Раздел 7. Организация защиты информации в сетях.
Основной целью администрирования является обслуживание пользователей сети. В зависимости от того, какого типа сеть: локальная, состоящая из подсетей территориально распределенная и т.д., выделяются основные и дополнительные обязанности сетевого администратора. Главной обязанностью сетевого системного администратора (сисадмина) является умение регистрировать все происходящие в сети процессы и события и использовать полученные сведения для оптимизации загрузки сетевого оборудования, обнаружения неполадок, узких мест, конфликтов оборудования и программ. Для организации аналитической работы сисадмина, ведутся регистрационные журналы на диске сервера сети. Теоретически в них всегда должно регистрироваться любое вновь устанавливаемое (инсталлируемое) программное обеспечение (ПО) или новое оборудование. Но в документации к программам не всегда явно прописывается, каким образом осуществляется регистрация при установке. Поэтому инсталлируется дополнительно регистрирующее ПО, а также вспомогательные программы, необходимые администратору в специфических случаях. Для ведения контроля за деятельностью сети администратор должен детально знать структуру администрируемой сети и основные характеристики входящих в нее объектов ( серверов, рабочих станций, маршрутизаторов и т.д.). При этом надо знать и регламент работы оборудования сети. В общем случае в обязанности администратора входят следующие функции: ü включение, запуск и остановка сетевых объектов коллективного пользования ( серверов и пр.); ü задание новых учетных данных пользователям сети, замещение и удаление старых записей на тех серверах и объектах, которые входят в ведение администратора; ü организация групп, назначение их идентификаторов, корректировка состава групп, при перемещении рабочих станций; ü обслуживание коммуникаций – электронной почты, анонимных FTP, системы DNS, или контроль за деятельностью сотрудников, выполняющих эти функции; ü организация и обслуживание централизованной службы печати; ü установка расписания для регулярно выполняемых заданий; ü поддержка системы безопасности сети; ü ведение журнала сетевых изменений , обновлений программного обеспечения и других важных событий; ü проверка целостности файловых систем на всех ПК сети; ü проверка состояния сетевых баз данных, дежурное архивирование данных и системных файлов; ü ознакомление пользователей с основными правилами работы в сети и санкциями за их нарушение; ü восстановление информационного, программного обеспечения после сбоев различного характера; ü установка новых сетевых программных и аппаратных средств с их регистрацией в журнале событий; ü отслеживание производительности сети, контроль за использованием ресурсов, выявление причин очередей; ü консультации и разъяснения по сетевому трафику, характеру функционирования сетевых программ и оборудования.
Это типовые обязанности, на самом деле круг его функций значительно шире, поэтому сисадмин должен постоянно читать сетевую документацию и общаться с широким кругом специалистов - поставщиками сетевого и компьютерного оборудования, разработчиками программ, коллегами, специалистами в предметных областях, автоматизированных на предприятии, и т.п.
Актуальность проблемы информационной безопасности и эффективной защиты корпоративных сетевых ресурсов объясняется: Ø ростом числа компьютерных преступлений и атак; Ø недостаточной защитой информационных ресурсов в существующих компьютерных сетях; Ø постоянным развитием сетей, а в связи с этим развитием возможных угроз, которым подвержены шлюзы и серверы Internet, серверы файлов и приложений, серверы групп, электронной почты и рабочие станции; Ø необходимостью минимизации затрат на сетевую безопасность при минимизации информационных рисков.
Каждый абонент сети обязан заботиться о безопасности своего объекта на случай внешнего информационного взлома и о защите ценных данных, передаваемых по сети. Основой любой системы информационной безопасности является грамотное и аккуратное администрирование сети, т.е. регулярная проверка состояния программного обеспечения системы, чтение и анализ регистрационных файлов.
