Polytech-soft.com

ПК журнал
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Администрирование систем безопасности

Администрирование средств безопасности

Администрирование средств безопасности включает в себя распространение информации, необходимой для работы функций и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.

Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждая из оконечных систем должна располагать информацией, необходимой для проведения в жизнь избранной политики безопасности.

Усилия администратора средств безопасности должны распределяться по трем направлениям:

· администрирование системы в целом;

· администрирование функций безопасности;

· администрирование механизмов безопасности.

Среди действий, относящихся к системе в целом, отметим поддержание актуальности политики безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.

Администрирование функций безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации функции безопасности, взаимодействие с другими администраторами для обеспечения согласованной работы.

Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов. Типичный список таков:

· Управление ключами (генерация и распределение). Вероятно, многие аспекты управления ключами (например, их доставка) выходят за пределы среды OSI;

· Управление шифрованием (установка и синхронизация криптографических параметров). К управлению шифрованием можно отнести и администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптографическими средствами, также тяготеет к данному направлению;

· Администрирование управления доступом (распределение информации, необходимой для управления — паролей, списков доступа и т.п.);

· Управление аутентификацией (распределение информации, необходимой для аутентификации — паролей, ключей и т.п.);

· Управление дополнением трафика (выработка и поддержание правил, задающих характеристики дополняющих сообщений — частоту отправки, размер и т.п.). Характеристики могут варьироваться по заданному закону в зависимости от даты и времени;

· Управление маршрутизацией (выделение надежных путей);

· Управление нотаризацией (распространение информации о нотариальных службах, администрирование этих служб).

Мы видим, что администрирование средств безопасности в распределенной среде имеет много особенностей по сравнению с централизованными системами.

1.4.4 Интерпретация «Оранжевой книги» для сетевых конфигураций

В 1987 году Национальный центр компьютерной безопасности США выпустил в свет интерпретацию «Оранжевой книги» для сетевых конфигураций [14]. Данный документ состоит из двух частей. Первая содержит собственно интерпретацию, во второй рассматриваются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.

Интерпретация

В первой части вводится минимум новых понятий. Важнейшее из них — сетевая надежная вычислительная база, распределенный аналог надежной вычислительной базы изолированных систем. Сетевая надежная вычислительная база формируется из всех частей всех компонентов сети, обеспечивающих информационную безопасность. Надежная сетевая система должна обеспечивать такое распределение защитных механизмов, чтобы общая политика безопасности проводилась в жизнь несмотря на уязвимость коммуникационных путей и на параллельную, асинхронную работу компонентов.

Не существует прямой зависимости между вычислительными базами компонентов, рассматриваемых как изолированные системы, и фрагментами сетевой вычислительной базы. Более того, нет прямой зависимости и между уровнями безопасности отдельных компонентов и уровнем безопасности всей сетевой конфигурации. Например, в результате объединения двух систем класса B1, обладающих несовместимыми правилами кодирования меток безопасности, получается сеть, не удовлетворяющая требованию обеспечения целостности меток. В качестве противоположного примера рассмотрим объединение двух компонентов, один из которых сам не обеспечивает протоколирование действий пользователя, но передает необходимую информацию другому компоненту, который и ведет протокол. В таком случае сеть в целом, несмотря на слабость компонента, удовлетворяет требованию подотчетности.

Чтобы понять суть положений, вошедших в первую часть, рассмотрим интерпретацию требований к классу безопасности C2. Первое требование к этому классу — поддержка произвольного управления доступом. Интерпретация предусматривает различные варианты распределения сетевой надежной вычислительной базы по компонентам и, соответственно, различные варианты распределения механизмов управления доступом. В частности, некоторые компоненты, закрытые от прямого доступа пользователей (например, коммутаторы пакетов, оперирующие на третьем уровне семиуровневой модели OSI), могут вообще не содержать подобных механизмов.

