Статья опубликована в рамках: Научного журнала «Студенческий» № 20(64)
Рубрика журнала: Информационные технологии
Скачать книгу(-и): скачать журнал часть 1, скачать журнал часть 2, скачать журнал часть 3, скачать журнал часть 4, скачать журнал часть 5
ЗАЩИТА ДАННЫХ В РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
Централизованная информационная система имеет одну точку входа, по которой производится доступ к данным. Распределенная информационная система напротив, имеет несколько таких точек входа. Например, файл-серверы, серверы баз данных (БД) или рабочие станции локальной сети. Все типы БД могут работать самостоятельно (будучи при этом компонентами распределенной информационной системы) и обладать собственной системой информационной безопасности.
Почти каждая модель модель организации взаимодействия пользователей и баз данных построена на основе архитектуры «клиент-сервер». То есть предполагают, что каждое такое программное обеспечение должно отличаться по способу распределения функций обработки данных для выбранных групп пользователей. между, как минимум, двумя составными частями. Клиентская часть, которая предназначена для целевой обработки данных и организации её взаимодействия с пользователями, и серверная часть, которой обеспечивается сохранение данных, обрабатываются запросы и посылаются результаты клиентам для специализированной обработки. Сервером называют программу, которая реализует функцию собственно СУБД (системы управления базами данных): определение информации, запись – прочтение данных, поддержку всех схем на внешнем, концептуальном и внутреннем уровнях, диспетчеризацию и оптимизацию выполнения запросов, защиту данных.
Имеют место обстоятельства, при которых данные из одной таблицы содержатся на разных устройствах, то есть информация является фрагментированной. При этом вероятны два случая: информация содержится по строкам (горизонтальная фрагментация) или по столбцам (вертикальная фрагментация). Нередко принципы географической прозрачности и фрагментарной независимости осуществляются посредством механизма связей и синонимов. При помощи данных механизмов задаются маршруты доступа к данным: задаются реквизиты пользователя (логин и пароль), сетевой протокол (для примера, TCP/IP), название БД. Однако, эти параметры необходимо описать в программе. Для обеспечения защиты данной информации, пароли хранятся в специальном словаре данных в зашифрованном виде. Если подобных механизмов в системе присутствует много, то проблема безопасности данных является востребованной.
Кроме того, присутствие различных внутренних баз данных в распределенных информационных системах дает возможность существенно увеличить степень безопасности данных. Все БД администрируются автономно, и для каждой доступна реализация своего собственного способа защиты. Помимо этого, конфиденциальная информация в данной архитектуре легко изолируется и обслуживается. Изучим методы обеспечения защиты информации на каждом уровне. Как правило, на уровне защиты рабочей станции используются программный и аппаратные методы защиты информации, где возможность пользователя иметь доступ к данным определяется следующими факторами: идентификационным кодом, благодаря которому система определяет пользователя, и паролем, который применяется для подтверждения его прав. Пользователь вводит свои реквизиты в систему только один раз – в момент регистрации. Пароли работают в течение некоторого времени и являются своего рода объектами многоразового применения.
Если пароль и код доступа будут непостоянными во времени, а меняющимися и уникальными, несанкционированный доступ будет получить гораздо сложнее. Сутью данного подхода является то, что у каждого пользователя системы есть присущий только ему персональный идентификационный код и имеется специально разработанное устройство, на котором ежеминутно генерируется уникальный цифровой код. Система запрограммирована индивидуально для каждого пользователя. Сгенерированный таким образом код применяется для целей аутентификации пользователя в компьютерной системе.
На физическом уровне со взломом можно бороться путем использования передающих кабелей с герметичными трубами, наполняющимися аргоном под давлением. Если попытаться вскрыть эту трубу приведет к утечке газа. Результатом будет снижение давления, что является идентификатором тревоги.
