9933

Информационная безопасность при использовании ОС Windows 98

Реферат

Информатика, кибернетика и программирование

Информационная безопасность при использовании ОС Windows 98 Архитектура подсистемы безопасности, базовая настройка подсистемы безопасности. Обеспечение безопасности в Windows 98 В этом разделе сперва рассмотрим три важных типа защиты сист...

Русский

2013-03-18

447 KB

8 чел.

 21 -

Информационная безопасность при использовании ОС Windows 98

Архитектура подсистемы безопасности, базовая настройка подсистемы безопасности.

Обеспечение безопасности в Windows 98

В этом разделе сперва рассмотрим три важных типа защиты системы, которые, помогает реализовать Windows 98: при автономной работе, при работе в локальной сети и в Internet. Обеспечение защиты на каждом уровне снижает вероятность появления уязвимых мест в системе безопасности.

После этого рассмотрим в сравнении с безопасностью ОС Windows NT.

Безопасность при автономной работе

Проектирование любой системы безопасности следует начинать с уровня защиты при автономной работе. В конце концов, если не обеспечена безопасность локальной среды, можно ли рассчитывать на безопасность вообще? Одни средства защиты Windows 98 приятно удивляют, другие заставляют беспокоиться. Например, есть замечательная возможность защиты паролем каждого отдельного ресурса в одноранговой сети. Однако невозможно назначить права доступа к отдельному файлу. Это может понадобиться, чтобы защитить отдельные файлы внутри одной папки. Некоторые старые приложения содержат исполняемые файлы и файлы конфигурации в одной папке. Хотелось бы предоставить полный доступ к файлам конфигурации и доступ только для чтения к исполняемым файлам, чтобы пользователи могли применять средства настройки приложения и в то же время не могли удалить исполняемые файлы.

Однако, оставляя в стороне эти неудобства, можно убедиться в том, что операционная система Windows 98 позволяет реализовать хорошую стратегию защиты с помощью встроенных средств. В следующих разделах обсуждается, как применять эти средства.

Регистрация в системе

Диалоговое окно регистрации пользователя в системе, отображаемое при запуске Windows 98, является первой стадией защиты от несанкционированного доступа. Обсудим, как можно использовать диалоговое окно регистрации в системе для защиты системы.

Обеспечение безопасности на автономной рабочей станции

У некоторых читателей может возникнуть вопрос, зачем нужно защищать автономную рабочую станцию. Неужели тот факт, что рабочая станция не подключена к сети, уменьшает ценность хранящейся на ней информации?

Конечно, информация, хранящаяся на автономной рабочей станции, защищена от несанкционированного доступа через сеть. Но ведь взломщик может получить непосредственный доступ к компьютеру. Поэтому защита автономной рабочей станции является не менее важной задачей, чем обеспечение безопасности при работе в сети.

Первой мерой обеспечения безопасности является защита рабочей станции паролем. Чтобы установить защиту паролем на рабочей станции с Windows 98:

  1.  Дважды щелкните на элементе Пароли (Password) в окне Панель управления. Появится диалоговое окно Свойства: Пароли (Password Properties).
  2.  Раскройте вкладку Профили пользователей (User Profiles) и выберите второй переключатель (позволяющий установить для пользователей различные настройки Рабочего стола). Выбор этого параметра автоматически включает защиту паролем.

Совет:

Если обеспечение безопасности определенной рабочей станции настолько важно, что защита программными средствами не удовлетворяет всем необходимым требованиям, подумайте над альтернативными решениями. Например, можно установить на корпус компьютера специальный замок, препятствующий снятию крышки с корпуса, и использовать средства BIOS по защите паролем, позволяющие предотвратить доступ к программным средствам компьютера без ввода правильного пароля. Можно использовать и другие способы защиты. Например, установить запираемую крышку на дисковод или использовать блокировку компьютера с помощью замка-переключателя (обычно он располагается на передней панели корпуса компьютера).

Установка парольной защиты помогает предотвратить несанкционированный доступ к системе. Не менее важной задачей является ограничение прав пользователей на изменение различных параметров системы. Эту задачу можно решить с помощью системных правил (policy). Для этого:

  1.  Запустите программу Редактор системных правил (System Policy Editor) и выберите команду FileOpen Registry, чтобы загрузить текущие параметры из реестра. (После изменения параметров нужно выбрать команду FileSave, чтобы сохранить изменения в реестре.),
  2.  После загрузки параметров из реестра появятся два значка с изображением компьютера и пользователя. Один из них предназначен для настройки параметров для пользователей (которые и требуется изменить). Дважды
    щелкните на значке
    Local User. Появится диалоговое окно Свойства: Local User (рис. 1).

