лекция№9 (Лекции по дисциплине)

Федеральное агентство по образованию

Государственное образовательное учреждение

высшего профессионального образования

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ПРИБОРОСТРЕНИЯ И ИНФОРМАТИКИ»

Кафедра ИТ-7 «Автоматизированные системы обработки информации и управления»

УТВЕРЖДАЮ

Ректор МГУПИ

_____________Михайлов Б.М.

«___» ______________ 200__г.

Для студентов <номер> курса факультета ИТ

специальности 230100

<уч.степень, уч.звание, фамилия, инициалы автора>

ЛЕКЦИЯ № <9>

по дисциплине <шифр> <Защита Информации>

ТЕМА <Программные Системы Защиты Информации в Компьютерных Сетях>

Обсуждена на заседании кафедры

(предметно-методической секции)

«___» _______________ 200__г.

Протокол № _____

МГУПИ — 200_ г.

Тема лекции: < Программные Системы Защиты Информации в Компьютерных Сетях >

Учебные и воспитательные цели:

1. ??

2. ??

3. ??

Время: 2 часа (90 мин.)

Литература (основная и дополнительная):

1.Средства защиты информации в компьютерных системах: учебное пособие. – М. МГУПИ, 2007.

2. Хорев А. Защита информации. Технические каналы утечки информации. – М..1998

ПЛАН ЛЕКЦИИ:

Введение – до 5 мин.

Основная часть (учебные вопросы) – до 80 мин.

1-й учебный вопрос Обзор современных программных СЗИ - ? мин

Заключение – до 5 мин.

ТЕКСТ ЛЕКЦИИ

Введение – до 5 мин.

Данная открывает раздел курса, в котором рассматриваются программные средства защиты информации (ПСЗИ). К ним мы будем относить как чисто программные, так и программно-аппаратные средства (в которых аппаратная часть играет вспомогательные функции). Попытаемся классифицировать различные средства, относящиеся к данному классу. В качестве классифицирующих признаков выберем уровни функционирования ПСЗИ, направления выполнения функций и виды практической реализации.

Уровни функционирования :

-ПСЗИ для локального однопользовательского ПК;

-ПСЗИ для многопользовательского ПК:

-ПК с несколькими пользователями;

-ПК в составе одноранговой сети;

-ПСЗИ для корпоративной КС:

-КС масштаба локальной сети;

-КС масштаба корпоративной сети.

Направления выполнения функций:

-Аутентификация;

-Защита от несанкционированного чтения/копирования:

-управление правами доступа;

-шифрование файлов и дисковых областей;

-Защита от несанкционированных действий, изменяющих состояние КС (модификация, удаление, запуск программ...);

-Управление правами доступа;

-Защита от несанкционированного проникновения извне:

-защита подсистем удаленного доступа;

-защита каналов выхода КС в глобальные сети.

Виды реализации:

-ПСЗИ встроенные (подсистемы безопасности):

-в операционных системах;

-в СУБД;

-в пользовательских программах;

-Специализированные ПСЗИ:

-ПСЗИ в виде надстроек к штатным подсистемам безопасности;

-ПСЗИ, выполняющие самостоятельные функции;

-По используемым средствам:

-чисто программные;

-программно-аппаратные.

1-й учебный вопрос Обзор современных программных СЗИ - ? мин

В последующих х будут более или менее подробно рассмотрены подсистемы безопасности (ПСБ) наиболее распространенных программных систем и наиболее широко представленные на рынке специализированные ПСЗИ:

1. -ПСБ системного ПО (операционных систем);

2. -ПСБ хранилищ данных под управлением СУБД;

3. -средства защиты файлов и дисков;

4. -средства создания защищенных каналов передачи информации;

5. -средства защиты от вторжений из глобальных сетей.

Подсистемы безопасности операционных систем.

Наиболее распространенными в России ОС на данный момент являются продукты фирмы Microsoft. В классе домашних, офисных, клиентских – это повсеместно ОС группы Windows 95/98/XP. В классе серверных платформ преобладают ОС Windows NT/2000, затем следуют ОС Nowell Netware и на третьем месте – различные релизы LINUX удельный вес которых постоянно растет.

Типовыми функциями подсистемы безопасности ОС (ПСБ) являются:

-защита жизненно важных компонентов самой ОС;

-аутентификация пользователей;

-управление доступом пользователей к ресурсам и функциям;

-аудит работы ОС и пользователей.

