Лекция: Разработка методов защиты информации в сети
Всем защитным мерам должен предшествовать анализ угроз. К числу угроз можно отнести все, что влечет за собой потерю данных в сети, в том числе:
· воровство или вандализм;
· пожар;
· отказы источников питания и скачки напряжения;
· отказы компонентов;
· природные явления (молния, наводнения, бури и землетрясения).
Существуют методы и системы, предотвращающие катастрофическую потерю данных:
· резервное копирование на магнитную ленту;
· источники бесперебойного питания;
· отказоустойчивые системы;
· предупреждение кражи данных;
· пароли и шифрование;
· аудит;
· бездисковые компьютеры;
· обучение пользователей;
· физическая защита оборудования;
· защита от вирусов
Аудит — это запись определенных событий в журнал безопасности сервера. В проекте нужно выбрать методы и системы для предотвращения потери данных, соответствующие перечню наиболее реальных угроз безопасности в заданной предметной области, приводящих к наиболее тяжелым последствиям для вычислительной сети. Необходимой функцией средств обеспечения безопасности является регистрация деятельности пользователей. Для каждой базы данных, отдельного документа и даже отдельного поля записи в файле базы данных могут быть установлены:
· список пользователей, имеющих право доступа;
· функции, которые может выполнять пользователь;
· привилегии для доступа к выбранной информации.
Этапы планирования информационной безопасности представлены на рис 7.
Рисунок 7. Этапы планирования информационной безопасности
В проектируемой вычислительной сети нужно выборочно наделить пользователей правами доступа к каталогам и создать группы для предоставления доступа к общим сетевым ресурсам. Пример определения прав доступа для групп пользователей показан в таблице 8.
Таблица 8
Название группы | Внутренние ресурсы | Уровни доступа к внутренним ресурсам | Доступ в Internet и электронная почта |
Администраторы | Все сетевые ресурсы | Права администратора в каталогах, в том числе изменение уровня и прав доступа | Все сетевые ресурсы |
Разработчики | Базы данных разрабатываемых документов | Создание, чтение файлов, запись в файл, создание подкаталогов и файлов, удаление каталогов, поиск файлов, изменение каталогов | Все сетевые ресурсы |
Сотрудники в офисе | Вся информация предприятия (учреждения) | Ограничение доступа к папкам (по необходимости) | Ограничение по IP- адресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции) |
Сотрудники вне офиса | Вся информация предприятия (учреждения) | Ограничение доступа к папкам (по необходимости) | Ограничение по IP- адресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции), аутентификация удаленного пользователя перед осуществлением доступа |
Поставщики, деловые партнеры, клиенты | Специальные каталоги и папки для производителей, партнеров и клиентов | Доступ только к специально отведенным областям | Ограничение по IP- адресу (адресата и источника). Идентификация и аутентификация удаленного пользователя |
Потенциальные клиенты | Специальные каталоги и папки для клиентов | Просмотр объектов (чтение и поиск файлов) | При открытом доступе Интрасеть должна быть изолирована; идентификация пользователя не требуется |