Рисунок 1. Диалоговое окно Свойства: Local User

С помощью этого диалогового окна можно запретить доступ пользователей к различным средствам Windows 98. Параметры, управляющие правами пользователей к различным компонентам Windows, сгруппированы по разделам. Например, с помощью раздела Windows 98 System, Control Panel можно запретить доступ к элементам Панели управления. Рассмотрим параметры настройки, предоставляемые элементами этого раздела:

  •  Защита от изменения параметров экрана. С помощью флажков в разделе Restrict Display Control Panel можно запретить доступ ко всем свойствам экрана или к отдельным вкладкам диалогового окна Свойства: Экран (Display Properties).
  •  Защита от изменения параметров сети. Флажки в разделе Restrict Network Control Panel позволяют ограничить доступ как ко всем параметрам сети, так и к отдельным вкладкам диалогового окна Сеть (Network). Например, можно скрыть вкладку Управление доступом (Access Control), чтобы пользователь не имел возможности изменить тип доступа к сетевым ресурсам.
  •  Защита от изменения паролей.

Раздел Restrict Password Control Panel управляет правами доступа к элементу Пароли (Passwords) Панели управления. Это один из элементов, доступ к которому рекомендуется запретить полностью, поскольку изменение параметров парольной защиты и режимов доступа к компьютеру может нанести вред системе безопасности в целом.

  •  Защита от изменения параметров принтеров. С помощью флажков в разделе Restrict Printer Settings можно предотвратить удаление и неправильную настройку пользователем параметров принтера (например, изменение драйвера или параметров очереди печати).
  •  Защита от изменения параметров системы. Флажки раздела Restrict System Control Panel управляют доступом к вкладкам Устройства (Device Manager) и Профили оборудования (Hardware Profiles) диалогового окна свойств системы, а также позволяют скрыть кнопки Файловая система (File System) и Виртуальная память (Virtual Memory) на вкладке Быстродействие (Performance).

Для ограничения доступа к другим компонентам системы необходимо использовать другие разделы в диалоговом окне Свойства: Local User. Например, параметры раздела Windows 98 System, Shell управляют правами доступа пользователя к интерфейсным элементам Windows 98.

Как видите, с помощью Редактора системных правил легко ограничить доступ пользователей к наиболее уязвимым средствам Windows 98. Однако гораздо лучше сотрудничать с пользователями в целях обеспечения безопасности, чем прибегать к таким жестким мерам.

Обеспечение безопасности в одноранговых сетях

Все рассмотренные в предыдущем разделе способы ограничения доступа применимы и для работы в одноранговой сети. Однако можно расширить список системных правил, загрузив его из файла, а не из реестра Windows. Кроме того, при работе с файлом системных правил имеется возможность ограничить права доступа определенных пользователей и групп пользователей к компонентам Windows 98, что невозможно сделать при использовании реестра Windows.

Обратимся вновь к разделу системных правил, который называется Windows 98 System, Shell. Подраздел Restrictions содержит три флажка, позволяющие ограничить доступ пользователя к сетевому окружению. Например, можно запретить доступ к компьютерам другой рабочей группы. Следует хорошо подумать, прежде чем использовать эту возможность, поскольку при этом ограничиваются возможности обмена информацией между рабочими группами.

Существует еще один раздел системных правил (Windows 98 Network, Sharing), на который следует обратить внимание при организации работы в сетях с большим количеством рабочих станций. Данный раздел содержит два флажка, позволяющие запретить пользователю управлять сетевым доступом к принтерам и файлам. Установка этих флажков позволяет обеспечить централизованный контроль над совместно используемыми сетевыми ресурсами.

Для управления одноранговой сетью важно рассмотреть настройку системных правил не только для пользователей, но и для каждой рабочей станции. Для этого дважды щелкните на значке компьютера в окне Редактора системных правил (System Policy Editor). Появится диалоговое окно, подобное представленному на рис. 2.

Рис. 3. Диалоговое окно Свойства: Local Computer

Раздел Windows 98 Network, Access Control позволяет выбрать тип доступа к сетевым ресурсам. Тип доступа можно изменить и при помощи вкладки Управление доступом (Access Control) диалогового окна свойств сети, что во многих случаях намного удобнее. Однако при необходимости удаленного изменения этого и многих других параметров необходимо использовать Редактор системных правил.

Системные правила позволяют также применять дополнительные средства защиты. Одним из таких параметров, который иногда используется, является параметр Network Path for Windows Setup в разделе Network Paths. Этот параметр позволяет поместить копию дистрибутива Windows 98 на сервер и запретить пользователям доступ к дистрибутиву. При этом сетевой администратор может легко установить или обновить Windows 98, а пользователь этого сделать не сможет.