Общеизвестно, что ОС Windows 95/98 фактически являются однопользовательскими системами, и в них практически отсутствуют ПСБ. То есть, любой пользователь, получивший доступ к компьютеру, на котором они установлены, обладает полным доступом ко всем ресурсам и функциям этих ОС. При организации одноранговых сетей из компьютеров, оснащенных данными ОС, можно разграничить доступ к различным папкам в структуре их файловых систем с других компьютеров в сети (включая доступ по паролю и доступ только на чтение).

ОС группы Windows NT/2000/ХР являются многопользовательскими, как при использовании в качестве рабочей станции, так и в качестве сервера. При инициации эти ОС создают по умолчанию суперпользователя “АДМИНИСТРАТОР” с полным набором прав доступа, от имени которого можно создавать затем других пользователей, имеющих собственные идентификаторы, пароли, а также различные (ограниченные) права доступа к ресурсам и функциям, даже если они работают на одном и том же компьютере. Сетевой доступ к серверам на базе этих ОС также является более безопасным и гибко настраиваемым.

ОС Nowell Netware являются в чистом виде сетевыми и устанавливаются только на выделенные серверы, консоль которых в принципе может использоваться только для администрирования системы и только одним пользователем (SUPERVISOR). Он также может создавать других пользователей и наделять их различными правами доступа к объектам сетевой файловой системы (NDS).

Многопользовательская ОС LINUX может использоваться в качестве пользовательской и серверной платформы. Полным набором прав доступа к этой ОС обладает суперпользователь ROOT, только от имени которого могут запускаться почти все сервисы администрирования системы. ПСБ LINUX имеет несколько степеней защиты – от упрощенного до “параноидального”. Кроме стандартных средств аутентификации, управления доступом и аудита, в нее встроены программные маршрутизаторы и межсетевые экраны. К достоинствам ПСБ LINUX следует отнести также “бесследное” удаление файлов (в отличие от ОС Windows и Netware). Следует также отметить, что для ОС LINUX имеются средсва эмуляции серверов Windows NT 4.0 (SAMBA) и Nowell Netware 3.12 (MARS), поддерживающие все функции ПСБ этих ОС.

Средства ЗИ в системах управления базами данных (СУБД).

В настоящее время существует большое количество классов СУБД, позволяющих создавать базы данных различных масштабов и уровней защищенности – от однопользовательских “настольных” БД до мощных корпоративных хранилищ данных, используемых сотнями и тысячами пользователей посредством удаленного доступа по различным каналам.

Однопользовательские (“настольные”) СУБД практически не имеют собственных средств ЗИ. Основная проблема заключается в том, что пользователь, получивший доступ к работе с данными, накопленными в БД, через некий стандартный интерфейс (приложение) одновременно получает права на уровне ОС на чтение/модификацию файлов БД. Как правило, эти файлы можно прочитать каким-либо внешним средством просмотра:

-для наиболее распространенных файлов типа dbase - это различные вьюеры в файловых менеджерах типа Norton Commander, MS Excell, программа Dbview и т.п.;

-ряд форматов файлов БД можно читать просто любым текстовым редактором или вьюером, поскольку они записаны просто в структурированный ASCII-файл.

При этом, даже если файлы данных нельзя прочитать напрямую в связи с использованием какого-либо специального формата или средств шифрования, их можно скопировать, испортить или удалить.

К этому классу относятся следующие СУБД: клоны Dbase, Clipper, FoxPro, Paradox, MS Access.

Многопользовательские СУБД, поддерживающие технологию “файл-сервер” (см. лекцию 13) являются, как правило, расширениями “настольных” СУБД и наследуют их недостатки в сфере информационной безопасности. Так, например, удаленные пользователи имеют те же права на файлы данных, что и локальные пользователи.

Наиболее защищенными являются СУБД, поддерживающие различные варианты технологии “клиент-сервер” (см. лекцию 13). Их глобальными преимуществами являются:

-наличие механизма, отделяющего пользователей от файлов БД (системы драйверов);

-возможность располагать файлы БД на разных физических носителях и серверах, доступ к которым пользователям закрыт;

-наличие гибкой системы разграничения полномочий пользователей (групп) к различным объектам БД (таблицам, их столбцам и строкам).

