- •Вопросы к экзамену по защите информации.
- •Реальная эффективность Экономический аспект
- •Технический аспект
- •Основные причины проблем
- •Системность при защите информации
- •Качество и его подтверждение
- •Модели разграничения доступа
- •Снифферы пакетов
- •Отказ в обслуживании (Denial of Service - DoS)
- •Парольные атаки
- •Атаки типа Man-in-the-Middle
- •Атаки на уровне приложений
- •Сетевая разведка
- •Злоупотребление доверием
- •Переадресация портов
- •Несанкционированный доступ
- •Вирусы и приложения типа "троянский конь"
- •8.3. Обеспечение целостности информации в пэвм
- •3. Разграничение доступа к элементам защищаемой информации.
- •IpSec в работе
- •Технические средства пространственного и линейного зашумления.
- •Механизм применения разрешений
- •Порядок применения разрешений
- •Владение папкой или файлом
- •Возможности применения криптографических методов в асод
- •Основные требования к криптографическому закрытию информации в асод.
- •Методы криптографического преобразования данных.
- •Усложненные замены или подстановки (таблица Вижинера)
- •Борьба со спамом и вирусами
- •Основные методы и средства защиты от атак на электронную переписку
- •«Сильные» криптоалгоритмы
- •Защита корпоративной почтовой системы
- •Государственная система защиты информации
- •Лицензирование
- •Сертификация средств защиты и аттестование объектов информатизации
- •Аттестация
- •Основные цели планирования
- •4.1.2. Отечественная нормативно-правовая база, под действие которой подпадают ас различного назначения
- •6.2.1.2. Свойства нечетких множеств.
- •6.2.1.3 Операции над нечеткими множествами.
- •6.2.2. Нечеткие отношения
- •Оранжевая книга Национального центра защиты компьютеров сша (tcsec)
- •1. Концепция безопасности системы защиты
- •2. Гарантированность системы защиты
- •Гармонизированные критерии Европейских стран (itsec)
- •Концепция защиты от нсд Госкомиссии при Президенте рф
- •Рекомендации х.800
- •Действие 1. С чего начинать?
- •Установить перечень персональных данных, обрабатываемых на предприятии
- •Способы обработки персональных данных?
- •Определить состав и объем обрабатываемых персональных данных?
- •Провести предварительную классификацию информационных систем пДн
- •Полученные результаты и способы защиты персональных данных
- •Действие 2. Подача уведомления в уполномоченный орган Обработка персональных данных без уведомления.
- •Подача уведомления в Роскомнадзор.
- •Действие 3. Организационные меры защиты персональных данных
- •Действие 4. Техническая защита персональных данных
- •Действие 5. Выбор исполнителя
- •Выполнение работ своими силами
- •Привлечение специализированной организации
- •Асимметричные алгоритмы
Основные методы и средства защиты от атак на электронную переписку
Для защиты сетевой инфраструктуры используется немало всевозможных заслонов и фильтров: SSL (Secure Socket Layer), TSL (Transport Security Layer), виртуальные частные сети. Основные методы защиты от атак хакеров строятся именно на основе этих средств. Это, прежде всего, сильные средства аутентификации, например, технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Эта технология используется, например, в работе обычного банкомата, который идентифицирует по карточке и по коду. Для аутентификации в почтовой системе тоже потребуется «карточка» — программное или аппаратное средство, генерирующая по случайному принципу уникальный однократный пароль. Его перехват бесполезен, поскольку он будет уже использован и выведен из употребления. Однако такая мера эффективна только против перехвата паролей, но не против перехвата другой информации (например, сообщений электронной почты).
Другие средства защиты заключаются в эффективном построении и администрировании сети. Речь идет о построении коммутируемой инфраструктуры, мерах контроля доступа и фильтрации исходящего трафика, закрытии «дыр» в программном обеспечении с помощью модулей-»заплаток» и регулярном его обновлении, установке антивирусных программ и многом ином.
