Потенциальные угрозы безопасности информации в локальных сетях

Введение

Нынешний век, наверно, уже войдет в историю человечества как век информации, и роль информации в жизни цивилизации все возрастает.К сожалению, информационные системы становятся все более уязвимыми, требующими серьезной многоуровневой защиты, механизмов контроля и резервирования. Существенно вырастает цена, которую приходится платить владельцу ценной информации, не предпринимающему к защите своих тайн должных усилий.Обеспечение информационной безопасности является сегодня одним из основных требований к информационным системам. Причина этого - неразрывная связь информационных технологий и основных бизнес-процессов в любых организациях, будь то государственные службы, промышленные предприятия, финансовые структуры, операторы телекоммуникаций.Безопасность в сфере информационных технологий - это комплекс мер, и она должна восприниматься как система. Компьютерная безопасность имеет различные аспекты, среди которых нельзя выделить более значимые или менее. Здесь важно все. Нельзя отказаться от какой-либо части этих мер, иначе система не будет работать.1. Потенциальные угрозы безопасности информации в локальных сетяхВ случае взлома какой-либо сети, злоумышленник хочет получить доступ к информации с целью модификации, разрушения и хищения информации.Единственным отличием локальных сетей, учитывая ее относительно малую территорию размещения, является возможность расположения каналов связи локальных сетей на охраняемой территории, что значительно сокращает количество потенциальных нарушителей и в некоторых менее ответственных системах позволяет с целью экономии уменьшить прочность защиты информации в кабельных линиях связи. Малые габариты компьютера позволяют разместить его на столе в отдельном защищенном помещении и облегчают, с одной стороны, проблему контроля доступа к его внутренним линиям связи и монтажу устройств.С другой стороны, возникает вопрос контроля целостности локальных сетей, т. е. схемы соединений сети, так как локальная сеть - система по своей идее децентрализованная. А всегда ли необходим такой контроль? Специалисты считают, что в очень маленьких локальных сетях с парой компьютеров, которые разделяют жесткий диск и принтер, диагностика не нужна. Но по мере роста сети возникает необходимость в мониторинге сети и ее диагностике. Большинство локальных сетей имеют процедуры самотестирования низкого уровня, которые должны запускаться при включенной сети. Эти тесты обычно охватывают кабель, конфигурацию аппаратных средств, в частности плату интерфейса сети. В составе больших локальных сетей предусмотрены сложные системы с двойным назначение - мониторингом и диагностикой. Центр управления сетью - это пассивное мониторинговое устройство, которое собирает данные о потоках сообщений в сети, ее характеристиках, сбоях, ошибках и т. д. Данные о потоках сообщений показывают, кто пользуется сетью, а также когда и как она применяется.Сетевые операционные системы, содержат диагностику локальных сетей. Обычно консоль и монитор этой системы совместно действуют как маленькая версия центра управления сетью. Применяются в сети и аппаратные средства сетевой диагностики, для чего применяются специализированные чипы.Однако упомянутые выше средства диагностики локальных сетей не обнаруживают несанкционированное подключение к сети посторонних персональных компьютеров. Отключение компьютера от сети контролируется, иногда с перерывами по желанию оператора или по запросу пользователя.В больших локальных сетях (до 10 км) кабельные линии могут выходить за пределы охраняемой территории или в качестве линий связи могут использоваться телефонные линии связи обычных автоматизированных телефонных станций, на которых информация может подвергнуться несанкционированному доступу. Кроме того, сообщения в локальной сети могут быть прочитаны на всех ее узлах, несмотря на специфические сетевые адреса. Посредством пользовательских модификаций последних все узлы сети могут считывать данные, циркулирующие в данной локальной сети.Таким образом, можно перечислить максимальное количество возможных каналов преднамеренного несанкционированного доступа к информации для локальных сетей.Со стороны «периметра» системы они будут следующими:доступ в локальную сеть со стороны штатного персонального компьютера;доступ в локальную сеть со стороны кабельных линий связи.Несанкционированный доступ со стороны штатного персонального компьютера (включая серверы) возможен по каналам, перечисленным в разд. 7, гл. 1. для автономного режима ее работы. Но в локальной сети необходимо защищаться и от пользователя-нарушителя, допущенного только к определенной информации файл-сервера и/или ограниченного круга других пользователей данной локальной сети.Несанкционированный доступ в локальных сетях со стороны кабельных линий может произойти по следующим каналам:1) Со стороны штатного пользователя-нарушителя одного персонального компьютера при обращении к информации другого, в том числе файл-серверу;2) При подключении постороннего персонального компьютера и другой посторонней аппаратуры;3) При побочных электромагнитных излучениях и наводках информации.