наводнений и т.д. - состоит в хранении архивных копий информации или в
размещении некоторых сетевых устройств, например, серверов баз данных, в
специальных защищенных помещениях, расположенных, как правило, в других
зданиях или, реже, даже в другом районе города или в другом городе.
Программные и программно-аппаратные методы защиты.
Защита от компьютерных вирусов.
Вряд ли найдется хотя бы один пользователь или администратор сети,
который бы ни разу не сталкивался с компьютерными вирусами. По данным
исследования, проведенного фирмой Creative Strategies Research, 64 % из 451
- 19 -
опрошенного специалиста испытали “на себе” действие вирусов. На сегодняшний
день дополнительно к тысячам уже известных вирусов появляется 100-150 новых
штаммов ежемесячно. Наиболее распространенными методами защиты от вирусов
по сей день остаются различные антивирусные программы.
Однако в качестве перспективного подхода к защите от компьютерных
вирусов в последние годы все чаще применяется сочетание программных и
аппаратных методов защиты. Среди аппаратных устройств такого плана можно
отметить специальные антивирусные платы, которые вставляются в стандартные
слоты расширения компьютера. Корпорация Intel в 1994 году предложила
перспективную технологию защиты от вирусов в компьютерных сетях. Flash-
память сетевых адаптеров Intel EtherExpress PRO/10 содержит антивирусную
программу, сканирующую все системы компьютера еще до его загрузки.
Защита от несанкционированного доступа.
Проблема защиты информации от несанкционированного доступа особо
обострилась с широким распространением локальных и, особенно, глобальных
компьютерных сетей. Необходимо также отметить, что зачастую ущерб наносится
не из-за “злого умысла”, а из-за элементарных ошибок пользователей, которые
случайно портят или удаляют жизненно важные данные. В связи с этим, помимо
контроля доступа, необходимым элементом защиты информации в компьютерных
сетях является разграничение полномочий пользователей.
В компьютерных сетях при организации контроля доступа и
разграничения полномочий пользователей чаще всего используются встроенные
средства сетевых операционных систем. Так, крупнейший производитель сетевых
ОС - корпорация Novell - в своем последнем продукте NetWare 4.1
предусмотрел помимо стандартных средств ограничения доступа, таких, как
система паролей и разграничения полномочий, ряд новых возможностей,
обеспечивающих первый класс защиты данных. Новая версия NetWare
предусматривает, в частности, возможность кодирования данных по принципу
“открытого ключа” (алгоритм RSA) с формированием электронной подписи для
передаваемых по сети пакетов.
В то же время в такой системе организации защиты все равно остается
слабое место: уровень доступа и возможность входа в систему определяются
паролем. Не секрет, что пароль можно подсмотреть или подобрать. Для
исключения возможности неавторизованного входа в компьютерную сеть в
последнее время используется комбинированный подход - пароль +
идентификация пользователя по персональному “ключу”. В качестве “ключа”
может использоваться пластиковая карта (магнитная или со встроенной
микросхемой - smart-card) или различные
- 20 -
устройства для идентификации личности по биометрической информации - по
радужной оболочке глаза или отпечатков пальцев, размерам кисти руки и так
далее.
Оснастив сервер или сетевые рабочие станции, например, устройством
чтения смарт-карточек и специальным программным обеспечением, можно
значительно повысить степень защиты от несанкционированного доступа. В этом
случае для доступа к компьютеру пользователь должен вставить смарт-карту в
устройство чтения и ввести свой персональный код. Программное обеспечение
позволяет установить несколько уровней безопасности, которые управляются
системным администратором. Возможен и комбинированный подход с вводом
дополнительного пароля, при этом приняты специальные меры против
“перехвата” пароля с клавиатуры. Этот подход значительно надежнее
применения паролей, поскольку, если пароль подглядели, пользователь об этом
может не знать, если же пропала карточка, можно принять меры немедленно.
Смарт-карты управления доступом позволяют реализовать, в частности,
такие функции, как контроль входа, доступ к устройствам персонального
компьютера, доступ к программам, файлам и командам. Кроме того, возможно
также осуществление контрольных функций, в частности, регистрация попыток
нарушения доступа к ресурсам, использования запрещенных утилит, программ,
команд DOS.
Одним из удачных примеров создания комплексного решения для
контроля доступа в открытых системах, основанного как на программных, так и
на аппаратных средствах защиты, стала система Kerberos. В основе этой
схемы авторизации лежат три компонента:
- База данных, содержащая информацию по всем сетевым ресурсам,
пользователям, паролям, шифровальным ключам и т.д.
