ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
    		•
     
    Бесплатные рефераты
     

     

     

     

     

     
         
     
    Побудова локальної обчислювальної мережі підрозділу організації під керуванням операційної системи Windows NT
         

     
    Інформатика, програмування


    Зміст

    ВСТУП

    У даному дипломному проекті розглядається проблема побудовилокальної обчислювальної мережі підрозділу організації під управліннямопераційної системи Windows NT.

    Реалізація запропонованого проекту дозволить скоротити паперовийдокументообіг всередині підрозділу, підвищити продуктивність праці,скоротити час на обробку інформації.

    Але об'єднання комп'ютерів в локальну обчислювальну мережупривносить і нові труднощі. Так як підрозділ веде роботу із закритоюінформацією, доступ до якої стороннім особам строго заборонений, товиникає проблема захисту інформації в ЛОМ.

    Локальна обчислювальна мережа повинна бути спроектована такимчином, щоб забезпечити належну ступінь захищеності даних. Требапам'ятати, що від цього не повинно страждати зручність для користувачів таадміністраторів мережі.

    ЛОМ підрозділу управляється операційною системою Windows NT.
    Передбачається провести дослідження вбудованих можливостей цієї ОС позахист інформації від несанкціонованого доступу. На основі проведеногоаналізу зробити висновки і вибрати додаткові кошти, що підвищуютьступінь захисту даних.

    1.ФУНКЦІОНАЛЬНАЯ СХЕМА Локальні обчислювальні мережі


    1.1.Організаціонно-штатна структура підрозділу

    Розглянемо організаційно-штатну структуру підрозділу.

    На чолі підрозділу стоїть начальник підрозділу.

    До складу підрозділу входять 3 відділення, а такожспеціалізований відділ прямого підпорядкування начальнику.

    Кожне відділення ділиться на 2 відділи.

    Кожен відділ, у свою чергу поділяється на 3 сектору.

    Все вищесказане ілюструє рис. 1.1.

    Всього в підрозділі задіяно 60 чоловік, якимпередбачається виділити у користування персональний комп'ютер.

    Ріс.1.1.Організаціонная структура підрозділу.

    1.2.Інформаціонние потоки в мережі підрозділу

    На ріс.1.2 представлена схема інформаційних потоків уданому підрозділі.

    Ріс.1.2. Схема інформаційних потоків ЛВС

    Найбільш детально показані інформаційні потоки в межах одногосектора (для прикладу взято 1-ий сектор). В інших секторах картина потоківінформації аналогічна.

    1.3.Логіческая організація мереж Windows NT


    1.3.1.Понятіе домену та зв'язку довіри

    Основним елементом централізованого адміністрування в Windows NT
    Server є домен. Домен - це група серверів, що працюють підуправлінням Windows NT Server, що функціонує, як одна система. Всісервери Windows NT в домені використовують один і той же набір облікових картоккористувача, тому достатньо заповнити облікову картку користувачатільки на одному сервері домену, щоб вона розпізнавалися всіма серверамицього домену.

    Зв'язки довіри - це зв'язки між доменами, які допускаютьнаскрізну ідентифікацію, при якій користувач, що має єдинуоблікову картку в домені, отримує доступ до цілої мережі. Якщо домени тазв'язку довіри добре сплановані, то всі комп'ютери Windows NT розпізнаютькожну облікову картку користувача і користувачеві потрібно буде ввестипароль для входу в систему лише один раз, щоб потім мати доступ добудь-якого сервера мережі [1].


    1.3.2.Домени: основні адміністративні блоки

    Групування комп'ютерів у домени дає дві важливих перевагимережевим адміністраторам і користувачам. Найбільш важливе - сервери доменускладають (формують) єдиний адміністративний блок, спільно використовуєслужбу безпеки та інформацію облікових карток користувача. Кожендомен має одну базу даних, яка містить облікові картки користувача ігруп, а також настановні параметри політики безпеки. Всі серверидомену функціонують або як первинний контролер домену, або якрезервний контролер домену, що містить копію цієї бази даних. Цеозначає, що адміністраторам потрібно управляти тільки однієї обліковоїкарткою для кожного користувача, і кожен користувач повиненвикористовувати (і пам'ятати) пароль тільки однієї облікової картки. Розширюючиадміністративний блок з єдиного комп'ютера на цілий домен, Windows NT
    Server зберігає зусилля адміністраторів і час користувачів.

