"Человек - самое уязвимое место в системе безопасности.."

проблемы защиты информации в сетях

Криптографические средства преобразования данных являются наиболее эффективным методом обеспечения конфиденциальности данных, их целостности и подлинности. Используя только эти технические и организационные мероприятия смогут обеспечить защиту от множества потенциальных угроз. При роботе с безопасной передачи информации в компьютерных сетях, могут возникнуть проблемы которые можно разделить на:

  • перехват данных — при этом целостность информации сохраняется, а конфиденциальность нарушена;
  • модификации данных — источник сообщения изменяется или полностью заменяется другим и отсылается адресату;
  • замена авторства информации. Эта проблема имеет серьёзные последствия.К примеру, кто-то вдруг посылает письмо от вашего имени (этот вид замены принято называть спуфингом) или допустим Web — сервер может притворяться электронным магазином или еще кем либо, принимать заказы, номера кредитных карт, и другую информацию но не высылать ничего.

Одной из важных проблем есть социально-этическая. Всё больше применяют методы криптографической защиты информации, что по сути является противоречием между желаниями пользователей и специальных служб(служба безопасности предприятия). Одни хотят защитить свою информацию и другие иметь возможность доступа к информации с целью пресечения незаконной деятельности.
Практика исследования работоспособности вычислительных систем и систем обработки данных и показала, что существует много возможных ответвлений утечки данных в компьютерных системах и сетях:

  • чтение конечной информации в ПЗУ информационной системы после выполнения разрешенных системой запросов;
  • копирование данных с разных носителей информации с преодолением защиты на них;
  • маскировка злоумышленников под зарегистрированных пользователя;
  • маскировочные запросы злоумышленников в системе;
  • использование ловушек на программном уровне;
  • использование недостатков и багов ОС;
  • незаконное и несанкционированное подключение и использования аппаратуры а также подключение к линиям связи;
  • преднамеренный вывод из строя механизмы информационной безопасности;
  • использование компьютерных вирусов.
  • ошибки при коммутации каналов и пакетов;
  • Атаки на локальном уровне;
  • программные закладки.

Организационные меры защиты информации в себя включают:

  • ограничение или блокировка физического доступа в помещения где происходят различные действия с важной информацией;
  • допуск проверенных должностных лиц к передаче и обработке конфиденциальной информации;
  • хранение в сейфах носители и журналы информации;
  • исключение просмотра посторонним лицам содержания через дисплей, принтер обрабатываемую информацию;
  • использование криптографических кодов в сетях при передачи информации;К примеру RSA.
  • уничтожение не нужных носителей информации.
  • осуществление питания оборудования от независимого источника питания при обработке важной информации
  • установку кодовых замков на входе в помещения;
  • При списании или отправке ПК в ремонт нужно уничтожать информации, хранящейся на винчестере;
  • Снижения возможности снятия информации акустическими методами путем установки мягкой прокладки на клавиатуры и принтеры.

Технические средства защиты информации(ТСЗИ) — это сложные системы охраны помещений и территорий с помощью организации контрольно-пропускных систем и экранирования машинных залов. Защита информации в сетях помощью технических средств реализуется на основе организации доступа к памяти с помощью:

  • Организации памяти компьютеров с помощью контроля доступа к разным уровням;
  • блокировки ввода ключей и данных;
  • Специальное выделение контрольных битов для записей с целью идентификации и др.;
  • методы обнаружения ошибок при передаче информации в сети, или через спутниковые системы.

Аутентификация

problemu_v_seti

Аутентификация, это один из ключевых механизмов защиты информации в сети. Подразумевается проверка пользователя что бы он смог получить тот или иной ресурс.
Принцип действия таков, что когда пользователь хочет зайти на любой сервер с секретной информацией, ему предоставляется форма аутентификации при заполнении которой на сервере проверяется введенные данные. После получения положительного ответа сервера аутентификации пользователю дается доступ к тому ресурсу который хотел пользователь.
Принцип аутентификации таков, что получивший пишет “что он знает», — это есть секретное слово, которое он предоставляет серверу аутентификации. Одной из схем аутентификации является использование паролей. Пароль — совокупность символов, известных подключенному к сети пользователю, — вводится им в начале сеанса взаимодействия с сетью, а иногда и в конце сеанса.

Эта схема является наиболее простой и в тоже время уязвимой. Пароль может быть перехвачен и использоваться другим лицом и это плохо с точки зрения безопасности. Чаще всего используются схема с применением одноразового пароля. Он будет бесполезен при следующей регистрации перехватив его, а что бы получить следующий пароль из предыдущего нужно предоставить много времени и ресурсов.
При генерации одноразовых паролей используют генераторы на программном и аппаратном уровне, которые вставляются в слот компьютера. Знание секретного ключевого слова дает право пользователю работать с устройством.

Защита сетей

На сегодняшний день корпоративные сети используют интернет в качестве основы(спецификация физической среды Ethernet). При этом нужно учитывать какой ущерб может принести незаконное вторжение в корпоративную сеть через интернет. Поэтому нужно использовать методы защиты. Для этого существуют брандмауэры. Брандмауэры — это системы или несколько систем, которые позволяют разделить любую сеть на несколько частей с распределением доступа. При этом доступ в каждую часть сети будет зависит от использующих набор правил, определяющих условия прохождения входящих и исходящих пакетов из одной части в другую. Как правило, брандмауэр ставится между локальной сетью и сетью интернет, хотя и есть смысл проводить ее внутри. При этом защищать отдельные компьютеры невыгодно, если канешно ресурсы на защиты не превышают рисков(методики оценки рисков). Обычно защищают всю сеть. Брандмауэр пропускает через себя весь трафик из сети в интернет и наоборот и для каждого пакета относительно правил делает вывод — пропускать его или нет. Для принятия этого решения брандмауэр использует ряд правил. Также нужно учитывать algoritm_pokryivayusccego_dereva.

Брандмауэр может быть реализован как на аппаратном уровне (то есть как отдельное физическое устройство), так и в виде программного обеспечения.
В современных ОС уже вшит брандмауэр для повышения защиты. Иногда брандмауэр используют как межсетевой экран.

Требования к современным средствам защиты информации

Требования к современным средствам защиты информации для предотвращения угроз информационной безопасности:

  • мандатный идискреционный принцип контроля доступа;
  • очистка разной памяти;
  • изоляция модулей;
  • контроль характеристик проводных линий связи;
  • маркировка документов;
  • защита ввода и вывода на подключаемых физических носителях информации;
  • контроль полосы пропускания и пропускную способность
  • аутентификацию идентификацию;
  • гарантия проектирования;
  • регистрацию всех действий;
  • взаимодействие комплексом средств защиты с пользователем;
  • надёжное восстановление информации;
  • целостность комплексной защиты;
  • контроль модификаций;
  • Kontrolyy_udalennogo_dostupa;
  • контроль статуса сети, к примеру seti_PDH или seti_dwdm или token ring.

Комплексные СЗИ сопровождаются следующими документами: