Смекни!
smekni.com

Безопасность в распределенных системах (стр. 1 из 4)

Комитет по науке и высшему образованию

Московский Государственный Институт Электроники и Математики (ТУ).

Кафедра "Вычислительные машины,
комплексы, системы и сети".

КУРСОВАЯ РАБОТА

по курсу “Сети рабочих станций”.

Тема

Безопасность в распределенных системах

Выполнил студент группы С-102
Курбатов К.А.

Руководитель

Григорьева И.Б.

Подпись _____________________

Подпись _____________________

Москва 1998.
Оглавление

Введение........................................................................................................................................................... 3

Безопасность в среде баз данных............................................................................................ 4

Определение потребности в защите информации................................................... 5

Шифрование.................................................................................................................................................. 6

Некоторые решения.............................................................................................................................. 7

Понятия идентификации и аутентификации в достоверных системах 9

Некоторые реализации.................................................................................................................... 11

Перспективы развития..................................................................................................................... 13

Защищенные СУБД других поставщиков........................................................................ 13

Система Kerberos.................................................................................................................................. 13

Клиент/ Kerberos/ Cepвep................................................................................................................ 13

Связь между Kerberos-областями......................................................................................... 17

Целевой сервер........................................................................................................................................ 17

Kerberos-5..................................................................................................................................................... 18

Заключение................................................................................................................................................ 19

Литература................................................................................................................................................... 20

Введение

Концентрация информации в компьютерах — аналогично концентрации наличных денег в банках — заставляет все бо­лее усиливать контроль в целях защиты информации. Юриди­ческие вопросы, частная тайна, национальная безопасность — все эти соображения требуют усиления внутреннего контроля в коммерческих и правительст­венных организациях. Работы в этом направлении привели к появлению новой дисциплины: безопасность информации. Специалист в области безопас­ности информации отвечает за разработку, реализацию и экс­плуатацию системы обеспече­ния информсционной безопас­ности, направленной на под­держание целостности, пригод­ности и конфиденциальности накопленной в организации ин­формации. В его функции вхо­дит обеспечение физической (технические средства, линии связи и удаленные компьюте­ры) и логической (данные, прикладные программы, опера­ционная система) защиты ин­формационных ресурсов.

Сложность создания системы защиты информации определяется тем, что данные могут быть похищены из компьютера и одновременно оставать­ся на месте; ценность некоторых данных заключается в обладании ими, а не в уничтожении или изменении.

Проблема защиты компьютер­ных сетей от несанкциониро­ванного доступа приобрела особую остроту. Развитие ком­муникационных технологий позволяет строить сети распре­деленной архитектуры, объеди­няющие большое количество сегментов, расположенных на значительном удалении друг от друга. Все это вызывает увели­чение числа узлов сетей, раз­бросанных по всему миру, и ко­личества различных линий свя­зи между ними, что, в свою оче­редь, повышает риск несанкци­онированного подключения к сети для доступа к важной ин­формации. Особенно неприят­ной такая перспектива может оказаться для банковских или государственных структур, об-ладающих секретной информа­цией коммерческого или любо­го другого характера. В этом случае необходимы специаль­ные средства идентификации пользователей в сети, обеспе­чивающие доступ к информа­ции лишь в случае полной уве­ренности в наличии у пользова­теля прав доступа к ней.

Существует ряд разработок, позволяющих с высокой степенью на­дежности идентифицировать пользователя при входе в систему. Сре­ди них, например, есть технологии, идентифицирующие пользователя по сетчатке глаза или отпечаткам пальцев. Кроме того, ряд систем ис­пользуют технологии, основанные на применении специального иден­тификационного кода, постоянно передаваемого по сети. Так, при ис­пользовании устройства SecureID (фирмы Security Dinamics) обеспе­чивается дополнительная информация о пользователе в виде шести­значного кода. В данном случае работа в сети невозможна без наличия специальной карты SecureID (похожей на кредитную), которая обес­печивает синхронизацию изменяющегося кода пользователя с храня­щимися на UNIX-хосте, При этом доступ в сеть и работа в ней может осуществляться лишь при знании текущего значения кода, который отображается на дисплее устройства SecureID. Однако основным не­достатком этой и ей подобных систем является необходимость в спе­циальном оборудовании, что вызывает неудобства в работе и дополни­тельные затраты.