    Друга перевага доменів зроблено для зручності користувачів:коли користувачі дивляться мережу в пошуках доступних ресурсів, вонибачать мережу, згруповану у домени, а не розкидані по всій мережісервери та принтери [1].


    1.3.3.Связі довіри

    Встановлюючи зв'язок довіри між доменами мережі, ми дозволяємовикористовувати облікові картки користувача і глобальних груп одного доменув інших доменах. Домен полегшує адміністрування, оскільки потрібностворити облікову картку для кожного користувача тільки один раз, і вонадасть йому доступ до будь-якого комп'ютера мережі, а не тільки до комп'ютерів одногодомену.

    Коли встановлюються відносини довіри між доменами, один домен
    (довіряє домен) довіряє іншому домену (домен, якому довіряють абодовірений домен).

    Згідно з цим, що довіряє домен розпізнає всіх користувачів іглобальні групи, враховані в домені, якому довіряють. Ці обліковікартки можуть бути по-різному використані в довіряють домені; вони можутьпочати сеанс на робочих станціях довіряючого домену, можуть бути додані долокальної групі довіряючого домену і їм можуть бути надані дозволи та правадовіряючого домену.

    Ставлення (зв'язок) довіри може бути одностороннім абодвостороннім. Двостороннє відношення (зв'язок) довіри - просто параодносторонніх зв'язків, де кожен домен довіряє іншому.

    Довіра між доменами не успадковується. Наприклад, якщо А довіряє В,а В довіряє С, А автоматично не довіряє С. Щоб А довіряв С (і такимчином можна було б використовувати облікові картки С в домені А),необхідно встановити додаткове відношення довіри безпосередньоміж цими доменами [1] (рис.1.3).

    рис.1.3. Спадкування зв'язків довіри.

    1.3.4.Требованія до домену

    Мінімальна вимога для домену - один сервер, що працює підуправлінням Windows NT Server, який служить як первиннийконтролера домену та зберігає оригінал бази даних облікових картоккористувачів та груп домену. На додаток до сказаного, домен може такожмати інші сервери, що працюють під управлінням Windows NT Server іслужбовці в якості резервних контролерів домену, а також комп'ютери,службовці як стандартні серверів, серверів LAN Manager 2.x,клієнтів Windows NT Workstation і інших клієнтів, як наприклад, що працюютьз MS-DOS (ріс.1.4).

    Ріс.1.4. Структура домену.

    Первинний контролер домену має бути сервером, що працює зауправлінням Windows NT Server. Всі зміни бази даних, облікових картоккористувачів та груп домену повинні виконуватися в базі даних первинногоконтролера домену.

    Резервні контролери домену, що працюють під управлінням Windows NT
    Server, зберігають копію бази даних облікових карток домену. База данихоблікових карток копіюється у всі резервні контролери домену.

    Всі резервні контролери домену доповнюють первинний контролер іможуть обробляти запити на початку сеансу від користувачів обліковихкарток домену. Якщо домен отримує запит на початок сеансу, первиннийконтролер домену або будь-якої з резервних контролерів домену можеідентифікувати спробу початку сеансу.

    Додатково до первинних і резервним контролерам домену,що працюють під управлінням Windows NT Server, є інший тип серверів. Підчас установки Windows NT вони визначаються, як "сервери", а неконтролери домену. Сервер, який входить до домену, не отримує копію базиданих користувачів домену [1].


    1.3.5.Моделі домену

    Дуже важливим моментом є планування домену.

    Є чотири моделі для організації мережі: модель єдиногодомену, модель основного домену, модель численних основних доменів тамодель повної довіри.

    1.4.Вибор моделі домену


    1.4.1.Модель єдиного домену

    Якщо мережа має не надто багато користувачів і не повинна ділитисяз організаційних причин, можна використати найпростішу модель --модель єдиного домену. В цій моделі мережа має тільки один домен.
    Природно, всі користувачі реєструються в цьому домені.

    Ніяких зв'язків довіри не потрібно, оскільки в мережі існує тількиодин домен.

    Щоб гарантувати гарну продуктивність мережі, можнавикористовувати модель єдиного домену, за умови, що в неї невеликакількість користувачів і груп. Точна кількість користувачів і групзалежить від кількості серверів в домені і апаратних засобів серверів [1].

    1.4.2.Модель основного домену

    Для підприємств, де мережа має невелику кількість користувачіві груп, але повинна бути розділена на домени з організаційних міркувань,основна модель домену може бути найкращим вибором. Ця модель даєцентралізоване управління та організаційні переваги управліннябагатьма доменами.

