Денежные потоки

 

Однако в качестве перспективного подхода к защите от компьютерных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирусные платы, которые вставляются в стандартные слоты расширения компьютера.

Проблема защиты информации от несанкционированного доступа особо  обострилась с широким распространением локальных и, особенно, глобальных компьютерных сетей. Необходимо также отметить, что зачастую ущерб наносится не из-за "злого умысла", а из-за элементарных ошибок пользователей, которые случайно портят или удаляют жизненно важные данные. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей.

В компьютерных сетях  при организации контроля доступа  и разграничения полномочий пользователей  чаще всего используются встроенные средства сетевых операционных систем.

В то же время в такой  системе организации защиты все  равно остается слабое место: уровень  доступа и возможность входа  в систему определяются паролем. Не секрет, что пароль можно подсмотреть  или подобрать. Для исключения возможности неавторизованного входа в компьютерную сеть в последнее время используется комбинированный подход - пароль + идентификация пользователя по персональному "ключу". В качестве "ключа" может использоваться пластиковая карта (магнитная или со встроенной микросхемой - smart - сard) или различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза или отпечатков пальцев, размерам кисти руки и так далее.

Оснастив сервер или  сетевые рабочие станции, например, устройством чтения смарт - карточек и специальным программным обеспечением, можно значительно повысить степень защиты от несанкционированного доступа. В этом случае для доступа к компьютеру пользователь должен вставить смарт - карту в устройство чтения и ввести свой персональный код. Программное обеспечение позволяет установить несколько уровней безопасности, которые управляются

 

системным администратором. Возможен и комбинированный подход с вводом дополнительного пароля, при этом приняты специальные меры против "перехвата" пароля с клавиатуры. Этот подход значительно надежнее применения паролей, поскольку, если пароль подглядели, пользователь об этом может не знать, если же пропала карточка, можно принять меры немедленно.

Смарт-карты управления доступом позволяют реализовать, в частности, такие функции, как контроль входа, доступ к устройствам персонального компьютера, доступ к программам, файлам и командам. Кроме того, возможно также осуществление контрольных функций, в частности, регистрация попыток нарушения доступа к ресурсам, использования запрещенных утилит, программ, команд ВО8. Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos. В основе этой схемы авторизации лежат три компонента:

База данных, содержащая информацию по всем сетевым ресурсам, пользователям, паролям, шифровальным ключам и т.д.

Авторизационный сервер (authentication server), обрабатывающий все запросы пользователей на предмет получения того или иного вида сетевых услуг.

Авторизационный сервер, получая запрос от пользователя, обращается к базе данных и определяет, имеет  ли пользователь право на совершение данной операции. Примечательно, что пароли пользователей по сети не передаются, что также повышает степень защиты информации.

Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера "пропуск", содержащий имя пользователя и его сетевой адрес,

время запроса и ряд других параметров, а также уникальный сессионный ключ. Пакет, содержащий "пропуск", передается также в зашифрованном по алгоритму ОЕ8 виде. После получения и расшифровки "пропуска" сервер выдачи разрешений проверяет запрос и сравнивает ключи и затем дает "добро" на использование сетевой аппаратуры или программ.

 

 

По мере расширения деятельности предприятий, роста численности  персонала и появления новых филиалов, возникает необходимость доступа удаленных пользователей (или групп пользователей) к вычислительным и информационным ресурсам главного офиса компании. Компания Ва1;арго свидетельствует, что уже в 1995 году только в США число работников постоянно или временно использующих удаленный доступ к компьютерным сетям, составит 25 миллионов человек.

Чаще всего для организации удаленного доступа используются кабельные линии (обычные телефонные или выделенные) и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода.

В частности, в мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов - их разделение и передача параллельно по двум линиям что делает невозможным "перехват" данных при незаконном подключении "хакера" к одной из линий. К тому же используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможности расшифровки "перехваченных" данных. Кроме того, мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленные пользователи будут ограничены в доступе к отдельным ресурсам сети главного офиса.

Разработаны и специальные  устройства контроля доступа к компьютерным сетям по коммутируемым линиям.

Например, фирмой АТ&Т  предлагается модуль Remote Port Security Device (PRSD), представляющий собой два блока размером с обычный модем: RPSD Key (замок), устанавливаемый в центральном офисе, и КР8В Кеу (ключ), подключаемый к модему удаленного пользователя. RPSD Кеу и Lock позволяют установить несколько уровней защиты и контроля доступа, в частности: шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей; контроль доступа в зависимости от дня недели или времени суток (всего 14 ограничений).

Широкое распространение  радиосетей в последние годы поставило  разработчиков радиосистем перед необходимостью защиты информации от

 

"хакеров", вооруженных  разнообразными сканирующими устройствами. Были применены разнообразные  технические решения. Например, в  радиосети компании RAM Mobil Data информационные пакеты передаются через разные каналы и базовые станции, что делает практически невозможным для посторонних собрать всю передаваемую информацию воедино.

Криптографические средства защиты - это средства защиты данных при помощи криптографического преобразования, то есть преобразования данных шифрованием.

Криптография - наука, изучающая принципы, средства и методы преобразования данных с целью сокрытия их содержания, предотвращая, таким образом, их несанкционированное использование или скрытую модификацию.

В результате криптографического преобразования получается зашифрованный текст.

В качестве паролей большинство  исследователей не рекомендуют использовать: свои Ф.И.О., а также имена и фамилии близких родственников; свои номера телефонов; номерной знак своего автомобиля пароли, содержащие одинаковые буквы; комбинации букв на клавиатуре; дату рождения (свою, близких родственников, друзей, коллег по работе).

