Реферати

Контрольна робота: Забезпечення безпеки в комп'ютерах і корпоративних мережах

Контрольна робота з Теоретичних основ товарознавства й експертизи. Федеральне агентство по утворенню ГОУ ВПО Тверской державний університет Хімічний факультет Кафедра биоорганической хімії і фізико-хімічного експертизи

Марксистська філософія 5. Зміст 1. Формування марксистської філософії 2. Основні ідеї філософії марксизму 3. Концепція людини в марксистській філософії Список літератури

Особливості організації і несення вартової служби в окремо розташованих радіотехнічним і. ЧВИИРЕ Реферат на тему: Особливості організації і несення вартової служби в окремо розташованих радіотехнічних і інших спеціальних підрозділах

Художня деталь у новелістиці А. П. Чехова. Художня деталь у новелістиці А. П. Чехова Автор: Чехов А. П. Серед інших письменників А. П. Чехова виділяє незвичайна спостережливість. Глибоке знання життя і людей допомагало йому за допомогою дрібних подробиць, окремих штрихів зображувати правдиво і яскраво характер людини, предмети, природу.

Мова комерційної і политтической реклами. ФГОУ ВПО Ставропольський Державний Аграрний Університет Мова комерційної і політичної реклами Виконав: Конторина И. С. Студент 6 групи 1 курсу агрономічного факультету

КАЗАНСКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ

Кафедра економічної теорії і правової статистки математики і інформатики

Контрольна робота

по Інформатиці

на тему: Забезпечення безпеки в комп'ютерах і корпоративних мережах

Роботу виконав: Сидоров А. К.

Науковий керівник:

Корчагин Г. Е.

КАЗАНЬ 2007

ЗМІСТ

Введення... 3

1. Загальні відомості про комп'ютерні мережі... 5

2. Забезпечення безпеки в комп'ютерних мережах... 8

3. Загальні відомості про корпоративні мережі... 17

4. Забезпечення безпеки в корпоративних мережах... 20

Висновок... 25

Список використаної літератури... 26

Введення

Актуальність цієї теми полягає в тому, що зміни, що відбуваються в економічному житті Росії - створення фінансово-кредитної системи, підприємств різних форм власності і т. п. - впливають істотний чином на питання захисту інформації. Довгий час в нашій країні існувала тільки одна власність - державна, тому інформація і секрети були також тільки державні, які охоронялися могутніми спецслужбами. Проблеми інформаційної безпеки постійно посилюються процесами проникнення практично у всі сфери діяльності суспільства технічних засобів обробки і передачі даних і, передусім обчислювальних систем. Об'єктами посягання можуть бути самі технічні засоби (комп'ютери і периферія) як матеріальні об'єкти, програмне забезпечення і бази даних, для яких технічні засоби є оточенням. Кожний збій роботи комп'ютерної мережі це не тільки "моральний" збиток для працівників підприємства і мережевих адміністраторів. По мірі розвитку технологій платежів електронних, "безпаперового" документообігу і інших, серйозний збій локальних мереж може просто паралізувати роботу цілих корпорацій і банків, що приводить до відчутних матеріальних втрат. Не випадково, що захист даних в комп'ютерних мережах стає одним з самих гострих проблем в сучасній інформатиці. На сьогоднішній день сформульовано два базових принципи інформаційної безпеки, яка повинна забезпечувати: - цілісність даних - захист від збоїв, ведучих до втрати інформації, а також неавторизованного створення або знищення даних. - конфіденційність інформації і, одночасно, її доступність для всіх авторизованних користувачів. Потрібно також відмітити, що окремі сфери діяльності (банківські і фінансові інститути, інформаційні мережі, системи державного управління, оборонні і спеціальні структури) вимагають спеціальних заходів безпеки даних і пред'являють підвищені вимоги до надійності функціонування інформаційних систем, відповідно до характеру і важливості задач, що вирішуються ними.

Метою написання контрольної роботи є: для початку вивчення і з'ясування базових понять, далі, на основі цих понять комплексне вивчення способів і методів захисту інформації в комп'ютерних мережах, а на основі комп'ютерних, в корпоративних мережах. Вишепоставленная мета зумовила рішення наступних задач, в яких потрібно розглянути:

· Загальні відомості про комп'ютерні мережі.

· Забезпечення безпеки в комп'ютерних мережах.

· Загальні відомості про корпоративні мережі.

· Забезпечення безпеки в корпоративних мережах.

Робота написана на основі порівняно-порівняльного методу учбової і спеціальної літератури. У цю роботу увійшли труди професора Н. А. Андріашина, С. Я. Казанцева (підручник написаний під їх редакцією послужив основою, спираючись на яку написана ця робота), а також труди О. Е. Згадзая, С. Я. Казанцева, Л. А. Казанцевой (для уточнення деяких моментів які виникли в слідстві розходження точок зору), Косарева Е. Д., Ереміна А. В. Коміссарова А. Ю., Подлесного А. В Феоктісова Г. Г., Д. Ведеєва і інших.

1. Загальні відомості про комп'ютерні мережі

В цей час більшість комп'ютерів використовується не ізольовано від інших комп'ютерів, а постійно або час від часу підключаються до локальних або глобальних комп'ютерних мереж для отримання тієї або інакшої інформації, посилки і отримання повідомлень і т. д. У цьому розділі ми розкажемо про локальні мережі, а також про загальносвітову мережу Internet.

