Понятия сетевой безопасности. Обеспечение безопасности компьютерных сетей. Системный подход к обеспечению безопасности

Категория ~ Технические советы – Игорь (Администратор)

Вы когда-нибудь хотели запустить программу или сценарий при выключении компьютера или при выходе пользователя из системы? В конце дня вызвать программу для очистки временных файлов или запустить резервное копирование регулярно используемых файлов. Несмотря на то, что выполнить автоматический запуск программы при старте Windows достаточно просто, настройка запуска программ при выключении не столь очевидна. Немногие пользователи об этом знают, но во многих версиях Windows есть встроенный инструмент, который позволяет сделать это достаточно просто.

Редактор локальной групповой политики Windows

Хитрость заключается в том, чтобы использовать системный инструмент Windows под названием "Редактор локальной групповой политики" (GPE). К сожалению, Microsoft исключила GPE из всех Home версий, так что этот метод применим только к таким версиям, как Professional и Enterprise. Метод подходит для Windows XP и выше. Возможно вы уже знакомы с GPE, так как данный инструмент представляет множество удобных функций. Тем не менее, даже в таком случае, о возможности запуска сценариев и программ знают немногие.

Примечание : Как альтернативу, вы всегда можете использовать vbs-сценарии или пакетные файлы, вызов которых будет заканчивается запуском консольной команды выключения компьютера .

GPE является одним из системных модулей Windows, известных под названием консоль управления Microsoft или оснастка. Хоть, некоторые из них можно запустить из панели управления Windows, найти их в списках программ нельзя. Учтите, что для запуска оснасток потребуются права администратора.

Запуск сценария или программы при завершении работы Windows

Запуск сценария или программы при выходе пользователя из системы Windows

Если вам необходимо запускать программу или сценарий только при выходе пользователя из системы, то в оснастке GPE необходимо использовать другой пункт. Сама инструкция остается точно такой же. Единственно, вам необходимо на шаге 3 раскрыть вместо вкладки "Конфигурация компьютера" вкладку "Конфигурация пользователя". И на шаге 4 дважды щелкнуть на пункте "Выход из системы" вместо "Завершение работы"

Примечание : Данная статья в большей степени предназначена для опытных пользователей. Дополнительные сведения об использовании и планировании через GPE можно найти на сайте Microsoft по этой ссылке .

Теперь вы знаете как запустить исполняемый файл при выключении Windows и при выходе пользователя из системы.

Безопасность компьютерных сетей обеспечивается за счет политики и практик, принятых для предотвращения и мониторинга несанкционированного доступа, неправильного использования, модификации или отключения сети и доступных для нее ресурсов. Она включает в себя авторизацию доступа к данным, которая контролируется сетевым администратором. Пользователи выбирают или назначают идентификатор и пароль или другую аутентификационную информацию, которая позволяет им получать доступ к данным и программам в пределах своих полномочий.

Сетевая безопасность охватывает множество компьютерных сетей, как государственных, так и частных, которые используются в повседневной работе, проводя транзакции и коммуникации между предприятиями, государственными учреждениями и частными лицами. Сети могут быть частными (например, внутри компании) и иными (которые могут быть открыты для доступа общественности).

Безопасность компьютерных сетей связана с организациями, предприятиями и другими типами учреждений. Это защищает сеть, а также выполняет защитные и надзорные операции. Наиболее распространенным и простым способом защиты сетевого ресурса является присвоение ему уникального имени и соответствующего пароля.

Управление безопасностью

Управление безопасностью для сетей может быть различным для разных ситуаций. Домашний или малый офис может требовать только базовой безопасности, в то время как крупным предприятиям может потребоваться обслуживание с высоким уровнем надежности и расширенное программное и аппаратное обеспечение для предотвращения взлома и рассылки нежелательных атак.

Типы атак и уязвимостей сети

Уязвимость является слабостью в дизайне, реализации, работе или внутреннем контроле. Большинство обнаруженных уязвимостей задокументированы в базе данных Common Vulnerabilitiesand Exposures (CVE).

Сети могут подвергаться атакам из различных источников. Они могут быть двух категорий: «Пассивные», когда сетевой нарушитель перехватывает данные, проходящие через сеть, и «Активные», при которых злоумышленник инициирует команды для нарушения нормальной работы сети или для проведения мониторинга с целью получить доступ к данным.

Чтобы защитить компьютерную систему, важно разобраться в типах атак, которые могут быть осуществлены против нее. Эти угрозы могут быть разделены на следующие категории.

«Задняя дверь»

Бэкдор в компьютерной системе, криптосистеме или алгоритме - это любой секретный метод обхода обычных средств проверки подлинности или безопасности. Они могут существовать по ряду причин, в том числе по причине оригинального дизайна или из-за плохой конфигурации. Они могут быть добавлены разработчиком с целью разрешить какой-либо законный доступ, или же злоумышленником по иным причинам. Независимо от мотивов их существования они создают уязвимость.

Атаки типа «отказ в обслуживании»

Атаки на отказ в обслуживании (DoS) предназначены для того, чтобы сделать компьютер или сетевой ресурс недоступным для его предполагаемых пользователей. Организаторы такой атаки могут закрыть доступ к сети отдельным жертвам, например, путем преднамеренного ввода неправильного пароля много раз подряд, чтобы вызвать блокировку учетной записи, или же перегружать возможности машины или сети и блокировать всех пользователей одновременно. В то время как сетевая атака с одного IP-адреса может быть заблокирована добавлением нового правила брандмауэра, возможны многие формы атак с распределенным отказом в обслуживании (DDoS), где сигналы исходят от большого количества адресов. В таком случае защита намного сложнее. Такие атаки могут происходить из компьютеров, управляемых ботами, но возможен целый ряд других методов, включая атаки отражения и усиления, где целые системы непроизвольно осуществляют передачу такого сигнала.

Атаки прямого доступа

Несанкционированный пользователь, получающий физический доступ к компьютеру, скорее всего, может напрямую копировать данные из него. Такие злоумышленники также могут поставить под угрозу безопасность путем внесения изменений в операционную систему, установки программных червей, клавиатурных шпионов, скрытых устройств для прослушивания или использования беспроводных мышей. Даже если система защищена стандартными мерами безопасности, их можно обойти, загрузив другую ОС или инструмент с компакт-диска или другого загрузочного носителя. предназначено для предотвращения именно таких атак.

Концепция сетевой безопасности: основные пункты

Информационная безопасность в компьютерных сетях начинается с аутентификации, связанной с введением имени пользователя и пароля. Такая ее разновидность является однофакторной. С двухфакторной аутентификацией дополнительно используется и дополнительный параметр (токен безопасности или «ключ», карточка ATM или мобильный телефон), с трехфакторной применяется и уникальный пользовательский элемент (отпечаток пальца или сканирование сетчатки).

После аутентификации брандмауэр применяет политику доступа. Эта служба безопасности компьютерной сети эффективна для предотвращения несанкционированного доступа, но этот компонент может не проверить потенциально опасный контент, такой как компьютерные черви или трояны, передаваемые по сети. Антивирусное программное обеспечение или система предотвращения вторжений (IPS) помогают обнаруживать и блокировать действие таких вредоносных программ.

Система обнаружения вторжений, основанная на сканировании данных, может также отслеживать сеть для последующего анализа на высоком уровне. Новые системы, объединяющие неограниченное машинное обучение с полным анализом сетевого трафика, могут обнаруживать активных сетевых злоумышленников в виде вредоносных инсайдеров или целевых внешних вредителей, которые взломали пользовательский компьютер или учетную запись.

Кроме того, связь между двумя хостами может быть зашифрована для обеспечения большей конфиденциальности.

Защита компьютера

В обеспечении безопасности компьютерной сети применяются контрмеры - действия, устройства, процедура или техника, которые уменьшают угрозу, уязвимость или атаку, устраняя или предотвращая ее, минимизируя причиненный вред или обнаруживая и сообщая о его наличии.

Безопасное кодирование

Это одна из основных мер безопасности компьютерных сетей. В разработке программного обеспечения безопасное кодирование направлено на предотвращение случайного внедрения уязвимостей. Также возможно создать ПО, разработанное с нуля для обеспечения безопасности. Такие системы «безопасны по дизайну». Помимо этого, формальная проверка направлена ​​на то, чтобы доказать правильность алгоритмов, лежащих в основе системы. Это особенно важно для криптографических протоколов.

Данная мера означает, что программное обеспечение разрабатывается с нуля для обеспечения безопасности информации в компьютерных сетях. В этом случае она считается основной особенностью.

Некоторые из методов этого подхода включают:

1. Принцип наименьших привилегий, при котором каждая часть системы имеет только определенные полномочия, необходимые для ее функционирования. Таким образом, даже если злоумышленник получает доступ к этой части, он получит ограниченные полномочия относительно всей системы.
2. Кодовые обзоры и модульные тесты - это подходы к обеспечению большей безопасности модулей, когда формальные доказательства корректности невозможны.
3. Глубокая защита, где дизайн таков, что необходимо нарушить несколько подсистем, чтобы нарушить целостность системы и информацию, которую она хранит. Это более глубокая техника безопасности компьютерных сетей.

Архитектура безопасности

Организация Open Security Architecture определяет архитектуру IT-безопасности как "артефакты дизайна, которые описывают расположение элементов управления безопасностью (контрмеры безопасности) и их взаимосвязь с общей архитектурой информационных технологий". Эти элементы управления служат для поддержания таких атрибутов качества системы, как конфиденциальность, целостность, доступность, ответственность и гарантии.

Другие специалисты определяют ее как единый дизайн безопасности компьютерных сетей и безопасности информационных систем, который учитывает потребности и потенциальные риски, связанные с определенным сценарием или средой, а также определяет, когда и где применять определенные средства.

Ключевыми ее атрибутами являются:

• отношения разных компонентов и того, как они зависят друг от друга.
• определение мер контроля на основе оценки рисков, передовой практики, финансов и правовых вопросов.
• стандартизации средств контроля.

Обеспечение безопасности компьютерной сети

Состояние «безопасности» компьютера - идеал, достигаемый при использовании трех процессов: предотвращения угрозы, ее обнаружения и ответа на нее. Эти процессы основаны на различных политиках и системных компонентах, которые включают следующее:

1. Элементы управления доступом к учетной записи пользователя и криптографию, которые могут защищать системные файлы и данные.
2. Брандмауэры, которые на сегодняшний день являются наиболее распространенными системами профилактики с точки зрения безопасности компьютерных сетей. Это связано с тем, что они способны (в том случае, если их правильно настроить) защищать доступ к внутренним сетевым службам и блокировать определенные виды атак посредством фильтрации пакетов. Брандмауэры могут быть как аппаратными, так и программными.
3. Системы обнаружения вторжений (IDS), которые предназначены для обнаружения сетевых атак в процессе их осуществления, а также для оказания помощи после атаки, в то время как контрольные журналы и каталоги выполняют аналогичную функцию для отдельных систем.

«Ответ» обязательно определяется оцененными требованиями безопасности отдельной системы и может охватывать диапазон от простого обновления защиты до уведомления соответствующих инстанций, контратаки и т. п. В некоторых особых случаях лучше всего уничтожить взломанную или поврежденную систему, так как может случиться, что не все уязвимые ресурсы будут обнаружены.

Что такое брандмауэр?

