Защита информации в компьютерных сетях методы и средства защиты

     - защиту ввода и вывода на отчуждаемый физический носитель информации.

     - сопоставление пользователя с устройством.

     - идентификацию и аутентификацию.

     - гарантии проектирования.

     - регистрацию.

     - взаимодействие пользователя с комплексом средств защиты.

     - надёжное восстановление.

     - целостность комплекса средств защиты.

     - контроль модификации.

     - контроль дистрибуции.

     - гарантии архитектуры.

     Комплексные СЗИ НСД должны сопровождаться пакетом  следующих документов:

     - руководство по СЗИ.

     - руководство пользователя.

     - тестовая документация.

     - конструкторская (проектная) документация.

     Таким образом, в соответствии с требованиями гостехкомиссии России комплексные  СЗИ НСД должны включать базовый  набор подсистем. Конкретные возможности  этих подсистем по реализации функций  защиты информации определяют уровень  защищённости средств вычислительной техники. Реальная эффективность СЗИ  НСД определяется функциональными  возможностями не только базовых, но и дополнительных подсистем, а также  качеством их реализации.

     Компьютерные  системы и сети подвержены широкому спектру потенциальных угроз  информации, что обуславливает необходимость  предусмотреть большой перечень функций и подсистем защиты. Целесообразно  в первую очередь обеспечить защиту наиболее информативных каналов  утечки информации, каковыми являются следующие:

     - возможность копирования данных с машинных носителей.

     - каналы передачи данных.

     - хищение ЭВМ или встроенных накопителей.

     Проблема  перекрытия этих каналов усложняется  тем, что процедуры защиты данных не должны приводить к заметному  снижению производительности вычислительных систем. Эта задача может быть эффективно решена на основе технологии глобального шифрования информации, рассмотренной в предыдущем разделе.

     Современная массовая система защиты должна быть эргономичной и обладать такими свойствами, благоприятствующими широкому её применению, как:

     - комплексность – возможность установки разнообразных режимов защищённой обработки данных с учётом специфических требований различных пользователей и предусматривать широкий перечень возможных действий предполагаемого нарушителя.

     - совместимость – система должна быть совместимой со всеми программами, написанными для данной операционной системы, и должна обеспечивать защищённый режим работы компьютера в вычислительной сети.

     - переносимость – возможность установки системы на различные типы компьютерных систем, включая портативные.

     - удобство в работе – система должна быть проста в эксплуатации и не должна менять привычную технологию работы пользователей.

     - работа в масштабе реального времени – процессы преобразования информации, включая шифрование, должны выполняться с большой скоростью.

     - высокий уровень защиты информации.

     - минимальная стоимость системы.

     1.6 Защита информации от искажения

     Проблемы  защиты информации от искажения при  ее передаче по каналам связи в  условиях естественных помех возникли давно. Наиболее исследованным является случай, когда рассматриваются сообщения, элементы которых могут принимать  два значения (обычно 0 и 1), и в  качестве помехи рассматривается инверсия элемента сообщения (превращение 0 в 1 или 1 в 0).

     Существуют  два способа описания помех: вероятностный и теоретико-множественный. В первом случае задаются вероятности искажения символов. Обычно, рассматривают симметричный канал связи, в котором вероятности искажения символов одинаковы. Во втором случае задается максимальное число искаженных символов в принятом сообщении.

     Вопросами построения по сообщениям и максимальному  числу искажений символов последовательностей, позволяющих восстановить исходные сообщения или просто установить факт наличия или отсутствия ошибок, занимается теория кодирования. Эти  последовательности называют кодами сообщений.

     Различают диагностические и самокорректирующиеся коды. Диагностический код позволяет  ответить на вопрос о наличии или  отсутствии ошибок в принятом сообщении. При использовании самокорректирующихся кодов происходит восстановление посланного сообщения. Отметим, что при одном  и том же числе допустимых искажений  построение самокорректирующихся кодов  является существенно более сложной  задачей.

     При кодировании к сообщению добавляются  дополнительные разряды, которые называются корректировочными, что приводит к  избыточности.

     Для построения диагностического или самокорректирующегося  кода задаются два параметра: длина  сообщения и максимальное число  искажений символов, при котором  гарантировано обнаружение или  исправление искажений.

     Простейшим  диагностическим кодом является код, позволяющий обнаружить одну ошибку. При его построении используется проверка на четность числа единичных  компонент принятого сообщения. Этот код имеет один корректировочный разряд, который добавляют к исходному  сообщению. Корректировочный разряд полагают равным 0 (равным 1), если число единичных  компонент исходного сообщения  четно (нечетно). При получении сообщения  вычисляют сумму компонент. Нетрудно проверить, что четность этой суммы является признаком неискажения сообщения. (Напомним, что в канале происходит не более одного искажения.) Простота этого кода объясняет его применения при передаче информации даже в настоящее время.