Для уменьшения ущерба от компьютерного преступления очень  важно своевременно его обнаружить. Для того, чтобы обнаружить компьютерное преступление или уязвимые места в системе информационной безопасности следует обращать внимание на: несанкционированные попытки доступа к файлам данных; кражи частей компьютеров; кражи программ; физическое разрушение оборудование; уничтожение данных или программ.

Это только самые очевидные признаки, на которые следует обратить внимание. Иногда эти признаки говорят о том, что преступление уже совершено, или, что не выполняются меры защиты. Они могут также свидетельствовать о наличии уязвимых мест - указать, где находится дыра в защите - и помочь наметить план действий по устранению уязвимого места. В то время как признаки могут помочь предотвратить его.

 

О наличии уязвимых мест в компьютерной безопасности могут  свидетельствовать следующие признаки:

Не разработано положение о защите информации или оно не соблюдается. Не назначен ответственный за информационную безопасность.

Пароли пишутся на компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими, или они появляются на компьютерном экране при их вводе.

Удаленные терминалы  и микрокомпьютеры оставляются  без присмотра в рабочие и нерабочие часы. Данные отображаются на компьютерных экранах, оставленных без присмотра.

Не существует ограничений  на доступ к информации, или на характер ее использования. Все пользователи имеют доступ ко всей информации и могут использовать все функции системы.

Отсутствует документация или она не позволяет делать следующее: понимать получаемые отчеты и формулы, по которым получаются результаты; модифицировать программы; готовить данные для ввода; исправлять ошибки; производить оценку мер защиты; понимать сами данные — их источники, формат хранения, взаимосвязи между ними.

Делаются многочисленные попытки войти в систему с  неправильными паролями.

Вводимые данные не проверяются на корректность и точность, или при их проверке много данных отвергается из - за ошибок в них, требуется сделать много исправлений в данных, не делается записей в журналах об отвергнутых транзакциях.

Имеют место выходы из строя системы, приносящие большие убытки.

Не производится анализ информации, обрабатываемой в компьютере, с целью определения необходимого для нее уровня безопасности.

Мало внимания уделяется  информационной безопасности. Хотя политика безопасности и существует, большинство  людей считает, что на самом деле она не нужна.

 

С целью защиты информации каждый пользователь должен знать и  осуществлять следующие меры:

Контроль доступа как  к информации в компьютере, так  и к прикладным программам. Необходимо иметь гарантии того, что только авторизованные пользователи имеют доступ к информации и приложениям.

Нужно требовать, чтобы  пользователи выполняли процедуры  входа в компьютер, и использовать это как средство для идентификации в начале работы. Чтобы эффективно контролировать компьютер, может оказаться наиболее выгодным использовать его как однопользовательскую систему.

Необходимо использовать уникальные пароли для каждого пользователя, которые не являются комбинациями данных пользователей, для аутентификации личности пользователя. Нужно внедрить меры защиты при администрировании паролей и ознакомить пользователей с наиболее общими ошибками, позволяющими совершиться компьютерному преступлению.

Процедуры авторизации. Необходимо разработать процедуры  авторизации, которые определяют, кто  из пользователей должен иметь доступ у той или иной информации и приложениям и предусмотреть соответствующие меры по внедрению этих процедур в организации. Также установить порядок в организации, при котором для использования компьютерных ресурсов, получения разрешения доступа к информации и приложениям и получения пароля требуется разрешение тех или иных начальников.

Защита файлов - помимо идентификации пользователей и  процедур авторизации необходимо разработать процедуры по ограничению доступа к файлам с данными:

использовать внешние  и внутренние метки файлов для  указания типа информации, который они содержат, и требуемого уровня безопасности; ограничить доступ в помещения, в которых хранятся файлы данных (библиотеки данных, архивы);

использовать организационные меры и программно - аппаратные средства для ограничения доступа к файлам только авторизованных пользователей; для этого необходимо:

Отключать неиспользуемые терминалы.

Закрывать комнаты, где  хранятся терминалы.

Разворачивать экраны компьютеров  так, чтобы они не были видны со стороны двери, окон и тех мест в помещениях, которые не контролируются.

Установить специальное  оборудование, например, устройства, ограничивающие число неудачных попыток доступа, устройства, обеспечивающие обратный звонок для проверки личности пользователей, использующих телефоны для доступа к компьютеру.

Программировать терминал отключаться после определенного  периода не использования.

Защита целостности  информации. Вводимая информация должна быть авторизована, полна, точна и должна подвергаться проверкам на ошибки. Необходимо проверять точность информации с помощью процедур сравнения результатов обработки с предполагаемыми результатами обработки. Например, можно сравнивать суммы или проверять последовательные номера.

Нужно проверять точность вводимых данных, проверяя их корректность: проверки на нахождение символов в допустимом диапазоне символов (числовом и буквенном); проверки на нахождение числовых данных в допустимом диапазоне чисел; проверки на корректность связей с другими данными сравнивающими входные данные с данными в других файлах; проверки на разумность, сравнивающие входные данные с ожидаемыми стандартными значениями; ограничения на транзакции, сравнивающие входные данные с административно установленными ограничениями на конкретные транзакции.

Если программное обеспечение  используется совместно, необходимо защищать его от скрытой модификации. Меры защиты при разработке программ должны включать процедуры внесения изменений в программу, ее приемки и тестирования до ввода в эксплуатацию.

Сделать меры защиты более  адекватными можно при помощи привлечения организаций, занимающихся тестированием компьютерной и информационной безопасности, при разработке мер  защиты в прикладных программах и  консуль