Пользователь осуществляет доступ к удаленному ресурсу посредством суррогатного процесса, выполняющегося на удаленной системе от его имени. Данный процесс подвергается стандартным локальным процедурам контроля доступа. Интерпретация предусматривает различные способы ассоциирования идентификатора пользователя с суррогатным процессом. Может существовать единая идентификационная база данных, доступная каждому компоненту; могут быть реализованы лишь локальные базы, и тогда суррогатный процесс выполняется от имени незарегистрированного пользователя или по некоторым правилам получает идентификатор кого-либо из локальных пользователей.

Идентификация групп пользователей может строиться на основе сетевых адресов хостов или (под)сетей. В то же время регистрационный журнал должен содержать достаточно информации для ассоциирования действий с конкретным пользователем. Сетевой адрес может являться частью глобального идентификатора пользователя.

В принципе возможен централизованный контроль доступа, когда решения принимает специальный сервер авторизации. Возможен и смешанный вариант, когда сервер авторизации разрешает соединение двух хостов, а дальше в дело вступают локальные механизмы хоста, содержащего объект доступа.

Аналогично, идентификация и аутентификация пользователей может производиться как централизованно (соответствующим сервером), так и локально — той системой, с которой пользователь непосредственно взаимодействует. Возможна передача идентификационной и аутентификационной информации между хостами (чтобы избавить пользователя от многократной аутентификации). При передаче аутентификационная информация должна быть защищена не слабее, чем на каждом из компонентов сетевой конфигурации.

В идентификации и аутентификации могут нуждаться не только пользователи, но и компоненты сети, такие как хосты.

Регистрационная информация в сетевом случае может включать в себя записи новых видов, например, сведения об установлении и разрыве соединений, о потенциальном нарушении целостности данных (в частности, ввиду неправильной маршрутизации датаграмм), об изменениях в конфигурации сети. «Адресное пространство пользователей» становится распределенным, а в число регистрируемых событий попадают действия с удаленными объектами (открытие, переименование и т.п.).

При ведении регистрационного журнала могут использоваться локальные или глобальные синхронизированные часы.

Регистрационные журналы разных компонентов сети должны быть согласованы между собой; должны предоставляться средства для комплексного анализа совокупности регистрационных журналов с целью глобального отслеживания деятельности пользователей.

Возможно выделение в сети одного или нескольких серверов протоколирования и аудита, обслуживающих другие компоненты, которые не имеют ресурсов или по иным причинам не желают вести протоколирование самостоятельно.

Переходя к рассмотрению вопросов гарантированности, отметим, что каждая часть сетевой надежной вычислительной базы, расположенная на отдельном компоненте, должна поддерживать отдельную область для собственного выполнения, защищенную от внешних воздействий.

Интерпретация отличается от самих «Критериев» учетом динамичности сетевых конфигураций. Предусматривается наличие средств проверки подлинности и корректности функционирования компонентов перед их включением в сеть, наличие протокола взаимной проверки компонентами живучести и корректности функционирования друг друга, доступность средств оповещения администратора о неполадках в сети. Сетевая конфигурация должна быть устойчива к отказам отдельных компонентов или коммуникационных путей.

Динамичность, согласно Интерпретации, должна найти отражение в Руководстве администратора по средствам безопасности. Помимо прочих, это Руководство обязано освещать такие темы, как аппаратное конфигурирование сети, учет последствий подключения новых компонентов или отключения старых.

В качестве еще одного отличительного момента Интерпретации отметим повышенное внимание к целостности информации вообще и меток безопасности в частности (мы переходим к рассмотрению некоторых аспектов принудительного управления доступом, характерного для уровня безопасности B). Для контроля целостности меток и для их защиты от нелегального изменения в Интерпретации рекомендуется широкое использование криптографических методов. Далее, чтобы принудительное управление доступом в распределенной конфигурации имело смысл, совокупность уровней секретности и категорий должна поддерживаться централизованно. В этом одно из принципиальных отличий от произвольного управления доступом.

