- •Основы и методы защиты информации
- •Общие понятия информационной безопасности
- •Основные понятия информационной безопасности
- •Анализ угроз информационной безопасности
- •Юридические основы информационной безопасности
- •Критерии защищенности средств компьютерных систем
- •Политика безопасности в компьютерных системах
- •Меры по поддержанию работоспособности компьютерных систем
- •Способы и средства нарушения конфиденциальности информации
- •Основные методы реализации угроз информационной безопасности
- •Типичные приёмы атак на локальные и удалённые компьютерные системы
- •Основы противодействия нарушению конфиденциальности информации
- •Методы разграничения доступа
- •Идентификация и аутентификация и пользователей
- •Методы ограничения доступа к информации
- •Методы мониторинга несанкционированных действий
- •Криптографические методы защиты данных Основные принципы криптографии
- •Шифрование заменой (подстановка)
- •Шифрование методом перестановки
- •Методы шифрования, использующие ключи
- •Защита информации от компьютерных вирусов
- •Определение и классификация вирусов
- •Способы защиты от вирусов
- •Классификация антивирусных средств
- •Популярные антивирусные средства
-
Основы противодействия нарушению конфиденциальности информации
Требования безопасности определяют набор средств защиты КС на всех этапах её существования: от разработки спецификации на проектирование аппаратных и программных средств до их списания. Рассмотрим комплекс средств защиты КС на этапе её эксплуатации.
На этапе эксплуатации основной задачей защиты информации в КС является предотвращение НСД к аппаратным и программным средствам, а так же контроль целостности этих средств. НСД может быть предотвращён или существенно затруднён при организации следующего комплекса мероприятий:
- идентификация и аутентификация пользователей;
- мониторинг несанкционированных действий – аудит;
- разграничение доступа к КС;
- криптографические методы сокрытия информации;
- защита КС при работе в сети.
При создании защищённых КС используют фрагментарный и комплексный подход. Фрагментарный подход предполагает последовательное включение в состав КС пакетов защиты от отдельных классов угроз. Например, незащищённая КС снабжается антивирусным пакетом, затем системой шифрования файлов, системой регистрации действий пользователей и т.д. Недостаток этого подхода в том, что внедряемые пакеты, произведённые, как правило, различными пользователями, плохо взаимодействуют между собой и могут вступать в конфликты друг с другом. При отключении злоумышленником отдельных компонентов защиты остальные продолжают работать, что значительно снижает надёжность защиты.
Комплексный подход предполагает введение функций защиты в КС на этапе проектирования архитектуры аппаратного и системного программного обеспечения и является их неотъемлемой частью. Однако, учитывая возможность появления новых классов угроз, модули КС, отвечающие за безопасность, должны иметь возможность заменены их другими, поддерживающими общую концепцию защиты.
Организация надёжной защиты КС невозможна с помощью только программно-аппаратных средств. Очень важным является административный контроль работы КС. Основные задачи администратора по поддержанию средств защиты заключаются в следующем:
-
постоянный контроль корректности функционирования КС и её защиты;
-
регулярный просмотр журналов регистрации событий;
-
организация и поддержание адекватной политики безопасности;
-
инструктирование пользователей ОС об изменениях в системе защиты, правильного выбора паролей и т.д.;
-
регулярное создание и обновление резервных копий программ и данных;
-
постоянный контроль изменений конфигурационных данных и политики безопасности отдельных пользователей, чтобы вовремя выявить взлом защиты КС.
Рассмотрим подробнее наиболее часто используемые методы защиты и принципы их действия.
-
Методы разграничения доступа
При организации доступа субъектов к объектам выполняются следующие действия:
-
идентификация и аутентификация субъекта доступа;
-
проверка прав доступа субъекта к объекту;
-
ведение журнала учёта действий субъекта.
Идентификация и аутентификация и пользователей
При входе в КС, при получении доступа к программам и конфиденциальным данным субъект должен быть идентифицирован и аутентифицирован. Эти две операции обычно выполняются вместе, то есть, пользователь сначала сообщает сведения, позволяющие выделить его из множества субъектов (идентификация), а затем, сообщает секретные сведения, подтверждающие, что он тот за кого себя выдаёт.