Три параметра в разделе Windows 98 System, Programs to Run управляют автоматической загрузкой агентов управления сетью. Средства управления сетью Windows 98 позволяют наблюдать за тем, как пользователи используют ее ресурсы, и получить информацию о текущем состоянии рабочей станции. С помощью параметров раздела Windows 98 System, Programs to Run можно определить список дополнительных приложений, автоматически запускающихся после загрузки Windows.

Обеспечение безопасности в сетях клиент/сервер

Для обеспечения безопасности при работе с сетевыми операционными системами архитектуры клиент/сервер, таких как NetWare или Windows NT, можно использовать все параметры безопасности на автономной рабочей станции, описанные ранее.

Можно также использовать параметры безопасности, применяемые для одноранговых сетей, представленные в предыдущем разделе. Операционная система Windows 98 предоставляет некоторые дополнительные средства для сетей клиент/сервер, которые еще не были рассмотрены, например поддержка протокола SNMP.

При использовании сети клиент/сервер имеется возможность загрузки файла системных правил с сервера. Для этого необходимо установить компонент Group Policy. Этот компонент включает шаблоны системных правил и библиотеку GROUPPOL.DLL, которая позволяет загружать системные правила из файла с сервера на рабочую станцию.

При использовании системных правил для групп пользователей необходимо помнить следующее:

  •  В Windows 98 загрузка системных правил для группы не отменяет действие системных правил, назначенных для отдельного пользователя. Поэтому, чтобы использовать настройки для групп, не определяйте системных правил для отдельного пользователя.
  •  Windows 98 обрабатывает параметры групп в порядке, заданном в диалоговом окне Group Priority, которое открывается при выборе команды Options, Group Priority. Параметры групп, расположенных в начале списка в этом диалоговом окне, имеют больший приоритет и всегда замещают параметры групп, расположенных в конце списка. Необходимо изменить порядок групп в соответствии с требованиями безопасности в данной сети.

Список паролей

Операционная система Windows 98 хранит списки используемых паролей в специальных файлах с расширением *.PWL (Password List File — Файл списка паролей). В этот файл записываются пароли для работы с Internet, онлайновыми службами, такими как Microsoft Network (MSN), и любыми другими сетевыми ресурсами, такими как жесткие диски, требующими получения доступа. Пароль, используемый при регистрации в Windows, позволяет получить доступ к паролям, сохраненным в этом файле.

Обычно Windows 98 создает список паролей автоматически. (Это значит, что Windows 98 запоминает пароли, используемые в различных приложениях Windows). Не существует возможности отключения этого средства с помощью какого-нибудь стандартного диалогового окна. Однако есть способ отключения списка паролей с помощью Редактора системных правил (System Policy Editor). Для этого нужно открыть диалоговое окно свойств локального компьютера (Local Computer Properties), раскрыть раздел Windows 98 Network, Password и установить флажок Disabling password caching.

Параметр Minimum Windows Password Length в разделе Windows 98 Network, Password помогает более надежно защитить сеть. Многочисленные исследования показывают, что некоторые пользователи вообще не применяют паролей или используют пароль, состоящий всего из одной буквы. Это справедливо не только для Windows 98, а касается также любых других систем. Рекомендуется установить минимальную длину пароля между пятью и десятью символами. (При применении более длинных паролей у пользователя скорее всего возникнет желание где-нибудь записать его. А это является одной из самых распространенных причин взлома.) Можно также установить флажок, включающий режим использования паролей, состоящих из комбинаций букв и цифр. Это позволяет помешать пользователям применять в качестве пароля дату рождения или другие личные сведения, которые могут быть легко угаданы взломщиком, знакомым с пользователем.

Что случится, если файл списка паролей будет испорчен? В состав Windows 98 входит утилита Password List Editor (Редактор списка паролей), окно которой представлено на рис. 3. С помощью этой утилиты можно удалить испорченные пароли. При этом администратор сам не может узнать пароль пользователя, но может удалить его из списка.

Рисунок 3. Окно утилиты Password List Editor

Предупреждение:

Существуют две причины, по которым нужно осторожно работать с утилитой Password List Editor.

Во-первых, чтобы редактировать файл списка паролей, к нему необходимо получить доступ, а для этого нужно локально зарегистрироваться в системе под именем пользователя. Поэтому администратор не может редактировать файл списка паролей удаленно.

Во-вторых, Password List Editor может окончательно испортить PWL-файл, если некоторое приложение записало в него пароль в неизвестном для Windows 98 формате. Во избежание неприятностей перед использованием утилиты следует сохранить резервную копию файла списка паролей.

Безопасность при работе в сети

Вернемся к вопросу обеспечения безопасности в одноранговых сетях. Операционная система Windows 98 обеспечивает два типа доступа к сетевым ресурсам (на уровне пользователей и на уровне ресурсов). При этом можно выбрать только один из них. Поскольку изменение типа доступа может отнять много времени, необходимо еще на этапе развертывания сети избрать наиболее подходящий тип доступа.