    У цій моделі один домен - основний домен, в якому реєструютьсявсі користувачі і глобальні групи. Всі інші домени мережі довіряють цьомудомену і таким чином можна використовувати користувачів та глобальнігрупи, зареєстровані в них.

    Основна мета головного домену - управління мережевими обліковимикартками користувача. Інші домени в мережі - домени ресурсу; вони незберігають облікові картки користувача і не управляють ними, а тількизабезпечують ресурси (як наприклад, файли та принтери колективноговикористання) мережі.

    У цій моделі тільки первинні та резервні контролери домену восновному домені мають копії облікових карток користувачів мережі [1].

    1.4.3.Модель численних основних доменів

    Для великих підприємств, які хочуть мати централізовануадміністрацію, модель численних основних доменів може виявитисянайкращим вибором, оскільки він найбільш масштабований.

    У цій моделі невелику кількість основних доменів. Основнідомени служать в якості облікових доменів і кожна облікова карткакористувача створюється в одному з цих основних доменів.

    Кожен основний домен довіряє всім іншим основним доменам. Коженвідомчий домен довіряє всім основним доменам, але відомчимдоменам не потрібно довіряти один одному [1].


    1.4.4.Модель повної довіри

    При бажанні керувати користувачами і доменами, розподіленимисеред різних відділів, децентралізоване, можна використовувати модельповної довіри. У ній кожен домен мережі довіряє іншому домену. Такимспособом кожен відділ керує своїм власним доменом і визначаєсвоїх власних користувачів і глобальні групи, і ці користувачі таглобальні групи можуть, тим не менше, використовуватися в усіх іншихдоменах мережі.

    Через кількості зв'язків довіри, необхідного для цієї моделі, вонане практичні для великих підприємств [1].

    1.4.5.Вибор моделі організації мережі

    Проаналізувавши оргонізаціонно-штатну структуру підрозділу,можна зробити висновок, що оптимальним вибором є модель основного домену.
    Її достоїнства і недоліки зведені в табл.1.1.

    Таблиця 1.1

    Переваги та недоліки моделі основного домену.
    | Переваги | Недоліки |
    | Облікові картки користувачів | Погіршення продуктивності в |
    | можуть управлятися централізовано. | разі, якщо домен буде доповнений |
    | | Великим числом користувачів і |
    | | Груп. |
    | Ресурси згруповані логічно. | Локальні групи повинні бути |
    | | Визначені в кожному домені, де |
    | | Вони будуть використовуватися. |

    Таблиця 1.1 (продовження)
    | Переваги | Недоліки |
    | Домени відділень можуть мати своїх | |
    | власних адміністраторів, | |
    | які управляють ресурсами в | |
    | відділі. | |
    | Глобальні групи повинні бути | |
    | визначені тільки один раз (в | |
    | основному домені). | |

    Логічна структура мережі показана на ріс.1.5.

    Ріс.1.5. Логічна структура мережі.

    Функціональна схема підрозділу, розроблена з урахуванням усьоговищесказаного, наведено на ріс.1.6.

    Ріс.1.6. Функціональна схема ЛОМ підрозділу

    2.СТРУКТУРНАЯ СХЕМА ЗАХИСТУ ІНФОРМАЦІЇ В ЛОМ


    2.1.Потенціальние загрози безпеки інформації

    Дослідження і аналіз численних випадків впливів наінформацію і несанкціонованого доступу до неї показують, що їх можнарозділити на випадкові і навмисні.

    Для створення засобів захисту інформації необхідно визначитиприроду загроз, форми та шляхи їх можливого прояву і здійснення вавтоматизованій системі. Для вирішення поставленого завдання всерізноманіття погроз і шляхів їхнього впливу приведемо до найпростіших видах іформам, які були б адекватні їх безлічі в автоматизованійсистемі.


    2.1.1.Случайние загрози

    Дослідження досвіду проектування, виготовлення, випробувань іексплуатації автоматизованих систем говорять про те, що інформація впроцесі введення, зберігання, обробки, введення та передачі піддаєтьсярізним випадковим впливам.

    Причинами таких дій можуть бути:

    . Відмови й збої апаратури

    . Перешкоди на лінії зв'язку від впливів зовнішнього середовища

    . Помилки людини як ланки системи

    . Системні та системотехнічну помилки розробників

    . Структурні, алгоритмічні і програмні помилки

    . Аварійні ситуації

    . Інші дії.