Кроме того, в результате аварийных ситуаций, отказов аппаратуры, ошибок операторов и разработчиков программного обеспечения локальной сети возможны переадресация информации, отображение и выдача ее на рабочих местах, для нее не предназначенных, потеря информации в результате ее случайного стирания или пожара. Практика показывает, что большинство людей не уделяют серьезного внимания защите информации, особенно резервированию, до тех пор, пока у них не произойдет серьезная потеря информации.Магнитная память, а затем лазерная запись - достоинство автоматизированной системы: освобождение от многочисленных бумаг открыла большие возможности для пользователя. Но хранение данных в этой изменчивой среде значительно повышает вероятность потери данных: несколько нажатий клавиш могут уничтожить результаты работы многих часов и даже лет. Проникновение программного вируса в персональный компьютер может также неприятно отразиться на всей работе и информации локальной сети, а также остальных персональных компьютеров, входящих в состав локальной сети.2. Система защиты информации от несанкционированного доступа в локальных сетяхЗащита от преднамеренного несанкционированного доступа. Анализ локальной сети как объекта защиты, возможных каналов несанкционированного доступа к информации ограниченного пользования и потенциальных угроз позволяет выбрать и построить соответствующую систему защиты.Перечисленные выше возможные каналы несанкционированного доступа рассмотрены с позиций максимально возможных угроз, ожидаемых от нарушителя-профессионала, модель поведения которого как наиболее опасная принята за исходную предпосылку в концепции защиты (см. разд. 3). Поэтому, несмотря на существующие на практике менее опасные модели, будем пока следовать принятым ранее решениям.Несанкционированный доступ со стороны пользователя-нарушителя, потребует создания на программном уровне локальной сети системы опознания и разграничения доступа к информации (СОРДИ) со всеми ее атрибутами: средствами идентификации и аутентификации пользователей, а также разграничения их полномочий по доступу к информации файл-сервера и (или) другим персональным компьютерам данной локальной сети. Такими возможностями, в настоящее время, обладают все сетевые операционные система с отличиями в технологиях реализации.Средства защиты сети позволяют устанавливать, кто имеет право доступа к конкретным каталогам и файлам. При этом защита данных файл-сервера осуществляется одним способом или в различных сочетаниях обычно четырьмя способами:Первым уровнем сетевой защиты является защита данных входным паролем. Защита при входе в сеть применяется по отношению ко всем пользователям. Чтобы выйти в файл-сервер, пользователю нужно знать свое «имя» и соответствующий пароль (6-8 символов для устойчивости к автоматизированному взлому).Администратор безопасности может установить дополнительные ограничения по входу в сеть:Ограничить период времени, в течение которого пользователь может входить в сеть;Назначить рабочим станциям специальные адреса, с которыми разрешено входить в сеть;Ограничить количество рабочих станций, с которых можно выйти в сеть;Установить режим запрета постороннего вторжения, когда при нескольких несанкционированных попытках с неверным паролем устанавливается запрет на вход в сеть.Второй уровень защиты данных в сети - попечительская защита данных - используется для управления возможностями индивидуальных пользователей по работе с файлами в заданном каталоге. Попечитель (админ) - это пользователь, которому предоставлены привилегии или права для работы с каталогом и файлами внутри него.Любой попечитель может иметь восемь разновидностей прав:Read - право Чтения открытых файлов;Write - право Записи в открытые файлы;Ореn - право Открытия существующего файла;Сгеаtе - право Создания (и одновременно открытия) новых файлов;Deletе - право Удаления существующих файлов;Раrеntаl - Родительские права:6.1 право Создания, Переименования, Стираная подкаталогов каталога;6.2 право Установления попечителей и прав в каталоге;6.3 право Установления попечителей и прав в подкаталоге;Search - право Поиска каталога;Modify - право Модификации файловых атрибутов.Третий уровень защиты данных в сети - защита данных в каталоге. Каждый каталог имеет «маску максимальных прав». Когда создается каталог, маска прав содержит те же восемь разновидностей прав, что и попечитель. Ограничения каталога применяются только в одном заданном каталоге. Защита в каталоге не распространяется на его подкаталоги.Защита атрибутами файлов - четвертый уровень защиты данных в сети. При этом предусмотрена возможность устанавливать, может ли индивидуальный файл быть изменен или разделен. Защита атрибутами файлов используется в основном для предотвращения случайных изменений или удаления отдельных файлов. Такая защита, в частности, полезна для защиты информационных файлов общего пользования, которые обычно читаются многими пользователями. Эти файлы не должны допускать порчи при попытках изменений или стирания. В защите данных используются четыре файловых атрибута: «Запись-Чтение/Только чтение» и «Разделяемый/Неразделяемый».