Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводятся законы о защите информации, которые рассматривают проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.
Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы.
Объединение компьютеров в компьютерную информационную сеть (КИС) привносит и новые трудности. Так как подразделение ведет работу с закрытой информацией, доступ к которой посторонним лицам строго запрещен, то возникает проблема защиты информации в КИС. Поэтому компьютерная информационная сеть (КИС) должна быть спроектирована таким образом, чтобы обеспечить надлежащую степень защищенности данных. Надо помнить, что от этого не должно страдать удобство пользователей и администраторов сети.
Для создания средств защиты информации необходимо определить природу угроз, формы и пути их возможного проявления и осуществления в автоматизированной системе. Для решения поставленной задачи все многообразие угроз и путей их воздействия приводится к простейшим видам и формам, которые были бы адекватны их множеству в автоматизированной системе.
Исследование опыта проектирования, изготовления, испытаний и эксплуатации автоматизированных систем говорят о том, что информация в процессе ввода, хранения, обработки и передачи подвергается различным случайным воздействиям. Причинами таких воздействий могут быть:
- отказы и сбои аппаратуры;
- помехи на линии связи от воздействий внешней среды;
- ошибки человека как звена системы;
- системные и системотехнические ошибки разработчиков;
- структурные, алгоритмические и программные ошибки;
- аварийные ситуации;
- другие воздействия.
Преднамеренные угрозы связаны с действиями человека, причинами которых могут быть определенное недовольство своей жизненной ситуацией, сугубо материальный интерес или простое развлечение с самоутверждением своих способностей, как у хакеров, и т.д.
Нет никаких сомнений, что на предприятии произойдут случайные или преднамеренные попытки взлома сети извне. В связи с этим обстоятельством требуется тщательно предусмотреть защитные мероприятия.
Для вычислительных систем характерны следующие штатные каналы доступа к информации:
- терминалы пользователей, самые доступные из которых это рабочие станции в компьютерных классах;
- терминал администратора системы;
- терминал оператора функционального контроля;
- средства отображения информации;
- средства загрузки программного обеспечения;
- средства документирования информации;
- носители информации;
- внешние каналы связи.
Архитектура защиты компьютерной информации строится таким образом, чтобы злоумышленник столкнулся с множеством уровней защиты информации: защита сервера посредством разграничения доступа и системы аутентификации (диплом «защита информации») пользователей и защита компьютера самого пользователя, который работает с секретными данными. Защита компьютера и защита сервера одновременно позволяют организовать схему защиты компьютерной информации таким образом, чтобы взломщику было невозможно проникнуть в систему, пользуясь столь ненадежным средством защиты информации в сети, как человеческий фактор. То есть, даже обходя защиту компьютера пользователя базы данных и переходя на другой уровень защиты информации, хакер должен будет правильно воспользоваться данной привилегией, иначе защита сервера отклонит любые его запросы на получение данных и попытка обойти защиту компьютерной информации окажется тщетной.
Сегодня для реализации эффективного мероприятия по защите информации требуется не только разработка средства защиты информации в сети и разработка механизмов модели защиты информации, а реализация системного подхода или комплекса защиты информации – это комплекс взаимосвязанных мер, описываемый определением «защита информации». Данный комплекс защиты информации, как правило, использует специальные технические и программные средства для организации мероприятий защиты информации.
Принято различать пять основных средств защиты информации:
- технические;
- программные;
- криптографические;
- организационные;
- законодательные.
Кроме того, модели защиты информации предусматривают ГОСТ «Защита информации», который содержит нормативно-правовые акты и морально-этические меры защиты информации и противодействие атакам извне. ГОСТ «Защита информации» нормирует определение защиты информации рядом комплексных мер защиты информации, которые проистекают из комплексных действий злоумышленников, пытающихся любыми силами завладеть секретными сведениями. И сегодня можно смело утверждать, что постепенно ГОСТ (защита информации) и определение защиты информации рождают современную технологию защиты информации в сетях компьютерных информационных системах и сетях передачи данных.
Любая комплексная система защиты информации после того, как производится аудит информационной безопасности объекта, начинает опираться на наиболее распространенные пути перехвата конфиденциальных данных, поэтому их важно знать, для того чтобы понимать, как разрабатывается комплексная система защиты информации.
