лекция№9 (Лекции по дисциплине)
Описание файла
Файл "лекция№9" внутри архива находится в следующих папках: Лекции по дисциплине, СЗИ. Документ из архива "Лекции по дисциплине", который расположен в категории "". Всё это находится в предмете "методы и средства защиты информации" из 9 семестр (1 семестр магистратуры), которые можно найти в файловом архиве РТУ МИРЭА. Не смотря на прямую связь этого архива с РТУ МИРЭА, его также можно найти и в других разделах. Архив можно найти в разделе "лекции и семинары", в предмете "методы и средства защиты информации" в общих файлах.
Онлайн просмотр документа "лекция№9"
Текст из документа "лекция№9"
Федеральное агентство по образованию
Государственное образовательное учреждение
высшего профессионального образования
«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ПРИБОРОСТРЕНИЯ И ИНФОРМАТИКИ»
Кафедра ИТ-7 «Автоматизированные системы обработки информации и управления»
УТВЕРЖДАЮ
Ректор МГУПИ
_____________Михайлов Б.М.
«___» ______________ 200__г.
Для студентов <номер> курса факультета ИТ
специальности 230100
<уч.степень, уч.звание, фамилия, инициалы автора>
ЛЕКЦИЯ № <9>
по дисциплине <шифр> <Защита Информации>
ТЕМА <Программные Системы Защиты Информации в Компьютерных Сетях>
Обсуждена на заседании кафедры
(предметно-методической секции)
«___» _______________ 200__г.
Протокол № _____
МГУПИ — 200_ г.
Тема лекции: < Программные Системы Защиты Информации в Компьютерных Сетях >
Учебные и воспитательные цели:
1. ??
2. ??
3. ??
Время: 2 часа (90 мин.)
Литература (основная и дополнительная):
1.Средства защиты информации в компьютерных системах: учебное пособие. – М. МГУПИ, 2007.
2. Хорев А. Защита информации. Технические каналы утечки информации. – М..1998
ПЛАН ЛЕКЦИИ:
Введение – до 5 мин.
Основная часть (учебные вопросы) – до 80 мин.
1-й учебный вопрос Обзор современных программных СЗИ - ? мин
Заключение – до 5 мин.
ТЕКСТ ЛЕКЦИИ
Введение – до 5 мин.
Данная открывает раздел курса, в котором рассматриваются программные средства защиты информации (ПСЗИ). К ним мы будем относить как чисто программные, так и программно-аппаратные средства (в которых аппаратная часть играет вспомогательные функции). Попытаемся классифицировать различные средства, относящиеся к данному классу. В качестве классифицирующих признаков выберем уровни функционирования ПСЗИ, направления выполнения функций и виды практической реализации.
Уровни функционирования :
-ПСЗИ для локального однопользовательского ПК;
-ПСЗИ для многопользовательского ПК:
-ПК с несколькими пользователями;
-ПК в составе одноранговой сети;
-ПСЗИ для корпоративной КС:
-КС масштаба локальной сети;
-КС масштаба корпоративной сети.
Направления выполнения функций:
-Аутентификация;
-Защита от несанкционированного чтения/копирования:
-управление правами доступа;
-шифрование файлов и дисковых областей;
-Защита от несанкционированных действий, изменяющих состояние КС (модификация, удаление, запуск программ...);
-Управление правами доступа;
-Защита от несанкционированного проникновения извне:
-защита подсистем удаленного доступа;
-защита каналов выхода КС в глобальные сети.
Виды реализации:
-ПСЗИ встроенные (подсистемы безопасности):
-в операционных системах;
-в СУБД;
-в пользовательских программах;
-Специализированные ПСЗИ:
-ПСЗИ в виде надстроек к штатным подсистемам безопасности;
-ПСЗИ, выполняющие самостоятельные функции;
-По используемым средствам:
-чисто программные;
-программно-аппаратные.
1-й учебный вопрос Обзор современных программных СЗИ - ? мин
В последующих х будут более или менее подробно рассмотрены подсистемы безопасности (ПСБ) наиболее распространенных программных систем и наиболее широко представленные на рынке специализированные ПСЗИ:
-
-ПСБ системного ПО (операционных систем);
-
-ПСБ хранилищ данных под управлением СУБД;
-
-средства защиты файлов и дисков;
-
-средства создания защищенных каналов передачи информации;
-
-средства защиты от вторжений из глобальных сетей.
Подсистемы безопасности операционных систем.
Наиболее распространенными в России ОС на данный момент являются продукты фирмы Microsoft. В классе домашних, офисных, клиентских – это повсеместно ОС группы Windows 95/98/XP. В классе серверных платформ преобладают ОС Windows NT/2000, затем следуют ОС Nowell Netware и на третьем месте – различные релизы LINUX удельный вес которых постоянно растет.
Типовыми функциями подсистемы безопасности ОС (ПСБ) являются:
-защита жизненно важных компонентов самой ОС;
-аутентификация пользователей;
-управление доступом пользователей к ресурсам и функциям;
-аудит работы ОС и пользователей.
Общеизвестно, что ОС Windows 95/98 фактически являются однопользовательскими системами, и в них практически отсутствуют ПСБ. То есть, любой пользователь, получивший доступ к компьютеру, на котором они установлены, обладает полным доступом ко всем ресурсам и функциям этих ОС. При организации одноранговых сетей из компьютеров, оснащенных данными ОС, можно разграничить доступ к различным папкам в структуре их файловых систем с других компьютеров в сети (включая доступ по паролю и доступ только на чтение).
ОС группы Windows NT/2000/ХР являются многопользовательскими, как при использовании в качестве рабочей станции, так и в качестве сервера. При инициации эти ОС создают по умолчанию суперпользователя “АДМИНИСТРАТОР” с полным набором прав доступа, от имени которого можно создавать затем других пользователей, имеющих собственные идентификаторы, пароли, а также различные (ограниченные) права доступа к ресурсам и функциям, даже если они работают на одном и том же компьютере. Сетевой доступ к серверам на базе этих ОС также является более безопасным и гибко настраиваемым.
ОС Nowell Netware являются в чистом виде сетевыми и устанавливаются только на выделенные серверы, консоль которых в принципе может использоваться только для администрирования системы и только одним пользователем (SUPERVISOR). Он также может создавать других пользователей и наделять их различными правами доступа к объектам сетевой файловой системы (NDS).
Многопользовательская ОС LINUX может использоваться в качестве пользовательской и серверной платформы. Полным набором прав доступа к этой ОС обладает суперпользователь ROOT, только от имени которого могут запускаться почти все сервисы администрирования системы. ПСБ LINUX имеет несколько степеней защиты – от упрощенного до “параноидального”. Кроме стандартных средств аутентификации, управления доступом и аудита, в нее встроены программные маршрутизаторы и межсетевые экраны. К достоинствам ПСБ LINUX следует отнести также “бесследное” удаление файлов (в отличие от ОС Windows и Netware). Следует также отметить, что для ОС LINUX имеются средсва эмуляции серверов Windows NT 4.0 (SAMBA) и Nowell Netware 3.12 (MARS), поддерживающие все функции ПСБ этих ОС.
Средства ЗИ в системах управления базами данных (СУБД).
В настоящее время существует большое количество классов СУБД, позволяющих создавать базы данных различных масштабов и уровней защищенности – от однопользовательских “настольных” БД до мощных корпоративных хранилищ данных, используемых сотнями и тысячами пользователей посредством удаленного доступа по различным каналам.
Однопользовательские (“настольные”) СУБД практически не имеют собственных средств ЗИ. Основная проблема заключается в том, что пользователь, получивший доступ к работе с данными, накопленными в БД, через некий стандартный интерфейс (приложение) одновременно получает права на уровне ОС на чтение/модификацию файлов БД. Как правило, эти файлы можно прочитать каким-либо внешним средством просмотра:
-для наиболее распространенных файлов типа dbase - это различные вьюеры в файловых менеджерах типа Norton Commander, MS Excell, программа Dbview и т.п.;
-ряд форматов файлов БД можно читать просто любым текстовым редактором или вьюером, поскольку они записаны просто в структурированный ASCII-файл.
При этом, даже если файлы данных нельзя прочитать напрямую в связи с использованием какого-либо специального формата или средств шифрования, их можно скопировать, испортить или удалить.
К этому классу относятся следующие СУБД: клоны Dbase, Clipper, FoxPro, Paradox, MS Access.
Многопользовательские СУБД, поддерживающие технологию “файл-сервер” (см. лекцию 13) являются, как правило, расширениями “настольных” СУБД и наследуют их недостатки в сфере информационной безопасности. Так, например, удаленные пользователи имеют те же права на файлы данных, что и локальные пользователи.
Наиболее защищенными являются СУБД, поддерживающие различные варианты технологии “клиент-сервер” (см. лекцию 13). Их глобальными преимуществами являются:
-наличие механизма, отделяющего пользователей от файлов БД (системы драйверов);
-возможность располагать файлы БД на разных физических носителях и серверах, доступ к которым пользователям закрыт;
-наличие гибкой системы разграничения полномочий пользователей (групп) к различным объектам БД (таблицам, их столбцам и строкам).
