Основные задачи службы защиты информации предприятия.
Рассмотрим основные задачи службы защиты информации предприятия:
- обеспечение безопасности производственно-торговой деятельности и защиты информации и сведений, являющихся коммерческой тайной;
- организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;
- организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;
- предотвращение необоснованного допуска и доступа к сведениям и работам, составляющим коммерческую тайну;
- выявление и локализации возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (аварийных, пожарных и др.) ситуациях;
- обеспечение режима безопасности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания, заседания, связанные с деловым сотрудничеством, как на национальном, так и на международном уровне;
- обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;
- обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;
- оценка маркетинговых ситуаций и неправомерных действий злоумышленников и конкурентов.
34. Аутентификация пользователей с использованием физического объекта (пластиковые, магнитные, смарт-карты, электронные ключи).
Существуют пять основных типов карт, использующихся для идентификации личности.
1. Карты со штрих-кодом. Это самая старая технология, применяющаяся сегодня в самых разных областях (от торговли до документов). Главные преимущества карт со штрих-кодом – дешевизна и простота в обращении. Сама карта может быть отпечатана на обычном принтере, а специальные устройства для чтения сегодня стоят совсем недорого. Обратная сторона технологии – низкая надежность. Карта со штрих-кодом подделывается с помощью ксерокса или сканера.
2. Магнитные карты. Они представляют собой куски пластика, на которых размещена магнитная лента с записанной на нее информацией. Для идентификации человек должен плавно протянуть карту через щель специального устройства. При этом считывается информация, содержащаяся на магнитной ленте, и в зависимости от нее выполняются определенные действия.
На сегодняшний день эта технология чаще всего используется для системы доступа на различные секретные объекты. Главное преимущество магнитных карт – дешевизна. А вот недостатков у них гораздо больше.
Во-первых, магнитные карты очень легко подделать даже без использования специального оборудования.
Во-вторых, при их использовании очень важны плавность и скорость протягивания карточки через считывающее устройство. Если же человек сделает это неправильно, то информация останется нераспознанной, в результате чего пользователю будет отказано в доступе. Ну и наконец, третий недостаток этой технологии – быстрый износ как самой карты, так и считывающего устройства, поскольку передача данных осуществляется при их физическом контакте.
3. Карты Виганда. В основе этой технологии лежит принцип Виганда. Он заключается в вызывании индукционного тока в приемнике сверхкороткими проводниками определенного состава под воздействием магнитного поля. Внешне карты Виганда практически ничем не отличаются от магнитных. Тот же кусок пластика, который для считывания информации нужно поместить в щель специального устройства. Главное преимущество карт Виганда – исключительно высокая надежность. Их практически невозможно подделать. Недостатки технологии – это довольно высокая стоимость изготовления карт и очень большая их хрупкость. Даже несильные удары и сотрясения могут привести к выходу карты из строя. Именно это и послужило причиной их малого распространения.
4. Проксимити-карты. К этой группе относятся всевозможные бесконтактные карты. Их основное отличие от обычных заключается в отсутствии необходимости физического контакта между картой и считывающим устройством. Обмен информацией происходит в зашифрованном виде по специальному радиоканалу. Главные плюсы – это повышенная пропускная способность системы идентификации и удобство для пользователя: достаточно иметь такую карту в кошельке, чтобы компьютер «опознал» человека. К недостаткам проксимити-карт относится более высокая их стоимость и их меньшая по сравнению с «контактными» системами надежность. Имея соответствующее оборудование и находясь неподалеку, злоумышленник может получить радиосигналы, расшифровать их и сделать поддельный ключ.
5. Чиповые карты. Существует несколько типов чиповых карт. Среди них наибольшее распространение получили смарт-карты, оборудованные микропроцессором. Это позволяет устройству помимо своих основных функций выполнять и ряд дополнительных. Так, например, большинство современных банковских карт являются именно смарт-картами. Смарт-карты могут быть как контактными, так и бесконтактными. Вторые, естественно, существенно дороже.
