная безопасность и ее составляющие

Информационная безопасность – это защищенность жизненно важных информационных ресурсов и систем от внешних и внутренних посягательств и угроз для граждан, организаций и государственных органов.

Для граждан информационная безопасность выражается в защищенности их персональных компьютеров, их личной информации в информационных системах и сетях ЭВМ, а также результатов их интеллектуальной деятельности.

В Конституции России закреплены права граждан на свободу слова, тайну переписки и свободу распространения информации, а также право запроса информации от государственных и общественных организаций.

Для организаций информационная безопасность – защищенность от внешних посягательств служебной информации, корпоративных информационных систем и сети ЭВМ, а также принадлежащей им интеллектуальной собственности.

Для государства информационная безопасность – защита от внешних и внутренних угроз национальных информационных ресурсов и государственных информационных систем, а также телекоммуникационной инфраструктуры, организаций и служб.

Защита информации в ЭВМ может быть создана на техническом, организационном и правовом уровне подобно защите материальных ценностей, принадлежащих граждан и организациям.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные компьютерные системы. Знание возможных угроз, а также уязвимых мест информационной системы, необходимо для того, чтобы выбирать наиболее эффективные средства обеспечения безопасности.

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки приводят к прямому ущербу (например, неправильно введенные данные, ошибка в программе, вызвавшая остановку или разрушение системы). Иногда они создают слабые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования).

Согласно данным Национального Института Стандартов и Технологий США (NIST), 65% случаев нарушения безопасности информационных систем – следствие непреднамеренных ошибок. Работа в глобальной информационной сети делает этот фактор достаточно актуальным, причем источником ущерба могут быть как действия пользователей организации, так и пользователей глобальной сети, что особенно опасно.

На втором месте по размерам ущерба располагаются кражи и подлоги. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала связи с глобальными сетями может, при отсутствии должного контроля за его работой, дополнительно способствовать такой деятельности.

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Поэтому, необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.

Преднамеренные попытки получения несанкционированного доступа через внешние коммуникации занимают в настоящее время около 10% всех возможных нарушений. Кроме того, необходимо иметь в виду динамику развития рисков этого типа: по данным Группы изучения компьютерных рисков (CERT), проводившей исследование различных систем, контролируемых правительством США, если в 1990 году зарегистрировано 130 удачных попыток несанкционированно доступа к компьютерным ресурсам через Internet, то за 1994 год эта цифра составила 2300. Потери американских компаний, связанные с нарушениями безопасности, составили более US $5 млн.

При анализе рисков необходимо принять во внимание тот факт, что компьютеры в локальной сети организации редко бывают достаточно защищены, чтобы противостоять атакам или хотя бы регистрировать факты нарушения информационной безопасности. Так, тесты Агентства Защиты Информационных Систем (США) показали, что 88% компьютеров имеют слабые места с точки зрения информационной безопасности, которые могут активно использоваться для получения несанкционированного доступа. При этом в среднем только каждый двенадцатый администратор обнаруживает, что указанный инцидент произошел в управляемой им системе.

Отдельно следует рассмотреть случай удаленного доступа к информационным структурам организации через телефонные линии, посредством популярных протоколов SLIP/PPP. Поскольку в этом случае ситуация близка к ситуации взаимодействия пользователей локальной и глобальной сети, решение возникающих проблем также может быть аналогичным решениям для Internet.

На техническом уровне защита информации в ЭВМ организуется прежде всего ограничением доступа третьим лицам. Наипростейшее решение – аутентификация пользователей путем их регистрации и введение паролей.

Для ограничения доступа и в Windows, и в Linux, и в различных сетевых информационных системах применяется регистрация пользователей с проверкой паролей доступа к тем или иным ресурсам ЭВМ.

Следующий уровень – администрирование доступа к файлам и папкам с помощью средств используемых операционных систем – Windows либо Linux. На личных ЭВМ это должны делать их владельцы. В организациях регламентация доступа к информации в сетях ЭВМ поручается системным администраторам, от квалификации которых будет зависеть надежность хранения информации и работоспособность сети ЭВМ.

Основное различие Windows и Linux заключено именно в различии штатных средств разграничения доступа к файлам, пакам и устройствам ввода-вывода – основным ресурсам ЭВМ.

Система Linux – это многопользовательская сетевая операционная система, в которой априори не менее двух пользователей, один из которых и только один (его имя – root) имеет права администрирования доступа.

Система Windows в ее простейших вариантах штатных средств администрирования доступа к файлам и папкам не имеет. Средства администрирования имеются лишь в сетевой операционной системе Windows NT. Но Windows NT – это операционная система для сетей ЭВМ. Windows-95, Windows-9, Windows-2000 и Windows-ХР – это операционные системы для персональных компьютеров, предназначенных для личного использования. При этом, к сожалению фирма Microsoft с 2004 года прекратила тиражирование и техническую поддержку наиболее надежной своей сетевой операционной системы Windows NT.

Один из выходов – использование Linux на сервере сети в качестве сетевой операционной системы в сетях персональных ЭВМ с Windows, позволяющего поставить надежную защиту и регламентацию доступа ко всем ресурсам.

В информационных системах разграничение доступа производится с помощью штатных средств баз данных. По международным стандартам такие средства есть во всех реляционных базах данных.

Основными угрозами для личной информации, хранимой в персональных ЭВМ и получаемой через Интернет, на сегодняшний день являются компьютерные эпидемии и непрошенный спам.

Спам – это массовая несанкционированная анонимная рассылка рекламы по сети Интернет. Спам забивает ненужной информацией личные и служебные почтовые ящики и заставляет оплачивать ненужную рекламу.

В национальном масштабе спам наносит существенный материальный ущерб всем организациям, использующим Интернет, а также провайдерам электронной почты и доступа к Интернет.

Компьютерные эпидемии – это массовое распространение компьютерных вирусов по сети Интернет с разрушением информации на личных и служебных ЭВМ, наносящее существенный материальный ущерб.

2. Основные способы ограничения доступа к информации

В столь важной задаче, как обеспечение безопасности информационной системы, нет и не может быть полностью готового решения. Это связано с тем, что структура каждой организации, функциональные связи между ее подразделениями и отдельными сотрудниками практически никогда полностью не повторяются. Только руководство организации может определить, насколько критично нарушение безопасности для компонент информационной системы, кто, когда и для решения каких задачах может использовать те или иные информационные сервисы.

Ключевым этапом для построения надежной информационной системы является выработка политики безопасности.

Под политикой безопасности мы будем понимать совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов.

С практической точки зрения политику безопасности целесообразно разделить на три уровня:

  • Решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации.

  • Вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией.

  • Конкретные сервисы информационной системы.

Третий уровень включает в себя два аспекта – цели (политики безопасности) и правила их достижения, поэтому его порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, третий должен быть гораздо детальнее. У отдельных сервисов есть много свойств, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти свойства настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне.

