Защита информации в компьютерных сетях

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде. 

4.2. Электронная подпись. 

Если  послание, безопасность которого мы хотим  обеспечить, должным образом зашифровано, всё равно остаётся возможность модификации исходного сообщения или подмены этого сообщения другим. Одним из путей решения этой проблемы является передача пользователем получателю краткого представления передаваемого сообщения. Подобное краткое представление называют контрольной суммой, или дайджестом сообщения.

Контрольные суммы используются при создании резюме фиксированной длины для представления длинных сообщений. Алгоритмы расчёта контрольных сумм разработаны так, чтобы они были по возможности уникальны для каждого сообщения. Таким образом, устраняется возможность подмены одного сообщения другим с сохранением того же самого значения контрольной суммы.

Однако  при использовании контрольных сумм возникает проблема передачи их получателю. Одним из возможных путей её решения является включение контрольной суммы в так называемую электронную подпись.

При помощи электронной подписи получатель может убедиться в том, что полученное им сообщение послано не сторонним лицом, а имеющим определённые права отправителем. Электронные подписи создаются шифрованием контрольной суммы и дополнительной информации при помощи личного ключа отправителя. Таким образом, кто угодно может расшифровать подпись, используя открытый ключ, но корректно создать подпись, может только владелец личного ключа. Для защиты от перехвата и повторного использования подпись включает в себя уникальное число – порядковый номер. 

4.3. Аутентификация. 

Аутентификация является одним из самых важных компонентов организации защиты информации в сети. Прежде чем пользователю будет предоставлено право получить тот или иной ресурс, необходимо убедиться, что он действительно тот, за кого себя выдаёт.

При получении  запроса на использование ресурса от имени какого-либо пользователя сервер, предоставляющий данный ресурс, передаёт управление серверу аутентификации. После получения положительного ответа сервера аутентификации пользователю предоставляется запрашиваемый ресурс.

При аутентификации используется, как правило, принцип, получивший название “что он знает”, - пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос. Одной из схем аутентификации является использование стандартных паролей. Пароль – совокупность символов, известных подключенному к сети абоненту, - вводится им в начале сеанса взаимодействия с сетью, а иногда и в конце сеанса. Эта схема является наиболее уязвимой с точки зрения безопасности – пароль может быть перехвачен и использован другим лицом. Чаще всего используются схемы с применением одноразовых паролей. Даже будучи перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить следующий пароль из предыдущего является крайне трудной задачей. Для генерации одноразовых паролей используются как программные, так и аппаратные генераторы, представляющие собой устройства, вставляемые в слот компьютера. Знание секретного слова необходимо пользователю для приведения этого устройства в действие.

Одной из наиболее простых систем, не требующих  дополнительных затрат на оборудование, но в то же время обеспечивающих хороший уровень защиты, является S/Key, на примере которой можно продемонстрировать порядок представления одноразовых паролей.

В процессе аутентификации с использованием S/Key участвуют две стороны – клиент и сервер. При регистрации в системе, использующей схему аутентификации S/Key, сервер присылает на клиентскую машину приглашение, содержащее зерно, передаваемое по сети в открытом виде, текущее значение счётчика итераций и запрос на ввод одноразового пароля, который должен соответствовать текущему значению счётчика итерации. Получив ответ, сервер проверяет его и передаёт управление серверу требуемого пользователю сервиса. 

4.4. Защита сетей (брандмауэр). 

В последнее  время корпоративные сети всё  чаще включаются в Интернет или даже используют его в качестве своей основы. Учитывая то, какой урон может принести незаконное вторжение в корпоративную сеть, необходимо выработать методы защиты. Для защиты корпоративных информационных сетей используются брандмауэры. Брандмауэры  - это  система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и INTERNETOM, хотя её можно провести и внутри. Однако защищать отдельные компьютеры невыгодно, поэтому обычно защищают всю сеть. Брандмауэр пропускает через себя весь трафик и для каждого проходящего пакета принимает решение – пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения,  для него определяется набор правил.

Брандмауэр  может быть реализован как аппаратными средствами (то есть как отдельное физическое устройство), так и в виде специальной программы, запущенной на компьютере.

