Захист інформації в комп’ютерних мережах

 

Найважливішим товаром зараз є інформація, тому вона має бути за­хи­­щена.

Захист інформації – це комплекс заходів, що проводяться з метою запобігання витоку, розкрадання, втрати, несанкціонованого знищення, ви­кривлення, модифікації, підробки, несанкціонованого копіювання, блоку­ван­ня інформації тощо. Оскільки втрата інформації може відбуватися че­рез суто технічні і ненавмисні причини, під це визначення підпадають та­кож і заходи, пов’язані з підвищенням надійності мережевого обладнання та програмного забезпечення [17].

Перехід від роботи на ПК до роботи в мережі ускладнює захист інформації з таких причин:

- велика кількість користувачів у мережі та їх змінний склад;

- захист на рівні імені та пароля користувача недостатній для запо­біга­ння входу до мережі сторонніх осіб;

- значна протяжність мережі і наявність багатьох потенційних кана­лів проникнення до мережі;

- недоліки в апаратному та програмному забезпеченні, які найчас­тіше виявляються не на передпродажному етапі, а у процесі експлуатації. У тому чіслі вбудовані засоби захисту інформації мережевих операційних систем.

У мережі є багато фізичних місць і каналів несанкціонованого досту­пу до інформації. Кожен пристрій у мережі є потенційним джере­лом електромагнітного випромінювання через те, що відповідні поля, особ­ливо на високих частотах, екрановані неідеально. Система заземлення ра­зом із кабельною системою і мережею електроживлення може слугувати каналом доступу до інформації в мережі, в тому числі на ділянках, що знаходяться поза зоною контрольованого доступу і тому є особливо вразли­вими. Окрім електромагнітного випромінювання, потенційну загро­зу становить безконтактний електромагнітний вплив на кабельну сис­тему. Можливо і безпосереднє фізичне підключення до кабельної системи, а також витік інформації каналами, що знаходяться поза мережею:

- сховище носіїв інформації;

- елементи будівельних конструкцій і вікна приміщень, які утво­рю­ють канали витоку конфіденційної інформації за рахунок так званого мікрофонного ефекту;

- телефонні, радіо, а також інші проводові та безпроводові канали (у тому числі канали мобільного зв’язку) [33].

Будь-які додаткові з’єднання з іншими сегментами або підключення до Internet породжують нові проблеми. Атаки на локальну мережу через підключення до Internetу для того, щоб отримати доступ до конфіден­ційної інформації, останнім часом набули значного поширення, що пов’я­зано з недоліками вбудованої системи захисту інформації в протоколах TCP/IP. Мережеві атаки через Internet можуть бути різноманітні, наприк­лад: відмова в обслуговуванні, що робить мережу недоступною для зви­чайного використання за рахунок перевищення припустимих меж функ­ціо­нування мережі, операційної системи або програми; парольні атаки – спроба підбору пароля легального користувача для входу до мережі; безпосередній доступ до пакетів, що передаються мережею; атаки на рівні додатків; збір інформації про мережу за допомогою загальнодоступних даних і додатків; зловживання довірою всередині мережі; віруси та інші.

Засоби забезпечення захисту інформації з метою запобігання ненавмис­них дій залежно від способу реалізації можна розділити на групи:

- технічні або апаратні засоби – це різні за типом пристрої (механічні, електромеханічні, електронні та ін.), які апаратними засобами вирішують задання захисту інформації. Наприклад, грати на вікнах, за­хис­на сигналізація, генератори шуму, мережеві фільтри, сканувальні радіо­приймачі та інші пристрої. Переваги технічних засобів пов’язані з їх надій­ністю, незалежністю від суб’єктивних факторів, високою стійкістю до модифікації. Недоліки – недостатня гнучкість, відносно великі обсяг і ма­са, висока вартість;

- програмні засоби включають програми для ідентифікації користу­вачів, контролю доступу, шифрування інформації та ін. Переваги про­грам­них засобів – універсальність, гнучкість, надійність, простота установлення, здатність до модифікації і розвитку. Недоліки – обмежена функціо­наль­ність мережі, висока чутливість до випадкових або навмисним змін, мож­лива залежність від типів комп’ютерів (їх апаратних засобів);

- апаратно-програмні засоби реалізують ті ж функції, що апаратні і програмні засоби окремо, і мають проміжні властивості;

- організаційні засоби складаються з організаційно-технічних (підго­товка приміщень з комп’ютерами, прокладення кабельної системи з ураху­ванням вимог обмеження доступу до неї тощо) і організаційно-правових (національні законодавство та правила роботи, встановлюються керів­ницт­вом конкретного підприємства). Переваги організаційних засобів поля­га­ють у тому, що вони прості в реалізації, швидко реагують на небажані дії в мережі, мають необмежені можливості модифікації і розвитку. Недоліки – висока залежність від суб’єктивних чинників, у тому числі від загальної організації роботи в конкретному підрозділі [17, 34].

