лекция№8 (Лекции по дисциплине)
Описание файла
Файл "лекция№8" внутри архива находится в следующих папках: Лекции по дисциплине, СЗИ. Документ из архива "Лекции по дисциплине", который расположен в категории "". Всё это находится в предмете "методы и средства защиты информации" из 9 семестр (1 семестр магистратуры), которые можно найти в файловом архиве РТУ МИРЭА. Не смотря на прямую связь этого архива с РТУ МИРЭА, его также можно найти и в других разделах. Архив можно найти в разделе "лекции и семинары", в предмете "методы и средства защиты информации" в общих файлах.
Онлайн просмотр документа "лекция№8"
Текст из документа "лекция№8"
Федеральное агентство по образованию
Государственное образовательное учреждение
высшего профессионального образования
«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ПРИБОРОСТРЕНИЯ И ИНФОРМАТИКИ»
Кафедра ИТ-7 «Автоматизированные системы обработки информации и управления»
УТВЕРЖДАЮ
Ректор МГУПИ
_____________Михайлов Б.М.
«___» ______________ 200__г.
Для студентов <номер> курса факультета ИТ
специальности 230100
<уч.степень, уч.звание, фамилия, инициалы автора>
ЛЕКЦИЯ № <8>
по дисциплине <шифр> <Защита Информации>
ТЕМА <Технологические Методы Защиты Информации в Компьютерных Системах>
Обсуждена на заседании кафедры
(предметно-методической секции)
«___» _______________ 200__г.
Протокол № _____
МГУПИ — 200_ г.
Тема лекции: < Технологические Методы Защиты Информации в Компьютерных Системах >
Учебные и воспитательные цели:
1. ??
2. ??
3. ??
Время: 2 часа (90 мин.)
Литература (основная и дополнительная):
1.Средства защиты информации в компьютерных системах: учебное пособие. – М. МГУПИ, 2007.
2. Грир Т. Сети интранет. – М.: Русская редакция, 2000
Учебно-материальное обеспечение:
1. Рис. 39. Пример построения сегментированной сети
2. Рис. 40. Концептуальная схема гетерогенной сети
3. Рис. 41. Реализация центрального узла КС
ПЛАН ЛЕКЦИИ:
Введение – до 5 мин.
Основная часть (учебные вопросы) – до 80 мин.
1-й учебный вопрос Технологии организации коммуникационной инфраструктуры - ? мин
2-й учебный вопрос Технологии хранения и доступа к информационным ресурсам - ? мин
Заключение – до 5 мин.
ТЕКСТ ЛЕКЦИИ
Введение – до 5 мин.
Технологические методы защиты информации заключаются в использовании при построении КС информационных технологий (ИТ), повышающих защищенность системы в целом. Хотя основное назначение данных технологий – обеспечивать эффективную работу КС, они также позволяют интегрировать различные организационные, технические и программные методы (средства) обработки и защиты информации в единую систему, эффективность которой (при правильном выборе базовых ИТ) значительно выше простой суммы эффективностей используемых СЗИ. Технологии, о которых пойдет речь далее, направлены, как правило, на физическое разделение информационных ресурсов, сервисов и коммуникаций при одновременном росте их доступности, уровня интеграции и функциональности на логическом уровне. К ним можно отнести прежде всего технологии организации коммуникационной инфраструктуры, а также технологии хранения и доступа к информационным ресурсам КС. Следует отметить, что рассматриваемые ИТ являются платформенно (аппаратно и программно) независимыми и могут базироваться на различных программно-технических решениях.
1-й учебный вопрос Технологии организации коммуникационной инфраструктуры - ? мин
К ним относятся:
-технологии удаленного доступа;
-технологии зонирования (сегментирования) сетей;
-технологии виртуальных частных сетей.