Можно выделить следующие основные способы защиты информации:

1) защита на уровне браузеров,

2) защита на уровне локального сервера,

3) установка фильтрующих программ,

4) установка сетевых экранов.

Наиболее надежными являются два последних способа защиты. Так по пути установки программ-фильтров в организациях, в соответствии с Конвенцией о киберпреступности пошли все европейские страны.

Программы-фильтры для российских организаций начала поставлять британская фирма SurfControl, предлагающая как фильтрацию вирусов и спама, так и фильтрацию сайтов с неправомерным содержанием.

Для лучшего представления сущности сетевого экрана рассмотрим структуру информационной системы предприятия (организации). В общем случае она представляет собой неоднородный набор (комплекс) из различных компьютеров, управляемых различными операционными системами и сетевого оборудования, осуществляющего взаимодействие между компьютерами. Поскольку описанная система весьма разнородна (даже компьютеры одного типа и с одной операционной системой могут, в соответствии с их назначением, иметь совершенно различные конфигурации), вряд ли имеет смысл осуществлять защиту каждого элемента в отдельности. В связи с этим предлагается рассматривать вопросы обеспечения информационной безопасности для локальной сети в целом. Это оказывается возможным при использовании межсетевого экрана (firewall).

Концепция межсетевого экранирования формулируется следующим образом.

Пусть имеется два множества информационных систем. Экран – это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем.

В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует (то есть осуществляет перемещение данных). В более общем случае экран (полупроницаемую оболочку) удобно представлять себе как последовательность фильтров. Каждый из них может задержать (не пропустить) данные, а может и сразу «перебросить» их «на другую сторону». Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат результата отправителю.

Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов.

Обычно экран не является симметричным, для него определены понятия «внутри» и «снаружи». При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример экрана – устройство защиты порта, контролирующее доступ к коммуникационному порту компьютера до и независимо от всех прочих системных защитных средств.

Экранирование позволяет поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности.

Чаще всего экран реализуют как сетевой сервис на третьем (сетевом), четвертом (транспортном) или седьмом (прикладном) уровнях семиуровневой эталонной модели OSI. В первом случае мы имеем экранирующий маршрутизатор, во втором – экранирующий транспорт, в третьем – экранирующий шлюз. Каждый подход имеют свои достоинства и недостатки; известны также гибридные экраны, где делается попытка объединить лучшие качества упомянутых подходов.

Экранирующий маршрутизатор имеет дело с отдельными пакетами данных, поэтому иногда его называют пакетным фильтром. Решения о том, пропустить или задержать данные, принимаются для каждого пакета независимо, на основании анализа полей заголовков сетевого и (быть может) транспортного уровней, путем применения заранее заданной системы правил. Еще один важный компонент анализируемой информации – порт, через который пакет поступил в маршрутизатор.

Современные маршрутизаторы (такие, как продукты компаний Bay Networks или Cisco) позволяют связывать с каждым портом несколько десятков правил и фильтровать пакеты как на входе (при поступлении в маршрутизатор), так и на выходе. В принципе, в качестве пакетного фильтра может использоваться и универсальный компьютер, снабженный несколькими сетевыми картами.

Основные достоинства экранирующих маршрутизаторов – дешевизна (на границе сетей маршрутизатор нужен практически всегда, дело лишь в том, чтобы задействовать его экранирующие возможности) и прозрачность для более высоких уровней модели OSI. Основной недостаток – ограниченность анализируемой информации и, как следствие, относительная слабость обеспечиваемой защиты.

Экранирующий транспорт позволяет контролировать процесс установления виртуальных соединений и передачу информации по ним. С точки зрения реализации экранирующий транспорт представляет собой довольно простую, а значит, надежную программу. Пример экранирующего транспорта – продукт TCP wrapper.

По сравнению с пакетными фильтрами, экранирующий транспорт обладает большей информацией, поэтому он может осуществлять более тонкий контроль за виртуальными соединениями (например, он способен отслеживать количество передаваемой информации и разрывать соединения после превышения определенного предела, препятствуя тем самым несанкционированному экспорту информации). Аналогично, возможно накопление более содержательной регистрационной информации. Главный недостаток – сужение области применимости, поскольку вне контроля остаются датаграммные протоколы. Обычно экранирующий транспорт применяют в сочетании с другими подходами, как важный дополнительный элемент.

Экранирующий шлюз, функционирующий на прикладном уровне, способен обеспечить наиболее надежную защиту. Как правило, экранирующий шлюз представляет собой универсальный компьютер, на котором функционируют программные агенты – по одному для каждого обслуживаемого прикладного протокола. При подобном подходе, помимо фильтрации, реализуется еще один важнейший аспект экранирования. Субъекты из внешней сети видят только шлюзовой компьютер; соответственно, им доступна только та информация о внутренней сети, которую шлюз считает нужным экспортировать. Шлюз на самом деле экранирует, то есть заслоняет, внутреннюю сеть от внешнего мира. В то же время субъектам внутренней сети кажется, что они напрямую общаются с объектами внешнего мира. Недостаток экранирующих шлюзов – отсутствие полной прозрачности, требующее специальных действий для поддержки каждого прикладного протокола.

Примером инструментария для построения экранирующих шлюзов является TIS Firewall Toolkit компании Trusted Information Systems.

В гибридных системах, таких как Firewall-1 компании Sun Microsystems, действительно удается объединить лучшие качества экранирующих систем, то есть получить надежную защиту, сохранить прозрачность для приложений и удержать накладные расходы в разумных пределах. Кроме того, появляются и очень ценные новые возможности, такие как отслеживание передачи информации в рамках датаграммных протоколов.

Важным понятием экранирования является зона риска, которая определяется как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Как правило, для повышения надежности защиты экран реализуют как совокупность элементов, так что «взлом» одного из них еще не открывает доступ ко всей внутренней сети.

Рассмотрим требования к реальной системе, осуществляющей межсетевое экранирование. В большинстве случаев экранирующая система должна:

  • Обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;

  • Обладать мощными и гибкими средствами управления для полного и, насколько возможно, простого воплощения в жизнь политики безопасности организации. Кроме того, экранирующая система должна обеспечивать простую реконфигурацию системы при изменении структуры сети;

  • Работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий;

  • Работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в «пиковых» режимах. Это необходимо для того, чтобы firewall нельзя было, образно говоря, «забросать» большим количеством вызовов, которые привели бы к нарушению работы;

  • Обладать свойствами самозащиты от любых несанкционированных воздействий, поскольку межсетевой экран является ключом к конфиденциальной информации в организации;

  • Если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики безопасности;

  • Иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна надежно распознавать таких пользователей и предоставлять им необходимые виды доступа.

Экранирование позволяет поддерживать доступность сервисов внутри информационной системы, уменьшая или вообще ликвидируя нагрузку, инициированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более надежным образом. Экранирование дает возможность контролировать информационные потоки, направленные во внешнюю область, обеспечивая режим конфиденциальности.

