Бройдо В.Л. Вычислительные системы, сети и телекоммуникации (2002) (1186248), страница 160
Текст из файла (страница 160)
2. Администратор ограничивает доступ к данным, модифицируя списки прав доступа к ресурсам. 3. Доступ пользователей к документам контролируется посредством аудита. В частности, каждому пользователю в сети соответствует персональная учетная запись, параметры которой определяют его права и обязанности в домене. Учетная запись содержит такую информацию о пользователе, как его имя, пароль или ограничения на его деятельность в сети.
Учетные записи бывают двух типов: глобальные и локальные. Локальные учетные записи определяют права пользователей на конкретном компьютере и не распространяются на весь домен. При использовании локальной учетной записи пользователь получает доступ только к ресурсам данного компьютера.
Для доступа к ресурсам домена пользователь должен зарегистрироваться в домене, воспользовавшись своей глобальной учетной записью. Если сеть состоит из нескольких доменов н между ними установлены доверительные отношения, то возможна так называемая сквозная регистрация, то есть пользователгь регистрируясь один раз в своем домене, получает доступ к ресурсам доверяющего домена, в котором у него нет персональной учетной записи. Создавать, модифициронать учетные записи и управлять ими адмигщстратор может с помощью программы Пзег Мапайег 1ог Рогпа1пз. При создании новой учетной записи администратор может определить следующие параметры: пароль и правила его модификации, локальные и глобальные группы, в которые входят: полъзователь, профиль пользователя, имена рабочих станций, с которых он может регистрироваться, разрешенные часы работы, срок действия учетной записи и др.
Пароль пользователя играет одну из самых важных ролей при регистрации пользователя в сети, так как именно путем подбора пароля может происходить незаконный доступ к сетевым ресурсам. Поэтому %1пг1оч з ХТгг2000 содержит ряд мощных механизмов, связанных с паролем пользователя: гз уникальность пароля и хранение истории паролей; Сг максимальный срок действия, после которого пароль необходимо изменить; О минимальная длина пароля и минимальный срок хранения пароля; гз блокировка учетной записи при неудачной регистрации. Учетные записи обычно объединяются в группы, так что администратор может оперировать правами большого числа пользователей с помощью одной учетной записи. Изменение в учетной записи группы приводит к автоматическому изменению учетных записей всех пользователей, входящих в зту группу. 655 Безопасность информационных систем Полномочия (возможности) пользователя в системе определяются набором его прав.
Права пользователей бывают стандартные и расширенные. К стандартным относятся такие права, ка)г возможность изменять системное время, выполнять резервное копирование файлов, загружать драйверы устройств, изменять системную конфигурацию, выполнять выключение сервера и т. п. Расширенные права во многом являются специфичными для операционной системы или приложений.
Механизмы защиты %1пс1очгз ХТ/2000 позволяют гибко ограничивать права пользователей или предоставлять их на доступ к любым ресурсам системы. Права на доступ к файлам и каталогам определяют, может ли пользователь осуществлять к ним доступ, и если да, то как. Владение файлом или каталогом позволяет пользователю изменять права на доступ к нему. Администратор может вступить во владение файлом или каталогом без согласия владельца, Предоставление прав на доступ к файлам и каталогам — основа защиты ЪЪг1пг)отз ХТ/2000 и важнейший механизм файловой системы ИТРАМ. В ЪПпг)оч з ХТ/2000 поддерживается заполнение трех журналов регистрации: системного журнала, который содержит информацию о компонентах ОС; журнала безопасности, куда заносится информация о входных запросах в систему и другая информация, связанная с безопасностью, и журнала приложений, регистрирующего все события, записываемые приложениями.
По умолчанию аудит безопасности выключен и журнал безопасности не ведется, но он может быть подключен администратором сети. Брандмауэр как средство контроля межсетевого трафика Брандмауэр, или межсетевой экран, — это «полупроницаемая мембрана», которая располагается между защищаемым внутренним сегментом сети и внешней сетью или другими сегментами сети интранет и контролирует все информационные потоки во внутренний сегмент и из него.
Контроль трафика состоит в его фильтрации, то есть выборочном пропусканин через экран, а иногда и с выполнением специальных преобразований и формированием извещений для отправителя, если его данным в пропуске было отказано. Фильтрация осуществляется на основании набора условий, предварительно загруженных в брандмауэр и отражающих концепцию информационной безопасности корпорации.
