Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
В- 93 Принципы защиты информации. Виды угроз информации
Сформулировано три базовых принципа информационной безопасности:
- обеспечение целостности данных - защита от сбоев, ведущих к потере информации или ее уничтожения;
- обеспечение конфиденциальности информации;
- обеспечение доступности информации для авторизованных пользователей.
Существуют угрозы потери или нежелательному изменению информации при сбоях и несанкционированности доступа. Это могут быть сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и т.д.), потери информации (из-за инфицирования компьютерными вирусами, неправильного хранения архивных данных, нарушений прав доступа к данным), некорректная работа пользователей и обслуживающего персонала. Эти нарушения вызвали необходимость создания различных видов защиты информации. Их можно разделить на три класса:
- средства физической защиты;
- программные средства (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа);
- административные меры защиты (доступ в помещения, разработка стратегий безопасности фирмы)
Одним из средств физической защиты являются системы архивирования и дублирования информации. В локальных сетях, где установлены один-два сервера, чаще всего система устанавливается непосредственно в свободные слоты серверов. В крупных корпоративных сетях предпочтение отдается выделенному специализированному архивационному серверу, который автоматически архивирует информацию с жестких дисков серверов и рабочих станций в определенное время, установленное администратором сети, выдавая отчет о проведенном резервном копировании. Наиболее распространенными моделями архивированных серверов являются Storage Express System корпорации Intel ARCserve for Windows.
Для борьбы с компьютерными вирусами наиболее часто применяются антивирусные программы, реже - аппаратные средства защиты. Однако, в последнее время наблюдается тенденция к сочетанию программных и аппаратных методов защиты. Среди аппаратных устройств используются специальные антивирусные платы, вставленные в стандартные слоты расширения компьютера. Корпорация Intel предложила перспективную технологию защиты от вирусов в сетях, суть которой заключается в сканировании систем компьютеров еще до их загрузки. Кроме антивирусных программ, проблема защиты информации в компьютерных сетях решается введением контроля доступа и разграничением полномочий пользователя. Для этого используются встроенные средства сетевых операционных систем, крупнейшим производителем которых является корпорация Novell. В системе, например, NetWare, кроме стандартных средств ограничения доступа (смена паролей, разграничение полномочий), предусмотрена возможность кодирования данных по принципу "открытого ключа" с формированием электронной подписи для передаваемых по сети пакетов.
Однако, такая система защиты слабомощна, т.к. уровень доступа и возможность входа в систему определяются паролем, который легко подсмотреть или подобрать. Для исключения неавторизованного проникновения в компьютер ную сеть используется комбинированный подход - пароль + идентификация пользователя по персональному "ключу". "Ключ" представляет собой пластиковую карту (магнитная или со встроенной микросхемой - смарт-карта) или различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т.д. Серверы и сетевые рабочие станции, оснащенные устройствами чтения смарт-карт и специальным программным обеспечением, значительно повышают степень защиты от несанкционированного доступа.
Смарт-карты управления доступом позволяют реализовать такие функции, как контроль входа, доступ к устройствам ПК, к программам, файлам и командам. Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos, в основу которой входят три компонента:
- база данных, которая содержит информацию по всем сетевым ресурсам, пользователям, паролям, информационным ключам и т.д.;
- авторизационный сервер (authentication server), задачей которого является обработка запросов пользователей на предоставление того или иного вида сетевых услуг. Получая запрос, он обращается к базе данных и определяет полномочия пользователя на совершение определенной операции. Пароли пользователей по сети не передаются, тем самым, повышая степень защиты информации;
- Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера "пропуск" с именем пользователя и его сетевым адресом, временем запроса, а также уникальный "ключ". Пакет, содержащий "пропуск", передается также в зашифрованном виде. Сервер выдачи разрешений после получения и расшифровки "пропуска" проверяет запрос, сравнивает "ключи" и при тождественности дает "добро" на использование сетевой аппаратуры или программ.
В настоящее время разработаны специальные устройства контроля доступа к вычислительным сетям по коммутируемым линиям. Примером может служить, разработанный фирмой AT&T модуль Remote Port Securiti Device (PRSD), состоящий из двух блоков размером с обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют устанавливать несколько уровней защиты и контроля доступа:
- шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей;
- контроль доступа с учетом дня недели или времени суток.