Таким образом, экранирование в сочетании с другими мерами безопасности использует идею многоуровневой защиты. За счет этого внутренняя сеть подвергается риску только в случае преодоления нескольких, по-разному организованных защитных рубежей.

Наличие инструмента межсетевого экранирования позволяет использовать его и для контроля доступа к информационным ресурсам организации по коммутируемым каналам связи. Для этого необходимо использовать устройство, называемое терминальным сервером. Терминальный сервер представляет собой специальную программно-аппаратную конфигурацию.

Заключение

Подключение организации к глобальной сети, такой как Internet, существенно увеличивает эффективность работы организации и открывает для нее множество новых возможностей. В то же время, организации необходимо позаботится о создании системы защиты информационных ресурсов, от тех, кто захочет их использовать, модифицировать либо просто уничтожить.

Несмотря на свою специфику, система защиты организации при работе в глобальных сетях должна быть продолжением общего комплекса усилий, направленных на обеспечение безопасности информационных ресурсов. Защита информации, опознание и ограничение к ней доступа – это комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если необходимо, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных. Комплексный характер, проблемы защиты говорит о том, что для ее решения необходимо сочетание законодательных, организационных и программно- технических мер.

Литература

  1. Галатенко В. Трифоленков И. Введение в безопасность в Интернет. М., 2005.

  2. Каймин В.А. Информатика. Учебник для вузов. М., ИНФРА-М, 2003.

  3. Каймин В.А., Касаев Б.С. Информатика. Практикум на ЭВМ. ИНФРА-М, 2003.

  4. Осипенко А.С. Борьба с преступностью в компьютерных сетях. М., 2004.

topref.ru

Средства безопасности и ограничения доступа к информации

РЕФЕРАТ

по дисциплине «Информатика»

по теме: «Средства безопасности и ограничения доступа к информации»

ВВЕДЕНИЕ

Информация в ЭВМ - в личных или служебных компьютерах, а также на сетевых серверах приобретает все большую ценность и ее утрата или модификация может принести значимый материальный ущерб.

Значимость информации для людей и организаций приводит к необходимости освоения средств и методов надежного хранения ее в ЭВМ, а также к ограничению доступа к информации для третьих лиц.

Цель данной работы - всесторонне проанализировать средства разграничения и доступа к информации. Задачи работы - рассмотреть основные составляющие информационной безопасности и основные способы ее защиты. В качестве примера средств ограничения доступа к информации в работе рассматривается межсетевой экран.

1. Информационная безопасность и ее составляющие

Информационная безопасность - это защищенность жизненно важных информационных ресурсов и систем от внешних и внутренних посягательств и угроз для граждан, организаций и государственных органов.

Для граждан информационная безопасность выражается в защищенности их персональных компьютеров, их личной информации в информационных системах и сетях ЭВМ, а также результатов их интеллектуальной деятельности.

В Конституции России закреплены права граждан на свободу слова, тайну переписки и свободу распространения информации, а также право запроса информации от государственных и общественных организаций.

Для организаций информационная безопасность - защищенность от внешних посягательств служебной информации, корпоративных информационных систем и сети ЭВМ, а также принадлежащей им интеллектуальной собственности.

Для государства информационная безопасность - защита от внешних и внутренних угроз национальных информационных ресурсов и государственных информационных систем, а также телекоммуникационной инфраструктуры, организаций и служб.

Защита информации в ЭВМ может быть создана на техническом, организационном и правовом уровне подобно защите материальных ценностей, принадлежащих граждан и организациям.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные компьютерные системы. Знание возможных угроз, а также уязвимых мест информационной системы, необходимо для того, чтобы выбирать наиболее эффективные средства обеспечения безопасности.

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки приводят к прямому ущербу (например, неправильно введенные данные, ошибка в программе, вызвавшая остановку или разрушение системы). Иногда они создают слабые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования).

Согласно данным Национального Института Стандартов и Технологий США (NIST), 65% случаев нарушения безопасности информационных систем - следствие непреднамеренных ошибок. Работа в глобальной информационной сети делает этот фактор достаточно актуальным, причем источником ущерба могут быть как действия пользователей организации, так и пользователей глобальной сети, что особенно опасно.

На втором месте по размерам ущерба располагаются кражи и подлоги. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала связи с глобальными сетями может, при отсутствии должного контроля за его работой, дополнительно способствовать такой деятельности.

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Поэтому, необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.

Преднамеренные попытки получения несанкционированного доступа через внешние коммуникации занимают сегодня около 10% всех возможных нарушений. Кроме того, необходимо иметь в виду динамику развития рисков этого типа: по данным Группы изучения компьютерных рисков (CERT), проводившей исследование различных систем, контролируемых правительством США, если в 1990 году зарегистрировано 130 удачных попыток несанкционированно доступа к компьютерным ресурсам через Internet, то за 1994 год эта цифра составила 2300. Потери американских компаний, связанные с нарушениями безопасности, составили более US $5 млн.

При анализе рисков необходимо принять во внимание тот факт, что компьютеры в локальной сети организации редко бывают достаточно защищены, чтобы противостоять атакам или хотя бы регистрировать факты нарушения информационной безопасности. Так, тесты Агентства Защиты Информационных Систем (США) показали, что 88% компьютеров имеют слабые места с точки зрения информационной безопасности, которые могут активно использоваться для получения несанкционированного доступа. При этом в среднем только каждый двенадцатый администратор обнаруживает, что указанный инцидент произошел в управляемой им системе.

Отдельно следует рассмотреть случай удаленного доступа к информационным структурам организации через телефонные линии, посредством популярных протоколов SLIP/PPP. Поскольку в этом случае ситуация близка к ситуации взаимодействия пользователей локальной и глобальной сети, решение возникающих проблем также может быть аналогичным решениям для Internet.

На техническом уровне защита информации в ЭВМ организуется прежде всего ограничением доступа третьим лицам. Наипростейшее решение - аутентификация пользователей путем их регистрации и введение паролей.

Для ограничения доступа и в Windows, и в Linux, и в различных сетевых информационных системах применяется регистрация пользователей с проверкой паролей доступа к тем или иным ресурсам ЭВМ.

Следующий уровень - администрирование доступа к файлам и папкам с помощью средств используемых операционных систем - Windows либо Linux. На личных ЭВМ это должны делать их владельцы. В организациях регламентация доступа к информации в сетях ЭВМ поручается системным администраторам, от квалификации которых будет зависеть надежность хранения информации и работоспособность сети ЭВМ.

Основное различие Windows и Linux заключено именно в различии штатных средств разграничения доступа к файлам, пакам и устройствам ввода-вывода - основным ресурсам ЭВМ.