Брандмауэры могут быть выполнены как в виде аппаратного, так и программного комплекса, записанного в коммутирующее устройство или сервер доступа (сервер-шлюз, прокси-сервер, хост-компьютер и т, д.). Работа брандмауэра заключается в анализе структуры и содержимого информационных пакетов, поступающих из внешней сети, и в зависимости от результатов анализа пропуска пакетов во внутреннюю сеть (сегмепт сети) или полное их отфильтровывание. Эффективность работы межсетевого экрана обусловлена тем, что он полностью переписывает реализуемый стек протоколов ТСР/1 Р, и поэтому нарушить его работу с помощью искажения протоколов внешней сети (что часто делается хакерами) невозможно. Межсетевые экраны обычно выполняют следующие функции: 656 Глава 20.
Качество н эффективность информационных систем сз физическое отделение рабочих станций и серверов внутреннего сегмента г(ети (внутренней подсети) от внешних каналов связи; ГЗ многоэтапная идентификация запросов, поступающих в сеть (идентификайия серверов, узлов связи и прочих компонентов внешней сети); О проверка полномочий и прав доступа пользователей к внутренним ресурсам сети; а регистрация всех запросов к компонентам внутренней подсети извне; о контроль целостности программного обеспечения и данных; а зкономия адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов); ы сокрытие 1Р-адресов внутренних серверов с целью защиты от хакеров.
Брандмауэры могут работать на разных уровнях протоколов модели ОЯ. На сетевом уровне выполняется фильтриция поступающих пакетов, основанная на 1Р-адресах (например, не пропускать пакеты нз Интернета, направленные на те серверы, доступ к которым извне пе должен осуществляться; не пропускать пакеты с фальшивыми обратными адресами или с 1Р-адресами, занесенными в ччери ы й список» и т. д.).
На транспортном уровне фильтрация возможна еще и по номерам портов ТСР и флагов, содержащихся в пакетах (например, запросов па установление соединения). На прикладном уровне может выполняться анализ прикладных протоколов (РТР, НТТР, ЯМТР и т. д.) и контроль за содержанием потоков данных (запрет внутренним абонентам на получение каких-либо типов файлов: рекламной информации или исполняемых программных модулей, например). Можно в брандмауэре создавать и экспергпяую сисшелпть которая, анализируя трафик, диагностирует события, могущие представлять угрозу безопасности внутренней сстн, и извещает об этом администратора сети.
Экспертная система может также в случае опасности (снам, например) автоматически ужесточать условия фильтрации и т. д. В качестве популярных эффективных брандмауэров можно назвать Ыегзсгееп 100 (фирмы Хегзстееп ТесЬпо!ой(ез) и СуЬегспагд 11гежаП (фнрмы Су!зегйпагб Согр.). Криптографическое закрытие информации Лктпвно развиваются и внедряются криптографические компьютерные технологии, направленные на обеспечение конфиденциальности и работоспособности таких колшлексных сетевых приложений, как электронная почта (с-шай), электронный банк (е-ЬапЫпй), электронная торговля (е-сошшегсе), электронный бизнес (е-Ьпз1пезз), Криптогрифическое закрытие информации выполняется путем преобразования информации по специальному алгоритму с использованием шифров (ключей) и процедур шифрования, в результате чего по внешнему виду данных невозлюжпо, нс зная ключа, определить их содержание.
С помогцьк> криптографических протоколов можно обеспечить безопасную передачу информации по сети, в том числе и регистрационных имен, паролей, необхо- Безопасность информационных систем 657 димых для идентификации программ и пддьзователей. На практике используется два типа шифрования: симметричное и ас~«мметричное. При симметричном шифровании для шифровки и дешифровки данных используется один и тот же секретньгй ключ. При этом сам ключ должен быть передан безопасным способом участникам взаимодействия до начала передачи зашифрованных данных.
Для осуществления симметричного шифрования применяется два типа шифров: блочные и поточные. В первом случае исходное сообщение делится на блоки постоянной длины, каждый из которых преобразуется по определенным правилам в блок зашифрованного текста. В качестве примера блочного шифри можно привести алгоритмы РЕЗ, ~РЕА (епсгург!оп !РЕА Дж. Месси), ЕЕАЕ (Еазг Раса Епс!рпегшепг А!8ойгш). Наиболее популярен алгоритм РЕВ (Р!8!га! Епсгург!оп Згапбагг!), являющийся национальным стандартом шифрования США. Алгоритм РЕЯ оперирует блоками длиной 64 бита и 64-битным ключолп в котором 8 бит являются контрольными, вычисляемыми по специальному правилу (по аналогии с контрольными разрядами корректирующих кодов).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