В статье рассматриваются некоторые возможности обеспечения безопас­ности в системах — шифрование информации при передаче по каналам связи и использование надежных (достоверных, доверительных) (Trusted) систем — на примере СУБД ORACLE, а так же система защиты от несанкционированого доступа к сети Kerberos.

Безопасность в среде баз данных

Очевидные достоинства баз данных в современной среде обработки дан­ных служат гарантией их дальнейшего развития и использования. Конт­роль доступа в этой области важен ввиду колоссальной концентрации ин­формации.

В настоящий момент «хребтом» базовых систем обработки информации во многих больших организациях является локальная сеть, которая посте­пенно занимает такое же место и в фирмах меньшего размера. Растущая по­пулярность локальных сетей требует соответствующей защиты информа­ции, но исторически они были спроектированы как раз не для разграниче­ния, а для облегчения доступа и коллективного использования ресурсов. В среде локальных сетей в пределах здания или района (городка) сотрудник, имеющий доступ к физической линии, может просматривать данные, не предназначенные для него. В целях защиты информации в различных ком­бинациях используются контроль доступа, авторизация и шифрование ин­формации, дополненные резервированием.

Определение потребности в защите информации

Обеспечение безопасности информации — дорогое дело, и не столько из-за затрат на закупку или установку средств, сколько из-за того, что труд­но квалифицированно определить границы разумной безопасности и соот­ветствующего поддержания системы в работоспособном состоянии.

Если локальная сеть разрабатывались в целях совместного использова­ния лицензионных программных средсов, дорогих цветных принтеров или больших файлов общедоступной информации, то нет никакой потребности даже в минимальных системах шифрования/дешифрования информации.

Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ.

Анализ риска должен дать объективную оценку многих фак­торов (подверженность появлению нарушения работы, веро­ятность появления нарушения работы, ущерб от коммерче­ских потерь, снижение коэффициента готовности системы, общественные отношения, юридические проблемы) и предо­ставить информацию для определения подходящих типов и уровней безопасности. Коммерческие организации все в боль­шей степени переносят критическую корпоративную инфор­мацию с больших вычислительных систем в среду открытых систем и встречаются с новыми и сложными проблемами при реализации и эксплуатации системы безопасности. Сегодня все больше организаций разворачивают мощные распределен­ные базы данных и приложения клиент/сервер для управле­ния коммерческими данными. При увеличении распределе­ния возрастает также и риск неавторизованного доступа к дан­ным и их искажения.

Шифрование данных традиционно использовалось прави­тельственными и оборонными департаментами, но в связи с изменением потребностей и некоторые наиболее солидные компании начинают использовать возможности, предоставляе­мые шифрованием для обеспечения конфиденциальности ин­формации.

Финансовые службы компаний (прежде всего в США) представляют важную и большую пользовательскую базу и ча­сто специфические требования предъявляются к алгоритму, ис­пользуемому в процессе шифрования. Опубликованные алго­ритмы, например DES (См. ниже), являются обязательными. В то же время, рынок коммерческих систем не всегда требует та­кой строгой защиты, как правительственные или оборонные ве­домства, поэтому возможно применение продуктов и другого типа, например PGP (Pretty Good Privacy).

Шифрование

Шифрование данных может осуществляться в режимах On-Line (в темпе поступления информации) и Off-Line (авто­номном). Остановимся подробнее на первом типе, представля­ющем больший интерес. Наиболее распространены два алго­ритма.

Стандарт шифрования данных DES (Data Encryption Standard) был разработан фирмой IBM в начале 70-х годов и в настоящее время является правительственным стандартом для шифрования цифровой информации. Он рекомендован Ассо­циацией Американских Банкиров. Сложный алгоритм DES ис­пользует ключ длиной 56 бит и 8 битов проверки на четность и требует от злоумышленника перебора 72 квадриллионов воз­можных ключевых комбинаций, обеспечивая высокую степень защиты при небольших расходах. При частой смене ключей ал­горитм удовлетворительно решает проблему превращения кон­фиденциальной информации в недоступную.