Читать еще:  Скачать программу microsoft access 2020

В целом следует отметить довольно очевидный характер первой части Интерпретации, что, впрочем, является прямым следствием выбранного методологического подхода. Описание существенно новых сервисов и механизмов вынесено во вторую часть документа. Если первая часть посвящена в основном управлению доступом к информации, то во второй нашли отражение все основные аспекты безопасности — конфиденциальность, целостность и доступность.

Администрирование средств безопасности

Администрирование средств безопасности предвидит работу в нескольких направлениях:

Ø Распространение актуальной информации, необходимой для работы средств безопасности.

Ø Сбор и анализ данных о функционировании механизмов безопасности. Администрирование локальных сетей в этом случае включает работу с информационной базой управления безопасностью. В обязанности аднимистартора в этом вопросе входят следующие задачи:

Ø Генерация и перераспределение ключей.

Ø Настройка и управление доступом к сети.

Ø Управление шифрованием при помощи соответствующих крипто параметров.

Ø Настройка и управление трафиком и маршрутизацией.

Ø Системный администратор также должен распространять информацию среди пользователей, которая необходима для успешной аутентификации (пароли, ключи и т.д.).

Ø Защита системы от вредоносных программ

В Microsoft Windows присутствует специальный Центр обеспечения информации, который отвечает за защиту системы от вредоносного программного обеспечения. Кроме того, операционная система также обладает функциями защиты от взлома и автоматическим обновлением всех данных. Несмотря на это, от системного администратора требуется выполнение дополнительных задач, нацеленных на защиту компьютерной сети:

ü Доступ к компьютеру с использованием различных ID устройств.

ü Установка запрета на запись информации на съемные диски.

ü Шифрование съемных носителей информации и др.

Администрирование сети являет собою действия, направленные на реализацию обеспечения политики безопасности, надежности и доступности информационных ресурсов сети. Для этих целей используются соответствующие программные и аппаратные средства, а на системного администратора возглашается ряд обязанностей и задач.

Управление доступом к файлам в ОС Windows NT. Списки прав доступа.

Система управления доступом в ОС Windows NT отличается высокой степенью гибкости, которая достигается за счет большого разнообразия субъектов и объектов доступа, а также за счет детализации операций доступа. Для разделяемых ресурсов в Windows NT применяется общая модель некоторого объекта, который содержит такие характеристики безопасности, как набор допустимых операций, идентификатор владельца, список управления доступом

Все объекты хранятся в древовидных иерархических структурах, элементами которых являются объекты-ветви (каталоги) и объекты-листья (файлы). Для объектов файловой системы такая схема отношений является прямым отражением иерархии каталогов и файлов. Для объектов других типов иерархическая схема отношений имеет свое содержание. Проверка прав доступа для объектов любого типа выполняется централизованно, с помощью монитора безопасности. Централизация функций контроля доступа повышает надежность средств защиты информации операционной системы по сравнению с распределенной реализацией, когда в различных модулях ОС имеются свои процедуры проверки прав доступа и вероятность ошибки программиста от этого возрастает.

Для системы безопасности Windows NT характерно наличие большого количества различных предопределенных (встроенных) субъектов доступа (как отдельных пользователей, так и групп). Таквсистемевсегдаимеютсятакиепользователи, как Administrator, System и Guest, атакжегруппы Users, Administrators, Account Operators, Server Operators, Everyone идр.Смысл этих встроенных пользователей и групп состоит в том, что они наделены некоторыми правами, облегчая администратору работу по созданию эффективной системы разграничения доступа. При добавлении нового пользователя администратору остается только решить, к какой группе или группам отнести этого пользователя администратор может создавать новые группы, а также добавлять права к встроенным группам для реализации собственной политики безопасности, но во многих случаях встроенных групп оказывается вполне достаточно. Windows NT поддерживает три класса операций доступа, которые отличаются типом субъектов и объектов, участвующих в этих операциях.