Проблемы информационной безопасности в сфере технической защиты информации:
- Перехват электронных излучений. Проблема решается обеспечением защиты информации, передаваемой по радиоканалам связи и обмена данными информационной системы;
- Принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей. Проблема решается с помощью инженерной защитой информацией или физическая защита информации, передаваемой по связевым кабельным линиям передачи данных. Сюда также относится защита информации в локальных сетях, защита информации в интернете и технические средства информационной безопасности;
- применение подслушивающих устройств;
- дистанционное фотографирование, защита информации реферат;
- перехват акустических излучений и восстановление текста принтера;
- копирование носителей информации с преодолением мер защиты;
- маскировка под зарегистрированного пользователя;
- маскировка под запросы системы;
- использование программных ловушек;
- использование недостатков языков программирования и операционных систем;
- незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;
- злоумышленный вывод из строя механизмов защиты;
- расшифровка специальными программами зашифрованной: информации;
- информационные инфекции;
Вышеперечисленные пути утечки информации по оценке информационной безопасности требуют высокого уровня технических знаний для того чтобы использовать наиболее эффективные методы и системы защиты информации, кроме этого необходимо обладать высоким уровнем аппаратных и программных средств защиты информации, так как взломщик, охотящийся за ценными сведениями, не пожалеет средств для того, чтобы обойти защиту и безопасность информации системы. Например, физическая защита информации предотвращает использование технических каналов утечки данных к злоумышленнику. Причина, по которой могут появиться подобные «дыры» - конструктивные и технические дефекты решений защиты информации от несанкционированного доступа, либо физический износ элементов средств обеспечения информационной безопасности. Это дает возможность взломщику устанавливать преобразователи, которые образуют некие принципы действующего канала передачи данных, и способы защиты информации должны предусматривать и идентифицировать подобные «жучки».
Поэтому для защиты требуется комплексный подход, включающий использование описанных ниже средств и требующий соблюдения политики безопасности на всех уровнях деятельности предприятия.
В первую очередь это постоянный мониторинг состояния компьютеров пользователей и локальной сети. Существуют специальные утилиты, следящие за состоянием сети и выдающие предупреждения при обнаружении определённых событий, касающихся ИБ предприятия. Например, недорогая утилита NetBoy может быть использована для мониторинга загрузки сети, обнаружения запрещённых протоколов, чужих компьютеров и других событий, которые могут оказать влияние на работу сети.
Следует по возможности отказаться от применения беспроводных сетей на предприятии, поскольку имеющиеся в продаже недорогие точки доступа не обеспечивают нужного уровня безопасности, а применение криптостойких алгоритмов шифрования при передаче данных подпадает под государственное регулирование, и для этого необходимо получать соответствующие разрешения и лицензии.
Также необходимо строго разграничить доступ пользователей к определённым данным, чтобы ни один пользователь, за исключением доверенных лиц, не имел полного доступа ко всей информации разом. Скажем, в СУБД это делается путем наложения ограничений на выборку определённых полей и строк из БД.
Документооборот предприятия лучше всего вести целиком в электронном виде, минимизировав хождение бумажных документов: в некоторых случаях выкрасть или скопировать бумажный документ гораздо проще, чем взломать корпоративный сервер.
Устанавливая пользователям жёсткие диски малого объёма, необходимо всячески поощрять их к хранению информации на файловом сервере предприятия или в хранилище данных: гораздо легче сделать резервную копию этой информации, провести сканирование на вирусы и восстановить потерянные сведения.
Одним из неплохих вариантов организации хранения данных будет установка системы управления версиями документов и файлов. Существуют очень хорошие бесплатные системы, вроде CVS или Subversion, которые позволяют восстанавливать файл определённой версии или вести мониторинг изменений, то есть пользователь не перезаписывает файл, а добавляет новую версию файла, не удаляет файл, а добавляет новую версию каталога и т.д.
Не стоит забывать и про обучение пользователей: если возможно, пусть системный администратор еженедельно проводит 30-минутный семинар для пользователей предприятия, на котором ненавязчиво рассказывает об основных правилах ИБ и возможных угрозах, с которыми могут столкнуться рядовые пользователи. Несколько живых примеров из повседневной практики помогут лучше усвоить урок и получить удовольствие от этого семинара, а руководство будет иметь дополнительную возможность контролировать ИБ организации.
Windows 2003 Server имеет средства обеспечения безопасности, встроенные в операционную систему. Windows 2003 Server дает много инструментальных средств для слежения за сетевой деятельностью и использованием сети. ОС позволяет просмотреть сервер и увидеть, какие ресурсы он использует; увидеть пользователей, подключенных к настоящему времени к серверу и увидеть, какие файлы у них открыты; проверить данные в журнале безопасности; записи в журнале событий; и указать, о каких ошибках администратор должен быть предупрежден, если они произойдут. Для всех пользователей сети предприятия предусмотрено свое имя (логин) и пароль.
