Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
84
Министерство образования и науки Российской Федерации
Федеральное агентство по образованию
Государственное образовательное учреждение высшего
профессионального образования
"Хабаровская государственная академия экономики и права"
Кафедра информационных технологий
Л.А. Власова
ЗАЩИТА ИНФОРМАЦИИ
Учебное пособие
Хабаровск 2007
ББК У.В6
Х 12
ЗАЩИТА ИНФОРМАЦИИ : учебное пособие для студентов 1–4-го курсов всех специальностей и форм обучения / сост. Л. А. Власова. – Хабаровск : РИЦ ХГАЭП, 2007. – 84 с.
Рецензенты: Д. В.Тимошенко, канд. техн. наук, ст. преподаватель
кафедры ДВС ТОГУ
С. В. Соловьёв, д. физ.-мат. наук, проф. каф ПМиИ ТОГУ
Учебное пособие содержит материал по одному из разделов дисциплин «Информационные системы в экономике» и «Информационные технологии в экономике», посвящённый вопросам информационной безопасности и защиты данных в информационно-вычислительных системах и сетях.
Цель издания – рассмотреть необходимые теоретические сведения об угрозах безопасности, средствах и методах защиты информации в компьютерных системах и сетях.
Пособие предназначено для студентов 1–4-го курсов всех специальностей ХГАЭП.
Утверждено ИБС академии в качестве учебного пособия
для студентов 1–4-го курсов всех специальностей и форм обучения
Учебное издание
Людмила Александровна Власова
ЗАЩИТА ИНФОРМАЦИИ
Учебное пособие
Редактор Г.С. Одинцова
_____________________________________________________________________
Подписано к печати Формат 60х84/16.
Бумага писчая. Офсетная печать. Усл. печ. л. 4,9. Уч.-изд. л. 3,5.
Тираж 200 экз. Заказ № ______
680042, г. Хабаровск, ул. Тихоокеанская, 134, ХГАЭП, РИЦ
© Хабаровская государственная академия экономики и права, 2007
Информатизация является характерной чертой жизни современного общества. Новые информационные технологии активно внедряются во все сферы народного хозяйства.
По мере развития и усложнения средств, методов, форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий.
Актуальность и важность проблемы обеспечения безопасности информационных технологий обусловлены следующими причинами:
В современном мире обработка информации производится с помощью автоматизированных информационных (компьютерных) систем. Автоматизированная система (АС) должна удовлетворять потребностям эксплуатирующих её лиц, т. е. обеспечивать конфиденциальность, целостность, доступность и другие необходимые качества информации:
В отношении автоматизированных информационных систем как программно-аппаратных комплексов применяются иные категории:
Гостехкомиссией определены основные принципы информационной безопасности в АС:
Принцип системности
Системный подход к защите компьютерных систем предполагает необходимость учёта всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов:
При обеспечении информационной безопасности АС необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределённые системы и несанкционированного доступа к информации. Система защиты должна строиться не только с учётом всех известных каналов проникновения, но и с учётом возможности появления принципиально новых путей реализации угроз безопасности.
Принцип комплексности
В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. В частности, современные средства вычислительной техники, операционные системы (ОС), инструментальные и прикладные программные средства обладают определёнными встроенными элементами защиты. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных её компонентов.
Принцип непрерывности защиты
Защита информации – это не разовое мероприятие и даже не конкретная совокупность уже проведённых мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС (начиная с самых ранних стадий проектирования, а не только на этапе её эксплуатации). Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и в конечном счёте позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищённые системы.
Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка: своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т. п. Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления её функционирования.
Разумная достаточность
Создать абсолютно непреодолимую систему защиты принципиально невозможно: при достаточном количестве времени и средств можно преодолеть любую защиту. Например, средства криптографической защиты в большинстве случаев не гарантируют абсолютную стойкость, а обеспечивают конфиденциальность информации при использовании для дешифрования современных вычислительных средств в течение приемлемого для защищающейся стороны времени. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Гибкость системы защиты
Часто приходится создавать систему защиты в условиях большой неопределённости. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровня защищённости средства защиты должны обладать определённой гибкостью. Особенно важно это свойство в тех случаях, когда средства защиты необходимо устанавливать на уже работающую систему, не нарушая процесс её нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельца АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счёт секретности структурной организации и алгоритмов функционирования её подсистем. Знание алгоритма работы системы защиты не должно давать возможности её преодоления (даже автору). Однако это совсем не означает, что информация о конкретной системе должна быть общедоступна – необходимо обеспечить защиту от угрозы раскрытия параметров системы.
Принцип простоты применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей, имен).
Комплексное обеспечение информационной безопасности автоматизированных систем – область науки и техники, охватывающая совокупность криптографических, программно-аппаратных, технических, правовых, организационных методов и средств обеспечения безопасности информации при её обработке, хранении и передаче с использованием современных информационных
технологий.
Во всех цивилизованных странах на страже безопасности граждан стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием технологий, поэтому надёжность работы компьютерных систем во многом опирается на меры самозащиты.
Определим основные понятия информационной безопасности компьютерных систем.
Безопасность АС – защищённость АС от случайного или преднамеренного вмешательства в нормальный процесс её функционирования, а также от попыток хищения, изменения или разрушения её компонентов.
Природа воздействий на АС может быть самой разнообразной. Это и стихийные бедствия, и выход из строя составных элементов АС, и ошибки персонала, и попытка проникновения злоумышленника.
Безопасность АС достигается принятием мер по обеспечению конфиденциальности и целостности компонентов и ресурсов системы.
Доступ к информации – это ознакомление с информацией, её обработка (копирование), модификация или уничтожение. Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации – это доступ, не разрушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа субъектов доступа к объектам доступа.
Субъект – это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы (например, пользователи, процессы или программы).
Объект – пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нём информации.
Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ (НСД) является наиболее распространённым видом компьютерных нарушений.
Конфиденциальность данных – это статус, предоставленный данным и определяющий требуемую степень их защиты, это свойство информации быть известной только допущенным и прошедшим проверку (авторизированным) субъектам системы. Для остальных субъектов системы эта информация должна быть неизвестной.
Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т.е. если не произошло их случайного или преднамеренного искажения или разрушения.
Целостность компонента или ресурса системы – это свойство компонента или ресурса быть неизменным в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.
Доступность компонента или ресурса системы – это свойство компонента или ресурса быть доступным для авторизованных законных субъектов системы.
Под угрозой безопасности АС понимаются возможные воздействия на АС, которые прямо или косвенно могут нанести ущерб её безопасности. Ущерб безопасности подразумевает нарушение состояния защищённости информации, содержащейся и обрабатывающейся в АС.
Уязвимость АС – это некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы.
Атака на компьютерную систему – это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы. Фактически атака является реализацией угрозы безопасности.
Противодействие угрозам безопасности является целью защиты систем обработки информации.
Безопасная или защищённая система – это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.
Комплекс средств защиты представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности АС.
Комплекс создаётся и поддерживается в соответствии с принятой в данной организации политикой безопасности.
Политика безопасности – это совокупность норм, правил и практических рекомендации, регламентирующих работу средств защиты АС от заданного множества угроз безопасности.
Выявление и анализ возможных угроз информационной безопасности проводится с целью определения полного перечня требований к разрабатываемой системе защиты. Под угрозой информационной безопасности АС понимается возможность реализации воздействия на информацию, обрабатываемую в АС, приводящего к искажению уничтожению, копированию, блокированию доступа к информации, а также возможность воздействия на компоненты АС, приводящего к утрате, уничтожению или сбою функционирования носители информации, средства взаимодействия с носителем или средства его управления,
В соответствии с существующими подходами принято считать, что информационная безопасность АС обеспечена в случае, если для любых информационных ресурсов в системе поддерживается определённый уровень конфиденциальности (невозможности несанкционированного получения какой-либо информации), целостности (невозможности несанкционированной или случайной её модификации) и доступности (возможности за разумное время получить требуемую информацию). Соответственно для АС имеет смысл рассматривать три основных вида угроз.
Заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой («утечка»).
Любое умышленное изменение информации, хранящейся в ВС или передаваемой от одной системы в другую.
Возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу АС. Реально блокирование может быть постоянным (запрашиваемый ресурс никогда не будет получен) или оно может вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным (ресурс исчерпан).
Данные виды угроз можно считать первичными или непосредственными, так как если рассматривать понятие угрозы как некоторой потенциальной опасности, реализация которой наносит ущерб информационной системе, то реализация вышеперечисленных угроз приведёт к непосредственному воздействию на защищаемую информацию. В то же время непосредственное воздействие на информацию возможно для атакующей стороны в том случае, если система, в которой циркулирует информация, для неё «прозрачна», т.е. не существует никаких систем защиты или других препятствий.
На современном этапе развития информационных технологий подсистемы или функции защиты являются неотъемлемой частью комплексов по обработке информации. Информация не представляется в чистом виде. На пути к ней имеется хотя бы какая-нибудь система защиты, которую необходимо преодолеть атакующей стороне. Однако не существует абсолютно стойкой системы защиты, вопрос лишь во времени и средствах, требующихся на её преодоление.
Исходя из данных условий приемлемой можно считать следующую модель: защита информационной системы считается преодолённой, если в ходе её исследования определены все уязвимости системы. Поскольку преодоление защиты также представляет собой угрозу, то для защищённых систем рассматривается четвёртый вид угроз – угроза раскрытия параметров АС, включающей в себя систему защиты.
Угрозу раскрытия можно считать опосредствованной, поскольку последствия её реализации не причиняют вред обрабатываемой информации, но дают возможность реализовываться непосредственным угрозам.
Отличие защищённых информационных систем от открытых заключается в том, что для последних угроза раскрытия параметров системы считается
реализованной.
В настоящее время рассматривается достаточно обширный перечень угроз информационной безопасности АС, которые могут быть классифицированы по ряду признаков:
1) по природе возникновения (естественные или искусственные);
2) по степени преднамеренности проявления (случайного действия или преднамеренного);
3) по непосредственному источнику (природная среда, человек, санкционированные программные средства и несанкционированные программные средства);
4) по положению угроз (источник угроз вне контролируемой зоны, в пределах контролируемой зоны, источник имеет доступ к периферийным устройствам и источник которых расположен в АС);
5) по степени зависимости от активности АС (проявляющиеся независимо от активности АС и проявляющиеся только в процессе автоматизированной обработки данных);
6) по степени воздействия на АС (пассивные и активные);
7) по этапам доступа пользователей или программ к ресурсам АС (проявляющиеся на этапе доступа к ресурсам и проявляющиеся после разрешения доступа к ресурсам);
8) по способу доступа к ресурсам АС (направленные на использование прямого стандартного пути доступа к ресурсам и направленные на использование скрытого нестандартного доступа к ресурсам АС);
9) по текущему месту расположения информации, хранимой и обрабатываемой в АС (угрозы доступа к информации на внешнем запоминающем устройстве; угрозы доступа к информации в оперативной памяти; угрозы доступа к информации, циркулирующей в линиях связи; угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере).
Основными видами утечки информации являются:
Несоблюдение персоналом норм, требований, правил эксплуатации АС может быть как умышленным, так и преднамеренным. От ведения противостоящей стороной агентурной разведки этот случай отличает то, что в данном случае лицом, совершающим несанкционированные действия, двигают личные побудительные мотивы. Причины утечки информации тесно связаны с видами утечки информации.
В соответствии с ГОСТ Р 50922-96 рассматриваются три вида утечки информации:
разглашение;
несанкционированный доступ;
получение защищаемой информации разведками (как отечественными, так и иностранными).
Под разглашением информации понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к защищаемой информации.
Под несанкционированным доступом понимается получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть: государство, юридическое лицо, физические лица.
Получение защищаемой информации разведками может осуществляться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка),
Канал утечки информации – совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя. Одним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей АС, или вне её.
Применительно к АС выделяют следующее каналы утечки.
1. Электромагнитный канал.
Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в аппаратных компонентах АС. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки). Электромагнитный канал в свою очередь делится на следующие каналы:
радиоканал (высокочастотное излучение);
низкочастотный канал;
сетевой канал (наводки на сеть электропитания);
канал заземления (наводки на провода заземления);
линейный канал (наводки на линии связи между компьютерными системами).
2. Акустический (виброакустический) канал.
Связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации АС.
3. Визуальный канал.
Связан с возможностью визуального наблюдения злоумышленником за работой устройств отображения информации АС без проникновения в помещения, где расположены компоненты систем. В качестве средства выделения информации в данном случае могут использоваться фото-, видеокамеры и т.п.
4. Информационный канал.
Связан с непосредственным или телекоммуникационным доступом к элементам АС, к носителям информации, к самой вводимой и выводимой информации (и результатам), к программному обеспечению (в том числе к операционным системам), а также с подключением к линиям связи. Информационный канал может быть разделён на следующие каналы:
коммутируемых линий связи;
выделенных линий связи;
локальных сетей;
машинных носителей информации;
терминальных и периферийных устройств.
К основным направлениям реализации злоумышленником информационных угроз относятся:
непосредственное обращение к объектам доступа;
создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;
модификация средств защиты, позволяющая реализовывать угрозы информационной безопасности;
внедрение в технические средства АС программных или технических механизмов, нарушающих предполагаемую структуру и функции АС.
К числу основных методов реализации угроз информационной безопасности АС относятся:
определение злоумышленником типа и параметров носителей информации;
получение злоумышленником информации о программно-аппаратной среде, типе и параметрах средств вычислительной техники, типе и версии операционной системы, составе прикладного программного обеспечения;
получение злоумышленником детальной информации о функциях, выполняемых АС;
получение злоумышленником данных о применяемых системах защиты;
определение способа представления информации;
определение злоумышленником содержания данных, обрабатываемых в АС, на качественном уровне (применяется для мониторинга АС и для дешифрования сообщений);
хищение (копирование) машинных носителей информации, содержащих конфиденциальные данные;
использование специальных технических средств для перехвата побочных электромагнитных излучений и наводок – конфиденциальные данные перехватываются злоумышленником путём выделения информативных сигналов из электромагнитного излучения и наводок по цепям питании средств вычислительной техники, входящей в АС;
уничтожение средств вычислительной техники и носителей информации;
хищение (копирование) носителей информации;
несанкционированный доступ пользователя к ресурсам АС в обход или путём преодоления систем защиты с использованием специальных средств, приёмов, методов;
несанкционированное превышение пользователем своих полномочий;
несанкционированное копирование программного обеспечения;
перехват данных, предаваемых по каналам связи;
визуальное наблюдение – конфиденциальные данные считываются с экранов терминалов, распечаток в процессе их печати и т.д.;
раскрытие представления информации (дешифрования данных);
раскрытие содержания информации на семантическом уровне – доступ к смысловой составляющей информации, хранящейся в АС;
уничтожение машинных носителей информации;
внесение пользователем несанкционированных изменений в программно-аппаратные компоненты АС и обрабатываемые данные;
установка и использование нештатного аппаратного и (или) программного обеспечения;
заражение программными вирусами;
внесение искажений в представление данных, уничтожение данных на уровне представления, искажение информации при передаче по линиям связи;
внедрение дезинформации;
выведение из строя машинных носителей без уничтожения информации
выведение из строя электронных блоков накопителей на жёстких дисках и т. п.;
проявление ошибок проектирования и разработки аппаратных и программных компонентов АС;
обход (отключение) механизмов защиты – загрузка злоумышленником нештатной операционной системы с дискеты, использование отладочных режимов программно-аппаратных компонент АС и т.п.;
искажение соответствия синтаксических и семантических конструкций языка – установление новых значений слов, выражений и т.п.;
запрет на использование информации (блокирование) – имеющаяся информация по каким-либо причинам не может быть использована.
Процесс осуществления атаки на АС включает три этапа. Первый этап, подготовительный, заключается в поиске предпосылок для осуществления той или иной атаки. На этом этапе ищутся уязвимости, использование которых приводит к реализации атаки, т. е. ко второму этапу. На третьем этапе атака завершается, «заметаются» следы и т. д. При этом первый и третий этапы сами по себе могут являться атаками.
Обнаруживать, блокировать и предотвращать атаки можно несколькими путями. Первый способ, и самый распространённый, – это обнаружение уже реализуемых атак. Данный способ функционирует на втором этапе осуществления атаки. Этот способ применяется в «классических» системах обнаружения атак:
• серверах аутентификации;
• системах разграничения доступа;
• межсетевых экранах и т. п.
Основным недостатком средств данного класса является то, что атаки могут быть реализованы повторно. Они также повторно обнаруживаются и блокируются. И так далее, до бесконечности.
Второй путь – предотвратить атаки ещё до их реализации. Осуществляется это путём поиска уязвимостей, которые могут быть использованы для реализации атаки.
И наконец, третий путь – обнаружение уже совершённых атак и предотвращение их повторного осуществления.
Таким образом, системы обнаружения атак могут быть классифицированы по этапам осуществления атаки.
1. Системы, функционирующие на первом этапе осуществления атаки и позволяющие обнаружить уязвимости информационной системы, используемые нарушителем для реализации атаки. Средства этой категории называются системами анализа защищенности (security assessment systems) или сканерами безопасности (security scanners).
Системы анализа защищённости проводят всесторонние исследования систем с целью обнаружения уязвимостей. Результаты, полученные от средств анализа защищённости, представляют «мгновенный снимок» состояния защиты системы в данный момент времени. Несмотря на то что эти системы не могут обнаруживать атаку в процессе её развития, они могут определить возможность реализации атак.
Эти системы реализуют две стратегии. Первая стратегия – пассивная, реализуемая на уровне операционной системы, СУБД и приложений, при которой осуществляется анализ конфигурационных файлов и системного реестра на наличие неправильных параметров, файлов паролей на наличие легко угадываемых паролей, а также других системных объектов на нарушения политики безопасности. Вторая стратегия – активная, осуществляется в большинстве случаев на сетевом уровне. Она заключается в воспроизведении наиболее распространенных сценариев атак и анализе реакции системы на эти сценарии.
2. Системы, функционирующие на втором этапе осуществления атаки и позволяющие обнаружить атаки в процессе их реализации, т.е. в режиме реального (или близкого к реальному) времени. Именно эти средства и принято считать системами обнаружения атак в классическом понимании. Помимо этого в последнее время выделяется новый класс средств обнаружения атак – обманные системы.
Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и прикладного программного обеспечения, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в том числе и использующие известные уязвимости, сравнивая контролируемое пространство (сетевой трафик или журналы регистрации) с известными шаблонами (сигнатурами) несанкционированных действий.
Обманные системы могут использовать следующие методы: сокрытие, камуфляж и дезинформацию. Ярким примером использования первого метода является сокрытие сетевой топологии при помощи межсетевого экрана. Примером камуфляжа можно назвать использование Unix-подобного графического интерфейса в системе, функционирующей под управлением операционной системы Windows NT. Если злоумышленник случайно увидел такой интерфейс, то он будет пытаться реализовать атаки, характерные для ОС Unix, а не для ОС Windows NT . Это существенно увеличит время, необходимое для «успешной» реализации атаки. И наконец, в качестве примера дезинформации можно назвать использование заголовков, которые бы давали понять злоумышленнику, что атакуемая им система уязвима.
Системы, реализующие камуфляж и дезинформацию, эмулируют те или иные известные уязвимости, которых в реальности не существует. Использование таких систем приводит к следующему.
• Увеличение числа выполняемых нарушителем операций и действий. Так как невозможно заранее определить, является ли обнаруженная нарушителем уязвимость истинной или нет, злоумышленнику приходится выполнять много дополнительных действий, чтобы выяснить это. И даже дополнительные действия не всегда помогают. Например, попытка запустить программу подбора паролей на сфальсифицированный и несуществующий в реальности файл приведёт к бесполезной трате времени без какого-либо видимого результата. Нападающий будет думать, что он не смог подобрать пароли, в то время как на самом деле программа «взлома» была просто обманута.
• Получение возможности отследить нападающих. За тот период времени, когда нападающие пытаются проверить все обнаруженные уязвимости, в том числе и фиктивные, администраторы безопасности могут проследить весь путь до нарушителя или нарушителей и предпринять соответствующие меры.
3. Системы, функционирующие на третьем этапе осуществления атаки и позволяющие обнаружить уже совершённые атаки. Эти системы делятся на два класса – системы контроля целостности, обнаруживающие изменения контролируемых ресурсов, и системы анализа журналов регистрации.
Системы контроля целостности работают по замкнутому циклу, обрабатывая файлы, системные объекты и атрибуты системных объектов с целью получения контрольных сумм; затем они сравнивают их с предыдущими контрольными суммами, отыскивая изменения. Когда изменение обнаружено, система посылает сообщение администратору, фиксируя вероятное время изменения.
Существует ещё одна распространённая классификация систем обнаружения нарушения политики безопасности – по принципу реализации: host-based, т.е. обнаруживающие атаки, направленные на конкретный узел сети, и network-based, направленные на всю сеть или сегмент сети. Существуют три основных вида систем обнаружения атак на уровне узла.
4. Системы, обнаруживающие атаки на конкретные приложения.
5. Системы, обнаруживающие атаки на операционные системы.
6. Системы, обнаруживающие атаки на системы управления базами данных (СУБД).
Информационная безопасность компьютерных систем обеспечивается рядом мероприятий, проводящихся в двух основных направлениях:
• обеспечение целостности данных;
• защита информации от несанкционированного доступа.
Целостность данных подразумевает их неизменность (физическую целостность) и непротиворечивость (логическую целостность). Поддержание неизменности данных включает:
1) защиту от случайного удаления или повреждения в результате действий пользователя или сбоев в работе программных систем;
2) защиту от разрушающих действий компьютерных вирусов.
Смежным вопросом является разработка методов оценки и обеспечения надежности функционирования программных информационных систем. Надёжная АС предполагает:
точное и своевременное выполнение всех функций;
отсутствие ошибок в программных и аппаратных средствах;
наличие функций предупреждения сбоев и отказов при возникновении ошибок;
оперативное восстановление работоспособности системы после возникновения ошибок;
наличие функций резервирования информации и поддержания эталонного состояния рабочей среды компьютера.
По данным исследовательского центра DataPro Research, опубликованным в 1998 году, основные причины повреждений электронной информации распределились следующим образом:
неумышленная ошибка человека – 52% случаев;
умышленные действия человека – 10% случаев;
отказ техники – 10% случаев;
повреждения в результате пожара – 15% случаев;
повреждения водой – 10% случаев.
Как видно, в половине случаев причиной повреждения или потери информации стали ошибочные действия пользователей, что заставляет предпринимать дополнительные меры по её защите, даже если информация не является
конфиденциальной.
Основные мероприятия по защите целостности данных:
резервирование (создание копий) данных;
обеспечение доступа к данным в режиме «только для чтения» (запрет изменения);
защита данных (файлов и папок) от удаления.
В сетевых операционных системах вопросы защиты целостности данных решаются средствами разграничения доступа (блокировка возможности доступа, запрет на изменение, мониторинг использования файлов). К сожалению, средствами операционной системы Windows XP невозможно защитить файлы от удаления. Windows XP позволяет устанавливать атрибут файла «только для чтения», «скрытый» и делать файлы невидимыми в окне Проводника. Это может служить определённой защитой от ошибочных действий пользователя. Однако и эти файлы могут быть удалены (например, при удалении содержащей их папки).
Как сохранность данных, так и надёжная работа программного обеспечения невозможны без решения задачи их защиты от разрушающих воздействий компьютерных вирусов. Немаловажную роль при этом играет знание путей попадания вируса в компьютерную систему и соблюдение мер предосторожности при выполнении потенциально опасных действий (или отказ от их выполнения). Вместе с тем надёжная защита от вирусов может быть обеспечена только с использованием специальных антивирусных программных средств.
В рамках направления защиты конфиденциальной информации необходимы: организация контроля доступа к информации, защита информации от действий нелегальных пользователей и от несанкционированных действии легальных пользователей. Если речь идёт об авторских программных системах, важным вопросом является защита данных от копирования.
Наиболее распространёнными мероприятиями защиты конфиденциальной информации являются:
разграничение доступа к данным;
парольная защита;
шифрование;
скрытие данных;
уничтожение остаточных данных;
защита от копирования программных систем.
Большинство сетевых операционных систем располагают развитыми средствами разграничения доступа и защиты от несанкционированного доступа (НСД). Для скрытия и шифрования данных могут использоваться специальные утилиты.
Проблема остаточных данных вызвана типичной схемой удаления файлов: запись о файле удаляется из специальной базы данных ОС – таблицы размещения файлов (FАТ), а занимаемое им место на диске помечается как свободное. Таким образом, производится логическое, но не физическое удаление файла. Незащищённая конфиденциальная информация может быть прочитана из остаточных данных с помощью специальных утилит.
Уничтожение остаточных данных подразумевает возможность полного удаления файлов на физическом уровне, очистку свободного дискового пространства, включая данные из хвостовых частей последних кластеров файлов. Эти возможности должны обеспечиваться средствами защищённой операционной системы, Windows XP не выполняет подобных функций.
MS Office располагает собственными средствами защиты документов. Для документов MS Office имеются возможности: ограничить доступ к документу (парольная защита открытия документа, шифрование), установить запрет на изменение документа или его частей, скрыть часть документа (MS Exсel). Кроме того, приложение MS Access позволяет установить защиту на уровне пользователя. Этот способ защиты реализует контроль доступа к объектам базы данных и подобен методам разграничения доступа, используемым в большинстве сетевых систем.
Можно выделить несколько обобщенных категорий методов защиты от НСД, в частности:
• организационные;
• технологические;
• правовые.
К первой категории относятся меры и мероприятия, регламентируемые внутренними инструкциями организации, эксплуатирующей информационную систему. Например, присвоение грифов секретности документам и материалам, хранящимся в отдельном помещении, и контроль доступа к ним сотрудников.
Вторую категорию составляют механизмы защиты, реализуемые на базе программно-аппаратных средств, например, систем идентификации и аутентификации или охранной сигнализации.
Последняя категория включает меры контроля за исполнением нормативных актов общегосударственного значения, механизмы разработки и совершенствования нормативной базы, регулирующей вопросы защиты информации. Реализуемые на практике методы, как правило, сочетают в себе элементы нескольких из перечисленных категорий.
Идентификация и аутентификация – взаимосвязанные методы защиты от НСД, при их реализации часто используется криптографическое преобразование информации (шифрование).
Идентификация – это присвоение пользователям идентификатора и проверка предъявляемых идентификаторов по списку присвоенных.
Аутентификация – это проверка принадлежности пользователю предъявленного им идентификатора (подтверждение или проверка подлинности).
Под безопасностью (стойкостью) системы идентификации и аутентификации понимается степень обеспечиваемых ею гарантий того, что злоумышленник не способен пройти аутентификацию от имени другого пользователя.
Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой информационной системы.
Различают три группы методов аутентификации, основанных на наличии у каждого пользователя:
индивидуального объекта заданного типа;
знаний некоторой известной только ему и проверяющей стороне
информации;
индивидуальных биометрических характеристик.
К первой группе относятся методы аутентификации, использующие удостоверения, пропуска, магнитные карты и другие носимые устройства, которые широко применяются для контроля доступа в помещения, а также входят в состав программно-аппаратных комплексов защиты от НСД к средствам вычислительной техники.
Во вторую группу входят методы аутентификации, использующие пароли. По экономическим причинам они включаются в качестве базовых средств защиты во многие программно-аппаратные комплексы защиты информации. Все современные операционные системы и многие приложения имеют встроенные механизмы парольной защиты.
Применение методов аутентификации, основанных на измерении и сравнении с эталоном заданных индивидуальных характеристик пользователя: тембра голоса, отпечатков пальцев, структуры радужной оболочки глаза, сдерживается высокой стоимостью необходимого оборудования.
Если в процедуре аутентификации участвуют только две стороны, устанавливающие подлинность друг друга, то такая процедура называется непосредственной аутентификацией. Если же в процессе аутентификации участвуют не только эти стороны, но и другие, вспомогательные, говорят об аутентификации с участием доверенной стороны. При этом третью сторону называют сервером аутентификации или арбитром.
Требования по работе с конфиденциальной информацией
Уровень конфиденциальности информации является одной из самых важных категорий, принимаемых в рассмотрение при создании определённой политики безопасности.
Классификация по степени конфиденциальности – одна из основных и наиболее старых классификаций данных. Она применялась ещё задолго до появления вычислительной техники и с тех пор изменилась незначительно. Например, коммерческую информацию можно условно разбить на 4 класса по уровню её конфиденциальности в соответствии со следующей схемой (табл. 1).
Таблица 1
Классификация конфиденциальной информации
|
Класс |
Тип информации |
Описание |
Примеры |
|
0 |
Открытая информация |
Общедоступная информация |
Информационные брошюры, сведения, публиковавшиеся в СМИ |
|
1 |
Внутренняя информация |
Информация, недоступная в открытом виде, но не несущая никакой опасности при её раскрытии |
Финансовые отчёты и тестовая информация за давно прошедшие периоды, отчеты об обычных заседаниях и встречах, внутренний телефонный справочник фирмы |
|
2 |
Конфиденцальная информация |
Раскрытие информации ведёт к значительным потерям на рынке |
Реальные финансовые данные, планы, проекты, полный набор сведений о клиентах, информация о бывших и нынешних проектах с нарушениями этических норм |
|
3 |
Секретная информация |
Раскрытие информации ведёт к финансовой гибели компании |
(Зависит от ситуации) |
Различные классы конфиденциальной информации необходимо снабжать различными по уровню безопасности системами техниче ских и административных мер.
При работе с информацией 1-го класса конфиденциальности ре комендуется выполнение следующих требований:
осведомление сотрудников о закрытости данной информации;
общее ознакомление сотрудников с основными возможными методами атак на информацию;
ограничение физического доступа;
полный набор документации по правилам выполнения опера ций с данной информацией
При работе с информацией 2-го класса конфиденциальности к перечисленным выше требованиям добавляются следующие:
расчёт рисков атак на информацию;
поддержание списка лиц, имеющих доступ к данной информации;
по возможности выдача подобной информации под расписку (в том числе электронную);
автоматическая система проверки целостности системы и её средств безопасности;
надёжные схемы физической транспортировки;
обязательное шифрование при передаче по линиям связи;
схема бесперебойного питания ЭВМ.
При работе с информацией 3-го класса конфиденциальности ко всем перечисленным выше требованиям добавляются следующие:
детальный план спасения либо надежного уничтожения информации в аварийных ситуациях (пожар, наводнение, взрыв);
защита ЭВМ либо носителей информации от повреждения водой и высокой температурой;
криптографическая проверка целостности информации.
Методика создания политики безопасности учреждения, организации или предприятия состоит из учёта основных (наиболее опасных) рисков информационных атак, современной ситуации, факторов непреодолимой силы и стоимости программы обеспечения безопасности.
Политика безопасности – это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные направления разработки политики безопасности:
определение, какие данные и насколько серьёзно необходимо защищать;
определение, кто и какой ущерб может нанести фирме в информационном аспекте;
вычисление рисков и определение схемы уменьшения их до приемлемой величины.
Существуют две системы исследования ситуации в области информационной безопасности на предприятии: методы «снизу вверх» и «сверху вниз». Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на схеме: «Вы – злоумышленник. Ваши действия?». То есть служба информационном безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, возможна ли такая атака со стороны реального злоумышленника.
Метод «сверху вниз» представляет собой, наоборот, летальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состоянии системы информационной безопасности с целью определении, какие из классических методик защиты информации уже реализованы, в каком объёме и на каком уровне. На третьем этапе производится классификация всех информационных объектов в соответствии с их конфиденциальностью, требованиями к доступности и целостности (неизменности).
Далее следует выяснение, насколько серьёзный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название вычисление рисков. Согласно одной из самых простых схем вычисления рисков риском называется произведение возможного ущерба от атаки на вероятность такой атаки.
Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации или работающий с нею персонал. Каковы возможные последствия атак на информации? В первую очередь, конечно, интерес представляют экономические эффекты.
1. Раскрытие коммерческой информации может привести к серьёзным прямым убыткам на рынке.
2. Известие о краже большого объёма информации обычно серьёзно влияет на репутацию фирмы, приводя косвенно к потерям в объёмах торговых операций.
3. Фирмы-конкуренты могут воспользоваться кражей информации, если та осталась незамеченной, для того чтобы полностью разорить фирму, навязывая ей фиктивные либо заведомо убыточные сделки.
4. Подмена информации как на этапе передачи, так и на этапе хранения в фирме может привести к серьёзным убыткам.
5. Многократные успешные атаки на фирму, представляющую какой-либо вид информационных услуг, снижают доверие к фирме у клиентов, что сказывается на объёме доходов.
Таблица 2
Оценка ущерба от атаки
|
Величина ущерба |
Описание |
|
0 |
Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме. |
|
1 |
Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты. |
|
2 |
Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально. |
|
3 |
Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов. |
|
4 |
Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы. |
|
5 |
Фирма прекращает существование. |
Ущерб от совершенной атаки может выражаться в форме:
прямых финансовых потерь, упущенной выгоды, морального ущерба.
Ущерб от атаки может быть вычислен количественно или оценен на качественном уровне с последующим присвоением каждому уровню некоторой количественной характеристики. Во втором случае величина ущерба оценивается неотрицательном числом, например, следующим образом (табл. 2).
Вероятность атаки также представляется неотрицательным числом, например, в соответствии с табл. 3.
Таблица 3
Оценка вероятности атаки
|
Вероятность |
Средняя частота появления |
|
0 |
Данный вид атаки отсутствует |
|
1 |
Реже, чем 1 раз в год |
|
2 |
Около 1 раза в год |
|
3 |
Около 1 раза в месяц |
|
4 |
Около 1 раза в неделю |
|
5 |
Практически ежедневно |
1'9
Оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.
На следующем этапе составляется таблица рисков предприятия (табл.4).
Таблица 4
Оценка рисков предприятия
|
Описание атаки |
Ущерб |
Вероятность |
Риск (Ущерб * Вероятность) |
|
Спам переполнение почтового ящика) Копирование жёсткого диска из центрального офиса … |
1 3 … |
4 1 … |
4 3 2 |
|
Итого |
9 |
На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например, значением 7.
Сначала проверяется каждая строка таблицы на непревышение риска этого значения. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки политики безопасности.
Затем производится сравнение удвоенного значения (7 х 2 = 14) с интегральным риском (ячейка «Итого»). Если интегральный риск превышает допустимое значение, значит, в системе имеется множество мелких недостатков в системе безопасности, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк таблицы рисков выбираются те, которые дают самый значительный вклад в значение интегральною риска, и производится попытка их уменьшить или устранить полностью.
На самом ответственном этапе производится собственно разработка политики безопасности предприятия, которая обеспечит надлежащие уровни как отдельных рисков, так и интегрального риска. При её разработке необходимо, однако, учитывать объективные проблемы, которые могут встать на пути реализации политики безопасности. Такими проблемами могут стать законы страны и международного сообщества, внутренние требования корпорации, этические нормы общества.
После описания всех технических и административных мер, планируемых к реализации, производится расчёт экономической стоимости данной программы. В том случае, когда финансовые вложе ния в программу безопасности являются неприемлемыми или просто экономически невыгодными по сравнению с потенциальным ущербом от атак, производится возврат на уровень, где задавалось значение максимально допустимого риска (7 в нашем примере) и увеличение его на один или два пункта.
В целом выбор мероприятий защиты информации производится исходя из желаемого выполнения двух условий:
Завершается разработка политики безопасности её утверждением у руководства фирмы и детальным документированием. За этим должна следовать активная реализация всех указанных в плане компонентов. Перерасчёт таблицы рисков и, как следствие, модификация политики безопасности фирмы, как правило, производятся раз в два года.
Компьютерным вирусом называется специально написанная программа, способная создавать свои копии и внедрять их в файлы, системные области компьютера, вычислительные сети и т. п. При этом копии сохраняют способность дальнейшего распространения. Назначением компьютерного вируса является выполнение несанкционированных действий на несущем компьютере.
Появились компьютерные вирусы в начале 80-х годов, их количество постоянно растёт: в 1990 году было известно около 500 вирусов; в 1992 году – 3000 вирусов; в 1996 году – более 9000 вирусов, причём ежедневно появляется от 6 до 9 новых. Россия – лидер по производству компьютерных вирусов.
По среде обитания выделяют следующие основные типы компьютерных вирусов: программные (файловые); загрузочные; макровирусы.
Особым видом компьютерных вирусов являются троянские программы (троянские кони, троянцы) – они маскируются под полезное программное обеспечение, часто с помощью имён, сходных с названиями известных программ. Обманутый таким образом пользо ватель сам запускает троянца на своём
компьютере.
Программные вирусы – это блоки программного кода, целенаправленно внедрённые внутрь других прикладных программ и других исполняемых файлов. Компьютерные вирусы этого типа поражают файлы с расширениями СОМ, ЕХЕ, SYS, ВАТ, DLL. При запуске программы, содержащей вирус, происходит запуск внедрённого в неё программного кода вируса. Работа этого кода вызывает скрытые от пользователя изменения в файловой системе жёстких дисков и (или) в содержании других программ. Вирус может размножаться (воспроизводить себя в теле других программ) и производить разрушающие действия (нарушать работу программ и операционной системы, удалять информацию, хранящуюся на жёстком диске, форматировать диск и даже уничтожать данные BIOS), т.е. производить вирусную атаку.
Программные вирусы поступают на компьютер при запуске непроверенных программ, полученных на внешнем носителе (гибкий диск, компакт-диск) или принятых из Интернета.
Загрузочные вирусы в отличие от программных поражают определённые системные области магнитных носителей (дискет, жёсткого диска). Кроме того, на включённом компьютере они могут временно располагаться в оперативной памяти.
Обычно заражение происходит при попытке загрузить компьютер с магнитного носителя (системной дискеты), системная область которого содержит загрузочный вирус.
Существуют и файлово-загрузочные вирусы, которые могут поражать как файлы, так и загрузочные сектора.
Макровирусы. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд (документы текстового процессора MS Word, табличного процессора MS Ехсе1). Заражение происходит при открытии документа в окне приложения, если не отключена возможность исполнения
макрокоманд.
Возможно подразделение компьютерных вирусов и по другим характерным признакам: способу заражения, деструктивным возможностям, особенностям
алгоритма.
Классификация вирусов по способу заражения:
а) резидентные – при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения и внедряется в них. Эти вирусы находятся в памяти и являются активными до выключения компьютера;
б) нерезидентные – не заражают память компьютера и активны только ограниченное время.
Классификация по деструктивным возможностям:
а) безвредные – никак не влияют на работу компьютерной системы, кроме уменьшения свободной памяти на диске в результате своего распространения;
б) неопасные – вирусы, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
в) опасные – могут привести к серьёзным сбоям в работе;
г) очень опасные – приводят к потере программ, уничтожению данных.
Классификация по особенностям алгоритма:
а) компаньон-вирусы создают для ЕХЕ-файлов файлы-спутники, имеющие то же самое имя, но с расширением *.com. ОС МS DOS первым выполнит com-файл (вирус), а затем запустит и exe-файл;
б) вирусы «черви» – вариант компаньон-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои ко пии на дисках, никаким образом не изменяя других файлов;
в) паразитические – все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов;
г) «студенческие» – примитивные вирусы, часто нерезидентные и содержащие большое число ошибок;
д) стелс-вирусы – весьма совершенные программы, перехватывают обращение ОС к поражённым файлам или секторам дисков и подставляют вместо себя незаражённые участки информации, что затрудняет их обнаружение;
е) полиморфик-вирусы (призраки) – трудно обнаруживаемые, так как не содержат ни одного постоянного участка кода. Достигается этот эффект шифрованием основного тела вируса и модификациями программы-расшифровщика;
ж) макровирусы – используют возможности макроязыка VВА (Visual Basic for Application);
з) сетевые вирусы (сетевые «черви»} – распространяются в компьютерной сети, но не изменяют файлы и сектора на дисках. Для распространения используют сетевые протоколы и «дыры» в сетевом программном обеспечении. Часто выполняют шпионские действия – кражу паролей, установление удалённого несанкционированного управления заражённым компьютером.
Обычные программные и макровирусы также могут распространяться через компьютерные сети, заражая файлы, размещённые на «общих» дисках, на серверах и в сети Интернет.
О заражении компьютерным вирусом могут свидетельствовать следующие признаки:
частые беспричинные «зависания» компьютера;
замедленная, по сравнению с обычной, загрузка программ;
изменение размеров файлов;
уменьшение объёма доступной оперативной памяти.
Существует три рубежа защиты от компьютерных вирусов:
Существует три типа реализации защиты:
К средствам антивирусной защиты относятся:
Основным средством защиты информации является резервное копирование наиболее ценных данных. В случае утраты информации по причине заражения вирусом жёсткие диски переформатируют и подготавливают к новой эксплуатации. На «чистый» отформатированный диск устанавливают операционную систему с дистрибутивного компакт-диска, затем под её управлением устанавливают все необходимое программное обеспечение с дистрибутивных носителей. Восстановление компьютера завершается восстановлением данных, которые берут с резервных носителей.
Резервные копии должны храниться отдельно от компьютера. Так, например, резервирование информации на отдельном жёстком диске того же компьютера только создаёт иллюзию безопасности. Относительно новым и достаточно надёжным приёмом хранения ценных, но неконфиденциальных данных, является их хранение в web-папках на удалённых серверах в сети Интернет. Есть службы, бесплатно представляющие пространство (до нескольких мегабайт) для хранения данных пользователя.
Резервные копии конфиденциальных данных сохраняют на внешних носителях, которые хранят в сейфах, желательно в отдельных помещениях. При разработке организационного плана резервного копирования учитывают необходимость создания не менее двух резервных копий, сохраняемых в разных местах. Между копиями осуществляют ротацию.
К другим организационным мерам защиты от вирусов относится соблюдение следующих правил:
• использование только лицензионного программного обеспечения, полученного из надёжных источников;
• ограничение круга лиц, имеющих доступ к компьютеру;
• соблюдение правил безопасности при работе в сети Интернет;
• обязательная проверка дискет с помощью антивирусной программы перед использованием;
• периодическое сканирование жесткого диска с помощью антивирусной программы;
• своевременное регулярное обновление антивирусных баз.
Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Так, например, отключение перемычки на материнской плате не позволит осуществить стирание перепрограммируемой микросхемы ПЗУ (флэш-BIOS), независимо от того, кто это будет пытаться сделать: компьютерный вирус, злоумышленник или неаккуратный
пользователь.
Существует достаточно много программ антивирусной защиты. Наиболее известные: Norton Antivirus фирмы «Symantec» и АVP (AntiViral Toolkit Pro) лаборатории Касперского. Они представляют следующие возможности.
1. Создание образа жёсткого диска на внешних носителях (например, на гибких дисках). В случае выхода из строя данных в системных областях жёсткого диска сохранённый образ диска может позволить восстановить большую часть данных. Это же средство может защитить от утраты данных при аппаратных сбоях и при неаккуратном форматировании жёсткого диска.
2. Регулярное сканирование жёстких дисков в поисках компьютерных вирусов. Сканирование обычно выполняется автоматически при каждом включении компьютера и при размещении внешнего диска в считывающем устройстве.
При сканировании следует иметь в виду, что антивирусная программа ищет вирус путём сравнения кода программ с кодами известных ей вирусов, хранящимися в базе данных. Если база устарела, а вирус является новым, сканирующая программа его не обнаружит. Для надёжной работы антивирусной программы следует регулярно обновлять антивирусные базы. Например, разрушительные последствия атаки вируса W95.CIH.1075 («Чернобыль»), вызвавшего уничтожение информации на сотнях тысяч компьютеров 26 апреля 1999г., были связаны не с отсутствием средств защиты от него, а с длительной задержкой (более года) в обновлении этих средств. Разработчики антивирусного пакета АVP рекомендуют обновлять базы один раз в две недели и считают допустимой периодичность обновления один раз в три месяца. Базы Norton Antivirus обновляются один раз в месяц.
3. Контроль изменения размеров и других атрибутов файлов. Поскольку некоторые компьютерные вирусы на этапе размножения изменяют параметры заражённых файлов, контролирующая программа может обнаружить их деятельность и предупредить пользователя.
4. Контроль обращений к жёсткому диску. Поскольку наиболее опасные операции, связанные с работой компьютерных вирусов, так или иначе обращены на модификацию данных, записанных на жёстком диске, антивирусные программы могут контролировать обращения к нему и предупреждать пользователя о подозрительной активности.
По назначению выделяют следующие виды антивирусных программ:
сканеры, ревизоры, резидентные мониторы, иммунизаторы.
Принцип работы сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых вирусов. Для поиска известных вирусов используются маски вируса (маска – некоторая постоянная последовательность кода, специфичная для конкретного вируса).
Существуют две категории сканеров: универсальные (на все виды вирусов) и специализированные (на определённый тип вирусов, например, макровирусов). Достоинством сканеров является их универсальность, недостатком – большие размеры антивирусных баз и небольшая скорость поиска вирусов.
Работа ревизоров диска базируется на подсчёте контрольных сумм для имеющихся файлов и системных секторов. Эти суммы (длины файлов, даты последней модификации и т. д.) сохраняются в базе данных антивируса. При последующем запуске антивирусная программа сверяет данные, содержащиеся в базе, с реальными и сигнализирует об изменении файлов или заражении их вирусом.
Недостатками являются: а) неспособность поймать вирус в момент его появления в системе; б) невозможность определить вирус в новых файлах (в электронной почте, на дискете).
Часто ревизоры и сканеры объединяют в одну антивирусную программу.
Резидентные мониторы – программы, постоянно находящиеся в оперативной памяти и контролирующие операции, которые производятся с диском и оперативной памятью. Позволяют обнаруживать вирус до момента реального заражения системы.
Недостатком является уменьшение размера свободной оперативной памяти, а также замедление работы, поскольку мониторы работают в интерактивном режиме, сообщая пользователю о заражённых объектах.
Иммунизаторы делятся на два типа:
1) иммунизаторы, сообщающие о заражении;
2) иммунизаторы, блокирующие заражение каким-либо типом вируса.
Первые из них обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток – невозможность сообщить о заражении стелс-вирусом.
Иммунизаторы второго типа защищают систему от заражения каким-либо определённым типом вируса. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже заражённые. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на неё и считает, что система уже заражена. Такой тип иммунизации не универсален, однако может служить дополнительной мерой защиты от новых неизвестных вирусов.
Современные антивирусные программы, как правило, снабжены мощными эвристическими механизмами для борьбы с ещё неизвестными вирусами. Работа таких механизмов основана на том, что по характерным для вирусов участков кода можно с определённой степенью вероятности утверждать о наличии неизвестного программе вируса в объекте. Этот механизм может давать ложные срабатывания (детектирование вируса в незараженном объекте), однако для качественной эвристики их процент минимален.
Наиболее распространённые методы аутентификации основаны на применении многоразовых и одноразовых паролей.
Эти методы включают следующие разновидности способов аутентификации:
В первую разновидность способов входят системы аутентификации, предполагающие наличие у обеих сторон копии пароля или его свёртки. Для организации таких систем требуется создать и поддерживать базу данных, содержащую пароли или свертки паролей всех пользователей. Их слабой стороной является то, что получение злоумышленником этой базы данных позволяет ему проходить аутентификацию от имени любого пользователя.
Способы, составляющие вторую разновидность, обеспечивают более высокую степень безопасности парольной системы, так как проверочные значения, хотя и зависят от паролей, не могут быть непосредственно использованы злоумышленником для аутентификации.
Аутентификация, без предоставления проверяющей стороне какой бы то ни было информации о пароле, обеспечивает наибольшую степень защиты. Этот способ гарантирует безопасность, даже если нарушена работа проверяющей стороны.