Права определяются для субъектов типа группа на выполнение некоторых системных операций: установку системного времени, архивирование файлов, выключение компьютера и т.п. В этих операциях участвует особый объект доступа — операционная система в целом.

В основном права отличают одну встроенную группу пользователей от другой. Некоторые права у встроенной группы являются также встроенными – их у данной группы нельзя удалить.

Остальные права встроенной группы можно удалять (или добавлять из общего списка прав).

Наиболее общий подход к защите файлов от несанкционированного использования — сделать доступ зависящим от идентификатора пользователя, то есть связать с каждым файлом или директорией список прав доступа, где перечислены имена пользователей и типы, разрешенных для них способов доступа к файлу.

Любой запрос на выполнение операции сверяется с таким списком. Основная проблема реализации данного способа — список может быть длинным. Чтобы разрешить всем пользователям читать файл, необходимо их всех внести в список.

Для решения этих проблем создают классификации пользователей, например, в ОС Unix все пользователи разделены на три группы.

ü Владелец (Owner).

ü Группа (Group). Hабор пользователей, разделяющих файл и нуждающихся в типовом способе доступа к нему.

ü Остальные (Univers).

Итак, файловая система представляет собой набор файлов, директорий и операций над ними. Имена, структуры файлов, способы доступа к ним и их атрибуты — важные аспекты организации файловой системы. Обычно файл представляет собой неструктурированную последовательность байтов. Главная задача файловой системы — связать символьное имя файла с данными на диске. Большинство современных ОС поддерживает иерархическую систему каталогов или директорий с возможным вложением директорий. Безопасность файловой системы, базирующаяся на ведении списков прав доступа, — одна из важнейших концепций ОС.

Дата добавления: 2018-08-06 ; просмотров: 203 ;

Администрирование сети — это что такое?

Современные технологии не стоят на месте, поэтому каждый год профессионалы придумывают различные новшества. До изобретения сетевых технологий все компьютеры работали независимо друг от друга и не могли взаимодействовать между собой. Однако по мере увеличения количества ПК появилась необходимость в их совместной работе. Особенно это касалось возможности одновременной работы нескольких человек с одним документом. Создание единой рабочей среды для огромного количества компьютеров стало возможным благодаря локальным и глобальным сетям. Но здесь также возникла необходимость в управлении рабочими процессами и реализации различных задач. За выполнение этих функций отвечает администрирование компьютерных сетей. Давайте постараемся разобраться в том, что оно собой представляет и какими особенностями обладает.

Определение

За выполнение каких задач отвечает сетевое администрирование?

Существуют единые общепринятые стандарты сетевого администрирования, согласно которым оно отвечает за выполнение следующих функций:

  1. Обеспечение работоспособности: поиск и устранение любых проблем, мешающих стабильной работоспособности сети.
  2. Управление конфигурацией: настройка параметров ОС и техническая модернизация компонентов системы.
  3. Аналитика функционирования сети: непрерывный контроль за использованием сетевых ресурсов.
  4. Управление производительностью: сбор статистики о функционировании сети за определенный временной интервал с целью рационализации использования сетевых ресурсов, а также снижения сопутствующих затрат.
  5. Обеспечение безопасности: организация доступа к сети и обеспечение надежного хранения всех данных.

Таким образом, администрирование сети — это своего рода менеджмент, только среди компьютеров. Чтобы выполнение задач происходило максимально эффективно, различные разработчики программного обеспечения выпускают утилиты, обладающие определенным набором инструментов, отвечающих за выполнение перечисленных выше функций.

Читать еще:  Анализ карт административно территориального деления страны

Что входит в обязанности администратора компьютерных сетей?