Система Linux - это многопользовательская сетевая операционная система, в которой априори не менее двух пользователей, один из которых и только один (его имя - root) имеет права администрирования доступа.

Система Windows в ее простейших вариантах штатных средств администрирования доступа к файлам и папкам не имеет. Средства администрирования имеются лишь в сетевой операционной системе Windows NT. Но Windows NT - это операционная система для сетей ЭВМ. Windows-95, Windows-9, Windows-2000 и Windows-ХР - это операционные системы для персональных компьютеров, предназначенных для личного использования. При этом, к сожалению фирма Microsoft с 2004 года прекратила тиражирование и техническую поддержку наиболее надежной своей сетевой операционной системы Windows NT.

Один из выходов - использование Linux на сервере сети в качестве сетевой операционной системы в сетях персональных ЭВМ с Windows, позволяющего поставить надежную защиту и регламентацию доступа ко всем ресурсам.

В информационных системах разграничение доступа производится с помощью штатных средств баз данных. По международным стандартам такие средства есть во всех реляционных базах данных.

Основными угрозами для личной информации, хранимой в персональных ЭВМ и получаемой через Интернет, на сегодняшний день являются компьютерные эпидемии и непрошенный спам.

Спам - это массовая несанкционированная анонимная рассылка рекламы по сети Интернет. Спам забивает ненужной информацией личные и служебные почтовые ящики и заставляет оплачивать ненужную рекламу.

В национальном масштабе спам наносит существенный материальный ущерб всем организациям, использующим Интернет, а также провайдерам электронной почты и доступа к Интернет.

Компьютерные эпидемии - это массовое распространение компьютерных вирусов по сети Интернет с разрушением информации на личных и служебных ЭВМ, наносящее существенный материальный ущерб.

2. Основные способы ограничения доступа к информации

В столь важной задаче, как обеспечение безопасности информационной системы, нет и не может быть полностью готового решения. Это связано с тем, что структура каждой организации, функциональные связи между ее подразделениями и отдельными сотрудниками практически никогда полностью не повторяются. Только руководство организации может определить, насколько критично нарушение безопасности для компонент информационной системы, кто, когда и для решения каких задачах может использовать те или иные информационные сервисы.

Ключевым этапом для построения надежной информационной системы является выработка политики безопасности.

Под политикой безопасности мы будем понимать совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов.

С практической точки зрения политику безопасности целесообразно разделить на три уровня:

· Решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации.

· Вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией.

· Конкретные сервисы информационной системы.

Третий уровень включает в себя два аспекта - цели (политики безопасности) и правила их достижения, поэтому его порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, третий должен быть гораздо детальнее. У отдельных сервисов есть много свойств, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти свойства настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне.

Можно выделить следующие основные способы защиты информации:

1) защита на уровне браузеров,

2) защита на уровне локального сервера,

3) установка фильтрующих программ,

4) установка сетевых экранов.

Наиболее надежными являются два последних способа защиты. Так по пути установки программ-фильтров в организациях, в соответствии с Конвенцией о киберпреступности пошли все европейские страны.

Программы-фильтры для российских организаций начала поставлять британская фирма SurfControl, предлагающая как фильтрацию вирусов и спама, так и фильтрацию сайтов с неправомерным содержанием.

Для лучшего представления сущности сетевого экрана рассмотрим структуру информационной системы предприятия (организации). В общем случае она представляет собой неоднородный набор (комплекс) из различных компьютеров, управляемых различными операционными системами и сетевого оборудования, осуществляющего взаимодействие между компьютерами. Поскольку описанная система весьма разнородна (даже компьютеры одного типа и с одной операционной системой могут, в соответствии с их назначением, иметь совершенно различные конфигурации), вряд ли имеет смысл осуществлять защиту каждого элемента в отдельности. В связи с этим предлагается рассматривать вопросы обеспечения информационной безопасности для локальной сети в целом. Это оказывается возможным при использовании межсетевого экрана (firewall).

Концепция межсетевого экранирования формулируется следующим образом.

Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем.

В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует (то есть осуществляет перемещение данных). В более общем случае экран (полупроницаемую оболочку) удобно представлять себе как последовательность фильтров. Каждый из них может задержать (не пропустить) данные, а может и сразу «перебросить» их «на другую сторону». Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат результата отправителю.

Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов.

Обычно экран не является симметричным, для него определены понятия «внутри» и «снаружи». При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример экрана - устройство защиты порта, контролирующее доступ к коммуникационному порту компьютера до и независимо от всех прочих системных защитных средств.

Экранирование позволяет поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности.

Чаще всего экран реализуют как сетевой сервис на третьем (сетевом), четвертом (транспортном) или седьмом (прикладном) уровнях семиуровневой эталонной модели OSI. В первом случае мы имеем экранирующий маршрутизатор, во втором - экранирующий транспорт, в третьем - экранирующий шлюз. Каждый подход имеют свои достоинства и недостатки; известны также гибридные экраны, где делается попытка объединить лучшие качества упомянутых подходов.

Экранирующий маршрутизатор имеет дело с отдельными пакетами данных, поэтому иногда его называют пакетным фильтром. Решения о том, пропустить или задержать данные, принимаются для каждого пакета независимо, на основании анализа полей заголовков сетевого и (быть может) транспортного уровней, путем применения заранее заданной системы правил. Еще один важный компонент анализируемой информации - порт, через который пакет поступил в маршрутизатор.

Современные маршрутизаторы (такие, как продукты компаний Bay Networks или Cisco) позволяют связывать с каждым портом несколько десятков правил и фильтровать пакеты как на входе (при поступлении в маршрутизатор), так и на выходе. В принципе, в качестве пакетного фильтра может использоваться и универсальный компьютер, снабженный несколькими сетевыми картами.

Основные достоинства экранирующих маршрутизаторов - дешевизна (на границе сетей маршрутизатор нужен практически всегда, дело лишь в том, чтобы задействовать его экранирующие возможности) и прозрачность для более высоких уровней модели OSI. Основной недостаток - ограниченность анализируемой информации и, как следствие, относительная слабость обеспечиваемой защиты.

Экранирующий транспорт позволяет контролировать процесс установления виртуальных соединений и передачу информации по ним. С точки зрения реализации экранирующий транспорт представляет собой довольно простую, а значит, надежную программу. Пример экранирующего транспорта - продукт TCP wrapper.

По сравнению с пакетными фильтрами, экранирующий транспорт обладает большей информацией, поэтому он может осуществлять более тонкий контроль за виртуальными соединениями (например, он способен отслеживать количество передаваемой информации и разрывать соединения после превышения определенного предела, препятствуя тем самым несанкционированному экспорту информации). Аналогично, возможно накопление более содержательной регистрационной информации. Главный недостаток - сужение области применимости, поскольку вне контроля остаются датаграммные протоколы. Обычно экранирующий транспорт применяют в сочетании с другими подходами, как важный дополнительный элемент.

