АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Обеспечение безопасности данных на автономном компьютере

Читайте также:
  1. Access. Базы данных. Определение ключей и составление запросов.
  2. I. Общие требования безопасности.
  3. I. Разработка структуры базы данных.
  4. III. РЕСУРСНОЕ ОБЕСПЕЧЕНИЕ ОРГАНИЗАЦИЙ ТОРГОВЛИ
  5. IV ИНФОРМАЦИОННО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ДИСЦИПЛИНЫ.
  6. S: Управление риском или как повысить уровень безопасности
  7. VI.УЧЕБНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ДИСЦИПЛИНЫ
  8. VII УЧЕБНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ДИСЦИПЛИНЫ
  9. Абстрактные структуры данных
  10. Автоматизированная система обработки данных правовой статистики
  11. Авторское право - правовое положение авторов и созданных их творческим трудом произведений литературы, науки и искусства.
  12. Администрирование средств безопасности

Самыми типичными случаями, создающими угрозу данным, являются случайное стирание данных, отказ программного обеспечения и аппаратные сбои. Одна из первых рекомендаций пользователю состоит в резервировании данных.

Для магнитных дисков имеется такой параметр, как среднее время между отказами. Он может быть выражен в годах, поэтому необходимо резервное копирование.

При работе на компьютере данные иногда не читаются из-за выхода из строя платы управления жестким диском. При замене платы контроллера и перезагрузке компьютера можно вновь выполнять прерванную работу.

Для того чтобы обеспечить сохранность данных, необходимо создавать резервные копии. Применение копирования как одного из методов обеспечения безопасности данных требует выбора программного продукта, процедуры (полное, частичное или выборочное копирование) и частоты резервного копирования. В зависимости от значимости информации иногда производят дубль-резервное копирование. Не следует пренебрегать и тестированием резервных копий. Данные необходимо защищать и в случае работы компьютера в малой сети, когда пользователи используют общие ресурсы файлового сервера.

К методам обеспечения безопасности относят:

• использование атрибутов файлов и каталогов типа «скрытый», «только для чтения»;

• сохранение важных данных на гибких магнитных дисках;

• помещение данных в защищенные паролем архивные файлы;

• включение в защитную программу регулярной проверки на компьютерные вирусы.

Существует три основных способа применения антивирусных программ:

1) поиск вируса при начальной загрузке, когда команда запуска антивирусной программы включается в AUTOEXEC.bat;

2) запуск вирусной программы вручную;

3) визуальный просмотр каждого загружаемого файла.

Прагматичным методом обеспечения безопасности информации на автономном компьютере является парольная защита. После включения компьютера и запуска программы установки СМ08 пользователь может дважды ввести информацию, которая становится паролем. Далее защита на уровне CMOS блокирует компьютер целиком, если не введен правильный пароль.

В случае когда применение пароля нежелательно при начальной загрузке, некоторые модели клавиатуры можно заблокировать с помощью физических ключей, поставляемых в комплекте с компьютером.

Возможность защиты некоторых файлов предусматривается при работе пользователя с офисными пакетами (текстовыми процессорами, электронными таблицами, СУБД) и выполнении команды сохранения файлов (Сохранить как...). Если в данном случае нажать на кнопку Options (Параметры), то в открывшемся диалоговом окне можно задать пароль, ограничивающий возможности работы с этим документом. Для того чтобы восстановить первоначальную форму защищенных таким образом данных, следует ввести тот же самый пароль. Пользователь может забыть либо, записав его на бумажном носителе, элементарно потерять пароль, тогда могут возникнуть еще большие неприятности, чем при работе без парольной защиты.

Способы защиты компьютеров, работающих автономно или в составе небольшой сети, дома или в офисе, достаточно разнообразны. При выборе стратегии защиты информации на компьютере надо найти компромисс между ценностью защищаемых данных, затратами на обеспечение защиты и неудобствами, которые налагаются системой защиты на работу с данными.

Брандмауэр [brandmauer, firewall] — средство защиты работающих в Интернет серверов и сетей от несанкционированного доступа. Предохраняет от попадания в защищаемый объект или выхода из него пакетов данных, которые не отвечают установленным правилам безопасности. На корпоративные брандмауэры возложена дополнительная функция организации множественных шифрованных соединений или виртуальных частных сетей VPN (Virtual Private Network). Брандмауэры этого вида отличаются от средств индивидуальной защиты тем, что они допускают возможность программирования и контроля как входящих, так и исходящих пакетов. Примерами могут служить ППП Axent Technologies, Check Point, Cisco Firewall/Plus, Network Associates, Secure Computing и др. Последней разработкой в данной области является Internet Security and Acceleration Server 2000 (также ISA Server 2000), выпущенный фирмой Microsoft. Подробнее см. [152, 435, 610, 611, 631, 647].