Комп'ютерна мережа - це сукупність комп'ютерів, об'єднаних каналами зв'язку [1].

Виходячи з приведеного вище визначення, можна сказати, що комп'ютерні мережі використовуються для організації колективної роботи, доступу до загальних інформаційних ресурсів і організації спілкування між користувачами мережі.

Що щодо каналів зв'язку, то вони розрізнюються як по типу провідної середи (проводная і беспроводная), так і по фізичній реалізації (коаксіальний кабель, оптичне волокно, супутниковий канал, радіозв'язок, лазерний або інфрачервоний сигнал і інш.) [2]. Характеристики каналів зв'язку визначають можливості каналу зв'язку відповідати певним вимогам, які пред'являються користувачем даного каналу зв'язку. Крім основних характеристик каналу, враховуються також вартість, надійність і достовірність передачі інформації, і інші характеристики.

Існує декілька варіантів класифікації комп'ютерних мереж.

По територіальній ознаці розрізнюють мережі:

- Локальні (LocalAreaNetwork), які обмежуються розмірами приміщення, будівлі або групи рядом вартих будівель.

- Регіональні (MetropolitanAreaNetwork), які є об'єднанням локальних мереж в межах території, або корпоративні для великої організації, що має видалені один від одного офіси. Окремим випадком регіональної мережі є міська публічна мережа великого мегаполиса.

- Глобальні мережі (WideAreaNetwork) будуються на основі регіональних мереж [3].

Інший варіант класифікації мереж - облік їх відмінності в геометричній схемі (топології) з'єднання вузлів мережі. На локальному рівні виділяють три варіанти топології: загальна шина, кільце, зірка. Загальна шина передбачає підключення комп'ютерів до загального кабеля, на кінцях якого - термінальні конвектори. У топології "зірка" є центральний комутаційний пристрій, до якого підключений кожний комп'ютер. У "кільці" комп'ютери замкнені в ланцюжок, сигнал передається від однієї станції до іншої [4].

У доповненні вищенаведеної класифікації приводиться додаткова класифікація описана в роботах Коміссарова А. Ю., Подлесного А. В.: кожна з перерахованих мереж може бути: Односерверной - мережа обслуговується одним файлом-сервером (ФС); Многосерверной - мережа обслуговується декількома ФС; Розподіленої - дві або більш локальних мереж, сполучених внутрішнім або зовнішнім мостами (міст або міжмережеве з'єднання управляє процесом обміну пакетами даних з однієї кабельної системи в іншу). Користувачі розподіленої мережі можуть використати резерви (такі як: файли, принтери або дискові драйви) всіх сполучених локальних мереж; Многосерверной локальної - коли локальна мережа обслуговується більш ніж одним файлом-сервером; Многосерверной розподіленої. Також ЛВС можуть бути одноранговими (всі комп'ютери в мережі равноправни, т. е. немає ФС, Будь-яка робоча станція може отримати доступ до будь-якої іншої робочої станції) і з централізованим управлінням (виділеним сервером). [5]

Локальна мережа - це група комп'ютерів, які можуть зв'язуватися один з одним, спільно використати периферійне обладнання (наприклад, жорсткі диски, принтери і т. д.) і звертатися до видалених центральних ЕОМ або інших локальних мереж. Локальна мережа може складатися з одного або більше за файл-сервери, робочі станції і периферійні пристрої. Користувачі мережі можуть спільно використати одні і ті ж файли (як файли даних, так і файли програм), посилати повідомлення безпосередньо між робочими станціями і захищати файли за допомогою могутньої системи захисту [6].

Об'єднання комп'ютерів в мережі дозволило значно підвищити продуктивність труда. Комп'ютери використовуються як для виробничих (або офісних) потреб, так і для навчання.

У цей час локальні обчислювальні (ЛВС) набули дуже широкого поширення. Це викликане декількома причинами: об'єднання комп'ютерів в мережу дозволяє значно економити грошові кошти за рахунок зменшення витрат на зміст комп'ютерів (досить мати певний дисковий простір на файлі-сервері (головному комп'ютері мережі) з встановленими на йому програмними продуктами, що використовуються декількома робочими станціями); локальні мережі дозволяють використати поштовий ящик для передачі повідомлень на інші комп'ютери, що дозволяє в найбільш короткий термін передавати документи з одного комп'ютера на інший; локальні мережі, при наявності спеціального програмного забезпечення (ПО), служать для організації спільного використання файлів (наприклад, бухгалтери на декількох машинах можуть обробляти проводки однієї і тієї ж бухгалтерської книги).

Крім усього іншого, в деяких сферах діяльності просто неможливо обійтися без ЛВС. До таких сфер відносяться: банківська справа, складські операції великих компаній, електронні архіви бібліотек і інш. У цих сферах кожна окремо взята робоча станція в принципі не може зберігати всієї інформації (в основному, внаслідок дуже великого її об'єму). Мережа дозволяє вибраним (зареєстрованим на файлі-сервері) користувачам отримувати доступ до тієї інформації, до якої їх допускає оператор мережі.

