9930

Сохранность и защита программных систем

Реферат

Информатика, кибернетика и программирование

Сохранность и защита программных систем Цели защиты информации. Теоретические основы компьютерной безопасности. Требования, предъявляемые к обеспечению безопасности информационных технологий. Организационно-правовое обеспечение информационной...

Русский

2013-03-18

6.23 MB

12 чел.

PAGE 2

Сохранность и защита программных систем

Цели защиты информации. Теоретические основы компьютерной безопасности. Требования, предъявляемые к обеспечению безопасности информационных технологий. Организационно-правовое обеспечение информационной безопасности. Правовая база защиты информации.

Правовая база защиты информации

УГОЛОВНЫЙ КОДЕКС РФ

Глава 28. ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ.

Статья 272. Неправомерный доступ к компьютерной информации

  1.  Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -

наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

  1.  То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -

наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных  программ для ЭВМ

  1.  Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами 

наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

  1.  Те же деяния, повлекшие по неосторожности тяжкие  последствия, 

наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

  1.  Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, 

наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

  1.  То же деяние, повлекшее по неосторожности тяжкие  последствия, 

наказывается лишением свободы на срок до четырех лет.

Итак, давайте разберёмся.

Сегодня Уголовный кодекс РФ предусматривает ответственность за три вида компьютерных преступлений:

Ст. 272. Неправомерный доступ к компьютерной информации, если это повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы вычислительных систем;

Ст. 273. Создание, использование и распространение вредоносных программ для ЭВМ;

Ст. 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Давайте разберемся, что значат эти формулировки, ибо незнание, как известно, не освобождает...

Еще дедушка Винер определил так: «Информация - это обозначение содержания, полученного из внешнего мира в процессе нашего приспособления к нему и приспособления к нему наших чувств».

Уничтожить информацию - значит привести ее в такое состояние, когда она уже не может быть восстановлена.

Блокирование - действие, после которого невозможно будет использовать информацию при ее сохранности.

Модификация - это любые изменения, не имеющие своей целью обеспечить нормальное функционирование данных.

Копирование - воспроизведение информации в любой материальной форме.

Следует иметь в виду, что в УК речь идет о копировании с прямым умыслом, а уничтожение, блокирование, модификация и нарушение работы компьютерной системы могут быть совершены как умышленно, так и по неосторожности. Суть преступления, предусмотренного ст. 272, такова: если неправомерный доступ был, но не произошло уничтожение, блокирование, модификация или копирование информации, то ответственность не наступает. Причем доступ является правомерным, если вы как правообладатель, собственник информации или системы разрешаете доступ другим лицам. Неправомерным он будет тогда, когда лицо не имеет права на доступ к данной информации либо имеет право, но осуществляет его помимо установленного порядка.

«Светит» за все это от штрафа в 200 МРОТ до лишения свободы на пять лет. Впрочем, статья не регулирует ситуации, когда неправомерный доступ происходит в результате неосторожных действий, что отсекает огромный пласт возможных посягательств, включая те действия, которые совершались злонамеренно, так как при расследовании обстоятельств крайне трудно будет доказать умысел компьютерного преступника.

По поводу ст. 273 нужно сказать следующее. С точки зрения Генеральной прокуратуры РФ, программа для компьютера - это описание, воспринимаемое ЭВМ и достаточное для решения определенных задач. Ответственность наступает за создание, изменение, использование и распространение программ, которые потенциально вредоносны. Причем пагубных последствий ждать не надо. В создании, использовании и распространении вредных программ считается виновным тот, кто сознает, что он может навредить, и желает этого. При таком раскладе можно получить от трех до семи лет лишения свободы.

Со ст. 274 все и проще, и сложнее одновременно. Ретивая уборщица шваброй выдернула сетевой кабель из UPS или мышка бежала и хвостиком махнула, из-за чего вы не успели сохранить сотню-другую уникальных данных, - они вовсе не преступники (с точки зрения УК). Хотя и предусматривается ответственность за неосторожные деяния, но по ней должны квалифицироваться, например, действия специалиста по обслуживанию системы управления транспортом, установившего инфицированную программу без антивирусной проверки, что повлекло серьезную транспортную аварию.

Между нарушением правил эксплуатации и наступившими последствиями обязательно должна быть установлена причинная связь. Здесь субъект преступления специальный: лицо, имеющее доступ к системе или сети по своим профессиональным обязанностям. Наказание соответствующее: лишение права заниматься определенной деятельностью на срок до пяти лет или, если будут иметь место тяжкие последствия, лишение свободы на срок до четырех лет.

Вот и все, что может инкриминировать действующий в настоящее время Уголовный кодекс РФ. Правда, существуют еще законы «О средствах массовой информации», «О правовой охране программ для ЭВМ и баз данных», «О правовой охране топологий интегральных микросхем», «Об авторском праве и смежных правах», «О государственной тайне», «О связи», «Об информации, информатизации и защите информации» и Патентный закон РФ,

ГРАЖДАНСКИЙ КОДЕКС РФ

Статья 139. Служебная и коммерческая тайна

  1.  Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.
  2.  Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.

УГОЛОВНЫЙ КОДЕКС РФ

Статья 83. Незаконные получение и разглашение сведений, составляющих коммерческую или банковскую тайну

  1.  Собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда, в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет.
  2.  Незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда, в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.


О защите информации на малых и средних предпр
иятиях

Автомобиль, квартира, дача, офис... Не надо доказывать, как важно обеспечить их безопасность. А вот нужно ли защищать информацию? И как это сделать с наименьшими затратами? Попробуем разобраться на примере организации работ по защите информации на небольшом предприятии.

Всюду - тайны

В Федеральном законе «Об информации, информатизации и защите информации» документированная информация с ограниченным доступом разделена на две большие группы: ту, что представляет собой государственную тайну, и конфиденциальную. О себе власти позаботились - государственная тайна единственная охраняется специальным законом. А вот с конфиденциальной информацией ясности меньше - специалисты выделяют более тридцати видов и разновидностей других тайн (см. рисунок 1), которые защищаются многочисленными нормативными актами - от Конституции до писем и инструкций отраслевых министерств и ведомств.

Предоставим юристам разбираться в тонкостях права  ведь, следуя букве закона, необходимо отличать медицинскую тайну от врачебной, а тайну связи - от тайны переписки, телефонных, почтовых, телеграфных и иных сообщений. С уверенностью можно предположить, что любая фирма заинтересована прежде всего в сохранении своей коммерческой и служебной тайны, ответственность за разглашение которых предусмотрена Гражданским и Уголовным кодексами.

Перечень сведений, составляющих коммерческую тайну, утверждается руководителем предприятия. Но не следует впадать в раж и включать в число конфиденциальных все документы. С одной стороны, нормативными актами запрещено относить к коммерческой тайне устав предприятия, его учредительные документы и т. д. А с другой - мало объявить тот или иной документ конфиденциальным, важно на деле обеспечить безопасность содержащейся в нем информации. Здесь поневоле придется экономить, сообразуясь с возможностями фирмы, прежде всего экономическими.

Таким образом, на плечи руководства предприятия ложится организация следующей работы:

  •  инвентаризация документированной информации с выделением документов, содержащих сведения, составляющие коммерческую или служебную тайну, и последующее ранжирование этих документов по важности;
  •  определение круга лиц, допущенных к конфиденциальным документам, с установлением их персональной ответственности за соблюдение режима защиты информации;
  •  ограничение доступа к конфиденциальной информации;
  •  создание системы защищенного оборота документов, содержащих коммерческую или служебную тайну;

постоянный контроль за эффективностью мер по защите информации.

Цели защиты

Отраслевой стандарт по информационной безопасности определяет защиту информации как деятельность, направленную на предотвращение утечки информации, несанкционированных и непреднамеренных воздействий на информацию. И если первое направление (предотвращение утечки) должно предупреждать разглашение конфиденциальных сведений, несанкционированный доступ к ним и/или их получение разведками (например, коммерческой разведкой фирм-конкурентов), то два других направления защищают от одинаковых угроз (искажение конфиденциальной информации, ее уничтожение, блокирование доступа и аналогичные действия с носителем информации). Вся разница заключается в наличии или отсутствии умысла в действиях с информацией (см. рисунок 2).