Администрирование сети включает в себя следующие задачи:

  • поддержка нормального функционирования электронных баз данных;
  • обеспечение стабильной работы сети;
  • предотвращение проникновения в сеть злоумышленников;
  • организация прав доступа пользователей к использованию сетевых ресурсов;
  • создание резервных копий информации;
  • организация и ведение учета по работе сети;
  • оптимизация рабочих процессов с целью повышения уровня производительности;
  • обучение пользователей работе в сети;
  • осуществление контроля за использованием ПО и препятствие его незаконной модификации;
  • контроль модернизации компьютерных сетей.

Помимо всего вышеперечисленного, системное администрирование сети также направлено на выявление слабых мест, через которые в сеть могут проникнуть посторонние пользователи, и информирование о них вышестоящее руководство.

Критерии разработки компьютерной сети

При разработке локальной сети необходимо учитывать следующие критерии:

  • предназначение сети;
  • тип системы и способ ее реализации;
  • количество компьютеров;
  • программное обеспечение;
  • политика безопасности.

На основании всех этих пунктов администрирование локальной сети позволяет организовать порядок действий, по которым и будет разрабатываться система.

Приблизительный перечень пунктов выглядит следующим образом:

  1. Отбор и тестирование ПО, а также контроль его работоспособности.
  2. Мониторинг работоспособности и уровня производительности ПК.
  3. Устранение ошибок и восстановление системы в случае сбоя.
  4. Контроль установки новой системы и проверка ее на предмет ее совместимости с существующей сетью.

Немаловажное значение при этом играет уровень профессионализма обслуживающего персонала и пользователей.

Утилиты для удаленного обслуживания сетей

На сегодняшний день существует огромное разнообразие таких утилит от различных разработчиков ПО. Они отличаются между собой своей функциональностью, набором инструментов и интерфейсом, который может быть графическим или консольным.

Наибольшей популярностью пользуются следующие программы для администрирования сети:

  • Windows Remote Desktop.
  • UltraVNC.
  • Apple Remote Desktop.
  • Remote Office Manager.

На рынке программного обеспечения доступны утилиты отечественного производства, но они менее функциональны по сравнению с зарубежными. Какая конкретно программа для администрирования локальной сети будет использована на предприятии во многом зависит от задач, которые стоят перед системными администраторами.

Классификация компьютерных сетей

Компьютерная сеть — это совокупность программных продуктов, аппаратных средств и средств коммуникации, отвечающих за удаленный доступ огромного количества пользователей к единой информационной базе.

Классификация компьютерных сетей выглядит следующим образом:

  • Локальные — позволяют совместно работать с данными нескольким пользователям, находящимся на незначительном расстоянии друг от друга. Стоит отметить, что скорость передачи информации по таким сетям одна из самых низких, в результате чего в процессе работы могут возникать задержки.
  • Глобальные — позволяют пользователям обмениваться данными на значительные расстояния, которые могут достигать нескольких тысяч километров. Обладают более стабильной работой и небольшими задержками.
  • Городские — менее масштабны, по сравнению с глобальными сетями. Позволяют передавать электронную информацию на средней и высокой скорости. Протяженность городских сетей может варьировать от одного до нескольких сотен километров.

Наиболее скоростными являются локальные сети, поскольку они, как правило, охватывают только одно или несколько зданий. В большинстве случаев этот тип сетей используется на средних и крупных компаниях, на которых необходима четкая организация взаимодействия между всеми сотрудниками.

Способы передачи информации в различных сетях

Также важно понимать, что локальные системы администрирования сетей обладают индивидуальными сетевыми адаптерами, при помощи которых и создается подключение к другим компьютерам. В случае с городскими сетями, вместо адаптеров используются коммутаторы. Глобальные сети создаются на базе маршрутизаторов, обладающих более высокой мощностью и передающие данные по каналам.

Как устроены компьютерные сети?

Любая компьютерная сеть, независимо от ее типа, состоит из следующих компонентов:

  • сетевое оборудование;
  • кабельная система;
  • средства коммутации;
  • программное обеспечение;
  • сетевые протоколы;
  • сетевые службы.