Сегодня система безопасности компьютерной сети включает в себя в основном «профилактические» меры, такие как брандмауэры или процедуру выхода.

Брандмауэр можно определить как способ фильтрации сетевых данных между хостом или сетью и другой сетью, такой как Интернет. Он может быть реализован как программное обеспечение, запущенное на машине и подключающееся к сетевому стеку (или, в случае UNIX-подобных систем, встроенное в ядро ​​ОС), чтобы обеспечить фильтрацию и блокировку в реальном времени. Другая реализация - это так называемый «физический брандмауэр», который состоит из отдельной фильтрации сетевого трафика. Такие средства распространены среди компьютеров, которые постоянно подключены к Интернету, и активно применяются для обеспечения информационной безопасности компьютерных сетей.

Некоторые организации обращаются к крупным платформам данных (таким как Apache Hadoop) для обеспечения доступности данных и машинного обучения для обнаружения передовых постоянных угроз.

Однако относительно немногие организации поддерживают компьютерные системы с эффективными системами обнаружения, и они имеют еще меньше механизмов организованного реагирования. Это создает проблемы обеспечения технологической безопасности компьютерной сети. Основным препятствием для эффективного искоренения киберпреступности можно назвать чрезмерную зависимость от брандмауэров и других автоматизированных систем обнаружения. Тем не менее это основополагающий сбор данных с использованием устройств захвата пакетов, которые останавливают атаки.

Управление уязвимостями

Управление уязвимостями - это цикл выявления, устранения или смягчения уязвимостей, особенно в программном обеспечении и прошивке. Этот процесс является неотъемлемой частью обеспечения безопасности компьютерных систем и сетей.

Уязвимости можно обнаружить с помощью сканера, который анализирует компьютерную систему в поисках известных «слабых мест», таких как открытые порты, небезопасная конфигурация программного обеспечения и беззащитность перед вредоносным ПО.

Помимо сканирования уязвимостей, многие организации заключают контракты с аутсорсингами безопасности для проведения регулярных тестов на проникновение в свои системы. В некоторых секторах это контрактное требование.

Снижение уязвимостей

Несмотря на то, что формальная проверка правильности компьютерных систем возможна, она еще не распространена. Официально проверенные ОС включают в себя seL4 и SYSGO PikeOS, но они составляют очень небольшой процент рынка.

Современные компьютерные сети, обеспечивающие безопасность информации в сети, активно используют двухфакторную аутентификацию и криптографические коды. Это существенно снижает риски по следующим причинам.

Взлом криптографии сегодня практически невозможен. Для ее осуществления требуется определенный некриптографический ввод (незаконно полученный ключ, открытый текст или другая дополнительная криптоаналитическая информация).

Это метод смягчения несанкционированного доступа к системе или конфиденциальной информации. Для входа в защищенную систему требуется два элемента:

• «то, что вы знаете» - пароль или PIN-код;
• «то, что у вас есть» - карта, ключ, мобильный телефон или другое оборудование.

Это повышает безопасность компьютерных сетей, так как несанкционированный пользователь нуждается в обоих элементах одновременно для получения доступа. Чем жестче вы будете соблюдать меры безопасности, тем меньше взломов может произойти.

Можно снизить шансы злоумышленников, постоянно обновляя системы с исправлениями функций безопасности и обновлениями, использованием специальных сканеров. Эффект потери и повреждения данных может быть уменьшен путем тщательного создания резервных копий и хранения.

Механизмы защиты оборудования

Аппаратное обеспечение тоже может быть источником угрозы. Например, взлом может быть осуществлен с использованием уязвимостей микрочипов, злонамеренно введенных во время производственного процесса. Аппаратная или вспомогательная безопасность работы в компьютерных сетях также предлагает определенные методы защиты.

Использование устройств и методов, таких как ключи доступа, доверенные модули платформы, системы обнаружения вторжений, блокировки дисков, отключение USB-портов и доступ с поддержкой мобильной связи, могут считаться более безопасными из-за необходимости физического доступа к сохраненным данным. Каждый из них более подробно описан ниже.

Ключи

USB-ключи обычно используются в процессе лицензирования ПО для разблокировки программных возможностей, но они также могут рассматриваться как способ предотвращения несанкционированного доступа к компьютеру или другому устройству. Ключ создает безопасный зашифрованный туннель между ним и программным приложением. Принцип заключается в том, что используемая схема шифрования (например, AdvancedEncryptionStandard (AES)), обеспечивает более высокую степень информационной безопасности в компьютерных сетях, поскольку сложнее взломать и реплицировать ключ, чем просто скопировать собственное ПО на другую машину и использовать его.

Еще одно применение таких ключей - использование их для доступа к веб-контенту, например, облачному программному обеспечению или виртуальным частным сетям (VPN). Кроме того, USB-ключ может быть сконфигурирован для блокировки или разблокировки компьютера.

Защищенные устройства

Защищенные устройства доверенных платформ (TPM) интегрируют криптографические возможности на устройства доступа, используя микропроцессоры или так называемые компьютеры на кристалле. TPM, используемые в сочетании с программным обеспечением на стороне сервера, предлагают оригинальный способ обнаружения и аутентификации аппаратных устройств, а также предотвращение несанкционированного доступа к сети и данным.

Обнаружение вторжений в компьютер осуществляется посредством кнопочного выключателя, который срабатывает при открытии корпуса машины. Прошивка или BIOS запрограммированы на оповещение пользователя, когда устройство будет включено в следующий раз.

Блокировка

Безопасность компьютерных сетей и безопасность информационных систем может быть достигнута и путем блокировки дисков. Это, по сути, программные инструменты для шифрования жестких дисков, делающие их недоступными для несанкционированных пользователей. Некоторые специализированные инструменты разработаны специально для шифрования внешних дисков.

Отключение USB-портов - это еще один распространенный параметр безопасности для предотвращения несанкционированного и злонамеренного доступа к защищенному компьютером. Зараженные USB-ключи, подключенные к сети с устройства внутри брандмауэра, рассматриваются как наиболее распространенная угроза для компьютерной сети.

Мобильные устройства с поддержкой сотовой связи становятся все более популярными из-за повсеместного использования сотовых телефонов. Такие встроенные возможности, как Bluetooth, новейшая низкочастотная связь (LE), ближняя полевая связь (NFC) привели к поиску средств, направленных на устранение уязвимостей. Сегодня активно используется как биометрическая проверка (считывание отпечатка большого пальца), так и программное обеспечение для чтения QR-кода, предназначенное для мобильных устройств. Все это предлагает новые, безопасные способы подключения мобильных телефонов к системам контроля доступа. Это обеспечивает компьютерную безопасность, а также может использоваться для контроля доступа к защищенным данным.

Возможности и списки контроля доступа

Особенности информационной безопасности в компьютерных сетях основаны на разделении привилегий и степени доступа. Широко распространены две такие модели - это списки управления доступом (ACL) и безопасность на основе возможностей.

Использование ACL для ограничения работы программ оказалось во многих ситуациях небезопасным. Например, хост-компьютер можно обмануть, косвенно разрешив доступ к ограниченному файлу. Было также показано, что обещание ACL предоставить доступ к объекту только одному пользователю никогда не может быть гарантировано на практике. Таким образом, и сегодня существуют практические недостатки во всех системах на основе ACL, но разработчики активно пытаются их исправить.

Безопасность на основе возможностей в основном применяется в исследовательских операционных системах, в то время как коммерческие ОС по-прежнему используют списки ACL. Однако возможности могут быть реализованы только на уровне языка, что приводит к специфическому стилю программирования, который по существу является уточнением стандартного объектно-ориентированного дизайна.

Межсетевой экран

Сетевой, или межсетевой, экран - это комплекс программно-аппаратных средств, осуществляющий информационную защиту одной части компьютерной сети от другой путем анализа проходящего между ними трафика.

Для сетевого экрана одна часть сети является внутренней, другая внешней. Сетевой экран защищает внутреннюю сеть (например, локальную сеть предприятия или, как вырожденный случай, отдельный компьютер пользователя) от угроз, исходящих из внешней сети (как правило, подразумевают под такой сетью Интернет).

Защиту границ между локальными сетями предприятия и Интернетом обеспечивают корпоративные сетевые экраны, те же функции, но на границе между домашним компьютером и Интернетом, выполняют персональные сетевые экраны.

Для эффективного выполнения сетевым экраном его главной функции защиты - необходимо, чтобы через него проходил весь трафик, которым обмениваются узлы защищаемой части сети с узлами Интернета.

Такое расположение позволяет сетевому экрану полностью контролировать (запрещать, ограничивать или протоколировать) доступ внешних пользователей к ресурсам внутренней сети. Сетевой экран защищает сеть не только от несанкционированного доступа внешних злоумышленников, но от ошибочных действий пользователей защищаемой сети, например таких, как передача во внешнюю сеть конфиденциальной информации.

Чтобы осуществлять контроль доступа, сетевой экран должен уметь выполнять следующие функции:

ѕ анализировать, контролировать и регулировать трафик (функция фильтрации);

ѕ играть роль логического посредника между внутренними клиентами и внешними серверами (функция прокси-сервера);

ѕ фиксировать все события, связанные с безопасностью (функция аудита).

ѕ Наряду с этими базовыми функциями на сетевой экран могут быть возложены и другие вспомогательные функции защиты, в частности:

ѕ антивирусная защита;

ѕ шифрование трафика;

ѕ фильтрация сообщений по содержимому, включая типы передаваемых файлов, имена DNS и ключевые слова;

ѕ предупреждение и обнаружение вторжений и сетевых атак;

ѕ функции VPN;

ѕ трансляция сетевых адресов.

Как можно заметить, большинство из перечисленных функций реализуются в виде отдельных продуктов или в составе систем защиты других типов. Так, функции пакетной фильтрации встроены практически во все маршрутизаторы, задача обнаружения вирусов решается множеством разнообразных программ, шифрование трафика -- неотъемлемый элемент технологий защищенных каналов и т. д., и т. п. Прокси-серверы часто поставляются в виде приложений, более того, они сами часто интегрируют в себе многие функции, свойственные сетевым экранам, такие, например, как аутентификация, трансляция сетевых адресов или фильтрация по содержимому (контенту).

Отсюда возникают сложности при определении понятия «сетевой экран». Например, довольно распространено мнение, что сетевой экран -- это пограничное устройство, выполняющее пакетную фильтрацию (то есть маршрутизатор), а прокси-сервер -- это совершенно отличный от сетевого экрана инструмент защиты. Другие настаивают, что прокси-сервер является непременным и неотъемлемым атрибутом сетевого экрана. Третьи считают, что сетевым экраном может быть названо только такое программное или аппаратное устройство, которое способно отслеживать состояние потока пакетов в рамках соединения. Так что будем придерживаться широко распространенной точки зрения о том, что сетевой экран -- это программно-аппаратный комплекс, выполняющий разнообразные функции по защите внутренней сети, набор которых может меняться в зависимости от типа, модели и конкретной конфигурации сетевого экрана.

Система обнаружения вторжений

Система обнаружения вторжений (СОВ) (англ. Intrusion Detection System (IDS)) -- программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа (вторжения или сетевой атаки) в компьютерную систему или сеть.

IDS всё чаще становятся необходимым дополнением инфраструктуры сетевой безопасности. В дополнение к межсетевым экранам (firewall), работа которых происходит на основе политики безопасности, IDS служат механизмами мониторинга и наблюдения подозрительной активности. Они могут обнаружить атакующих, которые обошли Firewall, и выдать отчет об этом администратору, который, в свою очередь, предпримет дальнейшие шаги по предотвращению атаки. Технологии обнаружения проникновений не делают систему абсолютно безопасной. Тем не менее практическая польза от IDS существует и не маленькая.

Использование IDS помогает достичь нескольких целей:

ѕ обнаружить вторжение или сетевую атаку;

ѕ спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития. Атакующий обычно выполняет ряд предварительных действий, таких как, например, сетевое зондирование (сканирование) или другое тестирование для обнаружения уязвимостей целевой системы;

ѕ выполнить документирование существующих угроз;

ѕ обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях;

ѕ получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов;

ѕ определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

Система предотвращения вторжений (англ. Intrusion Prevention System (IPS)) -- программное или аппаратное средство, которое осуществляет мониторинг сети или компьютерной системы в реальном времени с целью выявления, предотвращения или блокировки вредоносной активности.

В целом IPS по классификации и свои функциям аналогичны IDS. Главное их отличие состоит в том, что они функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS.

Как уже сказано выше, правильное размещение систем IDS/IPS в сети не оказывает влияния на её топологию, но зато имеет огромное значение для оптимального мониторинга и достижения максимального эффекта от её защиты.

Резервное копирование данных

Тема резервного копирования рабочей Unix-подобной операционной системы (как правило, Linux) регулярно всплывает в списках рассылки и форумах, посвященных Linux. И неизменно кто-нибудь советует просто архивировать с помощью tar cvfz backup.tgz /bin /boot /etc ... К сожалению, для создания правильной резервной копии понадобится больше усилий.

В правильном бэкапе сохраняются не только данные. Там содержатся и данные о данных: метаданные. Также копируются атрибуты конкретной файловой системы и файлы специальных устройств, необходимые для работы ОС. Жизненно важно, чтобы носитель резервной копии и программы для работы с ней могли обеспечить такое копирование. Например, категорически не рекомендую делать резервную копию файловой системы Ext3 (стандартная файловая система в Linux) на разделы, форматированные в FAT32/FAT16 (допотопная файловая система от Microsoft, все еще встречающаяся на USB-накопителях и подобных устройствах, хотя их можно, конечно же, форматировать в любую файловую систему).

На разделах с ФС Ext3 метаданные файлов включают в себя: время изменения файла, время изменения индексного дескриптора (inode), время последнего доступа, идентификаторы пользователя и группы, а также права доступа к файлам и каталогам. Если есть расширенные атрибуты, метаданных может быть намного больше, в основном за счет информации из списка управления доступом (ACL, Access Control List). Чем больше данных будет скопировано, тем лучше. Разумеется, если не сохранить и не восстановить права доступа, это приведет к неработоспособности системы. Это верно даже для таких простых вещей, как mtime (modification time, время изменения содержимого файла). Например, в дистрибутиве Gentoo Linux mtime используется для того, чтобы определить, относятся ли файлы к конкретному пакету или они изменены потом. Если не восстановить верное время изменения файлов, система управления пакетами будет полностью неработоспособна.

В зависимости от используемого ПО могут потребоваться разные шаги для сохранения всей этой информации. Например, при использовании tar с параметрами по умолчанию нельзя сохранить верную информацию о правах доступа. Если провести быстрый тест, может показаться, что это возможно, но это обманчивое впечатление. С параметрами по умолчанию tar распаковывает файлы с настройками umask (user file creation mode mask, маска режима создания пользовательских файлов) текущего пользователя. Если текущие настройки umask достаточно свободные, то файлы могут быть восстановлены со своими настройками прав, но при более жестких параметрах umask эти ограничения будут применены и к восстановленным файлам. Чтобы это предотвратить, tar надо использовать с параметром --preserve-permissions.

Информация о владельцах файлов может храниться двумя способами: в числовом и в текстовом виде. Многие программы для резервного копирования предпочитают текстовое представление для удобства чтения человеком, но при создании резервной копии всей системы это нежелательно. Вполне вероятно, что вы будете восстанавливать систему с помощью какого-нибудь Live CD, тогда как резервная копия создавалась на самой копируемой системе. При восстановлении файлы, принадлежащие пользователю bin, получат идентификатор (ID) файловой системы, основанный на данных файла /etc/passwd с Live CD. Если это будет, например, ID 2, но тот же идентификатор в восстанавливаемой системе присвоен пользователю daemon, то файлы, принадлежащие bin, будут принадлежать daemon. Поэтому всегда следует хранить информацию о владельцах файлов в числовом виде. Для этого в tar есть параметр --numeric-owner. В rdiff-backup существует аналогичный параметр --preserve-numerical-ids, добавленный с версии 1.1.0. В dar никогда не будет поддержки текстового представления.

Некоторые программы для резервного копирования (например, tar и dar) могут восстанавливать atime (access time, время последнего доступа) после чтения файлов во время создания копии. Это делается для того, чтобы копии максимально точно соответствовали оригиналу. Этой функцией следует пользоваться с осторожностью, так как восстановление atime изменяет ctime (change time, время изменения индексного дескриптора). С этим ничего не поделаешь, так как ctime невозможно установить принудительно. В man-странице dar говорится, что NNTP-сервер Leafnode при кешировании рассчитывает, что время последнего доступа восстановлено, но обычно очень редко требуется восстанавливать atime. Для любой программы предполагать, что значение atime восстановлено в резервной копии -- это серьезный изъян. Время доступа может меняться произвольно, даже пользователем, не имеющим доступа на запись файла. К тому же программы для автоматического индексирования, такие как Beagle, могут изменять atime. Кроме того, изменение в ctime может вызвать срабатывание отдельных программ для защиты компьютера. Как уже говорилось, ctime нельзя установить принудительно, а значит, если у файла изменено значение ctime при неизменном со времени последней проверки mtime, этот файл мог быть заменен другим, обычно это свидетельствует о внедрении руткита. Следовательно, сохранять время доступа имеет смысл, только если вы абсолютно точно знаете, что делаете. По умолчанию dar сохраняет atime. Изменения, исправляющие такое поведение, уже внесены в CVS, и скорее всего появятся в версии 2.4.0. Для старых версий следует использовать параметр --alter=atime.

Ссылки бывают двух типов: символические и жесткие. Символическая ссылка, или симлинк, -- это просто указатель на другое место файловой системы. Жесткая ссылка, или хардлинк -- это дополнительный указатель для inode (индексного дескриптора).

Для сохранения символических ссылок все, что надо сделать, это удостовериться, что приложение для резервного копирования сохраняет ссылку, а не файл, на который она указывает. Не все программы так себя ведут с настройками по умолчанию, так что будьте осторожны.

Жесткие ссылки требуют несколько больше внимания. Как уже говорилось, жесткая ссылка -- это в принципе второе (третье, четвертое...) имя файла. Если у вас есть файл A и ссылающийся на него файл B, они ведут себя, как если бы у вас было два файла. Если оба файла по 1 ГБ, они будут занимать 1 ГБ на диске, но приложения будут считать, что они занимают 2 ГБ. Так как файл B -- не просто ссылка на A, а другое имя для того же файла, можно безболезненно удалить файл A. Файл B не будет удален при удалении файла A.

Большинство приложений для резервного копирования поддерживают жесткие ссылки, но только если они все находятся в одном дереве каталогов. Если копировать каталоги /bin, /etc, /usr и т. д. отдельной командой cp -a для каждого, то информация о жестких ссылках не будет распознана и скопирована. Так как жесткие ссылки не могут указывать на файл в другой файловой системе, достаточно копировать и восстанавливать по одному разделу за раз. Например, если каталог /home вынесен на отдельный раздел, можно сделать отдельный архив с корневым каталогом / без /home и отдельный архив только с /home. Если создавать архив, включающий в себя все точки монтирования, понадобятся дополнительные действия, чтобы данные восстанавливались на нужных разделах. Если программе не мешают существующие каталоги, можно перед восстановлением данных создать точки монтирования с теми же именами в новой файловой системе. В противном случае должен помочь такой вариант: сначала восстановить данные на один раздел, а затем скопировать части на свои разделы с помощью cp -a. Не используйте mv для перемещения данных. Представьте, что будет, если программа аварийно завершится, не закончив работу.

В Linux и других Unix-подобных операционных системах широко используются жесткие ссылки.

Разреженный файл (sparse file) -- файл, в котором нули не записываются на диск как нули, а просто не размечаются. Благодаря этому, например, гигабайтный файл с большим количеством пустого места может занимать всего мегабайт. Такие файлы использует торрент-клиент Azureus.

В программах для резервного копирования поддержка разреженных файлов есть далеко не всегда. При использовании программы, не поддерживающей разреженные файлы, файл считывается как обычный. Данные в файле остаются те же, но он может занимать гораздо больше места. Будьте осторожны, резервная копия может не вместиться на предназначенный для нее диск при восстановлении, если разреженные файлы создаются как обычные.

Для файлов, загружаемых через торренты, это не слишком страшно, они так или иначе при загрузке будут заполнены данными. Но при наличии большого количества разреженных файлов, которые должны оставаться разреженными, необходима программа для резервного копирования с поддержкой разреженных файлов. Но в любом случае, даже если файл определен как разреженный, копия не будет размещена там же и так же, как оригинал, так как эту информацию нельзя получить. Вместо этого будет создан новый разреженный файл, в котором неразмеченные области будут использованы на усмотрение создающей его программы. Однако, это не должно стать проблемой.

Существуют и другие специальные файлы, такие как FIFO, именованные конвейеры (named pipes), блочные устройства и т. д. Они ничем особо не примечательны и большинство приложений знает, как с ними работать. Но надо обязательно указывать правильные параметры. Например, cp без параметра -a попытается скопировать данные именованного конвейера вместо того, чтобы воссоздать его.

Есть также и специальные каталоги: lost+found (в файловых системах Ext2/3/4). На самом деле это вообще не каталог, его невозможно создать программой mkdir. Вместо нее используйте mklost+found. Если не знаете,lost+found используется для хранения файлов, восстановленных программой e2fsck при повреждении файловой системы.

Чтобы сэкономить место на носителе с резервной копией, можно не сохранять некоторые каталоги.

Есть еще особые файловые системы, монтируемые в корневую, которые динамически создаются при загрузке, их не надо сохранять.

Создавая резервную копию работающей системы, не следует забывать о программах, которые могут изменить свои данные во время копирования. Удачный пример -- это базы данных, такие как MySQL или PostgreSQL, а также данные почтовых программ (файлы mbox более уязвимы, чем maildir). Файлы данных (обычно хранящиеся где-нибудь в /var) могут быть подвержены изменениям в работающей системе. Это может быть вызвано обычными операциями или автоматической очисткой базы данных. Никогда не полагайтесь на файлы с данными работающей базы данных, LDAP-сервера, репозитория Subversion или любых подобных программ, которые вы используете.

Если остановить работу этих программ перед резервным копированием не представляется возможным, необходимо запланировать задания по периодическому сохранению дампов базы данных.

Создание запланированных дампов всегда полезно, независимо от ситуации. При внезапном повреждении данных останутся дампы предыдущих состояний базы и не все будет потеряно. А если дамп хранится в локальной файловой системе, не придется мучиться с поиском в резервных копиях, когда возникнет необходимость восстановить базу данных (или иные данные приложений).