Экранирующий шлюз, функционирующий на прикладном уровне, способен обеспечить наиболее надежную защиту. Как правило, экранирующий шлюз представляет собой универсальный компьютер, на котором функционируют программные агенты - по одному для каждого обслуживаемого прикладного протокола. При подобном подходе, помимо фильтрации, реализуется еще один важнейший аспект экранирования. Субъекты из внешней сети видят только шлюзовой компьютер; соответственно, им доступна только та информация о внутренней сети, которую шлюз считает нужным экспортировать. Шлюз на самом деле экранирует, то есть заслоняет, внутреннюю сеть от внешнего мира. В то же время субъектам внутренней сети кажется, что они напрямую общаются с объектами внешнего мира. Недостаток экранирующих шлюзов - отсутствие полной прозрачности, требующее специальных действий для поддержки каждого прикладного протокола.

Примером инструментария для построения экранирующих шлюзов является TIS Firewall Toolkit компании Trusted Information Systems.

В гибридных системах, таких как Firewall-1 компании Sun Microsystems, действительно удается объединить лучшие качества экранирующих систем, то есть получить надежную защиту, сохранить прозрачность для приложений и удержать накладные расходы в разумных пределах. Кроме того, появляются и очень ценные новые возможности, такие как отслеживание передачи информации в рамках датаграммных протоколов.

Важным понятием экранирования является зона риска, которая определяется как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Как правило, для повышения надежности защиты экран реализуют как совокупность элементов, так что «взлом» одного из них еще не открывает доступ ко всей внутренней сети.

Рассмотрим требования к реальной системе, осуществляющей межсетевое экранирование. В большинстве случаев экранирующая система должна:

· Обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;

· Обладать мощными и гибкими средствами управления для полного и, насколько возможно, простого воплощения в жизнь политики безопасности организации. Кроме того, экранирующая система должна обеспечивать простую реконфигурацию системы при изменении структуры сети;

· Работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий;

· Работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в «пиковых» режимах. Это необходимо для того, чтобы firewall нельзя было, образно говоря, «забросать» большим количеством вызовов, которые привели бы к нарушению работы;

· Обладать свойствами самозащиты от любых несанкционированных воздействий, поскольку межсетевой экран является ключом к конфиденциальной информации в организации;

· Если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики безопасности;

· Иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна надежно распознавать таких пользователей и предоставлять им необходимые виды доступа.

Экранирование позволяет поддерживать доступность сервисов внутри информационной системы, уменьшая или вообще ликвидируя нагрузку, инициированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более надежным образом. Экранирование дает возможность контролировать информационные потоки, направленные во внешнюю область, обеспечивая режим конфиденциальности.

Таким образом, экранирование в сочетании с другими мерами безопасности использует идею многоуровневой защиты. За счет этого внутренняя сеть подвергается риску только в случае преодоления нескольких, по-разному организованных защитных рубежей.

Наличие инструмента межсетевого экранирования позволяет использовать его и для контроля доступа к информационным ресурсам организации по коммутируемым каналам связи. Для этого необходимо использовать устройство, называемое терминальным сервером. Терминальный сервер представляет собой специальную программно-аппаратную конфигурацию.

Заключение

Подключение организации к глобальной сети, такой как Internet, существенно увеличивает эффективность работы организации и открывает для нее множество новых возможностей. В то же время, организации необходимо позаботится о создании системы защиты информационных ресурсов, от тех, кто захочет их использовать, модифицировать либо просто уничтожить.

Несмотря на свою специфику, система защиты организации при работе в глобальных сетях должна быть продолжением общего комплекса усилий, направленных на обеспечение безопасности информационных ресурсов. Защита информации, опознание и ограничение к ней доступа - это комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если необходимо, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных. Комплексный характер, проблемы защиты говорит о том, что для ее решения необходимо сочетание законодательных, организационных и программно- технических мер.

Литература

1. Галатенко В. Трифоленков И. ВВЕДЕНИЕ в безопасность в Интернет. М., 2005.

2. Каймин В.А. Информатика. Учебник для вузов. М., ИНФРА-М, 2003.

3. Каймин В.А., Касаев Б.С. Информатика. Практикум на ЭВМ. ИНФРА-М, 2003.

4. Осипенко А.С. Борьба с преступностью в компьютерных сетях. М., 2004.

referatwork.ru

18. Ограничение доступа к информации.

 

 

1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

 

2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

 

3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.

КонсультантПлюс: примечание.

По вопросу, касающемуся порядка обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, см. Постановление Правительства РФ от 03.11.1994 N 1233.

 

4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

 

5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

 

6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.

 

7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе.

 

8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

 

9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

19.Порядок ограничения доступа к информации, распространяемой с нарушением авторских и (или) смежных прав.

1. Правообладатель в случае обнаружения в информационно-телекоммуникационных сетях, в том числе в сети "Интернет", объектов авторских и (или) смежных прав (кроме фотографических произведений и произведений, полученных способами, аналогичными фотографии), распространяемых в таких сетях, или информации, необходимой для их получения с использованием информационно-телекоммуникационных сетей, которые распространяются без его разрешения или иного законного основания, вправе обратиться в федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, с заявлением о принятии мер по ограничению доступа к информационным ресурсам, распространяющим такие объекты или информацию, на основании вступившего в силу судебного акта. Форма указанного заявления утверждается федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.

2. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, на основании вступившего в силу судебного акта в течение трех рабочих дней:

1) определяет провайдера хостинга или иное лицо, обеспечивающее размещение в информационно-телекоммуникационной сети, в том числе в сети "Интернет", указанного информационного ресурса, обслуживающего владельца сайта в сети "Интернет", на котором размещена информация, содержащая объекты авторских и (или) смежных прав (кроме фотографических произведений и произведений, полученных способами, аналогичными фотографии), или информация, необходимая для их получения с использованием информационно-телекоммуникационных сетей, без разрешения правообладателя или иного законного основания;

2) направляет провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в электронном виде уведомление на русском и английском языках о нарушении исключительных прав на объекты авторских и (или) смежных прав (кроме фотографических произведений и произведений, полученных способами, аналогичными фотографии), распространяемые в информационно-телекоммуникационных сетях, в том числе в сети "Интернет", с указанием наименования произведения, его автора, правообладателя, доменного имени и сетевого адреса, позволяющих идентифицировать сайт в сети "Интернет", на котором размещена информация, содержащая объекты авторских и (или) смежных прав (кроме фотографических произведений и произведений, полученных способами, аналогичными фотографии), или информация, необходимая для их получения с использованием информационно-телекоммуникационных сетей, без разрешения правообладателя или иного законного основания, а также указателей страниц сайта в сети "Интернет", позволяющих идентифицировать такую информацию, и с требованием принять меры по ограничению доступа к такой информации;

3) фиксирует дату и время направления уведомления провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в соответствующей информационной системе.

