Защита информации в компьютерных сетях

ИБ-аутсорсинг
на базе DLP-системы

СёрчИнформ КИБ
30 дней для тестирования ИБ-аутсорсинга ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Компьютерная сеть – самый распространенный на сегодня способ общения и обмена информацией. Всемирная паутина хранит гигабайты персональной информации о своих пользователях. А ПК и сервера в локальной сети – внутреннюю информацию компании. Эти данные нуждаются в защите от постороннего вмешательства.

Что такое информационная безопасность

Уровень защиты сетевых операционных систем позволяет сохранять данные, противостоять угрозам и атакам, несанкционированному доступу в сеть. Тем не менее говорить об исключительной, универсальной системе средств защиты информации не приходится. Возникают ситуации, когда она дает сбой, и устройства оказываются уязвимыми для проникновения.

Информационная безопасность заключается в обеспечении ряда факторов:

  • защищенности сведений от неавторизованного создания, частичной или полной потери;
  • конфиденциальности;
  • гарантии доступа для авторизованных пользователей.

В отдельных областях (банковской, финансовой, государственном управлении, оборонной и правоохранительной) требуется создание дополнительной, более надежной, системы обеспечения безопасности информации.

Защита информации в информационных сетях

Создаваемые масштабные компьютерные линии – локальные, корпоративные, телекоммуникационные – ставят задачу взаимодействия большого количества компьютеров, серверов, сетей и подсетей. Создается проблема определения наиболее эффективного метода защиты информации.

Системная топология, основанная на расположении межкомпьютерных связей, остается главным компонентом всех локальных и корпоративных сетей. Безопасность данных в компьютерных сетях достигается путем обработки критической информации. Этим термином обозначаются факторы, способствующие эффективному управлению основными структурными элементами сети и максимально полному выполнению стратегических задач любого уровня секретности (для личного, служебного пользования, коммерческая тайна либо интеллектуальная собственность физического или юридического лица).

Уязвимость большинства информационных сетей связана с кабельной системой. Есть данные, что именно она становится причиной сбоев и нарушений функционирования. Это необходимо учитывать уже на стадии проектирования сетевых связей.

Широкое распространение получили так называемые структурированные системы кабелей. Принцип их устройства – наличие однотипных проводов для передачи всех видов информации (цифровой, телефонной, видео, сигналов систем охраны).

Структурированность заключается в возможности разделить всю систему кабелей на ряд уровней по их назначению и наличию различных компонентов: внешней, администрирующей, аппаратной, магистральной, горизонтальной подсистем.

Внешняя подсистема из меди и оптоволокна включает устройства электрической защиты, заземления и устанавливает связи коммуникационной и обрабатывающей аппаратуры в помещении. Входят в нее и устройства контактов внешних и внутренних кабельных систем. Аппаратные нужны для размещения оборудования, обеспечивающего работу подсистемы администратора.

Основные проблемы в процессе защиты материалов

Решая вопрос защиты информации в корпоративных сетях, стоит обратить внимание на возможные перебои и нарушения в процессе доступа, способные уничтожить или исказить сведения.

Возможные проблемы, связанные с нарушением безопасности в компьютерных сетях, можно условно разделить на несколько типов: 

1. Нарушения работы системного оборудования: разрыв кабелей, перебои в электропитании, сбой в дисковой системе, нарушения функционирования серверов, сетевых карт, рабочих станций, системы архивации.

2. Уничтожение данных вследствие некорректной работы программного обеспечения: ошибки системы, заражение компьютерными вирусами.

3. Следствие несанкционированного доступа: пиратское копирование, устранение или фальсификация данных, работа посторонних с секретными материалами.

4. Неграмотное сохранение архивов.

5. Ошибки технического штата и пользователей сетевого ресурса: случайное искажение либо уничтожение информации, некорректное пользование программными продуктами.

В каждом из перечисленных случаев требуется устранить нарушения и усилить систему безопасности компьютерной сети.

Какими средствами можно защитить информацию 

Как показывает практика, неавторизованные пользователи либо программные продукты вирусного типа могут получить доступ даже к защищенным сетевым ресурсам. Для этого они должны иметь определенный опыт в сфере сетевого или системного программирования и желание подключиться к определенным файлам.

