Програмні засоби захисту інформації
Убудовані засоби захисту інформації в мережних ОС доступні, але не завжди, як уже відзначалося, можуть цілком вирішити виникаючі на практиці проблеми. Наприклад, мережні ОС NetWare 3.x, 4.x дозволяють здійснити надійний «ешелонований» захист даних від апаратних збоїв і ушкоджень. Система SFT (System Fault Tolerance - система стійкості до відмовлень) фірми Novell передбачає три основних рівні.
SFT Level I. Перший рівень передбачає, зокрема, створення додаткових копій FAT і Directory Entries Tables, негайну верифікацію кожного знову записаного на файловий сервер блоку даних, а також резервування на кожнім твердому диску близько 2% від обсягу диска. При виявленні збою дані перенаправляються в зарезервовану область диску, а збійний блок позначається як «поганий» і надалі не використовується.
SFT Level II містить додаткові можливості створення «дзеркальних» дисків, а також дублювання дискових контролерів, джерел живлення і інтерфейсних кабелів.
SFT Level III дозволяє використовувати в локальній мережі дубльовані сервери, один із яких є «головним», а другий утримує копію всієї інформації і вступає в роботу у випадку виходу «головного» сервера з ладу.
Система контролю й обмеження прав доступу в мережах NetWare (захист від несанкціонованого доступу) також містить кілька рівнів:
·
|
· рівень прав користувачів («персональні» обмеження на виконання окремих операцій і/або обмеження на роботу даного користувача як члена визначеного підрозділу, в окремих частинах файлової системи мережі);
· рівень атрибутів каталогів і файлів (обмеження на виконання окремих операцій типу видалення, редагування або створення, що йдуть з боку файлової системи і всіх користувачів, що намагаються працювати з даними каталогами або файлами);
· рівень консолі файлу-сервера (блокування клавіатури файлу-сервера на час відсутності мережного адміністратора до введення їм спеціального пароля).
Однак покладатися на цю частину системи захисту інформації в ОС NetWare можна не завжди. Свідченням тому є численні інструкції в Internet і готові доступні програми, що дозволяють зламати ті або інші елементи захисту від несанкціонованого доступу. Те ж зауваження справедливе стосовно інших потужних мережних ОС з убудованими засобами захисту інформації (Windows NT, UNIX).
Справа в тому, що захист інформації - це тільки частина з численних задач, розв'язуваних мережними ОС. «Випинання» однієї з функцій на шкоду іншим (при зрозумілих розумних обмеженнях на обсяг, займаний даною ОС на твердому диску) не може бути магістральним напрямком розвитку таких програмних продуктів загального призначення, яким є мережні ОС.
У той же час у зв'язку з гостротою проблеми захисту інформації спостерігається тенденція інтеграції (убудовування) окремих засобів, що добре зарекомендували себе, і стандартних засобів у мережні ОС або розробка власних «фірмових» аналогів відомих програм захисту інформації. Так, у мережній ОС NetWare 4.1 передбачена можливість кодування даних за принципом «відкритого ключа» (алгоритм RSA) з формуванням електронного підпису для переданих по мережі пакетів.
Спеціалізовані програмні засоби захисту інформації від несанкціонованого доступу мають у цілому кращі можливості і характеристики, ніж убудовані засоби мережних ОС. Крім програм шифрування, існує багато інших доступних зовнішніх засобів захисту інформації. З найчастіше згадуваних слід зазначити наступні дві системи, що дозволяють обмежити інформаційні потоки.
Firewalls - брандмауери (дослівно firewall — вогненна стіна). Між локальною і глобальною мережами створюються спеціальні проміжні сервери, що інспектують і фільтрують весь минаючий через них трафік мережно-го/транспортного рівнів. Це дозволяє різко знизити погрозу несанкціонованого доступу ззовні в корпоративні мережі, але не усуває цю небезпеку зовсім. Більш захищений різновид методу - це спосіб маскараду (masquerading), коли весь вихідний з локальної мережі трафік посилається від імені firewall-сервера, роблячи локальну мережу практично невидимою.
Proxy-servers (proxy - доручення, довірена особа). Весь трафік мережного/транспортного рівнів між локальною і глобальною мережами забороняється цілком — попросту відсутня маршрутизація як така, а звертання з локальної мережі в глобальну відбуваються через спеціальні сервери-посередники. Очевидно, що при цьому методі звертання з глобальної мережі в локальну стають неможливими в принципі. Очевидно також, що цей метод не дає достатнього захисту проти атак на більш високих рівнях - наприклад, на рівні додатка (віруси, код Java і 9-26835.php">⇐ Назад0123456789101112131415Далее ⇒