    Частота відмов і збоїв апаратури збільшується при виборі іпроектуванні системи, слабкої у відношенні надійності функціонуванняапаратури. Перешкоди на лінії зв'язку залежать від правильності вибору місцярозміщення технічних засобів АСУ щодо один одного і по відношенню доапаратурі сусідніх систем.

    До помилок людини як ланки системи слід відносити помилкилюдини як джерела інформації, людини-оператора, неправильнідії обслуговуючого персоналу та помилки людини як ланки, що приймаєрішення.

    Помилки людини можуть підрозділятися на логічні (неправильноприйняті рішення), сенсорні (неправильне сприйняття операторомінформації) та оперативні, або моторні (неправильна реалізація рішення).
    Інтенсивність помилок людини може коливатися в широких межах: від 1-2%до 15-40% і вище загальної кількості операцій при рішеннях завдання.

    До загроз випадкового характеру слід віднести аварійні ситуації,які можуть виникнути на об'єкті розміщення автоматизованої системи.
    До аварійних ситуацій відносяться:

    . Відмова від функціонування САУ в цілому, наприклад вихід з ладу електроживлення

    . Стихійні лиха: пожежа, повінь, землетрус, урагани, удари блискавки і т.д.

    Ймовірність цих подій пов'язана насамперед з правильним виборомрозташування АСУ, включаючи географічне положення [2].


    2.1.2.Преднамеренние загрози

    Навмисні загрози пов'язані з діями людини, причинамияких можуть бути певне невдоволення своєю життєвою ситуацією,суто матеріальний інтерес або проста розвага з самоствердженнямсвоїх здібностей, як у хакерів, і т.д.

    Для обчислювальних систем характерні наступні штатні каналидоступу до інформації:

    . Термінали користувачів

    . Термінал адміністратора системи

    . Термінал оператора функціонального контролю

    . Засоби відображення інформації

    . Засоби завантаження програмного забезпечення

    . Засоби документування інформації

    . Носії інформації

    . Зовнішні канали зв'язку.

    Маючи на увазі, що за відсутності захисту порушник можескористатися як штатними, так і іншими фізичними каналами доступу,назвемо можливі канали несанкціонованого доступу (ВКНСД) вобчислювальної системи, через які можливо отримати доступ доапаратури, ПО і здійснити розкрадання, руйнування, модифікацію інформації таознайомлення з нею:

    . Всі перераховані штатні засоби при їх використанні законними користувачами не за призначенням і за межами своїх повноважень

    . Всі перераховані штатні засоби при їх використанні сторонніми особами

    . Технологічні пульти управління

    . Внутрішній монтаж апаратури

    . Лінії зв'язку між апаратними засобами даної обчислювальної системи

    . Побічна електромагнітне випромінювання апаратури системи

    . Побічні наведення по мережі електроживлення і заземлення апаратури

    . Побічні наведення на допоміжних і сторонніх комунікаціях

    . Відходи обробки інформації у вигляді паперових і магнітних носіїв.

    Очевидно, що за відсутності законного користувача, контролю ірозмежування доступу до термінала кваліфікований порушник легкоскористається його функціональними можливостями для несанкціонованогодоступу до інформації шляхом введення?? відповідних запитів і команд. Принаявності вільного доступу в приміщення можна візуально спостерігати інформаціюна засобах відображення і документування, а на останніх викрастипаперовий носій, зняти зайву копію, а також викрасти інші носії зінформацією: листинги, магнітні стрічки, диски і т.д.

    Особливу небезпеку являє собою безконтрольне завантаженняпрограмного забезпечення в ЕОМ, в якій можуть бути змінені дані,алгоритми або введена програма "троянський кінь", що виконуєдодаткові незаконні дії: запис інформації на стороннійносій, передачу в канали зв'язку іншого абонента обчислювальної мережі,внесення в систему комп'ютерного вірусу і т.д.

    Небезпечною є ситуація, коли порушником є користувачсистеми, який за своїми функціональними обов'язками має законний доступдо однієї частини інформації, а звертається до іншої за межами своїхповноважень.

    З боку законного користувача існує багато способівпорушити роботу обчислювальної системи, зловживати нею, витягувати,модифікувати чи знищувати інформацію. Вільний доступ дозволить йомузвертатися до чужих файлів і банків даних і змінювати їх випадково чинавмисно.

    При технічному обслуговуванні (профілактиці і ремонті) апаратуриможуть бути виявлені залишки інформації на магнітній стрічці, поверхняхдисків та інших носіях інформації. Звичайне стирання інформації не завждиефективно. Її залишки можуть бути легко прочитані. При транспортуванніносія з не охороняється території існує небезпека його перехоплення іподальшого ознайомлення сторонніх осіб з секретною інформацією.