Особым подходом в технологии проверки подлинности являются криптографические протоколы аутентификации. Такие протоколы описывают последовательность действий, которую должны совершить стороны для взаимной аутентификации, кроме того, эти действия, как правило, сочетаются с генерацией и распределением криптографических ключей для шифрования последующего информационного обмена. Корректность протоколов аутентификации вытекает из свойств задействованных в них математических и криптографических преобразований и может быть строго доказана.
Обычные парольные системы проще и дешевле для реализации, но менее безопасны, чем системы с криптографическими протоколами. Последние обеспечивают более надёжную защиту и дополнительно решают задачу распределения ключей. Однако используемые в них технологии могут быть объектом законодательных ограничений.
Основные определения, используемые в парольных системах.
Идентификатор пользователя – некоторое уникальное количество информации, позволяющее различать индивидуальных пользователей парольной системы (проводить их идентификацию). Часто идентификатор также называют именем пользователя или именем учётной записи пользователя.
Пароль пользователя – некоторое секретное количество информации, известное только пользователю и парольной системе, которое может быть запомнено пользователем и предъявлено для прохождения процедуры аутентификации. Одноразовый пароль дает возможность пользователю однократно пройти аутентификацию. Многоразовый пароль может быть использован для проверки подлинности повторно.
Учётная запись пользователя – совокупность его идентификатора и его
пароля.
База данных пользователей (БД) содержит учётные записи всех пользователей данной парольной системы.
Под парольной системой понимается программно-аппаратный комплекс, реализующий системы идентификации и аутентификации пользователей АС на основе одноразовых и многоразовых паролей. Как правило, такой комплекс функционирует совместно с подсистемами разграничения доступа и регистрации событий. В отдельных случаях парольная система может выполнять ряд дополнительных функций, в частности, генерацию и распределение кратковременных (сеансовых) криптографических ключей.
Основными компонентами парольной системы являются:
Парольная система представляет собой «передний край обороны» всей системы безопасности. Некоторые её элементы (в частности, реализующие интерфейс пользователя) могут быть расположены в местах, открытых для доступа потенциальному злоумышленнику. Поэтому парольная система становится одним из первых объектов атаки при вторжении злоумышленника в защищённую систему.
К типам угроз безопасности парольных систем относятся:
1. Разглашение параметров учётной записи.
2. Вмешательство в функционирование компонентов парольной системы.
Существуют следующие наиболее распространённые методы получения паролей:
метод тотального перебора: опробываются все ключи последовательно, один за другим;
словарная атака – для перебора используется словарь наиболее вероятных ключей. В словарь обычно входят:
а) известная личная информация о владельце пароля;
б) словарная база данных, составленная из имён людей, героев мультфильмов и мифических животных, ругательств, чисел, названий фильмов и т. д.;
в) слова, которые получены внесением различных изменений в словарную базу данных (например, изменение регистра символов, транслитерация, изменение порядка написания слова, замена буквы о на цифру 0, i- на 1 и пр.);
г) пары слов;
проверка паролей, устанавливаемых в системах по умолчанию (разновидность словарной атаки). В некоторых случаях администратор программного обеспечения, установив или получив новый продукт от разработчика, не удосуживается проверить, из чего состоит система безопасности. Как следствие, пароль, установленный фирмой-разработчиком по умолчанию, остаётся основным паролем в системе;
получение паролей из самой системы на основе программной и аппаратной реализации конкретной системы. Основными двумя возможностями выяснения пароля являются: несанкционированный доступ к носителю, содержащему пароли, либо использование уязвимостей: ошибок и недокументированных возможностей в реализации системы;
атаки на основе социальной психологии – могут принимать самые различные формы. Например, из списка сотрудников выбирается тот, кто не использовал пароль в течение нескольких дней (отпуск, отгулы, командировка) и кого администратор не знает по голосу. Затем следует звонок администратору с объяснением ситуации о забытом пароле, искренние извинения, просьба зачитать пароль либо сменить его на новый. Возможна и обратная схема – обращение к сотруднику якобы от службы безопасности.
Отмечается и существование «парадокса человеческого фактора». Заключается он в том, что пользователь нередко стремится выступать скорее противником парольной системы, как, впрочем, и любой системы безопасности, функционирование которой влияет на его рабочие условия, нежели союзником системы защиты, тем самым ослабляя её.
Защита от указанных угроз основывается на ряде перечисленных ниже организационно-технических мер и мероприятий.
В большинстве систем пользователи имеют возможность самостоятельно выбирать пароли или получают их от системных администраторов. При этом для уменьшения деструктивного влияния человеческого фактора необходимо реализовать ряд требований к выбору и использованию паролей. Параметры для количественной оценки стойкости парольных систем представлены в табл. 5, способы повышения стойкости пароля приведены в табл. 6.
Таблица 5
Оценка стойкости парольных систем
|
Параметр |
Способ определения |
|
Мощность алфавита паролей А |
Могут варьироваться для обеспечения заданного значения S (S = A1) |
|
Длина пароля L |
|
|
Мощность пространства паролей S |
Вычисляется на основе заданных значений Р, Т и V |
|
Скорость подбора паролей V: для интерактивного режима определяется как скорость обработки одной попытки регистрации проверяющей стороной; для режима off-line (на основе свёртки пароля) определяется как скорость вычисления значения свертки для одного пробного пароля |
Может быть искусственно увеличена для защиты от данной угрозы Задаётся используемым алгоритмом вычисления свертки. Алгоритм, имеющий медленные реализации, повышает стойкость по отношению к данной угрозе |
|
Срок действия пароля (задает промежуток времени, по истечении которого пароль должен быть обязательно сменен) Т |
Определяется исходя из заданной вероятности Р, или полагается заданным для дальнейшего определения S |
|
Вероятность подбора пароля в течение его срока действия (подбор продолжается непрерывно в течение всего срока действия пароля) Р |
Выбирается заранее для дальнейшего определения S или Т |
Таблица 6
Способы повышения стойкости пароля
|
Требования к выбору пароля |
Получаемый эффект |
|
Установление минимальной длины пароля |
Усложняет задачу злоумышленника при попытке подобрать пароль методом «тотального перебора» |
|
Использование в пароле различных групп символов |
Усложняет задачу злоумышленника при попытке подобрать пароль методом «тотального перебора» |
|
Проверка и отбраковка пароля по словарю |
Усложняет задачу злоумышленника при попытке подобрать пароль по словарю |
|
Установление максимального срока действия пароля |
Усложняет задачу злоумышленника по подбору паролей методом «тотального перебора», в том числе без непосредственного обращения к системе защиты (режим off-line) |
|
Установление минимального срока действия пароля |
Препятствует попыткам пользователя заменить пароль на старый после его смены по предыдущему требованию |
|
Ведение журнала истории паролей |
Обеспечивает дополнительную степень защиты по предыдущему требованию |
|
Применение эвристического алгоритма, бракующего пароли на основании данных журнала истории |
Усложняет задачу злоумышленника при попытке подобрать пароль по словарю или с использованием эвристического алгоритма |
|
Ограничение числа попыток ввода пароля |
Препятствует интерактивному подбору паролей злоумышленником |
|
Использование задержки при вводе неправильного пароля |
Препятствует интерактивному подбору паролей злоумышленником |
|
Запрет на выбор пароля самим пользователем и автоматическая генерация паролей |
Исключает возможность подобрать пароль по словарю. Если алгоритм генерации паролей не известен злоумышленнику, последний может подбирать пароли только методом «тотального перебора» |
|
Поддержка режима принудительной смены пароля пользователя |
Обеспечивает эффективность требования, ограничивающего максимальный срок действия пароля |
|
Принудительная смена пароля при первой регистрации пользователя в системе |
Защищает от неправомерных действий системного администратора, имеющего доступ к паролю в момент создания учётной записи |
Пример. Определение минимальной мощности пространства паролей (зависящей от А и L) в соответствии с заданной вероятностью подбора пароля Р в течение его срока действия Т.
Задано Р = 10 – 6. Необходимо найти минимальную длину пароля, которая обеспечит его стойкость в течение одной недели непрерывных попыток подобрать пароль. Пусть скорость интерактивного подбора паролей \/= 10 паролей/мин. Тогда в течение недели можно перебрать 10 х 60 х 24 х 7 = 100 800 паролей.
Далее, учитывая, что параметры S, V, Т и Р связаны соотношением Р=VT/S, получаем
S = 100 800/10-6= 1,008 х 1011= 1011.
Значению S соответствуют пары: А = 26, L = 8 и А= 36, L = 6.
Требования к выбору пароля приведены в табл. 6.
Возможны следующие варианты хранения паролей в базе дан ных учётных записей:
Наибольший интерес представляют второй и третий способы.
Хеширование не обеспечивает защиту от подбора паролей по словарю в случае получения БД злоумышленником. При выборе алгоритма хеширования, который будет использован для вычисления свёрток паролей, необходимо гарантировать несовпадение значений свёрток, полученных на основе различных паролей пользователей. Кроме того, следует предусмотреть механизм, обеспечивающий уникальность свёрток в том случае, если два пользователя выбирают одинаковые пароли. При этом при вычислении каждой свёртки обычно используют некоторое количество «случайной» информации, например, выдаваемой генератором псевдослучайных чисел.
При шифровании паролей особое значение имеет способ генерации и хранения ключа шифрования базы данных учётных записей. Некоторые возможные варианты:
ключ генерируется программно и хранится в системе, обеспечивая возможность её автоматической перезагрузки;
ключ генерируется программно и хранится на внешнем носителе, с которого считывается при каждом запуске;
ключ генерируется на основе выбранного администратором пароля, который вводится в систему при каждом запуске.
Во втором случае необходимо обеспечить невозможность автоматического перезапуска системы, даже если она обнаруживает носитель с ключом. Для этого можно потребовать от администратора подтверждать продолжение процедуры загрузки.
Наиболее безопасное хранение паролей обеспечивается при их хешировании и последующем шифровании полученных свёрток, т. е. при комбинации второго и третьего способов.
Введение количественных характеристик парольной системы позволяет рассмотреть вопрос о связи стойкости парольной системы с криптографической стойкостью шифров в двух аспектах: при хранении паролей в базе данных и при их передаче по сети. В первом случае стойкость парольной системы определяется её способностью противостоять атаке злоумышленника, завладевшего базой данных учётных записей и пытающегося восстановить пароли, и зависит от скорости «максимально быстрой» реализации используемого алгоритма хеширований паролей. Если потенциальный злоумышленник имеет возможность перехватывать передаваемые по сети преобразованные значения паролей, при выборе алгоритма необходимо обеспечить невозможность (с заданной вероятностью) восстановить пароль при наличии достаточного количества перехваченной
информации.
Пример. Для шифрования паролей в системах UNIX до середины 70-х годов использовался алгоритм, эмулирующий шифратор М-209 американской армии времён Второй мировой войны. Это был надёжный алгоритм, но он имел очень быструю для тех лет реализацию. На компьютере РDР-11/70 можно было зашифровать 800 паролей в секунду, и словарь из 250 000 слов мог быть проверен менее чем за 5 мин.
С конца 70-х годов для этих целей стал применяться алгоритм шифрования DES. Пароль использовался для генерации ключа, на котором шифровалась некоторая постоянная для всех паролей величина. Для предотвращения одинаковых свёрток от одинаковых паролей в качестве дополнительного параметра на вход алгоритма вычисления свёртки подавалось значение, вырабатываемое генератором псевдослучайных чисел. Реализации алгоритма DES работали значительно медленнее.
На компьютере VАХ-II (более быстром, чем РDР-11/70) можно было сделать в среднем 3,6 операций шифрования в секунду. Проверка словаря из 250 000 слов длилась бы 19 ч, а проверка паролей для 50 пользователей – 40 дней.
Однако современные реализации криптографических алгоритмов позволяют производить сотни тысяч итераций алгоритма в секунду. Учитывая, что пользователи нередко выбирают недостаточно стойкие пароли, можно сделать вывод, что получение базы данных учетных записей или перехват переданного по сети значения свёртки пароля представляют серьёзную угрозу безопасности парольной системы.
В большинстве случаев аутентификация происходит в распределённых системах и связана с передачей по сети информации о параметрах учётных записей пользователей. Если передаваемая по сети в процессе аутентификации информация не защищена надлежащим образом, возникает угроза её перехвата злоумышленником и использования для нарушения защиты парольной системы. Многие компьютерные системы позволяют переключать сетевой адаптер в режим прослушивания адресованного другим получателям сетевого трафика в сети, основанной на широковещательной передаче пакетов данных.
К основным видам защиты сетевого трафика относятся:
Распространены следующие способы передачи по сети паролей:
Первый способ применяется и сегодня во многих популярных приложениях (например, ТЕLNЕТ, FТР и др.). В защищённой системе его можно применять только в сочетании со средствами защиты сетевого трафика.
При передаче паролей в зашифрованном виде или в виде свёр ток по сети с открытым физическим доступом возможна реализация следующих угроз безопасности парольной системы:
Основная идея схем аутентификации «с нулевым знанием» или «с нулевым разглашением» заключается в том, чтобы обеспечить возможность одному из пары субъектов доказать истинность некоторого утверждения второму, при этом не сообщая ему никакой информации о содержании самого утверждения.
Еще одним способом повышения стойкости парольных систем, связанных с передачей пароля по сети, является применение одноразовых паролей, основанное на последовательном использовании хеш-функции для вычисления очередного одноразового пароля на основе предыдущего. В начале пользователь получает упорядоченный список одноразовых паролей, последний из которых также сохраняется в системе аутентификации. При каждой регистрации пользователь вводит очередной пароль, а система вычисляет его свёртку и сравнивает с хранимым у себя эталоном. В случае совпадения пользователь успешно проходит аутентификацию, а введённый им пароль сохраняется для использования в качестве эталона при следующей регистрации. Защита от сетевого перехвата, основана на свойстве необратимости хеш-функции.
Существует два основных направления обеспечения секретности информации:
1) криптографическое преобразование (шифрование);
2) стеганографическое преобразование (скрытие).
Криптографическое преобразование информации (шифрование) – взаимно-однозначное математическое преобразование, зависящее от ключа (секретного параметра преобразования), которое ставит в соответствие блоку открытой информации, представленной в некоторой цифровой кодировке, блок шифрованной информации, также представленной в цифровой кодировке.
Цель криптографии состоит в блокировании несанкционированного доступа к информации путём шифрования содержания секретных сообщений. При использовании криптографических методов посторонний наблюдатель может довольно легко обнаруживать сами сообщения, при этом очевиден факт их секретности.
Стеганография имеет другую задачу, и её цель – скрыть сам факт существования секретного сообщения. При обработке данных стеганографическими методами происходит скрытие передаваемой информации в других объектах таким образом, чтобы постороннее лицо не догадывалось о существовании скрытого секретного сообщения.
Оба способа могут быть объединены и использованы для повышения эффективности защиты информации.
Современная компьютерная стеганография оперирует двумя основными типами файлов: сообщение – файл, который предназначен для скрытия, и контейнер – файл, который может быть использован для скрытия в нем сообщения. Секретный элемент, который определяет порядок занесения сообщения в контейнер, называется ключом.
Современные стеганографические методы основываются на следующих положениях.
В настоящее время стеганографические системы активно используются для решения следующих основных задач:
В современной криптографии – науке о методах шифрования – предполагается, что сам алгоритм шифрования потенциально известен противнику, а защита обеспечивается только секретностью ключа.
Средства криптографической защиты информации используются с целью:
передаче;
Надёжность шифрующего алгоритма, часто называемая его стойкостью, определяется тем, насколько легко можно взломать шифр. Существует два типа криптографических алгоритмов по стойкости: теоретически нераскрываемые (абсолютно стойкие) и те, стойкость которых основана на вычислительной сложности.