Прямое отношение к теме безопасности имеет стратегия создания резервных копий и восстановления баз данных. Обычно эти операции выполняются в нерабочее время в пакетном режиме. В большинстве СУБД резервное копирование и восстановление данных разрешаются только пользователям с широкими полномочиями (права доступа на уровне системного администратора, либо владельца БД), указывать столь ответственные пароли непосредственно в файлах пакетной обработки нежелательно. Чтобы не хранить пароль в явном виде, рекомендуется написать простенькую прикладную программу, которая сама бы вызывала утилиты копирования/восстановления. В таком случае системный пароль должен быть "зашит" в код указанного приложения. Недостатком данного метода является то, что всякий раз при смене пароля эту программу следует перекомпилировать.
В-95. Локальные сети. Глобальные сети. Основные сведения о сетях. Компоненты сетей. Категории сетей
Сети бывают двух видов - локальные и глобальные. Локальные сети характеризуются размещением средств вычислительной техники на ограниченной территории (в пределах одного здания), высокой скоростью обмена информации, низкой стоимостью дополнительного оборудования. Глобальные сети практически не имеют ограничений по территории размещения, связь между ЭВМ производится по различным каналам связи (телефонным, телеграфным, космическим и т.д.), обмен информацией имеет сравнительно невысокую скорость и является сравнительно дорогим. В качестве примера глобальных сетей можно назвать сети RELCOM, INTERNET, корпоративные сети (банковские сети Swift, Sprint, сеть Госкомстата РФ и др.).
В последнее время идет интенсивное развитие и внедрение корпоративных сетей, например межбанковские сети, представляющие услуги по переводу платежей, информационному обеспечению и управлению активами. Самой крупной и распространенной в мире сетью финансовых сообщений является сеть Swift.
В-95. Локальные сети. Глобальные сети. Основные сведения о сетях. Компоненты сетей. Категории сетей.
Комп. сетью наз-ся система объединенных между собой компьютеров и других устройств, к-рые наз-ся узлами (рабочими станциями) сети. Все компьютеры, входящие в сеть, тем или иным образом объединены между собой и могут обмениваться информацией. На узлах сети работает программное обеспечение, к-рое обеспечивает инициализацию, обслуживание и администрирование сети.
Компоненты сети:
Программные компоненты сети:
Аппраратное обесп-е и соответствующее программное обесп-е позволяют организовать взаимодействие и обмен данными между рабочими станциями или узлами. Это взаимодействие может быть как прямым ( непосредственно от одного узла к другому), так и косвенным ( через сервер или другую раб. станцию)
Для передачи инф-ции между узлами используют спец-е соед-я. Это могут быть как физическая среда- медный кабель, оптоволокно, а может быть инфракрасное излучение, электромагнитные волны. Пользователи, работающие на одном из узлов сети имеют доступ ко всем ресурсам других узлов, если это не запрещено политикой безопасности, где каждому пользователю присваивается свое имя и набор прав для работы с прикладными программами и операц. с-мой.
Категории сетей:
- однополосные без модуляции
- с модуляцией на одной полосе несущей
- широкополосные сети- модулируемые
2) Размер. Территориалтный или административный уровень, на к-рые могут подразделяться сети.
-LAN- сеть – локальная сеть, состоящая из компьютеров, огрниченных внутри одного помещения в пределах территории малого радиуса и базирующаяся на одном типе среды передачи данных. Функционально данная сеть состоит из группы копьютеров, взаимосвязанных для возможности совместного использования файлов, ресурсов. Существуют как проводные, так и беспроводные (LAWN) лок. вычислит. сети(микроволны, инфракрасн. лучи)
-WAN – территориально распределенная сеть
-MAN- сети уровня города
-CAN- сети, к-рые объед-ют между собой небольшие города, районная сеть
-DAN- сети отдела какого- либо предприятия, университета
- GAN- глобальные вычислительные сети. Это объединение огромного числа сетей, к-рыке выходят за рамки не только области, но и гос-ва, даже материка. Большинство таких сетей наилучшим образом подходят для организации архитектуры интерсети, состоящей из разнесенных, территориально распределенных сетей огромных размеров.
3) Типы узлов. Существуют сетевые узла ПК, миникомпьютеров, mainfreim
4) Топология: физическая(шина, кольцо) и логическая(кольцо, звезда, шина). Логическая рассматривает способ передачи данных по сетям, а физическая- физическое размещение включает в себя схему монтажа, по к-рой узлы подключены.
5) Архитектура. Определяется используемой кабельной системой, методом доступа к сети, форматом пакетов передаваемой инф-ции: Изернет, FDDI, Token Ring.