Рассмотрим систему обеспечения безопасности в Windows 98 более подробно. Рекомендации, приведенные в следующих разделах, в основном ориентированы на одноранговые сети, но могут найти применение и в сетях клиент/сервер.


Совет:

В операционной системе MS-DOS для скрытия от пользователей файлов и каталогов применялись атрибуты скрытый (hidden) и только для чтения (read only). Windows 98 отображает все такие файлы в Проводнике (Explorer), поэтому неопытный пользователь может случайно удалить системные файлы. Программный продукт Win-Secure-It позволяет решить эту проблему путем дополнительной защиты системных файлов. Узнать подробности об использовании этой программы и загрузить ее ознакомительную версию можно с Web-узла компании Shetef Solutions по адресу http://www.shetef.com/.

Доступ на уровне ресурсов и на уровне пользователей

Для выбора режима доступа к сетевым ресурсам используются переключатели на вкладке Управление доступом (Access Control) диалогового окна свойств сети. Первый из них включает режим управления доступом на уровне ресурсов (share - level access control), а второй - режим управления доступом на уровне пользователей (user-level access control). Каждый из этих режимов предоставляет различные средства обеспечения безопасности.

Управление доступом на уровне ресурсов позволяет назначить пароль каждому сетевому ресурсу. Пароли могут быть одинаковыми для всех ресурсов или разными. Этот уровень защиты позволяет также назначить доступ только для чтения или полный доступ с использованием пароля. Обычно в этом случае используются три вида доступа:

  •  Без пароля. Поскольку для входа в сеть пользователь обязан ввести пароль, можно считать, что нужный уровень безопасности сетевых ресурсов уже обеспечен.
  •  Только для чтения. Доступ с использованием пароля позволяет указать два пароля: только для чтения и для полного доступа. Доступ только для чтения рекомендуется использовать для сетевых дисков, на которых хранятся неизменяемые документы.
  •  Полный доступ. При ведении совместной работы над одним проектом, следует предоставить полный доступ к папке, в которой хранятся совместно используемые файлы.

Доступ на уровне пользователей предназначен для назначения отдельным пользователям и группам пользователей прав доступа к сетевым ресурсам. Этот режим можно использовать при работе с сетевыми операционными системами клиент/сервер (например, Microsoft Windows NT Server). Преимущество режима доступа к ресурсам на уровне пользователей состоит в том, что пользователю не нужно указывать пароль для подключения к сетевому диску или принтеру. Кроме того, этот режим позволяет использовать специальные права доступа (например, на вывод перечня файлов или удаление файлов).

Есть и еще одна, более важная причина выбора режима управления доступом на уровне пользователей. Этот метод позволяет использовать для управления стратегией защиты Редактор системных правил (System Policy Editor).

Единый пароль

Что стоит за словами единый пароль? Предположим, что в организации используется гетерогенная сеть, состоящая из нескольких сетей клиент/сервер или одноранговых сетей. При входе в систему пользователь должен зарегистрироваться в каждой сети. Это приводит к потере времени, поскольку пользователи не могут сразу сориентироваться и вспомнить нужный пароль.

Операционная система Windows 98 позволяет использовать единый пароль (master key) для регистрации во всех сетях и получения доступа ко всем необходимым ресурсам. От пользователя требуется только один раз ввести пароль к каждому из используемых файлов, ресурсов и т. п. Windows 98 сохранит введенный пароль и будет вводить его автоматически.

Безопасность при работе в Internet

Безопасность при работе в Internet в последнее время широко обсуждается в печати. Как и при работе в локальной сети, обеспечение безопасности в Internet подразумевает ограничение доступа к какой-либо информации, что явно противоречит философии Internet. Совместное использование информации, но только определенными людьми, - вот реальная задача обеспечения безопасности в Internet.

Обмен информацией через Internet можно рассматривать с разных позиций. В некоторых случаях он должен быть открытым, а в некоторых — конфиденциальным. Обсудим обмен конфиденциальной информацией. Например, существует возможность регистрации программного обеспечения через Internet, что позволяет упростить процедуру регистрации (не нужно заполнять регистрационную карточку и отправлять ее по почте). Однако при отсутствии средств обеспечения безопасности продавец программы может получить не только посланные регистрационные сведения (такие как имя и адрес пользователя), но и информацию о рабочей станции, которую можно считать конфиденциальной.