- Авторизационный сервер (authentication server), обрабатывающий
все запросы
пользователей на предмет получения того или иного вида сетевых
услуг.
Авторизационный сервер, получая запрос от пользователя,
обращается к базе
данных и определяет, имеет ли пользователь право на совершение
данной
операции. Примечательно, что пароли пользователей по сети не
передаются,
что также повышает степень защиты информации.
- Ticket-granting server (сервер выдачи разрешений) получает от
авторизационного сервера “пропуск”, содержащий имя пользователя и
его
сетевой адрес, время запроса и ряд других параметров, а также
уникальный
сессионный ключ. Пакет, содержащий “пропуск”, передается также в
зашифрованном по алгоритму DES виде. После получения и
расшифровки
“пропуска” сервер выдачи разрешений проверяет запрос и сравнивает
ключи и
затем дает “добро” на использование сетевой аппаратуры или
программ.
- 21 -
Среди других подобных комплексных схем можно отметить разработанную
Европейской Ассоциацией Производителей Компьютеров (ECMA) систему Sesame
(Secure European System for Applications in Multivendor Environment),
предназначенную для использования в крупных гетерогенных сетях.
Защита информации при удаленном доступе.
По мере расширения деятельности предприятий, роста численности
персонала и появления новых филиалов, возникает необходимость доступа
удаленных пользователей (или групп пользователей) к вычислительным и
информационным ресурсам главного офиса компании. Компания Datapro
свидетельствует, что уже в 1995 году только в США число работников
постоянно или временно использующих удаленный доступ к компьютерным сетям,
составит 25 миллионов человек. Чаще всего для организации удаленного
доступа используцются кабельные линии (обычные телефонные или выделенные) и
радиоканалы. В связи с этим защита информации, передаваемой по каналам
удаленного доступа, требует особого подхода.
В частности, в мостах и маршрутизаторах удаленного доступа
применяется сегментация пакетов - их разделение и передача параллельно по
двум линиям,- что делает невозможным “перехват” данных при незаконном
подключении “хакера” к одной из линий. К тому же используемая при передаче
данных процедура сжатия передаваемых пакетов гарантирует невозможности
расшифровки “перехваченных” данных. Кроме того, мосты и маршрутизаторы
удаленного доступа могут быть запрограммированы таким образом, что
удаленные пользователи будут ограничены в доступе к отдельным ресурсам сети
главного офиса.
Разработаны и специальные устройства контроля доступа к
компьютерным сетям по коммутируемым линиям. Например, фирмой AT&T
предлагается модуль Remote Port Security Device (PRSD), представляющий
собой два блока размером с обычный модем: RPSD Lock (замок),
устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к
модему удаленного пользователя. RPSD Key и Lock позволяют установить
несколько уровней защиты и контроля доступа, в частности:
- шифрование данных, передаваемых по линии при помощи генерируемых
цифровых ключей;
- контроль доступа в зависимости от дня недели или времени суток
(всего 14
ограничений).
Широкое распространение радиосетей в последние годы поставило
разработчиков радиосистем перед необходимостью защиты информации от
“хакеров”, вооруженных разнообразными сканирующими устройствами. Были
применены разнообразные технические решения. Например, в радиосети компании
- 22 -
RAM Mobil Data информационные пакеты передаются через разные каналы и
базовые станции, что делает практически невозможным для посторонних собрать
всю передаваемую информацию воедино. Активно используются в радио сетях и
технологии шифрования данных при помощи алгоритмов DES и RSA.
Заключение.
В заключении хотелось бы подчеркнуть, что никакие аппаратные,
программные и любые другие решения не смогут гарантировать абсолютную
надежность и безопасность данных в компьютерных сетях.
В то же время свести риск потерь к минимуму возможно лишь при
комплексном подходе к вопросам безопасности.
- 23 -
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И
ЛИТЕРАТУРЫ.
1. М. Рааб (M. Raab) Защита сетей: наконец-то в центре внимания //
Компьютеруорлд Москва, 1994, № 29, стр. 18.
2. Д. Векслер (J.Wexler) Наконец-то надежно обеспечена защита данных в
радиосетях // Компьютеруорлд Москва, 1994, № 17, стр. 13-14.
3. С.В.Сухова Система безопасности NetWare//“Сети”, 1995, № 4,
стр. 60-70.
4. В. Беляев Безопасность в распределительных системах // Открытые
системы Москва, 1995, № 3, стр. 36-40.
5. Д.Ведеев Защита данных в компьютерных сетях // Открытые
системы Москва, 1995, № 3, стр. 12-18.
