11.2 Система захисту інформації від НСД до ЛВС
АналізЛВСяк об'єкта захисту, можливих каналів несанкціонованого доступу (ВКНСД) до інформації обмеженого користування та потенційних загроз дозволяє вибрати та побудувати відповідну систему захисту.
11.2.1 Захист від навмисного нсд
НСДз боку користувача-порушника, очевидно,потребуєстворення на програмному рівніЛВССИСТЕМИ ОПОЗНАННЯ ТА РОЗГРАНИЧЕННЯ ДОСТУПУдо інформації(СОРДИ)зусіма їїатрибутами:
– засобамиідентифікації та аутентифікації користувачів, а також
–розмежування їх повноважень щодо доступу до інформації файл-сервера та інших ПЕОМ цієї ЛОМ.
1 При цьому захист даних файл-сервера здійснюється одним способом або в різних поєднаннях чотирма способами:
Це перший рівень мережного захисту. Захист при вході в мережу застосовується до всіх користувачів. Щоб вийти у файл-сервер, користувачеві потрібно знати своє «ім'я» та пароль (6–8 символів).
Адміністратор безпеки може встановити ДОДАТКОВІ ОБМЕЖЕННЯ ПО ВХІДУ в мережу:
1) обмежити період часу, протягом якого користувач може входити в мережу;
3) обмежити кількість робочих станцій, з яких можна вийти в мережу;
4) встановити режим «заборони стороннього вторгнення», коли ПРИ КІЛЬКІХ несанкціонованих спробах з НЕВЕРНИМ ПАРОЛЕМ встановлюється ЗАборона на вхід у мережу.
Б) Опікунським захистом даних.
Це другий рівень захисту даних у мережі -використовується для управління можливостями індивідуальних користувачів по роботі з файлами в заданому каталозі.
ДРУКАРНЯ -це користувач, якому надано привілеї або права для роботи з каталогом і файлами всередині нього.
Будь-який піклувальник може мати вісім різновидів прав:
–Read –право Читання відкритих файлів;
–Write –право Записи у відкриті файли;
–Open –право Відкриття існуючого файлу;
–Create –право Створення (і одночасно відкриття) нових файлів;
–Delete –право Видалення існуючих файлів;
–Parental –Батьківські права:
* право Створення, Перейменування, Стирання підкаталогів каталогу;
* право Встановлення піклувальників та прав у каталозі;
* право Встановлення піклувальників та прав у підкаталозі;
–Search –право Пошуку каталогу;
–Modify –право Модифікації файлових атрибутів.
В) Захистом у каталозі.
Це третій рівень захисту даних у мережі.Кожен каталог має «маску максимальних прав».
Коли створюється каталог, маска прав каталогу містить самі вісім різновидів прав, як і піклувальник.
Обмеження каталогу застосовуються лише в одному заданому каталозі. Захист у каталозі не поширюється на його підкаталоги.
Д) Захистом атрибутами файлів.
Четвертий рівень захисту даних у мережі.При цьому передбачена можливість встановлювати, чи може бути індивідуальний файл змінений або розділений.
Захист атрибутами файлів використовується в основному для запобігання випадковим змінам або видаленням окремих файлів.
Такий захист, зокрема, корисний для захисту інформаційних файлів загального користування,які зазвичай читаються багатьма користувачами. Ці файли не повинні допускати псування при спробах змін або стирання. У захисті даних використовуються чотири файлові атрибути: «Запис-Читання/Тільки читання» і «Розділяється/Нерозділюваний».
2 Щоб виключити МОЖЛИВІСТЬ ОБХІДУ систем розпізнавання та розмежування доступу до ПЕОМ та ЛОМ шляхом застосування налагоджувальних програм, а також проникнення комп'ютерних вірусів, рекомендується, якщо це можливо, в даній ЛОМ застосовувати ПЕОМ БЕЗ ДИСКОВОДХІВ або кришкою, що опечатується адміністратором безпеки.
Ця міра, крім того, захищає від крадіжки даних, які можна скопіювати на мобільні носії даних протягом декількох хвилин. Ці носії легко сховати і винести за межі території, що навіть охороняється.
Багато постачальників мереж зараз забезпечують МОЖЛИВІСТЬ ЗАВАНТАЖЕННЯ локальних робочих станцій З ЦЕНТРАЛЬНОГО СЕРВЕРУ і таким чином роблять ПЕОМ без диска придатною для використання в мережі.
У тих же випадках, коли потрібен локальний пристрій, допускається можливість заміни зовнішнього мобільного носія на місцевий жорсткий диск.