Защита данных в компьютерных сетях

Защита данных в компьютерных сетях

 

 

 

Каждый сбой работы компьютерной сети это не только "моральный" ущерб для работников предприятия  и сетевых администраторов. По мере развития технологий электронных платежей и "безбумажного" документооборота серьезный сбой локальных сетей  может парализовать работу целых  корпораций и банков, что приводит к ощутимым материальным потерям.

Данных о потерях российских компаний от сбоев в работе локальных  сетей в прессе пока не приводилось, однако можно предположить, что и  для них проблема отказоустойчивости сети и защиты данных является актуальной.

Ведь не секрет, что многие российские фирмы на заре своей деятельности отдавали предпочтение наиболее дешевым  и, зачастую, наименее надежным сетевым  решениям. Не случайно, что защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике. На сегодняшний день сформулировано три базовых принципа информационной безопасности, которая должна обеспечивать [1].

- целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных;

- конфиденциальность информации и, одновременно,

- ее доступность для всех авторизованных пользователей.

Следует также отметить, что отдельные сферы деятельности (банковские и финансовые институты, информационные сети, системы государственного управления, оборонные и специальные  структуры) требуют специальных  мер безопасности данных и предъявляют  повышенные требования к надежности функционирования информационных систем, в соответствии с характером и  важностью решаемых ими задач. В  данной статье мы не будем затрагивать вопросы специальных систем безопасности, а остановимся на общих вопросах защиты информации в компьютерных сетях.

При рассмотрении проблем  защиты данных в сети прежде всего возникает вопрос о классификации сбоев и нарушений прав доступа, которые могут привести к уничтожению или нежелательной модификации данных. Среди таких потенциальных "угроз" можно выделить:

1. Сбои оборудования:

- сбои кабельной системы;

- перебои электропитания;

- сбои дисковых систем;

- сбои систем архивации  данных;

2. Потери информации из-за  некорректной работы ПО:

- сбои работы серверов, рабочих станций, сетевых карт  и т. д.;

- потеря или изменение  данных при ошибках ПО;

3. Потери, связанные с  несанкционированным доступом:

- потери при заражении  системы компьютерными вирусами;

- несанкционированное копирование,  уничтожение или подделка информации;

4. Потери информации, связанные  с неправильным хранением архивных  данных.

5. Ошибки обслуживающего  персонала и пользователей.

- ознакомление с конфиденциальной информацией, составляющей тайну, посторонних лиц;

- случайное уничтожение  или изменение данных;

В зависимости от возможных  видов нарушений работы сети (под  нарушением работы мы также понимаем и несанкционированный доступ) многочисленные виды защиты информации объединяются в два основных класса:

- средства физической защиты, включающие средства защиты кабельной системы, систем электропитания, средства архивации, дисковые массивы и т. д.

- программные средства  защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа.

- административные меры  защиты, включающие контроль доступа в помещения, разработку стратегии безопасности фирмы, планов действий в чрезвычайных ситуациях и т.д.

Следует отметить, что подобное деление достаточно условно, поскольку  современные технологии развиваются  в направлении сочетания программных  и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в  области контроля доступа, защиты от вирусов и т. д.

Физическая защита данных

Кабельная система

Кабельная система остается главной "ахилессовой пятой" большинства локальных вычислительных сетей: по данным различных исследований, именно кабельная система является причиной более чем половины всех отказов сети [2]. В связи с этим кабельной системе должно уделяться особое внимание с самого момента проектирования сети.

Наилучшим способом избавить себя от "головной боли" по поводу неправильной прокладкй кабеля является использование получивших широкое распространение в последнее время так называемых структурированных кабельных систем, использующих одинаковые кабели для передачи данных в локальной вычислительной сети, локальной телефонной сети, передачи видеоинформации или сигналов от датчиков пожарной безопасности или охранных систем. К структурированным кабельным системам относятся, например, SYSTIMAX SCS фирмы АТ&T, OPEN DECconnect компании Digital, кабельная система корпорации IBM.

Понятие "структурированность" означает, что кабельную систему  здания можно разделить на несколько  уровней в зависимости от назначения и месторасположения компонентов  кабельной системы. Например, кабельная  система SYSTIMAX SCS состоит из:

- некорректное использование  программного и аппаратного обеспечения,  ведущее к уничтожению или  изменению данных.

- Внешней подсистемы (campus subsystem)

- Аппаратных (equipment room)

- Административной подсистемы (administrative subsystem)

- Магистрали (backbone cabling)

- Горизонтальной подсистемы (horizontal subsystem)

Внешняя подсистема состоит  из медного и оптоволоконного  кабеля, устройств электрической  защиты и заземления и связывает  коммуникационную и обрабатывающую аппаратуру в здании (или комплексе  зданий). Кроме того, в эту подсистему входят устройства сопряжения внешних  кабельных линий с внутренними.

Аппаратные служат для  размещения различного коммуникационного  оборудования, предназначенного для  обеспечения работы административной подсистемы.

Административная подсистема предназначена для быстрого и  легкого управления кабельной системой SYSTIMAX SCS при изменении планов размещения персонала и отделов. В ее состав входят кабельная система (неэкранированная витая пара и оптоволокно), устройства коммутации и сопряжения магистрали и горизонтальной подсистемы, соединительные шнуры, маркировочные средства и  т.д.

Магистраль состоит из медного кабеля или комбинации медного  и оптоволоконного кабеля и вспомогательного оборудования. Она связывает между  собой этажи здания или большие  площади одного и того же этажа.

Горизонтальная система  на базе витого медного кабеля расширяет  основную магистраль от входных точек  административной системы этажа  к розеткам на рабочем месте.

