Програмні|програмові| засоби|кошти| захисту інформації

Вбудовані засоби захисту інформації в мережевих ОСдоступні, але не завжди, як вже наголошувалося, можуть повністю вирішити проблеми, що виникають на практиці. Наприклад, мережеві ОС NetWare 3.x, 4.x дозволяють здійснити надійний "ешелонований" захист даних від апаратних збоїв і пошкоджень. Система SFT (System Fault Tolerance – система стійкості до відмов) компанії Novell включає три основні рівні:

• SFT| Level| I передбачає, зокрема, створення|створіння| додаткових копій FAT| і Directory| Entries| Tables|, негайну верифікацію кожного знов|знову| записаного на файловий сервер блоку даних, а також резервування на кожному жорсткому диску близько 2% від об'єму|обсягу| диска. При виявленні збоїв дані перенаправляються в зарезервовану область диска, а збійний блок позначається як "поганий" і надалі не використовується.
• SFT| Level| II містить|утримує| додаткові можливості|спроможності| створення|створіння| "дзеркальних" дисків, а також дублювання дискових контроллерів, джерел живлення|харчування| і інтерфейсних кабелів.
• SFT| Level| III дозволяє застосовувати в локальній мережі|сіті| дубльовані сервери, один з яких є|з'являється| "головним|чільним|", а другий, такий, що містить|утримує| копію всієї інформації, вступає в роботу в разі|у разі| виходу "головного|чільного|" сервера з|із| буд|ладів|.

Система контролю і обмеження прав доступу в мережах|сітях| NetWare| (захист від несанкціонованого доступу) також містить|утримує| декілька рівнів:

• рівень початкового доступу (включає ім'я і пароль користувача, систему облікових обмежень – таких як явний дозвіл або заборона роботи, допустимий час роботи в мережі|сіті|, місце|місце-милю| на жорсткому диску, займане|позичати| особистими|особовими| файлами даного користувача, і так далі);
• рівень прав користувачів (обмеження на виконання окремих операцій і/або на роботу даного користувача, як члена підрозділу, в певних частках|частинах| файлової системи мережі|сіті|);
• рівень атрибутів каталогів і файлів (обмеження на виконання окремих операцій, у тому числі видалення|віддалення|, редагування або створення|створінь|, що йдуть з боку файлової системи і стосуються всіх користувачів, що намагаються|пробують| працювати з|із| даними каталогами або файлами);
• рівень консолі файл-сервера| (блокування клавіатури файл-сервера| на час відсутності мережевого|мережного| адміністратора до введення ним спеціального пароля).

Проте покладатися на цю частку системи захисту інформації в ОС NetWare можна не завжди. Свідоцтвом тому є багаточисельні інструкції в Інтернеті і готові доступні програми, що дозволяють зламати ті або інші елементи захисту від несанкціонованого доступу.

Те ж зауваження справедливе по відношенню до пізніших версій ОС NetWare (аж до останньої 6-ої версії) і до інших "потужним" мережевим ОС з вбудованими засобами захисту інформації (Windows NT, UNIX). Річ у тому, що захист інформації – це тільки частка тих багаточисельних завдань, які вирішуються мережевими ОС. Удосконалення однієї з функцій в збиток іншим (при зрозумілих розумних обмеженнях на об'єм, займаний даною ОС на жорсткому диску) не може бути магістральним напрямом розвитку таких програмних продуктів спільного призначення, якими є мережеві ОС. В той же час у зв'язку з гостротою проблеми захисту інформації спостерігається тенденція інтеграції (вбудовування) окремих, таких, що добре зарекомендували себе і засобів, що стали стандартними, в мережевих ОС, або розробка власних "фірмових" аналогів відомим програмам захисту інформації. Так, в мережевій ОС NetWare 4.1 передбачена можливість кодування даних за принципом "відкритого ключа" (алгоритм RSA) з формуванням електронного підпису для передаваних по мережі пакетів.

Спеціалізовані програмні засоби захисту інформаціївід несанкціонованого доступу володіють в цілому кращими можливостями і характеристиками, чим вбудовані засоби мережевих ОС. Окрім програм шифрування і криптографічних систем, існує багато інших доступних зовнішніх засобів захисту інформації. З найчастіше згадуваних рішень слід зазначити наступні дві системи, що дозволяють обмежити і контролювати інформаційні потоки.

1. Firewalls| – брандмауери (дослівно firewall| – вогненна|вогняна| стіна). Між локальною і глобальною мережами|сітями| створюються спеціальні проміжні сервери, які інспектують і фільтрують весь трафік сетевого/транспортного рівнів, що проходить через них. Це дозволяє різко понизити|знизити| загрозу|погрозу| несанкціонованого доступу ззовні в корпоративні мережі|сіті|, але|та| не усуває цю небезпеку повністю|цілком|. Захищеніший різновид методу – це спосіб маскараду (masquerading|), коли весь витікаючий з|із| локальної мережі|сіті| трафік посилається від імені firewall-сервера|, роблячи|чинити| локальну мережу|сіть| практично невидимою.

2. Proxy-servers| (proxy| – доручення, довірена особа). Весь трафік мерево/транспортного рівнів між локальною і глобальною мережами|сітями| забороняється повністю|цілком| – маршрутизація як така відсутня, а звернення|звертання| з|із| локальної мережі|сіті| в глобальну відбуваються|походять| через спеціальні сервери-посередники. Очевидно, що при цьому звернення|звертання| з|із| глобальної мережі|сіті| в локальну стають неможливими в принципі. Цей метод не дає достатнього захисту проти|супроти| атак на вищих рівнях – наприклад, на рівні додатка|застосування| (віруси, код Java| і JavaScr|ipt).

10. Лекція: Алгоритми мережі|сіті| Ethernet/Fast Ethernet|

У даному розділі пропонується детально розгледіти два основні алгоритми, вживаних в найпоширенішій сьогодні мережі Ethernet/Fast Ethernet. Мова йде про методі управління обміном (доступу) CSMA/CD і про метод обчислення циклічної контрольної суми (перешкодостійкої циклічної коди) пакету CRC.

Ці ж самі алгоритми використовуються в багатьох інших локальних мережах. Наприклад, метод доступу CSMA/CD застосовується в мережах IBM РС Network, AT&T Starlan, Corvus Omninet, РС Net, G-Net і ін. Якщо говорити про алгоритм обчислення циклічної контрольної суми CRC, то він став фактичним стандартом для будь-яких локальних мереж. Таким чином, все, що представлене в даному розділі, відноситься до багатьом локальним мережам.