Чтобы алгоритм считался абсолютно стойким, он должен удовлетворять следующим условиям:
Данные требования приводят к тому, что абсолютно стойкие алгоритмы с практической точки зрения являются труднореализуемыми. В настоящее время известен только один теоретически стойкий метод – симметричное шифрование с одноразовым блокнотом. Он основан на применении в качестве ключа последовательности случайных чисел (символов). Однако реализовать в АС абсолютно случайный выбор невозможно.
Все практически применяемые современные алгоритмы шифрования опираются на вычислительную сложность взлома. Их стойкость во многом определяется длиной ключа и его непредсказуемостью – «похожестью на случайность». Для обеспечения одной и той же степени стойкости симметричные методы требуют значительно меньшей длины пароля, чем асимметричные.
Наука, занимающаяся вопросами раскрытия алгоритмов шифрования, называется криптоанализом. Под раскрытием системы засекреченной связи или алгоритма шифрования следует понимать одну из следующих планируемых злоумышленником операций.
системы.
На практике получение злоумышленником требуемых для вскрытия алгоритма шифрования сведений зависит от наличия у него следующих ресурсов:
Время жизни некоторых типов информации приведено в табл. 7.
Стойким считается алгоритм, который для своего вскрытия требует от злоумышленника практически недостижимых вычислительных ресурсов или недостижимого объёма перехваченных зашифрованных сообщений или времени раскрытия, которое превышает время жизни интересующей злоумышленника информации.
Самыми распространёнными на сегодняшний день причинами осуществления успешных атак на алгоритмы шифрования являются следующие:
Таблица 7
Время жизни информации
|
Тип информации |
Время жизни |
|
Военная тактическая информация |
мин/ч |
|
Информация о выпуске продукции |
дни/недели |
|
Долгосрочные бизнес-проекты |
годы |
|
Производственные секреты |
десятилетия |
|
Секрет создания водородной бомбы |
Более 40 лет |
|
Информация о разведчиках |
Более 50 лет |
|
Личная информация |
Более 50 лет |
|
Дипломатическая тайна |
Более 65 лет |
|
Информация о переписи населения |
100 лет |
сообщения.
Примерами изложенных методов служат стандарты шифрования DES и ГОСТ 28147-89.
Существует два основных типа алгоритмов шифрования:
Симметричное шифрование.
Алгоритмы симметричного шифрования основаны на том, что и для шифрования сообщения, и для его расшифровки используется один и тот же (общий) ключ (рис. 1).
Одно из главных преимуществ симметричных методов – быстрота шифрования и расшифровки, а главный недостаток – необходимость передачи секретного значения ключа получателю.
Неизбежно возникаем проблема: как передать ключ и при этом не позволить злоумышленникам перехватить его.
Преимущества криптографии с симметричными ключами:
Недостатки криптографии с симметричными ключами.
неотрекаемостъ.
Асимметричное шифрование
Асимметричные алгоритмы шифрования (криптография с открытыми ключами) предполагают использование двух ключей. Первый ключ – открытый. Он распространяется совершенно свободно, без всяких мер предосторожности. Второй, закрытый ключ, держится в секрете.
Любое сообщение, зашифрованное с использованием одного из этих ключей, может быть расшифровано только с использованием парного ему ключа. Как правило, отправитель сообщения пользуется открытым ключом получателя, а получатель – своим личным закрытым ключом.
В асимметричной схеме передачи шифрованных сообщений оба ключа являются производными от единого порождающего мастер-ключа. Когда два ключа сформированы на основе одного, они зависимы в математическом смысле, однако в силу вычислительной сложности ни один из них не может быть вычислен на основании другого. После того, как сформированы оба ключа (и открытый, и личный, закрытый), мастер-ключ уничтожается, и таким образом пресекается любая попытка восстановить в дальнейшем значения производных от него ключей.
Асимметричная схема идеально сочетается с использованием общедоступных сетей передачи сообщений (например, Интернет). Любой абонент сети может совершенно свободно переслать открытый ключ своему партнеру по переговорам, а последний, в роли отправителя сообщения, будет использовать этот ключ при шифровании отсылаемого сообщения (рис. 2). Это сообщение сможет расшифровать своим личным ключом только получатель сообщения, который отсылал раньше соответствующий открытый ключ. Злоумышленник, перехвативший такой ключ, сможет воспользоваться им только с единственной целью – передавать законному владельцу ключа какие-нибудь зашифрованные сообщения.
Недостатком асимметричной схемы являются большие затраты времени на шифрование и расшифровку, что не разрешает их использование для оперативного обмена пространными сообщениями в режиме диалога. Реализация методов асимметричного шифрования требует больших затрат процессорного времени. Поэтому в чистом виде криптография с открытыми ключами в мировой практике обычно не применяется.
Рис. 2. Асимметричная схема шифрования
Невозможно сравнивать, что лучше, симметричные или асимметричные алгоритмы шифрования. Отмечено, что симметричные криптографические алгоритмы имеют меньшую длину ключа и работают быстрее.
Криптография с секретным и криптография с открытыми ключами предназначены для решения абсолютно разных проблем. Симметричные алгоритмы хорошо подходят для шифрования данных, асимметричные реализуются в большинстве сетевых криптографических протоколов.
Наиболее широкое распространение получили методы, сочетающие достоинства обеих схем. Принцип работы комбинированных схем заключается в том, что для очередного сеанса обмена сообщениями генерируется симметричный (сеансовый) ключ. Затем этот ключ зашифровывается и пересылается с помощью асимметричной схемы. После завершения текущего сеанса переговоров симметричный ключ уничтожается.
Шифры замены и перестановки
Было доказано, что в криптографии существуют только два основных типа преобразований – замены и перестановки, все остальные являются лишь комбинацией этих двух типов.
В перестановочных шифрах символы открытого текста не изменяются сами по себе, но изменяют своё местоположение. В шифрах замены один символ открытого текста замещается символом зашифрованного текста. Подавляющее большинство со временных алгоритмов принадлежат этой группе.
В классической криптографии различают четыре типа шифров замены.
Шифры простой замены. Один символ открытого текста заменяется символом зашифрованного текста.
Шифры сложной замены. Один символ открытого текста заменяется одним или несколькими символами зашифрованного. Например: «А» может быть заменена на «С» или на «РО4Е».
Шифры блочной замены. Один блок символов открытого текста заменяется блоком закрытого текста. Например: «АВС» может быть заменён на «СРТ» или на «КАР».
Полиалфавитные шифры замены. Для каждого символа употребляется тот или иной алфавит в зависимости от ключа, который связан с самим символом или с его порядком.
Симметричные алгоритмы в зависимости от размера блока преобразуемой информации разделены на два больших класса – блочные и поточные (рис.3).
В блочных открытый текст разбивается на блоки подходящей длины (например, размер блоков в DES равен 64 битам) и результат кодирования (шифрования) фактически зависит от всех исходных байтов этого блока.
В поточных алгоритмах каждый символ открытого текста зашифровывается (и расшифровывается) независимо от других. Преобразование каждого символа открытого текста меняется от одного символа к другому, в то время как для блочных алгоритмов в рамках шифрования блока используется одно и то же криптографическое преобразование. Схема поточного шифрования применяется в тех случаях, когда передача информации начинается и заканчивается в произвольные моменты времени и может случайно прерываться
Рис. 3. Основные типы криптографических алгоритмов
Стойкость поточных алгоритмов шифрования зависит от того, насколько выработанная в качестве секретного ключа последовательность символов будет обладать свойством появления равновероятности очередного символа. Основная проблема в обеспечении безопасности при использовании поточных алгоритмов шифрования заключается в том, что выработанную последовательность недопустимо использовать более одного раза.
Для правильного расшифрования следует подчиниться требованию синхронности выполнения операций шифраторами на приемной и предающей сторонах. Существует два метода обеспечения синхронизации работы шифраторов.
Самосинхронизирующиеся шифраторы, в которых очередной символ зависит от определённого количества уже образованных символов. Основной недостаток этого типа шифраторов заключается в возрастании ошибок при расшифровании, если произошла ошибка в ходе передачи.
Синхронные шифраторы, осуществляющие синхронизацию своей работы только при вхождении в связь; дальнейшая работа на приемной и передающей сторонах осуществляется синхронно. Основным недостатком этого типа является необходимость заново устанавливать связь между шифраторами при их рассинхронизации, хотя они и не обладают свойством разрастания ошибок.
Поточные алгоритмы обладают высокой скоростью шифрования, однако при программном использовании возникают определенные трудности, что сужает область их практического применения, хотя структура поточных алгоритмов шифрования предполагает эффективную аппаратную реализацию.
Самыми древними методами шифрования были перестановка символов сообщения или их замена на другие.
В Древней Греции ещё в V–IV вв. до н. э. применяли специальное шифрующее устройство, состоящее из двух палок одинакового диаметра – скитал. Одну скиталу оставляли себе, а другую отдавали отъезжающему. Когда нужно было передать важное секретное сообщение, вырезали длинную и узкую полосу папируса, наматывали её на скиталу без промежутков так, чтобы вся поверхность палки была охвачена этой полосой. Оставляя папирус на скитале, писали на нём всё, что было нужно, а затем снимали полосу и без палки отправляли адресату. Буквы на полосе были разбросаны в беспорядке, так что прочитать сообщение мог только тот, кто имел парную скиталу, намотав на неё без пропусков эту полосу.
Этот шифр является перестановкой, способ его дешифрования принадлежит Аристотелю. Надо изготовить длинный конус и, начиная с основания, обёртывать его лентой с шифрованным сообщением, постепенно сдвигая её к вершине. В какой-то момент начнут просматриваться куски сообщения – так можно определить секретный ключ – диаметр скиталы.
К шифрам простой замены принадлежит шифр Цезаря. Юлий Цезарь в I в. н. э. во время войны с галлами заменял в сообщениях первую букву латинского алфавита (А) на четвёртую (D), вторую (B) – на пятую (E), и так далее, и, наконец, последнюю – на третью:
ABCDEFGHIJKLMNOPRSTUVWXYZ
DEFGHIJKLMNOPRSTUVWXYZABC
Зашифрованное сообщение об одержанной победе «veni vidi vici»1 выгляде-
ло так: «yhql ylgl ylfl». Расшифровка выполняется обратной заменой символов.
Шифр, описанный Конан Дойлем в рассказе «Пляшущие человечки», относится к этому же типу. В шифре замены можем быть использована специальная таблица подстановки, в которую случайным образом вставляются какие-либо символы. Затем символы в сообщении заменяются соответствующими символами из таблицы.
Одноразовый шифровальный блокнот
Одноразовый шифровальный блокнот – единственный в теоретическом смысле стойкий метод шифрования. В его основе лежит та же идея, что и в шифре Цезаря.
Пусть открытое сообщение записано с помощью символов расширенного алфавита, состоящего из 33 букв алфавита, 10 знаков препинания {..:;?!()-“} и знака пробела между словами. Число символов расширенного алфавита в русском варианте равно 44. Занумеруем их числами от 0 до 43. Тогда любой передаваемый текст можно рассматривать как последовательность {ап} чисел множества {0,1,2,…,43}.
В качестве секретного ключа берётся абсолютно случайная последовательность {сп} из того же множества чисел. Эта последовательность должна иметь ту же длину, что и передаваемый текст. Складывая по модулю 44 число ап с соответствующим числом сп ключа (т. е, складывая числа ап и сп и беря остаток от целочисленного деления их суммы на 44), получаем новое число bn, лежащее в промежутке от 0 до 43:
ап + сп=bn (mod 44), 0<=bn<=43.
Заменяя цифры последовательности {bn} символами расширенного алфавита, получим зашифрованный текст.
Чтобы восстановить открытый текст, надо воспользоваться тем же ключом:
ап = bn - сп (mod 44), 0<=bn<=43.
После однократного шифрования использованный ключ уничтожается и в дальнейшем больше никогда не применяется. Для того чтобы зашифровать новое сообщение, отправитель должен воспользоваться новым одноразовым блокнотом.
В случае использования одноразового шифровального блокнота потенциально получается ключ бесконечной длины с неограниченным количеством возможных комбинаций.
Методика шифрования с использованием одноразового шифровального блокнота обладает исключительной надёжностью, поскольку существует бесконечно большое число ключей, с помощью которых из зашифрованного сообщения можно получить осмысленный текст (или правдоподобную информацию). При этом до тех пор, пока взломщик не получит в своё распоряжение копию шифровального блокнота, он не сможет узнать, является ли полученный результат расшифровки в действительности оригинальным сообщением.
При всей своей привлекательности для этого метода существуют определённые ограничения, которые не позволяют применять их в практике передачи информации по компьютерным сетям, и, в частности, в сети Интернет.
Прежде всего последовательность значений в бесконечном ключе должна быть действительно случайной, а не псевдослучайной. Сформировать действительно случайную последовательность чисел с помощью компьютера невозможно.
Другая проблема – в передаче копии блокнота получателю. Размер ключа (блокнота) должен быть не меньше длины сообщения, которое шифруется с помощью этого ключа. Далее, после использования, ключ должен быть уничтожен. Необходимость уничтожить ключ исключает возможность применения компакт-дисков или цифровых видеодисков.
Еще одна проблема – синхронизация последовательности ключей у отправителя и получателя сообщения.
Шифрование с использованием операции ХОR
Использование операции ХОR (исключающее ИЛИ) для шифрования является одной из самых простых разновидностей симметричной схемы, это шифр простой замены, когда алфавит состоит только из двух символов – 0 и 1. Шифрование выполняется на уровне отдельных битов в сообщении, оперируя с двумя строками битов (одна из них – исходное сообщение, вторая – ключ). Однобитовая операция ХОR дает результат 1, если значения биты-операнды не равны и 0, если значения обоих битов-операндов совпадают. Получив последовательность битов, представляющих зашифрованное таким образом сообщение, его можно расшифровать, выполнив повторно операцию ХОR и используя в качестве второго операнда тот же самый ключ, который использовался при шифровании.
Например:
11010110
10101010 - ключ
01111100
10101010 - ключ
11010110
К достоинствам ХОR-шифрования относятся его простота и «естественность» реализации на ЭВМ, однако этот метод обладает слабой стойкостью.
Стеганографические методы
Одной из древнейших является форма стеганографических методов, когда открытое и доступное каждому сообщение заключало в себе другое, скрываемое послание. К методам этой группы относятся:
использование известного смещения слов, предложений, абзацев. Метод основан на изменении положения строк и расстановки слов в предложении, что обеспечивается вставкой дополнительных пробелов между словами;
выбор определённых позиций букв (нулевой шифр). Акростих – частный случай этого метода (например, начальные буквы каждой строки образуют сообщение);
использование имитирующих функций (mimic-function). Метод основан на генерации текстов и является обобщением акростиха. Для тайного сообщения генерируется осмысленный текст, скрывающий само сообщение.
Методы второй группы основаны на использовании специальных свойств компьютерных форматов:
использовании специальных свойств полей форматов текстовых файлов, не отображаемых на экране; использовании специальных «невидимых», скрытых полей для организации сносок и ссылок (например, использование чёрного шрифта на чёрном фоне);
использовании зарезервированных для расширения полей компьютерных форматов данных. Поля расширения имеются во многих мультимедийных форматах, они заполняются нулевой информацией и не учитываются программами воспроизведения мультимедиа;
скрытии в неиспользуемых местах гибких магнитных дисков (ГМД). Секретная информация записывается в обычно неиспользуемых местах ГМД (например, в нулевой дорожке).
Все вышеперечисленные методы обеих групп просты в использовании, однако имеют слабую производительность, предназначены для скрытия только небольшого объёма информации и способны обеспечить лишь низкую степень скрытности.
Более перспективными являются методы, использующие избыточность мультимедийных форматов: цифровой фотографии, цифрового звука и цифрового видео.
Цифровые фотографии, музыка или видео представляются матрицами чисел, которые кодируют интенсивность цвета или звука в дискретные моменты в пространстве и (или) во времени.
Цифровая фотография – это матрица чисел, представляющих интенсивность света в определённой точке пространства.
