Особенности защиты информации в компьютерных сетях

Многие организации используют средства ЛВС для обеспечения нужд обработки и передачи данных. До использования ЛВС основная часть обработки и обмена данными была централизована; информация и управление ею были сосредоточены в одном месте и централизованы. Сейчас ЛВС логически и физически рассредоточили данные, а также вычислительную мощность и службы обмена сообщениями по всей организации.

Службы безопасности, защищающие данные, а также средства по их обработке и передаче, также должны быть распределены по всей ЛВС. Например, посылка конфиденциального файла, который защищен с помощью сильной системы управления доступом в некоторой ЭВМ через ЛВС в другую ЭВМ без системы управления доступом делает бесполезными усилия первой ЭВМ. Пользователи должны быть уверены в том, что их данные и ЛВС адекватно защищены. Защита ЛВС должна быть интегрирована во всю ЛВС и должна быть важной для всех пользователей.

Электронная почта, важнейшее приложение, обеспечиваемое большинством ЛВС, заменила обычную почту при обмене сообщениями между отделами как одной, так и разных организаций, которая традиционно использовала записи на бумаге, помещенные в конверт. Эти конверты обеспечивают конфиденциальность между отправителем и получателем, и кроме того, в случае целостности бумаги конверта, обеспечивают получателя высокой степенью уверенности в том, что послание не было подменено. Использование электронной почты не обеспечивает этих гарантий. Простая передача по незащищенной ЛВС неадекватно защищает сообщения электронной почты, которые могут быть перехвачены и прочтены или возможно даже подменены. Для многих ЛВС характерно, что отсутствуют гарантии того, что сообщение действительно послано названным отправителем. К счастью, существуют средства, такие, как шифрование, цифровая подпись и коды аутентификации сообщений, которые помогают решить проблемы и обеспечить гарантии.

Не смотря на явные преимущества обработки информации в компьютерных сетях, возникает немало сложностей при организации их защиты:

• — расширенная зона контроля — следовательно, администратору отдельной подсети приходится контролировать деятельность пользователей, которые находятся вне пределов его досягаемости;
• — неизвестный периметр — сети легко расширяются, и это ведет к тому, что определить четкие границы сети часто бывает сложно, один и тот же узел может быть доступен для пользователей различных сетей;
• — использование разнообразных программно-аппаратных средств — соединение нескольких систем в сеть увеличивает уязвимость всей системы в целом, так как каждая система настроена на выполнение своих требований безопасности, которые могут оказаться несовместимы с требованиями на других системах;
• — сложность в управлении и контроле доступа к системе — многие атаки на сеть могут осуществляться из удаленных точек без получения физического доступа к определенному узлу. В таких случаях идентификация нарушителя, как правило, бывает очень сложной;
• — множество точек атаки — один и тот же набор данных в сетях может передаваться через несколько промежуточных узлов, причем, каждый из этих узлов является возможным источником угрозы. Кроме этого, к большинству сетей можно получить доступ с помощью коммутируемых линий связи и модема, что сильно увеличивает количество возможных точек атаки. Такой способ очень легко осуществить и столь же трудно проконтролировать, поэтому он считается одним из самых опасных. Уязвимыми местами сети также являются линии связи и различные виды коммуникационного оборудования: усилители сигнала, ретрансляторы, модемы и т. д.

Суть проблемы защиты сетей обусловлена их двойственным характером. С одной стороны, сеть — это единая система с едиными правилами обработки информации, а с другой, — совокупность отдельных систем, каждая из которых имеет свои собственные правила обработки информации.