Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• оповещение администратора безопасности о событиях несанкционированного доступа;
• централизованный сбор и анализ содержимого журналов;
• контроль целостности программ, используемых ОС и пользователем.
Система Secret Net NT состоит из двух основных частей (рис. 3.8), которые при установке системы защиты в домене локальной сети Windows NT размещаются на различных серверах и рабочих станциях, входящих в состав домена. Серверная часть системы Secret Net NT всегда устанавливается на основной контроллер домена (Primary Domain Controller).
Клиентская часть системы Secret Net NT может быть установлена на любом сервере или рабочей станции домена, включая и основной контроллер. При этом на некоторые рабочие станции клиентская часть может не устанавливаться. В подобном случае эти рабочие станции останутся незащищенными. В дальнейшем, для простоты изложения, все серверы и рабочие станции домена, отличные от основного контроллера домена, будем называть рабочими станциями.
Серверная часть системы Secret Net NT состоит из следующих компонентов и подсистем:
• сервер управления доступом;
• программа управления NetAdmin;
• подсистема ведения базы данных системы защиты.
Клиентская часть системы Secret Net NT состоит из следующих компонент и подсистем:
• компонент обеспечения загрузки легальной копии ОС;
• агент сервера управления доступом;
• подсистема опознавания пользователя;
• подсистема контроля целостности;
• подсистема полномочного управления доступом;
• подсистема криптографической защиты;
• локальная база данных системы защиты.
Защита в локальных сетях
259
Серверная часть
Сервер управления доступом
СУБД
NetAdmin
БД системы защиты
БД контроллера домена
Подсистема полномочного управления доступом
Подсистема криптографической защиты
Агент сервера управления доступом
Подсистема
контроля целостности
Локальная БД
Подсистема опознавания пользователей
Рис. 3.8. Архитектура Secret Net NT
При правильном выборе конфигурации системы и режимов использования ОС Windows NT, а также при соответствующей настройке имеющихся средств защиты и корректно осуществляемой организационно-административной поддержке их применения ОС Windows NT позволяет создавать защищенные распределенные автоматизированные системы обработки данных.
Для применения ОС Windows NT с целью обеспечения защиты в ЛВС необходимо соблюдать следующие условия:
• использовать ОС Windows NT 4.0 Service Pack 3. После инсталляции ОС Windows NT необходимо установить необходимые права доступа пользователей к различным каталогам на жестких дисках и ключам реестра;
• система ОС Windows NT должна быть установлена на раздел с файловой системой NTFS. Необходимо, чтобы на диске отсутствовали иные операционные системы. В ЛВС должен присутствовать основной домен-контроллер. Обмен данными между рабочими станциями ЛВС должен осуществляться с использованием протокола TCP/IP;
• система Secret Net NT должна быть установлена с платой защиты от загрузки и настроена следующим образом:
- для всех пользователей системы должны быть подготовлены ключевые носители (дискеты или touch memory), и для всех пользователей
9*
260 Компьютерная безопасность и практическое применение криптографии
системы должен быть установлен режим усиленной аутентификации;
- на всех компьютерах локальной сети (за исключением основного контроллера домена) должен быть установлен режим шифрования трафика;
- должно быть установлено принудительное затирание файла подкачки страниц, а также затирание данных на жестком диске в один проход;
• организационными мерами защиты должна быть обеспечена сохранность ключевой информации пользователей, а также управление настройками компьютера с основного контроллера домена.
3.4. Защита информации
при межсетевом взаимодействии
3.4.1. Общие сведения
Появление локальных и глобальных сетей передачи данных предоставило пользователям удивительные возможности для оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узкоиаправленных целях (академические сети, сети военных ведомств и т.д.), то развитие Internet и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека.
Повсеместное распространение Internet привело к необходимости применять в телекоммуникационном оборудовании и информационных услугах открытые и универсальные решения. Сама жизнь требовала обеспечить совместимость и интегрируемость предоставляемых продуктов и услуг в рамках Internet, но для реализации такого подхода пришлось пожертвовать безопасностью создаваемых систем. Недостатки в защите отправляемых по Internet данных являются неизбежным следствием недоработанности вопросов сохранения конфиденциальности в базовом стеке протоколов Internet - TCP/IPv4. Поскольку существующая версия стека протоколов TCP/IP была разработана в 70-х годах, соответственно его создатели даже предположить не могли, что через некоторое время их детище получит статус международного промышленного стандарта. Первые нарушения безопасности в сети Internet были зафиксированы