Семь правил информационной безопасности, согласно [2], имеют вид: v не помещайте нигде, кроме специальных папок и серверов, информации, представляющей особую ценность (коммерческие, финансовые, фирменные документы, данные о персонале, доходах и т.д.); храните особо ценную информацию в зашифрованном виде на носителях с ограниченным доступом; v применяйте все доступные инструментальные, программные и административные средства защиты, читайте литературу и просматривайте специальные сайты Интернета по этому вопросу; v контролируйте все уязвимые места сетевых компьютеров, к которым имеют доступ значительное число пользователей (например, папки почтовых программ, каталоги анонимных ftp); v устанавливайте ловушки и фильтры в системах, которые напрямую соединены с сетью Интернет ( брандмауэры и другие средства); v следите за отчетами, которые формируют эти средства защиты, отслеживайте необычные сообщения в них; v учитесь обеспечивать безопасность собственными силами, так как привлечение сторонних специалистов требует значительных затрат и может дать неожиданные побочные эффекты после их ухода в виде падения производительности некоторых процессов в сети; v постоянно обращайте внимание на все необычные процессы и сообщения в сети.
Вопросы управления пользователями сети заключаются в: ü создании бюджета пользователя; ü организации защиты информации, касающейся этого пользователя; ü организации защиты информации от этого пользователя.
Эти вопросы могут быть решены средствами операционной системы серверов сети, где был зарегистрирован пользователь или специальными программными инструментами.
Средства защиты данных в операционных системах базируются на совокупности прав и полномочий пользователя на доступ к файлам и каталогам. Для этого формируется сетевым администратором учетная запись пользователя, которая включает: Ø регистрационное имя, Ø зашифрованный пароль, Ø группу доступа Ø дополнительные сведения. Изменение сведений учетной записи возможно только системным администратором. Здесь же определяются следующие полномочия пользователя: ü Членство в группах. Каждый пользователь может входить в любую группу, в которой для него прописываются права доступа; ü Профили, сюда включаются оригинальные для конкретного пользователя настройки рабочего стола (фон, цвет элементов и пр.), сетевое окружение, ярлыки и т.д.; ü Часы. Для пользователя задается интервал рабочего времени и дни недели, в которые ему разрешено регистрироваться; ü Имена машин локальной сети, с которых пользователю может быть открыт доступ и регистрация.
Учетные записи могут иметь ограниченный срок действия или быть постоянными В системах Windows термин «полномочия» также означает описание типа доступа пользователя к сетевому ресурсу. В случае доступа к дисковой памяти под объектом защиты понимается файл или каталог. Различают два уровня защиты информации, расположенной на дисках: ü уровень разделяемых ресурсов; ü уровень полномочий доступа к файлам и каталогам.
Существуют четыре уровня разделяемого доступа: ü нет доступа (No Access); ü чтение (Read); ü изменение Change); ü полный доступ (Full Control).
В общем случае полномочия пользователя как члена разных групп суммируются, т.е. пользователю даются максимальные полномочия из трех последних вышеперечисленных. Но если хоть в одной группе пользователю отказано в доступе к ресурсу (первый вышеуказанный уровень), то он не получит доступа к этому ресурсу и как член любой другой группы, в которой у него есть полномочия. Существуют и более тонкие способы настройки полномочий. В последнее время для безопасной работы в сетях все более популярна система Kerberos. Kerberos основана на механизме аутентификации, который обеспечивает гарантию того, что пользователи и службы, на самом деле, являются теми, за кого себя выдают. Эта система основана на шифровании данных с использованием алгоритма DES (Data Encryption Standard – стандарт шифрования данных). Kerberos создает наборы идентификаторов, в системах Unix, называемых билетами. Билеты передаются по сети с целью подтверждения личности пользователя и предоставления ему доступа к сетевым службам. Технология работы системы следующая. Для защищаемого участка сети выделяется хотя бы одна физически защищенная машина, которая называется сервером аутентификации. На ней запущенасистема Kerberos. Сервер аутентификации выдает билеты пользователям и службам, требующим аутентификации, на основании представленных ими рекомендаций, таких как пароли. Пароли всегда передаются в зашифрованном виде. В течение определенного времени (обычно 8 часов) полученный билет позволяет пользователю входить в другие системы защищенного участка без паролей.
Популярное: Почему стероиды повышают давление?: Основных причин три... Как выбрать специалиста по управлению гостиницей: Понятно, что управление гостиницей невозможно без специальных знаний. Соответственно, важна квалификация... Как распознать напряжение: Говоря о мышечном напряжении, мы в первую очередь имеем в виду мускулы, прикрепленные к костям ... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (217)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |