ЗІ від НСД має свої особливості в різних середовищах. Нижче розглянуто деякі особливості ЗІ від НСД в таких найбільш поширених і цікавих сферах, як локальні обчислювальні мережі (ЛОМ), бази даних, при організації парольного захисту, а також при організації конфіденційного зв'язку. Під особливостями тут розуміється наявність додаткових для певного середовища специфічних загроз.
6.1. Особливості ЗІ від НСД в локальних обчислювальних мережах
Інститут інженерів - електриків та -електроніків (ІЕЕЕ) визначає ЛОМ як «систему передачі даних, що забезпечує певному числу незалежних пристроїв можливість прямої взаємодії в обмеженому географічному просторі за допомогою фізичного каналу взаємодії обмеженої продуктивності». Типова ЛОМ належить тільки до однієї організації, що її використовує і керує нею. Звичайна ЛОМ за допомогою мережевої ОС поєднує сервери, робочі станції, принтери і стримери, дозволяючи користувачам спільно використовувати ресурси і функціональні можливості ЛОМ.
Типи додатків, забезпечувані ЛОМ, включають розподілене збереження файлів, віддалені обчислення та обмін повідомленнями. Не підлягає сумніву, що ці можливості ЛОМ є її перевагою. Однак вони пов'язані з додатковим ризиком, що призводить до проблем безпеки ЛОМ.
Які проблеми виникають при розподіленому збереженні файлів? Файлові сервери можуть контролювати доступ користувачів до різних частин файлової системи. Це звичайно здійснюється дозволом користувачу приєднати деяку файлову систему (чи каталог) до робочої станції користувача для подальшого використання як локальний диск. Виникають відразу дві потенційні проблеми. По-перше, сервер може забезпечити захист доступу тільки на рівні каталогу, тому якщо користувачеві дозволено доступ до каталогу, то він одержує доступ до всіх файлів, що містяться в цьому каталозі. Щоб мінімізувати ризик у цій ситуації, важливо відповідним чином структурувати і керувати файловою системою ЛОМ. Наступна проблема полягає в неадекватних механізмах захисту локальної робочої станції. Наприклад, персональний комп'ютер (ПК) може забезпечувати мінімальний захист чи не забезпечувати ніякого захисту інформації, збереженої на ньому. Копіювання користувачем файлів із сервера на локальний диск ПК призводить до того, що файл перестає бути захищеним тими
засобами захисту, що захищали його, коли він зберігався на сервері. Для деяких типів інформації це може бути прийнятним. Однак інші типи інформації можуть вимагати більш сильного захисту. Ці вимоги фокусуються на необхідності контролю середовища ПК.
Віддалені обчислення повинні контролюватися таким чином, щоб тільки авторизовані користувачі могли одержувати доступ до віддалених компонентів і додатків. Сервери повинні мати здатність автентифікувати віддалених користувачів, що запитують послуги чи додатки. Ці запити можуть також видаватися локальними і віддаленими серверами для взаємної автентифікації. Неможливість автентифікації може привести до того, що і неавторизовані користувачі будуть мати доступ до віддалених серверів і додатків. Повинні існувати деякі гарантії цілісності додатків, використовуваних багатьма користувачами через ЛОМ.
Топології і протоколи, використовувані сьогодні, вимагають, щоб повідомлення були доступні великому числу вузлів при передачі до бажаного призначення. Це набагато дешевше і легше, ніж мати прямий фізичний шлях між кожною парою машин. З цього випливають можливі загрози, які включають як активне, так і пасивне перехоплення повідомлень, переданих у лінії. Пасивне перехоплення включає не тільки читання інформації, а й аналіз трафіка (використання адрес, інших даних заголовка, довжини повідомлень і частоти повідомлень). Активне перехоплення включає зміну потоку повідомлень (у тому числі модифікацію, затримку, дублювання, видалення чи неправомочне використання реквізитів).
Служби обміну повідомленнями збільшують ризик для інформації, збереженої на сервері чи переданої між джерелом і відправником. Неадекватно захищена електронна пошта може бути легко перехопл...