Стоит отметить, что этот принцип устройства компьютерных сетей является обобщенным, поскольку каждый компонент обладает очень сложной структурой и состоит из множества подуровней. Тем не менее все устройства находятся в тесном взаимодействии и работают по единому алгоритму. В свою очередь администрирование сетей Windows направлено на поддержание стабильной работы всех этих компонентов.

Задачи администрирования компьютерных сетей

Если администратор отвечает за обслуживание корпоративной сети, обладающей сложной структурой, то он отвечает за выполнение следующих задач:

  1. Планирование сети — адаптирование системы под конкретные нужды предприятия.
  2. Настройка сетевого оборудования на нормальную работу.
  3. Настройка сетевых служб — большие сети обладают набором определенных служб, отвечающих за доступ к файлам и каталогам, удаленную печать документов и многое другое.
  4. Поиск и устранение проблем — обнаружение различных неполадок и сбоев с программным или аппаратным обеспечением, и их решение.
  5. Установка, настройка и тестирование сетевых протоколов.
  6. Оптимизация сети и повышение уровня ее производительности.
  7. Мониторинг сетевых узлов и трафика.
  8. Обеспечение защиты электронных данных и конфиденциальной информации пользователей от системных сбоев, вредоносного ПО и незаконных действий со стороны третьих лиц, не имеющих права доступа к системе.

Чтобы система работала стабильно, администрирование локальной сети должно осуществляться комплексно.

Администрирование системы безопасности

  • Информирование пользователей о средствах безопасности.
  • Мониторинг работы механизмов безопасности.

Системный администратор в этом случае, отвечает за выполнение следующих задач:

  1. Создание и перераспределение защитных ключей.
  2. Настройка и управление правами доступа.
  3. Управление шифрованием данных.
  4. Контроль трафика и маршрутизации.

Помимо всего вышеперечисленного, администрирование социальных сетей также предполагает создание и распределение паролей, необходимых для аутентификации пользователей в системе.

Защита от вредоносного ПО

В операционной системе Windows реализована служба под названием «Центр обеспечения информации», отвечающая за обеспечение защиты системы от вредоносного ПО. Помимо этого, в ОС также присутствует возможность защиты от взлома.

Но несмотря на все эти возможности, на плечи системного администратора ложатся следующие задачи, направленные на повышение уровня безопасности компьютерных сетей:

  1. Удаленное подключение к ПК с различных ID.
  2. Блокирование возможности копирования информации на внешние накопители.
  3. Шифрование внешних источников хранения данных.

Это комплекс необходимых мер, без которых невозможно создать надежную систему безопасности компьютерных сетей.

Проблемы администрирования сетей

Системные администраторы в процессе своей работы сталкиваются со следующими проблемами:

  • определение причины возникновения сбоя или ошибки;
  • эффективное распределение ресурсов системы;
  • повышение эффективности работы пользователей;
  • улучшение процесса принятия решений.

Помимо этого, очень часто многие специалисты попадают в такую ситуацию, когда пользователь не может четко объяснить суть проблемы. Поэтому чтобы быстро устранить любую неисправность, системные администраторы должны обладать соответствующим уровнем квалификации.

Администрирование систем безопасности

3. ЗАДАЧИ АДМИНИСТРИРОВАНИЯ И ОСНОВНЫЕ СЛУЖБЫ

3.2. Служба управления безопасностью

3.2.1. Безопасность информационной системы

Безопасность информационной системы – свойство, заключающееся в способности системы обеспечить конфиденциальность и целостность информации, т.е. защиту информации от несанкционированного доступа с целью ее раскрытия, изменения или разрушения.

В соответствии с общепринятым современным подходом выделяют следующие аспекты информационной безопасности:

  • доступность (возможность за приемлемое время получить требуемую информационную услугу);
  • целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
  • конфиденциальность (защита от несанкционированного ознакомления).

Главная цель мер, предпринимаемых на административном уровне, состоит в том, чтобы сформировать программу работ в области повышения доступности информационных сервисов и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя фактическое состояние дел.