    Не має сенсу створення системи контролю і розмежування доступу доінформації на програмному рівні, якщо не контролюється доступ до пультауправління ЕОМ, внутрішнього монтажу апаратури, кабельним з'єднанням.

    Спрацьовування логічних елементів обумовлене високочастотнимзміною рівнів напружень і струмів, що призводить до виникнення вефірі, ланцюгах живлення і заземлення, а також в паралельно розташованихланцюгах і індуктивності сторонньої апаратури, електромагнітних полів інаведень, що несуть в амплітуді, фазі і частоті своїх коливань ознакиоброблюваної інформації. Зі зменшенням відстані між приймачемпорушника та апаратними засобами імовірність прийому сигналів такого родузбільшується.

    Безпосереднє підключення порушником приймальної апаратури іспеціальних датчиків до ланцюгів електроживлення і заземлення, до каналів зв'язкутакож дозволяє здійснити несанкціоноване ознайомлення з інформацією, анесанкціоноване підключення до каналів зв'язку передавальної апаратури можепривести і до модифікації інформації [2].

    За останній час в різних країнах проведено велику кількістьдослідних робіт з метою виявлення потенційних каналівнесанкціонованого доступу до інформації в обчислювальних мережах. При цьомурозглядаються не тільки можливості порушника, що отримав законнийдоступ до мережевого обладнання, але й впливи, зумовлені помилкамипрограмного забезпечення або властивостями використовуваних мережних протоколів.
    Незважаючи на те, що вивчення каналів НСД продовжується до цих пір, вже впочатку 80-их років були сформульовані п'ять основних категорій загрозбезпеки даних в обчислювальних мережах:

    1. Розкриття змісту переданих повідомлень

    2. Аналіз трафіку, що дозволяє визначити приналежність відправника і одержувача даних до однієї з груп користувачів мережі, пов'язаних загальною задачею

    3. Зміна потоку повідомлень, що може призвести до порушення режиму роботи якого-небудь об'єкта, керованого з видаленої ЕОМ

    4. Неправомірне відмову у наданні послуг

    5. Несанкціоноване встановлення з'єднання.

    Загрози 1 і 2 можна віднести до витоку інформації, загрози 3 і 5 - до їїмодифікації, а загрозу 4 - до порушення процесу обміну інформацією [2].


    2.2.Средства захисту інформації в ЛОМ

    Прийнято розрізняти п'ять основних засобів захисту інформації:

    . Технічні,

    . Програмні,

    . Криптографічні,

    . Організаційні,

    . Законодавчі.

    Розглянемо ці кошти докладніше і оцінимо їх можливості в планіподальшого їх використання при проектуванні конкретних засобів захистуінформації в ЛОМ.

    2.2.1.Техніческіе засоби захисту інформації

    Технічні засоби захисту - це механічні,електромеханічні, оптичні, радіо, радіолокаційні, електронні таінші пристрої та системи, здатні виконувати самостійно або вкомплексі з іншими засобами функції захисту даних.

    Технічні засоби захисту поділяються на фізичні і апаратні. Дофізичним засобів відносяться замки, грати, охоронні сигналізації,обладнання КПП та ін; до апаратних - замки, блокування та системисигналізації про розтин, які застосовуються на засобах обчислювальноїтехніки і передачі даних.


    2.2.2.Программние засоби захисту інформації

    Програмні засоби захисту - це спеціальні програми, що включаютьсядо складу програмного забезпечення системи, для забезпечення самостійноабо в комплексі з іншими засобами, функцій захисту даних.

    За функціональним призначенням програмні засоби можна розділитина наступні групи:

    1. Програмні засоби ідентифікації і аутентифікації користувачів.

    Ідентифікація - це присвоєння якого-небудь об'єкту або суб'єкту унікального образу, імені або числа. Встановлення автентичності (аутентифікація) полягає у перевірці, чи є що перевіряється об'єкт (суб'єкт) тим, за кого себе видає.

    Кінцева мета ідентифікації та встановлення автентичності об'єкта в обчислювальній системі - допуск його до інформації обмеженого користування у разі позитивного результату перевірки або відмову в допуску в іншому випадку.