3. В течение одного рабочего дня с момента получения уведомления, указанного в пункте 2 части 2 настоящей статьи, провайдер хостинга или иное указанное в пункте 1 части 2 настоящей статьи лицо обязаны проинформировать об этом обслуживаемого ими владельца информационного ресурса и уведомить его о необходимости незамедлительно ограничить доступ к незаконно размещенной информации.

4. В течение одного рабочего дня с момента получения от провайдера хостинга или иного указанного в пункте 1 части 2 настоящей статьи лица уведомления о необходимости ограничить доступ к незаконно размещенной информации владелец информационного ресурса обязан удалить незаконно размещенную информацию или принять меры по ограничению доступа к ней. В случае отказа или бездействия владельца информационного ресурса провайдер хостинга или иное указанное в пункте 1 части 2 настоящей статьи лицо обязаны ограничить доступ к соответствующему информационному ресурсу не позднее истечения трех рабочих дней с момента получения уведомления, указанного в пункте 2 части 2 настоящей статьи.

5. В случае непринятия провайдером хостинга или иным указанным в пункте 1 части 2 настоящей статьи лицом и (или) владельцем информационного ресурса мер, указанных в частях 3 и 4 настоящей статьи, доменное имя сайта в сети "Интернет", его сетевой адрес, указатели страниц сайта в сети "Интернет", позволяющие идентифицировать информацию, содержащую объекты авторских и (или) смежных прав (кроме фотографических произведений и произведений, полученных способами, аналогичными фотографии), или информацию, необходимую для их получения с использованием информационно-телекоммуникационных сетей, и размещенную без разрешения правообладателя или иного законного основания, а также иные сведения об этом сайте и информация направляются по системе взаимодействия операторам связи для принятия мер по ограничению доступа к данному информационному ресурсу, в том числе к сайту в сети "Интернет", или к размещенной на нем информации.

6. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, на основании вступившего в силу судебного акта в течение трех рабочих дней со дня получения судебного акта об отмене ограничения доступа к информационному ресурсу, содержащему объекты авторских и (или) смежных прав (кроме фотографических произведений и произведений, полученных способами, аналогичными фотографии), распространяемые в информационно-телекоммуникационных сетях, в том числе в сети "Интернет", или информацию, необходимую для их получения с использованием информационно-телекоммуникационных сетей, которые распространяются без разрешения правообладателя или иного законного основания, уведомляет провайдера хостинга или иное указанное в пункте 1 части 2 настоящей статьи лицо и операторов связи об отмене мер по ограничению доступа к данному информационному ресурсу. В течение одного рабочего дня со дня получения от указанного федерального органа исполнительной власти уведомления об отмене мер по ограничению доступа к информационному ресурсу провайдер хостинга обязан проинформировать об этом владельца информационного ресурса и уведомить о возможности снятия ограничения доступа.

7. В течение суток с момента получения по системе взаимодействия сведений об информационном ресурсе, содержащем объекты авторских и (или) смежных прав (кроме фотографических произведений и произведений, полученных способами, аналогичными фотографии), распространяемые в информационно-телекоммуникационных сетях, в том числе в сети "Интернет", или информацию, необходимую для их получения с использованием информационно-телекоммуникационных сетей, которые используются без разрешения правообладателя или иного законного основания, оператор связи, оказывающий услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет", обязан ограничить доступ к незаконно размещенной информации в соответствии с вступившим в законную силу судебным актом. В случае отсутствия у оператора связи технической возможности ограничить доступ к незаконно размещенной информации оператор связи обязан ограничить доступ к такому информационному ресурсу.

8. Порядок функционирования информационной системы взаимодействия устанавливается федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.

9. Предусмотренный настоящей статьей порядок не применяется к информации, подлежащей включению в реестр в соответствии со статьей 15.1 настоящего Федерального закона.

studfiles.net

Реферат - Средства безопасности и ограничения доступа к информации

РЕФЕРАТ

по дисциплине «Информатика»

по теме: «Средства безопасности и ограничения доступа к информации»

Введение

Информация в ЭВМ – в личных или служебных компьютерах, а также на сетевых серверах приобретает все большую ценность и ее утрата или модификация может принести значимый материальный ущерб.

Значимость информации для людей и организаций приводит к необходимости освоения средств и методов надежного хранения ее в ЭВМ, а также к ограничению доступа к информации для третьих лиц.

Цель данной работы – всесторонне проанализировать средства разграничения и доступа к информации. Задачи работы – рассмотреть основные составляющие информационной безопасности и основные способы ее защиты. В качестве примера средств ограничения доступа к информации в работе рассматривается межсетевой экран.

1. Информационная безопасность и ее составляющие

Информационная безопасность – это защищенность жизненно важных информационных ресурсов и систем от внешних и внутренних посягательств и угроз для граждан, организаций и государственных органов.

Для граждан информационная безопасность выражается в защищенности их персональных компьютеров, их личной информации в информационных системах и сетях ЭВМ, а также результатов их интеллектуальной деятельности.

В Конституции России закреплены права граждан на свободу слова, тайну переписки и свободу распространения информации, а также право запроса информации от государственных и общественных организаций.

Для организаций информационная безопасность – защищенность от внешних посягательств служебной информации, корпоративных информационных систем и сети ЭВМ, а также принадлежащей им интеллектуальной собственности.

Для государства информационная безопасность – защита от внешних и внутренних угроз национальных информационных ресурсов и государственных информационных систем, а также телекоммуникационной инфраструктуры, организаций и служб.

Защита информации в ЭВМ может быть создана на техническом, организационном и правовом уровне подобно защите материальных ценностей, принадлежащих граждан и организациям.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные компьютерные системы. Знание возможных угроз, а также уязвимых мест информационной системы, необходимо для того, чтобы выбирать наиболее эффективные средства обеспечения безопасности.

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки приводят к прямому ущербу (например, неправильно введенные данные, ошибка в программе, вызвавшая остановку или разрушение системы). Иногда они создают слабые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования).

Согласно данным Национального Института Стандартов и Технологий США (NIST), 65% случаев нарушения безопасности информационных систем – следствие непреднамеренных ошибок. Работа в глобальной информационной сети делает этот фактор достаточно актуальным, причем источником ущерба могут быть как действия пользователей организации, так и пользователей глобальной сети, что особенно опасно.

На втором месте по размерам ущерба располагаются кражи и подлоги. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала связи с глобальными сетями может, при отсутствии должного контроля за его работой, дополнительно способствовать такой деятельности.

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Поэтому, необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.

Преднамеренные попытки получения несанкционированного доступа через внешние коммуникации занимают в настоящее время около 10% всех возможных нарушений. Кроме того, необходимо иметь в виду динамику развития рисков этого типа: по данным Группы изучения компьютерных рисков (CERT), проводившей исследование различных систем, контролируемых правительством США, если в 1990 году зарегистрировано 130 удачных попыток несанкционированно доступа к компьютерным ресурсам через Internet, то за 1994 год эта цифра составила 2300. Потери американских компаний, связанные с нарушениями безопасности, составили более US $5 млн.

