Традиционные методы и средства обеспечения безопасности КВС
К традиционным методам и средствам обеспечения безопасности относятся следующие.
1. Парольная защита основана на том, что для использования какого-либо ресурса необходимо задать некоторую комбинацию символов, или пароль, открывающий доступ к этому ресурсу. С помощью паролей защищаются файлы, личные или фирменные архивы, программы и отдельные компьютеры (пароль на включение компьютера). Недостатки такой защиты: слабая защищенность коротких (менее 8 символов) паролей, которые на современных компьютерах раскрываются простым перебором, и необходимость частой смены паролей. В сетях пароли используются как самостоятельно, так и в качестве основы для различных методов аутентификации.
В практике использования паролей выработался целый «свод законов», основные из которых следующие:
• в качестве пароля не может использоваться слово из какого бы то ни было языка;
• длина пароля не может быть менее 8 символов;
• один и тот же пароль не может быть использован для доступа к разным средствам;
• старый пароль не должен использоваться повторно;
• пароль должен меняться как можно чаще;
• не использовать в качестве поролей комбинации как, 1234, qwerty или собственное имя, написанное задом наперед, имена членов семьи и прочих родственников, любимой собаки/кошки; за какие команды и в каких видах спорта "объект" болеет; какие книги и кинофильмы любит; какую газету читает по утрам.
Пример построения пароля
Берется легко запоминаемая фраза: Колдун разувает вождя 3;
из нее берутся первые три буквы каждого слова:кол раз вож 3;
набираются на английской клавиатуре, и получается пароль: rjkhfpdj:3.
• пароли, хранящиеся на сервере, шифровать при помощи односторонней функции;
• файл паролей размещать в особо защищаемой области ЗУ ЭВМ, закрытой для чтения пользователями;
• границы между смежными паролями маскируются;
• комментарии файла паролей следует хранить отдельно от файла;
• периодически менять пароли;
• предусмотреть возможность насильственной смены паролей со стороны системы через определенный промежуток времени;
• использовать несколько пользовательских паролей: собственно пароль, персональный идентификатор, пароль для блокировки/разблокировки аппаратуры при кратковременном отсутствии и т. п.
• В качестве более сложных парольных методов используется случайная выборка символов пароля и одноразовое использование паролей. В первом случае пользователю (устройству) выделяется достаточно длинный пароль, причем каждый раз для опознавания используется часть пароля, выбираемая случайно. При одноразовом использовании пароля пользователю выделяется не один, а большое количество паролей, каждый из которых используется по списку или по случайной выборке один раз.
2. Идентификация пользователей представляет собой некоторое развитие системы парольной защиты на более современном техническом уровне. Она основана на применении для идентификации пользователей специальных электронных карт, содержащих идентифицирующую конкретного пользователя информацию (подобно банковским кредитным карточкам). Системы идентификации пользователей реализуются аппаратно и являются более надежными, чем парольная защита.
3. Аутентификация пользователей — это развитие систем парольной защиты и идентификации для использования в сетях. Аутентификация — это процедура проверки пользователя, аппаратуры или программы для получения доступа к определенной информации или ресурсу. По отношению к пользователю система аутентификации обычно требует указания имени и предъявления пароля или электронной карты. Поскольку частая смена паролей, а тем более электронных карт, крайне неудобна, многие переходят на использование одноразового динамического пароля, который генерируется аппаратными или программными средствами.
4. Криптографические методы защиты являются необходимыми во всех случаях обеспечения безопасности, независимо от того, применяются они в сети или вне ее. Они основаны на шифровании информации и программ. Шифрование программ обеспечивает гарантию невозможности внесения в них изменений. Криптографическая защита данных осуществляется как при их хранении, так и при передаче по сети, причем хранение данных в зашифрованном виде существенно повышает степень их защищенности. В настоящее время доступны как программная, так и высокопроизводительная аппаратная реализация средств криптографии.
5. Привязка программ и данных к конкретному компьютеру (сети или ключу) — метод, весьма динамичный по развитию реализующих его средств защиты. Основная идея метода — включение в данные или в программу конкретных параметров или характеристик конкретного компьютера, которое делает невозможным чтение данных или исполнение программ на другом компьютере. Применительно к сети различные модификации этого метода могут требовать либо выполнения всех операций на конкретном компьютере, либо наличия активного соединения сети с конкретным компьютером. Возможности использования метода «привязки» могут значительно повысить защищенность сети.
6. Разграничение прав доступа пользователей к ресурсам сети — метод, основанный на использовании таблиц или наборов таблиц, определяющих права пользователей и построенных по правилам «разрешено все, кроме» или «разрешено только». Таблицы по идентификатору или паролю пользователя определяют его права доступа к дискам, разделам диска, конкретным файлам или их группам, операциям записи, чтения или копирования, системному принтеру и другим ресурсам сети.
7. Использование заложенных в ОС возможностей защиты — это обязательное правило. Однако большинство ОС либо имеют минимальную защиту, либо предоставляют возможности ее реализации дополнительными средствами.
Исторически сложилось так, что в США раньше большинство потребителей в локальных сетях использовали UNIX, а в России — Novel NetWare. Создаваемые в настоящее время локальные сети в России и за рубежом все в большей степени ориентируются на продукцию фирмы Microsoft — Windows, которая обеспечивает также подключение к Internet и позволяет реализовать унификацию интерфейсов и способов представления и передачи информации.
Windows является единственной коммерческой операционной системой, сертифицированной на класс защиты, который предусматривает:
• возможность владельца ресурса (например, файла) контролировать доступ к нему;
• защиту объектов средствами ОС от повторного использования другими процессами;
• идентификацию пользователей с помощью уникальных имен и паролей, используемых для отслеживания деятельности пользователей;
• возможность аудита событий, связанных с безопасностью;
• защиту ОС самой себя от изменений.
Необходимо учитывать, что защищенность локальной определяется ее слабым звеном. Поэтому неоднородные сети, в которых используются разные ОС и платформы, всегда представляют повышенную опасность. Даже защита Windows значительно ослабляется, если в сети есть клиенты, например, Windows 95/98, не говоря об операционных системах других производителей.