Второй имущественной характеристикой, используемой в современных системах обеспечения информационной безопасности, являются электронные ключи. Они представляют собой специальные микросхемы, заключенные в корпус, с выведенными наружу контактами. Обычно электронные ключи разделяют на группы по порту, к которому они подключаются к компьютеру. Сегодня самое большое распространение получили USB-ключи. Их главное достоинство – это удобство. Подключать к компьютеру их можно прямо во время работы ПК. При извлечении же устройства моментально блокируется доступ к защищенным данным. Кроме того, USB-ключи могут быть использованы и для переноса информации или защиты различных приложений. Это стало возможным благодаря наличию в устройстве процессора и защищенной памяти. Вообще, USB-ключи можно сравнить со смарт-картами. По крайней мере, их состав (процессор, защищенная память, система ввода-вывода информации) одинаков. Хотя все компоненты разных устройств существенно отличаются друг от друга.
Злоумышленники могут каким-то образом похитить карту или электронный ключ, в результате чего свободно получить доступ к закрытой информации. В этом плане, остаются наиболее защищенными пользователи электронных ключей или смарт-карт. Дело в том, что в этих системах для получения доступа недостаточно просто обладать устройством, нужно еще и ввести пароль.
36. Угрозы защиты информации в сетях и противодействие им
Основные определения
Уязвимостью называется любая характеристика компьютерной информационной системы, которая позволяет злоумышленнику выполнить действия, представляющие угрозу целостности и конфиденциальности информации, хранимой в системе. Эти действия могут предприниматься любым субъектом - пользователем системы, вычислительным процессом и включают в себя самые различные операции над компьютерной системой, например, чтение, копирование и удаление информации или кражу компьютерного оборудования. Точкой приложения (адресатом) таких операций могут быть компоненты баз данных, файлы, процессы или физические компоненты компьютера.
Комбинации действие/адресат называются событием безопасности информационной системы. Совокупность действий, нарушающих безопасность системы, называется атакой, а совокупность атак, имеющих общие характеристики и направленность - инцидентом. Таким образом, если лицо предпринимает несколько атак, направленных на получение неавторизованного доступа к общим ресурсам, меняя программные средства и методы взлома, его деятельность попадает под определение инцидента, которое включает в себя такое юридическое понятие, как инициатор атаки.
Классификация уязвимостей и угроз
Одна из наиболее используемых классификаций уязвимостей (по их происхождению).
1. Уязвимости, появившиеся в результате ошибок разработки программного или аппаратного обеспечения. Это наиболее опасный тип уязвимостей, так как их сложно (или даже порой невозможно) исправить.
2. Уязвимости, созданные поставщиком ПО, возникшие, например, по причине некорректно инсталлированной операционной системы, отсутствия установленных обновлений или сервисных пакетов.
3. Уязвимости, привнесенные некорректным администрированием. Например, использование простых или коротких паролей или «забывчивость» администратора, который не удалил сразу после инсталляции системы установленные производителями стандартные пароли.
4. Уязвимости, привнесенные эксплуатацией, связанные с невыполнением пользователями предписанной политики безопасности.
Наиболее удобной классификацией хакерских атак признана классификация, основанная на функциональных возможностях средств, применяемых атакующей стороной.
1. Атаки, использующие средства удаленного администрирования системой. К этим атакам относятся все методы, которые позволяют внедрять в атакуемую систему агентов, позволяющих удаленно управлять системой.
2. Атаки, направленные на расширение прав доступа.
3. Удаленные атаки DoS (Denial of Service - отказ в обслуживании), которые направлены на нарушение функционирования информационной системы путем рассылки пакетов, перегружающих сетевые серверы.
4. Локальная атака DoS, которая сводится к запуску, например, злонамеренного апплета на Web-странице, загружающего процессор бесконечным циклом отображения диалогов на мониторе компьютера.
5. Атаки с использованием анализаторов сетевых уязвимостей, выполняющие, в сущности, поиск брешей в системе безопасности вместе с попытками взлома, что позволяет проверить надежность защиты.
6. Взлом посредством подбора паролей доступа.
7. Применение сетевых анализаторов, предназначенных для перехвата сетевого трафика с целью получения конфиденциальных данных.