Цифровой звук – это матрица чисел, представляющая интенсивность звукового сигнала в последовательно идущие моменты времени. Все эти числа не точны, так как не точны устройства оцифровки аналоговых сигналов, имеются шумы квантования. Младшие разряды (биты) таких цифровых кодов содержат очень мало полезной информации о текущих параметрах звука или визуального образа. Их заполнение дополнительной информацией практически не влияет на качество восприятия, что и даёт возможность скрытия конфиденциальной информации. Причём, чем выше разрешение при кодировании изображения, тем больше посторонней информации можно в нём спрятать.
Такие методы позволяют скрытно передавать большие объёмы данных. Однако за счёт введения дополнительной информации искажаются статистические характеристики цифровых потоков. Для снижения компрометирующих признаков требуется коррекция их статистических характеристик.
Шифрование в каналах связи компьютерной сети
Характерной особенностью любой компьютерной сети является её разделение на уровни, каждый из которых отвечает за выполнение определённых функций. Стандартами предусмотрена семиуровневая сетевая архитектура, верхние уровни которой служат для связи с конечным пользователем, а нижние обеспечивают управление сетевой аппаратурой и собственно передачу данных по каналу связи.
Теоретически шифрование данных для передачи может осуществляться на любом сетевом уровне. На практике это обычно делается либо на самых верхних, либо на самых нижних уровнях.
Если данные шифруются на нижних уровнях сетевой архитектуры, такое шифрование называется канальным. При канальном способе шифруются абсолютно все данные, проходящие по каналу связи, включая открытый текст сообщения и служебную информацию (информация о его маршруте и используемом коммуникационном протоколе). В этом случае для передачи сообщения его необходимо расшифровывать и заново зашифровывать в каждом промежуточном узле сети. Канальное шифрование является достаточно эффективным средством защиты передаваемой информации в компьютерных сетях. Однако оно обычно имеет высокую стоимость реализации, так как защите должен подвергаться и каждый узел компьютерной сети, по которому передаются данные.
Шифрование, проводящееся на верхних уровнях сетевой архитектуры, называется сквозным. Шифрованию подлежит только содержательная часть сообщения. При этом служебная часть, передаваемая в незашифрованном виде, может дать дополнительную информацию криптоаналитику. Кроме того, сквозное шифрование характеризуется более сложной работой с ключами.
Комбинация канального и сквозного шифрования данных в компьютерной сети обходится значительно дороже, чем каждое из них по отдельности. Однако именно такой подход позволяет наилучшим образом защитить передаваемые данные. Шифрование в каждом канале связи не позволяет анализировать служебную информацию, а сквозное шифрование уменьшает вероятность несанкционированного доступа к незашифрованным данным в узлах сети.
Шифрование файлов
При шифровании данных, предназначенных для хранения в виде компьютерных файлов, особое внимание уделяется механизмам предотвращения возникновения ошибок. Если во время шифрования возникла ошибка, файл будет невозможно расшифровать и данные будут полностью потеряны.
Шифрованные файлы могут храниться годами, и в течение всего этого времени необходимо помнить и держать в секрете соответствующий ключ.
Аппаратное и программное шифрование
Большинство средств криптографической защиты данных реализовано в виде специальных физических устройств. Эти устройства встраиваются в линию связи и осуществляют шифрование всей передаваемой по ней информации.
Преобладание аппаратного шифрования над программным обусловлено несколькими причинами:
Существует три основных разновидности аппаратных шифрующих средств: самодостаточные шифрующие модули (для оборудования, например, телефонных и факсимильных аппаратов) – самостоятельно выполняют всю работу с ключами; блоки шифрования в каналах связи; шифровальные платы для установки в персональные компьютеры.
Любой криптографический алгоритм может быть реализован и в виде программы. Программные средства легко копируются, они просты в использовании, их нетрудно модифицировать в соответствии с конкретными потребностями.
Сжатие и шифрование
Алгоритмы сжатия (архивирования) данных очень хорошо подходят для совместного использования с криптографическими алгоритмами:
Сжатие файла, содержащего открытый текст, производится до его шифрования.
Проблема надежности криптосистем
Безопасность криптосистем можно сравнить с надёжностью цепи: чем крепче её самое слабое звено, тем труднее порвать эту цепь. Большинство сбоев в обеспечении информационной безопасности происходит не из-за найденных слабостей в криптографических алгоритмах и протоколах, а из-за вопиющих оплошностей при их реализации. Основные ошибки при реализации криптографических алгоритмов:
использование плохих датчиков случайных чисел для генерации ключей;
отсутствие учёта специфики аппаратной среды, в которой предстоит эксплуатировать программные средства криптографической защиты;
неудаление ключевой и другой секретной информации из оперативной памяти компьютера или с магнитного носителя после того, как надобность в её хранении там отпала.
Немало проблем, связанных с использованием криптографических средств, создают сами пользователи. В первую очередь их интересуют простота, удобство использования и совместимость с уже существующим и, как правило, менее защищённым, программным обеспечением. Поведенческие особенности
пользователей:
использование легко запоминающихся (и недостаточно стойких) ключей, использование ключей слишком малой длины, ненадёжное хранение ключей;
отказ от применения средств защиты, замедляющих или затрудняющих выполнение основных задач пользователя.
Поэтому только в случае, если при проектировании криптографической системы были учтены реальные потребности пользователей, она действительно в состоянии защитить их компьютерные системы и сети.
К снижению надёжности криптографических систем приводит наличие в них потайных ходов, оставленных разработчиками системы.
Потайной ход – это средство, с помощью которого реализуется на практике возможность расшифровывать информацию, не зная ключа пользователя. Причины появления таких средств достаточно очевидны: разработчики криптографических систем хотят иметь контроль над шифруемой в этих системах информацией. Иногда потайные ходы применяются для целей отладки системы, а после её завершения разработчики просто забывают убрать их из конечного продукта.
Теория асимметричного шифрования позволяет легко решить такую проблему информационной безопасности, как проверка подлинности автора и неизменности сообщения.
Предположим, необходимо передать какой-либо текст, не обязательно секретный, но важно то, чтобы в него при передаче по незащищённому каналу связи не были внесены изменения. К таким текстам обычно относятся различные распоряжения, справки, и тому подобная документация, не представляющая секрета.
По передаваемому тексту на стороне отправителя производится одностороннее хеширование, т.е. вычисляется хеш-функция, результатом которой является число (хеш-сумма), которое более или менее уникально характеризует данный текст. В принципе, можно найти другой текст, который даст то же самое значение хеш-функции. Однако практически невозможно изменить исходный текст так, чтобы текст остался полностью осмысленным, да ещё и изменился в выгодную злоумышленнику сторону (например, уменьшил сумму платежа).
Таким образом, если передать получателю защищённым от изменения методом хеш-сумму от пересылаемого текста, то у него всегда будет возможность самостоятельно вычислить хеш-функцию от текста уже на принимающей стороне и сверить её с присланной ранее.
Если самостоятельно вычисленное получателем значение хеш-суммы текста не совпадет с полученным, значит текст по ходу пересылки подвергся несанкционированному изменению.
Готовую к передаче хеш-сумму шифруют с помощью алгоритма симметричного шифрования следующим образом: при отправке используется закрытый ключ отправителя, а для проверки сообщения – открытый ключ отправителя. Подобная технология получила название электронно-цифровая или электронная подпись (ЭЦП).
Получатель формирует собственный односторонний хеш полученного сообщения, затем расшифровывает пришедшую с ним подпись и сравнивает оба хеша. Если они совпадают, значит, подпись достоверна и сообщение не было по дороге искажено или подделано.
По отношению к сообщению или любому информационному объекту односторонний хеш обладает теми же свойствами, что и отпечатки пальцев по отношению к человеку. Существует несколько алгоритмов одностороннего хеширования, каждый из которых формирует своё значение хеша. Но в любом случае малейшее изменение какого-либо компонента исходного сообщения приводит к существенному изменению результата одностороннего хеширования.
Принципиальной особенностью любых алгоритмов одностороннего хеширования является их необратимость, т.е. не существует способа восстановить текст сообщения по результату этого преобразования.
Цифровая подпись используется не только для проверки достоверности сообщения (отсутствия в нем искажений), но и как ключевой элемент процесса верификации отправителя сообщения. Любое сообщение, которое имеет смысл только в том случае, если точно известен его отправитель и имеется надёжная гарантия того, что сообщение при пересылке не искажено (случайно или преднамеренно), обязательно должно пересылаться с цифровой подписью.
Казалось бы, асимметричные криптосистемы лишены одного из самых главных недостатков симметричных алгоритмов – необходимости предварительного обмена сторонами секретным ключом по защищённой схеме (например, передача из рук в руки или с помощью поверенного курьера). Казалось бы, для создания надёжной линии передачи сообщений достаточно опубликовать свой открытый ключ.
Однако, если отрытый ключ не получен лично от его обладателя (например, не принесён обладателем на дискете), значит, его придётся брать из информационной сети. А теперь главный вопрос: где доказательство, что данный набор байтов является именно открытым ключом нужного абонента? Ведь злоумышленник может сгенерировать произвольные пары (закрытый ключ, открытый ключ), затем их активно распространять или пассивно подменять открытые ключи абонентов ключами, созданными им. В этом случае при отправке сообщения:
1) отправитель зашифрует его тем ключом, который, по его предположению, является ключом абонента, а на самом деле – это ключ, сгенерированный злоумышленником;
2) злоумышленник, перехватив сообщение, дешифрует его парным закрытым ключом и прочтёт;
3) может изменить сообщение и переслать дальше, зашифровав уже действительно открытым ключом абонента.
Точно так же, но по инверсной схеме злоумышленник может подменить и электронную подпись отправителя под письмом.
Таким образом, если между отправителем и получателем нет конфиденциальной схемы передачи асимметричных ключей, то возникает серьёзная опасность появления злоумышленника-посредника. Без дополнительной защиты злоумышленник может представить себя как отправителем подписанных данных, так и получателем зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию.
Поэтому одной из наиболее серьёзных проблем при использовании методов шифрования с открытыми ключами является проверка, действительно ли открытый ключ принадлежит абоненту, с которым планируется вести обмен зашифрованными сообщениями. То есть необходимо иметь в своём распоряжении средства, которые бы проверяли, что ключ выслан или опубликован именно тем, с кем планируется вести переговоры, и что по дороге этот ключ не модифицирован и не подделан. Эта проблема решается с помощью методов цифровой сертификации.
Электронный сертификат представляет собой цифровой документ, который связывает открытый ключ с определённым пользователем или приложением. Передаваемый ключ упаковывается в сообщение вместе с набором специальных удостоверений, которые позволяют аутентифицировать отправителя, а затем специальная служба сертификации скрепляет весь подготовленный таким образом пакет своей цифровой подписью. В пакет включается и удостоверение, подтверждающее полномочия службы сертификации, с идентификатором этой службы.
В процессе формирования сертифицированного пакета сообщения важнейшим звеном является служба сертификации. Такая служба должна пользоваться доверием сторон, отсылающих и принимающих сообщения, которые добровольно передают ей полномочия на проверку аутентичности отправителей сообщений. В качестве службы сертификации может выступать как специальное подразделение большой корпорации, так и независимая организация.
На сегодняшний день не существует единой сети распространения открытых ключей, что объясняется, как это часто бывает, «войной стандартов». Развиваются несколько независимых систем, однако ни одна из них не получила довлеющего превосходства над другими, которое называется «мировым стандартом».
К основным функциям службы сертификации относятся:
На службу сертификации возлагается функция проверки личности отправителя и удостоверения того факта, что открытый ключ действительно принадлежит данному отправителю.
После того как служба приходит к положительному заключению относительно достоверности этих данных, она упаковывает ключ и удостоверение отправителя в сертифицированный пакет и отправляет его адресату.
Одна из особенностей использования механизма сертификации состоит в том, что отправитель и получатель сообщений должны полностью доверять службе сертификации, услугами которой они пользуются. Для этого, как правило, нужно последовательно пройти через несколько служб, образующих иерархическую «цепь доверия», пока в ней не встретится узел, общий для ветвей обеих сторон.
В такой иерархической цепи каждая служба сертификации более низкого уровня получает полномочия и «сертификат доверия» от службы сертификации более высокого уровня (рис. 4).
Идея состоит в том, что если каждая из сторон доверяет «своей» службе сертификации, то она доверяет и той службе более высокого уровня, которая удостоверила надежность первой службы сертификации, а также той службе следующего уровня, которая удостоверила надежность второй, и так до тех пор, пока в цепи не встретится служба сертификации, общая для обеих восходящих ветвей.
Совместное использование цифровой подписи и шифрования получило название процесса создания оболочки сообщения или защищённой цифровой подписи. Заключаемое в оболочку сообщение сначала подписывается с использованием личного ключа отправителя, предназначенного специально для подписей, затем подписанное сообщение зашифровывается с помощью открытого ключа получателя. Когда такое заключенное в оболочку сообщение доходит по назначению, получатель в первую очередь расшифровывает его с помощью своего личного ключа, а затем проверяет достоверность подписи, используя открытый ключ отправителя (рис. 5).
Формирование оболочки сообщения преследует двоякую цель:
Необходимость в информационной безопасности вытекает из самой природы сетевых служб, сервисов и услуг. Основу любой сетевой службы составляет пара программ: клиент и сервер, работающих совместно по установленным правилам. Эти правила закреплены в протоколах сетевых служб. Протоколы – это стандарты, определяющие формат и процедуру обмена данными между клиентом и сервером.
Как серверные, так и клиентские программы, реализующие сетевые протоколы, имеют необходимые средства для выполнения разрешённых операций. Те операции, которые выходят за рамки утвержденных протоколов, считаются небезопасными, а если они к тому же выполняются несанкционированно, т. е. без ведома сопредельной стороны, то считаются запрещёнными и образуют состав административного правонарушения или уголовного преступления.
Более половины протоколов сети Интернет являются открытыми, т. е. передают данные (например, введённые пароли) в незашифрованном виде – открытым текстом. К ним относятся протоколы передачи электронной почты SМТР и РОР3, протокол передачи файлов FТР, одна из схем авторизации на WWW-серверах.
Кроме того, угрозы сетевой безопасности могут возникать из следующей ситуации. Новые протоколы создаются весьма редко, а старые действуют очень долго – иногда десятки лет. За это время информационные технологии успевают уйти далеко вперёд, и возникает разрыв между тем, что технически возможно осуществить в сети, и тем, что разрешено устаревшими протоколами. Стремясь улучшить взаимодействие между серверными и клиентскими программами, программисты непрерывно работают над расширением их возможностей. Здесь возникает противоречие между желаемым и разрешённым.
Чтобы расширить взаимодействие между сервером и браузером, владелец сервера склоняет клиента к расширению возможностей его браузера (ускорение загрузки web-страниц, упрощение поиска информации в сети, защита от рекламы). В этот момент и возникает угроза сетевой безопасности. Например, при установке расширения браузера можно получить в итоге программу-агента, которая под управлением сервера будет хозяйничать в операционной системе клиента. Вопросы сетевой безопасности находятся в тонком балансе между тем, что хочется себе позволить в сети, и тем, что это будет стоить в смысле безопасности.
Общий принцип такой: чем сложнее система, чем больше функциональных возможностей она предлагает, тем труднее обеспечить в ней контроль за должным уровнем безопасности.
Стандартные сетевые средства, которые устанавливаются вместе с ОС Windows XP, не обеспечивают достаточного уровня безопасности. Эти средства можно использовать в качестве учебных или бытовых. В случае корпоративного подключения к сети Интернет служебных компьютеров необходимо принимать
специальные меры. В защищённой системе подключение к сети Интернет осуществляется со специально выделенных компьютеров, не связанных с локальной сетью предприятия. Если же выделение таких компьютеров невозможно, следует:
Угроза удалённого администрирования
Под удалённым администрированием понимается несанкционированное управление удаленным компьютером. Удалённое администрирование позволяет брать чужой компьютер под своё управление. Это может позволить копировать и модифицировать имеющиеся на нём данные, устанавливать на нём произвольные программы, в том числе и вредоносные, использовать компьютер для совершения преступных действий в сети Интернет от его имени.
Удалённое администрирование достигается двумя методами: установкой троянской программы и использованием уязвимостей компьютерных систем.