    Одним з поширених методів аутентифікації є присвоєння особі унікального імені або числа - пароль та зберігання її значення в обчислювальній системі. При вході в систему користувач вводить свій код пароля, обчислювальна система порівнює його значення зі значенням, що зберігається у своїй пам'яті, і при збігу кодів відкриває доступ до дозволеної функціональної задачі, а при розбіжності - відмовляє в ньому.

    Найбільш високий рівень безпеки входу в систему досягається поділом коду пароля на дві частини, одну, що запам'ятовуються користувачем і вводиться вручну, і друге, що розміщується на спеціальному носії - картці, що встановлюється користувачем на спеціальне зчитує пристрій, пов'язане з терміналом.

    2. Засоби ідентифікації та встановлення автентичності технічних засобів.

    Додатковий рівень захисту по відношенню до паролів користувачів.

    У ЕОМ зберігається список паролів і інша інформація про користувачів, яким дозволено користуватися певними терміналами, а також таблиця ресурсів, доступних з певного терміналу конкретного користувача.

    3. Засоби забезпечення захисту файлів.

    Вся інформація в системі, що зберігається у вигляді файлів поділяється на деяку кількість категорій за різними ознаками, вибір яких залежить від функцій, виконуваних системою. Найбільш часто можна зустріти поділ інформації:

    . за ступенем важливості

    . за ступенем секретності

    . по виконуваних функцій користувачів

    . по найменуванню документів

    . за видами документів

    . за видами даних

    . по найменуванню томів, файлів, масивів, записів

    . на ім'я користувача

    . за функціями обробки інформації: читання, записи, виконання

    . по областях оперативної і довготривалої пам'яті

    . за часом і т.д.

    Доступу посадових осіб до файлів здійснюється відповідно до їх функціональних обов'язків та повноважень.

    4. Засоби захисту операційної системи і програм користувачів.

    Захист операційної системи - найбільш пріоритетне завдання.

    Здійснюється забороною доступу в області пам'яті, в яких розміщується операційна система.

    Для захисту для користувача програм застосовується обмеження доступу до займаним цими програмами пам'яті.

    5. Допоміжні засоби.

    До допоміжних засобів програмного захисту інформації відносяться:

    . Програмні засоби контролю правильності роботи користувачів,

    . Програмні знищувачі залишків інформації

    . Програми контролю роботи механізму захисту

    . Програми реєстрації звернень до системи та виконання дій з ресурсами

    . Програми формування і друку грифа секретності

    . Програмні засоби захисту від комп'ютерних вірусів та ін [2].


    2.2.3.Кріптографіческіе засоби захисту інформації

    Криптографічні засоби захисту - це методи спеціальногошифрування даних, у результаті якого їх зміст стаєнедоступним без застосування деякої спеціальної інформації та зворотногоперетворення.

    Суть криптографічного захисту полягає в перетворенніскладових частин інформації (слів, букв, складів, цифр) за допомогоюспеціальних алгоритмів, яких апаратних рішень і кодів ключів, тобтоприведення її до неявному увазі. Для ознайомлення із закритою інформацієюзастосовується зворотний процес: декодування (дешифрування). Використаннякриптографії є одним з поширених методів, значнощо підвищують безпеку передачі даних в мережах ЕОМ, дані, що ввіддалених пристроях пам'яті, і при обміні інформацією між віддаленимиоб'єктами [2].

    Більш докладно питання криптографічного захисту будуть розглянуті врозділі 5.


    2.2.4.Організаціонние засоби захисту інформації

    Організаційні засоби захисту - спеціальні організаційно -технічні та організаційно-правові заходи, акти і правила,здійснювані в процесі створення і експлуатації системи для організації ізабезпечення захисту інформації.

    Організаційні заходи здійснюють подвійну функцію:

    . Повне або часткове перекриття каналів витоку інформації,

    . Об'єднання всіх використовуваних засобів захисту в цілісний механізм.

    Оргмери із захисту інформації повинні охоплювати етапипроектування, виготовлення, випробувань, підготовки до експлуатації іексплуатації системи [2].


    2.2.5.Законодательние засоби захисту інформації

    Законодавчі засоби захисту - це законодавчі акти, якірегламентують правила використання та обробки інформації, івстановлюють відповідальність і санкції за порушення цих правил.

    Законодавчі заходи щодо захисту інформації від НСД полягають увиконанні існуючих в країні або введення нових законів, постанов,положень та інструкцій, що регулюють юридичну відповідальністьпосадових осіб - користувачів і обслуговуючого персоналу за витік,втрату чи внесення змін до довіреної йому інформації, що підлягає захисту, у томучислі за спробу навмисного несанкціонованого доступу до апаратурита інформації. Таким чином мета законодавчих заходів - попередження істримування потенційних порушників [2].