При анализе рисков необходимо принять во внимание тот факт, что компьютеры в локальной сети организации редко бывают достаточно защищены, чтобы противостоять атакам или хотя бы регистрировать факты нарушения информационной безопасности. Так, тесты Агентства Защиты Информационных Систем (США) показали, что 88% компьютеров имеют слабые места с точки зрения информационной безопасности, которые могут активно использоваться для получения несанкционированного доступа. При этом в среднем только каждый двенадцатый администратор обнаруживает, что указанный инцидент произошел в управляемой им системе.

Отдельно следует рассмотреть случай удаленного доступа к информационным структурам организации через телефонные линии, посредством популярных протоколов SLIP/PPP. Поскольку в этом случае ситуация близка к ситуации взаимодействия пользователей локальной и глобальной сети, решение возникающих проблем также может быть аналогичным решениям для Internet.

На техническом уровне защита информации в ЭВМ организуется прежде всего ограничением доступа третьим лицам. Наипростейшее решение – аутентификация пользователей путем их регистрации и введение паролей.

Для ограничения доступа и в Windows, и в Linux, и в различных сетевых информационных системах применяется регистрация пользователей с проверкой паролей доступа к тем или иным ресурсам ЭВМ.

Следующий уровень – администрирование доступа к файлам и папкам с помощью средств используемых операционных систем – Windows либо Linux. На личных ЭВМ это должны делать их владельцы. В организациях регламентация доступа к информации в сетях ЭВМ поручается системным администраторам, от квалификации которых будет зависеть надежность хранения информации и работоспособность сети ЭВМ.

Основное различие Windows и Linux заключено именно в различии штатных средств разграничения доступа к файлам, пакам и устройствам ввода-вывода – основным ресурсам ЭВМ.

Система Linux – это многопользовательская сетевая операционная система, в которой априори не менее двух пользователей, один из которых и только один (его имя – root) имеет права администрирования доступа.

Система Windows в ее простейших вариантах штатных средств администрирования доступа к файлам и папкам не имеет. Средства администрирования имеются лишь в сетевой операционной системе Windows NT. Но Windows NT – это операционная система для сетей ЭВМ. Windows-95, Windows-9, Windows-2000 и Windows-ХР – это операционные системы для персональных компьютеров, предназначенных для личного использования. При этом, к сожалению фирма Microsoft с 2004 года прекратила тиражирование и техническую поддержку наиболее надежной своей сетевой операционной системы Windows NT.

Один из выходов – использование Linux на сервере сети в качестве сетевой операционной системы в сетях персональных ЭВМ с Windows, позволяющего поставить надежную защиту и регламентацию доступа ко всем ресурсам.

В информационных системах разграничение доступа производится с помощью штатных средств баз данных. По международным стандартам такие средства есть во всех реляционных базах данных.

Основными угрозами для личной информации, хранимой в персональных ЭВМ и получаемой через Интернет, на сегодняшний день являются компьютерные эпидемии и непрошенный спам.

Спам – это массовая несанкционированная анонимная рассылка рекламы по сети Интернет. Спам забивает ненужной информацией личные и служебные почтовые ящики и заставляет оплачивать ненужную рекламу.

В национальном масштабе спам наносит существенный материальный ущерб всем организациям, использующим Интернет, а также провайдерам электронной почты и доступа к Интернет.

Компьютерные эпидемии – это массовое распространение компьютерных вирусов по сети Интернет с разрушением информации на личных и служебных ЭВМ, наносящее существенный материальный ущерб.

2. Основные способы ограничения доступа к информации

В столь важной задаче, как обеспечение безопасности информационной системы, нет и не может быть полностью готового решения. Это связано с тем, что структура каждой организации, функциональные связи между ее подразделениями и отдельными сотрудниками практически никогда полностью не повторяются. Только руководство организации может определить, насколько критично нарушение безопасности для компонент информационной системы, кто, когда и для решения каких задачах может использовать те или иные информационные сервисы.

Ключевым этапом для построения надежной информационной системы является выработка политики безопасности.

Под политикой безопасности мы будем понимать совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов.

С практической точки зрения политику безопасности целесообразно разделить на три уровня:

· Решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации.

· Вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией.

· Конкретные сервисы информационной системы.

Третий уровень включает в себя два аспекта – цели (политики безопасности) и правила их достижения, поэтому его порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, третий должен быть гораздо детальнее. У отдельных сервисов есть много свойств, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти свойства настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне.

Можно выделить следующие основные способы защиты информации:

1) защита на уровне браузеров,

2) защита на уровне локального сервера,

3) установка фильтрующих программ,

4) установка сетевых экранов.

Наиболее надежными являются два последних способа защиты. Так по пути установки программ-фильтров в организациях, в соответствии с Конвенцией о киберпреступности пошли все европейские страны.

Программы-фильтры для российских организаций начала поставлять британская фирма SurfControl, предлагающая как фильтрацию вирусов и спама, так и фильтрацию сайтов с неправомерным содержанием.

Для лучшего представления сущности сетевого экрана рассмотрим структуру информационной системы предприятия (организации). В общем случае она представляет собой неоднородный набор (комплекс) из различных компьютеров, управляемых различными операционными системами и сетевого оборудования, осуществляющего взаимодействие между компьютерами. Поскольку описанная система весьма разнородна (даже компьютеры одного типа и с одной операционной системой могут, в соответствии с их назначением, иметь совершенно различные конфигурации), вряд ли имеет смысл осуществлять защиту каждого элемента в отдельности. В связи с этим предлагается рассматривать вопросы обеспечения информационной безопасности для локальной сети в целом. Это оказывается возможным при использовании межсетевого экрана (firewall).

Концепция межсетевого экранирования формулируется следующим образом.

Пусть имеется два множества информационных систем. Экран – это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем.

В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует (то есть осуществляет перемещение данных). В более общем случае экран (полупроницаемую оболочку) удобно представлять себе как последовательность фильтров. Каждый из них может задержать (не пропустить) данные, а может и сразу «перебросить» их «на другую сторону». Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат результата отправителю.

Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов.

Обычно экран не является симметричным, для него определены понятия «внутри» и «снаружи». При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример экрана – устройство защиты порта, контролирующее доступ к коммуникационному порту компьютера до и независимо от всех прочих системных защитных средств.

Экранирование позволяет поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности.

Чаще всего экран реализуют как сетевой сервис на третьем (сетевом), четвертом (транспортном) или седьмом (прикладном) уровнях семиуровневой эталонной модели OSI. В первом случае мы имеем экранирующий маршрутизатор, во втором – экранирующий транспорт, в третьем – экранирующий шлюз. Каждый подход имеют свои достоинства и недостатки; известны также гибридные экраны, где делается попытка объединить лучшие качества упомянутых подходов.