Каждый пользователь, который использует КИС, должен иметь учетную карточку пользователя в домене сети. Учетная карточка пользователя содержит информацию о пользователе, включающую имя, пароль и ограничения по использованию сети, налагаемые на него. Имеется возможность также сгруппировать пользователей, которые имеют аналогичные ресурсы, в группы; группы облегчают предоставление прав и разрешений на ресурсы, достаточно сделать только одно действие, дающее права или разрешения всей группе. Для каждого пользователя предприятия обязательно устанавливаются свои права доступа к информации.
Windows 2003 Server позволяет определить, что войдет в ревизию и будет записано в журнал событий безопасности всякий раз, когда выполняются определенные действия или осуществляется доступ к файлам. Элемент ревизии показывает выполненное действие, пользователя, который выполнил его, а также дату и время действия. Это позволяет контролировать как успешные, так и неудачные попытки каких-либо действий. Журнал событий безопасности для условий предприятиа является обязательным, так как в случае попытки взлома сети можно будет отследить источник.
Windows XP предоставляет возможность еще больше защитить зашифрованные файлы и папки на томах NTFS благодаря использованию шифрованной файловой системы EFS (Encrypting File System). При работе в среде Windows XP можно работать только с теми томами, на которые есть права доступа. В файловых системах, в которых не используется шифрование, если запускается компьютер по сети или воспользоваться загрузочной дискетой MS DOS или Windows XP, можно получить доступ ко всем файлам, хранящимся на диске, так как на пользователя в этом случае не распространяются ограничения доступа, сведения о которых содержатся в специальных списках контроля доступа.
При использовании шифрованной файловой системы EFS можно файлы и папки, данные которых будут зашифрованы с помощью пары ключей. Любой пользователь, который захочет получить доступ к определенному файлу, должен обладать личным ключом, с помощью которого данные файла будут расшифровываться. Система EFS так же обеспечивает схему защиты файлов в среде Windows XP. Однако не следует забывать о том, что при использовании шифрования производительность работы системы снижается.
В некоторых случаях имеет смысл установить корпоративный Proxy-сервер с доступом к ресурсам Интернета по паролю. Во-первых, это позволит незначительно сократить интернет-трафик, так как дублирующаяся информация будет кэширована Proxy-сервером. Во-вторых, это позволит скрыть от посторонних глаз внутренние имена и адреса компьютеров, так как Proxy-сервер осуществляет выборку веб-страниц от своего имени, рассылая затем информацию потребителям внутри предприятия по списку. И в-третьих, это позволит выявлять нарушителей, подключившихся к сети предприятия с целью получения доступа в Интернет.
Отдельные организации пытаются с помощью Proxy-сервера ограничивать доступ сотрудников к Internet, но это нельзя считать хорошей практикой, так как нанесённый деятельности предприятия вред и потраченное системным администратором или сотрудниками лишнее время могут перевесить выгоды от такой экономии.
Одной из базовых составляющих информационной безопасности предприятия является настройка и компоновка определённым ПО компьютеров пользователей. Поскольку в подавляющем большинстве случаев на локальном рабочем месте установлена ОС Windows, то рассмотрим настройки и ПО применительно к данному виду ОС:
- Разделить пользователей на тех, кто имеет доступ к компьютеру на уровне администратора (например, сам системный администратор), и тех, кто имеет доступ только уровня пользователя, и соответствующим образом настроить учётные записи. Это позволит избежать потерь времени на восстановление системы в случае, если пользователь по ошибке совершил действие, приводящее к выводу из строя ОС.
- Запретить работу удалённого рабочего стола и удалённое администрирование. Вместо этого лучше установить систему удалённого управления, имеющую более высокий уровень защиты, например RemoteAdmin.
- Установить E-mail-клиент, блокирующий HTML-вложения, и антивирус.
- Установить интернет-браузер, либо дополнения к браузеру, либо специализированное ПО, например AdAware, которые будут блокировать попытки вредоносных сценариев установить на компьютер ненужное ПО при просмотре заражённых страниц.
- Установить локальный firewall, например AgnitumOutpostFirewallPro, и настроить его так, чтобы разрешить доступ к сети только определённым приложениям. Следует особо отметить, что с помощью межсетевого экрана невозможно запретить доступ к сети определённых приложений, так как ПО межсетевого экрана не может определить приложение, желающее получить доступ к ней. Проще говоря, он имеет дело с уже выпущенными в сеть пакетами. Задача же локального firewallв данном случае – не допустить работы с ней несанкционированных приложений.