Защитный экран [FireWall, firewall] —

1. Узел сети, который служит барьером для предотвращения передачи трафика из одного ее сегмента в другой. Межсетевой экран используется как для уменьшения трафика, так и для повышения безопасности сети. Межсетевые экраны могут работать в качестве барьеров между частной сетью и сетью общего пользования. Межсетевой экран может быть реализован с помощью маршрутизатора или другого специального сетевого устройства.

2. Применительно к Интернету и Интранету —система защиты средств технического, программного и информационного обеспечения компьютерной сети от несанкционированного доступа и различного рода действий, связанных с нарушением их штатной работы или состояния. Строится на гибком использовании механизмов разрешающего и запрещающего действия, работа которых основана на принципах фильтрации данных. Подробнее см. [579].

  • В составе защитного экрана могут использоваться следующие виды фильтров:
  • Экранирующий шлюз — часть защитного экрана, управляющая отдельными видами сервиса и обеспечивающая безопасное обслуживание ими. Экранирующий шлюз реализует связь между корпоративными и открытыми сетями; состоит из программ, поддерживающих распространенные виды сервиса сетей Интернет (WWW, FTP, Gopher и др.), называемые сервисными агентами. В процессе сеанса экранирующий шлюз производит детальную аутентификацию пользователей и только после этого разрешает или запрещает им связь с сетью. Преимуществом экранирующих шлюзов является высокая надежность, недостатками — повышенная сложность (в том числе работы для пользователей), узкая специализация, требующая установки для каждого нового сервиса дополнительных “агентов”, и сравнительно небольшая скорость передачи данных.
  • Пакетный фильтр, экранирующий маршрутизатор — маршрутизатор, обеспечивающий передачу данных по адресу, установленному системным администратором, а не по указанному в пакете. Это позволяет построить зону так называемой статической маршрутизации, включив в нее наиболее безопасные почтовые серверы. Фильтры этого типа оперируют наиболее полными данными о топологии сети и направлениях передачи информации. Недостатком экранирующих маршрутизаторов является сложность определения факта их “взлома”, а также отсутствие возможности гибкой оптимизации маршрутов передачи данных с учетом содержания сообщений, их количественных и других показателей.
  • Транспортный фильтр — фильтр, управляющий сеансами связи. Во время открытия информационного канала и обмена сообщениями он может проверять соответствие адресов, записывать необходимые данные в системный журнал, контролировать количественные показатели передаваемых сообщений и выполнять другие действия транспортного назначения. Наиболее распространенными критериями, используемыми для блокировки связи, являются: адресные данные (подсети или порта отправителя и/или получателя данных), вид сервиса, время его запроса или предоставления и т. д. К достоинствам транспортных фильтров относится возможность реализации более полного контроля передаваемых данных, предупреждения о нападении, нахождения ошибок управления и конфигурации экранов, отслеживания подделки адресов, а также блокировки при необходимости вызова соответствующего сервиса [155, 579]. (См.:Информационная безопасность “, “ Защита информации “, “ ITSEC “, “ Защита от несанкционированного доступа “, PGP и др.).

Другие термины, связанные с защитным экраном [155 и др.]:

Агент, прокси [proxy] —

1. Программное обеспечение, установленное на защитном экране, которое действует от имени внутреннегопользователя корпоративной сети. Агент устанавливает связь с внешним пользователем, аутентифицирует его и разрешает или запрещает ему использовать ресурсы данной сети.

2. Компьютер, который функционирует как интерфейс между двумя вычислительными системами, использующими различные стандарты, форматы или протоколы.

