Обзор современных программных СЗИ

В последующих х будут более или менее подробно рассмотрены подсистемы безопасности (ПСБ) наиболее распространенных программных систем и наиболее широко представленные на рынке специализированные ПСЗИ:

-ПСБ системного ПО (операционных систем);

-ПСБ хранилищ данных под управлением СУБД;

-средства защиты файлов и дисков;

-средства создания защищенных каналов передачи информации;

-средства защиты от вторжений из глобальных сетей.

Подсистемы безопасности операционных систем.

Наиболее распространенными в России ОС на данный момент являются продукты фирмы Microsoft. В классе домашних, офисных, клиентских – это повсеместно ОС группы Windows 95/98/XP. В классе серверных платформ преобладают ОС Windows NT/2000, затем следуют ОС Nowell Netware и на третьем месте – различные релизы LINUX удельный вес которых постоянно растет.

Типовыми функциями подсистемы безопасности ОС (ПСБ) являются:

-защита жизненно важных компонентов самой ОС;

-аутентификация пользователей;

-управление доступом пользователей к ресурсам и функциям;

-аудит работы ОС и пользователей.

Общеизвестно, что ОС Windows 95/98 фактически являются однопользовательскими системами, и в них практически отсутствуют ПСБ. То есть, любой пользователь, получивший доступ к компьютеру, на котором они установлены, обладает полным доступом ко всем ресурсам и функциям этих ОС. При организации одноранговых сетей из компьютеров, оснащенных данными ОС, можно разграничить доступ к различным папкам в структуре их файловых систем с других компьютеров в сети (включая доступ по паролю и доступ только на чтение).

ОС группы Windows NT/2000/ХР являются многопользовательскими, как при использовании в качестве рабочей станции, так и в качестве сервера. При инициации эти ОС создают по умолчанию суперпользователя “АДМИНИСТРАТОР” с полным набором прав доступа, от имени которого можно создавать затем других пользователей, имеющих собственные идентификаторы, пароли, а также различные (ограниченные) права доступа к ресурсам и функциям, даже если они работают на одном и том же компьютере. Сетевой доступ к серверам на базе этих ОС также является более безопасным и гибко настраиваемым.

ОС Nowell Netware являются в чистом виде сетевыми и устанавливаются только на выделенные серверы, консоль которых в принципе может использоваться только для администрирования системы и только одним пользователем (SUPERVISOR). Он также может создавать других пользователей и наделять их различными правами доступа к объектам сетевой файловой системы (NDS).

Многопользовательская ОС LINUX может использоваться в качестве пользовательской и серверной платформы. Полным набором прав доступа к этой ОС обладает суперпользователь ROOT, только от имени которого могут запускаться почти все сервисы администрирования системы. ПСБ LINUX имеет несколько степеней защиты – от упрощенного до “параноидального”. Кроме стандартных средств аутентификации, управления доступом и аудита, в нее встроены программные маршрутизаторы и межсетевые экраны. К достоинствам ПСБ LINUX следует отнести также “бесследное” удаление файлов (в отличие от ОС Windows и Netware). Следует также отметить, что для ОС LINUX имеются средсва эмуляции серверов Windows NT 4.0 (SAMBA) и Nowell Netware 3.12 (MARS), поддерживающие все функции ПСБ этих ОС.

Средства ЗИ в системах управления базами данных (СУБД).

В настоящее время существует большое количество классов СУБД, позволяющих создавать базы данных различных масштабов и уровней защищенности – от однопользовательских “настольных” БД до мощных корпоративных хранилищ данных, используемых сотнями и тысячами пользователей посредством удаленного доступа по различным каналам.

Однопользовательские (“настольные”) СУБД практически не имеют собственных средств ЗИ. Основная проблема заключается в том, что пользователь, получивший доступ к работе с данными, накопленными в БД, через некий стандартный интерфейс (приложение) одновременно получает права на уровне ОС на чтение/модификацию файлов БД. Как правило, эти файлы можно прочитать каким-либо внешним средством просмотра:

-для наиболее распространенных файлов типа dbase - это различные вьюеры в файловых менеджерах типа Norton Commander, MS Excell, программа Dbview и т.п.;

-ряд форматов файлов БД можно читать просто любым текстовым редактором или вьюером, поскольку они записаны просто в структурированный ASCII-файл.