Необхідність забезпечення безпеки і вимоги сумісності різноманіт­них служб існуючих і розроблювальних інформаційно-обчислювальних мереж визначили напрямок у діяльності Міжнародної організації зі стан­дар­тизації і Міжнародної спілки електрозв’язку. Концепція архітектури без­­пеки орієнтується на застосуванні в мережах, що використовують між­народні стандарти, і цілком відповідає еталонній моделі взаємозв’язку відкритих систем. Забезпечення безпеки інформації при її передаванні здійснюється спеціальним підрозділом, що включає в себе ряд служб, кожна з яких вирішує задачу захисту інформації від певної загрозиабо сукупності загроз [35].

Існує математична наука – криптографія, яка займається захистом інформації, збереженням цілісності та достовірності інформації.

У загальному випадку до системи забезпечення безпеки інформації можуть бути включені:

1) служба таємності даних. Може бути використана для захисту пере­даних даних від можливості проведення аналізу інтенсивності по­токів даних між користувачами. Механізм шифрування може забез­пе­чу­вати конфіденційність переданих даних і може бути використаний у де­яких інших механізмах безпеки або доповнювати їх. Існування механізму шифрування припускає використання, як правило, механізму управління ключами. Число використовуваних програм шифрування обмежене, при­чому частина з них є стандартами. Однак, навіть якщо алгоритм шифру­вання не є секретним, провести дешифрування без знання закритого ключа надзвичайно складно. Ця властивість у сучасних програмах шифрування забезпечується у процесі багатоступінчастого перетворення вихідної відкритої інформації з використанням ключа (або двох ключів – по одному для шифрування і дешифрування);

2) служба аутентифікації. Призначена для підтвердження того, що в даний момент зв’язку користувач є дійсно тим користувачем, за якого він себе видає. У механізмі аутентифікації основна увага приділяється мето­дам передавання в мережі інформації спеціального характеру (полів аутен­ти­фіка­торів, контрольних сум і т. п.). У випадку однобічної або взаємної аутентифікації забезпечується процес перевірки істинності користувачів (передавача і приймача повідомлень), що гарантує запобігання з’єднання з логічним об’єктом, утвореним зловмисником.

Механізм цифрового електронного підпису, що регламентує один із процесів аутентифікації користувачів і повідомлень, використовується для підтвердження істинності змісту повідомлення і посвідчення того факту, що воно відправлено тим абонентом, що зазначений в заголовка як дже­рело даних. Цифровий підпис також необхідний для запобігання можли­вості відмови передавача від видачі якогось повідомлення, а приймача від його прийому;

3) служба цілісності даних. Забезпечує доказ цілісності даних у про­цесі їхнього передавання, тобто забезпечує захист переданих повідом­лень від випадкових і навмисних впливів, спрямованих на зміну переданих повідомлень, затримку і знищення повідомлень або перевпорядкування повідомлень. Механізм забезпечення цілісності даних припускає введення в кожне повідомлення деякої додаткової інформації, що є функцією від змісту повідомлення;

4) служба контролю доступом. Забезпечує захист від несанкціо­нова­ного доступу до інформації, що знаходиться у віддалених банках даних, або від несанкціонованого використання мережі. Якщо об’єкт ро­бить спробу використовувати несанкціонований ресурс або санкціоно­ваний ресурс із неправильним типом доступу, то функція контролю доступу буде відхиляти цю спробу і може повідомити про цю спробу для ініціювання аварійного сигналу і (або) реєстрації його як частини даних перевірки безпеки. Механізми контролю доступу можуть використову­ва­тися на будь-якому кінці з’єднання і (або) у будь-якому проміжному вузлі;

5) служба цілісності інформації. Забезпечує доказ цілісності повідом­лення, прийнятого від відповідного джерела і знаходиться на збереженні, наприклад, у терміналі-приймачі, і яке може бути перевірене в будь-який момент часу арбітром (третьою стороною);

6) cлужба доставки. Забезпечує захист від спроб зловмисника пору­ши­ти зв’язок або затримати передавання повідомлення на час, що пере­ви­щує цінність переданої в повідомленні інформації; ця служба безпо­се­ред­ньо пов’язана з процесами передавання інформації в мережах зв’язку [35].