2. Забезпечення безпеки в комп'ютерних мережах

При розгляді проблем захисту даних в комп'ютерній мережі, передусім, виникає питання об класифікацію збоїв і порушень, права доступу, які можуть привести до знищення або небажаної модифікації даних. Серед таких потенційних "загроз" можна виділити:

1. Збої обладнання: - збої кабельної системи; - перебої електроживлення; - збої дискових систем; - збої систем архівації даних; - збої роботи серверів, робочих станцій, мережевих карт і т. д.

2. Втрати інформації через некоректну роботу персонального обладнання (ПО): - втрата або зміна даних при помилках ПО; - втрати при зараженні системи комп'ютерними вірусами.

3. Втрати, пов'язані з несанкціонованим доступом: - несанкціоноване копіювання, знищення або підробка інформації; - ознайомлення з конфіденційною інформацією, що становить таємницю, сторонніх осіб;

4. Втрати інформації, пов'язані з неправильним зберіганням архівних даних.

5. Помилки обслуговуючого персоналу і користувачів: - випадкове знищення або зміна даних; - некоректне використання програмного і апаратного забезпечення, ведуче до знищення або зміни даних [7].

У залежності від можливих видів порушень роботи мережі численні види захисту інформації об'єднуються в три основних класи:

- кошти фізичного захисту, що включають кошти захисту кабельної системи, систем електроживлення, засобу архівації, дискові масиви і т. д.

- програмні засоби захисту, в тому числі: антивірусні програми, системи розмежування повноважень, програмні засоби контролю доступу.

- адміністративні заходи захисту, що включають контроль доступу в приміщеннях, розробку стратегії безпеки фірми, планів дій в надзвичайних ситуаціях і т. д. [8]. Потрібно відмітити, що подібне ділення досить умовне, оскільки сучасні технології розвиваються в напрямі поєднання програмних і апаратних засобів захисту. Найбільше поширення такі програмно-апаратні кошти отримали, зокрема, в області контролю доступу, захисту від вірусів і т. д.

Як вже говорилося вище, захист кабельної системи є різновидом коштів фізичного захисту інформації в комп'ютерних мережах. кабельна система залишається головною "ахиллесовой п'ятою" більшості локальних обчислювальних мереж: за даними різних досліджень, саме кабельна система є причиною більш ніж половини всіх відмов мережі. Докладний опис захисту кабельної системи приводиться в трудах Д. Ведеєва [9]: в зв'язку з цим кабельній системі повинно приділятися особлива увага з самого моменту проектування мережі. Найкращим образом позбавити себе від "головного болю" з приводу неправильної прокладки кабеля є використання що набули широкого поширення останнім часом так званих структурованих кабельних систем, що використовують однакові кабелі для передачі даних в локальній обчислювальній мережі, локальній телефонній мережі, передачі відеоінформації або сигналів від датчиків пожежної безпеки або охоронних систем. До структурованих кабельних систем відносяться, наприклад, SYSTIMAX SCS фірми AT&Т, OPEN DECconnect компанії Digital, кабельна система корпорації IBM. Поняття "структурированность" означає, що кабельну систему будівлі можна розділити на декілька рівнів в залежності від призначення і месторасположения компонентів кабельної системи. Наприклад, кабельна система SYSTIMAX SCS складається з: - Зовнішньої підсистеми (campus subsystem) - Апаратних (equipment room) - Адміністративної підсистеми (administrative subsystem) - Магістралі (backbone cabling) - Горизонтальної підсистеми (horizontal subsystem) - Робочих місць (work location subsystem) Зовнішня підсистема складається з мідного оптоволоконного кабеля, пристроїв електричного захисту і заземлення і зв'язує комунікаційну і обробляючу апаратуру в приміщенні (або комплексі будівель). Крім того, в цю підсистему входять пристрої сполучення зовнішніх кабельних ліній і внутрішніх. Апаратні служать для розміщення різного комунікаційного обладнання, призначеного для забезпечення роботи адміністративної підсистеми. Адміністративна підсистема призначена для швидкого і легкого управління кабельної системи SYSTIMAX SCS при зміні планів розміщення персоналу і відділів. У її склад входять кабельна система (неекранована пара, що виється і оптоволокно), пристрою комутації і сполучення магістралі і горизонтальної підсистеми, з'єднувальні шнури, маркировочние засобу і т. д. Магістраль складається з мідного кабеля або комбінації мідного і оптоволоконного кабеля і допоміжного обладнання. Вона зв'язує між собою поверхи будівлі або великі площі одного і того ж поверху. Горизонтальна система на базі мідного кабеля, що виється розширює основну магістраль від вхідних точок адміністративної системи поверху до розеток на робочому місці. І, нарешті, обладнання робочих місць включає в себе з'єднувальні шнури, адаптери, пристрої сполучення і забезпечує механічне і електричне з'єднання між обладнанням робочого місця і горизонтальної кабельної підсистеми. Найкращим способом захисту кабеля від фізичних (а іноді і температурних і хімічних впливів, наприклад, у виробничих цехах) є прокладка кабелів з використанням в різній мірі захищених коробів. При прокладці мережевого кабеля поблизу джерел електромагнітного випромінювання необхідно виконувати наступні вимоги: а) неекранована пара, що виється повинна відстояти мінімум на 15-30 см від електричного кабеля, розеток, трансформаторів і т. д. б) вимоги до коаксіального кабеля менш жорсткі - відстань до електричної лінії або електроприладів повинна бути не менше за 10-15 див. Інша важлива проблема правильної інсталяції і безвідмовної роботи кабельної системи - відповідність всіх її компонентів вимогам міжнародних стандартів. Найбільше поширення в цей час отримали наступні стандарти кабельних систем: Специфікації корпорації IBM, які передбачають дев'ять різних типів кабелів. Найбільш поширеним серед них є кабель IBM type 1 - - екранована пара (STP), що виється для мереж Token Ring. Система категорій Underwriters Labs (UL) представлена цією лабораторією спільно з корпорацією Anixter. Система включає п'ять рівнів кабелів. У цей час система UL приведена у відповідність з системою категорій EIA/TIA. Стандарт EIA/TIA 568 був розроблений спільними зусиллями UL, American National Standarts Institute (ANSI) і Electronic Industry Association/Telecommunications Industry Association, підгрупою TR41.8.1 для кабельних систем на парі, що виється (UTP). У доповнення до стандарту EIA/TIA 568 існує документ DIS 11801, розроблений International Standard Organization (ISO) і International Electrotechnical Commission (IEC). Даний стандарт використовує термін "категорія" для окремих кабелів і термін "клас" для кабельних систем. Необхідно також відмітити, що вимоги стандарту EIA/TIA 568 відносяться тільки до мережевого кабеля. Але реальні системи, крім кабеля, включають також з'єднувальну роз'єм, розетки, розподільні панелі і інші елементи. Використання тільки кабеля категорії 5 не гарантує створення кабельної системи цієї категорії. У зв'язку з цим все вище перераховане обладнання повинне бути також сертифіковане на відповідність даної категорії кабельної системи.