Для полной конфиденциальности разработаны дополнительные средства защиты информации:

  • Аппаратные (антивирусные программы, брандмауэры, сетевые экраны и фильтры, устройства шифрования протоколов).
  • Программные (сетевой мониторинг, архивация данных, криптография, идентификация и аутентификация пользователя, управление доступом, протокол и аудит).
  • Административные (ограничение доступа в помещения, разработка планов действий при ЧС и стратегии безопасности компании).

Любые из этих способов способны ограничить доступ вредоносных программ и файлов или полностью отказать в нем. Задача системных администраторов – выбрать наиболее актуальные. Для надежности барьера часто используют комбинацию нескольких видов защитных средств.

Архивирование и дублирование информации

Сохранить информацию в сети способна грамотная и надежная система архивации данных. Если сеть невелика, система архивации устанавливается в свободный слот сервера. Большие корпоративные сети лучше оснастить отдельным архивирующим сервером.

Такое устройство архивирует данные в автоматическом режиме и с заданной периодичностью представляет отчет. При этом управлять процессом резервного копирования можно, используя консоль системного администратора.

Возможно использование установки на архивирование сведений в связи с отсутствием на жестком диске какого-то количества свободного места или по причине сбоя «зеркального» диска сервера. Эта функция может быть подключена также в автоматическом режиме.
Как поставить барьер для вирусов

Распространение компьютерных вирусов в информационных сетях происходит с невероятной скоростью. Тысячи уже известных вредоносных программ регулярно пополняются сотнями новых. Самые доступные средства борьбы с ними – антивирусные программы.

Подобные программные пакеты способны перекрыть доступ к информации и решить проблему с зараженными файлами. Оптимальным для сохранения системных сведений будет использование комбинации программного и аппаратного барьера. Чаще всего это специализированные платы для борьбы с вирусами.

Защита данных от несанкционированного доступа

Вопрос защиты информации в компьютерной системе от неразрешенного входа связан с широким охватом информационного пространства глобальными телекоммуникационными сетями. Простейшие ошибки самих пользователей наносят более ощутимый вред, чем сбой в системе или поломка оборудования. Для предотвращения подобных ситуаций стоит разграничить пользовательские полномочия.

С этой целью используются встроенные программы операционных систем сети. Каналов утечки данных и возможностей несанкционированного входа десятки. Наиболее распространенные:

  • информация, оставшаяся после разрешенного запроса;
  • взлом системы защиты информации и копирование нужных файлов;
  • представление зарегистрированным пользователем;
  • имитация запроса системы;
  • программные ловушки;
  • несовершенства операционной системы;
  • неутвержденное подсоединение к сетевой аппаратуре;
  • взлом системы безопасности;
  • введение вирусов.

В целях полноценной защиты информации рекомендуется использовать целый ряд организационных и технических методов.

Организационные мероприятия заключаются, прежде всего, в ограничении доступности зданий и офисов, где проводится работа с информацией. Взаимодействовать с ней имеют право только аттестованные и проверенные специалисты. Все носители информации, журналы регистрации и учета необходимо хранить в закрытых сейфах. Стоит исключить возможность просмотра материалов посторонними через мониторы или принтеры. При передаче секретных сведений по каналам связи лучше использовать криптографическое кодирование. И, наконец, нужно следить за тем, чтобы все отработанные устройства и носители, содержащие ценные данные, были вовремя уничтожены.

К организационно-техническим средствам защиты можно отнести устройство независимого блока питания для системы обработки ценных файлов, оснащение входных дверей кодовыми замками и использование ЖК или плазменных дисплеев с высокочастотным излучением электромагнитных импульсов. Кроме того, отправляя оргтехнику в ремонт, нужно стереть все имеющиеся данные. Помещения, в которых происходит работа с секретными материалами, рекомендуется оборудовать стальными экранами.

Технические защитные средства включают в себя установку системы охраны операционных залов и организацию работы контрольно-пропускных пунктов. Нужно обеспечить контроль за возможностью проникновения в память ЭВМ, а также блокировку сведений и использование ключей.

