Курсовая работа: Проектирование локальной сети организации
5. Обеспечение информационной безопасности в сети
Защита информации – это комплекс мероприятий, проводимых
с целью предотвращения утечки, хищения, утраты, несанкционированного
уничтожения, искажения, модификации (подделки), несанкционированного
копирования, блокирования информации и т.п. Поскольку утрата информации может
происходить по сугубо техническим, объективным и неумышленным причинам, под это
определение подпадают также и мероприятия, связанные с повышением надежности
сервера из-за отказов или сбоев в работе винчестеров, недостатков в
используемом программном обеспечении и т.д.
Переход от работы на персональных компьютерах к работе в
сети усложняет защиту информации по следующим причинам:
большое число пользователей в сети и их переменный
состав. Защита на уровне имени и пароля пользователя недостаточна для
предотвращения входа в сеть посторонних лиц;
значительная протяженность сети и наличие многих
потенциальных каналов проникновения в сеть;
уже отмеченные недостатки в аппаратном и программном
обеспечении, которые зачастую обнаруживаются не на предпродажном этапе,
называемом бета- тестированием, а в процессе эксплуатации. В том числе
неидеальны встроенные средства защиты информации даже в таких известных и
"мощных" сетевых ОС, как Windows NT или NetWare.
Возможна утечка информации по каналам, находящимся вне
сети:
хранилище носителей информации,
элементы строительных конструкций и окна помещений,
которые образуют каналы утечки конфиденциальной информации за счет так
называемого микрофонного эффекта,
телефонные, радио-, а также иные проводные и беспроводные
каналы (в том числе каналы мобильной связи).
Любые дополнительные соединения с
другими сегментами или подключение к Интернет порождают новые проблемы. Атаки
на локальную сеть через подключение к Интернету для того, чтобы получить доступ
к конфиденциальной информации, в последнее время получили широкое распространение,
что связано с недостатками встроенной системы защиты информации в протоколах
TCP/IP. Сетевые атаки через Интернет могут быть классифицированы следующим
образом:
Сниффер пакетов (sniffer – в данном случае в смысле
фильтрация) – прикладная программа, которая использует сетевую карту,
работающую в режиме promiscuous (не делающий различия) mode (в этом режиме все
пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению
для обработки).
IP-спуфинг (spoof – обман, мистификация) – происходит,
когда хакер, находящийся внутри корпорации или вне ее, выдает себя за
санкционированного пользователя.
Отказ в обслуживании (Denial of Service – DoS). Атака DoS
делает сеть недоступной для обычного использования за счет превышения
допустимых пределов функционирования сети, операционной системы или приложения.
Парольные атаки – попытка подбора пароля легального
пользователя для входа в сеть.
Атаки типа Man-in-the-Middle – непосредственный доступ к
пакетам, передаваемым по сети.
Атаки на уровне приложений.
Сетевая разведка – сбор информации о сети с помощью
общедоступных данных и приложений.
Злоупотребление доверием внутри сети.
Несанкционированный доступ (НСД), который не может
считаться отдельным типом атаки, так как большинство сетевых атак проводятся
ради получения несанкционированного доступа.
Вирусы и приложения типа "троянский конь".
В сети используется дискреционная модель разграничения
доступа. В рамках этой модели для каждого субъекта определено, какой вид
доступа он может осуществлять к каждому объекту сети. На основе этих
определений была построена матрица доступа, которая приведена в таблице 3.
|
|
ПС |
СУБД |
СРК |
АРМ АБД |
АРМ Рук. |
Сет. обор. |
АРМ прогр. |
БД этал. |
АРМ АИБ |
СОР |
| АИБ |
2 |
2 |
1 |
2 |
2 |
2 |
2 |
2 |
2 |
2 |
| АБД |
1 |
2 |
2 |
0 |
2 |
2 |
1 |
0 |
0 |
0 |
| Рук-во |
2 |
2 |
2 |
2 |
1 |
1 |
2 |
2 |
0 |
2 |
| Разраб. |
1 |
1 |
0 |
0 |
2 |
2 |
1 |
1 |
0 |
2 |
| Прочие. |
1 |
0 |
0 |
0 |
1 |
1 |
1 |
0 |
0 |
0 |
Таблица 3. Матрица доступа организации.
Страницы: 1, 2, 3, 4, 5, 6 |
