Защита компьютера от несанкционированого доступа

Задача сохранения конфиденциальной и рабочей информации, а также информации, содержащей персональные данные пользователя или группы пользователей, является важнейшей при создании защитных систем, оберегающих компьютер от несанкционированного доступа. Собственно, сам несанкционированный доступ – понятие довольно широкое, и может быть осуществлен злоумышленником по различным физическим и программным путям. Противодействие всем этим путям в комплексе и формирует задачу создания системы защиты, как многокомпонентной программно-аппаратной структуры.

Какими же методами и способами злоумышленник может получить несанкционированный доступ к компьютеру?

  1. Физический способ, в котором участвует внешний нарушитель с физическим доступом к «железу» компьютера
  2. Программный способ, осуществляемый внутренним нарушителем, имеющим определенные права доступа на разных уровнях внутри сети
  3. Удаленно-программный способ, осуществляемый через вирусное ПО, либо удалённый доступ из внешних сетей, находящихся за «периметром» безопасности локальной сети конкретного компьютера

При первом способе внешний нарушитель, имеющий доступ в помещения, где установлены компьютеры, может осуществить несанкционированный доступ, загрузившись с внешнего носителя, либо использовав заранее известные учетные данные других пользователей. В другом случае нарушитель может вскрыть корпус компьютера, получив доступ к физическим компонентам, в частности локальному хранилищу информации – жесткому диску, и демонтировать его.

При втором способе, пользователь, работающий внутри «периметра» локальной сети осуществляет действия по несанкционированному доступу к информации и её хищению путём копирования из ресурсов, которые ему разрешены для входа. В отдельных случаях такой пользователь может воспользоваться привилегированным доступом в сеть, который заранее ему известен (под чужими учётными данными).

При третьем способе несанкционированный доступ осуществляет вредоносный программный модуль, интегрированный удалённо в систему атакуемого компьютера. Такой модуль может действовать совместно с программами кейлоггинга, пользуясь зафиксированными данными о логинах и паролях пользователей. Сюда же можно отнести и низкоуровневые программные системы перехвата трафика на канальном уровне, и удалённые доступы с использованием открытых портов и уязвимостей операционных систем.

Всё вышеописанное является исходными данными для организации системы защиты компьютера от несанкционированного доступа. Строить систему рекомендуется именно по шагам противодействия угрозам, описанным выше. Соответственно, методы защиты можно классифицировать по трём основным направлениям.

Защита от физического несанкционированного доступа

Должна обеспечиваться отсутствием или ограничением свободного доступа неавторизованного персонала и предполагаемых нарушителей непосредственно к аппаратным составляющим и корпусу компьютера. Сюда можно отнести все системы физической защиты доступа – системы контроля доступа, решетки, турникеты, защитные средства, закрывающие корпус и т.п.

Должна быть обеспечена парольная защита системы первоначальной загрузки путём задания пароля в BIOS (включая пароль на изменение самих настроек BIOS).

Возможно использование также электронного замка (например, «Соболь») обладающий собственным «доверенным» периметром загрузки, который на сто процентов препятствует запуску компьютера с не доверенной операционной системой или с использованием внешних носителей.

Защита от несанкционированного доступа с использованием программных средств

Должен быть установлен антивирус с максимально широким функционалом для защиты сетевой инфраструктуры и сервера, желательно управляемый централизованно, постоянно обновляемый

Должна быть обеспечена прежде всего закрытая от внешних воздействий изолированная транспортная сеть передачи данных, на которой базируются машины домена или рабочей группы. Это может быть достигнуто сертифицированными сетевыми устройствами, обеспечивающими виртуальное разделение сетевых сегментов (по технологии VLAN) с осуществлением маршрутизации пакетов между ними.

Должен быть обеспечен защитный «периметр», включающий в себя демилитаризованную зону в виде отдельной изолированной подсети на стыке, отвечающим за сопряжение с внешними сетями и Интернет. Это достигается работающими аппаратными файрволами на граничных маршрутизаторах и набором правил доступа во внешние сети и входа из них.

Должен быть обеспечен необходимый уровень криптозащиты каналов связи, обеспечивающих обмен между сегментами локальной сети, что достигается применением аппаратных криптомаршрутизаторов, шифрующих IP-трафик в канале с помощью сертифицированных интегрированных в них средств (например, СЗИ Crypto Pro).

Также допускается организация защиты соединения непосредственно информационной системы с нужным ресурсом через программные VPN-клиенты, шифрующие трафик в создаваемом VPN-туннеле.

На уровне операционных систем защита от внешних проникновений, обнаружение и «отлов» вредоносного кода, действующего из файловых «тел», скриптов, внутри памяти и через электронную почту должна обеспечиваться комплексной антивирусной защитой всех точек сетевого взаимодействия – клиентских машин и серверов.

Непосредственно на компьютере, на котором работает пользователь, должны применяться и действовать доменные политики, а также система разрешительного доступа к информационным системам согласно утверждённой матрице доступа. Также должны действовать политики безопасности, контролируемые администраторами, в соответствии с которыми у пользователей изменяются пароли, осуществляется контроль доступа и т.п

Таким образом, по совокупности методов комплексное решение по защите компьютера от несанкционированного доступа определяется совокупностью программных, организационных и физических методов защиты, применяемых к конкретному автоматизированному рабочему месту.

Предыдущая
Следующая
ТОП-Продаж
Интернет-магазин лицензионного софта Softmonstr.ru
Интернет-магазин Softmonstr.ru предлагает лицензионное программное обеспечение по максимально низким ценам. Операционные системы, офисные приложения, широкий выбор антивирусных программ, фото-видео редакторов, полезных утилит и многое другое. Быстрое и качественное обслуживание, постоянная поддержка клиентов.

Отправьте нам сообщение, ответим на почту!