Действующие права в сети - это те права, которые пользователь может применять в данном каталоге. Действующие права определяются сочетанием прав попечительской защиты и прав защиты в каталогах. Файловые атрибуты имеют приоритет над действующими правами пользователя.Были описаны наиболее часто применяемые атрибуты и политики защиты информации в сети имеющих модификации для разных операционных систем. Однако средства защиты информации в сети не всегда удовлетворяют требованиям потребителей. Поэтому существует ряд разработок специализированных систем и комплексов защиты.Чтобы исключить возможность обхода систем опознания и разграничения доступа в персональных компьютерах и локальных сетях путем применения отладочных программ, а также проникновения компьютерных вирусов, рекомендуется, если это возможно, в данной локальной сети применять персональные компьютеры без дисководов и внешних портов (типа COM или USB) позволяющих подключить внешний носитель или, по крайней мере, хотя бы заблокировать их механической крышкой, опечатываемой администратором безопасности. Данная мера, кроме того, защищает от кражи данных, которые можно скопировать на флэш-карту в течение нескольких минут. Их легко спрятать и вынести за пределы даже охраняемой территории. Многие поставщики сетей сейчас обеспечивают возможность загрузки локальных рабочих станций с центрального сервера и таким образом делают персональные компьютеры без диска пригодной для использования в сети.В тех же случаях, когда требуется локальное запоминающее устройство, специалисты допускают возможность замены дисковода флоппи-диска, USB и т.п. на местный жесткий диск.Опознание пользователя и разграничение доступа в локальных сетях можно также организовать с помощью шифровального устройства. Лучше всего для этой цели использовать аппаратное устройство, так как его подмена или отключение нарушителю не помогут. Такое устройство устанавливается в каждом персональном компьютере, и тогда законный пользователь обращается в сеть с помощью ключа-пароля, ответные значения которого хранятся на тех рабочих станциях, к обмену с которыми он допущен. В свою очередь на файл-сервере по этому паролю ему могут предоставляться персональные массивы данных. Еще одно достоинство этого метода в том, что ключ-пароль данного пользователя не хранится на данном персональном компьютере, а запоминается пользователем или хранится на специальном носителе типа карточки. Решения с шифрованием на программном уровне введены практически уже во все операционные системы, в том числе обслуживающие рабочие станции.Все данные, включая коды паролей, которые поступают в сеть, и все данные, которые хранятся на жестком диске, должны быть зашифрованы. При передаче данных в сеть до начала шифрования с целью привязки к передаваемой информации идентификатор и/или адрес получателя и отправителя (передаваемые в открытом виде) совместно с информацией должны подвергаться обработке обычными средствами повышения достоверности, результат которой одновременно с зашифрованной информацией поступает на персональный компьютер-получатель, где после дешифрации принятая информация проверяется на совпадение. Данная процедура позволит обнаружить подмену идентификатора и/или адреса, т. е. попытку навязывания ложной информации при несанкционированном подключении к сети. При этом следует предостеречь разработчиков и пользователей локальных сетей от излишнего увлечения шифрованием. Шифрованию не должны подвергаться всем известные формализованные запросы и сообщения, так как, зная закон преобразования, нарушитель путем перебора известных формализованных сообщений может вычислить действительное значение ключа, с помощью которого одно из них закрыто, а знание последнего позволит нарушителю ознакомиться с остальной зашифрованной информацией.Поступающая в сеть зашифрованная ключом отправителя информация дешифруется на персональном компьютере-получателе с помощью ключа, значение которого соответствует идентификатору и/или адресу отправителя.Напомним, что ключи шифрования отправителей хранятся в персональном компьютере-получателе в зашифрованном виде, они зашифрованы ключом-паролем получателя информации.В некоторых менее ответственных локальных сетях для защиты от модификации информации при ее передаче по телефонным каналам используется система «обратный вызов».Система защиты «обратный вызов» и управление пользователем являются частью телефонных систем и могут быть использованы в передаче данных «ПК - сеть» на значительное расстояние. Если нужно подключиться к персональному компьютеру, где имеется система защиты «обратный вызов», следует сообщить об этом системе, и тогда ее устройство защиты подготавливается для «обратного вызова» на ваше местонахождение. Другими словами, система имеет в памяти полный листинг на каждого допущенного пользователя. В этот файл включены семизначный идентификационный номер, который вы должны набрать, когда хотите обратиться к файлу; телефонный номер, по которому вас можно найти; главные ЭВМ, к которым вам разрешен доступ. Одним словом, подлинность обращения обеспечивается обратным вызовом, т. е. соединение с вами устанавливается вашим адресатом по вашему вызову. Данный метод, однако, не защищает от утечки информации.