Найбільш надійним засобом запобігання втратам інформації при короткочасному відключенні електроенергії в цей час є установка джерел безперебійного живлення - такий спосіб забезпечення безпеки пропонується в роботі М. Рааба. [10] Різні за своїми технічними і споживчими характеристиками, подібні пристрої можуть забезпечити живлення всієї локальної мережі або окремої комп'ютера протягом проміжку часу, достатнього для відновлення подачі напруження або для збереження інформації на магнітних носіїв. Більшість джерел безперебійного живлення одночасно виконує функції і стабілізатора напруження, що є додатковим захистом від стрибків напруження в мережі. Багато які сучасні мережеві пристрої - сервери, концентратори, мости і т. д. - оснащені власними дубльованими системами електроживлення.

За рубежем корпорації мають власні аварійні електрогенератори або резервні лінії електроживлення. Ці лінії підключені до різних підстанцій, і при виході з ладу однієї них електропостачання здійснюється з резервної підстанції [11].

Організація надійної і ефективної системи архівації даних є однією з найважливіших задач по забезпеченню збереження інформації в мережі. У невеликих мережах, де встановлені один-два сервери, частіше за все застосовується установка системи архівації безпосередньо у вільні слоти серверів. У великих корпоративних мережах найбільш переважно організувати виділений спеціалізований архивационний сервер. Зберігання архівної інформації, що представляє особливу цінність, повинне бути організоване в спеціальному приміщенні, що охороняється. Фахівці рекомендують зберігати дублікати архівів найбільш цінних даних в іншому приміщенні, на випадок пожежі або стихійного лиха.

Різновидом програмних засобів забезпечення безпеки комп'ютерних мереж є захист від комп'ютерних вірусів. Навряд чи знайдеться хоч би один користувач або адміністратор мережі, який би ні разу не стикався з комп'ютерними вірусами. На сьогоднішній день додатково до тисяч вже відомих вірусів з'являється 100-150 нових щомісяця [12]. Найбільш поширеними методами захисту від вірусів до цього дня залишаються різні антивірусні програми. Однак як перспективний підхід до захисту від комп'ютерних вірусів в останні роки все частіше застосовується поєднання програмних і апаратних методів захисту. Серед апаратних пристроїв такого плану можна відмітити спеціальні антивірусні плати, які вставляються в стандартні слоти розширення комп'ютера.

Проблема захисту інформації від несанкціонованого доступу особливо загострилася з широким поширенням локальних і, особливо, глобальних комп'ютерних мереж. Необхідно також відмітити, що часто збиток наноситься не через "злий намір", а через елементарні помилки користувачів, які випадково псують або видаляють життєво важливі дані. У зв'язку з цим, крім контролю доступу, необхідним елементом захисту інформації в комп'ютерних мережах є розмежування повноважень користувачів.

У комп'ютерних мережах при організації контролю доступу і розмежування повноважень користувачів частіше за все використовуються вбудовані кошти мережевих операційних систем. Так, найбільший виробник мережевих ОС - корпорація Novell - в своєму останньому продукті NetWare 4.1. передбачив крім стандартних коштів обмеження доступу, таких, як система паролів і розмежування повноважень, ряд нових можливостей, що забезпечують перший клас захисту даних [13]. Нова версія NetWare передбачає, зокрема, можливість кодування даних за принципом "відкритого ключа" (алгоритм RSA) з формуванням електронного підпису для пакетів, що передаються по мережі.

