Лисенко
О.Д., Лисенко Д.І.
Полтавський
національний технічний університет імені Юрія Кондратюка
Аспекти безпеки інформації в комп'ютерних мережах
Захист даних в комп'ютерних мережах стає однією з самих
відкритих проблем в сучасних інформаційно-обчислювальних системах. На
сьогоднішній день сформульовано три базові принципи інформаційної безпеки,
задачею яких є забезпечення:
- цілісності даних - захист від збоїв, що ведуть до
втрати інформації або її знищення;
- конфіденційності інформації;
- доступності інформації для авторизованих користувачів.
Порушення роботи в мережі викликали необхідність
створення різних видів захисту інформації. Захисні засоби умовно можна
розділити на три класи:
- засоби фізичного захисту;
- програмні засоби (антивірусні програми, системи
розмежування повноважень, програмні засоби контролю доступу);
- адміністративні заходи захисту (доступ в
приміщення, розробка стратегій
безпеки фірми і т.д.). Одним із засобів фізичного захисту
є системи архівації і дублювання інформації. В локальних мережах, де
встановлені один-два сервери частіше всього система встановлюється
безпосередньо у вільні слоти серверів. В крупних корпоративних мережах перевага
віддається виділеному спеціалізованому серверу архівації, який автоматично
упаковує інформацію з жорстких дисків серверів і робочих станцій в певний час,
встановлений адміністратором мережі, видаючи звіт про проведене резервне
копіювання. Найпоширенішими моделями серверів, що упаковують є Storage Express System корпорації
Intel ARCserve for Windows. Для боротьби з комп'ютерними вірусами найбільш часто застосовуються
антивірусні програми, рідше - апаратні засоби захисту. Проте, останнім часом
спостерігається тенденція до поєднання програмних і апаратних методів захисту.
Серед апаратних пристроїв використовується спеціальна антивірусна плата, вставлена в стандартні слоти розширення
комп'ютера. Окрім антивірусних програм, проблема захисту інформації в
комп'ютерних мережах розв'язується введенням контролю доступу і розмежуванням
повноважень користувачів. Для цього використовуються вбудовані засоби мережних
операційних систем, найбільшим виробником яких є корпорація Novell. В системі
наприклад, NetWare, окрім стандартних засобів обмеження доступу (зміна паролів,
розмежування повноважень) передбачена можливість кодування даних по принципу
"відкритого ключа" з формуванням електронного підпису для переданих
по мережі пакетів. Проте, така система захисту малопотужна, оскільки рівень
доступу і можливість входу в систему визначаються паролем, який легко
підглянути або підібрати. . Для виключення неавторизованого проникнення в комп’терну
мережу використовується комбінований підхід - пароль + ідентифікація
користувача по персональному "ключу". "ключ" є пластиковою
картою (магнітна або з вбудованою мікросхемою - смарт-карта) або різні пристрої
для ідентифікації особи за біометричною інформацією.
Смарт-карти управління доступом дозволяють реалізувати
такі функції, як контроль входу, доступ до пристроїв ПК, до програм, файлів і
команд. Одним з вдалих прикладів створення комплексного рішення для контролю
доступу в відкритих системах, заснованого, як на програмних так і на апаратних засобах захисту, стала
система Kerberos, в основу якої входять три компоненти:
- база даних, яка містить інформацію про всі мережні
ресурси користувачів, паролі, інформаційні ключі і т.д.;
- сервер (authentication server) авторизації, задачею
якого є обробка запитів користувачів на надання того або іншого виду мережних
послуг.
Одержуючи запит, він звертається до бази даних і визначає
повноваження користувача на здійснення певної операції. Паролі користувачів по
мережі не передаються тим самим, підвищуючи ступінь захисту інформації;
- Ticket-granting server (сервер видачі дозволів)
одержує від авторизації
серверу "пропуск" з ім'ям користувача і його
мережною адресою, часом запиту, а також унікальний "ключ". Пакет, що
містить "пропуск", передається також в зашифрованому вигляді. Сервер
видачі після отримання і розшифровки "пропуску" перевіряє запит,
порівнює "ключі" і при тотожності дає "добро" на
використовування мережної апаратури або програм. Розвиток систем безпеки
інформації має майбутнє, що стосується правового аспекту, існують
спроби реформувати законодавчу базу захисту інформації, тому ситуація
може змінитися на краще в найближчі
роки.
Література :
1. Кристальный Б., Нестеров Ю. Информационное
общество, информационная политика, правовая информационная защита.
//Информационное общество. 1999. № 1, c. 9-13.
2.
Денисов Т.В. "Антивірусний захист"//Мій
Комп'ютер. 2001.
№4.