  • Атака, нападение [attack ] — всякое действие, связанное с несанкционированным доступом в вычислительную сеть (а также его попыткой) и/или преднамеренным нанесением ущерба как сети в целом, так и любым ее составным частям, включая условия или результаты их функционирования.
  • Анализ системного журнала [log proceccing ] — процесс проверки системного журнала, поиск в нем признаков атаки и составление отчетов.
  • Безопасность, обеспечиваемая хостом [host—based security ] — защита ЭВМ каждого абонента сети, обеспечиваемая программно-аппаратными средствами хоста.
  • Виртуальная сеть [virtual network perimeter ] — защищаемая сеть, которая разбита на несколько сегментов, связанных в единую систему защищенными каналами через ненадежные сети.
  • Внутренняя атака [insider attack ] — нападение на защитный экран изнутри защищаемой сети.
  • Защищенная подсеть [screened subnet] — подсеть (часть сети), защищенная экранирующим маршрутизатором. Уровень ее доступности и безопасности определяется установленными на маршрутизаторе правилами фильтрации данных.
  • Защищенный шлюз хоста [screened host gateway ] — конфигурация защитного экрана, основанная на использовании экранирующего маршрутизатора хоста. Уровень доступности и безопасности защищенных ЭВМ зависит от установленных для маршрутизатора правил фильтрации данных.
  • Зона риска [zone of risk ] — ЭВМ корпоративной сети, которые могут быть доступны для пользователей при правильной работе защитного экрана. Чтобы обнаружить на них нападение, администратору системы достаточно контролировать лишь зону риска.
  • Криптографическая контрольная сумма [cryptographic checksum] — контрольная сумма, предназначенная для проверки неизменности данных в файлах.
  • Обнаружение нападения [intrusion detection ] — поиск в системных журналах или других средствах контроля и регистрации работы вычислительной системы признаков нападения.
  • Ограничение полномочий [least privilege ] — принцип реализации безопасности, в соответствии с которым для каждого пользователя устанавливается необходимый минимум доступных ему полномочий, чем достигается сокращение процессов авторизации и вероятность несанкционированных действий пользователей.
  • Основной принцип (защиты) [stance ] — стратегия построения защитного экрана, в соответствии с которой “запрещено все, кроме необходимого” или “разрешено все, кроме опасного”.
  • Перехват IP [IP spacing/hijacking] — нападение, при котором атакующий перехватывает или корректирует установленный канал доступа. Нападающий в такой атаке маскируется под законного пользователя, прошедшего процедуру аутентификации.
  • Перехват сеанса [session stealing] — см. “ Перехват IP“.
  • Периметр безопасности [perimeter—based security ] — контроль доступа во всех пунктах выхода корпоративной сети к глобальной.
  • Подделка DNS [DNS spoofing ] — подделка идентификаторов ЭВМ сети, например, путем перехвата ответов DNS и замены их фальшивыми.
  • Подделка IP [IP spoofing ] — нападение, при котором атакующий пытается замаскироваться под надежного абонента, подделывая его IP-адрес.
  • Политика безопасности [policy ] — совокупность правил, регламентирующих работу защищаемых средств, а также мер и действий, обеспечивающих их надежную защиту.
  • Получение нелегальных полномочий [abuse of privilege ] — действия пользователя, связанные с получением не разрешенных ему прав, противоречащие закону или политике безопасности организации — владельца сети.
  • Преобразующий маршрутизатор [tunneling router] — маршрутизатор или шлюз, шифрующий поток данных для передачи его через ненадежные сети.
  • Режим разрушения [failure mode ] — характеристика устанавливаемого уровня защиты при настройке экранирующей системы.
  • Сетевой экран [Network-Level FireWall] — защитный экран, который контролирует поток данных на уровне IP-пакетов.
  • Срок хранения системного журнала [log retention ] — установленное регламентом сети время хранения и анализа системных журналов.
  • Троянский конь [Trojan Horse ] — программа, которая выглядит как обычная, однако фактически является атакующей (в том числе вирусной) или имеет очень слабую защиту, облегчающую успех нападения.
  • Устройство аутентификации [authentification token ] — портативное устройство, используемое для аутентификациипользователя. В основе его работы могут быть заложены различные принципы и алгоритмы (например, “Запрос/ответ”, “Списки одноразовых паролей” и др.).
  • Хост-бастион, компьютер-бастион [bastion host ] — наиболее защищенная ЭВМ, которая устанавливается в самом уязвимом месте корпоративной сети для создания надежной экранирующей системы (см. “ Защитный экран “).
  • Шифрующий маршрутизатор [encrypting router] — см.Преобразующий маршрутизаториВиртуальная сеть “.
  • Шлюзовой экран [dual homed dateway ] — экранирующая ЭВМ, связанная каналами передачи данных с двумя или более различными сетями. Шлюзовой экран блокирует прямую передачу IP-пакетов между разделяемыми сетями.
  • Экранирующий маршрутизатор [screening router] — маршрутизатор, фильтрующий (см. “ Фильтрация данных “) пакеты в соответствии с набором правил, установленных администратором сети.
  • Экранирующий шлюз [application-level FireWall] — фильтр, который является посредником между пользователями различных сетей. Установление прямого канала связи между отправителем и получателем информации блокируется.
  • Эшелонированная оборона [defence in depth ] — Принцип построения системы безопасности, при котором защита устанавливается как на общесистемном уровне (например, защитный экран), так и на уровнях отдельных ее звеньев, включая ЭВМ конечных пользователей (см. [631]).
  • AES (Advanced Encryption Stanard) — “Усовершенствованный стандарт шифрования” — новый алгоритм шифрования, предложенный Американским институтом стандартов в качестве общемирового стандарта вместо другого более раннего стандарта — DES (Data Encryption Standard). Он отличается от предыдущего в частности более длинным ключом, что затрудняет его раскрытие [673].
  • LSA (LAN Security Architecture) — Архитектура безопасности ЛВС — технология защиты данных в ЛВС, запатентованная фирмой 3Com. Основана на применении для каждого порта концентратора специальной микросхемы LSA, которая отключает незарегистрированных пользователей, вносит искажения в пакеты данных, не предназначенных для принимающих их пользователей, и предупреждает администратора сети о попытках несанкционированного доступа [176].
  • PGP (Pretty Good Privacy) — “Довольно хорошая секретность”: алгоритм шифрования данных, разработанный в 1996 г. Филипом Р. Зиммерманном (Philip R. Zimmermann), а также семейство средств стандартного программного обеспечения, используемых для разных операционных систем и приложений, в частности, для шифрования электронной почты и защиты данных, записанных на диски, от несанкционированного чтения (в локальном и интерактивном режимах, в том числе через Интернет). PGP получил широкое распространение и стал международным криптографическим стандартом. Подробнее см., в частности, на < http://www.pgpi.com/ >.