Сразу оговоримся, что за рамками данной статьи остаются угрозы получения конфиденциальных сведений благодаря ведению агентурной работы, перехвату телефонных переговоров, использованию проводных и радиозакладок, побочных электромагнитных излучений и наводок, визуальному наблюдению. Не станем рассматривать и угрозы, порождаемые действием природных и техногенных факторов (наводнений, пожаров, неисправностей сетей электропитания и т. п.), хотя для предприятий, расположенных, к примеру, в зонах возможных землетрясений или в зданиях с изношенной инфраструктурой эти проблемы выходят на первый план. Сосредоточимся на угрозах, порождаемых субъективными причинами, т. е. действиями злоумышленников и неквалифицированных пользователей в отношении информации, обрабатываемой в автоматизированных системах (см. рисунок 3).

Больше всего угроз по-прежнему создают компьютерные вирусы (в число которых помимо традиционных файловых, загрузочных, макровирусов и т. п. вредоносных программ входят также «Трояны», «вандалы», перехватчики паролей и т. д.) и атаки распространителей спама . Многие сети годами остаются открытыми для пришельцев из Интернета, и неизвестно, что в этом случае опаснее - сознательный взлом злоумышленником корпоративной сети для съема конфиденциальной информации или же осуществляемая «из любви к искусству» дезорганизация работы сети с помощью атак типа «отказ в обслуживании» . Поскольку для малых и средних коммерческих структур создание специально защищенных линий связи невозможно, приходится использовать открытые каналы для обмена кроме прочего и конфиденциальной информацией, а это чревато как перехватом этой информации , так и нарушением ее целостности или подменой .

Внутри локальной сети актуальна задача надежной аутентификации пользователей: хрестоматийный пример прикрепления к монитору бумажки с записанным логином и паролем навяз в зубах, но, видимо, бессмертен, как птица Феникс ... Зачастую не придается значения разграничению доступа между легальными пользователями . Здесь можно привести такую аналогию: иерархию кабинетов все сотрудники соблюдают свято, никому не приходит в голову оккупировать стол или комнату начальства, а вот по отношению к конфиденциальной информации действует, так сказать, коммунистический принцип «каждому - по интересам», и сведения, предназначенные двум - трем топ - менеджерам, становятся известны чуть ли не половине фирмы.

Часто к одним и тем же следствиям приводят на первый взгляд совершенно разные причины. Что, казалось бы, роднит забывчивость и «Маски-шоу», за которым все мы время от времени наблюдаем по телевизору? С точки зрения информационной безопасности общее у них то, что и следствием забывчивости пользователя (оставившего, скажем, в аэропорту ноутбук с базой данных о клиентах), и результатом визита людей в камуфляже становится отчуждение носителей конфиденциальной информации . В качестве еще одного канала вероятной утечки можно назвать, к примеру, сервис - центры, в которые поступают диски с не уничтоженной должным образом информацией . Наконец, не стоит забывать, что в значительном числе случаев пользователи оперируют информацией не только в электронном, но и в бумажном виде , и регулярное обследование содержимого мусорных ведер, куда отправляются черновики и наброски, может дать вашим конкурентам больше, чем хитроумные атаки и попытки взлома.

Таким образом, напрашивается вывод: защита информации - одно из ключевых направлений деятельности любой успешной фирмы.

Перед специально отобранным для этого сотрудником (или подразделением) стоят следующие задачи:

  •  анализ угроз конфиденциальной информации, а также уязвимых мест автоматизированной системы и их устранение;
  •  формирование системы защиты информации - закупка и установка необходимых средств, их профилактика и обслуживание;
  •  обучение пользователей работе со средствами защиты, контроль за соблюдением регламента их применения;
  •  разработка алгоритма действий в экстремальных ситуациях («Маски-шоу», природное бедствие и т. п.) и проведение регулярных «учений»;
  •  разработка и реализация программы непрерывной деятельности автоматизированной системы и плана восстановительных мероприятий (в случае вирусной атаки, сбоя/ошибки/отказа технических средств и т. д.).

Серые кардиналы

Особо нужно рассмотреть роль еще одной силы, о которой нередко и незаслуженно забывают. Сила эта, и немалая, - сотрудники подразделений информационных технологий. Конечно, в компаниях с небольшим штатом они же решают и задачи обеспечения информационной безопасности, но нас интересует случай, когда отделы защиты информации и ИТ существуют автономно.

Собственно говоря, автономия и служит скрытым источником возможных конфликтов  будь то битвы за бюджет, выяснение, «кто главней», или кадровые баталии. К сожалению, зачастую эти сражения заканчиваются патовой ситуацией: одна служба блокирует решения другой или же тормозит выделение финансовых средств.

А ведь по сути «айтишникам» и «защитникам» делить нечего, и их конфликты напоминают раздоры между двумя головами одного дракона. Для подтверждения этой мысли попробуем сформулировать функции подразделения ИТ, реализация которых способствовала бы как развитию автоматизированной системы (АС), так и обеспечению информационной безопасности:

  •  регулярное тестирование компонентов АС и системы в целом;
  •  использование встроенных в программные продукты и аппаратные средства механизмов защиты (управление правами доступа пользователей, парольная аутентификация, списки контроля доступа маршрутизаторов, системы балансировки нагрузки, управления адресным пространством и т. д.);
  •  контроль за применяемым пользователями программным обеспечением (с пресечением попыток установки нелицензионного ПО и т. п.);
  •  повышение технологической культуры пользователей.

Как не попасть в Бермудский треугольник

Итак, можно констатировать, что деятельность по защите информации протекает в рамках четырехугольника «руководство компании  служба защиты информации  департамент ИТ  пользователи», и от доброй воли всех этих сторон зависит, будет ли их сотрудничество эффективным или же указанная геометрическая фигура превратится, почти по Высоцкому, в Бермудский треугольник бесконечных свар и конфликтов.

С какими же проблемами приходится сталкиваться при построении системы защиты информации?

Метод заплаток. «Кусочное» обеспечение информационной безопасности лишь на отдельных направлениях. Следствие  невозможность отразить атаки на незащищенных участках и дискредитация идеи информационной безопасности в целом.

Синдром амебы. Фрагментарное реагирование на каждый новый раздражитель; часто сочетается с применением «метода заплаток». Следствие - запаздывание с отражением новых угроз, усталость от бесконечной гонки по кругу.

Лекарство от всего. Попытки возложить на одно средство защиты информации все функции обеспечения информационной безопасности (например, стремление отождествить аутентификацию и полный комплекс задач защиты от несанкционированного доступа). Следствие - непрерывный переход, миграция от одного средства защиты к другому, «более комплексному», последующее разочарование и паралич дальнейших действий.

Волшебная палочка. Вторая ипостась поисков «универсального лекарства», искреннее непонимание необходимости дополнения технических мер защиты организационными. Следствие - предъявление завышенных требований к системе или средству защиты.

Стремление к экономии. В принципе похвально, однако в крайних формах сводится к желанию построить систему защиты на беззатратной основе. Следствие - применение непроверенных и/или нелицензионных средств защиты, отсутствие поддержки со стороны производителей, постоянные попытки разобраться во всем самостоятельно, неэффективные и разорительные, как и любая самодеятельность.

*   *   *

Таковы лишь некоторые проблемы, подстерегающие любого, кто сделает первый шаг к информационной безопасности. Что скрывать - путь это трудный и долгий. Есть, конечно, и другие дороги, более легкие, но все они в конечном счете ведут в  тупик.

«Джентльменский набор» для защиты информации

Минимальный пакет

Оптимальный пакет

Средства антивирусной защиты рабочих станций, файловых и почтовых серверов.

Антивирусные средства в программно-аппаратном исполнении, средства контроля содержимого (Content inspector) и борьбы со спамом.

Программный межсетевой экран (МЭ)

Программно-аппаратный межсетевой экран (МЭ), система обнаружения атак (Intrusion Detection System).

Программные средства формирования защищённых корпоративных сетей (VPN - Virtual Private Network)

То же в программно-аппаратном исполнении и интеграции с межсетевым экраном.

Разграничение доступа пользователей к конфиденциальной информации штатными механизмами защиты информации и разграничение доступа операционных систем, прикладных программ, маршрутизаторов и т. п.

Программно-аппаратные средства защиты от НСД и разграничения доступа.

Программные средства шифрования и электронной цифрой подписи (ЭЦП) для обмена конфиденциальной информацией по открытым каналам связи

Аппаратные шифраторы для выработки качественных ключей шифрования и ЭПЦ; интеграция со средствами защиты от НСД и разграничения доступа.

Средства «прозрачного» шифрования логических дисков пользователей для хранения конфиденциальной информации.

Средства «прозрачного» шифрования конфиденциальной информации, хранимой и обрабатываемой на серверах.

Средства уничтожения неиспользуемой конфиденциальной информации (например, с помощью соответствующих функций шифраторов).

Аппаратные уничтожители носителей информации.

Средства резервного копирования, источники бесперебойного питания, уничтожители бумажных документов


Шпиономания

Человечество больше всего любит чужие тайны.

Штирлиц, 17 мгновений весны

Ведущие жесткую конкурентную борьбу нечистоплотные деятели Интернета грубо вторгаются в личную жизнь безобидных посетителей Сети, стремясь собрать о них максимум информации. В результате наши почтовые ящики ломятся от сомнительных или вовсе непристойных предложений, а из карманов утекают деньги за лишний трафик. Поголовье вирусов, червей и жучков счету не поддается, Интернет - живность начала инфицировать сама себя, и распространение заразы приобретает ныне масштабы пандемии. Программы-шпионы, обрядившись в овечьи шкуры, наблюдают за нашими действиями из укромных уголков жесткого диска и регулярно отправляют своим хозяевам пароли и прочую секретную информацию. Страшно?

Как защитить себя и свой ПК? На любой вкус антивирусные программы, брандмауэры, генераторы и хранители паролей, шифраторы, а также аппаратные средства, среди которых всевозможные «противоугонные устройства»: ключи, брелки, диски, смарт-карты... И хотя все эти защитные меры носят скорее реактивный, чем профилактический характер, мы, по крайней мере, осведомлены об основных напастях, подстерегающих беспечных пользователей ПК.

Только вот технологии не стоят на месте. Появляются все новые средства против охотников за чужой информацией, непрерывно совершенствуются методы защиты. И естественно, не дремлют хакеры и спецслужбы, в свою очередь изобретая изощренные способы обойти все то, что создали ревнители компьютерной безопасности. Спрос рождает предложение  как с одной, так и с другой стороны. Поистине столетняя война: затяжное и мучительное великое противостояние. Кому-то все, о чем будет рассказано ниже, может показаться заокеанской экзотикой или капризами «загнивающих капиталистов». Но разве так уж важно, в каких целях и кем все это придумано? «А 1а guerre comme a la guerre»: помимо тех, кто понимает, во что влез и кто делает на этом свой бизнес, жертвами «мозговых штурмов» и «одиночных перестрелок» все чаще становятся ни в чем не повинные пользователи ПК. Не пора ли создавать народное ополчение и вооружаться - хотя бы знаниями?

Под колпаком

Из всех «оригинальных» способов хищения информации с ПК, наверное, самым информативным для злоумышленника является наблюдение за клавиатурой. Во-первых, человеку нелегко заметить, что он стал объектом слежки. Во-вторых, анализируя последовательности нажатий на клавиатуре, можно извлечь практически любую информацию: имена и пароли при авторизации в некоторых программах, списки посещаемых ресурсов Интернета, письма, которые вы отправляете своим друзьям, важные цифры, вставленные в отчет шефу… Как это возможно?

Извлечение текста.

Проникнув в дом или офис без вашего ведома, недоброжелатели могут установить на ваш ПК клавиатурный монитор (рис. 4  6).

Рис.4. Клавиатурный монитор («аппаратный логгер»)

Рис. 5 и 6. Вид ПК до установки клавиатурного монитора и после

Этот маленький «краб» в течение определенного периода времени записывает произведенные вами нажатия на клавиши, фиксируя, таким образом, всю набираемую на компьютере информацию. После установки этого неприметного устройства специалистам останется только еще раз проникнуть в ваше помещение и снять данные с клавиатурного монитора. Компания, производящая это устройство, говорит, что его можно установить за 12 с независимо от того, включен ПК или нет. Как правило, мало кто из нас обращает внимание на заднюю сторону системного блока. Если же вы проявили бдительность, но не обнаружили на задней стороне своего ПК такую штучку, это вовсе не значит, что все в порядке. Устройство при желании можно незаметно прикрепить к системной плате, закамуфлировав под какой-нибудь конденсатор. Кроме того, клавиатура может быть заменена на аналогичную с заранее установленным внутри нее монитором.

Видеонаблюдение.

Проникнув в помещение, злоумышленники могут установить над вашим рабочим местом миниатюрную видеокамеру, которая будет записывать нажатия на клавиши, например, во время ввода парольной фразы.

Аудионаблюдение.

Отличие такого метода слежки от предыдущего состоит лишь в том, что вместо миниатюрной видеокамеры устанавливается датчик, фиксирующий звуки, идущие от клавиатуры. Затем будет проведен анализ записи: сравнение со звуками нажатия на клавиши, полученными во время набора известного текста. Правда, по мнению специалистов, нужен не один жучок, а целая система. Если расположить определенным образом микрофоны (не менее шести), можно вычислить абсолютную координату источника звука в системе, образованной микрофонами, а затем по этой координате определить, какая клавиша нажата.

Анализ переменного напряжения в сети.

С помощью специального оборудования, подключенного к питающей сети, можно отследить незначительные колебания напряжения, происходящие во время набора текста, и таким образом записать все нажатия на клавиши. Однако некоторые сведущие люди утверждают, что это нереально, так как блок питания компьютера представляет собой импульсный преобразователь напряжения. Проще говоря, ток потребления контроллера, установленного в клавиатуре, не превышает 0,001 A, а номинальный ток блока питания - примерно 5 – 6 A с коэффициентом пульсаций 0,25%. Конечно, «наблюдатели» могут поставить режекторный фильтр, отсекающий собственные пульсации блока питания ПК, но будут ли заметны клавиатурные импульсы на фоне неизбежно присутствующих шумов? Из сети питания можно определить включение дисковода или CDROM (по запуску двигателей привода, которые потребляют достаточно ощутимый ток), да и то будет фиксироваться лишь увеличение потребляемой мощности, а не характер или тем более сами данные. Но чем черт не шутит?

Анализ электромагнитного излучения.

Компьютерные процессоры и мониторы излучают электромагнитные волны, которые способно уловить и записать специальное оборудование, установленное, например, на машине, припаркованной неподалеку от вашего дома или офиса или в квартире соседней многоэтажки. Такой способ вызывает большое количество споров по поводу своей практической осуществимости. Британские службы, проводящие мониторинг электромагнитного излучения с целью поиска тех, кто смотрит без лицензии определенные телевизионные каналы, не могут уловить излучение, испускаемое плазменными телевизорами. Но то, что ПК и мониторы в Пентагоне имеют специальные металлические кожухи, значительно ослабляющие уровень электромагнитных излучений,  не повод ли, чтобы призадуматься?

Юстас  Алексу

Если вы еще не знакомы, позвольте представить: PGP, криптографическая программа с высокой степенью надежности, позволяющая конфиденциально обмениваться электронной информацией. Главное ее преимущество состоит в том, что для обмена зашифрованными сообщениями пользователям не нужно передавать друг другу тайные ключи, так как PGP построена на особом принципе работы - публичной криптографии. Пользователи могут открыто посылать друг другу свои ключи через Интернет и при этом не беспокоиться о возможности несанкционированного доступа каких-либо третьих лиц к их конфиденциальным сообщениям. Однако и здесь все не так просто. Познакомьтесь с некоторыми ухищрениями, к которым прибегают сотрудники ФБР для расшифровки PGP-сообщений.

