Информационная безопасность. Курс лекций - А. Артемов

Защита конкретной сети должна строиться с учетом конкретных особенностей: назначения, топологии, особенностей конфигурации, потоков информации, количества пользователей, режима работы и т. д.

Кроме того, существуют специфические особенности защиты информации на микрокомпьютерах, в базах данных. Нельзя также упускать из виду такие аспекты, как физическая защита компьютеров, периферийных устройств, дисплейных и машинных залов. Иногда бывает необходим и «экзотический» вид защиты – от электромагнитного излучения или защита каналов связи.

Основные этапы построения системы защиты заключаются в следующем:

Анализ → Разработка системы защиты (планирование) → Реализация системы защиты → Сопровождение системы защиты.

Этап анализа возможных угроз АСОИБ необходим для фиксирования на определенный момент времени состояния АСОИБ (конфигурации аппаратных и программных средств, технологии обработки информации) и определения возможных воздействий на каждый компонент системы. Обеспечить защиту АСОИБ от всех воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации. Поэтому надо выбрать из всего множества возможных воздействий лишь те, которые могут реально произойти и нанести серьезный ущерб владельцам и пользователям системы.

На этапе планирования формируется система защиты как единая совокупность мер противодействия различной природы.

По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: правовые, морально-этические, административные, физические и технические (аппаратные и программные) [7, с.28].

Вопрос 4. Безопасность компьютерных сетей в банке

Классификация сетей.

Сети компьютеров имеют множество преимуществ перед совокупностью отдельных систем, в их числе следующие:

✓ Разделение ресурсов. Пользователи сети могут иметь доступ к определенным ресурсам всех узлов сети. В их числе, например, наборы данных, свободная память на удаленных узлах, вычислительная мощность удаленных процессоров и т. д. Это позволяет экономить значительные средства за счет оптимизации использования ресурсов и их динамического перераспределения в процессе работы.

✓ Повышение надежности функционирования системы. Поскольку сеть состоит из совокупности отдельных узлов, то в случае сбоя на одном или нескольких узлах другие узлы смогут взять на себя их функции. При этом пользователи могут даже и не заметить этого– перераспределение задач возьмет на себя программное обеспечение сети.

✓ Распределение загрузки. В сетях с переменным уровнем загруженности имеется возможность перераспределять задачи с одних узлов сети (с повышенной нагрузкой) на другие, где имеются свободные ресурсы. Такое перераспределение может производиться динамически в процессе работы, более того, пользователи могут даже и не знать об особенностях планирования задач в сети. Эти функции может брать на себя программное обеспечение сети.

Равномерное распределение загрузки можно обеспечить путем специальной настройки маршрутизаторов на объявление и прием информации об определенных маршрутах.

Для распределения нагрузки и обеспечения отказоустойчивости в многодомной конфигурации, имеющей резервные подключения к различным провайдерам используются те же методы, что и при многодомной конфигурации с единственным провайдером. Следует, однако, помнить, что атрибут MED используется только в тех случаях, когда AS имеет множественные связи с другой AS (т. к. действие MED не является транзитивным). Поэтому если к каждому провайдеру имеется только по одному соединению, атрибут MED задействовать нельзя (такая конфигурация показана на рисунке 1 для компании А).

Рис. 1 Пример многодомной конфигурации

Вместо этого администратор для объявления маршрута может воспользоваться атрибутом AS-PATH. Например, чтобы установить AS1 как резервное соединение для 130.1.0.0/16, администратор может создать фиктивное значение AS-PATH, увеличив нормальное значение атрибута (4) на 4. Когда Router 3 объявляет 130.1.0.0/16 со значением атрибута AS-PATH равным 4 для AS1, система AS1 будет объявлять для AS3 маршрут с атрибутом 1 4 4. Маршрутизатор Router 4 рекламирует 130.1.0.0/16 для AS2 с нормальным значением 4, а AS2 рекламирует для AS3 этот адрес со значением AS-PATH 2 4. Таким образом, AS3 будет выбирать для трафика 130.1.0.0/16 маршрут через AS2 как наиболее короткий.

При подключении к нескольким различным провайдерам следует заблокировать все маршруты, кроме необходимых для связи с провайдером и тех, которые будут использоваться внутри AS. В противном случае провайдеры смогут обнаружить короткий путь через AS и сеть компании станет транзитным путем для трафика между провайдерами.

✓ Расширяемость.

Сеть может быть легко расширена за счет добавления новых узлов. При этом архитектура практически всех сетей позволяет легко адаптировать сетевое программное обеспечение к изменениям конфигурации. Более того, это может производиться автоматически.

Однако с точки зрения безопасности эти достоинства превращаются в уязвимые места, порождая серьезные проблемы.

Особенности работы в сети определяются ее двойственным характером: с одной стороны, сеть следует рассматривать как единую систему, а с другой, – как совокупность независимых систем, каждая из которых выполняет свои функции; имеет своих пользователей. Эта же двойственность проявляется в логическом и физическом восприятии сети: на физическом уровне взаимодействие отдельных узлов осуществляется с помощью сообщений различного вида и формата, которые интерпретируются протоколами. На логическом уровне (т. е. сточки зрения протоколов верхних уровней) сеть представляется как совокупность функций, распределенных по различным узлам, но связанных в единый комплекс.

Сети подразделяются:

1 По топологии сети (классификация по организации физического уровня).

✓ Общая шина.

Все узлы соединены с общей высокоскоростной шиной передачи данных. Они одновременно настроены на прием сообщения, но каждый узел может принять только то сообщение, которое предназначено ему. Адрес идентифицируется контроллером сети, при этом в сети может быть только один узел с заданным адресом. Если два узла одновременно заняты передачей сообщения (столкновение пакетов), то один из них или они оба ее прекращают, ожидают случайный интервал времени, затем возобновляют попытку передачи (метод разрешения конфликтов). Возможен другой случай – в момент передачи каким-либо узлом сообщения по сети, другие узлы начать передачу не могут (метод предотвращения конфликтов). Такая топология сети является очень удобной: все узлы являются равноправными, логическое расстояние между любыми двумя узлами равно 1, скорость передачи сообщений велика. Впервые организация сети «общая шина» и соответствующие протоколы нижних уровней были разработаны совместно компаниями DIGITAL и Rank Xerox, она получила название Ethernet.

✓ Кольцо.

Сеть построена в виде замкнутого контура однонаправленных каналов между станциями. Каждая станция принимает сообщения по входному каналу, в начале сообщения содержится адресная и управляющая информация. На основании ее станция принимает решение сделать копию сообщения и убрать его из кольца либо передать по выходному каналу на соседний узел. Если в настоящий момент не передается никакого сообщения, станция сама может передать сообщение.

В кольцевых сетях используется несколько различных способов

управления:

– гирляндная – управляющая информация передается по отдельным совокупностям (цепям) компьютеров кольца;

– управляющий маркер – управляющая информация оформляется в виде определенного битового шаблона, циркулирующего по кольцу; только при получении маркера станция может выдать сообщение в сеть (наиболее известный способ, получивший название token ring);

– сегментная – по кольцу циркулирует последовательность сегментов. Обнаружив пустой, станция может поместить в него сообщение и передать в сеть;

– вставка регистров – сообщение загружается в регистр сдвига и передается в сеть когда кольцо свободно.

✓ Звезда.

Сеть состоит из одного узла-концентратора и нескольких соединенных с ним терминальных узлов, непосредственно между собой несвязанных. Один или несколько терминальных узлов могут являться концентраторами другой сети, в этом случае сеть приобретает древовидную топологию.

Управление сетью полностью осуществляется концентратором; терминальные узлы могут связываться между собой только через него. Обычно на терминальных узлах выполняется лишь локальная обработка данных. Обработка данных, имеющих отношение ко всей сети, осуществляется на концентраторе. Она носит название централизованной. Управление сетью обычно осуществляется с помощью процедуры опроса: концентратор через определенные промежутки времени опрашивает по очереди терминальные станции – есть ли для него сообщение. Если есть – терминальная станция передает сообщение на концентратор, если нет – осуществляется опрос следующей станции. Концентратор может передать сообщение одному или нескольким терминальным станциям в любой момент времени.