Ошибки и искажения передачи данных, средства их коррекции:

  • Equalizer — устройство, компенсирующее амплитудные, частотные и фазовые искажения, а также затухание сигнала.
  • Bit error rate — вероятность ошибок — отношение числа битов, принятых с ошибками, к общему числу переданных битов. Обычно измеряется числом, являющимся отрицательной степенью десяти.
  • Error correction — исправление ошибок — метод восстановления целостности данных, принятых с ошибками. Существуют два основных метода исправления ошибок: первый — путем преобразования полученной избыточной информации, второй — посылкой запроса на повтор данных.
  • Error detection — обнаружение ошибок — методы обнаружения ошибок — анализ битов четности, а также вычисление контрольной суммы блока и последующее ее сравнение со значением, переданным вместе с блоком.

Error level — уровень ошибок — численное значение частоты появления ошибок передаче данных. Используется, например, в концентраторах для предотвращения аварийных ситуаций: если уровень ошибок данных, следующих через порт, достигает определенного порога, то порт отключается.

Политика безопасности организации (англ. organizational security policies) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Политика безопасности зависит:

· от конкретной технологии обработки информации;

· от используемых технических и программных средств;

· от расположения организации;


Билет 36.

Основным достоинством криптографических методов является то, что они обеспечивают высокую гарантированную стойкость защиты, которую можно рассчитать и выразить в числовой форме (средним числом операций или временем, необходимым для раскрытия зашифрованной информации или вычисления ключей).

К числу основных недостатков криптографических методов следует отнести:

 

• значительные затраты ресурсов (времени, производительности процессоров) на выполнение криптографических преобразований информации;
• трудности совместного использования зашифрованной (подписанной) информации, связанные с управлением ключами (генерация, распределение и т.д.);
• высокие требования к сохранности секретных ключей и защиты открытых ключей от подмены.

Криптография делится на два класса: криптография с симметричными ключами и криптография с открытыми ключами.

Криптография с симметричными ключами
В криптографии с симметричными ключами (классическая криптография) абоненты используют один и тот же (общий) ключ (секретный элемент) как для шифрования, так и для расшифрования данных.

Следует выделить следующие преимущества криптографии с симметричными ключами:
• относительно высокая производительность алгоритмов;
• высокая криптографическая стойкость алгоритмов на единицу длины ключа.

К недостаткам криптографии с симметричными ключами следует отнести:
• необходимость использования сложного механизма распределения ключей;
• технологические трудности обеспечения неотказуемости.


1 | 2 | 3 | 4 | 5 | 6 | 7 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.006 сек.)