Для персонального использования предназначен режим WPA-PSK. Он предусматривает применение заранее заданных ключей шифрования (пароль доступа), одинаковых для всех сетевых устройств, а первичная аутентификация пользователей осуществляется с использованием данного ключа.

Для настройки WPA-шифрования в окне настройки точки доступа или маршрутизатора необходимо выбрать тип аутентификации WPA-PSK и установить тип шифрования (WPA Encryption) TKIP или AES. Затем задается ключ шифрования (WPA-PSK Passphrase). В качестве ключа может быть любое слово. Этот ключ, как и ключ в случае WEP-шифрования, задается на всех устройствах.

В качестве алгоритмов шифрования при использовании стандарта WPA выбран TKIP.

Шифрование WPA-PSK по методу TKIP считается неприступной стеной для несанкционированного доступа и представляет собой еще более мощный способ защиты, ранее используемый в сетях VPN. Эта технология поддерживается не всем современным сетевым оборудованием.

В режиме PSK беспроводной доступ не может управляться индивидуально или централизованно. Один пароль распространяется на всех пользователей, и он должен быть вручную изменен на каждом беспроводном устройстве после того, как он вручную изменяется на беспроводном маршрутизаторе или на точке доступа. Данный пароль хранится на беспроводных устройствах. Таким образом, каждый пользователь компьютера может подключиться к сети, а также увидеть пароль.

Большим плюсом при внедрении EWPA является возможность работы технологии на существующем аппаратном обеспечении Wifi.

TKIP отвечает за увеличение размера ключа с 40 до 128 бит, а также за замену одного статического ключа WEP ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того, в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость, которая использовалась для несанкционированного снятия защиты WEP ключей.

· Основные понятия безопасности

· Конфиденциальность, целостность и доступность данных

· Классификация угроз

· Системный подход к обеспечению безопасности

· Политика безопасности

· Базовые технологии безопасности

· Технология защищенного канала

· Технологии аутентификации

· Сетевая аутентификация на основе многоразового пароля

· Аутентификация с использованием одноразового пароля

· Аутентификация на основе сертификатов

· Аутентификация информации

· Система Kerberos

· Первичная аутентификация

· Получение разрешения на доступ к ресурсному серверу

· Получение доступа к ресурсу

· Достоинства и недостатки

· Задачи и упражнения

При рассмотрении безопасности информационных систем обычно выделяют две группы проблем: безопасность компьютера и сетевая безопасность. К безопасности компьютера относят все проблемы защиты данных, хранящихся и обрабатывающихся компьютером, который рассматривается как автономная система. Эти проблемы решаются средствами операционных систем и приложений, таких как базы данных, а также встроенными аппаратными средствами компьютера. Под сетевой безопасностью понимают все вопросы, связанные с взаимодействием устройств в сети, это прежде всего защита данных в момент их передачи по линиям связи и защита от несанкционированного удаленного доступа в сеть. И хотя подчас проблемы компьютерной и сетевой безопасности трудно отделить друг от друга, настолько тесно они связаны, совершенно очевидно, что сетевая безопасность имеет свою специфику.

Автономно работающий компьютер можно эффективно защитить от внешних покушений разнообразными способами, например просто запереть на замок клавиатуру или снять жесткий накопитель и поместить его в сейф. Компьютер, работающий в сети, по определению не может полностью отгородиться от мира, он должен общаться с другими компьютерами, возможно, даже удаленными от него на большое расстояние, поэтому обеспечение безопасности в сети является задачей значительно более сложной. Логический вход чужого пользователя в ваш компьютер является штатной ситуацией, если вы работаете в сети. Обеспечение безопасности в такой ситуации сводится к тому, чтобы сделать это проникновение контролируемым - каждому пользователю сети должны быть четко определены его права по доступу к информации, внешним устройствам и выполнению системных действий на каждом из компьютеров сети.

Помимо проблем, порождаемых возможностью удаленного входа в сетевые компьютеры, сети по своей природе подвержены еще одному виду опасности - перехвату и анализу сообщений, передаваемых по сети, а также созданию «ложного» трафика. Большая часть средств обеспечения сетевой безопасности направлена на предотвращение именно этого типа нарушений.

Вопросы сетевой безопасности приобретают особое значение сейчас, когда при построении корпоративных сетей наблюдается переход от использования выделенных каналов к публичным сетям (Интернет, frame relay). Поставщики услуг публичных сетей пока редко обеспечивают защиту пользовательских данных при их транспортировке по своим магистралям, возлагая на пользователей заботы по их конфиденциальности, целостности и доступности.

Основные понятия безопасности

Конфиденциальность, целостность и доступность данных

Безопасная информационная система - это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, всегда готова предоставить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности.

• Конфиденциальность (confidentiality) - гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).
• Доступность (availability) - гарантия того, что авторизованные пользователи всегда получат доступ к данным.
• Целостность (integrity) - гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным. Например, если вы публикуете информацию в Интернете на Web-сервере и вашей целью является сделать ее доступной для самого широкого круга людей, то конфиденциальность в данном случае не требуется. Однако требования целостности и доступности остаются актуальными.

Действительно, если вы не предпримете специальных мер по обеспечению целостности данных, злоумышленник может изменить данные на вашем сервере и нанести этим ущерб вашему предприятию. Преступник может, например, внести такие изменения в помещенный на Web-сервере прайс- лист, которые снизят конкурентоспособность вашего предприятия, или испортить коды свободно распространяемого вашей фирмой программного продукта, что безусловно скажется на ее деловом имидже.

Не менее важным в данном примере является и обеспечение доступности данных. Затратив немалые средства на создание и поддержание сервера в Интернете, предприятие вправе рассчитывать на отдачу: увеличение числа клиентов, количества продаж и т. д. Однако существует вероятность того, что злоумышленник предпримет атаку, в результате которой помещенные на сервер данные станут недоступными для тех, кому они предназначались. Примером таких злонамеренных действий может служить «бомбардировка» сервера IP-пакетами с неправильным обратным адресом, которые в соответствии с логикой работы этого протокола могут вызывать тайм-ауты, а в конечном счете сделать сервер недоступным для всех остальных запросов.

Понятия конфиденциальности, доступности и целостности могут быть определены не только по отношению к информации, но и к другим ресурсам вычислительной сети, например внешним устройствам или приложениям. Существует множество системных ресурсов, возможность «незаконного» использования которых может привести к нарушению безопасности системы. Например, неограниченный доступ к устройству печати позволяет злоумышленнику получать копии распечатываемых документов, изменять параметры настройки, что может привести к изменению очередности работ и даже к выводу устройства из строя. Свойство конфиденциальности, примененное к устройству печати, можно интерпретировать так, что доступ к устройству имеют те и только те пользователи, которым этот доступ разрешен, причем они могут выполнять только те операции с устройством, которые для них определены. Свойство доступности устройства означает его готовность к использованию всякий раз, когда в этом возникает необходимость. А свойство целостности может быть определено как свойство неизменности параметров настройки данного устройства. Легальность использования сетевых устройств важна не только постольку, поскольку она влияет на безопасность данных. Устройства могут предоставлять различные услуги: распечатку текстов, отправку факсов, доступ в Интернет, электронную почту и т. п., незаконное потребление которых, наносящее материальный ущерб предприятию, также является нарушением безопасности системы.

Любое действие, которое направлено на нарушение конфиденциальности, целостности и/или доступности информации, а также на нелегальное использование других ресурсов сети, называется угрозой. Реализованная угроза называется атакой. Риск - это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки. Значение риска тем выше, чем более уязвимой является существующая система безопасности и чем выше вероятность реализации атаки.

Классификация угроз

Универсальной классификации угроз не существует, возможно, и потому, что нет предела творческим способностям человека, и каждый день применяются новые способы незаконного проникновения в сеть, разрабатываются новые средства мониторинга сетевого трафика, появляются новые вирусы, находятся новые изъяны в существующих программных и аппаратных сетевых продуктах. В ответ на это разрабатываются все более изощренные средства защиты, которые ставят преграду на пути многих типов угроз, но затем сами становятся новыми объектами атак. Тем не менее попытаемся сделать некоторые обобщения. Так, прежде всего угрозы могут быть разделены на умышленные и неумышленные.

Неумышленные угрозы вызываются ошибочными действиями лояльных сотрудников, становятся следствием их низкой квалификации или безответственности. Кроме того, к такому роду угроз относятся последствия ненадежной работы программных и аппаратных средств системы. Так, например, из-за отказа диска, контроллера диска или всего файлового сервера могут оказаться недоступными данные, критически важные для работы предприятия. Поэтому вопросы безопасности так тесно переплетаются с вопросами надежности, отказоустойчивости технических средств. Угрозы безопасности, которые вытекают из ненадежности работы программно-аппаратных средств, предотвращаются путем их совершенствования, использования резервирования на уровне аппаратуры (RAID-массивы, многопроцессорные компьютеры, источники бесперебойного питания, кластерные архитектуры) или на уровне массивов данных (тиражирование файлов, резервное копирование).

Умышленные угрозы могут ограничиваться либо пассивным чтением данных или мониторингом системы, либо включать в себя активные действия, например нарушение целостности и доступности информации, приведение в нерабочее состояние приложений и устройств. Так, умышленные угрозы возникают в результате деятельности хакеров и явно направлены на нанесение ущерба предприятию.

В вычислительных сетях можно выделить следующие типы умышленных угроз:

• незаконное проникновение в один из компьютеров сети под видом легального пользователя;
• разрушение системы с помощью программ-вирусов;
• нелегальные действия легального пользователя;
• «подслушивание» внутрисетевого трафика.

Незаконное проникновение может быть реализовано через уязвимые места в системе безопасности с использованием недокументированных возможностей операционной системы. Эти возможности могут позволить злоумышленнику «обойти» стандартную процедуру, контролирующую вход в сеть.

Другим способом незаконного проникновения в сеть является использование «чужих» паролей, полученных путем подглядывания, расшифровки файла паролей, подбора паролей или получения пароля путем анализа сетевого трафика. Особенно опасно проникновение злоумышленника под именем пользователя, наделенного большими полномочиями, например администратора сети. Для того чтобы завладеть паролем администратора, злоумышленник может попытаться войти в сеть под именем простого пользователя. Поэтому очень важно, чтобы все пользователи сети сохраняли свои пароли в тайне, а также выбирали их так, чтобы максимально затруднить угадывание.

Подбор паролей злоумышленник выполняет с использованием специальных программ, которые работают путем перебора слов из некоторого файла, содержащего большое количество слов. Содержимое файла-словаря формируется с учетом психологических особенностей человека, которые выражаются в том, что человек выбирает в качестве пароля легко запоминаемые слова или буквенные сочетания.

Еще один способ получения пароля - это внедрение в чужой компьютер «троянского коня». Так называют резидентную программу, работающую без ведома хозяина данного компьютера и выполняющую действия, заданные злоумышленником. В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.

Программа - «троянский конь» всегда маскируется под какую-нибудь полезную утилиту или игру, а производит действия, разрушающие систему. По такому принципу действуют и программы-вирусы, отличительной особенностью которых является способность «заражать» другие файлы, внедряя в них свои собственные копии. Чаще всего вирусы поражают исполняемые файлы. Когда такой исполняемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус. Вирусы могут привести к повреждению или даже полной утрате информации.