Архитектура программного оборудования заключается в жестком контроле безопасности при вхождении в систему, регистрации в специальных книгах, контроле действий пользователей. Требуется установка системы реагирования (в том числе и звуковой) на проникновение в корпоративную сеть.

Для надежности систему безопасности и защиты данных необходимо регулярно тестировать, проверять готовность и работу всех ее элементов. Большое значение имеет и фиксация всех манипуляций, имеющих хоть какое-то отношение к системной защите.

Значительно повысить степень секретности возможно с помощью смарт-карт. Для этого сервер оборудуют устройством для их чтения. Входящий в систему пользователь вставляет в него карту и вводит индивидуальный код доступа. Весь процесс фиксирует служба охраны.

Механизмы достижения гарантированной безопасности

На сегодня разработаны и с успехом применяются различные методы защиты сведений. Самые актуальные и доступные из них:

1. Использование криптографии. Это применение шифра, позволяющего изменять содержимое файла, делая его нечитаемым. Узнать содержание возможно только посредством использования специальных ключей или паролей.

Для создания шифровки используются два взаимосвязанных понятия: алгоритм и ключ. Первое задает способ кодировки, второе помогает интерпретировать послание. Это просто и доступно без больших финансовых вложений. Один алгоритм может использоваться с несколькими ключами для разных получателей. К тому же при утрате секретности ключи можно сразу сменить, не нарушая алгоритма. Безопасность в таком случае связана только с ключами. 

Для достижения большего эффекта кодовые ключи можно делать длинными и сложными. Схемы шифровки две: симметричная (один ключ для отправителя и получателя) и асимметричная (ключ открытого доступа).

2. Применение электронно-цифровой подписи (ЭЦП). Она подтверждает личность отправителя, создается при помощи его личного ключа. Дополнительная степень сохранности ЭЦП – уникальный номер владельца.

3. Аутентификация пользователей. Пожалуй, основной способ защиты данных в сети. Для получения доступа к ресурсу пользователь должен подтвердить это право. Соответствующий сервер принимает запрос на использование ресурса и пересылает его серверу, отвечающему за аутентификацию. Только после получения положительного результата доступ будет открыт.

Одна из версий подтверждения личности – использование пароля. Это может быть любое секретное слово, которое вводится в начале работы с системой. В особых случаях сервер может запросить новый пароль на выходе. Причем они могут быть разными.

Брешь возможна, если секретным словом завладеет кто-то другой. Для предотвращения подобного пароли лучше делать разовыми. Даже перехваченное кодовое слово будет бесполезным при следующем сеансе. Генерировать пароли можно при помощи программ или специальных устройств, вставляемых в слот компьютера.

4. Защита информации внутри корпоративной сети. Сетевые системы корпораций, как правило, подключены к Всемирной паутине. Это создает дополнительные возможности, но и делает систему безопасности уязвимой. Для защиты материалов во внутренней сети нужны брандмауэры (межсетевые экраны), способные разделить трафик на несколько потоков и обозначить условия обмена данными из одного потока в другой. Брандмауэр анализирует проходящий трафик и, проверяя каждый пакет данных, решает – пропускать его или нет. Для этого формируется алгоритм работы программы, где прописаны правила и порядок прохождения данных. 

Брандмауэры реализуются аппаратными способами (как специализированный физический элемент) либо в виде отдельной программы, установленной на компьютере. Для обеспечения безопасного функционирования межсетевого экрана в систему, отвечающую за его функционал, регулярно вносятся корректировки. Возможности входа для рядовых пользователей в эту программу нет, он доступен только для системного администратора.  

Брандмауэр состоит из нескольких компонентов, в том числе фильтров либо экранирующих устройств для блокирования части трафика. Можно выделить два вида подобных программных элементов:

  • прикладные – блокирующие доступ к отдельным сетевым ресурсам;
  • пакетные – фильтрующие информационные блоки с помощью маршрутизаторов.

В итоге весь трафик, исходящий из внешней системы во внутреннюю и обратно, проходит через систему брандмауэра. Только данные, соответствующие стратегии обеспечения безопасности, достигают адресата.

07.11.2019

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними