Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
ПК «Игла-П» является программным средством защиты информации и устанавливается непосредственно на рабочую станцию пользователя. Выполнение перечисленных выше функций обеспечивается за счет работы с трафиком до самого сетевого уровня. Например, ПК «Игла-П» встраивается в сетевую архитектуру Windows NT 4.0 на уровне драйвера сетевой оболочки ndis.sys и перехватывает обмен сетевой информацией между сетевыми протоколами и адаптерами. ПК «Игла-П» производит регистрацию установленных в системе компонентов сетевого ПО и препятствует
Защита информации при межсетевом взаимодействии
291
выполнению незарегистрированных компонентов (драйверов, протоколов и сетевых адаптеров).
Характерной особенностью подобного средства защиты является то, что с его помощью можно организовывать защищенный информационный обмен как между пользователем и защищаемой локальной сетью, так и между двумя пользователями (рис. 3.15). Организация взаимодействия пользователь-защищаемая локальная сеть обеспечивается за счет совместимости между ПАК шифрования IP-трафика, стоящего на входе в локальную сеть, и пользовательским средством защиты. Пакеты, отправляемые ПК «Игла-П» для локальной сети, вначале попадают в ПАК шифрования IP-трафика, где обрабатываются (фильтруются и расшифровываются), а затем маршрутизируются внутри локальной сети. Например, ПК «Игла-П» совместим с KK «Шип» за счет реализации в обоих SKIP-протоколов.
При этом, например, ПК «Игла-П» может осуществлять защищенный обмен информацией как с использованием сетевых плат, так и с использованием модемных соединений, что обеспечивает гибкость при обеспечении защиты.
Поскольку современные ОС являются многопользовательскими, то при реализации программных средств защиты, ориентированных на применение в подобных ОС, необходимо обеспечить индивидуальные настройки для каждого пользователя, а также перекрыть возможности одного пользователя оказывать негативное влияние на режим работы другого. ПК «Игла-П» позволяет разграничить сферы доступа к настройке параметров конфигураций для различных категорий пользователей.
Рис. 3.15. Схемы применения ПК «Игла-П»
292 Компьютерная безопасность и практическое применение криптографии
Перед началом работы с «Игла-П» каждый пользователь Windows NT проходит регистрацию, которую производит администратор безопасности программного комплекса. При этом пользователю присваивается одно из следующих прав доступа к настройкам конфигурации:
• право просмотра и внесения изменений;
• право просмотра;
• запрет доступа.
3.5. Защита технологии «клиент-сервер»
Одной из самых распространенных на сегодняшний день моделей построения распределенных вычислительных систем является технология «клиент-сервер». Не вдаваясь в детали, опишем общую идею построения подобного вида технологий, в основе которой - разделение субъектов информационного взаимодействия на серверы, предоставляющие информационные услуги, и на клиентов, потребляющих эти услуги. Среди услуг, предоставляемых серверами, можно выделить: электронный почтамт, база данных, распределенная обработка данных, файл-сервер, сервер печати и т.д. Общая структура построения информационно-вычислительных систем (ИВС), использующих технологию «клиент-сервер», представлена на рис. 3.16.
Программное обеспечение, построенное по этой технологии, работает на прикладном уровне ISO/OSI, поэтому ИВС, сконструированные с использованием технологии «клиент-сервер», независимы от архитектуры транспортной среды передачи данных.
Поскольку в основе любых типов построения распределенных систем лежит взаимодействие удаленных друг от друга субъектов информационного обмена, очевидно, что протокольная часть программного обеспечения является краеугольным камнем любой клиент-серверной технологии. Собственно эта часть и реализует заданный подход к построению ИВС. В рамках данных ИВС могут работать пользователи с разными уровнями привилегий и обрабатываться информация, имеющая разный уровень секретности.
Наряду с функциями передачи сведений подобные системы выполняют задачи по разграничению доступа клиентов к информационным ресурсам сервера, а также по аудиту работы ИВС. К тому же в рамках подобных систем реализуется сложная система администрирования и поддержания работоспособности.
Защита технологии «клиент-сервер»
293
Сегменты локальной сети, состоящей из рабочих станций, которые являются клиентами сервера печати
Клиенты
файл-сервер файл-сервера
г—Ti и сервера печати
Рис. 3.16. Общая структура ИВС
Из всех протоколов, применяемых в клиент-серверных технологиях, чаще других пользуются протоколами прикладного уровня. К ним относятся:
• протокол HTTP (Hypertext Transfer Protocol), являющийся основой Web-технологии (или WWW) и использующийся для доставки гипертекстовых сообщений. В рамках Web-технологии применяются еще три механизма, без которых ее существование было бы немыслимо: язык гипертекстовой разметки документов (HTML), универсальный способ адресации (URL) и универсальный межсетевой интерфейс CGI;