Для предотвращения этих атак в любой компьютерной системе следует позаботиться о системе защиты, позволяющей обнаружить атаки всех перечисленных типов и блокировать их выполнение.
Системы обнаружения атак
Традиционно системы защиты компьютерной информации опираются на три основных средства.
1. Аутентификация - означает средство, позволяющее одному участнику компьютерного взаимодействия доказать своему партнеру свою идентичность. Чаще всего она сводится к указанию имени и пароля.
2. Авторизация означает средство распределения ресурсов, позволяющее определить, какие ресурсы должны быть доступны аутентифици- рованному пользователю.
3. Аудит означает наблюдение за событиями, происходящими в системе, в том числе, событиями безопасности.
Системы защиты, основанные на указанных методах, имеют один существенный недостаток. Все они позволяют блокировать атаки на компьютер, но совершенно неспособны упредить атаку.
Системы защиты, построенные на основании современных технологий, должны включать в себя следующие функциональные возможности:
1. Сканеры безопасности, которые действуют как средство анализа защищенности системы путем имитации хакерской атаки на этапе выявления уязвимостей атакуемой системы.
2. Классические средства выявления вторжений, действующие в режиме реального времени и позволяющие обнаруживать атаки на этапе их реализации.
3. Контроль целостности, обнаруживающий изменения в контролируемых ресурсах, например, в ресурсах файловой системы, для выявления последствия выполнения атаки.
- Эти возможности должны обеспечить выявление вторжений на всех трех этапах хакерской атаки.
Средства анализа защищенности компьютерных сетей
Средства анализа защищенности операционных систем позволяют осуществлять ревизию механизмов разграничения доступа, идентификации и аутентификации, средств мониторинга, аудита и других компонентов операционных систем с точки зрения соответствия их настроек и конфигурации, установленным в организации. Кроме этого, средствами данного класса проводится контроль целостности и неизменности программных средств и системных установок и проверка наличия уязвимо- стей системных и прикладных служб. Как правило, такие проверки проводятся с использованием базы данных уязвимостей операционных систем и сервисных служб, которые могут обновляться по мере выявления новых уязвимостей.
К числу средств анализа данного класса относится программное средство администратора ASET (Automated Security Tool), которое входит в состав ОС Solaris, пакет программ COPS (Computer Oracle and Password System) для администраторов Unix-систем, и система System Scanner (SS) фирмы Internet Security System Inc. для анализа и управления защищенностью операционных систем Unix и Windows NT/ 95/98.
Использование в сетях Internet/Intranet протоколов TCP/IP, которые характеризуются наличием в них неустранимых уязвимостей, привело к появлению в последнее время новых разновидностей информационных воздействий на сетевые сервисы и представляющих реальную угрозу защищенности информации. Средства анализа защищенности сетевых сервисов применяются для оценки защищенности компьютерных сетей по отношению к внутренним и внешним атакам. По результатам анализа защищенности сетевых сервисов генерируются отчеты, включающие в себя список обнаруженных уязвимостей, описание возможных угроз и рекомендации по их устранению. Поиск уязвимостей основывается на использовании базы данных, которая содержит широко известные уязвимости сетевых сервисных программ и может обновляться путем добавления новых уязвимостей.
К числу средств анализа данного класса относится программа SATAN (автор В. Венема), Netprobe фирмы Qualix Group и Internet Scanner фирмы Internet Security System Inc.
Наибольшая эффективность защиты информации достигается при комплексном использовании средств анализа защищенности и средств обнаружения опасных информационных воздействий (атак) в сетях. Средства обнаружения атак в сетях предназначены для осуществления контроля всего сетевого трафика, который проходит через защищаемый сегмент сети, и оперативного реагирование в случаях нападения на узлы корпоративной сети.
Большинство средств данной группы при обнаружении атаки в сети оповещают администратора системы, регистрируют факт нападения в журнале системы и завершают соединение с атакующим узлом. Дополнительно отдельные средства обнаружения атак позволяют автоматически реконфигурировать межсетевые экраны и маршрутизаторы в случае нападения на узлы корпоративной сети.