Измененная копия программы-шифратора.

Проникнув в дом или офис, специалисты могут установить на вашем ПК вместо оригинальной версии поддельную копию PGP. Все      сообщения, закодированные с помощью такой программы, будут элементарно расшифровываться этими людьми.

Специальный вирус.

Еще одна разновидность атаки - вирусная программа, записывающая в специальный файл все нажатия клавиш. Естественно, при этом ваш PGP-пароль или парольная фраза будут зафиксированы, после чего все сообщения, закодированные с помощью PGP, очень просто расшифровать. Во время вашего очередного визита в Интернет такой вирус отошлет информацию «куда следует».

Генерация случайных чисел. Пробравшись в ваш ПК, специалисты копируют файл под названием randseed.bin, используемый программой PGP для генерации псевдослучайных данных при создании шифровального блока. Этот способ очень сложен и чрезвычайно дорог, поэтому к нему прибегают только для защиты национальной безопасности.

Криптоанализ.

Перехватить зашифрованные сообщения, посланные через Интернет, довольно легко. А после того как информация поймана, она попадает к специалистам для проведения криптоанализа. Эта процедура осуществляется суперкомпьютерами, но на расшифровку одного сообщения все равно может уйти до нескольких недель, месяцев или даже десятков лет - в зависимости от содержания, формата и длины. Этот трудоемкий процесс пригоден только тогда, когда ни один из описанных выше методов не принес результата.

Будьте бдительны

В Америке законодательно закреплено право руководства знать, чем занимаются его подчиненные в каждый конкретный момент рабочего времени. Правда, любой работодатель обязан предупредить сотрудника о том, что за ним наблюдают. У нас в стране хоть и считается аморальным «подсматривать», этим часто грешат коммерческие фирмы. Кроме того, наши домашние компьютеры вообще никакой закон не защищает. Что же делать?

Совет 1.

Первым делом проверьте способ подключения клавиатуры к ПК. Если она подсоединена к разъему на системной плате через какой-то подозрительный цилиндр (рис. 1), существует большая вероятность, что именно это мы и ищем. Сей, так называемый, «аппаратный логгер» можно убрать и подключить клавиатуру непосредственно в системную плату. Одно маленькое замечание: вместо логгера может оказаться другое устройство, например удлинитель порта или совмещенный с ним разъем для внешнего питания.

С аппаратным перехватчиком информации разобрались. Но вот узнать, установлено ли на ПК шпионское программное обеспечение (например, WinWhatWhere's Investigator или Spector-soft's Spector), гораздо труднее. Эти приложения маскируют свои названия и могут отсылать информацию через Интернет.

Совет 2.

Для того чтобы предотвратить несанкционированную отправку каких-либо данных, установите у себя на компьютере персональный брандмауэр, в частности Zone Alarm. Если он у вас уже есть, проверьте список приложений, имеющих право доступа в Сеть. Обнаружив незнакомца, настройте брандмауэр так, чтобы он спрашивал у вас разрешения отсылать данные. Это, кстати, весьма помогает ловить всяческих «троянских коней». Обычно любая программа стремится сообщить кому-нибудь что-либо при запуске, тут-то вы ее и сцапаете! Если же необходимость передать данные в Интернет возникла на пустом месте, в не связанный ни с каким событием момент, придется исследовать сложившуюся ситуацию с другой стороны.

Программы - «снифферы» (от англ., sniff - нюхать) зачастую ведут свои журналы на жестком диске.

Совет 3.

Установите антихакерское ПО, например Spy Cop (есть ознакомительная версия, полная стоит 50 долл.) или Spy-Detect (25 долл.). Обе программы могут проверять жесткий диск на предмет наличия файлов, созданных мониторами слежения за клавиатурой, и стирать не только журналы, но и сами приложения. Ознакомительная версия Spy Cop выполняет частичное сканирование и не может удалять файлы. Но главное - установить сам факт нелегального надсмотра! Далее следует вручную удалить все подозрительное из активных приложений, перезапустить Windows и снова проверить сканером содержимое жесткого диска.

Совет 4.

Не думайте, что удаленные файлы нельзя восстановить. Существуют специальные программы для извлечения и чтения всей информации, когда-либо стертой с жесткого диска. Кроме того, Windows оставляет следы в файле подкачки (swapфайл), используемом для ускорения работы этой ОС. Особенно велика вероятность попадания туда информации в случае, когда вы переносите данные из одной программы в другую при помощи буфера обмена. Чтобы надежно удалить файлы с конфиденциальной информацией, примените бесплатную утилиту Eraser (http://www.iki.fi/st/eraser). В Windows 2000 ее можно настроить так, чтобы при каждой перезагрузке компьютера swap-файл перезаписывался нулями. А для того чтобы стереть данные из него в Windows 95/98/Ме, понадобится утилита DOS типа Scorch (http://www.bonaventura.free-online.co.uk), специально для этого созданная. Чтобы перестала изменяться величина динамического файла подкачки, задайте ему в настройках одинаковые минимальный и максимальный размеры, например 300 Мбайт. Еще более эффективно полностью отключить swap-файл и нарастить оперативную память компьютера (RAM) до такой степени, чтобы отпала какая-либо необходимость в нем.

Совет 5.

Многие программы, работающие под управлением Windows, как правило, оставляют копии рабочих файлов во временных каталогах. Это происходит, в частности, при распечатке каких-либо документов. Тщательно проверяйте установки программ, в которых вы работаете с конфиденциальной информацией. Чаще всего временные копии находятся в каталогах C:\Windows\Temp (Windows 98/Ме) и C:\Documents and Settings\Administrator\Local Settings\Temp (Windows 2000). Кроме того, не забывайте регулярно очищать свободное место вашего жесткого диска с помощью таких утилит, как Norton Free Space Wipe или PGP Free Space Wipe. Программа Eraser также поддерживает эту функцию. Если слежка угрожает вашей жизни, замените жесткий диск на новый, старый же разберите и сточите с него верхний слой наждачной бумагой.

ВНИМАНИЕ! При использовании программ по надежному удалению информации (Eraser, PGP wipe и др.) в файловой системе NTFS остается нестертым так называемый alternate data stream. Поэтому обработайте все свободное место на жестком диске по методу wipe free space. Это позволит полностью удалить все фрагменты, которые могли остаться в зоне alternate data stream.

Совет 6.

Во время работы с конфиденциальными данными лучше всего отключиться от сетевого источника питания и телефонного разъема. Для этого вам понадобится ноутбук, работающий от аккумулятора. Конечно, надо понимать, что этот вид защиты не будет приоритетным в силу того, что анализировать колебания напряжения в сети чрезвычайно трудно.

Совет 7.

Старайтесь расстроить планы наблюдающих за вами злоумышленников: покинув свое обычное рабочее место, вы скроетесь из поля зрения установленной в помещении видеокамеры, а сигналы, издаваемые клавиатурой, не будут слышны «радио-жучку». Самые удачные места для работы с конфиденциальной информацией - скамейка в парке, переполненное кафе или ресторан, стоянка автобусов, аэропорт, пляж и т. п. В общем, старайтесь быть непредсказуемы, появляйтесь там, где «врагам» очень сложно будет тайно подслушивать или подсматривать за вами.

Совет 8.

Ни в коем случае никуда не записывайте свои пароли. Отнеситесь к этому серьезно.

Совет 9.

Никогда не подсоединяйте ноутбук к телефонной розетке, не используйте его для хождения по Интернету и не оставляйте без присмотра. Если вы получили зашифрованное сообщение, сохраните его на дискете в виде текстового файла, затем перейдите в другое место, проверьте дискету с помощью антивирусной программы и расшифруйте сообщение на ноутбуке. Ни в коем случае не оставляйте расшифрованные сообщения на своем ПК.

Совет 10.

Вполне понятно, что ваши интересы не совпадают с желаниями человека, который во что бы то ни стало намерен раскрыть чужие тайны. Помните, как «пьяный воздух свободы сыграл с Плейшнером злую шутку»? Не теряйте бдительность, будьте готовы к тому, что скоро гласно или негласно какой-нибудь жучок или заразная программа появятся у вас вновь. Может, стоит подумать, а не устроить ли самому слежку, чтоб узнать, кто же это пакостит?! Но помните: все хорошо в меру, и худой мир лучше доброй ссоры.

В параграфе использованы советы по предотвращению шпионского наблюдения (Эндрю Брандт, PC World, № 7/02), а также материалы сайта «Оффшорные механизмы и решения для российских компаний» (www.gloffs.com/eomputer_security.htm).


Защита данных в распределенных системах

О проблемах защиты данных в компьютерных сетях

Обмен электронными документами на предприятиях все шире заменяет бумажный документооборот, место телефонных звонков и служебных записок занимают сообщения электронной почты, функции секретарей и операторов берет на себя речевая почта. Сложные конструкторские и управленческие задачи все чаще решаются с помощью вычислительных систем, информация передается из сети в сеть, из страны в страну по проводным телефонным линиям и каналам спутниковой связи.

Все это происходит в условиях, когда взаимодействующие друг с другом системы с самого начала создавались как обособленные объекты. Они возникали в результате объединения существующих рабочих станций, различных локальных вычислительных сетей (ЛВС), ведомственных мини-ЭВМ, универсальных ЭВМ, имеющих выход во внешние сети. Получившиеся в результате такого объединения системы могут включать в себя многочисленные варианты платформ Unix, платформы MS-DOS, Windows, Macintosh System, NetWare, а также самые разные сетевые протоколы: TCP/IP, VMS, MVS.

Столь сложная организация сетевых систем создает предпосылки для всевозможных нарушений, в частности для несанкционированного доступа к конфиденциальной информации. Сохранить целостность данных можно только при условии принятия специальных мер, и прежде всего осуществления контроля доступа к данным и шифрования передаваемой по линиям связи информации. Бесспорно, разные системы нуждаются в разной степени защиты. Так, для ЛВС, предназначенной для рутинного текстового редактирования и поддержки электронных таблиц, достаточна гораздо меньшая степень защиты, нежели необходима производственной системе, по которой циркулирует важная для фирмы информация.

Большинство находящихся сегодня в эксплуатации операционных систем, как автономных, так и сетевых, были разработаны без учета требований по защите информации. Поэтому они оказались либо вообще незащищенными, либо средства защиты и контроля в них играют роль дополнений к исходной системе. Операционные системы, в которых вопросы защиты информации находились под жестким контролем с самого начала их разработки, начали появляться только в самое последнее время. При работе в распределенных системах насущной стала задача стыковки ОС с разной степенью защищенности. Так, например, оснащенная механизмами защиты версия ОС Unix может плохо стыковаться с другими ОС (в том числе с другой версией Unix), чрезвычайно затрудняя контроль защиты информации.

Контроль доступа к данным

Понятие защиты данных обычно ассоциируется с применением паролей. Для многих организаций единственным средством защиты информации в сети остается элементарный механизм парольного доступа. К сожалению, обычные пароли - слабая защита от несанкционированного доступа, особенно в распределенных системах. Поэтому возникает потребность идентифицировать и аутентифицировать пользователя при входе в систему, т. е. проверить, имеет ли он право доступа в вашу сеть, и определить круг его полномочий.

Аутентификация пользователя может быть выполнена по разным признакам. Одним из распространенных методов аутентификации является установление личности пользователя по тем специфическим сведениям, которыми он располагает. Пользователь вводит свой идентификатор (к примеру, имя счета) и затем секретный пароль. Либо система может запросить у него какую-то другую информацию личного свойства, например девичью фамилию его матери. Считается, что эти сведения хранятся исключительно в памяти пользователя и не могут стать известны посторонним. К сожалению, идентификаторы пользователей обычно легко узнать. Что касается паролей, то люди имеют вредную привычку записывать их на клочке бумаги и иногда относятся к ним весьма небрежно, вплоть до того, что прикрепляют эти клочки к монитору ЭВМ.

Другой метод аутентификации состоит в проверке наличия у пользователя некоего предмета - физического объекта, представляющего собой электронный аналог обычного ключа от входной двери. В простейшем случае это пластиковая карточка с магнитной полосой, однако сегодня чаще применяют жетоны - генераторы случайных паролей.

Жетон - это прибор, вырабатывающий псевдослучайную буквенно - цифровую последовательность (слово). Это слово меняется примерно раз в минуту синхронно со сменой такого же слова в центральной базе данных. В результате вырабатывается одноразовый пароль, который годится для использования только в определенный промежуток времени и только для однократного входа в систему. Первый такой жетон SecurID американской фирмы Security Dynamics появился в 1987 г.

Применение жетонов для аутентификации создает ряд проблем. Так, например, что делать, если работник забыл свой жетон дома? Приходится создавать запас временных жетонов и организовывать тщательную их охрану, и в этом случае не обойтись без участия специальной службы безопасности.

В последнее время помимо жетонов на рынке появились микропроцессорные карточки. Национальный институт стандартов и технологии США разработал карточку для формирования цифровой подписи в соответствии с предложенным им стандартом. Запатентованный институтом алгоритм шифрования позволяет заверять документы «неподделываемыми» подписями.

Наиболее надежными считаются биометрические методы аутентификации, в которых личность идентифицируется по отпечаткам пальцев, форме ладони, сетчатке глаза, подписи или голосу. Фирма Phoenix Software International выпускает систему распознавания манеры работы за клавиатурой компьютера. Американская фирма Neurometric Vision Systems ведет разработку аппаратуры, которая сможет с помощью обычной видеокамеры распознавать личность человека.

За надежность приходится платить: устройство считывания может стоить от нескольких сотен до нескольких тысяч долларов. Поэтому биометрические системы применяются чаще всего там, где одно устройство обслуживает достаточно много пользователей.

Второй специфический недостаток биометрических систем - неудобство эксплуатации: процедура проверки может занимать от 10 до 30 секунд. Кроме того, люди не очень охотно идут на то, чтобы просовывать куда-то свой палец или ладонь, ставить подпись или неподвижно сидеть перед камерой, изучающей их глазное яблоко.

Проблема многократного доступа

Очевидно, что при работе с одной системой пользователю требуется один пароль. Однако сегодня все чаще необходим доступ к информации сразу нескольких универсальных ЭВМ, к внутренней сети фирмы, к одной или нескольким ЛВС, специальным системам проектирования и т. д. В результате пользователь вынужден оперировать без малого десятком различных паролей, и все их нужно держать в голове. В такой обстановке парольный доступ оказывается совершенно недейственным: редко кто в состоянии запомнить столько паролей - различных, неугадываемых, не входящих ни в один словарь.

Закономерно возникает идея однократного входа в систему, после которого на протяжении всего сеанса любая сеть в системе, к которой пользователю необходимо подключиться, могла бы свериться со специальной базой данных для проверки полномочий пользователя без предъявления новых паролей и связанных с этим перерывов в работе. Удовлетворительного решения эта проблема пока не получила (статья 1995 г.; нынче в Windows 2000 уже есть Active Directory). Основные сложности возникают из-за необходимости организовать взаимодействие различных платформ, операционных систем и протоколов. В таких средах осуществить принцип однократного входа крайне затруднительно.

Например, если пользователь, находясь у своей рабочей станции на платформе MS-DOS, пытается получить по сети Novell доступ к базе данных ЭВМ, работающей на платформе MVS, то в последней машине должен быть предусмотрен механизм, который реализовал бы вход в нее и проверку ею полномочий пользователя по ее критериям. Если у пользователя появится необходимость подключиться в машине VAX, то потребуется вход и в нее. Каждая из этих и им подобных систем обладает своими механизмами защиты. Таким образом, требуется средство, которое выполняло бы такой вход и поддерживало базу данных, сопоставляющую конкретные идентификаторы на различных платформах. К тому же эта информация должна систематически обновляться. Поэтому немудрено, что удовлетворительного решения этой задачи пока не найдено. (Повторяю: 1995 год, ещё нет Active Directry )

Шифрование информации

Информационная защита не исчерпывается только контролем доступа. Нельзя исключить возможность утечки информации как при ее перемещении по проводным каналам связи в пределах внутренней сети фирмы, так и при передаче в другие сети. Перехват же информации, передаваемой по линиям сотовой и радиорелейной связи, является для технически подготовленного злоумышленника еще более простой задачей.