На уровне управления информационным каналом – кадры, передаваемые по каналам связи, шифруются во время передачи и расшифровываются при приеме. Методы шифрования и дешифрования доступны только на данном уровне. На более высоких уровнях неизвестно, что происходит на этом уровне эталонной модели сети. Кроме того, кадр будет дешифроваться на всех маршрутизаторах и будет открыт для атак в каждом маршрутизаторе, если он передается через несколько маршрутизаторов.
Однако, данный метод, используется в целях увеличения уровня устойчивости к помехам, которые передаются данных посредством сетей общего пользования.
На третьем (сетевом) уровне, используются брандмауэры, которые позволяют удалять подозрительные пакеты, поступившие извне.
На транспортном уровне применяется сквозное шифрование информационного блока и всего сообщения.
На верхнем уровне (уровне приложений) рассматриваются и устраняются проблемы аутентификации. А также выявляются те ограничения, устанавливаемые специалистом по системному сетевому программному обеспечению, устанавливая определенную конфигурацию сетевой операционной системы.
Создание комплексной системы обеспечения защиты информации описывается следующей последовательностью действий:
- Оценить физическую архитектуру распределенной информационной системы. Для этого следует определить целевую аудиторию пользователей и состав технических средств, которые обеспечивают доступ к информационным ресурсам (модемы, рабочие станции, неинтеллектуальные терминалы); а также узнать, в каком месте содержатся информационные ресурсы: на мэйнфрейме, файл-серверах, серверах баз данных или рабочих станциях.
- Определить все доступные логические маршруты от пользователя к информационным ресурсам, терминала к мэйнфрейму, удаленного пользователя к коммуникационному серверу; рабочей станции к серверу базы данных и т.д. Данная схема позволяет определить физические связи на логические маршруты доступа к данным.
- Для каждого типа маршрута построить схему в терминах «маршрут доступа /средства защиты». На одном маршруте может быть использовано сразу несколько уровней защиты.
Для создания сбалансированной системы информационной безопасности необходимо изначально проанализировать рисков в области информационной безопасности. Систему информационной безопасности необходимо спроектировать таким образом, чтобы имелась возможность добиться установленного уровня риска. Результатом выполнения всех работ по созданию системной защиты информации в распределенной информационной системе являются следующие функции.
- Идентификация, аутентификация и авторизация пользователей. Всем пользователям компьютерной системы присваиваются уникальный идентификатор и пароль, по которым определяется, может ли он работать в системе, и входит ли данный пользователь в список пользователей данной системы.
- Присвоение групповых паролей. присваиваются один групповой идентификатор и один пароль для всей группы в том случае, если группа пользователей постоянно работает с общими данными.
- Аудит. Система защиты предусматривает ведение аудиторского журнала, где будут учитываться все подозрительные события за время работы системы (попытки проникновения в систему извне, подбора пароля, запуска приложений из закрытых каталогов и т.д.).
- Синхронизация паролей. У пользователей есть возможность синхронно изменять пароли на различных серверах БД благодаря системе защиты.
Проектирование системной защиты ресурсов распределенной информационной системы дает возможность оценки уровня состояния безопасности информационных ресурсов компании, снизить возможные потери путем увеличения уровня устойчивости работы информационной сети.
Список литературы:
- Бурс К.В., Максимов Е.Е., Кукарцев В.В. Основы информационной безопасности. Методы и средства защиты информации. [электронный ресурс]. – Elibrary.ru: научная электронная библиотека. 2012. – URL: https://elibrary.ru/item.asp?id=22890335. (дата обращения 22.05.2019)
- Жук. Е. И. Концептуальные основы информационной безопасности. [электронный ресурс] – bmstu.ru. – науч. изд. им. Н. Э. Баумана. – журн. Наука и образование. – URL: http://technomag.bmstu.ru/doc/143237.html. (дата обращения 20.05.2019)
- Основы и способы информационной безопасности в 2017 году. [электронный ресурс] – habrahabr.ru: социальное СМИ об IT. – URL: https://habrahabr.ru/post/344294. (дата обращения 13.05.2019)
Оставить комментарий