Существует другая форма несанкционированного доступа: непреднамеренный доступ. Представьте себе следующую ситуацию: пользователь решил посетить один из узлов Internet и в процессе загрузки Web-страницы автоматически загрузился элемент управления ActiveX, который вызвал повреждение файлов на жестком диске. Это не означает, что у автора были злые намерения. Просто элемент управления ActiveX вступил в конфликт с дисковой утилитой, выполнявшейся в фоновом режиме.

Вопрос неограниченного доступа к программным и аппаратным средствам компьютера - не единственная тема для обсуждения. Многие люди сейчас стали делать покупки через Internet. Где гарантия, что продавец правильно обращается с кредитной карточкой пользователя? Как узнать, что никто не перехватил информацию из «разговора» с продавцом и не записал номер кредитной карточки?

Необходимость ограничения доступа важна не только для отдельных пользователей. Иногда компании терпят колоссальные убытки из-за того, что взломщик добрался до конфиденциальной информации. Достаточно взглянуть на публикации в различных компьютерных изданиях, касающиеся брандмауэров (firewall) и других средств защиты, чтобы понять, что большинство программных средств, от которых зависит безопасность системы, имеют некоторые дефекты, делающие их бесполезными. (К счастью, брандмауэры и другие средства защиты становятся все более надежными, благодаря упорному труду фирм-производителей.)

Не так трудно понять, что создание безопасной среды для работы в Internet может оказаться более сложной задачей, чем это представляется в первый момент. Не будем останавливаться на многочисленных историях о компаниях, потерявших миллионы долларов из-за преступлений, совершенных взломщиками. Вместо этого сконцентрируемся на рассмотрении средств обеспечения безопасности при работе в Internet, предоставляемых Windows 98.


Принцип Нортона

Первой проблемой при использовании средств обеспечения безопасности является слишком большое доверие системе безопасности. Если кто-то полагает, что взломщик не проникает в его систему, то можно быть уверенным, что взломщик найдет способ сделать это.

Во-вторых, следует думать о самом понятии программных средств защиты. Программы, которыми все пользуются, разработаны программистами, которые хотели обеспечить наилучшую с их точки зрения защиту. Любая программная защита, разработанная программистом, может быть нарушена таким же компетентным взломщиком, мыслящим в том же направлении. Все, что реально требуется взломщику, - это представить ход мыслей программиста при создании средств защиты и придумать, как их обойти.

Итак, если программные средства обеспечения безопасности не могут полностью защитить от взлома, то какой в них смысл? Существует три преимущества использования программных средств обеспечения безопасности. Во-первых, они действуют как средства, предотвращающие неумышленное нарушение функционирования системы. Во-вторых, они все-таки задерживают проникновение в систему даже опытных взломщиков, хотя допускают, что они не могут остановить взломщика, и поэтому предупреждают администратора о возникшей угрозе проникновения в систему. Единственное, в чем не может помочь программная защита, - это отпугнуть взломщиков.

Поэтому нужно искать уязвимые места в системе. Хорошие средства защиты помогают обнаружить незащищенные места и отслеживают попытки несанкционированного доступа.

Что такое сертификаты безопасности

Сейчас проводится работа в направлении повышения безопасности загрузки элементов ActiveX, приложений Java и других исполняемых файлов. Для этого используются сертификаты безопасности (security certificate), также называемые цифровыми подписями (digital signature).

Описание методов создания и использования цифровой подписи - долгое и сложное занятие. Существует более простой способ - рассмотреть работу с цифровой подписью с точки зрения пользователя. Цифровую подпись можно представить как идентификационную карту или лицензию к драйверу, поскольку она выполняет те же функции. Цифровая подпись указывает, кто создал какой-либо объект, такой как приложение Java или элемент управления ActiveX, и имеет возможность предоставить дополнительные сведения. Например, если объект может быть клиентом или сервером, то цифровая подпись показывает текущего владельца объекта. Другими словами, обеспечивается истинная идентификация человека или компании, с которыми вы имеете дело.

Предоставление кому-либо цифровой подписи в период существования объекта оставляет несколько неопределенностей. Например, некоторая компания может пожелать продать права на элемент ActiveX другой компании. Для решения этой проблемы срок действия цифровой подписи, как и лицензии на драйвер, сделали ограниченным. Это вынуждает продавцов периодически доказывать, что они являются теми, за кого себя выдают. Ограниченный срок действия цифровой подписи также сокращает время, в течение которого злоумышленник может взломать цифровую подпись.


Цифровая подпись

Как отличить тех, кто имеет цифровую подпись, от тех, кто ее не имеет? Если в программе просмотра установлен параметр проверки сертификатов безопасности (этот параметр установлен по умолчанию для многих продуктов), то при доступе к узлу Internet с использованием безопасного подключения (т. е. по протоколу HTTPS) будет отображаться диалоговое окно Предупреждение системы безопасности (Security Warning). Чтобы получить информацию о сертификате, нажмите кнопку <Просмотр сертификата> (или щелкните на гиперссылке на сертификат). Появится диалоговое окно Свойства (Certificate Properties). В этом окне содержится детальная информация о владельце сертификата. Удостоверьтесь в том, что срок действия подписи еще не истек, и что подпись действительно принадлежит человеку или компании, которой она должна принадлежать.

Обратите внимание на то, что диалоговое окно Предупреждение системы безопасности может содержать флажок, при установке которого все подписанные этим поставщиком программные компоненты будут загружаться автоматически без необходимости подтверждения со стороны пользователя.

Получение цифровой подписи

Поставщики сертификатов безопасности, такие как VeriSign, предоставляют возможность получения собственного сертификата безопасности любому человеку или компании. Чтобы связаться с центром выдачи сертификатов VeriSign, посетите Web-узел https://digitalid.verisign.com/. При обращении к этому узлу появится диалоговое окно Предупреждение системы безопасности, сообщающее о том, что загружается сертифицированный документ. Нажмите кнопку <Да> (Yes).

Совет:

Узнать о том, что с узлом Internet установлено безопасное соединение, можно с помощью значков, отображаемых в строке состояния программы просмотра Internet. Например, в центре строки состояния приложения Internet Explorer отображается значок замка. При обмене данными с узлом Internet, для которого не выводится значок безопасности, необходимо соблюдать осторожность.

Узнать о том, что с узлом Internet установлено безопасное соединение, можно с помощью значков, отображаемых в строке состояния программы просмотра Internet. Например, в центре строки состояния приложения Internet Explorer отображается значок замка. При обмене данными с узлом Internet, для которого не выводится значок безопасности, необходимо соблюдать осторожность.

Чтобы получить цифровую подпись для сертификации своей электронной почты, нажмите кнопку <Personal IDs> на основной странице VeriSign. Загрузится страница Make Sure Your E-mail is Secure. Нажмите кнопку <Enroll NOW>. Загрузится страница, позволяющая выбрать класс цифровой подписи:

  •  Класс 1 (Class I Digital ID). Позволяет пользователю указать уникальное имя и адрес электронной почты. Эта информация проверяется путем отправки сообщения по электронной почте с просьбой подтвердить желание получить цифровую подпись. Цифровая подпись этого класса обычно стоит 9,95 $ за год использования. Можно получить бесплатную демонстрационную цифровую подпись на 60 дней.
  •  Класс 2 (Class 2 Digital ID). Для получения цифровой подписи класса 2 необходимо представить центру сертификации доказательство подлинности идентификационной информации. Существует большая разница между сертификатами класса 2 и класса 1, поскольку VeriSign действительно проверяет предоставленную информацию с помощью базы данных потребителей, поддерживаемой компанией EquiFax. Кроме того, нужно пройти сертификацию аппаратного обеспечения, если требуется получить несколько цифровых подписей. Сертификат безопасности этого класса стоит 19,95 $ за год использования.

После выбора класса сертификата безопасности появится страница, содержащая форму для ввода идентификационных сведений. Заполнить эту форму не сложно: нужно ввести свое имя, фамилию и адрес электронной почты для получения сертификата. Форма ввода информации может содержать различные дополнительные поля в зависимости от выбранного класса. В конце формы личных сведений содержится поле <Enter Challenge Phrase>, предназначенное для ввода специальной фразы, которую можно рассматривать как пароль, поскольку она используется VeriSign для предоставления владельцам цифровых подписей возможности изменять ее параметры. Чтобы получить сертификат безопасности, нужно также указать информацию об оплате. Бесплатно предоставляется только демонстрационная версия цифровой подписи, рассчитанная на 60 дней.

Нажмите кнопку <Accept>. Загрузится страница Check Your Email, сообщающая о том, что собрана вся необходимая информация. После этого по указанному адресу электронной почты придет сообщение, содержащее ссылку на Web-узел, с которого можно будет загрузить сертификат безопасности, и личный идентификационный номер PIN (Personal Identification Number), запрашиваемый на этом Web-узле.

Загрузите страницу с помощью полученной ссылки, скопируйте личный идентификационный номер в поле формы на странице и нажмите кнопку <Submit>. Через несколько минут загрузится страница Success. Обязательно дождитесь завершения транзакции и не трогайте программу просмотра в течение этого периода времени. На странице Success нажмите кнопку <Install>, чтобы получить сертификат безопасности. После завершения этого процесса появится диалоговое окно, сообщающее о том, что цифровая подпись была успешно установлена.

Файлы cookie

Тот, кто принимал участие в телеконференциях, посвященных программам просмотра Internet, вероятно, видел многочисленные дискуссии о файлах cookie. Что же это такое? Это - очень маленькие файлы, хранящиеся на локальном диске компьютера, содержащие некоторую информацию, записанную Web-узлом.