Для защиты данных, передающихся по кабелю, существует несколько методов. Первый метод - уборка кабеля из поля зрения - должен быть предпринят для защиты кабеля от повреждения и удовлетворения правил электробезопасности, т. е. если кабель проложить в труднодоступном скрытом месте, это будет способствовать его защите от несанкционированного доступа.Кабель, по которому передаются данные, излучает радиосигналы подобно передающей антенне. Постое оборудование для перехвата установленное рядом с кабелем, может собирать и записывать эти передачи. Если величина излучающего сигнала превышает сигналы шумов на расстоянии за пределами охраняемой территории, следует принять определенные меры защиты.Величину излучающего сигнала на кабеле можно уменьшить при помощи экрана в виде заземленной оплетки из медных проводов, охватывающих провода, несущие информацию. Другой способ решить эту проблему заключается в применении волоконно-оптического кабеля, использующего тонкий стеклянный волновод, по которому передача информации осуществляется с помощью модуляции света. Однако в последнее время появились сообщения о возможности съема информации и с этих кабелей. Поэтому наилучшим средством защиты от вышеуказанных угроз служит шифрование передаваемой информации, о котором сообщалось выше. Заметим, что данное шифрование и шифрование, упоминаемое выше при описании средств защиты информации в персональных компьютерах, не одно и то же, хотя оно и может выполняться на одном и том же устройстве (аппаратном или программном). В одном случае оно может быть предназначено для персонального использования (закрытия информации на носителях), в другом - для сетевого контроля и разграничения доступа. В сравнении с обычными большими системами здесь исчезают понятия абонентского и линейного шифрования, так как в локальных сетях отсутствуют узлы, подобные узлам коммутации в больших сетях передачи данных.3. Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в локальных сетяхОценку уровня безопасности целесообразно проводить по трем классам: I, II и III имея в виду, что по I классу оцениваются локальные сети, в которых средствами защиты перекрыты все возможные каналы несанкционированного доступа, по II классу – локальные сети, в которых могут отсутствовать средства защиты от несанкционированного доступа со стороны линий связи и каналов ПЭМИН, по III классу – локальные сети, в которых перекрыт только несанкционированный доступ к персональным компьютерам, серверам, средствам контроля и управления функционированием и безопасностью информации. Оценка уровня безопасности внутри класса производится в результате количественной оценки прочности каждого средства защиты, перекрывающего количество возможных каналов несанкционированного доступа в соответствии с присвоенным локальной сети классом.Критериями оценки уровня безопасности информации в локальных сетях может быть выбрана группа показателей, полученных в результате расчета прочности отдельных средств защиты, составляющих в целом систему защиты. Целесообразным для оценки уровня безопасности информации в локальных сетях использовать следующую группу показателей:РКЛВС – уровень безопасности информации от преднамеренного несанкционированного доступа, контролируемого системой защиты локальной сети;РШЛВС – уровень безопасности информации на ВКНСД, выходящих за пределы возможностей системы контроля несанкционированного доступа.Значение прочности защиты для контролируемых ВКНСД можно определить на основе выражения:PKЛКС = PKPC U [1-(1-Р1)(1-Р2)(1-P3)(1-P5)] U [1-(1-P1)(1-P2)(1-P6)] U [1-(1-P1)(1-P2)(1-P3)(1-P7)] U [1-(1-P1)(1-P2)] U [1-(1-P1)(1-P2)(1-P8)(1-P5)] U [1-(1-P1)(1-P2)(1-P3)(1-P7)(1-P5)]для неконтролируемых ВКНСД:PШЛВС=PШРСUP4UP9UP10

Заключение
В заключении, необходимо отметить что безопасность компьютерной системы также зависит от окружения, в котором она работает. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компьютеров.Существуют следующие направления физической защиты:физическое управление доступом;противопожарные меры;защита поддерживающей инфраструктуры;защита от перехвата данных;защита мобильных систем;Меры физического управления доступом позволяют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации и, кроме того, отдельные помещения, например, те, где расположены серверы, коммуникационная аппаратура и т. п. Средства физического управления доступом известны давно - это охрана, двери с замками, перегородки, телекамеры, датчики движения и многое другое.
Список использованных источников
Брэгг, Р. Безопасность сетей: полное руководство / Р. Брэгг, М. Родс-Оусли, К. Страссберг. - М.: Эком, 2017. - 912 c.Галицкий, А.В. Защита информации в сети - анализ технологий и синтез решений / А.В. Галицкий, С.Д. Рябко, В.Ф. Шаньгин. - М.: ДМК Пресс, 2016. - 615 c.Колбин, Р. В. Глобальные и локальные сети. Создание, настройка и использование / Р.В. Колбин. - М.: Бином. Лаборатория знаний, 2017. - 145 c.Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности [Текст]: учеб. пособие / В. А. Курбатов. - М: СПБ, 2015. - 57 с.Якубайтис, Э.А. Информатика - Электроника - Сети / Э.А. Якубайтис. - М.: Финансы и статистика, 2016. - 200 c.