- Настройки локального firewall следует защитить паролем. Также стоит отметить, что штатный брандмауэр Windows обеспечивает весьма слабую защиту, так как его настройки могут быть изменены вредоносным ПО без ведома пользователя.
- После завершения настройки компьютера пользователя необходимо создать точку восстановления системы на случай сбоя.
Учитывая топологию компьютерной информационной сети современного предприятия, используемые операционные системы и организацию подключения к сети Internet, необходима дополнительная комплексная антивирусная защита (аналог системы корпоративной антивирусной защиты масштаба предприятия) для предотвращения возможных вирусных атак.
Обеспечение безопасности информационных систем от вирусных атак традиционно заключается в использовании такой службы защиты информации, как антивирусное ПО и сетевые экраны. Эти программные решения позволяют частично решить проблемы защиты информации, но, зная историю защиты информации, легко понять, что установка системы защиты информации и системы защиты информации на предприятии на основе антивирусного ПО сегодня еще не решает проблему информационной безопасности общества завтра. Для повышения уровня надежности системы и обеспечения безопасности информационных систем требуется использовать и другие средства информационной безопасности, например, организационная защита информации, программно аппаратная защита информации, аппаратная защита информации.
Защита информации от компьютерных вирусов (защита информации в информационных системах) предполагает средства защиты информации в сети, а точнее программно аппаратные средства защиты информации, которые предотвращают несанкционированное выполнение вредоносных программ, пытающихся завладеть данными и выслать их злоумышленнику, либо уничтожить информацию базы данных, но защита информации от компьютерных вирусов неспособна в полной мере отразить атаку хакера или человека, именуемого компьютерным пиратом.
Задача защиты информации и защиты информации от компьютерных вирусов заключается в том, чтобы усложнить или сделать невозможным проникновение, как вирсов, так и хакера к секретным данным, ради чего взломщики в своих противоправных действиях ищут наиболее достоверный источник секретных данных. А так как хакеры пытаются получить максимум достоверных секретных данных с минимальными затратами, то задачи защиты информации - стремление запутать злоумышленника: служба защиты информации предоставляет ему неверные данные, защита компьютерной информации пытается максимально изолировать базу данных от внешнего несанкционированного вмешательства и т.д.
Система комплексной антивирусной защиты компьютерной информационной сети реализовывается путем трехуровневой модели:
- защита шлюза подключения информационной сети к Internet;
- антивирусная защита рабочих станций и файловых серверов;
- использование межсетевого экрана для обеспечения информационной безопасности КИС;
- антивирусная защита системы корпоративной почты.
На компьютеры пользователей следует установить антивирусное ПО, которое будет непрерывно проверять все загружаемые файлы. Это позволит избежать заражения компьютеров пользователей известными вирусами. Хорошим выбором в этом случае будет бесплатная система, например AVG. Однако обновляется она исключительно с сайта компании-разработчика, а если 50 компьютеров одновременно будут загружать обновления с сайта, то сеть предприятия может оказаться перегруженной. Поэтому требуется принять определённый способ обновления антивирусного ПО: либо это будет последовательное обновление с каждого компьютера (настраивается временем запуска обновления), либо обновление с корпоративного сервера (что требует определённой ежедневной работы системного администратора).
Совместно с комплексной антивирусной защитой, еще одним наиболее эффективным методом защиты КИС предприятия от внешних угроз является использование межсетевого экрана – программного или аппаратного маршрутизатора, совмещённого с firewall (особой системой, осуществляющей фильтрацию пакетов данных).
Ни для кого не секрет, что данные в сети, будь то локальная сеть или Интернет, передаются относительно небольшими пакетами. Каждый пакет несёт в себе признак используемого протокола, адреса источника и приёмника, а так же номера соответствующих портов. Последние – это числа, по которым операционная система распознаёт, какое приложение получит конкретный пакет данных. Например, при загрузке страницы с сервера http://ya.ru/ интернет-браузер получает данные с веб-сайта по протоколу HTTP. При этом обмен данными между компьютером и сервером происходит по более низкоуровнему протоколу TCP/IP, а пересылаемые от сервера к компьютеру пакеты данных имеют номер порта приёмника, скажем, 1121, а номер порта источника – всегда 80. Конечно, в реальной сети идёт постоянный обмен данными, и взаимодействие компьютеров всегда намного сложнее, однако этот простой пример доказывает, что если даже для несведущего человека вполне ясно, откуда и куда идёт выбранный пакет данных, то человек искушённый извлечёт из него куда больше информации. По этой причине нельзя позволять пакетам, курсирующим в локальной сети, попадать в Интернет. Также нельзя разрешать некоторым пакетам из Интернета попадать в локальную сеть предприятия.