При этом, даже если файлы данных нельзя прочитать напрямую в связи с использованием какого-либо специального формата или средств шифрования, их можно скопировать, испортить или удалить.

К этому классу относятся следующие СУБД: клоны Dbase, Clipper, FoxPro, Paradox, MS Access.

Многопользовательские СУБД, поддерживающие технологию “файл-сервер” (см. лекцию 13) являются, как правило, расширениями “настольных” СУБД и наследуют их недостатки в сфере информационной безопасности. Так, например, удаленные пользователи имеют те же права на файлы данных, что и локальные пользователи.

Наиболее защищенными являются СУБД, поддерживающие различные варианты технологии “клиент-сервер” (см. лекцию 13). Их глобальными преимуществами являются:

-наличие механизма, отделяющего пользователей от файлов БД (системы драйверов);

-возможность располагать файлы БД на разных физических носителях и серверах, доступ к которым пользователям закрыт;

-наличие гибкой системы разграничения полномочий пользователей (групп) к различным объектам БД (таблицам, их столбцам и строкам).

К этому классу относятся следующие СУБД: MS SQL-server, Informix, DB2, " Oracle", " Линтер". На примере двух последних будут рассмотрены механизмы работы СЗИ СУБД данного класса.

ПСЗИ для персональных компьютеров.

Поскольку ПК являются наиболее массовым вариантом использования компьютерной техники, в дальнейшем изучении ПСЗИ будет также уделено внимание рассмотрению специализированных средств, повышающих уровень безопасности ПК, обеспечиваемый с помощью штатных ОС. Учитывая, что основными проблемами ОС W95/98 являются отстутствие средств аутентификации, управления доступом и защиты от вторжений извне, в последующих х планируется изучение:

-программных средств для аутентификации доступа к компьютеру;

-ПО для создания защищенных файлов, папок, логических дисков;

-средств защиты ПК при работе в " Интернет".

ПСЗИ первой группы блокируют штатный (незащищенный) процесс старта ОС W95/98 и заменяют его процессом авторизованного входа в систему, как при старте NT (например, программа Access Denied).

Средства второй группы обеспечивают дифференцированный доступ разных пользователей к объектам файловой системы (файлам, папкам, логическим дискам). При этом, как правило, с помощью данных средств пользователи защищают собственные конфиденциальные информационные ресурсы. Основным методом, используемым в них, является шифрование. К данным средствам относятся: Secret Disc, Dallas Lock, Norton Your Eays Only и т.п.

К средствам третьей группы относятся различные классы программ:

-ПСБ стандартных броузеров (IE Explorer, Mozilla, Opera...);

-персональные брандмауэры ();

-антивирусные средства (AVP, Doctor WEB...);

-программы поиска “шпионов” и “закладок”(AD-Aware...).

На рынке представлен большой выбор средств, реализующих как одну из перечисленных функций, так и являющихся интегрированными решениями в данном секторе.

Специализированные ПСЗИ для локальных и корпоративных сетей.

Локальные сети с точки зрения информационной безопасности характеризуются ограниченностью в пространстве (как правило, в пределах контролируемой зоны внутри одного здания), отсутствием прямых соединений с другими ЛС, единой транспортной средой (кабель, протоколы, интерфейсы).

Специализированные программные СЗИ для локальных сетей являются, как правило, надстройками над сетевыми ОС и обеспечивают более удобное управление их ПСБ и (или) добавляют некоторые дополнительные эксклюзивные функции безопасности. К подобным средствам относятся, например, сетевые компоненты программно-аппаратных комплексов " Secret Net" и " СНЕГ-ЛВС".

Корпоративные сети характеризуются, наоборот, наличием переходов между различными физическими сетями и линиями связи, а также значительной территориальной распределенностью.

В роли специализированных ПСЗИ для корпоративных сетей выступают:

-брандмауэры и маршрутизаторы;

-средства организации виртуальных частных сетей;

-средства обнаружения и блокирования сетевых атак;

средства защиты электронной почты (антивирусы, системы ЭЦП).