И, наконец, оборудование рабочих  мест включает в себя соединительные шнуры, адаптеры, устройства сопряжения и обеспечивает механическое и электрическое соединение между оборудованием рабочего места и горизонтальной кабельной подсистемой.

Наилучшим способом защиты кабеля от физических (а иногда и  температурных и химических воздействий, например, в производственных цехах) является прокладка кабелей с  использованием в различной степени  защищенных коробов. При прокладке  сетевого кабеля вблизи источников электромагнитного  излучения необходимо выполнять  следующие требования:

а) неэкранированная витая  пара должна отстоять минимум на 15-30 см от электрического кабеля, розеток, трансформаторов и т. д.

б) требования к коаксиальному  кабелю менее жесткие - расстояние до электрической линии или электроприборов  должно быть не менее 10-15 см.

Другая важная проблема правильной инсталляции и безотказной работы кабельной системы - соответствие всех ее компонентов требованиям международных  стандартов.

Наибольшее распространение  в настоящее время получили следующие  стандарты кабельных систем:

Спецификации корпорации IBM, которые предусматривают девять различных типов кабелей. Наиболее распространенным среди них является кабель IBM type 1 - экранированная витая пара (STP) для сетей Token Ring.

Система категорий Underwriters Labs (UL) представлена этой лабораторией совместно с корпорацией Anixter. Система включает пять уровней кабелей. В настоящее время система UL приведена в соответствие с системой категорий EIA/TIA.

Стандарт EIA/TIA 568 был разработан совместными усилиями UL, American National Standards Institute (ANSI) и Electronic Industry Association/Telecommunications Industry Association, подгруппой TR41.8. 1 для кабельных систем на витой паре (UTP).

В дополнение к стандарту EIA/TIA 568 существует документ DIS 1 180i, разработанный International Standard Organisation (ISO) и International Electrotechnical Commission (IEC). Данный стандарт использует термин "категория" для отдельных кабелей и термин "класс" для кабельных систем.

Необходимо также отметить, что требования стандарта EIA/TIA 568 относятся  только к сетевому кабелю. Но реальные системы, помимо кабеля, включают также  соединительные разъемы, розетки, распределительные  панели и другие элементы. Использование  только кабеля категории 5 не гарантирует  создание кабельной системы этой категории. В связи с этим все  вышеперечисленное оборудование должно быть также сертифицировано на соответствие данной категории кабельной системы.

Системы электроснабжения

Наиболее надежным средством  предотвращения потерь информации при  кратковременном отключении электроэнергии в настоящее время является установка  источников бесперебойного питания. Различные  по своим техническим и потребительским  характеристикам, подобные устройства могут обеспечить питание всей локальной  сети или отдельного компьютера в  течение промежутка времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитные носители. Большинство  источников бесперебойного питания  одновременно выполняет функции  и стабилизатора напряжения, что  является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства - серверы, концентраторы, мосты и  т. д. - оснащены собственными дублированными системами электропитания.

За рубежом крупные  корпорации имеют собственные аварийные  электрогенераторы или резервные  линии электропитания. Эти линии  подключены к разным подстанциям, и при выходе из строя одной из них электроснабжение осуществляется с резервной подстанции.

Системы архивирования и  дублирования информации

Организация надежной и эффективной  системы архивации данных является одной из важнейших задач по обеспечению  сохранности информации в сети. В  небольших сетях, где установлены  один-два сервера, чаще всего применяется  установка системы архивации  непосредственно в свободные  слоты серверов. В крупных корпоративных  сетях наиболее предпочтительно  организовать выделенный специализированный архивационный сервер.

Такой сервер автоматически  производит архивирование информации с жестких дисков серверов и рабочих  станций в указанное администратором  локальной вычислительной сети время, выдавая отчет о проведенном  резервном копировании. При этом обеспечивается управление всем процессом  архивации с консоли администратора, например, можно указать конкретные тома, каталоги или отдельные файлы, которые необходимо архивировать. Возможна также организация автоматического архивирования по наступлении того или иного события ("event driven backup"), например, при получении информации о том, что на жестком диске сервера или рабочей станции осталось мало свободного места, или при выходе из строя одного из "зеркальных" дисков на файловом сервере. Среди наиболее распространенных моделей архивационных серверов можно выделить Storage Express System корпорации Intel, ARCserve for Windows, производства фирмы Cheyenne и ряд других.

Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном  охраняемом помещении. Специалисты  рекомендуют хранить дубликаты  архивов наиболее ценных данных в  другом здании, на случай пожара или  стихийного бедствия. Для обеспечения  восстановления данных при сбоях  магнитных дисков в последнее  время чаще всего применяются  системы дисковых массивов - группы дисков, работающих как единое устройство, соответствующих стандарту RAID (Redundant Arrays of Inexpensive Disks). Эти массивы обеспечивают наиболее высокую скорость записи/считывания данных, возможность полного восстановления данных и замены вышедших из строя дисков в "горячем" режиме (без отключения остальных дисков массива).

Организация дисковых массивов предусматривает различные технические  решения, реализованные на нескольких уровнях.

Уровень 0 предусматривает  простое разделение потока данных между  двумя или несколькими дисками. Преимущество подобного решения  заключается в увеличении скорости ввода/вывода пропорционально количеству задействованных в массиве дисков. В то же время такое решение  не позволяет восстановить информацию при выходе из строя одного из дисков массива.

RAID уровня 1 заключается в  организации так называемых "зеркальных" дисков. Во время записи данных  информация основного диска системы  дублируется на зеркальном диске,  а при выходе из строя основного  диска в работу тут же включается "зеркальный".