Разграничение доступа к информации в сети.
Для предотвращения НСД используется также идентификация и допуск пользователей с разграничением доступа к защищаемым ресурсам. При этом процесс идентификации предполагает идентификацию пользователей, периферийных устройств, отдельных средств вычислительной техники (СВТ) при работе их в составе информационных сетей и идентификацию программного обеспечения.
Разграничение доступа может включать в себя разграничение доступа к терминалам, к массивам информации, к носителям информации, к операциям над данными и разграничение доступа должностных лиц. При групповом использовании СВТ доступ пользователей к информации осуществляется в зависимости от санкционированных им функций. Например, для защиты файлов применяются программы, которые реализуют правила разграничения доступа в виде таблиц полномочий. В таблице для каждого защищаемого файла записаны идентификаторы пользователей, которым разрешен доступ к данному файлу и разрешенный вид доступа для каждого пользователя (считывание, запись, выполнение и т.д.).
Так как защищать информацию надо не только от злоумышленников, но и от самих пользователей сети, то необходимо серьезно относиться к созданию учетных записей, управлению ими и назначению привилегий. Создавая учетную запись в среде Windows надо четко продумать какой необходим ей уровень привилегий и разрешений иначе под данной записью получить доступ к конфиденциальной информации сможет пользователь, не имеющий на это прав. Это достигается путем назначения конкретных разрешений (прав) учетным записям. Для увеличения количества пользователей с одинаковыми возможностями доступа к информации создают новые учетные записи с равными привилегиями, а для удобства управления ими - включают в группы. Это дает возможность облегчить администрирование благодаря тому, что привилегии и разрешения назначаются уже только группе и автоматически присваиваются всем пользователям этой группы. Использование групп особо удобно при большом числе пользователей. Кроме того, для ужесточения политики безопасности используются ограничения максимального, минимального срока действия пароля учетной записи, длины и не повторяемости пароля. Все эти привилегии определяются в процессе загрузки операционной среды, но возможны способы разграничения доступа и в процессе работы операционной среды. Они реализуются лишь при использовании файловой системы NTFS. Данная файловая система по сравнению с FAT дает возможность еще разграничивать доступ к каждой папке на диске подобно тому как это делается с учетными записями. Все это вместе повышает степень безопасности конфиденциальной информации.
Достаточно часто предотвратить физический доступ посторонних лиц к сети или носителю невозможно, например, при передаче электронных писем и файлов через Internet, или при соединении компьютеров через модем по абонентской линии выходящей за пределы контролируемой зоны. Информация может передаваться на CD или дискетах, которые могут быть похищены или утеряны. Поэтому необходимо предусмотреть меры для предотвращения доступа к конфиденциальной информации, а также предотвращения искажения ее в случае, если информация все-таки попала в руки злоумышленнику.
Самой надежной зашитой от несанкционированного доступа к передаваемой по сети информации и программным продуктам ПК является применение различных методов шифрования (криптографических методов защиты информации). Пожалуй, самое уязвимое место в криптографии - это возможность подделки открытых ключей. Вероятно, это самое серьезное слабое место любой криптосистемы с открытыми ключами, в частности, потому, что большинство новичков не в состоянии немедленно обнаружить такую подделку. Для защиты открытых ключей от подделки необходимо, когда используется чей-то открытый ключ, удостовериться, что он не был подделан. Целостности нового чужого открытого ключа следует доверять, только если он получен непосредственно от его владельца или подписан кем-то, кому можно доверять. Нужно обеспечивать невозможность подделки открытых ключей. Сохранять физический контроль, как над открытыми ключами, так и над закрытым ключом, сохранять их на своем персональном компьютере, а не на удаленной системе с разделением доступа.
Существует большое число программных продуктов шифрования информации, которые продаются вместе с операционной системой. Эти программы преобразуют обычную текстовую информацию в зашифрованные данные (шифротекст) посредством специального алгоритма, доступ к которому осуществляется при помощи ключа. Ниже приведены примеры таких программ.
Программные средства DES
Криптографические алгоритмы DES являются широко используемым механизмом шифрования данных в наше время. Существует большое число его аппаратных и программных реализаций, преобразующих исходную информацию. Физически информация хранится в зашифрованном виде на жестком диске, для обращения к ней в системе создается виртуальный диск, к которому можно обратиться как к обычному диску или дискете, введя правильный ключ.
Программный пакет EXCELLENCE
Программное обеспечение системы криптографической защиты данных, хранится на жестком диске. Разрешение на доступ к информации дается на основе таблицы разграничения доступа, которая может корректироваться лицом, ответственным за безопасность системы.
Программный пакет RETURNTOLIFE
Пакет представляет собой систему помехоустойчивого кодирования информации. Он позволяет осуществлять защиту системы или отдельных файлов от несанкционированного использования. В процессе зашиты секретная информация (кодовый ключ) может быть записан на дискету или жесткий диск.
Программа DISKREET
Входит в состав пакета Norton Utilities, работает в операционной среде MSDOS и Windows. Она также реализует алгоритм DES при шифровании файлов, обладает рядом других возможностей (блокировки клавиатуры и экрана), таких как создание шифрованных объектов на уровне файлов или виртуальных (логических) дисков.
Программный пакет PROTEST
Защищает текстовые файлы, базы данных. Принцип защиты основан на кодировании информации с учетом особенностей конфигурации ПК, в частности, жесткого диска, видеоадаптера, портов. Кроме того, для защиты информации используется ключевая дискета, которая форматируется определенным образом - в первый сектор записывается номер ключа.
Программно - аппаратный комплекс DALLAS LOCK
Предназначен для защиты компьютера от НСД путем шифрования файлов на дискетах и винчестере. Для шифрования используется программа Lock. exe, а для дешифрования применяется программа Unloc. exe. Процесс обращения предельно прост в использовании - достаточно указать имя расшифровываемого файла и код ключа.
Программный пакет SECRET DISK
Пакет позволяет шифровать и расшифровать файлы, виртуальные (логические) диски и дискеты. Позволяет изменять атрибуты главного файла, изменять кодовые ключи.
Программный модуль PROGRAMPROTECT
Система работает под управлением MS DOS и предназначена для шифрования файлов. Ограничивает доступ к файлам путем организации запроса кода. Устанавливает защиту от несанкционированного копирования с невозможностью ее снятия. Защита снимается только форматированием, т.е. уничтожением информации.
Программа Prettygoodprivacy (PGP)
PGP использует шифрование с открытым ключом для защиты файлов данных и электронной почты. С ее помощью можно надежно связаться с людьми, которых вы никогда не встречали, без использования специальных каналов связи для предварительного обмена ключами. Программа PGP обладает многими полезными качествами, работает быстро, позволяет осуществлять сложные манипуляции с ключами, реализует электронные подписи, позволяет сжимать данные и хорошо спроектирована. PGP очень сильное средство криптографической защиты. Сила заключается не в том, что никто не знает, как ее взломать иначе как используя "лобовую атаку", а в превосходно продуманном и мощном механизме обработки ключей, быстроте, удобстве и широте распространения.
Данная программа относится к классу систем с двумя ключами, публичным и секретным. Это означает, что можно сообщить о своем публичном ключе всему свету, при этом пользователи программы смогут отправлять зашифрованные сообщения, которые никто, кроме них, расшифровать не сможет, т.к секретный ключ находится в тайне.
Таким образом, приведенные выше программные комплексы позволяют осуществить защиту информации при обработке и хранении ее на компьютере, включенном в сеть и при передаче ее по сети.
Исходя из анализа программ можно сказать, что для защиты файлов данных и электронной почты целесообразно использовать программу PGP Благодаря стойкости её алгоритма и использовании публичного и секретного ключей.