Иногда проводится дополнительно авторизация субъекта, под которой понимается создание программной среды для его работы. Но основными средствами обеспечения безопасности являются идентификация и аутентификация.
Обычно, данные, идентифицирующие пользователя, не засекречены, но для усложнения проведения атак по НСД желательно хранить эти данные в файле, доступ к которому возможен только администратору системы.
Для аутентификации субъекта чаще всего используются атрибутивные идентификаторы, которые делятся на следующие категории:
-
пароли;
-
съёмные носители информации;
-
электронные жетоны;
-
пластиковые карты;
-
механические ключи.
Паролем называют комбинацию символов, которая известна только владельцу пароля или, возможно, администратору системы безопасности. Обычно пароль вводится со штатной клавиатуры после включения питания. Возможен ввод пароля с пульта управления или специального наборного устройства. При организации парольной защиты необходимо выполнять следующие рекомендации.
1. Пароль необходимо запоминать, а не записывать.
2. Длина пароля должна быть не менее девяти символов.
3. Пароли должны периодически меняться.
4. В КС должны фиксироваться моменты времени успешного получения доступа и неудачного ввода пароля. Информация о попытках неверного ввода пароля должны подвергаться статистической обработке и сообщаться администратору.
5. Пароли должны хранится в КС так, чтобы доступ к ним был затруднён. Это достигается двумя способами:
пароли хранятся в специальном ЗУ, запись в которое осуществляется в специальном режиме;
пароли подвергаются криптографическому преобразованию (шифрованию).
6. При вводе пароля не выдавать никаких сведений на экран, чтобы затруднить подсчёт введённых символов.
7. Не использовать в качестве паролей имена и фамилии, дни рождения и географические или иные названия. Желательно менять при вводе пароля регистры, использовать специальные символы, набирать русский текст на латинском регистре, использовать парадоксальные сочетания слов.
В настоящее время аппаратура КС поддерживает ввод пароля до начала загрузки операционной системы. Такой пароль хранится в энергонезависимой памяти и обеспечивает предотвращение НСД до загрузки любых программных средств. Этот пароль считается эффективным средством, если злоумышленник не имеет доступа к аппаратуре КС, так как отключения внутреннего питания сбрасывает этот пароль.
Другие способы идентификации (съёмные носители, карты и др.) предполагают наличие технических средств, хранящих идентификационную информацию. Съёмный носитель, содержащий идентификационную информацию: имя пользователя и его пароль, находится у пользователя КС, которая снабжена устройством для считывания информации с носителя.
Для идентификации и аутентификации часто используется стандартный гибкий диск или флэш-память. Достоинства такого идентификатора заключаются в том, что не требуется использования дополнительных аппаратных средств и кроме идентификационного кода на носителе может храниться и другая информация, например, контроля целостности информации, атрибуты шифрования и др.
Иногда, для повышения уровня защищённости, используются специальные переносные электронные устройства, подключаемые, например, к стандартным входам КС. К ним относится электронный жетон-генератор – прибор, вырабатывающий псевдослучайную символьную последовательность, которая меняется примерно раз в минуту синхронно со сменой такого же слова в КС. Жетон используется для однократного входа в систему. Существует другой тип жетона, имеющего клавиатуру и монитор. В процессе идентификации КС выдаёт случайную символьную последовательность, которая набирается на клавиатуре жетона, по ней на мониторе жетона формируется новая последовательность, которая вводится в КС как пароль.
К недостатку способа идентификации и аутентификации с помощью дополнительного съёмного устройства можно отнести возможность его потери или хищения.
Одним из надёжных способов аутентификации является биометрический принцип, использующий некоторые стабильные биометрические показатели пользователя, например, отпечатки пальцев, рисунок хрусталика глаза, ритм работы на клавиатуре и другие. Для снятия отпечатков пальцев и рисунка хрусталика требуются специальные устройства, и устанавливаются на КС высших уровней защиты. Ритм работы при вводе информации проверяется на штатной клавиатуре КС и, как показывают эксперименты, является вполне стабильным и надёжным. Даже подглядывание за работой пользователя при наборе ключевой фразы не даёт гарантии идентификации злоумышленника при его попытке повторить все действия при наборе фразы.