Обычно эти файлы можно найти в специальной папке. Узлы Internet используют эти файлы для записи имени пользователя и выбранных параметров. Однако нет реальных ограничений на вид информации, которая может быть записана в файл cookie и это может вызвать проблемы. Например, ничто не мешает узлу Internet записать в файл cookie исполняемый код и заставить систему его выполнить. Иногда такие случаи имели место, но, к счастью, результаты были похожи на плохую шутку, нежели приносили заметный вред системе.

Существует два способа сохранения файлов cookie. Программа просмотра Netscape Navigator помещает их в один файл, имеющий название COOKIES.TXT, который хранится в папке этого приложения. Можно просмотреть содержимое этого файла, но нельзя его редактировать. Неудобство этого способа заключается в том, что требуется очистить весь файл, чтобы избавиться от записей непонравившегося Web-узла. С другой стороны, этот способ очень эффективен с точки зрения использования дискового пространства, и в случае необходимости файл cookie легко найти. Программа просмотра Internet Explorer сохраняет информацию cookie в отдельных файлах, располагаемых в папке \WINDOWS\COOKIES или \WINDOWS\TEMPORARY INTERNET FILES. Каждый файл получает название, состоящее из имени пользователя, знака @ и имени узла Internet. Например, если пользователь Peter заходит на узел http://www.yahoo.com, файл cookie получает название PETER@ YAHOO. TXT, который сохраняется в папке COOKIES. Основное преимущество этого способа заключается в том, что каждый пользователь имеет собственный, набор файлов cookies для одного и того же узла Internet, даже если узел посещается с одного компьютера. Кроме того, чтобы избавиться от настроек некоторого узла, который больше не используется, нужно удалить единственный файл cookie. Недостатком является неэффективное использование дискового пространства. Очевидно, ни способ хранения cookie приложения Internet Explorer, ни способ приложения Netscape Navigator не идеален.

Обе программы просмотра - Internet Explorer и Netscape Navigator - позволяют отказаться от приема файлов cookie с узлов Internet. Чтобы отказаться от приема файлов cookie в приложении Internet Explorer:

  1.  Выберите команду Вид ► Свойства обозревателя (View ► Internet Options). Появится диалоговое окно Свойства обозревателя.
  2.  Раскройте вкладку <Дополнительно> (Advanced). Выберите переключатель <Запрашивать разрешение приема файлов cookie> (Warp Before Accepting Cookie). Обычно этот переключатель не выбран.

Хотя принятие файлов cookie — нормальный способ работы с Internet, все еще остается опасность их использования. Обычно прием файлов cookie разрешают, когда работают с серьезными узлами Internet, и запрещают при посещении узлов, относительно которых нет уверенности в их безопасности.

Приложения Java и элементы управления ActiveX

Обеспечение безопасности в целом - более сложная задача, чем принятие мер защиты на данный момент, поскольку Internet претерпевает большие изменения, расширяющие существующие возможности и повышающие функциональную гибкость. Два основных новшества в этой области - элементы управления ActiveX и приложения Java. (Языки сценариев тоже имеют значение, но они обычно взаимодействуют с элементами ActiveX.)

Приложения Java в большей степени удовлетворяют требованиям безопасности, чем элементы управления ActiveX. Они исполняются на специальной виртуальной машине и ничего не могут сделать за ее пределами. Например, приложения Java не имеют доступа к жесткому диску компьютера, поскольку должны были бы для этого использовать средства операционной системы, а эта возможность недоступна для них. Разработчики недовольны столь малыми возможностями, препятствующими созданию полноценных приложений, и с определенной точки зрения они правы. Если приложения Java не имеют доступа к системным ресурсам, они фактически не способны сделать для пользователя ничего большего, чем позволяет стандарт HTML. С другой стороны, многие пользователи чувствуют себя в большей безопасности, когда уверены, что загружаемое в данный момент приложение Java не способно причинить какой-либо вред системе.

Существует другая веская причина использования столь ограниченных возможностей. Это позволяет разработчикам создавать небольшие приложения, которые способны выполняться на разных платформах. Поскольку приложения Java не зависят от системных ресурсов, все, что им нужно, предоставляет виртуальная машина Java.

В отличие от приложений Java элементы ActiveX могут взаимодействовать с приложениями на компьютере пользователя, получать доступ к жесткому диску и просматривать реестр. Это придает элементам ActiveX большую гибкость с точки зрения разработчика. Проблема кроется в уровне доступа к жесткому диску. Элемент ActiveX имеет такой же доступ к жесткому диску, как и другие приложения, выполняющиеся на компьютере. Это значит, что элементы ActiveX, разработанные злоумышленниками, могут причинить значительный вред системе.