Нелегальные действия легального пользователя - этот тип угроз исходит от легальных пользователей сети, которые, используя свои полномочия, пытаются выполнять действия, выходящие за рамки их должностных обязанностей. Например, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам. Однако на предприятии может быть информация, доступ к которой администратору сети запрещен. Для реализации этих ограничений могут быть предприняты специальные меры, такие, например, как шифрование данных, но и в этом случае администратор может попытаться получить доступ к ключу. Нелегальные действия может попытаться предпринять и обычный пользователь сети. Существующая статистика говорит о том, что едва ли не половина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.

«Подслушивание» внутрисетевого трафика - это незаконный мониторинг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно тривиальной. Еще более усложняется защита от этого типа угроз в сетях с глобальными связями. Глобальные связи, простирающиеся на десятки и тысячи километров, по своей природе являются менее защищенными, чем локальные связи (больше возможностей для прослушивания трафика, более удобная для злоумышленника позиция при проведении процедур аутентификации). Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зависит от того, используются собственные, арендуемые каналы или услуги общедоступных территориальных сетей, подобных Интернету.

Однако использование общественных сетей (речь в основном идет об Интернете) еще более усугубляет ситуацию. Действительно, использование Интернета добавляет к опасности перехвата данных, передаваемых по линиям связи, опасность несанкционированного входа в узлы сети, поскольку наличие огромного числа хакеров в Интернете увеличивает вероятность попыток незаконного проникновения в компьютер. Это представляет постоянную угрозу для сетей, подсоединенных к Интернету.

Интернет сам является целью для разного рода злоумышленников. Поскольку Интернет создавался как открытая система, предназначенная для свободного обмена информацией, совсем не удивительно, что практически все протоколы стека TCP/IP имеют «врожденные» недостатки защиты. Используя эти недостатки, злоумышленники все чаще предпринимают попытки несанкционированного доступа к информации, хранящейся на узлах Интернета.

Системный подход к обеспечению безопасности

Построение и поддержка безопасной системы требует системного подхода. В соответствии с этим подходом прежде всего необходимо осознать весь спектр возможных угроз для конкретной сети и для каждой из этих угроз продумать тактику ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы - морально-этические и законодательные, административные и психологические, защитные возможности программных и аппаратных средств сети.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране. Например, подобно тому как в борьбе против пиратского копирования программ в настоящее время в основном используются меры воспитательного плана, необходимо внедрять в сознание людей аморальность всяческих покушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.

Законодательные средства защиты - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил. Правовая регламентация деятельности в области защиты информации имеет целью защиту информации, составляющей государственную тайну, обеспечение прав потребителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.

Административные меры - это действия, предпринимаемые руководством предприятия или организации для обеспечения информационной безопасности. К таким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго определяющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам также относятся правила приобретения предприятием средств безопасности. Представители администрации, которые несут ответственность за защиту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российскими тестирующими организациями.

Психологические меры безопасности могут играть значительную роль в укреплении безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к нарушениям защиты. Рассмотрим, например, сеть предприятия, в которой работает много удаленных пользователей. Время от времени пользователи должны менять пароли (обычная практика для предотвращения их подбора). В данной сиетеме выбор паролей осуществляет администратор. В таких условиях злоумышленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль. При большом количестве удаленных пользователей не исключено, что такой простой психологический прием может сработать.

К физическим средствам защиты относятся экранирование помещений для защиты от излучения, проверка поставляемой аппаратуры на соответствие ее спецификациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находятся носители информации, от незаконного проникновения и т. д. и т. п.

Технические средства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства, называемые также службами сетевой безопасности, решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутентификации и авторизации, аудит, шифрование информации, антивирусную защиту, контроль сетевого трафика и много других задач. Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

Политика безопасности

Важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности, которая подразумевает ответы на следующие вопросы:

• Какую информацию защищать?
• Какой ущерб понесет предприятие при потере или при раскрытии тех или иных данных?
• Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты?
• Какие средства использовать для защиты каждого вида информации?

Специалисты, ответственные за безопасность системы, формируя политику безопасности, должны учитывать несколько базовых принципов. Одним из таких принципов является предоставление каждому сотруднику предприятия того минимально уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей. Учитывая, что большая часть нарушений в области безопасности предприятий исходит именно от собственных сотрудников, важно ввести четкие ограничения для всех пользователей сети, не наделяя их излишними возможностями.

Следующий принцип - использование комплексного подхода к обеспечению безопасности. Чтобы затруднить злоумышленнику доступ к данным, необходимо предусмотреть самые разные средства безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппаратуры. Административный запрет на работу в воскресные дни ставит потенциального нарушителя под визуальный контроль администратора и других пользователей, физические средства защиты (закрытые помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только приписанным ему компьютером, встроенные средства сетевой ОС (система аутентификации и авторизации) предотвращают вход в сеть нелегальных пользователей, а для. легального пользователя ограничивают возможности только разрешенными для него операциями (подсистема аудита фиксирует его действия). Такая система защиты с многократным резервированием средств безопасности увеличивает вероятность сохранности данных.

Используя многоуровневую систему защиты, важно обеспечивать баланс надежности защиты всех уровней. Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Или если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уровне отдельных файлов, но имеется возможность получить жесткий диск и установить его на другой машине, то все достоинства средств защиты файловой системы сводятся на нет. Если внешний трафик сети, подключенной к Интернету, проходит через мощный брандмауэр, но пользователи имеют возможность связываться с узлами Интернета по коммутируемым линиям, используя локально установленные модемы, то деньги (как правило, немалые), потраченные на брандмауэр, можно считать выброшенными на ветер.

Следующим универсальным принципом является использование средств, которые при отказе переходят в состояние максимальной защиты. Это касается самых различных средств безопасности. Если, например, автоматический пропускной пункт в какое-либо помещение ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти на защищаемую территорию. А если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть. Неприемлемым следовало бы признать устройство, которое бы при отказе пропускало в сеть весь внешний трафик.

Принцип единого контрольно-пропускного пункта - весь входящий во внутреннюю сеть и выходящий во внешнюю сеть трафик должен проходить через единственный узел сети, например через межсетевой экран (firewall). Только это позволяет в достаточной степени контролировать трафик. В противном случае, когда в сети имеется множество пользовательских станций, имеющих независимый выход во внешнюю сеть, очень трудно скоординировать правила, ограничивающие права пользователей внутренней сети по доступу к серверам внешней сети и обратно - права внешних клиентов по доступу к ресурсам внутренней сети.

Принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение. Ни одна система безопасности не гарантирует защиту данных на уровне 100 %, поскольку является результатом компромисса между возможными рисками и возможными затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной затрат, требуемых на обеспечение безопасности этих данных. Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стандартных средств фильтрации обычного маршрутизатора, в других же можно пойти на беспрецедентные затраты. Главное, чтобы принятое решение было обосновано экономически.

При определении политики безопасности для сети, имеющей выход в Интернет, специалисты рекомендуют разделить задачу на две части: выработать политику доступа к сетевым службам Интернета и выработать политику доступа к ресурсам внутренней сети компании.

Политика доступа к сетевым службам Интернета включает следующие пункты:

• Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.
• Определение ограничений на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol) и РРР (Point-to-Point Protocol). Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к «запрещенным» службам Интернета обходными путями. Например, если для ограничения доступа к Интернету в сети устанавливается специальный шлюз, который не дает возможности пользователям работать в системе WWW, они могут устанавливать с Web-серверами РРР-соеди-нения по коммутируемой линии. Во избежание этого надо просто запретить использование протокола РРР.
• Принятие решения о том, разрешен ли доступ внешних пользователей из Интернета во внутреннюю сеть. Если да, то кому. Часто доступ разрешают только для некоторых, абсолютно необходимых для работы предприятия служб, например электронной почты.

Политика доступа к ресурсам внутренней сети компании может быть выражена в одном из двух принципов:

• запрещать все, что не разрешено в явной форме;
• разрешать все, что не запрещено в явной форме.

В соответствии с выбранным принципом определяются правила обработки внешнего трафика межсетевыми экранами или маршрутизаторами. Реализация защиты на основе первого принципа дает более высокую степень безопасности, однако при этом могут возникать большие неудобства у пользователей, а кроме того, такой способ защиты обойдется значительно дороже. При реализации второго принципа сеть окажется менее защищенной, однако пользоваться ею будет удобнее и потребуется меньше затрат.

Базовые технологии безопасности

В разных программных и аппаратных продуктах, предназначенных для защиты данных, часто используются одинаковые подходы, приемы и технические решения. К таким базовым технологиям безопасности относятся аутентификация, авторизация, аудит и технология защищенного канала.

Шифрование

Шифрование - это краеугольный камень всех служб информационной безопасности, будь то система аутентификации или авторизации, средства создания защищенного канала или способ безопасного хранения данных.

Любая процедура шифрования, превращающая информацию из обычного «понятного» вида в «нечитабельный» зашифрованный вид, естественно, должна быть дополнена процедурой дешифрирования, которая, будучи примененной к зашифрованному тексту, снова приводит его в понятный вид. Пара процедур - шифрование и дешифрирование - называется криптосистемой.

Информацию, над которой выполняются функции шифрования и дешифрирования, будем условно называть «текст», учитывая, что это может быть также числовой массив или графические данные.

В современных алгоритмах шифрования предусматривается Наличие параметра - секретного ключа. В криптографии принято правило Керкхоффа: «Стойкость шифра должна определяться только секретностью ключа». Так, все стандартные алгоритмы шифрования (например, DES, PGP) широко известны, их детальное описание содержится в легко доступных документах, но от этого их эффективность не снижается. Злоумышленнику может быть все известно об алгоритме шифрования, кроме секретного ключа (следует отметить, однако, что существует немало фирменных алгоритмов, описание которых не публикуется).

Алгоритм шифрования считается раскрытым, если найдена процедура, позволяющая подобрать ключ за реальное время. Сложность алгоритма раскрытия является одной из важных характеристик криптосистемы и называется криптостойкостъю.

Существуют два класса криптосистем - симметричные и асимметричные. В симметричных схемах шифрования (классическая криптография) секретный ключ зашифровки совпадает с секретным ключом расшифровки. В асимметричных схемах шифрования (криптография с открытым ключом) открытый ключ зашифровки не совпадает с секретным ключом расшифровки.

