Защита информации в сетях


Сетевые операционные системы используют единую схему аудита, проверки подлинности и полномочий пользователя:

- пользователь указывает имя своей учетной записи и пароль только один раз во время входа в систему, а затем получает доступ ко всем информационным ресурсам корпоративной сети;

- администратор ограничивает доступ к данным, модифицируя списки прав доступа к ресурсам;

- доступ пользователей к документам контролируется посредством аудита.

В частности, каждому пользователю в сети соответствует персональная учетная запись, параметры которой определяют его права и обязанности в домене. Учетная запись содержит такую информацию о пользователе, как его имя, пароль или ограничения на доступ к ресурсам.

Учетные записи бывают двух типов: глобальные и локальные. Локальные учетные записи определяют права пользователей на конкретном компьютере и не распространяются на весь домен. При регистрации по локальной учетной записи пользователь получает доступ только к ресурсам данного компьютера. Для доступа к ресурсам домена пользователь должен зарегистрироваться в домене, обратившись к своей глобальной учетной записи. Если сеть состоит из нескольких доменов и между ними установлены доверительные отношения, то возможна так называемая сквозная регистрация, то есть пользователь, отмечаясь один раз в своем домене, получает доступ к ресурсам доверяющего домена, в котором у него нет персональной учетной записи.

Пароль играет одну из самых важных ролей при регистрации пользователя в сети, так как именно путем подбора пароля может происходить незаконный доступ к сетевым ресурсам. Поэтому операционная система обычно содержит ряд мощных механизмов, связанных с паролем пользователя. Это:

- уникальность пароля и хранение истории паролей;

--максимальный срок действия, после которого пароль необходимо изменить;

- минимальная длина и минимальный срок хранения пароля;

- блокировка учетной записи при неудачной регистрации.

Учетные записи обычно объединяются в группы, так что администратор может оперировать правами большого числа пользователей с помощью одной учетной записи. Изменение в учетной записи группы приводит к автоматическому изменению учетных записей всех пользователей, входящих в эту группу.

Полномочия(возможности) пользователя в системе определяются набором его прав. Права пользователей бывают стандартные и расширенные.

К стандартным относятся такие права, как возможность изменять системное время, выполнять резервное копирование файлов, загружать драйверы устройств, изменять системную конфигурацию, выполнять выключение сервера и т. п.

Расширенные права во многом являются специфичными для операционной системы или приложений.

Брандмауэр или межсетевой экран — это «полупроницаемая мембрана», которая располагается между защищаемым внутренним сегментом сети и внешней сетью или другими сегментами сети Интранет и контролирует все информационные потоки во внутренний сегмент и из него. Контроль трафика состоит в его фильтрации, то есть выборочном пропускании через экран, а иногда и с выполнением специальных преобразований и формированием извещений для отправителя, если его данным в пропуске было отказано. Фильтрация осуществляется на основании набора условий, предварительно загруженных в брандмауэри отражающих концепцию информационной безопасности корпорации. Брандмауэры могут быть выполнены как в виде аппаратного, так и программного комплекса, записанного в коммутирующее устройство или сервер доступа (сервер-шлюз, прокси-сервер, хост-компьютер и т. д.), встроенного в операционную систему или представлять собой работающую под ее управлением программу.

Работа брандмауэра заключается в анализе структуры и содержимого информационных пакетов, поступающих из внешней сети, и в зависимости от результатов анализа пропуска пакетов во внутреннюю сеть (сегмент сети) или полное их отфильтровывание.. Межсетевые экраны обычно выполняют следующие функции:

- физическое отделение рабочих станций и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи;

- многоэтапную идентификацию запросов, поступающих в сеть (идентификация серверов, узлов связи и прочих компонентов внешней сети);

- проверку полномочийи прав доступа пользователей к внутренним ресурсам сети;

- регистрацию всех запросов к компонентам внутренней подсети извне;

- контроль целостности программного обеспечения и данных;

- экономию адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов);

- сокрытие IP-адресов внутренних серверов с целью защиты от хакеров.

В брандмауэре можно создавать экспертную систему, которая, анализируя трафик, диагностирует события, могущие представлять угрозу безопасности внутренней сети, и извещает об этом администратора. Экспертная система способна также в случае опасности (спам например) автоматически ужесточать условия фильтрации и т. д.