На каждом предприятии доступ компьютеров в Интернет по локальной сети обеспечивается с помощью отдельно стоящего компьютера (его ещё называют сервером доступа). Иногда это специализированный компьютер, но чаще всего обычный, расположенный близко к устройству, обеспечивающему выход в Глобальную сеть (например, модему). К сожалению, стандартные средства операционных систем не позволяют вести гибкую настройку маршрутизации и фильтрования пакетов, поэтому на таком компьютере следует разместить специальное ПО: маршрутизатор и firewall. Это ПО не так дорого, но если имеется возможность поставить специализированное оборудование, например фирмы Cisco, то этим не следует пренебрегать: подобные аппаратные маршрутизаторы отличаются большей надёжностью.
Настройка ПО гораздо проще конфигурирования специализированного оборудования и может быть выполнена системным администратором средней квалификации. При этом следует запретить трансляцию пакетов, содержащих адрес приёмника в диапазоне адресов локальной сети предприятия или равный широковещательному адресу, в Интернете. Также следует запретить трансляцию пакетов, не содержащих адреса локальной сети предприятия, из Интернета в локальную сеть. Это позволит оградить сеть предприятия от прослушивания извне, а также минимизировать возможности для передачи в локальную сеть враждебных пакетов. Время работы маршрутизатора, когда осуществляется трансляция пакетов, следует выбрать равным времени работы организации плюс небольшой временной резерв для задерживающихся в офисе или пришедших раньше времени сотрудников.
Настройка firewall потребует более серьёзного подхода, но также не должна вызвать затруднений: следует разрешить обмен данными с Интернетом только по тем протоколам, которые реально используются на предприятии. Например, это могут быть протоколы HTTP, HTTPS, SMTP, POP3, DNS, ICQ и т.д. Попытка обмена данными по неразрешённым протоколам должна блокироваться firewall и записываться им в журнал. Особо следует отметить, что требуется обязательно запретить обмен пакетами NETBIOS с Интернетом, так как этот протокол очень слабо защищён от взлома.
Собственно говоря, межсетевой экран готов: он не пропускает наружу внутренние пакеты локальной сети предприятия и блокирует доступ к ней чужих компьютеров. Практика показывает, что при определённой сноровке системного администратора, межсетевой экран может быть введён в эксплуатацию в течение рабочего дня. Также необходимо отметить, что при вводе межсетевого экрана в эксплуатацию следует сначала испытать его на одном компьютере, чтобы проверить настройки и уровень обеспечения безопасности с помощью, скажем, специализированных сайтов вроде
Следует уделить особое внимание защите электронной почты, так как вредоносные программы часто рассылают сами себя ничего не подозревающим пользователям. Обязательно следует поставить антивирус на корпоративный сервер электронной почты.
При выборе антивирусного пакета нужно руководствоваться следующими принципами:
- антивирус должен уметь переименовывать исполняемые файлы (в которых не найдено вируса), делая невозможным их автоматический запуск пользователем, например, файл с именем «picture.jpg.exe» будет переименован в файл с именем «picture.jpg.exe.tmp», что сделает невозможным запуск его пользователем без сохранения на диск и переименования;
- антивирус должен уметь проверять архивированные файлы;
- антивирус должен уметь проверять HTML-код на предмет вредоносных сценариев и приложений Java, а также вредоносных ActiveX-компонентов.
Далее необходимо установить пользователям e-mail-клиент, который не умеет показывать вложенные в письма HTML-страницы (например, Thunderbird). Таких совершенно бесплатных программ для просмотра электронной почты найдётся более десятка. Эта не всегда популярная у пользователей мера требует пояснения: дело в том, что существует целый класс вредоносных программ, именуемых «червями», которые распространяются, заражая компьютеры пользователей, часто посредством вложенного в письмо кода. Подменяя стандартное сообщение e-mail-клиента о том, следует ли запустить вложенное в письмо приложение, с помощью встроенного в HTML-код сценария с каким-нибудь безобидным на первый взгляд текстом вроде «Показать страницу ?», они принуждают пользователя разрешить выполнение вредоносной программы. Конечно, мы защитили антивирусом свой корпоративный сервер, но пользователи могут ходить на незащищённые серверы электронной почты, а запрещать им это не всегда разумно. Установив же e-mail-клиент, который не способен выполнить вредоносную программу, мы немного повысим уровень безопасности.