При рассмотрении безопасности информационных систем обычно выделяют две группы проблем: безопасность компьютера и сетевая безопасность. К безопасно¬сти компьютера относят все проблемы защиты данных, хранящихся и обрабаты¬вающихся компьютером, который рассматривается как автономная система. Эти проблемы решаются средствами операционных систем и приложений, таких как базы данных, а также встроенными аппаратными средствами компьютера. Под сетевой безопасностью понимают все вопросы, связанные с взаимодействием уст¬ройств в сети, это прежде всего защита данных в момент их передачи по линиям связи и защита от несанкционированного удаленного доступа в сеть. И хотя под¬час проблемы компьютерной и сетевой безопасности трудно отделить друг от друга, настолько тесно они связаны, совершенно очевидно, что сетевая безопас¬ность имеет свою специфику. Автономно работающий компьютер можно эффективно защитить от внешних по¬кушений разнообразными способами, например, просто запереть на замок кла¬виатуру или снять жесткий накопитель и поместить его в сейф. Компьютер, ра¬ботающий в сети, по определению не может полностью отгородиться от мира, он должен общаться с другими компьютерами, возможно, даже удаленными от него на большое расстояние, поэтому обеспечение безопасности в сети является зада¬чей значительно более сложной. Логический вход чужого пользователя в ваш компьютер является штатной ситуацией, если вы работаете в сети. Обеспечение безопасности в такой ситуации сводится к тому, чтобы сделать это проникнове¬ние контролируемым - каждому пользователю сети должны быть четко опреде¬лены его права по доступу к информации, внешним устройствам и выполнению системных действий на каждом из компьютеров сети. Помимо проблем, порождаемых возможностью удаленного входа в сетевые ком¬пьютеры, сети по своей природе подвержены еще одному виду опасности - перехвату и анализу сообщений, передаваемых по сети, а также созданию «ложного» трафика. Большая часть средств обеспечения сетевой безопасности направлена на предотвращение именно этого типа нарушений. Вопросы сетевой безопасности приобретают особое значение сейчас, когда при построении корпоративных сетей наблюдается переход от использования выделенных каналов к публичным сетям (Интернет, frame relay). Поставщики услуг публичных сетей пока редко обеспечивают защиту пользовательских данных при их транспортировке по своим магистралям, возлагая на пользователей заботы по их конфиденциальности, целостности и доступности.

Основные понятия безопасности

Конфиденциальность, целостность и доступность данных

Безопасная информационная система - это система, которая, во-первых, защи¬щает данные от несанкционированного доступа, во-вторых, всегда готова предос¬тавить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по опре¬делению обладает свойствами конфиденциальности, доступности и целостности.

• Конфиденциальность (confidentiality) - гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).
• Доступность (availability) - гарантия того, что авторизованные пользователи всегда получат доступ к данным.
• Целостность (integrity) - гарантия сохранности данными правильных значе¬ний, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным. Например, если вы публикуете информацию в Интернете на Web-сервере, и вашей целью является сделать ее доступной для самого широкого круга людей, то конфиден¬циальность в данном случае не требуется. Однако требования целостности и до¬ступности остаются актуальными.

Действительно, если вы не предпримете специальных мер по обеспечению цело¬стности данных, злоумышленник может изменить данные на вашем сервере и нанести этим ущерб вашему предприятию. Преступник может, например, внести такие изменения в помещенный на Web-сервере прайс-лист, которые снизят кон¬курентоспособность вашего предприятия, или испортить коды свободно распро¬страняемого вашей фирмой программного продукта, что безусловно скажется на ее деловом имидже.

Не менее важным в данном примере является и обеспечение доступности дан¬ных. Затратив немалые средства на создание и поддержание сервера в Интер¬нете, предприятие вправе рассчитывать на отдачу: увеличение числа клиентов, количества продаж и т. д. Однако существует вероятность того, что злоумышленник предпримет атаку, в результате которой помещенные на сервер данные станут недоступными для тех, кому они предназначались. Примером таких зло¬намеренных действий может служить «бомбардировка» сервера IP-пакетами с неправильным обратным адресом, которые в соответствии с логикой работы это¬го протокола могут вызывать тайм-ауты, а в конечном счете сделать сервер не¬доступным для всех остальных запросов.

Понятия конфиденциальности, доступности и целостности могут быть определе¬ны не только по отношению к информации, но и к другим ресурсам вычисли¬тельной сети, например внешним устройствам или приложениям. Существует множество системных ресурсов, возможность «незаконного» использования кото¬рых может привести к нарушению безопасности системы. Например, неограни¬ченный доступ к устройству печати позволяет злоумышленнику получать копии распечатываемых документов, изменять параметры настройки, что может при¬вести к изменению очередности работ и даже к выводу устройства из строя. Свойство конфиденциальности, примененное к устройству печати, можно интер¬претировать так, что доступ к устройству имеют те и только те пользователи, ко¬торым этот доступ разрешен, причем они могут выполнять только те операции с устройством, которые для них определены. Свойство доступности устройства означает его готовность к использованию всякий раз, когда в этом возникает не¬обходимость. А свойство целостности может быть определено как свойство неиз¬менности параметров настройки данного устройства. Легальность использования сетевых устройств важна не только постольку, поскольку она влияет на безопас¬ность данных. Устройства могут предоставлять различные услуги: распечатку тек¬стов, отправку факсов, доступ в Интернет, электронную почту и т. п., незаконное потребление которых, наносящее материальный ущерб предприятию, также яв¬ляется нарушением безопасности системы.

Любое действие, которое направлено на нарушение конфиденциальности, цело¬стности и/или доступности информации, а также на нелегальное использование других ресурсов сети, называется угрозой. Реализованная угроза называется ата¬кой. Риск - это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно прове¬денной атаки. Значение риска тем выше, чем более уязвимой является сущест¬вующая система безопасности и чем выше вероятность реализации атаки.

Классификация угроз

Универсальной классификации угроз не существует, возможно, и потому, что нет предела творческим способностям человека, и каждый день применяются новые способы незаконного проникновения в сеть, разрабатываются новые средства мо¬ниторинга сетевого трафика, появляются новые вирусы, находятся новые изъяны в существующих программных и аппаратных сетевых продуктах. В ответ на это разрабатываются все более изощренные средства защиты, которые ставят пре¬граду на пути многих типов угроз, но затем сами становятся новыми объектами атак. Тем не менее попытаемся сделать некоторые обобщения. Так, прежде всего угрозы могут быть разделены на умышленные и неумышленные.

Неумышленные угрозы вызываются ошибочными действиями лояльных сотруд¬ников, становятся следствием их низкой квалификации или безответственности. Кроме того, к такому роду угроз относятся последствия ненадежной работы про¬граммных и аппаратных средств системы. Так, например, из-за отказа диска, кон¬троллера диска или всего файлового сервера могут оказаться недоступными данные, критически важные для работы предприятия. Поэтому вопросы безопас¬ности так тесно переплетаются с вопросами надежности, отказоустойчивости тех¬нических средств. Угрозы безопасности, которые вытекают из ненадежности работы программно-аппаратных средств, предотвращаются путем их совершен¬ствования, использования резервирования на уровне аппаратуры (RAID-масси¬вы, многопроцессорные компьютеры, источники бесперебойного питания, кла¬стерные архитектуры) или на уровне массивов данных (тиражирование файлов, резервное копирование).

Умышленные угрозы могут ограничиваться либо пассивным чтением данных или мониторингом системы, либо включать в себя активные действия, например нарушение целостности и доступности информации, приведение в нерабочее со¬стояние приложений и устройств. Так, умышленные угрозы возникают в резуль¬тате деятельности хакеров и явно направлены на нанесение ущерба предпри¬ятию.

В вычислительных сетях можно выделить следующие типы умышленных угроз:

• незаконное проникновение в одни из компьютеров сети под видом легально¬го пользователя;
• разрушение системы с помощью программ-вирусов;
• нелегальные действия легального пользователя;
• «подслушивание» внутрисетевого трафика.

Незаконное проникновение может быть реализовано через уязвимые места в сис¬теме безопасности с использованием недокументированных возможностей опе¬рационной системы. Эти возможности могут позволить злоумышленнику «обой¬ти» стандартную процедуру, контролирующую вход в сеть.

Другим способом незаконного проникновения в сеть является использование «чу¬жих» паролей, полученных путем подглядывания, расшифровки файла паролей, подбора паролей или получения пароля путем анализа сетевого трафика. Осо¬бенно опасно проникновение злоумышленника под именем пользователя, наде¬ленного большими полномочиями, например администратора сети. Для того чтобы завладеть паролем администратора, злоумышленник может попытаться войти в сеть под именем простого пользователя. Поэтому очень важно, чтобы все пользо¬ватели сети сохраняли свои пароли в тайне, а также выбирали их так, чтобы мак¬симально затруднить угадывание.

Подбор паролей злоумышленник выполняет с использованием специальных про¬грамм, которые работают путем перебора слов из некоторого файла, содержаще¬го большое количество слов. Содержимое файла-словаря формируется с учетом психологических особенностей человека, которые выражаются в том, что чело¬век выбирает в качестве пароля легко запоминаемые слова или буквенные соче¬тания.

Еще один способ получения пароля - это внедрение в чужой компьютер «троян¬ского коня». Так называют резидентную программу, работающую без ведома хозяи¬на данного компьютера и выполняющую действия, заданные злоумышленником. В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.

Программа-«троянский конь» всегда маскируется под какую-нибудь полезную ути¬литу или игру, а производит действия, разрушающие систему. По такому прин¬ципу действуют и программы-вирусы, отличительной особенностью которых яв¬ляется способность «заражать» другие файлы, внедряя в них свои собственные копии. Чаще всего вирусы поражают исполняемые файлы. Когда такой испол¬няемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус. Вирусы могут привести к повреждению или даже полной утрате информации.

Нелегальные действия легального пользователя - этот тип угроз исходит от ле¬гальных пользователей сети, которые, используя свои полномочия, пытаются вы¬полнять действия, выходящие за рамки их должностных обязанностей. Напри¬мер, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам. Однако на предприятии может быть информация, до¬ступ к которой администратору сети запрещен. Для реализации этих ограниче¬ний могут быть предприняты специальные меры, такие, например, как шифрова¬ние данных, но и в этом случае администратор может попытаться получить дос¬туп к ключу. Нелегальные действия может попытаться предпринять и обычный пользователь сети. Существующая статистика говорит о том, что едва ли не по¬ловина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.

«Подслушивание» внутрисетевого трафика - это незаконный мониторинг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно три¬виальной. Еще более усложняется защита от этого типа угроз в сетях с глобаль¬ными связями. Глобальные связи, простирающиеся на десятки и тысячи кило¬метров, по своей природе являются менее защищенными, чем локальные связи (больше возможностей для прослушивания трафика, более удобная для злоумыш¬ленника позиция при проведении процедур аутентификации). Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зави¬сит от того, используются собственные, арендуемые каналы или услуги общедос¬тупных территориальных сетей, подобных Интернету.

Однако использование общественных сетей (речь в основном идет об Интерне¬те) еще более усугубляет ситуацию. Действительно, использование Интернета добавляет к опасности перехвата данных, передаваемых по линиям связи, опас¬ность несанкционированного входа в узлы сети, поскольку наличие огромного числа хакеров в Интернете увеличивает вероятность попыток незаконного проникновения в компьютер. Это представляет постоянную угрозу для сетей, под соединенных к Интернету.

Интернет сам является целью для разного рода злоумышленников. Поскольку Интернет создавался как открытая система, предназначенная для свободного обмена информацией, совсем не удивительно, что практически все протоколы стека TCP/IP имеют «врожденные» недостатки защиты. Используя эти недос¬татки, злоумышленники все чаще предпринимают попытки несанкционирован¬ного доступа к информации, хранящейся на узлах Интернета.

Системный подход к обеспечению безопасности

Построение и поддержка безопасной системы требует системного полхода. В со¬ответствии с этим подходом прежде всего необходимо осознать весь спектр воз¬можных угроз для конкретной сети и для каждой из этих угроз продумать тактику ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы - морально-этические и законодательные, административ¬ные и психологические, защитные возможности программных и аппаратных средств сети.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране. Например, подобно тому как в борьбе против пиратского копирова¬ния Программ в настоящее время в основном используются меры воспитатель¬ного плана, необходимо внедрять в сознание людей аморальность всяческих по¬кушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.

Законодательные средства защиты - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируют¬ся правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил. Правовая регламентация деятельности в области защиты информации имеет целью защи¬ту информации, составляющей государственную тайну, обеспечение нрав потре¬бителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.

"Административные меры - это действия, предпринимаемые руководством пред¬приятия или организации для обеспечения информационной безопасности. К та¬ким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго опре¬деляющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам также относятся правила приобретения предпри¬ятием средств безопасности. Представители администрации, которые несут от¬ветственность за защиту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российски¬ми тестирующими организациями.

Психологически е меры безопасности могут играть значительную роль в укрепле¬нии безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к на¬рушениям защиты. Рассмотрим, например, сеть предприятия, в которой работает много удаленных пользователей. Время от времени пользователи должны ме¬нять пароли (обычная практика для предотвращения их подбора). В данной системе выбор паролей осуществляет администратор. В таких условиях злоумыш¬ленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль. При большом количестве удален¬ных пользователей не исключено, что такой простой психологический прием мо¬жет сработать.

К физическим средствам защиты относятся экранирование помещений для защи¬ты от излучения, проверка поставляемой аппаратуры на соответствие ее специ¬фикациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находят¬ся носители информации, от незаконного проникновения и т. д. и т. п.

Технические средства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства, называемые также службами сетевой безопасности, решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутен¬тификации и авторизации, аудит, шифрование информации, антивирусную за¬щиту, контроль сетевого трафика и много других задач. Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

Политика безопасности

Важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности , которая подразумевает ответы на еле дующие вопросы:

• Какую информацию защищать?
• Какой ущерб понесет предприятие при потере или при раскрытии тех или иных данных?
• Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты?
• Какие средства использовать для защиты каждого вида информации?

Специалисты, ответственные за безопасность системы, формируя политику без¬опасности, должны учитывать несколько базовых принципов. Одним из таких принципов является предоставление каждому сотруднику предприятия того минимально уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей. Учитывая, что большая часть нару¬шений в области безопасности предприятий исходит именно от собственных со¬трудников, важно ввести четкие ограничения для всех пользователей сети, не на¬деляя их излишними возможностями.

Следующий принцип - использование комплексного подхода к обеспечению без¬опасности. Чтобы затруднить злоумышленнику доступ к данным, необходимо предусмотреть самые разные средства безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппара¬туры. Административный запрет на работу в воскресные дни ставит потенциаль¬ного нарушителя под визуальный контроль администратора и других пользовате¬лей, физические средства защиты (закрытые помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только приписанным ему компьютером, встроенные средства сетевой ОС (система аутентификации и авторизации) предотвращают вход в сеть нелегальных пользователей, а для легального пользователя ограничивают возможности только разрешенными для него операциями (подсистема аудита фиксирует его действия). Такая система защиты с многократным резервированием средств безопасности увеличивает ве¬роятность сохранности данных.

Используя многоуровневую систему защиты, важно обеспечивать баланс надежности защиты всех уровней . Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Или если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уров¬не отдельных файлов, но имеется возможность получить жесткий диск и устано¬вить его на другой машине, то все достоинства средств защиты файловой систе¬мы сводятся на нет. Если внешний трафик сети, подключенной к Интернету, проходит через мощный брандмауэр, но пользователи имеют возможность свя¬зываться с узлами Интернета по коммутируемым линиям, используя локально установленные модемы, то деньги (как правило, немалые), потраченные на бранд¬мауэр, можно считать выброшенными на ветер.

Следующим универсальным принципом является использование средств, кото¬рые при отказе переходят в состояние максимальной защиты . Это касается самых различных средств безопасности. Если, например, автоматический пропускной пункт в какое-либо помещение ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти на защищаемую территорию. А если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть. Неприемлемым следова¬ло бы признать устройство, которое бы при отказе пропускало в сеть весь внеш¬ний трафик.

Принцип единого контрольно-пропускного пункта - весь входящий во внутрен¬нюю сеть и выходящий во внешнюю сеть трафик должен проходить через един¬ственный узел сети, например через межсетевой экран (firewall). Только это позволяет в достаточной степени контролировать трафик. В противном случае, когда в сети имеется множество пользовательских станций, имеющих независи¬мый выход во внешнюю сеть, очень трудно скоординировать правила, ограничи¬вающие права пользователей внутренней сети по доступу к серверам внешней сети и обратно - права внешних клиентов по доступу к ресурсам внутренней сети.

Принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение . Ни одна система безопасности не гарантирует защиту данных на уровне 100 %, поскольку является результатом компромисса между возможны¬ми рисками и возможными затратами. Определяя политику безопасности, адми¬нистратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной за¬трат, требуемых на обеспечение безопасности этих данных. Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стан¬дартных средств фильтрации обычного маршрутизатора, в других же можно пой¬ти на беспрецедентные затраты. Главное, чтобы принятое решение было обосно¬вано экономически.

При определении политики безопасности для сети, имеющей выход в Интернет, специалисты рекомендуют разделить задачу на две части: выработать политику доступа к сетевым службам Интернета и выработать политику доступа к ресур¬сам внутренней сети компании.

Политика доступа к сетевым службам Интернета включает следующие пункты:

• Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.
• Определение ограничений на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol) и PPP (Point-to-Point Proto¬col). Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к «запрещенным» службам Интернета обходными путями. Например, если для ограничения доступа к Интернету в сети устанавлива¬ется специальный шлюз, который не дает возможности пользователям рабо¬тать в системе WWW, они могут устанавливать с Web-серверами РРР-соеди-нения по коммутируемой линии. Во избежание этого надо просто запретить использование протокола РРР.
• Принятие решения о том, разрешен ли доступ внешних пользователей из Ин¬тернета во внутреннюю сеть. Если да, то кому. Часто доступ разрешают толь¬ко для некоторых, абсолютно необходимых для работы предприятия служб например электронной почты.

Политика доступа к ресурсам внутренней сети компании может быть выражен в одном из двух принципов:

• запрещать все, что не разрешено в явной форме;
• разрешать все, что не запрещено в явной форме.

В соответствии с выбранным принципом определяются правила обработки внеш¬него трафика межсетевыми экранами или маршрутизаторами. Реализация защи¬ты на основе первого принципа дает более высокую степень безопасности, одна ко при этом могут возникать большие неудобства у пользователей, а кроме того такой способ защиты обойдется значительно дороже. При реализации второг принципа сеть окажется менее защищенной, однако пользоваться ею будет удо нее и потребуется меньше затрат.

Базовые технологии безопасности

В разных программных и аппаратных продуктах, предназначенных для защит данных, часто используются одинаковые подходы, приемы и технические решения. К таким базовым технологиям безопасности относятся аутентификация, авторизация, аудит и технология защищенного канала.

Шифрование

Шифрование - это краеугольный камень всех служб информационной безопасности, будь то система аутентификации или авторизации, средства создания защищенного канала или способ безопасного хранения данных.

Любая процедура шифрования, превращающая информацию из обычного «по¬нятного» вида в «нечитабельный» зашифрованный вид, естественно, должна быть дополнена процедурой дешифрирования, которая, будучи примененной к зашифрованному тексту, снова приводит его в понятный вид. Пара процедур - шифрование и дешифрирование - называется криптосистемой .

Информацию, над которой выполняются функции шифрования и дешифрирования, будем условно называть «текст», учитывая, что это может быть также числовой массив или графические данные.

В современных алгоритмах шифрования предусматривается наличие параметра - секретного ключа . В криптографии принято правило Керкхоффа: «Стойкость шифра должна определяться только секретностью ключа». Так, все стандартные алгоритмы шифрования (например, DES, PGP) широко известны, их детальное описание содержится в легко доступных документах, но от этого их эффективность не снижается. Злоумышленнику может быть все известно об алгоритме шифрования, кроме секретного ключа (следует отметить, однако, что существует немало фирменных алгоритмов, описание которых не публикуется).

Алгоритм шифрования считается раскрытым , если найдена процедура, позволяющая подобрать ключ за реальное время. Сложность алгоритма раскрытия является одной из важных характеристик криптосистемы и называется криптостойкостъю .

Существуют два класса криптосистем - симметричные и асимметричные. В сим¬метричных схемах шифрования (классическая криптография) секретный ключ зашифровки совпадает с секретным ключом расшифровки. В асимметричных схе¬мах шифрования (криптография с открытым ключом) открытый ключ зашифровки не совпадает с секретным ключом расшифровки.

Симметричные алгоритмы шифрования

На рис. 11.1 приведена классическая модель симметричной криптосистемы, теоретические основы которой впервые были изложены в 1949 году в работе Клода Шеннона. В данной модели три участника: отправитель, получатель, злоумышленник. Задача отправителя заключается в том, чтобы по открытому каналу передать некоторое сообщение в защищенном виде. Для этого он на ключе к зашифровывает открытый текст X и передает шифрованный текст Y. Задача получателя заключается в том, чтобы расшифровать Y и прочитать сообщение X. Предполагается, что отправитель имеет свой источник ключа. Сгенерированный ключ заранее по надежному каналу передается получателю. Задача злоумышленника заключается в перехвате и чтении передаваемых сообщений, а также в ими¬тации ложных сообщений.

Модель является универсальной - если зашифрованные данные хранятся в компьютере и никуда не передаются, отправитель и получатель совмещаются в одном лице, а в роли злоумышленника выступает некто, имеющий доступ к компьютеру в ваше отсутствие.

Наиболее популярным стандартным симметричным алгоритмом шифрования данных является DES {Data Enciyption Standard). Алгоритм разработан фирмой IBM и в 1976 году был рекомендован Национальным бюро стандартов к использованию в открытых секторах экономики. Суть этого алгоритма заключается в следующем (рис. 11.2).

Данные шифруются поблочно. Перед шифрованием любая форма представления данных преобразуется в числовую. Эти числа получают путем любой открытой процедуры преобразования блока текста в число. Например, ими могли бы быть значения двоичных чисел, полученных слиянием ASCII-кодов последовательных символов соответствующего блока текста. На вход шифрующей функции поступает блок данных размером 64 бита, он делится пополам на левую (L) и правую (R) части. На первом этапе на место левой части результирующего блока помещается правая часть исходного блока. Правая часть результирующего блока вычисляется как сумма по модулю 2 (операция XOR) левой и правой частей исходного блока. Затем на основе случайной двоичной последовательности по определенной схеме в полученном результате выполняются побитные замены и перестановки. Используемая двоичная последовательность, представляющая собой ключ данного алгоритма, имеет длину 64 бита, из которых 56 действительно случайны, а 8 предназначены для контроля ключа.

Вот уже в течение двух десятков лет алгоритм DES испытывается на стойкость. И хотя существуют примеры успешных попыток «взлома» данного алгоритма, в целом можно считать, что он выдержал испытания. Алгоритм DES широко используется в различных технологиях и продуктах безопасности информационных систем. Для того чтобы повысить криптостойкость алгоритма DES, иногда применяют его усиленный вариант, называемый «тройным UES», который включает троекратное шифрование с использованием двух разных ключей. При этом можно считать, что длина ключа увеличивается с 56 бит до 112 бит, а значит, криптостойкость алгоритма существенно повышается. Но за это приходится платить производительностью - «тройной DES» требует в три раза больше времени, чем «обычный» DES.

