Проблемы защиты информации в компьютерных сетях

Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:

• наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);
• управление сроком действия паролей, их периодическая смена;
• ограничение доступа к файлу паролей;
• ограничение числа неудачных попыток входа в систему, что затруднит применение метода грубой силы;
• обучение и воспитание пользователей;
• использование программных генераторов паролей, которые, основываясь на несложных правилах, могут порождать только благозвучные и, следовательно, запоминающиеся пароли.

Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации, основанные, например, на применении токенов.

Токен - это предмет или устройство, владение которым подтверждает подлинность пользователя. Различают токены с памятью (пассивные, которые только хранят, но не обрабатывают информацию) и интеллектуальные токены (активные).

Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобных токенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки. Таким образом, здесь фактически применяется комбинация двух способов защиты, что существенно затрудняет действия злоумышленника.

Необходима обработка аутентификационной информации самим устройством чтения, без передачи в компьютер - это исключает возможность электронного перехвата.

Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.

Как известно, одним из самых мощных средств в руках злоумышленника является изменение программы аутентификации, при котором пароли не только проверяются, но и запоминаются для последующего несанкционированного использования.

Интеллектуальные токены характеризуются наличием собственной вычислительной мощности. Они подразделяются на интеллектуальные карты, стандартизованные ISO и прочие токены. Карты нуждаются в интерфейсном устройстве, прочие токены обычно обладают ручным интерфейсом (дисплеем и клавиатурой) и по внешнему виду напоминают калькуляторы. Чтобы токен начал работать, пользователь должен ввести свой личный идентификационный номер.

По принципу действия интеллектуальные токены можно разделить на следующие категории:

• Статический обмен паролями: пользователь обычным образом доказывает токену свою подлинность, затем токен проверяется компьютерной системой;
• Динамическая генерация паролей: токен генерирует пароли, периодически изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по электронному интерфейсу или набирается пользователем на клавиатуре терминала;
• Запросно-ответные системы: компьютер выдает случайное число, которое преобразуется криптографическим механизмом, встроенным в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного интерфейса. В последнем случае пользователь читает запрос с экрана терминала, набирает его на клавиатуре токена (возможно, в это время вводится и личный номер), а на дисплее токена видит ответ и переносит его на клавиатуру терминала.

3.4. Защита  сетей

В последнее  время корпоративные сети всё  чаще включаются в Интернет или даже используют его в качестве своей основы. Учитывая то, какой урон может принести незаконное вторжение в корпоративную сеть, необходимо выработать методы защиты. Для защиты корпоративных информационных сетей используются брандмауэры. Брандмауэры - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и Интернетом, хотя её можно провести и внутри. Однако защищать отдельные компьютеры невыгодно, поэтому обычно защищают всю сеть. Брандмауэр пропускает через себя весь трафик и для каждого проходящего пакета принимает решение – пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, для него определяется набор правил.

Брандмауэр  может быть реализован как аппаратными  средствами (то есть как отдельное  физическое устройство), так и в  виде специальной программы, запущенной на компьютере.

Как правило, в операционную систему, под управлением  которой работает брандмауэр, вносятся изменения, цель которых – повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь разделов пользователей, а следовательно, и потенциальных дыр – только раздел администратора. Некоторые брандмауэры работают только в однопользовательском режиме, а многие имеют систему проверки целостности программных кодов.

Брандмауэр  обычно состоит из нескольких различных  компонентов, включая фильтры или  экраны, которые блокируют передачу части трафика.

Все брандмауэры  можно разделить на два типа:

• пакетные фильтры, которые осуществляют фильтрацию IP-пакетов средствами фильтрующих маршрутизаторов;
• серверы прикладного уровня, которые блокируют доступ к определённым сервисам в сети.

Таким образом, брандмауэр можно определить как  набор компонентов или систему, которая располагается между  двумя сетями и обладает следующими свойствами:

• весь трафик из внутренней сети во внешнюю и из внешней сети во внутреннюю должен пройти через эту систему;
• только трафик, определённый локальной стратегией защиты, может пройти через эту систему;
• система надёжно защищена от проникновения.

Заключение

В заключение хотелось бы подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях. В то же время свести риск потерь к минимуму возможно лишь при комплексном подходе к вопросам безопасности.

Основными требованиями к комплексной  системе защиты информации являются:

• система защиты информации должна обеспечивать выполнение АСОД своих основных функций без существенного ухудшения характеристик последней;
• она должна быть экономически целесообразной, так как стоимость системы защиты информации включается в стоимость АСОД;
• защита информации в АСОД должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;
• в систему защиты информации должны быть заложены возможности ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации АСОД;
• она в соответствии с установленными правилами должна обеспечивать разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;
• при взаимодействии защищаемой АСОД с незащищенными АСОД система защиты должна обеспечивать соблюдение установленных правил разграничения доступа;
• система защиты должна позволять проводить учет и расследование случаев нарушения безопасности информации в АСОД;
• применение системы защиты не должно ухудшать экологическую обстановку, не быть сложной для пользователя, не вызывать психологического противодействия и желания обойтись без нее.

Список  использованной литературы:

1. Острейковский В. А. Информатика: Учеб. пособие для студ. сред. проф. учеб. заведений. – М.: Высш. шк., 2001. – 319с.: ил.

2. Экономическая  информатика / под ред. П. В. Конюховского и Д. Н. Колесова. – СПб.: Питер, 2000. – 560с.:ил.

3. Информатика:  Базовый курс / С. В. Симонович и др. – СПб.: Питер, 2002. – 640с.: ил.

4. Молдовян А. А., Молдовян Н. А., Советов Б. Я. Криптография. – СПб.: Издательство “Лань”, 2001. – 224с., ил. – (Учебники для вузов. Специальная литература).

5. Б. Шнайер и Н. Фергюссон "Прикладная криптография", 2006 г.

6. В. С. Барсуков «Безопасность: технологии, средства, услуги» М. Кудиц - образ 2001.