Захист від несанкціонованого доступу до інформації

Проблема несанкціонованого доступу

Несанкціонований доступ (НСД) до комп’ютерної системи може проводиться з метою:

  • читання і модифікації електронних документів, які обробляються в системі;
  • здійснення перехоплення різної ключової інформації, яка використовується для захисту електронних документів;
  • використання захопленої комп’ютерної системи в засоби для захоплення інших комп’ютерів локальної мережі;
  • знищення зберігається в комп’ютерній системі інформації або виведення комп’ютера з ладу шляхом впровадження шкідливого програмного забезпечення.

Подібні дії зловмисник може здійснити за допомогою впровадження керованого програмного засобу в комп’ютерну систему. Захист комп’ютерної системи від несанкціонованого доступу є однією з основних проблем захисту інформації. З цією метою більшість операційних систем і пакетів програм містять вбудовані підсистеми захисту від несанкціонованого доступу (наприклад, аутентифікація користувачів при вході в операційну систему Windows). Очевидно, що серйозна захист від несанкціонованого доступу не може бути обмежена лише вбудованими засобами операційних систем.

Доповненням до стандартних засобів захисту є спеціальні засоби обмеження доступу, які поділяють на 2 види:

  • Обмеження фізичного доступу.
  • Захист від несанкціонованого доступу доступу по мережі.

Засоби обмеження фізичного доступу

Апаратні засоби захисту інформації від несанкціонованого доступу, які починають свою роботу до завантаження операційної системи, надають найбільш надійне обмеження фізичного доступу до комп’ютерної системи. Такі засоби захисту називаються електронними замків.

На відміну від програмних засобів контролю доступу, спотворити алгоритм роботи апаратного засоби захисту практично неможливо. Електронний замок контролює доступ користувачів за допомогою власної довіреної програмного середовища, не схильною до зовнішніх впливів.

Встановлення та налаштування електронного замка зазвичай виконує адміністратор – відповідальна особа з безпеки. Під час налаштування виконуються наступні дії:

Створюється список користувачів, яким надано дозвіл на доступ на об’єкт, що захищається комп’ютер. Список зберігається в незалежній пам’яті електронного замку. Кожному користувачеві видається ключовий носій (флеш-пам’ять, електронна таблетка, смарт-карта і т.д., в залежності від типу використовуваного замку), який дозволяє аутентифицировать користувача при вході.

Формується список файлів, які піддаються особливого захисту до завантаження операційної системи. Контролю піддаються особливо важливі файли операційної системи, серед яких:

  • системні бібліотеки операційної системи;
  • виконувані модулі додатків;
  • шаблони текстових документів і т. д.

При включенні комп’ютера електронний замок отримує управління від BIOS і виконує всі дії по контролю доступу на комп’ютер. При успішному виконанні всіх перевірок замок передає управління комп’ютера для завантаження його операційної системи. Замок має свою операційну систему, яка знаходиться в його незалежній пам’яті (MS-DOS або інша не вимоглива до ресурсів ОС), в якій здійснюється перевірка автентичності користувача та перевірка цілісності файлів. У ній зберігається інформація про входах користувачів на комп’ютер і про спроби несанкціонованого доступу, яка може бути переглянута адміністратором.

Засоби захисту від несанкціонованого доступу по мережі

Найбільш надійні методи захисту від несанкціонованого доступу через комп’ютерні мережі – віртуальні приватні мережі (VPN – Virtual Private Network) і межсетевое екранування.

Віртуальними приватними мережами забезпечується автоматичний захист цілісності і конфіденційності повідомлень, які передаються через мережі загального користування (наприклад, Інтернет).

VPN можна уявити як сукупність мереж, на зовнішньому периметрі яких встановлені VPN-агенти.

VPN-агент- це програма (або програмно-апаратний комплекс), яка забезпечує захист інформації, що передається, виконуючи такі операції:

  • Виділення інформації з заголовка IP-пакета про його адресата. Використовуючи отриману інформацію, VPN-агент вибирає алгоритм захисту і криптографічні ключі для захисту даного пакету.
  • Додавання в IP-пакет електронного цифрового підпису (ЕЦП), імітопріставкі або аналогічної контрольної суми.
  • Шифрування IP-пакета за обраним алгоритмом.
  • Трансляція мережевих адрес.
  • Відправлення пакета VPN-агенту адресата.

Практично в зворотній послідовності проводиться прийом IP-пакета VPN-агентом. Основним правилом побудови VPN є здійснення зв’язку між захищеної локальної мережею і загальнодоступною мережею тільки через VPN-агенти.

Міжмережеве екранування

Брандмауер – програмне або програмно-апаратний засіб, яке забезпечує захист локальних мереж і окремих комп’ютерів від несанкціонованого доступу з боку загальнодоступних мереж за допомогою фільтрації двостороннього потоку повідомлень при обміні інформацією.

Міжмережевий екран, на відміну від VPN-агента, не виконує шифрування пакетів і контроль їх цілісності, але виконує додаткові функції:

  • антивірусне сканування;
  • контроль коректності пакетів;
  • контроль коректності з’єднань;
  • контент-контроль.
ПОДІЛИТИСЯ: