2.1.9. Обеспечение безопасности телекоммуникационных связей и административный контроль. Проблемы секретности в сетях эвм и методы криптографии
2.1.9.1. Общие сведения и определения
Информационная безопасность сетей ЭВМ и телекоммуникаций в целом – одна из основных проблем XXI в., так как хищение, сознательное искажение и уничтожение информации могут привести к катастрофическим последствиям вплоть до человеческих жертв. Так, террористы, атаковавшие Всемирный торговый центр в Нью-Йорке и Пентагон в Вашингтоне в 2002 г. предварительно вывели из строя компьютерную систему управления безопасностью, тем самым разрушив систему информационного обеспечения безопасности США. Компьютерные коммерческие преступления приводят к потерям сотен миллионов долларов. Только в США за 1996–1999 гг. эти потери достигли 626 млн. долларов. Мировой годовой ущерб от несанкционированного доступа к информации составил в 1999 г. около 0,5 млрд. долларов. Ежегодно эта цифра увеличивается в полтора раза. Свыше 10 млрд. долларов составил ущерб, нанесенный вирусом «I love you», распространенным по электронной почте в 1999 г. К серьезным моральным потерям приводит хищение конфиденциальной информации.
Безопасность (security) информационно-вычислительной системы – это ее способность защитить данные от несанкционированного доступа с целью ее раскрытия, изменения или разрушения, т.е. обеспечить конфиденциальность и целостность информации.
Защита информации – это комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п. Поскольку утрата информации может происходить по сугубо техническим, объективным и неумышленным причинам, под это определение подпадают также и мероприятия, связанные с повышением надежности сервера из-за отказов или сбоев в работе винчестеров, недостатков в используемом программном обеспечении и т.д.
Архитектура сети, включающая аппаратное обеспечение, является одним из факторов, влияющих на ее безопасность, т.е. некоторые виды сетей безопаснее других. Методы защиты сетей разного типа приведены далее в табл. 22.
Таблица 22
Методы управления безопасностью сетей
|
Архитектура сети |
Аутентификация |
Верификация |
Обеспечение целостности |
Ограничение доступа к центральному узлу, серверу, кабелям |
Управление работой сети и контроль этой работы |
Дополнительные меры |
|
С общей шиной |
+ |
+ |
+ |
|
|
|
|
Звездообразная |
|
|
+ |
+ |
+ |
Обеспечение резервных каналов |
|
Коммутируемая |
+ |
|
|
|
|
Криптозащита |
|
Неоднородная |
|
|
+ |
+ |
+ |
Защита данных на съемных носителях |
|
Локальная |
+ |
+ |
+ |
|
|
Закрытие проводов от прослушивания |
|
Ячеистая |
+ |
+ |
+ |
|
|
|
|
С коммутацией пакетов |
+ |
+ |
+ |
+ |
+ |
Криптозащита |
|
Кольцевая |
|
|
+ |
+ |
+ |
Обеспечение резервных каналов, криптозащита |
Следует заметить, что наряду с термином «защита информации» (применительно к компьютерным сетям) широко используется, как правило, в близком значении, термин «компьютерная безопасность».
Переход от работы на персональных компьютерах к работе в сети усложняет защиту информации по следующим причинам:
1. Большое число пользователей в сети и их переменный состав. Защита на уровне имени и пароля пользователя недостаточна для предотвращения входа в сеть посторонних лиц.
2. Значительная протяженность сети и наличие многих потенциальных каналов проникновения в сеть.
3. Уже отмеченные недостатки в аппаратном и программном обеспечении, которые зачастую обнаруживаются не на предпродажном этапе, называемом бета-тестированием, а в процессе эксплуатации. В том числе неидеальны встроенные средства защиты информации даже в таких известных и «мощных» сетевых ОС, как Windows NT или NetWare.
Остроту проблемы, связанной с большой протяженностью сети для одного из ее сегментов на коаксиальном кабеле, иллюстрирует рис. 157. В сети имеется много физических мест и каналов несанкционированного доступа к информации в сети. Каждое устройство в сети является потенциальным источником электромагнитного излучения из-за того, что соответствующие поля, особенно на высоких частотах, экранированы не идеально. Система заземления вместе с кабельной системой и сетью электропитания может служить каналом доступа к информации в сети, в том числе на участках, находящихся вне зоны контролируемого доступа и потому особенно уязвимых. Кроме электромагнитного излучения, потенциальную угрозу представляет бесконтактное электромагнитное воздействие на кабельную систему. Безусловно, в случае использования проводных соединений типа коаксиальных кабелей или витых пар, называемых часто медными кабелями, возможно и непосредственное физическое подключение к кабельной системе. Если пароли для входа в сеть стали известны или подобраны, становится возможным несанкционированный вход в сеть с файл-сервера или с одной из рабочих станций. Наконец, возможна утечка информации по каналам, находящимся вне сети:
• хранилище носителей информации;
• элементы строительных конструкций и окна помещений, которые образуют каналы утечки конфиденциальной информации за счет так называемого микрофонного эффекта;
• телефонные, радио-, а также иные проводные и беспроводные каналы (в том числе каналы мобильной связи).
|
|
|
Рис. 157. Места и каналы возможного несанкционированного доступа к информации в компьютерной сети |
Любые дополнительные соединения с другими сегментами или подключение к Интернету порождают новые проблемы. Атаки на локальную сеть через подключение к Интернету для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы зашиты информации в протоколах TCP/IP.
По мере развития ПЭВМ, увеличения их количества и доступности все больший размах приобретает информационное пиратство: несанкционированное копирование программных продуктов и данных, финансовые преступления с применением ЭВМ, компьютерные диверсии (вирусы, «логические бомбы», «черви», «троянские кони» и т.п.). Появление глобальных сетей, особенно сети Интернет, еще в большей степени стимулировало такое пиратство, значительно увеличив количество доступных пирату компьютеров за счет исключения необходимости физического доступа к ним и сделав сам процесс более увлекательным в силу его интерактивности.
Сформулировано три базовых принципа информационной безопасности, которая должна обеспечивать:
– целостность данных (защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных);
– конфиденциальность информации;
– доступность информации для всех авторизованных пользователей. В рамках комплексного рассмотрения вопросов обеспечения безопасности информации различают угрозы безопасности, службы безопасности (СБ) и механизмы реализации функций служб безопасности.