6) Возможность доступа. Здесь учитываются экстремальные случаи совместного использования среды передачи данных, при к-ром лишь один узел может иметь одновременный доступ к среде сети. В отличие от этого сетевая коммутация позволяет многочисленным узлам одновременно использовать сеть.
В-96. Классификация сетей.
По размеру:
Территориалтный или административный уровень, на к-рые могут подразделяться сети.
1)-LAN- сеть – локальная сеть, состоящая из компьютеров, огрниченных внутри одного помещения в пределах тер-рии малого радиуса и базирующаяся на одном типе среды передачи данных.
2)-WAN – территориально распределенная сеть
3)-MAN- сети уровня города
4)-CAN- сети, к-рые объед-ют между собой небольшие города, районная сеть
5)-DAN- сети отдела какого- либо предприятия, университета
6)- GAN- глобальные вычислительные сети. Это объединение огромного числа сетей, к-рыке выходят за рамки не только области, но и гос-ва, даже материка. Большинство таких сетей наилучшим образом подходят для организации архитектуры интерсети, состоящей из разнесенных, территориально распределенных сетей огромных размеров.
7) Сети корпорации( от расположенных в одном помещении до транснациональных)
По возможности передачи сообщений
Узкополосные и широкополосные
Полудуплексные и полнодуплексные
По скорости передачи данных
По взаимодействию между узлами
По типам узлов:
По топологии:
1) физическая – как физически соединены компьютеры (шина , кольцо, звезда)
2) логическая – способ передачи данных по сетям (шина и кольцо)
По возможности доступа:
- сети с коммутацией пакетов
- сети с коммутацией сообщений
- сети с коммутацией пакетов
По архитектуре
Различные сетевые архитектуры отличаются друг от друга типом используемых кабелей(коаксиальный, витая пара, оптоволокно), методами доступа, форматом передаваемого по сети пакета данных, а так же топологией
В-97 Эталонная модель взаимодействия открытых систем (OSI reference model) Инкапсуляция данных
Эталонная модель "Взаимодействие Открытых Систем" (OSI), выпущенная в 1984 г. помогает поставщикам создавать реализации взаимодействующих сетей. Эталонная модель OSI стала основной архитектурной моделью для передачи межкомпьютерных сообщений.
|
7 Прикладной |
|
6 Представления данных |
|
5 Сеансовый |
|
4 Транспортный |
|
3 Сетевой |
|
2 Канальный |
|
1 Физический |
Каждый уровень является разумно самодостаточным, так что задачи, отнесённые к каждому из уровней, могут быть выполнены независимо. Это позволяет обновлять решения, предлагаемые одним уровнем, без неблагоприятного влияния на другие уровни. Следующий список детализирует семь уровней эталонной модели OSI:
Справочная модель OSI описывает, каким образом информация проделывает путь через среду сети (например, провода) от одной прикладной программы (например, программы обработки крупноформатных таблиц) до другой прикладной программы, находящейся в другом компьютере. Т.к.информация, которая должна быть отослана, проходит вниз через уровни системы, по мере этого продвижения она становится все меньше похожей на человеческий язык и все больше похожей на ту информацию, которую понимают компьютеры, а именно "единицы" и "нули".
Характеристики уровней OSI Семь уровней эталонной модели OSI могут быть разделены на две категории: высшие уровни и низшие уровни.
|
Прикладной |
Прикладной |
|
Представления данных |
|
|
Сеансовый |
|
|
Транспорт данных |
Транспортный |
|
Сетевой |
|
|
Канальный |
|
|
Физический |
Высшие уровни OSI модели работают с прикладными задачами и в общем выполняются только программно. Наивысший уровень, прикладной, является ближайшим к конечному пользователю. Процессы, как пользовательские, так и прикладного уровня взаимодействуют с программными приложениями, которые содержат коммуникационный компонент. Термин "высший слой" иногда употребляется для обозначения любого уровня OSI модели, высшего по отношению к предыдущему.
Низшие уровни OSI модели имеют дело с задачами транспорта данных. Физический и канальный уровни исполняются и аппаратно, и программно. Другие низшие уровни в общем реализуют только программно. Наинизший уровень, физический, является ближайшим к физической среде сети (сетевые кабели, например, отвечают за фактическое помещение информации в среду сети).
