обливо загострилася з широким розповсюдженням локальних і, особливо, глобальних комп'ютерних мереж. Необхідно також відзначити, що найчастіше збиток завдається не через "злого умислу", а за елементарних помилок користувачів, які випадково псують чи видаляють життєво важливі дані. У зв'язку з цим, крім контролю доступу, необхідним елементом захисту інформації в комп'ютерних мережах є розмежування повноважень користувачів.
Оснастивши сервер або мережеві робочі станції, наприклад, пристроєм читання смарт-карток і спеціальним програмним забезпеченням, можна значно підвищити ступінь захисту від несанкціонованого доступу. У цьому випадку для доступу до комп'ютера користувач повинен вставити смарт-карту в пристрій читання і ввести свій персональний код. Програмне забезпечення дозволяє встановити декілька рівнів безпеки, які управляються системним адміністратором. Можливий і комбінований підхід з введенням додаткового пароля, при цьому прийняті спеціальні заходи проти '' Перехоплення "пароля з клавіатури. Цей підхід значно надійніше застосування паролів, оскільки, якщо пароль підгледіли, користувач про це може не знати, якщо ж пропала картка, можна вжити заходів негайно.
Смарт-карти управління доступом дозволяють реалізувати, в Зокрема, такі функції, як контроль входу, доступ до пристроїв персонального комп'ютера, доступ до програм, файлів і команд. Крім того, можливо також здійснення контрольних функцій, зокрема, реєстрація спроб порушення доступу до ресурсів, використання заборонених утиліт, програм, команд DOS.
Одним з вдалих прикладів створення комплексного рішення для контролю доступу у відкритих системах, заснованого як на програмних, так і на апаратних засобах захисту, стала система Kerberos. В основі цієї схеми авторизації лежать три компоненти:
База даних , що містить інформацію по всіх мережевих ресурсів, користувачам, паролів, шифрувальним ключам і т.д.
Авторизаційний сервер (authentication server), обробний всі запити користувачів на предмет отримання того чи іншого виду мережевих послуг.
Авторизаційний сервер, отримуючи запит від користувача, звертається до бази даних і визначає, чи має користувач право на вчинення даної операції. Примітно, що паролі користувачів по мережі не передаються, що також підвищує ступінь зашиті інформації. Ticket-granting server (сервер видачі дозволів) отримує від авторизаційного сервера "Пропуск", що містить ім'я користувача і його мережеву адресу, час запиту і ряд інших параметрів, а також унікальний сесійний ключ. Пакет, що містить "Пропуск", передається також в зашифрованому за алгоритмом DES вигляді. Після отримання та розшифровки "пропуску" сервер видачі дозволів перевіряє запит і порівнює ключі потім дає "добро" на використання мережевої апаратури або програм.
Серед інших подібних комплексних схем можна відзначити розроблену Європейською Асоціацією Виробників Комп'ютерів (ЕСМА) систему Sesame (Secure European System for Applications in Mulovendor Environment), призначену для використання у великих гетерогенних мережах.
1.3 Захист інформації при віддаленому доступі
У міру розширення діяльності підприємств, зростання чисельності персоналу і появи нових філій, виникає необхідність доступу віддалених користувачів (або груп користувачів) до обчислювальних і інформаційних ресурсів головного офісу компанії. Компанія Datapro свідчить, що вже в 1995 році тільки в США число працівників постійно або тимчасово використовують віддалений доступ до комп'ютерних мереж, складе 25 мільйонів "людина. Найчастіше для організації віддаленого доступу використовуються кабельні лінії (звичайні телефонні або виділені) і радіоканали. У зв'язку з цим захист інформації, переданої каналами віддаленого доступу, вимагає особливого підходу.
Зокрема, в мостах і маршрутизаторах віддаленого доступу застосовується сегментація пакетів - їх поділ і передача паралельно по двох лініях, що робить неможливим "перехоплення" даних при незаконному підключенні "хакера" до однієї з ліній. До того ж використовувана при передачу даних процедура стиснення переданих пакетів гарантує неможливість розшифровки "перехоплених" даних. Крім того, мости і маршрутизатори віддаленого доступу можуть бути запрограмовані таким чином, TO) віддалені користувачі будуть обмежені в доступі до окремих ресурсів мережі головного офісу.
Розроблені та спеціальні пристрої контролю доступу до комп'ютерних мережах по комутованих лініях. Наприклад, фірмою AT & T пропонується модуль Remote Port Security Device (PRSD), що представляє собою два блоки розміром зі звичайний модем: RPSD Lock (замок), що встановлюється в центральному офісі, і RPSD Key (ключ), що підключається до модему віддаленого користувача. RPSD Key і Lock дозволяють встановити декілька рівнів захисту і контролю доступу, зокрема:
- шифрування даних , переданих по лі...