Троянская программа представляет собой программу, устанавливаемую на компьютере «жертвы» как аналог сервера, с которой злоумышленник может создать удалённое соединение в то время, когда «жертва» находится в сети. По своим признакам трояны в значительной степени напоминают компьютерные вирусы.
Для поражения компьютера троянской программой кто-то должен её запустить на этом компьютере.
Обычный метод установки троянских программ на посторонних компьютерах связан с психологическим воздействием на пользователя. Наиболее часто практикуется рассылка вредоносных программ в виде приложений к сообщениям электронной почты. В тексте сообщения указывается, насколько полезна и выгодна эта программа.
У злоумышленников есть средства подделать адрес отправителя так, чтобы их письмо выглядело, как письмо от знакомого. Бывают случаи, когда троянские программы распространяются в виде циркулярных писем типа «примени сам и передай товарищу». Кроме электронной почты злоумышленники используют распространение троянских программ через компакт-диски под видом программ для сети Интернет.
Для защиты от троянских программ необходимо:
1. Ограничить доступ посторонних лиц к сетевым компьютерам обычными административными способами.
2. Никогда не запускать программы, поступающие вместе с электронной почтой, независимо от того, что написано в сопроводительном сообщении.
3. Никогда не отправлять программы в виде приложений к сообщениям электронной почты. Если нужно передать полезную программу, лучше указать URL-адрес, по которому можно получить программу. У каждой действительно полезной программы в сети Интернет есть источник.
4. Никогда не устанавливать на сетевых служебных компьютерах непроверенное программное обеспечение, распространяемое в виде сборников на
компакт-дисках.
Другой метод основан на использовании уязвимостей (ошибок), имеющихся в программном обеспечении компьютерной системы партнёра по связи. Цель этого метода – выйти за рамки общения с клиентской (серверной) программой и напрямую воздействовать на операционную систему, чтобы через неё получить доступ к другим программам и данным.
Программы, используемые для эксплуатации уязвимостей компьютерных систем, называются эксплоитами.
Этот вид угрозы редко опасен для клиента. Атакам программ-эксплоитов в основном подвергаются серверы.
Стратегия злоумышленников обычно реализуется в три этапа:
выяснение состава программ и оборудования в локальной сети «жертвы»;
разыскивание информации об известных ошибках в данных программах (об уязвимостях);
подготовка программ-эксплоитов (использование ранее подготовленных программ) для эксплуатации обнаруженных уязвимостей.
Защита от этого вида угроз:
1. Контроль администрации серверов внешних обращений с целью выяснения программно-аппаратной конфигурации сервера.
Одной из функций сервер-приложения должно быть формирование и обновление журналов защиты и аудита событий.
В этих журналах необходимо фиксировать:
возможные действия нарушителей. К действиям нарушителя относится попытка подбора комбинации имени пользователя и пароля для доступа к приложению;
IР-адрес нарушителя, его регистрационное имя, сведения о том, что именно было сделано, какие команды запущены, какие сведения переданы, что привело к ошибке, время и дату события;
при наблюдении за базой данных, содержащей конфиденциальную информацию, следует фиксировать имена всех пользователей, получивших доступ к этой информации, отмечать все изменения данных, дату и время каждого события.
Угроза активного содержимого
Активное содержимое – это активные объекты, встроенные в web-страницы. В отличие от пассивного содержимого (текстов, рисунков, аудиоклипов), активные объекты включают в себя не только данные, но и программный код.
Агрессивный программный код, попавший на компьютер «жертвы», способен вести себя как компьютерный вирус или как агентская программа. Так, например, он может производить разрушение данных, но может взаимодействовать с удалёнными программами и, тем самым, работать как средство удалённого администрирования или готовить почву для его установки.
К встраиваемым компонентам web-страниц относятся Jаvа-апплеты и элементы ActiveX.
Jаvа-апплеты – это специальные программные компоненты, предназначенные для встраивания в web-страницы и передачи их на компьютер пользователя, где они и выполняются в режиме интерпретации специальным модулем браузера (средства просмотра web-страниц).
Схема применения апплетов выглядит следующим образом: апплет создаётся, компилируется и сохраняется на web-сервере. В web-страницу, выставляемую на сервере, вставляется ссылка на местоположение апплета. При получении страницы с сервера браузер загружает апплет и начинает его выполнять.
Поскольку апплет выполняется на стороне клиента (т.е. на компьютере пользователя), существует потенциальная опасность того, что полученная из сети неизвестная программа может оказать разрушающее воздействие на локальную систему или прочитать конфиденциальную информацию.
Разрушающие воздействия могут выражаться, например:
в удалении или искажении файлов;
в запуске программ, потребляющих ресурсы системы (которые ограничены), что может привести к деградации и вынужденной перезагрузке системы;
в уничтожении других приложений, выполняющихся параллельно.
По этой причине апплеты должны удовлетворять ограничениям безопасности, обеспечиваемым как самим языком Java, так и браузерами, в составе которых выполняются апплеты. Апплет не может:
осуществлять операции чтения-записи в локальной файловой системе; просматривать содержимое каталогов; создавать, удалять, переименовывать файлы и каталоги;
устанавливать сетевые соединения с другими компьютерами, кроме компьютера, с которого он был загружен;
запускать на выполнение другие программы на компьютере, где он сам выполняется;
использовать библиотеки других языков программирования (например, языка С++), хотя сам язык Java такую возможность предоставляет;
изменять системные параметры (Java-апплет может читать только некоторые из системных параметров, например, имя и версию операционной системы).
Проверка соблюдения правил безопасности встроена в язык Java (специальный класс java.lang.SecurityManager) и выполняется браузером (экземпляр этого класса выполняется в составе виртуальной Java-машины браузера). Если обнаружено нарушение правил безопасности, возникает исключение, сигнализирующее о возникновении ситуации, требующей специальной обработки. Апплет перехватывает исключение и реагирует заданным образом.
Элементы управления ActiveX – это самостоятельные программные компоненты, которые выполняются в среде программы-приложения, в которое они встроены. Возможность использования их на web-страницах обеспечивается браузером, как в случае MS Internet Explorer, или дополнительными модулями к браузеру – в случае Netscape Navigator.
Использование элементов ActiveX позволяет существенно расширить функциональные возможности при работе с web-страницами. Стандартные элементы управления ActiveX, разработанные фирмой Microsoft, могут быть использованы, например, для отображения дерева каталогов клиентского компьютера, для работы с содержимым баз данных, для реализации мультимедийных эффектов, для отображения данных способом, не возможным в рамках языка написания web-страниц (NTML), например, вывести текст под углом, и др.
При загрузке web-страницы браузер проверяет, установлен ли элемент управления на компьютере пользователя, и в случае отсутствия автоматически начинает процедуру загрузки элемента ActiveX с сервера.
Стратегия безопасности для элементов управления ActiveX отличается от рассмотренной для Java-апплетов. Если средства разработки Java-апплетов вообще не позволяют им обращаться к информации, расположенной на компьютере пользователя, то на элементы ActiveX таких ограничений не накладывается. Дело в том, что элементы ActiveX используются не только в web-приложениях, но и как строительные единицы при разработке обычных приложений, поэтому они имеют доступ ко всем функциональным возможностям ОС.
Поэтому безопасность обеспечивается совместным использованием системы безопасности браузера и мероприятиями, связанными с регистрацией и установкой элементов управления ActiveX на компьютере пользователя. Прежде чем загрузить элемент управления ActiveX с сервера, браузер проверяет, снабжён ли он цифровой подписью.
Правом подписывать элементы управления обладают разработчики, получившие сертификат подлинности, подтверждающий правильность и подлинность информации о фирме или индивидуальном программисте.
Если цифровая подпись имеется, то в диалоговом окне будет отображено её содержимое (название фирмы-разработчика, название и дата регистрации элемента управления ActiveX, название организации, выдавшей сертификат подлинности). В противном случае на экран выдаётся предупреждение об отсутствии регистрации данного элемента управления. Пользователь должен сам решить, стоит ли загружать такой элемент управления, который создан неизвестно кем и может быть потенциально опасен.
Если элемент управления был однажды установлен на компьютере пользователя, то при загрузке новых версий этого же элемента наличие цифровой подписи не проверяется.
Принято считать, что безопасный элемент управления ActiveX не должен выполнять следующих действий:
• доступ к информации, расположенной на локальном компьютере, включая информацию о пользователе;
• предоставление закрытой, частной информации о локальном компьютере или сети;
• модификация и разрушение информации, находящейся на локальном компьютере или в сети;
• ошибки в работе элемента управления, которые потенциально могут полностью вывести из строя браузер;
• полный захват процессора или памяти компьютера во время своей работы;
• выполнение потенциально опасных системных команд, включая выполнение загрузочных модулей.
Для того чтобы пользователь был уверен, что все эти действия действительно не выполняются элементом управления ActiveX, разработчик обычно включает в процедуру установки элемента управления его регистрацию как безопасного. При использовании элемента управления на web-странице браузер проверяет, отмечен ли он в системном реестре как безопасный. Если это не так, то на экран будет выведено окно с предупреждением о небезопасности выполнения данного элемента управления.
Определённые действия на стороне пользователя могут выполнять также сценарии (скрипты) на языках JavaScript и VBScript, программный код которых встраивается непосредственно в web-страницу. Возможности, предоставляемые языками JavaScript и VBScript, ограничиваются управлением окнами браузера и отображения содержимого страницы. Поэтому потенциальная опасность таких скриптов невелика. В качестве негативных последствий можно указать некорректную работу с браузером, что может привести к его «зависанию», а также «навязчивую рекламу», выражающуюся в независящем от желания пользователя открытии новых окон браузера и загрузки в них других web-страниц.
Защищающаяся сторона должна оценить угрозу своему компьютеру и соответственно настроить браузер так, чтобы опасность была минимальна. Если угроза нежелательна, приём Java-апплетов, элементов ActiveX и активных сценариев можно отключить или запрашивать разрешение на приём того или иного активного объекта.
Угроза перехвата или подмены данных на путях транспортировки
С проникновением сети Интернет в экономику очень остро встаёт угроза перехвата или подмены данных на путях транспортировки. Так, например, расчет электронными платёжными средствами (картами платёжных систем) предполагает отправку покупателем конфиденциальных данных о своей карте продавцу. Если эти данные будут перехвачены на одном из промежуточных серверов, нет гарантии, что ими не воспользуется злоумышленник.
Кроме того, через Интернет передаются файлы программ. Подмена этих файлов на путях транспортировки может привести к тому, что вместо ожидаемой программы клиент получит её аналог с «расширенными» свойствами, т. е. программу-агента.
Физическая защита системы и данных может быть осуществлена только в отношении локальных компьютеров и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяжённость. Поэтому для обеспечения конфиденциальности и целостности передаваемых данных используются криптографические методы.
Защита сеансов работы с сетевыми сервисами базируется на методах асимметричного шифрования, что вызвано возможностью использования открытых ключей. При этом в зависимости от конкретных протоколов применения одного и того же алгоритма могут быть достигнуты различные цели.
шифрование: открытый ключ (ОК) адресата – расшифровка: личный ключ (ЛК) адресата.
шифрование: ЛК отправителя, ОК адресата – расшифровка: ЛК адресата, ОК отправителя.
шифрование: ЛК подписи – расшифровка: ОК проверки подписи.
При обмене информацией в сети могут быть использованы и симметричные алгоритмы шифрования. В этом случае сначала проводится защищенный сеанс связи, в ходе которого одна сторона передаёт другой ключ. Секретность передаваемого ключа обеспечивается асимметричным шифрованием. Затем стороны могут обмениваться зашифрованными сообщениями в ходе обычных незащищённых сеансов.
Для использования криптографических методов при пересылке сообщений в WWW был разработан протокол Secure Sokets Layer (SSL). Протокол SSL используется, например, в системах электронной коммерции для обеспечения секретности передачи информации о кредитной карточке покупателя. SSL использует технологии шифрования (RSA-алгоритм) и сертификации, которые позволяют:
• идентифицировать сервер и, возможно, клиента;
• выполнить в защищённом режиме передачу ключа сеанса обмена сообщениями с помощью технологии асимметричного шифрования.
После завершения этого процесса переданный ключ используется обеими сторонами для шифрования и обмена информация с помощью обычных пользовательских протоколов (НТТР, FТР, SМТР).
Для аутентификации используются сетевые протоколы:
• SSL – аутентификация пользователя к сайту;
• SSL версии 2 – односторонний метод с аутентификацией только сервера. Используется, когда необходимо поднять доверие к предлагаемому сервису;
• SSL версии 3 – двухсторонний метод аутентификации клиента и сервера;
• IPSEC – аутентификация сайта к сайту;
• SET – аутентификация пользователя к приложению.
Кроме протокола SSL RSA-алгоритм лежит в основе других защищённых протоколов: РЕМ (Privacy Enhanxed Mail) – усовершенствованная секретная почта; S/MIME, PEM-MIME, S-HTTP.
Угроза вмешательства в личную жизнь
В основе этой угрозы лежат коммерческие интересы рекламных организаций. В настоящее время годовой рекламный бюджет сети Интернет составляет несколько десятков миллионов долларов США. В желании увеличить свои доходы от рекламы множество компаний организуют web-узлы не столько для того, чтобы предоставлять клиентам сетевые услуги, сколько для того, чтобы собирать о них персональные сведения. Эти сведения обобщаются, классифицируются и поставляются рекламным и маркетинговым службам. Процесс сбора персональной информации автоматизирован, не требует практически никаких затрат и позволяет без ведома клиентов исследовать их предпочтения, вкусы, привязанности.
При приёме рекламных объявлений (баннеров) браузер устанавливает связь с владельцем (рекламной системой) и незаметно от пользователя регистрируется в этой системе. Можно не обращать внимание на эту рекламу и никогда ею не пользоваться, но, переходя от одной web-страницы к другой, пользователь создаёт свой психологический портрет (профиль). По характеру посещаемых web-узлов и страниц удалённая служба способна определить пол, возраст, уровень образования, род занятий, круг интересов, уровень благосостояния и даже характер заболевания лица, которое никогда к ней не обращалось. Достаточно хотя бы один раз зарегистрироваться где-то под своим именем и фамилией, и ранее собранные абстрактные сведения приобретают вполне конкретный характер – так образуются негласные персональные базы данных на участников работы в сети Интернет.
Полученные данные могут использоваться как легально, так и нелегально. Классифицированные базы данных являются товаром: они продаются и покупаются, переходят из рук в руки и становятся основой для деятельности многих организаций самого разного профиля.
Источники персональной информации
Наиболее простым и очевидным источником для сбора сведений об активности клиентов сети Интернет являются маркеры cookie. Согласно протоколу НТТР браузер может отправить серверу запрос на поставку одного web-ресурса и никак при этом серверу не представляться. В своей основе служба WWW должна быть анонимной.
Тем не менее иногда возникает целесообразность в представлении браузера серверу (например, интернет-магазины, почтовые web-серверы). Исходя из этой целесообразности разработчики протокола НТТР предусмотрели несложный и, как им казалось, безобидный механизм представления браузера серверу с помощью маркеров cookie.
Согласно протоколу НТТР сервер может передать браузеру небольшой пакет данных, в которых закодирована информация, нужная серверу для идентификации браузера и настройки на работу с ним. Этот пакет временно запоминается в оперативной памяти компьютера и выполняет роль маркера (метки).
Если в ходе работы браузер вновь обратится к тому же web-узлу, то при обращении к нему он предъявляет ранее принятый маркер, и сервер сразу же понимает, с каким клиентом он имеет дело.
Маркеры могут быть временные и постоянные. Временный маркер хранится в оперативной памяти до тех пор, пока браузер работает. По окончании его работы все временные маркеры, полученные от серверов, уничтожаются. Однако серверы по непонятным причинам предпочитают отправлять браузеру не временные, а постоянные маркеры.