Использование на практике технологий удаленного доступа как средства ЗИ позволяет, прежде всего, обеспечить отсутствие физического доступа пользователей как в помещения, в которых установлены ТС обработки защищаемой информации, так и к самим ТС. Необходимость взаимодействия пользователей с КС через созданные для этого коммуникационные каналы позволяет накладывать различные ограничения, не влияющие на эффективность КС, но затрудняющие их несанкционированное использование. Вариантами данной технологии являются системы удаленных терминалов, локальные, корпоративные и глобальные сети, различные сети связи.
При наличии необходимости физически разделить некую корпоративную сетевую инфраструктуру по признаку структурной принадлежности или степени конфиденциальности циркулирующей информации без нарушения логической целостности сетей используют технологии их зонирования (сегментирования). Для реализации данных технологий используются различные технические средства (коммутаторы, маршрутизаторы, гальванические развязки...) и программные системы (брандмауэры, шлюзы, разделители протоколов...). Пример подобной сегментированной сети приведен на рис. 39.
Рис. 39. Пример построения сегментированной сети
Концептуальными реализациями технологии зонирования являются сети типов интранет и экстранет. Интранет является (как правило) узкокорпоративной сетью одной организации в одном или нескольких зданиях. Экстранет предполагает подключение к сети и работе в ней внешних по отношению к базовой организации пользователей. На рис.40 приведена концептуальная схема гетерогенной сети с сегментами экстранет, интранет и информационных ресурсов корпоративного использования.
Рис. 40. Концептуальная схема гетерогенной сети
Технологии VPN (virtual private network - виртуальная частная сеть) позволяют эффективно решать задачи территориального расширения корпоративных сетей, подключения к ним удаленных пользователей, объединения партнеров и т.п. Технология VPN обеспечивает связь между сетями, а также между удаленным пользователем и корпоративной сетью с помощью защищенного канала (тоннеля), "проложенного" в общедоступной сети типа Интернет. Данные, передаваемые по виртуальной частной сети, упаковываются в зашифрованные IP-пакеты. Виртуальная частная сеть может быть развернута на базе Интернет или построена на инфраструктуре других транспортных сетей: IP, Frame Relay или ATM.
Технологические решения различных производителей на базе VPN очень разнообразны: от интегрированных многофункциональных и специализированных устройств до чисто программных продуктов:
-Интегрированные VPN-решения включают функции межсетевого экрана, маршрутизации и коммутации. Главное преимущество такого подхода состоит в централизации управления компонентами и снижении расходов на сетевое оборудование, когда все функции сосредоточены в одном устройстве. При этом следует отметить, что чем больше функций исполняется одним устройством, тем чаще становятся заметными потери в производительности.
-Специализированные VPN-системы обеспечивают более высокую производительность, так как шифрование в них осуществляется специализированными микросхемами (объем вычислений, которые необходимо выполнить при обработке VPN-пакета, в 50-100 раз превышает тот, который требуется для обработки обычного пакета). Специализированные VPN-устройства обеспечивают также более высокий уровень безопасности.
-Программные VPN-решения уступают по производительности специализированным устройствам, однако обладают достаточной мощностью для реализации VPN-сетей. При создании модемного соединения даже у мобильного компьютера хватает вычислительной мощности.
Существуют четыре основных протокола, используемых для создания VPN-сети:
-РРТР (Point-to-Point Tunneling Protocol – тоннельный протокол "точка-точка");
-L2F (Layer 2 Forwarding – протокол продвижения пакетов на втором уровне);
-L2TP (Layer 2 Tunneling Protocol - тоннельный протокол второго уровня);
-IPSec (IP Security Protocol - протокол шифрования IP-пакетов).
Существует также несколько типов физических реализации VPN-технологий, каждая из которых характиризуется определенным набором функциональных требований. Можно выделить три основных вида архитектуры применения VPN-продуктов:
а) Intranet VPN - создание VPN-ceтей между внутренними корпоративными отделами и удаленными филиалами, для нее характерны:
-применение мощных криптографических протоколов шифрования данных для защиты конфиденциальной информации;
-надежность функционирования при выполнении критических приложений, таких, как системы автоматизированной продажи и системы управления базами данных;
- гибкость управления для более эффективного размещения быстро возрастающего количества новых пользователей, новых офисов и новых программных приложений.