И, наконец, самый эффективный метод — криптография, которая не предотвращает перехвата информации и не распознает работу программ для этой цели, но делает эту работу бесполезной. Криптография также помогает от IP-спуфинга, если используется при аутентификации. Наиболее широко для криптографической защиты передаваемых по каналам связи данных, включая письма электронной почты, применяется протокол SSL, в котором для шифрования данных используются ключи RSA. Однако SSL защищает письма только при передаче; если не используются другие средства криптозащиты, то письма при хранении в почтовых ящиках и на промежуточных серверах находятся в открытом виде. Совокупность всех этих средств можно представить как многоуровневую эшелонированную систему обороны. И, тем не менее, как показывает практика, существует возможность пробраться сквозь все эти уровни и получить доступ к данным. В марте этого года Financial Times сообщила о скандале в Турции, связанном с перехватом писем электронной почты Карен Фогг, чиновницы Европейской Комиссии. Она приехала в Турцию для проверки соответствия этой страны требованиям на вступление в ЕС и в своих отчетах, пересланных по электронной почте, оценила это соответствие не самым благоприятным для Турции образом. Турецкие спецслужбы, очевидно, перехватили эти отчеты и, увидев заговор против себя, подняли скандал и в обоснование своих заявлений раскрыли факт перехвата писем Фогг. Итак, последним рубежом обороны являются криптографические средства защиты внутри системы электронной почты.
«Сильные» криптоалгоритмы
Самым эффективным способом защиты писем электронной почты от перехвата специалисты по безопасности компьютерных сетей признают их кодирование на основе «сильных» криптографических алгоритмов. Такое кодирование и формирование электронной подписи делают невозможным изменение письма и позволяют легко обнаруживать поддельные письма. Существует большое число алгоритмов и протоколов шифрования. Среди алгоритмов симметричной криптографии, которых великое множество, можно упомянуть RC4, RC5, CAST, DES, AES и т.д. Оптимальная длина ключей шифрования для этих алгоритмов — 128 разрядов. Что касается асимметричного шифрования, то тут в основном используются алгоритмы RSA, Diffie-Hellman и El-Gamal, при этом длина ключей шифрования обычно составляет 2048 разрядов. По оценкам исследовательских компаний, во всем мире лишь около 1% пользователей публичных почтовых систем использовали кодирование на основе криптографии, а среди пользователей корпоративных почтовых систем таких не более 10-15%.
В чем причина? Прежде всего, в сложности использования средств кодирования, как правило, внешними по отношению к программному обеспечению электронной почты. Даже пакеты на основе стандарта OpenPGP, наиболее популярные средства кодирования электронной переписки, достаточно простые в использовании и не вызывающие затруднений, требуют дополнительных навыков и действий. Кроме того, и эта причина представляется более существенной, открытые ключи распределены между участниками переписки, что не может быть решением для широких кругов пользователей. Возможно два концептуальных типа кодирования электронной почты.
1. Частичное кодирование. Примером системы с частичным кодированием передаваемых данных является популярный почтовый клиент Eudora (вместе с дополнительным модулем, выпущенным в 2001 году), который обеспечивает передачу закодированных писем на двух участках маршрута письма: от отправителя до ближайшего почтового сервера и от получателя до ближайшего почтового сервера. Из российских систем к этому классу относятся Hotbox и Zmail, которые осуществляют защиту переписки на основе SSL.
2. Полное кодирование. Полное или сквозное (end-to-end) кодирование заключается в том, что кодирование электронного письма выполняется на компьютер отправителя и раскодирование только на компьютере получателя, а его пересылка по Сети, включая хранение на промежуточных серверах, происходит в закодированном виде.
Основная сложность применения такого рода систем связана с необходимостью создания и сопровождения PKI (Personal Key Infrastructure) — инфраструктуры распределения, хранения и защиты ключей участников электронной переписки.
В последние годы разработано несколько систем электронной почты, в которых с учетом ряда нескольких допущений проблема развертывания PKI для пользователей решена. Во-первых, предполагается, что все участники данной системы электронной почты могут писать друг другу, во-вторых, процедура генерация секретного ключа происходит на основе пароля пользователя. Эти допущения позволили полностью автоматизировать всю работу с открытыми и секретными ключами. Нет необходимости распределять по пользователям открытые ключи: они могут храниться на открытом сервере и доступ к ним может происходить по имени пользователя. Пользователи в явном виде не работают с ключами, а выполняют только типичные операции обработки писем.
Примером такой системы является служба защищенной электронной Web-почты S-Mail.com, в которой защита данных на основе «сильных» криптоалгоритмов (для кодирования данных используется PGP с ключом RSA длиной 2048 байт; в протоколе SSL используется ключ длиной в 1024 байт) реализована изначально. Реализованы меры для предотвращения опасностей, связанных с использованием HTML для написания писем. Схема работы службы представлена на рис.
S-Mail.com можно использовать как через браузер, так и через Microsoft Outlook. Частные лица могут использовать S-Mail.com в качестве бесплатной общедоступной почты для личной переписки (аналогичная система — Hushmail).