Защита данных в компьютерных сетях.

Существуют несколько видов защиты информации. Защита выбирается в

зависимости от оборудования, возможностей и совместимости.

Рассмотрим некоторые из них.

Одним из средств физической защиты являются системы архивирования и

дублирования информации. В локальных сетях, где установлены один-два

сервера, чаще всего система устанавливается непосредственно в свободные

слоты серверов. В крупных корпоративных сетях предпочтение отдается

выделенному специализированному архивационному серверу, который

автоматически архивирует информацию с жестких дисков серверов и рабочих

станций в определенное время, установленное администратором сети, выдавая

отчет о проведенном резервном копировании. Наиболее распространенными

моделями архивированных серверов являются Storage Express System корпорации

Intel ARCserve for Windows.

Для борьбы с компьютерными вирусами наиболее часто применяются антивирусные

программы, реже - аппаратные средства защиты. Однако, в последнее время

наблюдается тенденция к сочетанию программных и аппаратных методов защиты.

Среди аппаратных устройств используются специальные антивирусные платы,

вставленные в стандартные слоты расширения компьютера. Корпорация Intel

предложила перспективную технологию защиты от вирусов в сетях, суть которой

заключается в сканировании систем компьютеров еще до их загрузки. Кроме

антивирусных программ, проблема защиты информации в компьютерных сетях

решается введением контроля доступа и разграничением полномочий

пользователя. Для этого используются встроенные средства сетевых

операционных систем, крупнейшим производителем которых является корпорация

Novell. В системе, например, NetWare, кроме стандартных средств ограничения

доступа (смена паролей, разграничение полномочий), предусмотрена

возможность кодирования данных по принципу "открытого ключа" с

формированием электронной подписи для передаваемых по сети пакетов.

Однако, такая система защиты слабомощна, т.к. уровень доступа и возможность

входа в систему определяются паролем, который легко подсмотреть или

подобрать. Для исключения неавторизованного проникновения в компьютерную

сеть используется комбинированный подход - пароль + идентификация

пользователя по персональному "ключу". "Ключ" представляет собой

пластиковую карту (магнитная или со встроенной микросхемой - смарт-карта)

или различные устройства для идентификации личности по биометрической

информации - по радужной оболочке глаза, отпечаткам пальцев, размерам кисти

руки и т.д. Серверы и сетевые рабочие станции, оснащенные устройствами

чтения смарт-карт и специальным программным обеспечением, значительно

повышают степень защиты от несанкционированного доступа.

Смарт-карты управления доступом позволяют реализовать такие функции, как

контроль входа, доступ к устройствам ПК, к программам, файлам и командам.

Одним из удачных примеров создания комплексного решения для контроля

доступа в открытых системах, основанного как на программных, так и на

аппаратных средствах защиты, стала система Kerberos, в основу которой

входят три компонента:

- база данных, которая содержит информацию по всем сетевым ресурсам,

пользователям, паролям, информационным ключам и т.д.;

- авторизационный сервер (authentication server), задачей которого является

обработка запросов пользователей на предоставление того или иного вида

сетевых услуг. Получая запрос, он обращается к базе данных и определяет

полномочия пользователя на совершение определенной операции. Пароли

пользователей по сети не передаются, тем самым, повышая степень защиты

информации;

- Ticket-granting server (сервер выдачи разрешений) получает от

авторизационного сервера "пропуск" с именем пользователя и его сетевым

адресом, временем запроса, а также уникальный "ключ". Пакет, содержащий

"пропуск", передается также в зашифрованном виде. Сервер выдачи разрешений

после получения и расшифровки "пропуска" проверяет запрос, сравнивает

"ключи" и при тождественности дает "добро" на использование сетевой

аппаратуры или программ.

Существует множество причин, которые могут серьёзно повлиять на работу

локальных и глобальных сетей, привести к потере ценной информации. Среди

них можно выделить следующие:

1. Несанкционированный доступ извне, копирование или изменение информации

случайные или умышленные действия, приводящие к:

- искажению либо уничтожению данных;

- ознакомление посторонних лиц с информацией, составляющей банковскую,

финансовую или государственную тайну.

2. Некорректная работа программного обеспечения, приводящая к потере или

порче данных из-за:

- ошибок в прикладном или сетевом ПО;

- заражения систем компьютерными вирусами.

3. Технические сбои оборудования, вызванные:

- отключением электропитания;

- отказом дисковых систем и систем архивации данных;

- нарушением работы серверов, рабочих станций, сетевых карт, модемов.

4. Ошибки обслуживающего персонала.

Конечно, универсального решения, исключающего все перечисленные причины,

нет, однако во многих организациях разработаны и применяются технические и

административные меры, позволяющие риск потери данных или

несанкционированного доступа к ним свести к минимуму.

Продукты защиты: проблема выбора

Огромное количество всевозможных продуктов нам предлагает рынок. Как

уберечь от подделки, как выбрать нужное. Подчас даже опытный руководитель

не сможет дать сегодня вам ответ на эти и многие другие вопросы, которые

возникают при обращении, будь то простых пользователей или опытных

профессионалов.

Абсолютной защиты быть не может. Распространено такое мнение - "установил

защиту и можно ни о чем не беспокоиться". Полностью защищенный компьютер -

это тот, который стоит под замком в бронированной комнате в сейфе, не

подключен ни к какой сети (даже электрической) и выключен. Такой компьютер

имеет абсолютную защиту, однако, использовать его нельзя. В этом примере не

выполняется требование доступности информации. "Абсолютности" защиты мешает

не только необходимость пользоваться защищаемыми данными, но и усложнение

защищаемых систем. Использование постоянных, не развивающихся механизмов

защиты опасно, и для этого есть несколько причин. Одна из них - развитие

вашей собственной сети. Ведь защитные свойства электронных систем

безопасности во многом зависят от конфигурации сети и используемых в ней

программ. Даже если не менять топологию сети, то все равно придется когда-

нибудь использовать новые версии ранее установленных продуктов. Однако

может случиться так, что новые возможности этого продукта пробьют брешь в

защите.

Кроме того, нельзя забывать о развитии и совершенствовании средств

нападения. Техника так быстро меняется, что трудно определить, какое новое

устройство или программное обеспечение, используемое для нападения, может

обмануть вашу защиту.