Читать еще:  Как локальному пользователю дать права администратора

Первым этапом выработки подобной программы является анализ угроз и рисков.

1. Угроза раскрытия — возможность того, что информация станет известной тому, кому не следовало бы ее знать.

2. Угроза целостности — умышленное несанкционированное изменение (модификация или удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую.

3. Угроза отказа в обслуживании — возможность появления блокировки доступа к некоторому ресурсу вычислительной системы.

Выделяют следующие классы отказов:

1. Отказ пользователей – возникает по следующим причинам:

  • нежелание работать с информационной системой;
  • невозможность работать с системой в силу отсутствия соответствующей подготовки;
  • невозможность работать с системой в силу отсутствия технической поддержки.

2. Внутренний отказ информационной системы– во зникает по следующим причинам:

  • отступление (случайное или умышленное) от установленных правил эксплуатации;
  • ошибки при (пере )к онфигурировании системы;
  • отказы программного и аппаратного обеспечения;
  • разрушение данных;
  • разрушение или повреждение аппаратуры.

3. Отказ поддерживающей инфраструктуры– во зникает по следующим причинам:

  • нарушение работы (случайное или умышленное) систем связи, электропитания, водоснабжения, кондиционирования;
  • разрушение или повреждение помещений;
  • невозможность или нежелание выполнения обслуживающим персоналом и/или пользователями своих обязанностей (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

3.2.2. Средства обеспечения информационной безопасности

Средства обеспечения информационной безопасности в зависимости от способа их реализации можно разделить на следующие классы методов:

— аппаратные методы, реализующие физическую защиту системы от несанкционированного доступа, аппаратные функции идентификации периферийных терминалов системы и пользователей, режимы подключения сетевых компонентов и т. д.

К техническим средствам физической защиты информации (ЗИ) относят механические, электронно-механические, электромеханические, оптические, акустические, лазерные, радио и радиционные и другие устройства, системы и сооружения, предназначенные для создания физических препятствий на пути к защищаемой информации и способные выполнять самостоятельно или в комплексе с другими средствами функции защиты информации.

— организационные методы подразумевают рациональное конфигурирование, организацию и администрирование системы. В первую очередь это касается сетевых информационных систем, их операционных систем, полномочий сетевого администратора, набора обязательных инструкций, определяющих порядок доступа и работы в сети пользователей;

— технологические методы, включающие в себя технологии выполнения сетевого администрирования, мониторинга и аудита безопасности информационных ресурсов, ведения электронных журналов регистрации пользователей, фильтрации и антивирусной обработки поступающей информации;

— программные методы — это самые распространенные методы защиты информации (например, программы идентификации пользователей, парольной защиты и проверки полномочий, брандмауэры, криптопротоколы и т. д.). Без использования программной составляющей практически невыполнимы никакие, в том числе и первые три группы методов (то есть в чистом виде организационные, технологические и аппаратные методы защиты, как правило, реализованы быть не могут — все они содержат программный компонент).

3.2.3. Типы защиты сети

Типы защиты сети можно разбить на четыре основные категории:

  • физическая безопасность;
  • защита пользователей;
  • защита файлов;
  • защита от вторжения извне.

Любому компьютеру, является ли он сервером в сети, рабочей станцией, ноутбуком или общедоступным терминалом в уличном киоске, необходимо обеспечить физическую защиту .

У защиты пользователя есть два аспекта:

  • предоставление пользователю доступа к тем ресурсам, в которых он нуждается;
  • не предоставлять (и даже не показывать) пользователю те ресурсы, которые ему не требуются для работы. К таким ресурсам относятся наиболее конфиденциальная информация компании и личные данные пользователей.

Управление доступом сводится к взаимному опознанию пользователя и системы и установлению факта допустимости использования ресурсов конкретным пользователем в соответствии с его запросом.