Один из основных способов защиты данных при их передаче по каналам связи - шифрование. В имеющихся на рынке системах защиты применяются алгоритмы шифрования DES и RSA (см. Тему 2.), кроме того, фирмы разрабатывают бесчисленные собственные варианты шифров. Средства шифрования относительно недороги и несложны в эксплуатации. И тем не менее находятся организации, которые шифрование не применяют. Причина этого - сложности, связанные с управлением ключами шифрования. Возможное решение этой проблемы предлагают системы с открытыми ключами (например, RSA). Эти системы позволяют простым способом реализовать цифровую подпись и имитозащиту (защиту от преднамеренного искажения) информации, передаваемой по линиям связи. Основным препятствием для широкого распространения популярной и надежной системы шифрования данных с открытыми ключами RSA является необходимость получения лицензии на ее использование у патентовладельца - американской фирмы RSA Data Security. В частности, применение в США известной криптографической системы PGP (Pretty Good Privacy), рекомендованной к использованию в сети Internet, является незаконным, поскольку алгоритм RSA в этой системе использован без покупки лицензии.

Защита в файловых системах

Наличие в распределенных системах файлов коллективного пользования обусловливает необходимость использования специализированной файловой системы. Как и операционные, файловые системы обладают разной степенью защищенности. В одной из наиболее распространенных файловых систем - NFS (Network File System), разработанной фирмой Sun Microsystems и часто применяемой совместно с ОС Unix в сетях с протоколом TCP/IP, встроенные средства защиты вообще отсутствуют (Напомним: шёл 1995 год. Ещё нет NTFS с её возможностями).

Эксплуатация систем защиты

Любая система защиты нуждается в повседневном управлении: регистрации новых пользователей, исключении уволенных сотрудников, изменении прав доступа в случае изменения характера деятельности работника. Управление средствами защиты в распределенных системах становится особенно сложным. Основная трудность заключается в том, что в таких системах, как правило, каждое подразделение несет ответственность только за свою платформу. Так, главной ЭВМ управляет одна группа работников, ЛВС  другая. Или ЛВС несколько, и ими управляют разные люди. В большинстве случаев ответственность за защиту информации возлагается не на специальное подразделение, а на те подразделения пользователей, в которых администратор ЛВС одновременно выполняет и функции администратора по информационной защите.

Не менее размыто представление об ответственности и в сфере обеспечения защищенности линий связи. Когда-то все линии связи исходили из единого центра, откуда их легко было контролировать. Сегодня функции управления сместились «вниз», на уровень отдельных корпораций. В связи с этим в настоящее время проблема защиты информации, по мнению специалистов, является скорее организационной, нежели технической.

Говоря об административных и технических мерах защиты, нельзя не упомянуть и проблему обучения и подготовки пользователей. Бдительность пользователей имеет, в конечном счете, самое большое значение в обеспечении безопасности распределенных вычислений. Пользователи должны быть осведомлены о возможных рисках и факторах угрозы, они должны помогать друг другу, полностью отдавая себе отчет в том, что обеспечение защиты данных входит в круг их прямых обязанностей. В противном случае все другие меры будут безрезультатными.


Компьютерная сеть: от чего и как ее защищать

Тема защиты информации с каждым днем становится все более актуальной. Позвольте попробовать нагнать на вас еще немножко страху  если не напугаем, так хотя бы предупредим. Итак, какое же зло таится в Сети дома и на работе?

Домашняя сеть

Наверняка многие из вас помнят тот знаменательный день, когда в доме появился компьютер. Но радость от общения с новым другом, увы, постепенно начинает угасать. Вам кажется, что играть одному уже скучно, интеллект компьютера заметно уступает вашему, да тут еще и сосед со второго этажа оживленно рассказывает чуть ли не ежедневно, как он всю ночь напролет бродил по Сети и играл в Quake с американцами... И вот после недолгих размышлений и дебатов с самим собой на ум приходит простое решение: «Будем тянуть сеть!» Довольно быстро вы обнаруживаете, что у вас (в соседней квартире, подъезде, на другом этаже) есть много единомышленников. Однако как протянуть сеть? Какие сетевые платы выбрать? И наконец, самая главная проблема: как защититься от этих вездесущих хакеров, которые так и норовят взломать компьютер и украсть из него никому не нужные, кроме вас, данные?

Предположим, первые две проблемы (а их на самом деле гораздо больше) вы решили. Достигнув желаемого, многие совершенно не задумываются о том, что необходимо обеспечить безопасность созданной сети и собственного компьютера. Так чего же действительно стоит опасаться, а какие страхи являются совершенно беспочвенными?

Давайте с этим разберемся. Значит, у вас есть простая (без выхода в Интернет) сеть. Вероятнее всего, что в качестве основной операционной системы вы задействуете Windows 95/98/Ме, хотя в последнее время все большее распространение на домашних компьютерах получает и Windows 2000. Чтобы было понятно, откуда берутся те или иные проблемы с безопасностью, рассмотрим основные варианты использования сети.

Допустим, вы только играете в различные сетевые игры, такие как Quake, Diablo II и т. д. Этот вариант абсолютно безопасный. Имевшаяся в свое время ошибка в одной из версий сервера Quake была относительно быстро устранена и, насколько нам известно, не причинила никому ущерба. В худшем случае ваш компьютер может просто «зависнуть» во время игры.

Естественно, что использование с таким трудом созданной сети исключительно для игр просто нерационально и рано или поздно вам захочется обмениваться файлами с другими абонентами, слушать музыку, смотреть фильмы... Тут-то и подстерегает вас первая опасность. Операционные системы семейства Windows (кроме NT, 2000, XP) позволяют отдавать папку в общий ресурс (sharing) либо для чтения, либо для полного доступа. И любой человек, знающий, например, пароль для чтения, может читать ваши файлы. Точно так же любой человек, знающий пароль для полного доступа, может удалять, добавлять и изменять соответствующие файлы. Причем средствами самой ОС отследить это невозможно. Попробуем, исходя из сказанного, сформулировать некоторые рекомендации по размещению папок общего доступа:

по возможности размещайте такие папки на диске, где у вас не располагается ОС и не хранится важная информация. Вероятность того, что кто-то сможет «вылезти» за пределы доступной по сети папки мала, хотя и существует (с помощью определенного имени файла). Вариант же попадания на другой диск практически исключается;

отделите папки «для записи» от папок «только для чтения». Учтите, что права доступа распространяются на все лежащие в общем ресурсе папки и файлы. Иными словами, если вы в папку «для записи» положите еще одну папку и отдадите ее только для чтения, то все имеющие возможность записи в вышележащую папку, смогут записывать и в ресурс «только для чтения»;

• если вы хотите, чтобы одни пользователи лишь читали файлы, а другие могли записывать и удалять их, раздайте соответствующим категориям пароли для записи/чтения, но помните: то, что знают двое, знают все.

При работе с Windows NT или Windows 2000 ваши возможности по контролю за доступом к информации значительно расширяются. Средствами самой ОС можно ограничивать доступ к определенному ресурсу как по паролю, так и по имени пользователя. Причем если вы применяете файловую систему NTFS, то можете не только разрешить читать файлы в папке, но и указать, кому именно и какие файлы читать. Становится шире и набор выбираемых функций по управлению доступом (например, только записи в папку, но не удаления из нее). Правда, при этом следует учесть, что для реализации разграничения доступа по конкретному пользователю необходимо либо иметь контроллер домена, либо создать на своей машине перечень всех пользователей, которые будут к вам подключаться, и сообщить им пароли. Для тотального контроля можно вести и журнал аудита, чтобы знать «кто, где, когда и с кем».

Казалось бы, все проблемы решены, и друзья начинают «заливать» вам свежие версии проигрывателей, новые альбомы известных исполнителей, да и просто полезные программы или игры. Однако ваши радужные надежды оправдаются только в том случае, если вы... не станете запускать подобные программы. «Но ведь это невозможно!» - воскликнете вы и будете совершенно правы. Тогда перед вами во весь рост встанет вопрос защиты от компьютерных вирусов. Раньше, когда у вас не было сети, худшее, что мог сделать вирус, это уничтожить все данные на жестком диске (мифы про вирусы, выжигающие мониторы и ломающие дисководы, не в счет). Теперь же существуют «троянские кони» с поддержкой сети, которые могут по специальной команде с удаленного компьютера выполнять различные действия.

Представьте себе такую картину: вы набираете ценный документ, и в самый ответственный момент привод компакт-дисков на вашей машине начинает открываться/закрываться, на экране появляются сообщения типа «Привет ламерам от хакеров!»  и вдобавок ко всему ваш Word с несохраненным документом внезапно закрывается, после чего компьютер сам выключается. Фантастика, скажете вы? Вовсе нет  это лишь малая толика возможностей популярного пакета «удаленного администрирования» Back Orifice.

Возникает резонный вопрос: откуда он взялся на вашей машине? Технология распространения таких программ схожа с засылкой вирусов. Они могут быть либо прикреплены к какой-либо популярной программе или утилите, либо замаскированы под нее. Помните, вы запустили вчера программу, которая ничего не сделав, удалила сама себя? Вот это она и есть. Решение по защите также крайне просто: не следует запускать никакие подозрительные файлы на своей машине, даже если ваши «друзья» во всех красках расписывают достоинства «новой смотрелки картинок». Кроме того, нужно обязательно поставить на машину антивирусную программу-монитор или каждый день запускать антивирусный сканер. Необходимо, чтобы такой антивирус имел возможность регулярного (лучше ежедневного) обновления, например с помощью AVP (www. avp. ru).

К сожалению, одной из неприятных особенностей всех без исключения операционных систем (будь то Linux, Windows или Mac OS) является наличие в них ошибок. Причем чем большее распространение получила система, тем выше вероятность того, что кто-нибудь завтра найдет в ней новую «дыру». Последствия же от обнаружения такой «дыры» в ОС могут быть самыми различными. В каком-то случае возникает лишь гипотетическая угроза безопасности, в другом  реальная. Поэтому рекомендуется регулярно посещать сайт производителя вашей ОС или использовать специальные программы обновления (например, Windows Update). Если такие «дыры» оставить незакрытыми, вам может быть нанесен заметный ущерб.

Важно отметить, что в большинстве домашних сетей можно читать всю информацию, пересылаемую внутри сети и отправляемую за ее пределы. И для этого не требуется дорогостоящее оборудование  достаточно просто переписать небольшую программу (sniffer), и далее вы сможете просматривать все, что передается по сети. Естественно, для интерпретации подобной информации нужны некоторые знания, но отловить пароль соседа на его почтовый ящик в Интернете не составит для вас труда. Существуют также программы, перехватывающие пароли на сетевые ресурсы и пытающиеся их расшифровать, поэтому чем сложнее и длиннее окажется пароль (если только вы не берете слово из словаря), тем труднее будет его подобрать. При возможности следует запретить во всех программах использование паролей plain text, т. е. «открытый текст», иначе вы рискуете в один прекрасный момент обнаружить, что кто-то читает вашу почту.

Отдельно хотелось бы рассмотреть вариант локальной сети с выходом в Интернет. В 99% случаев лишь один компьютер в этой сети физически подключен к Интернету, а все остальные задействуют для доступа специальную программу (proxy), позволяющую «переводить» внутренние адреса сети в адрес, выделенный вам провайдером. Причем если речь идет о выделенном канале, оплата за доступ является не повременной, а зависит от количества информации, переданной/полученной вами из Интернета. Поэтому уже на этапе выбора proxy надо учитывать, что кто-то из «коллег по сети» может попробовать воспользоваться доступом от вашего имени (и конечно, за ваши деньги). Как и в ситуации с ОС, нужно регулярно проверять журналы proxy (желательно, чтобы имелась поддержка такой возможности) на предмет выявления «взломщиков», пытавшихся выйти в Интернет от имени другого пользователя.

Работа в Сети немыслима без электронной почты, вместе с которой гораздо чаще можно получить вирус или «троянского коня». Поэтому следует с максимальной осторожностью относиться к предложениям «запустить прилагаемую программу». И разумеется, желательно поставить у себя антивирусный монитор.

В заключение разговора о домашних сетях необходимо упомянуть еще об одной проблеме, а именно о так называемых DDoS-атаках (Distributed Denial of Service  отказ в обслуживании путем распределенного воздействия), при которых компьютер (например, сайт в Интернете) становится временно неработоспособным. Достигается это путем внедрения в тысячи компьютеров Сети того самого «троянского коня», который может не подавать признаков жизни достаточно долгое время и затем мгновенно проснуться по специальной команде. Новейшие версии таких программ могут даже не обнаруживаться антивирусами, и единственным способом защиты является все то же осторожное отношение к приходящим по почте и копируемым из непроверенных источников файлам. В качестве профилактических мер можно установить персональный межсетевой экран (брандмауэр), например ATGuard. Этот экран позволяет контролировать все исходящие и входящие подключения вашего компьютера, но для его первоначальной настройки требуются некоторые знания.

В общем, «спасение утопающих  дело рук самих утопающих». Чем беспечнее вы будете относиться к собственной безопасности, тем больше у вас шансов в конце концов оказаться у «разбитого корыта».

Корпоративная сеть

В офисе все куда серьезнее. Организации переходят с бумажного документооборота на электронный, и поэтому в локальных офисных сетях гуляют такие корпоративные секреты, что можно только позавидовать радости того хакера, который заглянул в чужую сеть по просьбе конкурента.

Итак, вот наиболее типичные проблемы, с которыми вы можете столкнуться:

  •  ознакомление с конфиденциальной информацией (обычно это называется «хищением», хотя физически никто ничего не похищает информация остается на месте, но она уже известна тем, кому не следовало бы ее знать);
  •  подмена информации: незаметно подменить копию электронного документа гораздо легче, чем бумажку с подписью и печатью. Это можно сделать, находясь на значительном удалении от места хранения документа;
  •  разрушительные действия: начиная от банального форматирования жесткого диска в самый неподходящий момент до DoS (Denial of Service  отказ в обслуживании) и DDoS-атак. Такие атаки требуют от атакующего гораздо более высокой квалификации, но после них ни один из ваших клиентов или партнеров не сможет с вами связаться - ваша сеть просто будет отрезана от внешнего мира;
  •  любая комбинация первых трех проблем как результат воздействия программ типа Back Orifice, «троянских коней» и компьютерных вирусов вообще. Информация может случайно либо по отданной извне команде пропадать, портиться или пересылаться по почте вашему смертельному врагу.

Не стоит думать, что для реализации всех этих угроз нужно быть семи пядей во лбу – на хакерских сайтах или на Митинском рынке нетрудно найти составленные умными хакерами программки, с помощью которых выполнить описанные выше деструктивные действия может любой, даже не очень подготовленный пользователь.

Как же быть? Ну, к примеру, так. Можно выделить сотрудника (или целый отдел сотрудников  в зависимости от того, сколько у вас сетей, компьютеров, ценной информации и т. д.), отвечающего за безопасность всех ваших объектов защиты (тех же сетей, компьютеров, информации, которая хранится, обрабатывается, передается...). Он должен обладать достаточной квалификацией как в компьютерном деле, так и в вопросах защиты информации. Этот сотрудник, которого мы назовем администратором по безопасности, обязан проработать и реализовать комплекс мер защиты, т. е. определить политику информационной безопасности (прежде всего, конечно, необходимо уточнить, что же нужно защищать в вашей организации).

Далее следует оценить стоимость объектов защиты. Это сделать довольно сложно, поскольку речь идет только об информации, не имеющей физического воплощения (в отличие, например, от сброшенного в порыве ярости со стола монитора). Но все имеет свою цену, и стоимость информации мы определили бы как стоимость ее восстановления при уничтожении или порче и как объем возможных финансовых потерь при хищении. Особую категорию составляют платежные документы, которые необходимо максимально защищать от подделки. Кстати, в середине 1990-х годов было несколько серьезных случаев мошенничества с поддельными электронными платежными документами (когда они уже «пошли» по сетям, а защита еще была слаба).