У той же час в такій системі організації захисту все одно залишається слабе місце: рівень доступу і можливість входу в систему визначаються паролем. Не секрет, що пароль можна підглянути або підібрати. Для виключення можливості неавторизованного входу в комп'ютерну мережу останнім часом використовується комбінований підхід - пароль + ідентифікація користувача по персональному "ключу". Як "ключ" може використовуватися пластикова карта (магнітна або з вбудованою мікросхемою - smart-card) або різні пристрої для ідентифікації особистості по біометричній інформації - по райдужній оболонці ока або відбитків пальців, розмірам грона руки і так далі [14].

Оснастивши сервер або мережеві робочі станції, наприклад, пристроєм читання смарт-карток і спеціальним програмним забезпеченням, можна значно підвищити міру захисту від несанкціонованого доступу. У цьому випадку для доступу до комп'ютера користувач повинен вставити смарт-карту в пристрій читання і ввести свій персональний код. Програмне забезпечення дозволяє встановити декілька рівнів безпеки, які керуються системним адміністратором. Можливий і комбінований підхід з введенням додаткового пароля, при цьому прийняті спеціальні заходи проти "перехоплення" пароля з клавіатури. Цей підхід значно надійніше за застосування паролів, оскільки, якщо пароль підглянули, користувач про це може не знати, якщо ж пропала картка, можна вжити заходів негайно.

Смарт-карти управління доступом дозволяють реалізувати, зокрема, такі функції, як контроль входу, доступ до пристроїв персонального комп'ютера, доступ до програм, файлів і команд. Крім того, можливе також здійснення контрольних функцій, зокрема, реєстрація спроб порушення доступу до ресурсів, використання заборонених утиліт, програм, команд DOS.

Наостаннє, хотілося б детализовать приведену вище класифікацію способів забезпечення безпеки комп'ютерних мереж і в слідстві цього згадати про такий спосіб захисти комп'ютерних мереж від доступу, що несанкціонується, як використання певних служб безпеки, які вказують напрями нейтралізації можливих загроз безпеки. Існують наступні служби безпеки:

· аутентификація;

· забезпечення цілісності;

· засекречення даних;

· контроль доступу;

· захист від відмов.

Сервісні служби безпеки є відповідальними за забезпечення основних вимог користувачів, що пред'являються до телекомунікаційних систем (з точки зору її надійності). Причому дані служби повинні функціонувати у всіх трьох площинах: менеджменту, управління і призначеної для користувача.

Кількість з'єднань захисту повинна бути така, що дорівнює кількості встановлених служб захисту. Тобто, якщо для даного віртуального з'єднання одночасно потрібно аутентификація, конфіденційність і достовірність даних, то встановлюється три самостійних з'єднання захисту.

Сукупність сервісних служб захисту інформації, забезпечуючих вимоги користувачів, утворять профіль захисту.

За установку і припинення дії тієї або інакшої служби відповідають агенти захисту. Узгодження служб захисту між агентами відбувається через з'єднання захисту. По цих з'єднаннях проводиться обмін інформацією захисту.

Самий простий варіант організації з'єднання захисту це коли агенти захисту розміщені в межах кінцевих систем користувачів. У цьому випадку кінцеві системи і агенти захисту взаємодіють з мережею через інтерфейс "користувач - мережа + захист".

Агенти захисту для віртуального з'єднання (каналу або тракту), який встановлений між кінцевими системами користувачів, послідовно виконують наступні дії:

· визначають вигляд сервісних служб захисту, які повинні бути застосовані до даного віртуального з'єднання;

· погоджують служби захисту між собою;

· застосовують необхідні служби захисту до даного віртуального з'єднання [15].

3. Загальні відомості про корпоративні мережі

Інформаційні системи, в яких кошти передачі даних належать однією компанія, використовуються тільки для потреб цієї компанії, прийнято називати мережу масштабу підприємства корпоративна комп'ютерна мережа (КС). КС-це внутрішня приватна мережа організації, об'єднуюча обчислювальні, комунікаційні і інформаційні ресурси цієї організації і призначена для передачі електронних даних, як які може виступати будь-яка інформація [16] Тим самим засновуючись на вищесказане можна сказати, що всередині КС визначена спеціальна політика, що описує апаратні і програмні засоби, що використовуються, правила отримання користувачів до мережевих ресурсів, правила управління мережею, контроль використання ресурсів і подальший розвиток мережі. Корпоративна мережа являє собою мережу окремої організації.

Трохи схоже визначення можна сформулювати виходячи з концепції корпоративної мережі приведеної в труді Оліфера В. Г. і Оліфера Н. Д. "Комп'ютерні мережі: принципи, технології, протоколи": будь-яка організація - це сукупність взаємодіючих елементів (підрозділів), кожний з яких може мати свою структуру. Елементи пов'язані між собою функціонально, т. е. вони виконують окремі види робіт в рамках єдиного бізнес процесу, а також інформаційно, обмінюючись документами, факсами, письмовими і усними розпорядженнями і т. д. Крім того, ці елементи взаємодіють із зовнішніми системами, причому їх взаємодія також може бути як інформаційним, так і функціональним. І ця ситуація справедлива практично для всіх організацій, яким би видом діяльності вони не займалися - для урядової установи, банку, промислового підприємства, комерційної фірми і т. д.

Такий загальний погляд на організацію дозволяє сформулювати деякі загальні принципи побудови корпоративних інформаційних систем, т. е. інформаційних систем в масштабі всієї організації [17].