    2.3.Структура системи захисту інформації

    На основі прийнятої концепції засоби захисту інформації поділяються назасоби захисту від навмисного НСД (СЗІ ПНСД) і від випадкового НСД (СЗІ
    СНСД). Засоби керування захистом інформації (Сузі) від НСД єоб'єднують, що дають можливість за допомогою цілеспрямованих івзаємопов'язаних функцій у поєднанні з найбільш повним охопленням можливихканалів НСД об'єкта окремими засобами захисту створити закінчену істрогу систему захисту в комплексі засобів автоматизації. Приклад структуритакої системи наведено на Рис.2.1.

    СЗІ ПНСД включає 1-й контур захисту - систему контролю доступу натериторію об'єкта (СКДТО), 2-й контур захисту - систему контролю тарозмежування доступу в приміщення (СКРПД) і основний контур захисту (ОКЗ).
    СКДТО, що містить систему охоронної сигналізації (СОС) і контрольно -пропускні пункти (КПП), служить для обмеження доступу осіб на територіюоб'єкта, а також спільно зі спеціальними апаратними рішеннями становитьзасіб захисту від побічних електромагнітних випромінювань і наведень.

    Основний контур захисту перекриває канали доступу по периметрукомплексу засобів автоматизації (КСА). Система контролю розтину апаратури
    (СКВА) перекриває доступ до внутрішнього монтажу, технологічним пультівуправління та кабельним з'єднанням. Система упізнання і розмежуваннядоступу до інформації (Сордо) закриває несанкціонований доступ ізабезпечує можливість контролю санкціонованого доступу до інформаціїзаконних користувачів і розмежування і розмежування їхніх повноважень зурахуванням їх функціональних обов'язків.

    Ріс.2.1.Структурная схема захисту інформації
    Засоби виведення апаратура з робочого контуру (зварювання) забезпечуютьблокування несанкціонованого доступу до інформації під час ремонту і профілактики апаратури. У числікоштів основного контуру застосовуються також засоби захисту ресурсів (СЗР)та організаційні заходи. ЗЗР націлені на недопущення блокуваннякористувачем-порушником роботи інших користувачів, а також для контролюта обмеження доступу користувачів до ресурсів.

    Засоби захисту інформації на носіях (СЗІН) включають коштишифрування даних (СШД), засоби знищення залишків інформації наносіях (СУОІ), засоби аутентифікації інформації на носіях (Саїна),засоби верифікації програмного забезпечення (СВПО) та організаційно -технічні заходи. Система контролю розтину апаратури включаєдатчики розтину, встановлені на контрольованій апаратурі, ланцюги зборусигналів (ЦСС) і пристрій контролю розтину апаратури (УКВА).

    Сордо містить термінал служби безпеки інформації (ТСБІ),функціональні завдання програмного забезпечення (ФЗ ПЗ), що реалізують напрограмному рівні ідентифікацію та автентифікації користувачів, а такожрозмежування їхніх повноважень щодо доступу до інформації. З метою захисту кодівпаролів від НСД для них також повинні бути передбачені засоби захисту
    (СЗКП).

    Засоби захисту від випадкового НСД включають засоби підвищеннядостовірності інформації (СПДІ) та засоби захисту інформації від аварійнихситуацій (СЗІ АС). СПДІ містять систему функціонального контролю (СФК),пристрій захисту від помилок у каналах зв'язку (УЗО КС), засоби контролюцілісності програмного забезпечення (СКЦ ПЗ) та спеціальні технічнірішення (СТР). Вони включають засоби захисту від переадресації пам'яті (СЗПП),ізоляції функціональних завдань (СІФЗ) та інші технічні рішення.

    Засоби керування захистом інформації містять автоматизованеробоче місце служби безпеки (АРМ СБ) інформації, ФЗ ПЗ, спеціальнорозроблені для виконання управління захистом на програмному рівні,включаючи ведення журналу обліку та реєстрації доступу (ЖУРДЕН) іорганізаційні заходи. АРМ СБ включає термінал безпеки, УКВА,апаратуру запису кодів у фізичні ключі-паролі (АЗКП), необхіднекількість ключів-паролів і апаратуру реєстрації і документуванняінформації (Арді). На додаток до зазначених засобів, виконаним наапаратному та програмному рівнях, в необхідних випадках застосовуютьсяорганізаційні заходи [2].