В симметричных алгоритмах главную проблему представляют ключи. Во-первых, криптостойкость многих симметричных алгоритмов зависит от качества ключа, это предъявляет повышенные требования к службе генерации ключей. Во-вторых, принципиальной является надежность канала передачи ключа второму участнику секретных переговоров. Проблема с ключами возникает даже в системе С двумя абонентами, а в системе с n абонентами, желающими обмениваться секретными данными по принципу «каждый с каждым», потребуется их(и-1)/2 ключей, которые должны быть сгенерированы и распределены надежным образом. То есть количество ключей пропорционально квадрату количества абонентов, что при большом числе абонентов делает задачу чрезвычайно сложной. Несимметричные алгоритмы, основанные на использовании открытых ключей, снимают эту проблему.

Несимметричные алгоритмы шифрования

В середине 70-х двое ученых - Винфилд Диффи и Мартин Хеллман - описали принципы шифрования с открытыми ключами.

Особенность шифрования на основе открытых ключей состоит в том, что одно¬временно генерируется уникальная пара ключей, таких, что текст, зашифрованный одним ключом, может быть расшифрован только с использованием второго ключа и наоборот.

В модели криптосхемы с открытым ключом также три участника: отправитель, получатель, злоумышленник (рис. 11.3). Задача отправителя заключается в том, чтобы по открытому каналу связи передать некоторое сообщение в защищенном виде. Получатель генерирует на своей стороне два ключа: открытый Е и закрытый D. Закрытый ключ D (часто называемый также личным ключом) абонент должен сохранять в защищенном месте, а открытый ключ Е он может передать всем, с кем он хочет поддерживать защищенные отношения. Открытый ключ используется для шифрования текста, но расшифровать текст можно только с помощью закрытого ключа. Поэтому открытый ключ передается отправителю в незащищенном виде. Отправитель, используя открытый ключ получателя, шифрует сообщение X и передает его получателю. Получатель расшифровывает сообщение своим закрытым ключом D.Рисунок 11.3

Очевидно, что числа, одно из которых используется для шифрования текста, а другое - для дешифрирования, не могут быть независимыми друг от друга, а значит, есть теоретическая возможность вычисления закрытого ключа по открытому, но это связано с огромным количеством вычислений, которые требуют соответственно огромного времени. Поясним принципиальную связь между закрытым и открытым ключами следующей аналогией.

Пусть абонент 1 (рис. 11.4, а) решает вести секретную переписку со своими сотрудниками на малоизвестном языке, например санскрите. Для этого он обзаводится санскритско-русским словарем, а всем своим абонентам посылает русско-санскритские словари. Каждый из них, пользуясь словарем, пишет сообщения на санскрите и посылает их абоненту 1, который переводит их на русский язык, пользуясь доступным только ему санскритско-русским словарем. Очевидно, что здесь роль открытого ключа Е играет русско-санскритский словарь, а роль закрытого ключа D - санскритско-русский словарь. Могут ли абоненты 2, 3 и 4 прочитать чужие сообщения S2, S3, S4, которые посылает каждый из них абоненту 1? Вообще-то нет, так как, для этого им нужен санскритско-русский словарь, обладателем которого является только абонент 1. Но теоретическая возможность этого имеется, так как затратив массу времени, можно прямым перебором составить санскритско-русский словарь по русско-санскритскому словарю. Такая процедура, требующая больших временных затрат, является отдаленной аналогией восстановления закрытого ключа по открытому.

На рис. 11.4, б показана другая схема использования открытого и закрытого ключей, целью которой является подтверждение авторства (аутентификация или электронная подпись) посылаемого сообщения. В этом случае поток сообщений имеет обратное направление - от абонента 1, обладателя закрытого ключа D, к его корреспондентам, обладателям открытого ключа Е. Если абонент 1 хочет аутентифицировать себя (поставить электронную подпись), то он шифрует известный текст своим закрытым ключом D и передает шифровку своим корреспондентам. Если им удается расшифровать текст открытым ключом абонента 1, то это доказывает, что текст был зашифрован его же закрытым ключом, а значит, именно он является автором этого сообщения. Заметим, что в этом случае сообщения S2, S3, S4, адресованные разным абонентам, не являются секретными, так как все они - обладатели одного и того же открытого ключа, с помощью которо¬го они могут расшифровывать все сообщения, поступающие от абонента 1.

Если же нужна взаимная аутентификация и двунаправленный секретный обмен сообщениями, то каждая из общающихся сторон генерирует собственную пару ключей и посылает открытый ключ своему корреспонденту.

Для того чтобы в сети все n абонентов имели возможность не только принимать зашифрованные сообщения, но и сами посылать таковые, каждый абонент должен обладать своей собственной парой ключей Е и D. Всего в сети будет 2n ключей: n открытых ключей для шифрования и n секретных ключей для дешифрирования. Таким образом решается проблема масштабируемости - квадратичная зависимость количества ключей от числа абонентов в симметричных алгоритмах заменяется линейной зависимостью в несимметричных алгоритмах. Исчезает и задача секретной доставки ключа. Злоумышленнику нет смысла стремиться завладеть открытым ключом, поскольку это не дает возможности расшифровывать текст или вычислить закрытый ключ.

Хотя информация об открытом ключе не является секретной, ее нужно защи¬щать от подлогов, чтобы злоумышленник под именем легального пользователя не навязал свой открытый ключ, после чего с помощью своего закрытого ключа он может расшифровывать все сообщения, посылаемые легальному пользователю и отправлять свои сообщения от его имени. Проще всего было бы распространять списки, связывающие имена пользователей с их открытыми ключами широковещательно, путем публикаций в средствах массовой информации (бюллетени, специализированные журналы и т. п.). Однако при таком подходе мы снова, как и в случае с паролями, сталкиваемся с плохой масштабируемостью. Решением этой проблемы является технология цифровых сертификатов. Сертификат - это электронный документ, который связывает конкретного пользователя с конкретным ключом.

В настоящее время одним из наиболее популярных криптоалгоритмов с открытым ключом является криптоалгоритм RSA.

Криптоалгоритм RSA

В 1978 году трое ученых (Ривест, Шамир и Адлеман) разработали систему шифрования с открытыми ключами RSA (Rivest, Shamir, Adleman), полностью отвечающую всем принципам Диффи-Хеллмана. Этот метод состоит в следующем:

• Случайно выбираются два очень больших простых числа р и q.
• Вычисляются два произведения n=pxq и m=(p-l)x(q-l).
• Выбирается случайное целое число Е, не имеющее общих сомножителей с т.
• Находится D, такое, что DE=1 по модулю т.
• Исходный текст, X, разбивается на блоки таким образом, чтобы 0<Х<п.
• Для шифрования сообщения необходимо вычислить С=ХЕ по модулю п.
• Для дешифрирования вычисляется X=CD по модулю п.

Таким образом, чтобы зашифровать сообщение, необходимо знать пару чисел (Е, n), а чтобы дешифрировать - пару чисел (D, n). Первая пара - это открытый ключ, а вторая - закрытый.

Зная открытый ключ (Е, n), можно вычислить значение закрытого ключа D. Необходимым промежуточным действием в этом преобразовании является нахождение чисел р и q, для чего нужно разложить на простые множители очень большое число n, а на это требуется очень много времени. Именно с огромной вычислительной сложностью разложения большого числа на простые множители связана высокая криптоетойкость алгоритма RSA. В некоторых публикациях приводятся следующие оценки: для того чтобы найти разложение 200-значного числа, понадобится 4 миллиарда лет работы компьютера с быстродействием миллион операций в секунду. Однако следует учесть, что в настоящее время активно ведутся работы по совершенствованию методов разложения больших чисел, поэтому в алгоритме RSA стараются применять числа длиной более 200 десятичных разрядов.

Программная реализация криптоалгоритмов типа RSA значительно сложнее и менее производительна, чем реализация классических криптоалгоритмов тип; DES. Вследствие сложности реализации операций модульной арифметики крип тоалгоритм RSA часто используют только для шифрования небольших объемов информации, например для рассылки классических секретных ключей или в алгоритмах цифровой подписи, а основую часть пересылаемой информации шуфруют с помощью симметричных алгоритмов.

В табл.11.1 приведены некоторые сравнительные характеристики киптоалгоритма DES и криптоалгоритма RSA.

Односторонние функции шифрования

Во многих базовых технологиях безопасности используется еще один прием шифрования - шифрование с помощью односторонней функции (one-way function), называемой также хэш-функцией (hash function), или дайджест-функцией (di¬gest function).

Эта функция, примененная к шифруемым данным, дает в результате значение (дайджест), состоящее из фиксированного небольшого числа байт (рис. 11.5, а). Дайджест передается вместе с исходным сообщением. Получатель сообщения, зная, какая односторонняя функция шифрования (ОФШ) была применена для получения дайджеста, заново вычисляет его, используя незашифрованную часть сообщения. Если значения полученного и вычисленного дайджестов совпадают, то значит, содержимое сообщения не было подвергнуто никаким изменениям. Знание дайджеста не дает возможности восстановить исходное сообщение, но зато позволяет проверить целостность данных.

Дайджест является своего рода контрольной суммой для исходного сообщения. Однако имеется и существенное отличие. Использование контрольной суммы является средством проверки целостности передаваемых сообщений по ненадежным линиям связи. Это средство не направлено на борьбу со злоумышленниками, которым в такой ситуации ничто не мешает подменить сообщение, добавив к нему новое значение контрольной суммы. Получатель в таком случае не заметит никакой подмены.

В отличие от контрольной суммы при вычислении дайджеста требуются секрет¬ные ключи. В случае если для получения дайджеста использовалась односторонняя функция с параметром, который известен только отправителю и получателю, любая модификация исходного сообщения будет немедленно обнаружена.

На рис. 11.5, б показан другой вариант использования односторонней функции шифрования для обеспечения целостности данных. В данном случае односто¬ронняя функция не имеет параметра-ключа, но зато применяется не просто к сообщению, а к сообщению, дополненному секретным ключом. Получатель, извле¬кая исходное сообщение, также дополняет его тем же известным ему секретным ключом, после чего применяет к полученным данным одностороннюю функцию. Результат вычислений сравнивается с полученным по сети дайджестом. Рисунок Помимо обеспечения целостности сообщений дайджест может быть использован в качестве электронной подписи для аутентификации передаваемого документа.

Построение односторонних функций является трудной задачей. Такого рода функции должны удовлетворять двум условиям:

• по дайджесту, вычисленному с помощью данной функции, невозможно каким-либо образом вычислить исходное сообщение;
• должна отсутствовать возможность вычисления двух разных сообщений, для которых с помощью данной функции могли быть вычислены одинаковые дайджесты.

Наиболее популярной в системах безопасности в настоящее время является серия хэш-функций MD2, MD4, MD5. Все они генерируют дайджесты фиксированной длины 16 байт. Адаптированным вариантом MD4 является американский стандарт SHA, длина дайджеста в котором составляет 20 байт. Компания IBM поддерживает односторонние функции MDC2 и MDC4, основанные на алгоритме шифрования DES.

Литература

• Сетевые операционные системы/В.Г.Олифер, Н.А.Олифер.-СПб.: Питер,2004.-544 с.:ил.