б) Remote Access VPN - создание VPN-сетей, объединяющих корпоративную сеть и удаленных или мобильных служащих. Ее свойства:
-мощная система установления подлинности удаленных и мобильных пользователей, которая должна с максимальной точностью и эффективностью провести процедуру аутентификации;
-эффективная система централизованного управления для обеспечения высокой степени гибкости при увеличении количества пользователей, работающих с VPN;
в) Extranet VPN - создание VPN-ceтей, объединяющих корпорацию с ее стратегическими партнерами, клиентами и поставщиками. Для нее используются стандартизированные VPN-продукты, гарантирующие способность к взаимодействию с различными VPN-решениями, которые деловые партнеры могли бы применять в своих сетях.
Преимуществами использования VPN-продуктов являются:
-независимость от криптографии - возможность подключения модулей криптографии от третьих производителей, что позволяет их использовать в любой стране мира в соответствии с принятыми национальными стандартами;
-масштабируемость продуктов позволяет подбирать оптимальное по стоимости и надежности решение с возможностью постепенного наращивания мощности системы защиты;
-наличие открытых интерфейсов для интеграции с другими программными системами и бизнес-приложениями;
-гибкость установки и настройки позволяет внедрить систему безопасности, не меняя сетевой конфигурации корпоративной сети;
-экономичность - при использовании VPN-продуктов не требуются специальные каналы для передачи конфиденциальной информации;
-поддержка международных стандартов, совместимость продуктов с продуктами RSA, Baltimore, Entrust, VeriSign, SSH, Siemens, Microsoft и др.
2-й учебный вопрос Технологии хранения и доступа к информационным ресурсам - ? мин
К технологиям хранения и доступа к ИР относятся:
-WEB-технологии;
-технологии интегрированных банков (хранилищ) данных;
-различные варианты технологии "клиент-сервер".
В технологиях хранения и доступа к информационным ресурсам важным свойством является сочетание концепции интеграции информации с различными способами разделения устройств ее физического размещения и функциональных подсистем обработки.
Концепция интеграции информации реализуется, как правило, в форме некоего центрального узла (рис.41), объединяющего информационные ресурсы и сервисы КС. Наиболее перспективной в настоящее время моделью центрального узла является web-портал.
Основными функциями портала (с точки зрения повышения безопасности КС) являются:
-реализация гибкой многоуровневой схемы обеспечения доступа к информации типа "клиент - Х-сервер - сервер приложений - серверы баз данных";
-сокращение числа поддерживаемых операционных систем и программных средств;
-сведение к минимуму возможности со стороны пользователей внести отрицательное влияние на настройки системы, целостность ПО и данных.
Основными элементами портала в общем случае являются:
-файл-сервер;
-сервер приложений (DOS и Windows);
-WEB-сервер;
-Х-сервер для поддержки "сверхтонких" клиентов;
-серверы баз данных.
При этом наиболее важными элементами портала являются WEB-сервер и хранилище данных. WEB-сервер выполняет функцию сервера приложений (уровень middleware) для основного клиентского приложения - web-броузера.
Рис. 41. Реализация центрального узла КС
Наиболее оптимальным с точки зрения ряда критериев является принцип централизованного накопления информации при условии непосредственного доступа к ней со стороны пользователей (принцип "единого информационного пространства"). Конкретной реализацией этого принципа является интегрированный банк данных, представляющий собой на логическом уровне целостную систему взаимосвязанных баз данных, которые при этом могут быть физически расположены на разных серверах и сегментах сети. Именно структурированные базы данных обладают необходимыми свойствами для наиболее оптимального хранения информации: позволяют хранить данные различных типов и форматов наиболее органичным для них способом; раскладывать каждый элемент данных на свою "полку", что облегчает поиск и извлечение информации. Если с базами данных предполагается работа многих пользователей, то существенными с точки зрения ЗИ становятся такие элементы, как методы организации доступа к данным и их обработки, а также СЗИ СУБД.