Накопившиеся в памяти постоянные маркеры по завершении работы браузера переносятся на жёсткий диск в виде файлов cookie. Так происходит маркировка жёсткого диска и компьютера клиента. При последующих выходах в Интернет в момент запуска браузера происходит считывание накопившихся маркеров cookie в оперативную память, откуда браузер предъявляет их серверам, которые их поставили. Физической угрозы эти маркеры не представляют (это файлы данных), но они представляют угрозу в смысле вмешательства в личную жизнь.
Правовой режим маркеров cookie
Существует два основных механизма использования маркеров cookie для несанкционированного сбора сведений о клиенте.
1. Нелегальный. Связан с тем, что сервер может прочитать не только те маркеры, которые поставил сам, но и те, которые поставили другие серверы. Этот механизм должен блокироваться браузером, но из-за уязвимостей в браузерах и в операционных системах серверы имеют средства для получения таких данных.
2. Легальный. Основан на широком распространении рекламными службами на подавляющем количестве web-узлов своих графических объектов разной тематической направленности (рекламных баннеров). Посетители web-узлов получают вместе с рекламными баннерами связанные с ними маркеры cookie. Получается, что служба, к которой клиенты никогда не обращались, постоянно маркирует их компьютеры и впоследствии может точно восстановить картину движения клиентов по web-узлам сети Интернет. Этим занимаются также компании, размещающие счётчики посещений на web-страницах своих заказчиков.
Угроза поставки неприемлемого содержимого
Не вся информация, публикуемая в сети Интернет, может считаться общественно полезной. Существует масса причин морально-этического, религиозного, культурного и политического характера, когда людям может быть неприятна поставляемая информация и они хотят от неё защититься.
В большинстве стран мира Интернет пока не считается средством массовой информации (СМИ). Это связано с тем, что поставщик информации не занимается её копированием, тиражированием и распространением, т. е. не выполняет функции СМИ. Всё это делает сам клиент в момент использования гиперссылки. Поэтому обычные законы о СМИ, регламентирующие, что можно распространять, а что нет, в сети Интернет пока не работают.
В настоящее время функции фильтрации поступающего содержания возлагают на браузер или на специально установленную для этой цели программу.
Особенности электронной почты как сетевого сервиса
Характерная особенность электронной почты (ЭП) в том, что её работа основана на двух прикладных протоколах. Соответственно работа ЭП обеспечена двумя серверами: сервером исходящих сообщений и сервером входящих сообщений. Необходимость в наличии двух разных протоколов связана с требованиями безопасности.
При отправке сообщений обычно не нужна строгая процедура идентификации отправителя. Служба исходящих сообщений основана на протоколе SМТР (простейший протокол передачи почты).
Для получения сообщения клиент должен предъявить определённые права. Наиболее распространённым протоколом этой службы является РОР3 (протокол почтового отделения, версия 3).
Обычная ЭП, основанная на протоколах SМТР и РОР3, называется e-mail. В последние годы получила развитие другая система ЭП сети Интернет, основанная на службе WWW и называющаяся web-mail. Это не самостоятельная служба, а сервис, реализованный средствами службы WWW на основе протокола НТТР. Со стороны сети Интернет этот сервис поддерживается web-серверами, а на клиентской стороне для работы с ним достаточно иметь обычный web-браузер.
К отдельным сообщениям ЭП принято подходить как к записям базы данных (БД). В этом смысле «почтовый ящик» РОР3 представляет собой удалённую БД, а сообщения, принятые на компьютер, образуют локальную БД. Прием и отправка сообщений эквивалентны операциям копирования записей из одной базы данных в другую.
Сообщение, как и любая запись БД, имеет поля (например, адрес получателя, тема сообщения и др.) С содержимым отдельных полей можно работать порознь. Эта особенность сообщений ЭП активно используется почтовыми клиентами.
Сообщение ЭП состоит из двух больших разделов: заголовка и тела сообщения. Тело сообщения представляет собой текстовый фрагмент в АСSII-кодах и не может представлять угрозы безопасности (например, содержать вирусы).
Механизм почтовых вложений позволяет пересылать вместе с текстовыми сообщениями документы нетекстовой природы. Поле с информацией о наличии вложенного файла содержится в заголовке сообщения. В большинстве почтовых систем сообщение, содержащее вложение, помечается значком скрепки.
Угрозы безопасности при работе с ЭП
При работе с ЭП выделяют следующие угрозы и уязвимости:
угроза нарушения конфиденциальности информации;
отказ в обслуживании;
заражение компьютерным вирусом.
Во избежание утечки конфиденциальной информации в почтовом обмене используются криптографические методы.
Отказ в обслуживании наступает в случае целенаправленного вывода из строя почтового сервера адресата, например в результате переполнения поступающими сообщениями (почтовой бомбардировки). Почтовая бомбардировка – это целенаправленная злонамеренная акция по переполнению «почтового ящика» жертвы путем массовой отправки незатребованной корреспонденции. Рассылка незатребованной информации называется спамом.
В качестве меры противодействия рекомендуется:
• использование почтовых клиентов, способных анализировать поступающие сообщения на сервере без загрузки их на компьютер пользователя (фильтры и почтовые правила);
• не следует широко публиковать свой адрес ЭП. При необходимости публикации своего адреса открывают учётную запись в одной из бесплатных служб web-mail и используют её в качестве временной. При передаче своего адреса по сети следует иметь в виду, что существуют автоматические программные средства, занимающиеся просмотром файлов любых типов в поисках имеющихся в них адресов е-mail. Обычно эти средства разыскивают в документах символ @. Поэтому рекомендуется его заменять каким-либо другим символом, понятным человеку: например, вместо:
myname@abcd.com. – myname#abcd.com.
Еще надёжнее метод, когда вместо имени адресата используется стандартный шаблон, например NOSPAM:
nospammyname#abcd.com.
Через механизм ЭП можно получить как классические, так и особые «почтовые» вирусы. Классические вирусы распространяются в виде исполнимых файлов, вложенных в сообщения ЭП.
Механизм работы «почтовых» вирусов основан на эксплуатации уязвимостей, имеющихся в отдельных почтовых программах (например, Outlook Express).
Для срабатывания почтового вируса даже не требуется запускать на исполнение файл-вложение, достаточно просто открыть сообщение. Поэтому при получении неожиданного сообщения с вложенным файлом следует удалять его, даже не просматривая.
Примером распространяемого по почте вируса является «червь» МуРаrtу. «Червь» представляет собой приложение Windows, написанное на MS Visual С++, размером около 30К (упакован утилитой UРХ). Заражённое письмо содержит следующий текст:
Hello! My party …It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
Файл-вложение имеет имя www.myparty.yahoo.com. Как видно, файл-носитель искусно замаскирован под адрес web-сайта. Действительно, многие почтовые системы способны отображать тело сообщения как документ НТМL со вставленными в текст гиперссылками. Тонкий расчёт сделан на уверенность пользователя, что при двойном щелчке на вложении он попадёт на некий адрес в сети Интернет.
Однако на самом деле при его запуске на компьютере устанавливается программа-шпион для удалённого несанкционированного управления. Затем вирус сканирует базы данных Адресной книги Windows и незаметно, якобы от имени владельца заражённого компьютера, рассылает свои копии по электронной почте. При этом «червь» использует прямое подключение к SМТР-серверу, имя которого определяет по системным настройкам электронной почты.
Многие почтовые антивирусные сканеры не воспринимают прикреплённый МуРаrtу-файл как приложение, поэтому он не детектируется. Причина этого кроется в некой «ошибке» самого «червя», позволяющей искажать расширения приложения. В соответствии со стандартами, действующими для почтовых отправлений в сети Интернет, подобные письма не могут ни быть приняты, ни отосланы обратно отправителю. Благодаря «ошибке» в коде «червя», почтовые программы принимают письма или же исправляют дефектные сообщения (например, МS Outlook, MS Outlook Express). В результате происходит активация «червя» и он может беспрепятственно проникать в систему пользователя.
Обеспечению информационной безопасности способствуют как общий прогресс информационных технологий, так и постоянное противоборство нападающих и защищающихся. Это возможно лишь с применением широкого спектра защитных средств, объединённых в продуманную архитектуру.
Комплексный подход к обеспечению безопасности основан на интеграции различных подсистем связи, подсистем обеспечения безопасности в единую систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных.
Комплексная безопасность предполагает обязательную непрерывность процесса обеспечения безопасности как во времени, так и в пространстве (по всему технологическому циклу деятельности) с обязательным учётом всех возможных видов угроз (несанкционированный доступ, съём информации, терроризм, пожар, стихийные бедствия и т.п.).
По результатам анализа рисков с использованием критериев оптимизации формируются требования к системе безопасности конкретного предприятия и объекта в конкретной обстановке. Завышение требований приводит к неоправданным расходам, занижение – к возрастающей вероятности реализации угроз.
Реальная безопасность нуждается в каждодневной работе всех заинтересованных сторон.
1. Анин Б. Ю. Защита компьютерной информации. – СПб. : БХВ-Санкт-Петербург, 2000. – 384 с.
2. Аскеров Т. М. Защита информации и информационная безопасность : учеб. пособие / под общ. ред. К. И. Курбакова. – М. : Рос. экон. акад., 2001. – 387 с.
3. Барсуков В. С., Водолазный В. В. Современные технологии безопасности. – М. : Нолидж, 2000. – 496 с.
4. Беляев А. В. Методы и средства защиты информации : курс лекций. –http://www.citforum.ru/internet/infsecure/index.shtml
5. Быков В. А. Электронный бизнес и безопасность. – М. : Радио и связь, 2000. – 2000 с.
6. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. – М. : Военное издательство, 1992. – 12 с.
7. Лукацкий А. В. Новые грани обнаружения и отражения угроз – http://www.citforum.ru/internet/security/grani.shtml
8. Нечаев В. И. Элементы криптографии. Основы теории защиты информации : учеб. пособие для ун-тов и пед. вузов. – М. : Высш. шк., 1999. – 109 с.
9. Партыка Т. Л., Попов И. И. Информационная безопасность: учеб. пособие для студентов учреждений среднего профессионального образования. – М : ФОРУМ ; ИНФРА-М, 2007.– 368 с.
10. Петров А. А. Компьютерная безопасность. Криптографические методы защиты. – М. : ДМК, 2000. – 448 с.
11. Романец Ю. В., Тимофеев И. А., Шаньгин В. Ф. Защита информации в компьютерных системах и сетях. – М. : Радио и связь, 1999. – 328 с.
12. Теоретические основы компьютерной безопасности : учеб. пос. для вузов / Н. Н. Девянин, О.О. Михальский и др. – М. : Радио и связь, 2000. – 192 с.
|
[1] 1. ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ [1.1] 1.1. Актуальность проблемы обеспечения информационной [1.2] безопасности [1.3] 1.2. Принципы обеспечения информационной безопасности в автоматизированных системах [1.4] 1.3. Основные понятия и определения [2] 2. УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И МЕТОДЫ ИХ РЕАЛИЗАЦИИ [2.1] 2.1. Анализ угроз информационной безопасности [2.2] 2.2. Причины, виды и каналы утечки информации [2.3] 2.3. Основные методы реализации угроз информационной [2.4] безопасности [3] 3. ОСНОВНЫЕ НАПРАВЛЕНИЯ ИСПОЛЬЗОВАНИЯ СРЕДСТВ [4] И МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ [4.1] 3.1. Программные средства обнаружения и отражения угроз [4.2] 3.2. Средства и методы обеспечения целостности информации [4.3] 3.3. Средства и методы обеспечения конфиденциальности [4.4] информации [4.5] 3.4. Оценка рисков и политика безопасности [5] 4. ЗАЩИТА ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ [5.1] 4.1. Компьютерные вирусы [5.2] 4.2. Средства и методы антивирусной защиты [5.3] 4.3. Типы антивирусных программ [6] 5. ПАРОЛЬНЫЕ СИСТЕМЫ [6.1] 5.1. Общие подходы к построению парольных систем [6.2] 5.2. Выбор паролей [6.3] 5.3. Хранение паролей [6.4] 5.4. Передача пароля по сети [7] 6. ШИФРОВАНИЕ ДАННЫХ. АЛГОРИТМЫ ШИФРОВАНИЯ [7.1] 6.1. Особенности криптографического и стеганографического преобразований информации [7.2] 6.2. Стойкость алгоритмов шифрования [7.3] 6.3. Типы алгоритмов шифрования [7.4] 6.4. Примеры криптографических алгоритмов [7.5] 6.5. Вопросы реализации криптографических алгоритмов [8] 7. ЭЛЕКТРОННО-ЦИФРОВАЯ ПОДПИСЬ [8.1] 7.1. Технология использования электронно-цифровой подписи [8.2] 7.2. Асимметричное шифрование и сертификация [8.3] 7.3. Службы сертификации [8.4] 7. 4. Цепи сертификации [8.5] 7.5. Формирование оболочки сообщения [9] 8. БЕЗОПАСНОСТЬ РАБОТЫ В СЕТИ ИНТЕРНЕТ [9.1] 8.1. Особенности защиты при работе с сетевыми сервисами [9.2] 8.2.Основные виды нарушения сетевой безопасности [9.3] 8.3. Безопасность работы с электронной почтой [10] Заключение [11] БИБЛИОГРАФИЧЕСКИЙ СПИСОК [12] ОГЛАВЛЕНИЕ |
|
[1] 1. ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ [1.1] 1.1. Актуальность проблемы обеспечения информационной [1.2] безопасности [1.3] 1.2. Принципы обеспечения информационной безопасности в автоматизированных системах [1.4] 1.3. Основные понятия и определения [2] 2. УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И МЕТОДЫ ИХ РЕАЛИЗАЦИИ [2.1] 2.1. Анализ угроз информационной безопасности [2.2] 2.2. Причины, виды и каналы утечки информации [2.3] 2.3. Основные методы реализации угроз информационной [2.4] безопасности [3] 3. ОСНОВНЫЕ НАПРАВЛЕНИЯ ИСПОЛЬЗОВАНИЯ СРЕДСТВ [4] И МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ [4.1] 3.1. Программные средства обнаружения и отражения угроз [4.2] 3.2. Средства и методы обеспечения целостности информации [4.3] 3.3. Средства и методы обеспечения конфиденциальности [4.4] информации [4.5] 3.4. Оценка рисков и политика безопасности [5] 4. ЗАЩИТА ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ [5.1] 4.1. Компьютерные вирусы [5.2] 4.2. Средства и методы антивирусной защиты [5.3] 4.3. Типы антивирусных программ [6] 5. ПАРОЛЬНЫЕ СИСТЕМЫ [6.1] 5.1. Общие подходы к построению парольных систем [6.2] 5.2. Выбор паролей [6.3] 5.3. Хранение паролей [6.4] 5.4. Передача пароля по сети [7] 6. ШИФРОВАНИЕ ДАННЫХ. АЛГОРИТМЫ ШИФРОВАНИЯ [7.1] 6.1. Особенности криптографического и стеганографического преобразований информации [7.2] 6.2. Стойкость алгоритмов шифрования [7.3] 6.3. Типы алгоритмов шифрования [7.4] 6.4. Примеры криптографических алгоритмов [7.5] 6.5. Вопросы реализации криптографических алгоритмов [8] 7. ЭЛЕКТРОННО-ЦИФРОВАЯ ПОДПИСЬ [8.1] 7.1. Технология использования электронно-цифровой подписи [8.2] 7.2. Асимметричное шифрование и сертификация [8.3] 7.3. Службы сертификации [8.4] 7. 4. Цепи сертификации [8.5] 7.5. Формирование оболочки сообщения [9] 8. БЕЗОПАСНОСТЬ РАБОТЫ В СЕТИ ИНТЕРНЕТ [9.1] 8.1. Особенности защиты при работе с сетевыми сервисами [9.2] 8.2.Основные виды нарушения сетевой безопасности [9.3] 8.3. Безопасность работы с электронной почтой [10] Заключение [11] БИБЛИОГРАФИЧЕСКИЙ СПИСОК [12] ОГЛАВЛЕНИЕ |
1
Лат. «Пришёл, увидел, победил» (Цезарь Ю. Донесение Сенату о победе над понтийским царём).