     Проиллюстрируем применение проверки на четность. Пусть  исходным является сообщение 01100110. Число  единиц исходного сообщения четно. Поэтому посланная последовательность имеет вид 011001100. Пусть принятая последовательность имеет вид 010001100 (ошибка в третьем  слева разряде). Нечетная сумма элементов  этой последовательности свидетельствует  о наличии ошибки при передаче.

     Исправление одной ошибки наиболее просто осуществить  троекратным повторением каждого  символа исходного сообщения  и использованием получателем “функции голосования”. Однако, при этом велика избыточность. Для наилучшего решения  этой задачи применяют более сложные  коды Хэмминга, в которых число  корректировочных разрядов равна   log2n, где n - число информационных разрядов (длина исходного сообщения).

     Защита  информации от искаженияи за счет побочного электромагнитного излучения. 

       Средства вычислительной техники  являются электротехническими устройствами, при работе которых возникают  электромагнитные излучения (ЭМИ)  и, как следствие, электромагнитные  наводки на цепи электропитания, линии телефонной и другой  проводной связи. Существуют технические  радиоэлектронные средства, которые  позволяют восстановить информацию  путем приема и анализа электромагнитных  излучений. Особенно просто восстанавливается  информация при анализе электромагнитного  излучения дисплея (монитора на  электронно-лучевой трубке), поэтому  он является самым слабым звеном  вычислительной установки с точки  зрения безопасности информации.

     Для защиты информации от побочных ЭМИ  применяют следующие меры: для зашумления электромагнитных сигналов устанавливают специальные генераторы помех; на цепи питания устанавливают специальные устройства, которые осуществляют развязку по высокочастотной составляющей и тем самым препятствуют выходу электромагнитного излучения за пределы контролируемой зоны; 
изготовление специальных металлических кожухов, в которые помещаются устройства, а также ограждение экранов мониторов металлизированными сетками. Они выполняют роль экранов, которые препятствуют выходу электромагнитного излучения за пределы контролируемой зоны. 
        Защита информации от случайных воздействий. 
Причинами случайных воздействий являются сбои и отказы аппаратуры, т.е. возникновение неисправностей, которые могут возникать в случайные моменты времени и вызывать нарушения в системе защиты информации.

     Эффективным способом защиты от случайных воздействий  является повышение надежности аппаратуры и вычислительной системы в целом. 
 
 
 
 
 
 

     2 Практическая часть

     Целью практической части являлась разработка структурной схемы и определение  комплекта оборудования сети предприятия. 

     Одной из наиболее ответственных задач  при проектировании сети является выбор  сетевого оборудования, так как при  этом необходимо обеспечить необходимые  характеристики сети и избежать лишних материальных затрат.  

Т а  б л и ц а 1

     

     2.1 Сервер

     Самым дорогим компонентом сети является сервер. Сервер должен выполнять несколько функций:

1. обеспечивать резервное копирование данных.
2. поддерживать СУБД для хранения эталонов программ
3. обработка действий с файлами, находящимися на его носителях.
4. выполнять функцию маршрутизации данных в сети.

     Так же в сети используется proxy-сервер, для  выхода в internet. Данный сервер имеет  реальный ip-адрес, который используется хостами сети для выхода в глобальную сеть. Функции, выполняемые данным сервером, сводятся к обработке электронной  почты, подмене локальных адресов  хостов реальным ip-адресом, обмен файлами внутри сети. Вследствие этого, он не отличается высокой производительностью и по своей архитектуре близок к стандартному АРМ. Данный сервер введен в сеть исходя из целей безопасности. На сервер установлено 4 сетевых адаптера D-Link DFE-528TX. Данное решение позволяет уменьшить загрузку сети в несколько раз.

     Исходя  из вышеописанных функций сервера, была подобрана следующая конфигурация, представленная в таблице 2.  

Т а б л  и ц а 2 – Характеристики сервера

     

     2.2 Рабочие станции

     Вторым  по стоимости компонентом проектируемой  сети являются рабочие станции сотрудников  организации. Требования, предъявляемые к составу PC, определяются характеристиками решаемых в сети задач, принципами организации вычислительного процесса, используемой ОС и некоторыми другими факторами. Рабочая станция представляет собой обычный компьютер, работающий под управлением собственной операционной системы (произвольной), но содержащий плату сетевого интерфейса (сетевой адаптер) и физически соединенный кабелями с сервером. Кроме того, рабочая станция запускает специальную программу, называемую сетевой оболочкой, которая позволяет ей обмениваться данными с сервером, другими рабочими станциями и прочими устройствами в сети. Сетевая оболочка позволяет рабочей станции использовать файлы, хранящиеся на сервере, так же легко, как и находящиеся на ее собственных дисках. В локальной вычислительной сети (ЛВС или LAN – Local Area Network) компьютеры расположены недалеко друг от друга и соединены высокоскоростными адаптерами (со скоростями передачи данных 1-10 или 100 Мбит/сек).