Автор Обязан снабжать свой элемент ActiveX цифровой подписью. Использование, цифровой подписи означает, что пользователь всегда будет знать, кто разработал данный элемент ActiveX, и поэтому сможет принять верное решение о том, стоит ли его загружать. (Приложения Java загружаются автоматически, поэтому нет шанса просмотреть цифровую подпись заранее. Очень часто даже неизвестно, кто их создал.)

Резюме

Посвятите некоторое время обучению пользователей работе в сети с соблюдением мер безопасности. Очень важно объяснить, какого типа пароли приемлемы для обеспечения должного уровня защиты. Уделите немного времени тем пользователям, кто не до конца понял стратегию обеспечения безопасности.

Если у вас есть домашний компьютер, попробуйте установить на нем различные средства защиты, предлагаемые операционной системой. Применяйте использовать Редактор системных правил (System Policy Editor) и прочие средства, описанные в этой главе для обеспечения безопасности. Все, кто используют Internet в профессиональных целях, должны получить собственную цифровую подпись у поставщика сертификатов безопасности.


 

А также другие работы, которые могут Вас заинтересовать

18850. Древняя Греция. Скульптура. Становление классического идеала (от архаики до эллинизма) 32.76 KB
  Древняя Греция. Скульптура. Становление классического идеала от архаики до эллинизма. Предшествующий период Эгейское искусство КритоМикенское искусство или Минойско – Архейское. История Древней Греции делится на 4 периода: Гомеровский период или тёмные в...
18851. Ганс Голлейн. К архитектуре через дизайн 25.46 KB
  Ганс Голлейн. К архитектуре через дизайн. Годы жизни: родился в 1934 году. Основная информация:один из самых значительных архитекторов современности. Выдающийся представитель венской архитектурной школы подарившей миру венский Сецессион. Его стиль можно отнести к суп...
18852. Особенности скульптуры и живописи Древнего Египта 36.62 KB
  Особенности скульптуры и живописи Древнего Египта. Древний Египет: СевероВосточная часть Африки в долине Нила. 43 тыс. до н.э. История Древнего Египта: Раннее царство: 3е тыс. до н.э. 3028 вв.до н.э. 12 дин. Объединение Египта в единое государство со столице...
18853. Постмодернизм – игра в историзм. Новая эклектика. Чарльз Мур. Роб Криер. Боффил. Джеймс Стирлинг 24.94 KB
  Постмодернизм – игра в историзм. Новая эклектика. Чарльз Мур. Роб Криер. Боффил. Джеймс Стирлинг. В архитектуре постмодернизм сформировался в США теоретически во второй половине 60х гг. а в практике строительства к концу 70х объединив различных по творческим принципам и
18854. Древний Рим. Скульптурный портрет (характерные черты, основные принципы и этапы развития) 27.06 KB
  Древний Рим. Скульптурный портрет характерные черты основные принципы и этапы развития. Очень рано появляется портрет. Развит жанр исторического рельефа. 753г. до н.э. 8в. – Основание Рима. История Древнего Рима: 1 период 41 вв. до н.э. Эпоха Римской Республи
18855. Постмодернизм – истоки. Сложность и противоречие вмето ясности и простоты. Уроки Лас-Вегаса. Роберт Вентури 24.02 KB
  Постмодернизм – истоки. Сложность и противоречие вмето ясности и простоты. Уроки ЛасВегаса. Роберт Вентури. В архитектуре постмодернизм сформировался в США теоретически во второй половине 60х гг. а в практике строительства к концу 70х объединив различных по творческим ...
18856. Восточнохристианская архитектурная традиция. София Константинопольская. Тип крестово-купольного храма 27.78 KB
  Восточнохристианская архитектурная традиция. София Константинопольская. Тип крестовокупольного храма. Софи́я Константино́польская храм Св. Софии Премудрости Божией в Константинополе ныне Стамбул Турция выдающийся памятник византийской архитетктуры. Возведён...
18857. Победы и поражения Модернизма. 60-70гг. От интернационального стиля, до структурализма 23.16 KB
  Победы и поражения Модернизма. 6070гг. От интернационального стиля до структурализма. От интернационального стиля до структурализма. Развитие в Америке и Европе. Творчество Мис Ван дер Роэ. Последовательное применение принципа универсального пространства независимо ...
18858. Готический собор – образ христианского мира (Соборы Шатра,Парижа, Реймса.) 26.09 KB
  Готический собор – образ христианского мира Соборы ШатраПарижа Реймса. Периодизация французской готики: Зарождение готики. 30е гг. 12в. Расцвет готики. 13в. Поздняя готика. 1415 вв. Название появилось в Италии. Готическое – варварское плохое; от пле...