Экранирующий маршрутизатор имеет дело с отдельными пакетами данных, поэтому иногда его называют пакетным фильтром. Решения о том, пропустить или задержать данные, принимаются для каждого пакета независимо, на основании анализа полей заголовков сетевого и (быть может) транспортного уровней, путем применения заранее заданной системы правил. Еще один важный компонент анализируемой информации – порт, через который пакет поступил в маршрутизатор.

Современные маршрутизаторы (такие, как продукты компаний Bay Networks или Cisco) позволяют связывать с каждым портом несколько десятков правил и фильтровать пакеты как на входе (при поступлении в маршрутизатор), так и на выходе. В принципе, в качестве пакетного фильтра может использоваться и универсальный компьютер, снабженный несколькими сетевыми картами.

Основные достоинства экранирующих маршрутизаторов – дешевизна (на границе сетей маршрутизатор нужен практически всегда, дело лишь в том, чтобы задействовать его экранирующие возможности) и прозрачность для более высоких уровней модели OSI. Основной недостаток – ограниченность анализируемой информации и, как следствие, относительная слабость обеспечиваемой защиты.

Экранирующий транспорт позволяет контролировать процесс установления виртуальных соединений и передачу информации по ним. С точки зрения реализации экранирующий транспорт представляет собой довольно простую, а значит, надежную программу. Пример экранирующего транспорта – продукт TCP wrapper.

По сравнению с пакетными фильтрами, экранирующий транспорт обладает большей информацией, поэтому он может осуществлять более тонкий контроль за виртуальными соединениями (например, он способен отслеживать количество передаваемой информации и разрывать соединения после превышения определенного предела, препятствуя тем самым несанкционированному экспорту информации). Аналогично, возможно накопление более содержательной регистрационной информации. Главный недостаток – сужение области применимости, поскольку вне контроля остаются датаграммные протоколы. Обычно экранирующий транспорт применяют в сочетании с другими подходами, как важный дополнительный элемент.

Экранирующий шлюз, функционирующий на прикладном уровне, способен обеспечить наиболее надежную защиту. Как правило, экранирующий шлюз представляет собой универсальный компьютер, на котором функционируют программные агенты – по одному для каждого обслуживаемого прикладного протокола. При подобном подходе, помимо фильтрации, реализуется еще один важнейший аспект экранирования. Субъекты из внешней сети видят только шлюзовой компьютер; соответственно, им доступна только та информация о внутренней сети, которую шлюз считает нужным экспортировать. Шлюз на самом деле экранирует, то есть заслоняет, внутреннюю сеть от внешнего мира. В то же время субъектам внутренней сети кажется, что они напрямую общаются с объектами внешнего мира. Недостаток экранирующих шлюзов – отсутствие полной прозрачности, требующее специальных действий для поддержки каждого прикладного протокола.

Примером инструментария для построения экранирующих шлюзов является TIS Firewall Toolkit компании Trusted Information Systems.

В гибридных системах, таких как Firewall-1 компании Sun Microsystems, действительно удается объединить лучшие качества экранирующих систем, то есть получить надежную защиту, сохранить прозрачность для приложений и удержать накладные расходы в разумных пределах. Кроме того, появляются и очень ценные новые возможности, такие как отслеживание передачи информации в рамках датаграммных протоколов.

Важным понятием экранирования является зона риска, которая определяется как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Как правило, для повышения надежности защиты экран реализуют как совокупность элементов, так что «взлом» одного из них еще не открывает доступ ко всей внутренней сети.

Рассмотрим требования к реальной системе, осуществляющей межсетевое экранирование. В большинстве случаев экранирующая система должна:

· Обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;

· Обладать мощными и гибкими средствами управления для полного и, насколько возможно, простого воплощения в жизнь политики безопасности организации. Кроме того, экранирующая система должна обеспечивать простую реконфигурацию системы при изменении структуры сети;

· Работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий;

· Работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в «пиковых» режимах. Это необходимо для того, чтобы firewall нельзя было, образно говоря, «забросать» большим количеством вызовов, которые привели бы к нарушению работы;

· Обладать свойствами самозащиты от любых несанкционированных воздействий, поскольку межсетевой экран является ключом к конфиденциальной информации в организации;

· Если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики безопасности;

· Иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна надежно распознавать таких пользователей и предоставлять им необходимые виды доступа.

Экранирование позволяет поддерживать доступность сервисов внутри информационной системы, уменьшая или вообще ликвидируя нагрузку, инициированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более надежным образом. Экранирование дает возможность контролировать информационные потоки, направленные во внешнюю область, обеспечивая режим конфиденциальности.

Таким образом, экранирование в сочетании с другими мерами безопасности использует идею многоуровневой защиты. За счет этого внутренняя сеть подвергается риску только в случае преодоления нескольких, по-разному организованных защитных рубежей.

Наличие инструмента межсетевого экранирования позволяет использовать его и для контроля доступа к информационным ресурсам организации по коммутируемым каналам связи. Для этого необходимо использовать устройство, называемое терминальным сервером. Терминальный сервер представляет собой специальную программно-аппаратную конфигурацию.

Заключение

Подключение организации к глобальной сети, такой как Internet, существенно увеличивает эффективность работы организации и открывает для нее множество новых возможностей. В то же время, организации необходимо позаботится о создании системы защиты информационных ресурсов, от тех, кто захочет их использовать, модифицировать либо просто уничтожить.

Несмотря на свою специфику, система защиты организации при работе в глобальных сетях должна быть продолжением общего комплекса усилий, направленных на обеспечение безопасности информационных ресурсов. Защита информации, опознание и ограничение к ней доступа – это комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если необходимо, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных. Комплексный характер, проблемы защиты говорит о том, что для ее решения необходимо сочетание законодательных, организационных и программно- технических мер.

Литература

1. Галатенко В. Трифоленков И. Введение в безопасность в Интернет. М., 2005.

2. Каймин В.А. Информатика. Учебник для вузов. М., ИНФРА-М, 2003.

3. Каймин В.А., Касаев Б.С. Информатика. Практикум на ЭВМ. ИНФРА-М, 2003.

4. Осипенко А.С. Борьба с преступностью в компьютерных сетях. М., 2004.

www.ronl.ru


Смотрите также

 

..:::Новинки:::..

Windows Commander 5.11 Свежая версия.

Новая версия
IrfanView 3.75 (рус)

Обновление текстового редактора TextEd, уже 1.75a

System mechanic 3.7f
Новая версия

Обновление плагинов для WC, смотрим :-)

Весь Winamp
Посетите новый сайт.

WinRaR 3.00
Релиз уже здесь

PowerDesk 4.0 free
Просто - напросто сильный upgrade проводника.

..:::Счетчики:::..

 

     

 

 

Карта Сайта