Корпоративна мережа - система, що забезпечує передачу інформації між різними додатками, що використовуються в системі корпорації. Корпоративною мережею вважається будь-яка мережа, працююча по протоколу TCP/IP і що використовує комунікаційні стандарти Інтернету, а також сервісні додатки, що забезпечують доставку даних користувачам мережі. Наприклад, підприємство може створити сервер Web для публікації оголошень, виробничих графіків і інших службових документів. Службовці здійснюють доступ до необхідних документів за допомогою коштів перегляду Web.

Сервери Web корпоративної мережі можуть забезпечити користувачам послуги, аналогічні послугам Інтернету, наприклад роботу з гіпертекстовими сторінками (вмісними текст, гиперссилки, графічні зображення і звукозаписи), надання необхідних ресурсів по запитам клієнтів Web, а також здійснення доступу до баз даних. У цьому керівництві всі служби публікації називаються "службами Інтернету" незалежно від того, де вони використовуються (в Інтернеті або корпоративній мережі).

Корпоративна мережа, як правило, є територіально розподіленою, т. е. об'єднуючої офіси, підрозділи і інші структури, що знаходяться на значному видаленні один від одного. Принципи, по яких будується корпоративна мережа, досить сильно відрізняються від тих, що використовуються при створенні локальної мережі. Це обмеження є принциповим, і при проектуванні корпоративної мережі потрібно вживати всі заходи для мінімізації об'ємів даних, що передаються. У іншому ж корпоративна мережа не повинна вносити обмежень на те, які саме додатки і яким чином обробляють переносиму по ній інформацію. Характерною особливістю такої мережі є те, що в ній функціонують обладнання самих різних виробників і поколінь, а також неоднорідне програмне забезпечення, не орієнтоване спочатку на спільну обробку даних. [18]

Для підключення видалених користувачів до корпоративної мережі самим простим і доступним варіантом є використання телефонного зв'язку. Там, де це, можливо, можуть використовуватися мережі ISDN. Для об'єднання вузлів мережі в більшості випадків використовуються глобальні мережі передачі даних. Навіть там, де можлива прокладка виділених ліній (наприклад, в межах одного міста) використання технологій пакетної комутації дозволяє зменшити кількість необхідних каналів зв'язку і - що важливо - забезпечити сумісність системи з існуючими глобальними мережами.

Підключення корпоративної мережі до Internet виправдане, якщо вам потрібен доступ до відповідних послуг. У багатьох роботах існує думка з приводу підключення до Internet-у: Використати Internet як середу передачі даних стоїть тільки тоді, коли інші способи недоступні і фінансові міркування переважують вимоги надійності і безпеки. Якщо ви будете використовувати Internet тільки як джерело інформації, краще користуватися технологією "з'єднання по запиту" (dial-on-demand), т. е. таким способом підключення, коли з'єднання з вузлом Internet встановлюється тільки з вашої ініціативи і на потрібне вам час [19]. Це різко знижує ризик несанкціонованого проникнення у вашу мережу ззовні.

Для передачі даних всередині корпоративної мережі також варто використати віртуальні канали мереж пакетної комутації. Основні переваги такого підходу - універсальність, гнучкість, безпека

4. Забезпечення безпеки в корпоративних мережах

Внаслідок вивчення структури інформаційних мереж (ИС) і технології обробки даних розробляється концепція інформаційної безпеки ИС запропонована в роботі професора Х. А. Андріашина, і професора С. Я. Казанцева, на основі якої проводяться всі роботи по захисту інформації в ИС [20]. У концепції знаходять відображення наступні основні моменти:

· організація мережі організації

· існуючі загрози безпеки інформації, можливості їх реалізації і передбачуваний збиток від цієї реалізації;

· організація зберігання інформації в ИС;

· організація обробки інформації;

· регламентація допуску персоналу до тієї або інакшої інформації;

· відповідальність персоналу за забезпечення безпеки [21].

Розвиваючи цю тему, в цій роботі, на основі концепції інформаційної безпеки ИС, приведеній вище, пропонується схема безпеки, структура якої повинна задовольняти наступні умови:

Захист від несанкціонованого проникнення в корпоративну мережу і можливості витоку інформації по каналах зв'язку.

Розмежування потоків інформації між сегментами мережі.

Захист критичних ресурсів мережі.

Криптографічний захист інформаційних ресурсів [22].

Для докладного розгляду вищенаведених умов безпеки доцільно привести думку, викладену в роботі С. Н. Новікова: для захисту від несанкціонованого проникнення і витоку інформації пропонується використання міжмережевих екранів або брандмауеров. Фактично брандмауер - це шлюз, який виконує функції захисту мережі від несанкціонованого доступу з поза (наприклад, з іншої мережі) [23].

Розрізнюють три типи брандмауеров:

Шлюз рівня додатків Шлюз рівня додатків часто називають прокси - сервером (proxyserver) - виконує функції ретранслятора даних для обмеженого числа додатків користувача. Тобто, якщо в шлюзі не організована підтримка того або інакшого додатку, то відповідний сервіс не надається, і дані відповідного типу не можуть пройти через брандмауер.