Затем для каждого объекта нужно выбрать метод защиты и подсчитать, во сколько она обойдется.

После этого наступает стадия принятия решений: что дешевле: оставить все как есть или закупить и установить средства защиты.

И, наконец, осуществляется реализация проекта: идет закупка средств защиты, их установка, настройка, обучение персонала и т. д.

Но, к сожалению, надо признать, что процесс защиты ваших сетей никогда не кончится: нельзя говорить о том, что установка средств защиты избавит вас от неприятностей на долгие годы,  это было бы неправдой. Обнаруживаются все новые ошибки, причем как в операционных системах и сетевых программах, так и (что греха таить!) в самих средствах защиты; а хакеры и «вирусописатели» преуспевают в своих стараниях навредить. Так что введенную однажды систему защиты придется регулярно наращивать и совершенствовать. Администратор по безопасности должен постоянно отслеживать сообщения о новых вирусах и «дырах» в защите, чтобы моментально устанавливать появляющиеся вслед за такими сообщениями обновления баз данных антивирусных программ и «заплаты» для операционных систем. Ему всегда нужно думать о том, закрыл ли он свое хозяйство на все возможные замки, не изобрели ли новый способ эти замки ломать, не подобрали ли к ним ключи и т. д.

Непродуманность политики информационной безопасности может привести к серьезным потерям в бизнесе. Как правило, руководители (особенно «наши») по-настоящему задумываются над этим вопросом только тогда, когда «гром уже грянул». Администраторам по безопасности (кстати, во многих организациях такая должность вообще отсутствует) часто бывает очень тяжело склонить руководство к финансированию работ по обеспечению даже минимального уровня защиты данных, имеющих важное значение для бизнеса.

Позаботьтесь о надежных тылах. По различным данным, от 70 до 90% зарегистрированных попыток несанкционированного доступа к конфиденциальной информации осуществляются вашими собственными коллегами. Очень много проблем создают и уволившиеся (или уволенные) сотрудники. В связи с этим мы хотим дать вам еще несколько рекомендаций:

построив классическую защиту «по периметру» от врага внешнего, не забудьте разграничить доступ к информации среди своих сотрудников. Кстати, не стесняйтесь прибегать и к древним испытанным средствам защиты  поставьте строгого вахтера около серверной комнаты;

никогда не оставляйте  возможности доступа в систему извне для бывшего сотрудника  особенно, если есть причины подозревать его в нелояльности. Проведите полную смену всех паролей и тщательный анализ компьютеров на наличие каких-либо «закладок» в случае увольнения сетевого администратора или администратора по безопасности (да и любого другого работника, обладавшего приоритетными правами в системе);

не стóит и перегибать палку: тотальный контроль и избыточные меры защиты могут негативно сказаться на психологическом климате в коллективе. Все должно быть в разумных пределах;

и наконец, постарайтесь убедить своих сотрудников в том, что информация тоже имеет ценность. Обучите их основам безопасности при работе с данными, иначе человеческий фактор может перечеркнуть все ваши усилия по построению и внедрению дорогостоящей системы защиты.


Информ
ация с ограниченным доступом

Государственная тайна

Конфиденциальные сведения

Сведения, затрагивающие неприкосновенность частной жизни

оммерческая тайна

Профессиональная тайна

Служебная тайна

Профессиональные данные

Тайна источника информации и информация о лице, предоставившем в СМИ сведения с условием неразглашения его имени

Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них

Личная тайна

Семейная тайна

Тайна переписки, телефонных, почтовых, телеграфных и иных сообщений

Сведения, сообщённые доверителем в связи с оказанием юридических услуг

Банковская тайна, тайна о вкладах физических лиц

Тайна страхования, сведения о страхователе

Тайна связи

Тайна усыновления

Медицинская тайна

Врачебная тайна

Аудиторская тайна

Налоговая тайна

Тайна исповеди

Сведения, ставшие известными в связи с совершением нотариальных действий, тайна их совершения

Информация о доноре и реципиенте

Информация о намерениях заказчика и архитектурном проекте

Данные предварительного расследования (следования)

Тайна голосования

Тайна совещания судей, тайна совещания присяжных заседателей

Служебная информация

Военная тайна

Содержание дискуссий и результатов голосования закрытого совещания конституционного суда

Рис.1 Виды и разновидности тайн

Защита

информации

От утечки

От несанкционированного воздействия

От непреднамеренного воздействия

Предотвращение неконтролируемого распространения защищаемой информации

Предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на её изменение

Предотвращение воздействия на защищаемую информацию ошибок её пользователей, сбоя технических и программных средств, природных явлений, иных, не направленных на изменение информации мероприятий

Разглашение защищаемой информации

Несанкционированный доступ к защищаемой информации

Получение защищаемой информации разведками

Искажение информации

Уничтожение информации

Копирование информации

Блокирование доступа к информации

Утрата, уничтожение, сбой функционирования носителя информации

Направление

В чём заключается

От чего защищает

Рисунок 2. Направления деятельности по защите информации

6

Интернет

Сеть Ethernet

Прокси-сервер

Массив памяти

Рабочая станция

Файловый сервер

Рабочая станция

Почтовый сервер

Программа-«сниффер»

Блокнотный ПК

Общий принтер

Коммутатор 3Com

1

2

3

4

5

4

4

5

1

7

7

7

7

8

9

Рисунок 3. Угроза информации на объектах сети


 

А также другие работы, которые могут Вас заинтересовать

30168. Проблемы и противоречия законодательства о поставках и предлагаемые пути их решения 131.55 KB
  Объектом исследования в настоящей работе являются правоотношения между продавцом и покупателем по договору поставки. Соответственно, в предмет исследования входят, с одной стороны, правовые нормы, регулирующие данные отношения, и с другой стороны, арбитражная практика, разрешающая споры в данной сфере.
30169. Электрификация и автоматизация коровника на 400 голов боксового содержания СПК «Русь» Макарьевского района Костромской области с разработкой приточной системы вентиляции 315.92 KB
  5 Аэродинамический расчёт воздуха и выбор вентилятора 42 2.3 Система аэрогидродинамического 14 кондиционирования воздуха промышленного типа 14 5. Высокая концентрация поголовья в крупных животноводческих помещениях приводит к резкому увеличению накопления в воздушной среде продуктов обмена веществ в организме животных вредных газов водяных паров а также к увеличению пылевой и бактериальной загрязненности воздуха что отрицательно влияет на физиологическое состояние организма и продуктивность животных. Относительная влажность воздуха 80 .
30171. Управления социальной защиты населения МО Оренбургский район 1.58 MB
  Целью дипломной работы является анализ особенностей реализации социальной политике на региональном уровне на примере субъекта Российской Федерации Оренбургская область. Социально-экономическое развитие страны не может успешно осуществляться без интеграции регионов в единое макроэкономическое и социальное пространство
30172. Гражданско-правовая характеристика хозяйственных товариществ как контрагентов воинских частей внутренних войск МВД России 108.3 KB
  Гражданскоправовая характеристика полного товарищества . Понятие и гражданскоправовая характеристика товарищества на вере коммандитного товарищества21 2. Порядок заключения и исполнения договоров заключенных с хозяйственными товариществами во внутренних войсках МВД России46 Заключение. С появлением нового законодательства о хозяйственных товариществах возникла потребность в его осмыслении.
30174. Российское законодательство в области защиты прав потребителей 443.5 KB
  В гражданском обороте основанном на рыночных отношениях защита прав потребителей в сфере оказания услуг занимает особое место. В данной работе анализируется обязательство по оказанию услуг потребителю и проблемы защиты прав потребителя при его нарушении. Вместе с тем в науке гражданского права специальных работ монографического характера посвященных исследованию проблемным вопросам защиты прав потребителя при оказании услуг не так много большинство существующих современных работ носят скорее информативный характер а не научный. Объектом...