    2.4.Требованія до захисту інформації в ЛОМ підрозділу

    Щоб забезпечити необхідний рівень безпеки інформації в ЛОМпідрозділи, система безпеки повинна мати такі засоби:
    . Засоби ідентифікації і перевірки повноважень
    . Засоби забезпечення захисту файлів
    . Засоби захисту ОС і програм користувачів
    . Засоби шифрування/дешифрування трафіку мережі
    . Засоби знищення залишків інформації в системі
    . Засоби реєстрації звернень до системи.

    3.аналіз МОЖЛИВОСТЕЙ системи розмежування доступу ОС WINDOWS NT.
    ОБГРУНТУВАННЯ ЗАСТОСУВАННЯ СПЕЦІАЛЬНИХ ЗАСОБІВ ЗАХИСТУ ІНФОРМАЦІЇ.


    3.1.Обзор послуг Windows NT щодо забезпечення безпеки інформації

    Windows NT має засоби забезпечення безпеки, вбудовані вопераційну систему. Розглянемо найбільш значущі з них.


    3.1.1.Централізованное управління безпекою

    Для підвищення зручності Windows NT має централізовані коштиуправління безпекою мережі.

    Є можливість установки області та зв'язків довіри дляцентралізації мережного обліку користувачів та іншої інформації, що відноситьсядо безпеки, в одному місці, полегшуючи управління мережею і використанняїї. При централізованому управлінні безпекою для кожного користувачає тільки одна облікова картка і вона дає поль?? ователю доступ до всіхдозволеним йому ресурсів мережі. Можна використовувати тільки один мережевийкомп'ютер, щоб простежити за активністю на будь-якому сервері мережі [1].

    3.1.2.Управленіе робочими станціями користувачів

    Профілі користувача в Windows NT дозволяють забезпечити великузручність користувачам і в той же самий час обмежити їх можливості,якщо це необхідно. Щоб використовувати профілі користувача для більшоїпродуктивності, є можливість зберегти на сервері профілі,містять всі характеристики користувачів та настановні параметри, якнаприклад, мережеві з'єднання, програмні групи і навіть кольору екрана. Цейпрофіль використовується щоразу, коли користувач починає сеанс на будь-якомукомп'ютері з Windows NT так, що бажана їм середу слід за ним зоднієї робочої станції на іншу. Для того, щоб застосовувати профілі приобмеження можливостей користувача, необхідно додати обмеження допрофілю, як наприклад, оберегти користувача від зміни програмнихгруп та їх елементів, роблячи недоступними частини інтерфейсу Windows NT, коликористувач буде реєструватися в мережі [1].

    3.1.3.Слеженіе за діяльністю мережі

    Windows NT Server дає багато інструментальних засобів для стеженняза мережний діяльністю і використанням мережі. ОС дозволяє переглянутисервери і побачити, які ресурси вони спільно використовують; побачитикористувачів, підключених до теперішнього часу до будь-якого мережевого серверуі побачити, які файли у них відкриті; перевірити дані в журналібезпеки; записи в журналі подій, і вказати, про які помилкиадміністратор повинен бути попереджений, якщо вони відбудуться [1].


    3.1.4.Начало сеансу на комп'ютері Windows NT

    Кожного разу, коли користувач починає сеанс на робочій станції
    Windows NT, екран початку сеансу запитують ім'я користувача, пароль ідомен. Потім робоча станція посилає ім'я користувача і пароль упевний домен для ідентифікації. Сервер в цьому домені перевіряє ім'якористувача і пароль в базі даних облікових карток користувачів домену.
    Якщо ім'я користувача і пароль ідентичні даними в обліковій картці, серверповідомляє робочу станцію про початок сеансу. Сервер також завантажує іншуінформацію при початку сеансу користувача, як наприклад установкикористувача, свій каталог та змінні середовища.

    За замовчуванням не всі облікові картки в домені дозволяють входити всистему серверів домену. Тільки картками груп адміністраторів, операторівсервера, операторів управління печаткою, операторів керування обліковимикартками та операторів управління резервним копіюванням дозволено церобити [1].


    3.1.5.Учетние картки користувачів

    Кожна людина, яка використовує мережу, повинен мати обліковукартку користувача до певної домені мережі. Облікова карткакористувача містить інформацію про користувача, що включає ім'я, пароль іобмеження щодо використання мережі, що накладаються на нього. Є можливістьтакож згрупувати користувачів, які мають аналогічні роботи аборесурси, в групи; гр

         
    		 
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

    		  
     
     
    		 
    		 
        Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status