Фильтрирующий маршрутизатор. Фільтруючий маршрутизатор. Точніше це маршрутизатор, в додаткові функції якого входить фільтрування пакетів (packet-filteringrouter). Використовується на мережах з комутацією пакетів в режимі дейтаграмм. Тобто, в тих технологіях передачі інформації на мережах зв'язку, в яких площина сигналізації (попереднього встановлення з'єднання між УИ і УП) відсутня (наприклад, IP V 4). У цьому випадку прийняття рішення про передачу по мережі пакету даних, що поступив засновується на значеннях його полів заголовка транспортного рівня. Тому брандмауери такого типу звичайно реалізовуються у вигляді списку правил, вживаних до значень полів заголовка транспортного рівня.

Шлюз рівня комутації. Шлюз рівня комутації - захист реалізовується в площині управління (на рівні сигналізації) шляхом дозволу або заборони тих або інакших з'єднань [24].

У роботі С. Н. Новікова [25], а також в роботі професора Х. А. Андріашина, і професора С. Я. Казанцева [26] особливе місце відводиться криптографічному захисту інформаційних ресурсів в корпоративних мережах. Оскільки шифрування є одним з найнадійніших способів захисту даних від несанкціонованого ознайомлення. Особливістю застосування криптографічних коштів в Росії є жорстка законодавча регламентація. У цей час в корпоративних мережах вони встановлюються тільки на тих робочих місцях, де зберігається інформація, що має дуже високу міру важливості.

Так згідно з класифікацією коштів криптографічного захисту інформаційних ресурсів в корпоративних мережах приведеної С. Н. Новіковим вони діляться на:

Криптосистеми з одним ключем, їх часто називають традиційною, симетричною або з одним ключем. Користувач створює відкрите повідомлення, елементами якого є символи кінцевого алфавіта. Для шифрування відкритого повідомлення генерується ключ шифрування. За допомогою алгоритму шифрування формується шифроване повідомлення

Приведена модель передбачає, що ключ шифрування генерується там же, де саме повідомлення. Однак, можливо і інше рішення створення ключа - ключ шифрування створюється третьою стороною (центром розподілу ключів), якою довіряють обидва користувачі. У цьому випадку за доставку ключа обом користувачам відповідальність несе третя сторона. Взагалі говорячи, дане рішення суперечить самій суті криптографії - забезпечення секретності інформації користувачів, що передається.

Криптосистеми з одним ключем використовують принципи підстановки (заміни), перестановки (транспозиції) і композицій. При підстановці окремі символи відкритого повідомлення замінюються іншими символами. Шифрування із застосуванням принципу перестановки має на увазі зміну порядку проходження символів у відкритому повідомленні. З метою підвищення надійності шифрування шифроване повідомлення, отримане застосуванням деякого шифру, може бути ще раз зашифровано за допомогою іншого шифру. Говорять, що в цьому випадку застосований композиційний підхід. Отже, симетричні криптосистеми (з одним ключем) можна класифікувати на системи, які використовують шифри підстановки, перестановки і композицій.

Криптосистема з відкритим ключем. Вона має місце тільки еесли користувачі при шифруванні і дешифруванні використовують різні ключі KО і KЗ. Цю криптосистему називають асиметричною, з двома ключами або з відкритим ключем.

Одержувач повідомлення (користувач 2) генерує пов'язану пару ключів:

KО - відкритий ключ, який публічно доступний і, таким чином, виявляється доступним відправнику повідомлення (користувач 1);

KС - секретний, особистий ключ, який залишається відомим тільки одержувачу повідомлення (користувач 1).

Користувач 1, маючи ключ шифрування KО, за допомогою певного алгоритму шифрування формує шифрований текст.

Користувач 2, володіючи секретним ключем Kс, має можливість виконати зворотну дію.

У цьому випадку користувач 1 готує повідомлення користувачу 2 і перед відправленням шифрує це повідомлення за допомогою особистого ключа KС. Користувач 2 може дешифрировать це повідомлення, використовуючи відкритий ключ KО. Оскільки, повідомлення було зашифроване особистим ключем відправника, то воно може виступати як цифровий підпис. Крім того, в цьому випадку неможливо змінити повідомлення без доступу до особистого ключа користувача 1, тому повідомлення вирішує так само задачі ідентифікації відправника і цілісність даних [27].

Наостаннє хотілося б сказати, що за допомогою установки криптографічних коштів захисту можна досить надійно захистити робоче місце співробітника організації, який безпосередньо працює з інформацією, що має особливе значення для існування цієї організації, від несанкціонованого доступу.

Висновок

Підводячи підсумки, хотілося б відмітити, що проблемам комп'ютерної безпеки в комп'ютерних і корпоративних мережах в повинно надаватися особливе значення. Правильно ієрархічно побудована система доступу до даних, сучасне обладнання, штат кваліфікованих працівників, що відповідають за комп'ютерну безпеку - це гарант безпеки державної інформації, а разом з тим і держави. У цьому не можна сумніватися. Якось один мудрець сказав: "Чим більше ви даєте, тим більше до вас повертається". І правда, - чим більше буде приділено уваги проблемам комп'ютерної безпеки, тим більше буде упевненості в тому, що дані особливої важливості не будуть втрачені при найменшому збої в роботі обладнання або при несанкціонованому доступі. Так само хотілося б підкреслити, що ніякі апаратні, програмні і будь-які інші засоби, і організаторські роботи різних видів не зможуть гарантувати абсолютну надійність і безпеку даних, але в той же час звести ризик втрат до мінімуму можливо лише при усвідомленому, комплексному підході до питань комп'ютерної безпеки.