Модель OSI обеспечивает принципиальную основу коммуникаций между компьютерами, но сама по себе не является методом коммуникаций. Настоящие коммуникации становятся возможными посредством использования протоколов связи. В контексте сетей передачи данных протокол – это формальный набор правил и соглашений, которые определяют, как компьютеры обмениваются информацией через сетевую среду. Протокол выполняет функции одного или более уровней OSI. Существует широкое разнообразие протоколов связи, но они все склоняются к попаданию в одну из следующих групп: протоколы LAN, протоколы WAN, сетевые протоколы и протоколы маршрутизации. Протоколы LAN оперируют на физическом и канальном уровнях модели OSI и определяют комуникации через различные среды LAN. Протоколы WAN оперируют на трёх низших уровнях модели OSI и определяют коммуникации через различные распределённые среды. Протоколы маршрутизации являются протоколами сетевого уровня, которые ответственны за определение пути и коммутацию потока. Наконец, сетевые протоколы – это разнообразные протоколы высших уровней, которые существуют в данном наборе протоколов.
Уровни OSI модели и обмен информацией
Семь уровней OSI используют разнообразные формы управляющей информации для взаимодействия с равными им уровнями в других компьютерных системах. Эта управляющая информация состоит из специфических запросов и команд, обмен которыми происходит между равными OSI-уровнями.
Управляющая информация принимает одну из двух типичных форм: заголовки и шлейфы. Заголовки предваряют данные, пришедшие из вышестоящего уровня, тогда как шлейфы добавляются в конец к этим данным. От OSI-уровня не требуется присоединять заголовок или шлейф к данным из вышестоящих уровней.
Заголовки, шлейфы и данные являются относительными понятиями, зависящими от уровня, на котором анализируется единица информации. На сетевом уровне, например, единица информации состоит из заголовка Уровня 3 и данных. На канальном уровне, однако, вся информация, отправленная сетевым уровнем (заголовок Уровня 3 и данные), трактуется, как данные.
Другими словами, данные в единице информации выбранного OSI-уровня потенциально могут содержать заголовки, шлейфы и данные всех вышестоящих уровней. Это называется инкапсуляцией.
Уровни OSI.
Прикладной уровень - это самый близкий к пользователю уровень OSI. Он идентифицирует и устанавливает наличие предполагаемых партнеров для связи, синхронизирует совместно работающие прикладные программы, а также устанавливает соглашение по процедурам устранения ошибок и управления целостностью информации. Прикладной уровень также определяет, имеется ли в наличии достаточно ресурсов для предполагаемой связи.
Представительный уровень отвечает за то, чтобы информация, посылаемая из прикладного уровня одной системы, была читаемой для прикладного уровня другой системы. При необходимости представительный уровень осуществляет трансляцию между множеством форматов представления информации путем использования общего формата представления информации. Кроме трансформации формата фактических данных (если она необходима), представительный уровень согласует синтаксис передачи данных для прикладного уровня.
Сеансовый уровень устанавливает, управляет и завершает сеансы взаимодействия между прикладными задачами, синхронизирует диалог между объектами представительного уровня и управляет обменом информации между ними, предоставляет средства для отправки информации, класса услуг и уведомления в исключительных ситуациях о проблемах сеансового, представительного и прикладного уровней.
Транспортный уровень пытается обеспечить услуги по транспортировке данных, которые избавляют высшие слои от необходимости вникать в ее детали. Транспортный уровень обеспечивает механизмы для установки, поддержания и упорядоченного завершения действия виртуальных каналов, систем обнаружения и устранения неисправностей транспортировки и управления информационным потоком (с целью предотвращения переполнения системы данными из другой системы).
Сетевой уровень - это комплексный уровень, который обеспечивает возможность соединения и выбор маршрута между двумя конечными системами, подключенными к разным "подсетям", которые могут находиться в разных географических пунктах. В данном случае "подсеть" - это по сути независимый сетевой кабель (иногда называемый сегментом).
Канальный уровень обеспечивает надежный транзит данных через физический канал, решает вопросы физической адресации (в противоположность сетевой или логической адресации), топологии сети, линейной дисциплины (каким образом конечной системе использовать сетевой канал), уведомления о неисправностях, упорядоченной доставки блоков данных и управления потоком информации.
Физический уровень определяет электротехнические, механические, процедурные и функциональные характеристики активации, поддержания и дезактивации физического канала между конечными системами. Спецификации физического уровня определяют такие характеристики, как уровни напряжений, синхронизацию изменения напряжений, скорость передачи физической информации, максимальные расстояния передачи информации, физические соединители и другие аналогичные характеристики.