При обеспечении защиты файлов также имеется два аспекта:

  • управление доступом к файлу;
  • защита целостности файла.

Нарушитель, преднамеренно проникнувший в систему, может извлечь, изменить или уничтожить информацию в файлах. Поэтому необходим ввод некоторых ограничений на обработку файлов, содержащих важную информацию.

Защита от вторжения извне

Защита реализуется процедурами идентификации, установления подлинности и регистрации обращений.

Идентификация и подтверждение подлинности могут осуществляться в процессе работы неоднократно, чтобы исключить возможность входа в систему нарушителя, выдающего себя за истинного пользователя.

3.2.4. Модели администрирования сети и способы обеспечения безопасности

Администрирование сети можно организовать одним из четырех основных способов:

  • централизованно на всем предприятии;
  • по отделам или группам («распределенное» администрирование);
  • по операционным системам;
  • в виде сочетания предыдущих способов.

Модели администрирования небольших и крупных, сложных систем могут совпадать. Они будут отличаться масштабами, но не по сути.

В модели с централизованным администрированием один человек, группа или отдел занимается администрированием всей сети организации, ее пользователей и ресурсов. Главным и очень серьезным недостатком централизованной схемы является ее недостаточная масштабируемость и отсутствие отказоустойчивости. Производительность центрального компьютера всегда будет ограничителем количества пользователей, работающих с данным приложением, а отказ центрального компьютера приводит к прекращению работы всех пользователей.

Эта модель хорошо подходит небольшим и средним организациям, но может оказаться медленной и неэффективной для крупного или географически разбросанного предприятия. Однако с точки зрения безопасности централизованное администрирование является наилучшим. Оно гарантирует, что системная политика и процедуры являются однообразными для всей организации.

При распределенном администрировании управление сетью осуществляется на уровне отдела или рабочей группы. Хотя администрирование на этом уровне может быстро откликаться на нужды пользователей, часто это достигается за счет безопасности сети. При наличии нескольких администраторов политика администрирования в разных рабочих группах будет отличаться. Чем больше групп имеется в системе, тем больше доверительных отношений им требуется, что повышает возможность того, что в систему проникнет злоумышленник и воспользуется этими доверительными отношениями, чтобы добраться до совершенно секретной информации.

Администрирование по операционным системам

Когда администрирование домена производится по операционным системам, средства обеспечения безопасности значительно различаются в зависимости от используемых операционных систем. Например, если имеется свой администратор у сервера Windows N Т Server , свой — у сервера Novell Net Wаге и свой — у систем UNIX, то администратор каждой системы будет сам обеспечивать ее безопасность. Однако потребуется кто-то, кто будет разрешать различия во мнениях администраторов в случае возникновения проблем.

Смешанная модель администрирования

Смешанная модель администрирования сочетает элементы централизованной и распределенной моделей. Центральный администратор (или группа) гарантирует проведение политики безопасности на всем предприятии, а администраторы на уровне отделов или рабочих групп выполняют повседневную работу. При этом обычно требуется больше затрат на штат, чем может себе позволить небольшая организация, поэтому применение смешанной модели администрирования, как правило, ограничивается крупными предприятиями.

Политика безопасности должна исполняться во всей организации.

Соответствие самому строгому уровню безопасности вместе с применением множества средств обеспечения безопасности при условии, что система неаккуратно спроектирована и плохо управляется, может привести к неэффективности защиты и сложности использования системы по её прямому назначению. Необходимо помнить, что практически всегда повышение уровня безопасности системы требует увеличения времени и усилий администратора на управление им.

При построении системы защиты разумно придерживаться следующих принципов:

Актуальность. Защищаться следует от реальных атак, а не от фантастических или же архаичных.

Разумность затрат. Поскольку 100% защиты обеспечить нереально, необходимо найти тот рубеж, за которым дальнейшие траты на повышение безопасности превысят стоимость той информации, которую может украсть злоумышленник.

Ссылка на основную публикацию
Adblock
detector