Список використаної літератури.

1. Інформатика і математика для юристів. Під. ред. Х. А. Андріашина, С. Я. Казанцева. М.: ЮНИТИ-ДАНА, Закон і право, 2001 р.

2. Ведеев Захист даних в комп'ютерних мережах. М.: Відкриті системи, № 3. 2001 р.

3. О. Е. Згадзай, С. Я. Казанцев, Л. А. Казанцева. М.: ІНФОРМАТИКА ДЛЯ ЮРИСТІВ 2001 р.

4. Комісарів А. Ю., Подлесний А. В. Ідентіфікация користувача ЕОМ і автора програмного продукту. М.: ЕКЦ МВС Росії, 1996 р.

5. І. Б. Львов, Г. Г. Казеєва, І. А. Морев. ІНФОРМАТИКА. ВЛАДИВОСТОК. 1999-2001гг.

6. С. Н. Новіков. Захист інформації в мережах зв'язку з гарантованою якістю обслуговування. Новосибірськ. 2003 р.

7. Олифер В. Г., Оліфер Н. Д. Компьютерние мережі: принципи, технології, протоколи. Питер, 1999 р.

8. М. Рааб. Захист мереж нарешті в центрі уваги. М.: Компьютеруорлд. № 29. 1999 р.

9. С. В. Сухова. Система безпеки NetWare. № 4. М.: Мережі. 2000 р.

10. Феоктисов Г. Г. Інформационная безпека суспільства, особистість і засоби масової інформації. М.: Інформатика і обчислювальна техніка, №1-2.5. 1996 р.

[1] І. Б. Львов, Г. Г. Казеєва, І. А. Морев ІНФОРМАТИКА. ВЛАДИВОСТОК. 1999-2001 рр.

[2] Інформатика і математика для юристів. Під ред. Х. А. Андріашина, С. Я. Казанцева. М.: ЮНИТИ-ДАНА, закон і право. 2001. С.100

[3] Там же. С.94-95

[4] См.: О. Е. Згадзай, С. Я. Казанцев, Л. А. Казанцева. М.: ІНФОРМАТИКА ДЛЯ ЮРИСТІВ 2001.

[5] Комісарів А. Ю., Подлесний А. В. Ідентіфікация користувача ЕОМ і автора програмного продукту. М.: ЕКЦ МВС Росії, 1996.

[6] См.: О. Е. Згадзай, С. Я. Казанцев, Л. А. Казанцева. М.: ІНФОРМАТИКА ДЛЯ ЮРИСТІВ. 2001

[7] Феоктісов Г. Г. Інформационная безпека суспільства, особистість і засоби масової інформації. М.: Інформатика і обчислювальна техніка, 1996, №1-2.5. С.119-121

[8] Там же. С.122

[9] Д. Ведеєв Захист даних в комп'ютерних мережах. М.: Відкриті системи. 2001, № 3, С. 12-18

[10]. М. Рааб Захист мереж нарешті в центрі уваги. М.: Компьютеруорлд. 1999, № 29. С. 18

[11] Там же. С.20

[12]. Д. Ведеєв Захист даних в комп'ютерних мережах. М.: Відкриті системи. 2001, № 3, С.25

[13] С. В. Сухова. Система безпеки NetWare. М.: Мережі. 2000, № 4. С. 60-70..

[14] См. Там же. С.75

[15] С. Н. Новіков. Захист інформації в мережах зв'язку з гарантованою якістю обслуговування. Новосибірськ. 2003. С.12.

[16] См.: І. Б. Львов, Г. Г. Казеєва, І. А. Морев ІНФОРМАТИКА. ВЛАДИВОСТОК. 1999-2001 рр.

[17] Олифер В. Г., Оліфер Н. Д. "Комп'ютерні мережі: принципи, технології, протоколи", Пітер, 1999 р. С. 176.

[18] Інформатика і математика для юристів. Під. ред. Х. А. Андріашина, С. Я. Казанцева. М.: ЮНИТИ-ДАНА, Закон і право, 2001. С.336

[19] Косарев Е. Д., Еремін А. В. Компьютерние системи і мережі. М.: Фінанси і статистика. 1999 р. С.124

[20] Інформатика і математика для юристів. Під. ред. Х. А. Андріашина, С. Я. Казанцева. М.: ЮНИТИ-ДАНА, Закон і право, 2001. С.336-337

[21] Там же. С. 337

[22] Там же. С.337

[23] С. Н. Новіков. Захист інформації в мережах зв'язку з гарантованою якістю обслуговування. Новосибірськ. 2003. С.14

[24] Там же. С.14

[25] С. Н. Новіков. Захист інформації в мережах зв'язку з гарантованою якістю обслуговування. Новосибірськ. 2003. С.18-31.

[26] Інформатика і математика для юристів. Під. ред. Х. А. Андріашина, С. Я. Казанцева. М.: ЮНИТИ-ДАНА, Закон і право, 2001. С.340

[27] С. Н. Новіков. Захист інформації в мережах зв'язку з гарантованою якістю обслуговування. Новосибірськ. 2003. С.18-31