К этому классу относятся следующие СУБД: MS SQL-server, Informix, DB2, "Oracle", "Линтер". На примере двух последних будут рассмотрены механизмы работы СЗИ СУБД данного класса.

ПСЗИ для персональных компьютеров.

Поскольку ПК являются наиболее массовым вариантом использования компьютерной техники, в дальнейшем изучении ПСЗИ будет также уделено внимание рассмотрению специализированных средств, повышающих уровень безопасности ПК, обеспечиваемый с помощью штатных ОС. Учитывая, что основными проблемами ОС W95/98 являются отстутствие средств аутентификации, управления доступом и защиты от вторжений извне, в последующих х планируется изучение:

-программных средств для аутентификации доступа к компьютеру;

-ПО для создания защищенных файлов, папок, логических дисков;

-средств защиты ПК при работе в "Интернет".

ПСЗИ первой группы блокируют штатный (незащищенный) процесс старта ОС W95/98 и заменяют его процессом авторизованного входа в систему, как при старте NT (например, программа Access Denied).

Средства второй группы обеспечивают дифференцированный доступ разных пользователей к объектам файловой системы (файлам, папкам, логическим дискам). При этом, как правило, с помощью данных средств пользователи защищают собственные конфиденциальные информационные ресурсы. Основным методом, используемым в них, является шифрование. К данным средствам относятся: Secret Disc, Dallas Lock, Norton Your Eays Only и т.п.

К средствам третьей группы относятся различные классы программ:

-ПСБ стандартных броузеров (IE Explorer, Mozilla, Opera...);

-персональные брандмауэры ( );

-антивирусные средства (AVP, Doctor WEB...);

-программы поиска “шпионов” и “закладок”(AD-Aware...).

На рынке представлен большой выбор средств, реализующих как одну из перечисленных функций, так и являющихся интегрированными решениями в данном секторе.

Специализированные ПСЗИ для локальных и корпоративных сетей.

Локальные сети с точки зрения информационной безопасности характеризуются ограниченностью в пространстве (как правило, в пределах контролируемой зоны внутри одного здания), отсутствием прямых соединений с другими ЛС, единой транспортной средой (кабель, протоколы, интерфейсы).

Специализированные программные СЗИ для локальных сетей являются, как правило, надстройками над сетевыми ОС и обеспечивают более удобное управление их ПСБ и (или) добавляют некоторые дополнительные эксклюзивные функции безопасности. К подобным средствам относятся, например, сетевые компоненты программно-аппаратных комплексов "Secret Net" и "СНЕГ-ЛВС".

Корпоративные сети характеризуются, наоборот, наличием переходов между различными физическими сетями и линиями связи, а также значительной территориальной распределенностью.

В роли специализированных ПСЗИ для корпоративных сетей выступают:

-брандмауэры и маршрутизаторы;

-средства организации виртуальных частных сетей;

-средства обнаружения и блокирования сетевых атак;

средства защиты электронной почты (антивирусы, системы ЭЦП).

Заключение – до 5 мин.

В данной лекции были рассмотрены программные средства защиты информации в компьютерных сетях. К ним мы будем относить как чисто программные, так и программно-аппаратные средства (в которых аппаратная часть играет вспомогательные функции). Попытаемся классифицировать различные средства, относящиеся к данному классу. В качестве классифицирующих признаков выберем уровни функционирования ПСЗИ, направления выполнения функций и виды практической реализации.

Наиболее распространенными в России ОС на данный момент являются продукты фирмы Microsoft. В классе домашних, офисных, клиентских – это повсеместно ОС группы Windows 95/98/XP. В классе серверных платформ преобладают ОС Windows NT/2000, затем следуют ОС Nowell Netware и на третьем месте – различные релизы LINUX удельный вес которых постоянно растет.

Общеизвестно, что ОС Windows 95/98 фактически являются однопользовательскими системами, и в них практически отсутствуют ПСБ. То есть, любой пользователь, получивший доступ к компьютеру, на котором они установлены, обладает полным доступом ко всем ресурсам и функциям этих ОС. При организации одноранговых сетей из компьютеров, оснащенных данными ОС, можно разграничить доступ к различным папкам в структуре их файловых систем с других компьютеров в сети (включая доступ по паролю и доступ только на чтение).

• поставить задачи для самостоятельной работы; ??

Лекция разработана «____» ______________ 200__г.

________________/ <фамилия, инициалы автора> /

(подпись)