пользователей: 30398
предметов: 12406
вопросов: 234839
Конспект-online
 РЕГИСТРАЦИЯ ЭКСКУРСИЯ

Методы и средства защиты компьютерной информации

 

 

Методы и средства защиты ИС можно условно разделить на три больших группы

  • организационно-технические;
  • административно-правовые;
  • программно-технические. 

    Организационно-технические подразумевают:

    создание на предприятии специальных помещений для размещения компьютеров с ценной информацией;

    выполнение работ по защите помещений от электромагнитного излучения с тем, чтобы исключить «съем» данных с мониторов и клавиатуры;

    организацию пропускного режима и видеонаблюдения;

    создание перечня объектов защиты и регламента доступа к ним;

    организацию контроля и регистрацию использования переносных носителей данных и мобильных телефонов и т.п.

    Создать эффективную систему безопасности только техническими средствами невозможно.

    Необходимо применять административно-правовые методы защиты информационных систем. Должен быть  разработан набор внутрифирменных регламентирующих документов.

    Прежде всего - это положение о коммерческой тайне. В этом документе должны найти отражение следующие моменты:

  • информация, являющаяся коммерческой тайной;
  • технические носители, на которых размещаются данные, являющиеся коммерческой тайной;
  • режим коммерческой тайны (порядок доступа, регистрация доступа, права доступа);
  • ответственность за нарушение режима и разглашение коммерческой тайны;
  • обязанности лиц, допущенных к коммерческой тайне и отвечающих за защиту коммерческой тайны.

  • Важно, чтобы в перечень конфиденциальной информации были включены сведения о структуре вычислительной сети, средствах защиты и их конфигурации.

    Должен быть разработан документ, регламентирующий работу пользователей информационной системы. Это может быть либо положение о защите информации (информационной безопасности), либо правила эксплуатации информационной системы предприятия. В этом документе должны быть изложены:

  • порядок установки ПО на компьютеры;
  • порядок подключения компьютеров к сети;
  • правила доступа в Интернет;
  • правила использования электронной почты;
  • действия в случае нарушения режима информационной безопасности.

  • Отдельно или в составе этого документа необходимо разработать требования по безопасности к програ

    Программно-технические средства предназначены для предотвращения нарушения конфиденциальности и целостности данных, хранимых и обрабатываемых в информационной системе. Нарушение целостности – это несанкционированное внесение изменений в данные. Разрешение (санкционирование) доступа к данным осуществляется путем идентификации и аутентификации пользователя информационной системы.

    Идентификация пользователя – это присвоение ему уникального кода, аутентификация – установление подлинности субъекта.

    Каждый пользователь информационной системы должен иметь имя.

    Имя не является секретным.

    Секретной является информация, с помощью которой пользователь удостоверяет свою личность.

    Обычно это пароль, который пользователь хранит в голове или в своих секретных записях и вводит с клавиатуры.

    Для хранения пароля могут применяться специальные устройства: магнитные карты, чип карты, электронные ключи, брелки с USB- интерфейсом и т.д.

         Средства зашиты вычислительных сетей предназначены для борьбы с внешними и внутренними угрозами. Для отражения угроз такого рода используют межсетевые экраны или как их еще называют firewall или брандмауэр (brandmauer).

    Межсетевой экран – это программная или программно – аппаратная система защиты, обеспечивающая разделение сети на две части.

    Суть защиты – пропуск сетевых пакетов с данными из одной части сети в другую в соответствии с установленным набором правил.

    Межсетевые экраны могут устанавливаться внутри ЛВС предприятия для создания внутренних защищенных сегментов сети.

    Для защиты сети от внешних угроз межсетевой экран устанавливается на границе между ЛВС и глобальной сетью Интернет.

    Таким образом, с помощью брандмауэра можно запретить доступ из Интернет во внутреннюю сеть и разрешить доступ из внутренней сети в Интернет.

    Брандмауэр может быть установлен и на отдельный персональный компьютер или сервер с целью защиты их от несанкционированного доступа со стороны других компьютеров локальной сети или сети Интернет.

    В персональном брандмауэре устанавливаются параметры, регулирующие функционирование ПК в сети, например:

  • какие программы имеют право на выход в сеть;
  • правила пропуска пакетов из сети;
  • список доверенных сетевых адресов.

  • В операционную систему Windows, начиная с ХР, встроен персональный брандмауэр, выполняющий вышеперечисленные функции. Будучи включенным брандмауэр блокирует доступ к компьютеру из сети. Но бывают ситуации, когда для некоторых программ необходимо предоставить возможность доступа к ним из сети, например, программа сетевого общения Skype.

    Как правило, межсетевые экраны включают в себя следующие компоненты:

    фильтрующий маршрутизатор,

    шлюз сетевого уровня,

    шлюз прикладного уровня.

    Фильтрующий маршрутизатор принимает решение о фильтрации пакетов с данными на основе сведений, содержащихся в IP-заголовке пакета: IP-адрес отправителя, IP-адрес получателя, порт отправителя, порт получателя. Тем самым можно запретить общение с нежелательными сервисами в Интернет. Так как кроме IP-заголовка маршрутизатор ничего не проверяет, то, изменив адрес в заголовке, злоумышленник может преодолеть этот барьер и проникнуть в сеть.

    Шлюз сетевого уровня выполняет преобразование внутренних IP-адресов в один внешний IP-адрес, через который и происходит обмен данными с внешней сетью. Внутренняя структура локальной сети, таким образом, скрыта от внешнего мира. При этом шлюз при установке связи проверяет допустимость связи клиента с запрашиваемым ресурсом во внешней  сети. Однако, такой шлюз пропускает пакеты в обоих направлениях, не проверяя их содержимого.

    Шлюз прикладного уровня исключает прямое взаимодействие компьютера локальной сети и внешнего компьютера и дает возможность фильтрации протокола. Кроме этого шлюз предоставляет возможность регистрировать все попытки доступа извне в локальную сеть и предупреждать о возможных атаках на сеть.

    Внешний экран на основе специальных правил (списков доступа) не пропускает внешний трафик, приходящий с «запрещенных» адресов сети Интернет. В список «запрещенных» обычно включают адреса спамеров, порносайтов и т.п.

    В демилитаризованной зоне размещаются ресурсы, которые должны быть доступны из внешней сети, такие как WEB-сервер, почтовый сервер и т.п. Компьютеры, на которых расположены эти ресурсы имеют реальные IP-адреса, т.е. они «видны» в сети Интернет и к ним может обратиться любой пользователь, но опасность входящего трафика значительно снижена. 

    Внутренний экран «маскирует» компьютеры ЛВС, используя механизм трансляции сетевых адресов. В ЛВС используются локальные IP- адреса, которые не могут применяться в глобальной сети Интернет. Эти адреса специально зарезервированы для локальных сетей.

    Экран осуществляет отображение пространства внутренних адресов на несколько реальных, имеющихся в распоряжении предприятия. Инициатором межсетевого обмена может выступать только компьютер ЛВС. Произвольный доступ из Интернет к любому компьютеру ЛВС невозможен. Дополнительно в межсетевом экране могут быть установлены правила, регулирующие права пользователей ЛВС на выход в Интернет.

хиты: 7301
рейтинг:+5
Точные науки
информатика
для добавления комментариев необходимо авторизироваться.
  Copyright © 2013-2024. All Rights Reserved. помощь