К этому классу относятся следующие СУБД: MS SQL-server, Informix, DB2, "Oracle", "Линтер". На примере двух последних будут рассмотрены механизмы работы СЗИ СУБД данного класса.
ПСЗИ для персональных компьютеров.
Поскольку ПК являются наиболее массовым вариантом использования компьютерной техники, в дальнейшем изучении ПСЗИ будет также уделено внимание рассмотрению специализированных средств, повышающих уровень безопасности ПК, обеспечиваемый с помощью штатных ОС. Учитывая, что основными проблемами ОС W95/98 являются отстутствие средств аутентификации, управления доступом и защиты от вторжений извне, в последующих х планируется изучение:
-программных средств для аутентификации доступа к компьютеру;
-ПО для создания защищенных файлов, папок, логических дисков;
-средств защиты ПК при работе в "Интернет".
ПСЗИ первой группы блокируют штатный (незащищенный) процесс старта ОС W95/98 и заменяют его процессом авторизованного входа в систему, как при старте NT (например, программа Access Denied).
Средства второй группы обеспечивают дифференцированный доступ разных пользователей к объектам файловой системы (файлам, папкам, логическим дискам). При этом, как правило, с помощью данных средств пользователи защищают собственные конфиденциальные информационные ресурсы. Основным методом, используемым в них, является шифрование. К данным средствам относятся: Secret Disc, Dallas Lock, Norton Your Eays Only и т.п.
К средствам третьей группы относятся различные классы программ:
-ПСБ стандартных броузеров (IE Explorer, Mozilla, Opera...);
-персональные брандмауэры ( );
-антивирусные средства (AVP, Doctor WEB...);
-программы поиска “шпионов” и “закладок”(AD-Aware...).
На рынке представлен большой выбор средств, реализующих как одну из перечисленных функций, так и являющихся интегрированными решениями в данном секторе.
Специализированные ПСЗИ для локальных и корпоративных сетей.
Локальные сети с точки зрения информационной безопасности характеризуются ограниченностью в пространстве (как правило, в пределах контролируемой зоны внутри одного здания), отсутствием прямых соединений с другими ЛС, единой транспортной средой (кабель, протоколы, интерфейсы).
Специализированные программные СЗИ для локальных сетей являются, как правило, надстройками над сетевыми ОС и обеспечивают более удобное управление их ПСБ и (или) добавляют некоторые дополнительные эксклюзивные функции безопасности. К подобным средствам относятся, например, сетевые компоненты программно-аппаратных комплексов "Secret Net" и "СНЕГ-ЛВС".
Корпоративные сети характеризуются, наоборот, наличием переходов между различными физическими сетями и линиями связи, а также значительной территориальной распределенностью.
В роли специализированных ПСЗИ для корпоративных сетей выступают:
-брандмауэры и маршрутизаторы;
-средства организации виртуальных частных сетей;
-средства обнаружения и блокирования сетевых атак;
средства защиты электронной почты (антивирусы, системы ЭЦП).
Заключение – до 5 мин.
В данной лекции были рассмотрены программные средства защиты информации в компьютерных сетях. К ним мы будем относить как чисто программные, так и программно-аппаратные средства (в которых аппаратная часть играет вспомогательные функции). Попытаемся классифицировать различные средства, относящиеся к данному классу. В качестве классифицирующих признаков выберем уровни функционирования ПСЗИ, направления выполнения функций и виды практической реализации.
Наиболее распространенными в России ОС на данный момент являются продукты фирмы Microsoft. В классе домашних, офисных, клиентских – это повсеместно ОС группы Windows 95/98/XP. В классе серверных платформ преобладают ОС Windows NT/2000, затем следуют ОС Nowell Netware и на третьем месте – различные релизы LINUX удельный вес которых постоянно растет.
Общеизвестно, что ОС Windows 95/98 фактически являются однопользовательскими системами, и в них практически отсутствуют ПСБ. То есть, любой пользователь, получивший доступ к компьютеру, на котором они установлены, обладает полным доступом ко всем ресурсам и функциям этих ОС. При организации одноранговых сетей из компьютеров, оснащенных данными ОС, можно разграничить доступ к различным папкам в структуре их файловых систем с других компьютеров в сети (включая доступ по паролю и доступ только на чтение).
-
поставить задачи для самостоятельной работы; ??
Лекция разработана «____» ______________ 200__г.
________________/ <фамилия, инициалы автора> /
(подпись)