Как правило, в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых  – повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь разделов пользователей, а следовательно, и потенциальных дыр – только раздел администратора. Некоторые брандмауэры  работают только в однопользовательском режиме, а многие имеют систему проверки целостности программных кодов.

Брандмауэр  обычно состоит из нескольких различных компонентов, включая фильтры или экраны, которые блокируют передачу части трафика.

Все брандмауэры  можно разделить на два типа:

     · пакетные фильтры, которые осуществляют фильтрацию IP-пакетов средствами фильтрующих маршрутизаторов;

     · серверы прикладного уровня, которые блокируют доступ к определённым сервисам в сети.

     Таким образом, брандмауэр можно определить как набор компонентов или систему, которая располагается между двумя сетями и обладает следующими свойствами:

     · весь трафик из внутренней сети во внешнюю и из внешней сети во внутреннюю должен пройти через эту систему;

     · только трафик, определённый локальной стратегией защиты, может пройти через эту систему;

     · система надёжно защищена от проникновения. 

     5. Законодательные основы компьютерной безопасности 

Уголовный кодекс РФ, введенный в действие с 1 января 1997 года, содержит главу "Преступления в сфере компьютерной информации". Уголовно-правовая защита компьютерной информации в российском уголовном законодательстве введена впервые. Ранее также предпринимались попытки совершенствования законодательства в этой области, но они касались авторских    компьютерные программы и незаконного их распространения. Однако все попытки принять поправки к УК до 1997 года оказывались неудачными. Основная проблема нового законодательства была в том, что машинная информация не отвечает формальным критериям предмета преступлений против собственности. Все компьютерные преступления условно можно подразделить на две большие группы - преступления, нарушающие работу компьютеров, и, преступления, использующие ПК как необходимые технические средства. Рассмотрим основные виды "компьютерных преступлений". 
 
 
 

     6.Заключение 

     В заключение стоит отметить, что в  такой маленькой статье невозможно даже самым общим образом охватить весь спектр вопросов, возникающих  при рассмотрении проблемы защиты информации, и весь спектр ответов на них, найденных  на сегодняшний день. Хочется сказать, что ни одна, самая совершенная система защиты, со всевозможными комплексными решениями, не может дать стопроцентной гарантии на безопасность данных. Ведь люди, разработавшие систему защиты, знают все слабые места в ней. А как показывает опыт, что бы ни сделал человек, в этом всегда найдутся слабые стороны, ведь все предусмотреть нельзя. Проблем обеспечения технической безопасности еще очень много. Но риск можно свести к минимуму, используя комплексные подходы, о которых мы и говорили в этой статье. 

     7. Список литературы  

    1. Информатика: Базовый курс / С.В. Симонович и др. – СПб.: Питер, 2002. – 640с.:ил.

    2. Острейковский В.А. Информатика: Учеб. пособие для студ. сред. проф. учеб. заведений. – М.: Высш. шк., 2001. – 319с.:ил.

    3. Защита информации в компьютерных сетях [Электронный ресурс] / Компьютерные сети. –  Режим доступа:  http://5ballov.qip.ru/referats/preview/41496/?referat-zaschita-informatsii-v-kompyuternyih-setyah

    4. Контрольная работа: методы и средства защиты информации от несанкционированного доступа[Электронный ресурс]. – Режим доступа: http://www.bestreferat.ru/referat-211185.html

    5. Методы и средства защиты информации. [Электронный ресурс]. – Режим доступа: http://library.fentu.ru/book/iu/11/____3.html

    6. Информатика. Базовый курс. 2-е издание / Под ред. С.В. Симоновича. – СПБ.: Питер, 2008. – 640 с.: ил

    7. Криптографические средства защиты информации. [Электронный ресурс]. – Режим доступа: http://infosecmd.narod.ru/gl5.html

    8. Правовые основы обеспечения информационной безопасности. [Электронный ресурс]. – Режим доступа: http://asher.ru/security/book/its/03- и

      9. Лекция №9. Защита информации в локальных сетях. [Электронный ресурс]. Интернет университет. – Режим доступа: http://www.intuit.ru/department/network/baslocnet/9/