Ильин А.А., Евсюков В.В., Ильин Р.А. Информатика

Подождите немного. Документ загружается.

–

351

–

информацией по электронным каналам связи, заключают договор,

определяющий, в частности, технические особенности используемых средств,

механизм разрешения возможных спорных ситуаций, связанных с применением

ЭЦП.

В рамках систем электронных платежей одновременно используются как

ЭЦП, так и непосредственное шифрование при передаче платежных

документов. Их реализация может быть осуществлена как аппаратными, так и

программными средствами

Известными стандартами в области криптографии являются: для

шифрования данных - DES (США) и ГОСТ 28147-89, для работы с электронной

цифровой подписью – RSA (США) и ГОСТ З34.10-94. В течение трех десятков

лет стандарт DES считался в международной практике одним из лучших

образцов криптоалгоритмов (в его основе используются комбинации

перестановок, замен и операций сложения по модулю два),

используемых при

хранении и передаче данных в вычислительных системах, в электронных

системах платежей, при обмене коммерческой информацией и т.п. В последнее

время стандарт DES (находит применение усиленный вариант стандарта –

TripleDES – трижды шифрует информацию с помощью стандарта DES) теряет

свои позиции из-за увеличения потенциальной возможности его взлома

методом прямого подбора высокопроизводительными компьютерами (

длина

ключа у стандарта DES – 64 символа, аналогичный российский стандарт

значительно более стойкий – имеет ключ длиной 256 символов). Ему на смену

приходит стандарт шифрования AES, поддерживающий длину ключа до 256

символов. Сертификацией средств защиты информации занимаются ФАПСИ и

Гостехкомиссия (зарубежные средства защиты информации ими не

сертифицируются). На международном уровне используется стандарт ISO

15408, описывающий набор общих критериев

защищенности информационной

системы, из которых набираются технические условия для каждого класса

средств защиты.

ЭЦП впервые появилась под законодательным актом 2 октября 2000 г.,

когда президент США Б.Клинтон подписал очередной закон не только ручкой,

но и с помощью электронной цифровой подписи (подписанный закон уравнял в

правах электронные и бумажные документы). Президент России В

.Путин

подписал Федеральный закон “Об электронной цифровой подписи” 10 января

2002 г.

В системе Банка России предписано использовать криптографические

средства, реализующие отечественные стандарты безопасности: ГОСТ 28147-89

на алгоритм шифрования и ГОСТ 334.11-94 на цифровую подпись. Другим

обязательным требованием по использованию криптографических средств

является их сертифицированность в государственной организации, что

гарантирует стойкость применяемой криптосистемы и

определяет условия ее

–

352

–

безопасной эксплуатации. Преимущественно используются аппаратно

реализованные устройства криптографической защиты информации серии

"Криптон" фирмы "Анкада", реализующие отечественный стандарт

шифрования ГОСТ 28147-89 и имеющие сертификаты ФАПСИ. По сравнению

с чисто программными реализациями применение платы "Криптон" исключает

возможность появления ключей шифрования в открытом виде в оперативной

памяти компьютера. Устройства "Криптон" позволяют: шифровать файлы,

группы

файлов и разделы на винчестерах и носителях информации; защищать

информацию, передаваемую по открытым каналам связи и вычислительным

сетям; разграничивать и контролировать доступ к компьютеру; формировать

цифровую подпись документов. Ключи шифрования могут находиться на

дискетах, смарт-картах, устройствах Touch Memory, USB-брелках. Скорость

шифрования достигает скорости передачи данных в сети Fast Ethernet (до 10

Мбит/с).

Преимуществом аппаратной

реализации криптографических функций

защиты информации являются:

• усиление защищенности самих криптографических средств

(криптографические функции гарантированно защищены от

несанкционированного доступа к ним, что препятствует возможности

манипуляции ключами со стороны злоумышленника);

• повышение производительности системы за счет выполнения

трудоемких криптографических операций на специализированном

оборудовании.

Среди программных продуктов, используемых для поддержки

шифрования документов и электронной подписи, широко используются

программы “Верба-W” и “Верба-OW”, имеющие сертификат ФАПСИ.

Следует отметить, что современные многофункциональные программные

средства, такие как СУБД, ОС и др., имеют встроенные процедуры

криптографической защиты информации. Существуют специализированные

доступные программы, например, Best Crypt, Sentry 2020, Cryptext и др.,

позволяющие шифровать (расшифровывать) данные на

основе ряда алгоритмов

(стандартов) на винчестерах и различных типах носителей информации.

8.6. СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В

КОМПЬЮТЕРНЫХ СЕТЯХ

Полноценное вступление России в мировое сообщество предопределило

необходимость расширения взаимодействия с глобальными информационными

сетями.

–

353

–

Основными предпосылками расширяющегося применения в преступной

деятельности информационных технологий с использованием сети Интернет

являются:

• усиление роли информации как ценного товара, что приводит к

созданию новых способов воздействия на компьютерные системы как с целью

хищения или уничтожения информации, так и с целью ее модификации;

• появление систем электронных расчетов и платежей

;

• стремительный рост числа устройств (в том числе мобильных), в

которых реализована возможность доступа к сети Интернет;

• широкое использование иерархически организованных компьютерных

систем в контурах управления систем жизнеобеспечения самого разного

уровня: от медицинского оборудования до систем государственного масштаба.

Даже ряд случайных (не говоря о преднамеренных информационных атаках)

сбоев компьютеров

может привести к непредсказуемым ситуациям вплоть до

техногенных катастроф;

• открытость структуры сети Интернет, базирующейся на семействе

протоколов TCP/IP, сервисные программы которых не обеспечивают защиту от

перехвата данных;

• общественный характер организации сети Интернет (сеть как единое

целое не является чьей-либо собственностью), практически исключающий

государственное регулирование циркулирующей в ней информации.

Средствами

защиты информации в сетях являются:

• межсетевые экраны;

• туннелирование;

• сканеры безопасности и др.

Применение

межсетевых экранов (брандмауэров) является одним из

эффективных средств защиты информационных ресурсов корпоративной сети

от несанкционированного доступа. С целью проведения гибкой политики

безопасности экраны могут быть установлены практически на любых из семи

уровней в соответствии с сетевой моделью OSI, причем с увеличением уровня

усиливается степень защиты.

Разновидности реализаций межсетевых экранов: фильтры пакетов,

прокси–системы (proxy-system),

системы контроля текущего состояния -

реализуют различные наборы защитных механизмов.

В общем случае управление межсетевыми экранами позволяет выполнять

широкий набор операций: задавать в правилах доступа набор IP-адресов, с

которыми разрешено или запрещено соединение и определять временной

интервал возможных соединений; указывать порядок действий с пакетами,

удовлетворяющими заданным правилам; вводить ограничения по объему

передаваемых

данных; выполнять трансляцию IP-адресов с целью сокрытия

реальных внутрисистемных адресов пользователей; шифровать передаваемые

–

354

–

данные для создания защитного канала между межсетевыми экранами;

фиксировать в журналах всю сетевую активность и проводить анализ

статистики для своевременного распознавания попыток атак и принятия мер по

их предотвращению; осуществлять аутентификацию пользователей при

установлении соединений; параллельно проводить антивирусный контроль с

использованием специализированных программ и др.

Фильтры пакетов имеют встроенные средства ограничения трафика

между адресатами. Они обеспечивают гибкость, высокое быстродействие,

однако решение о пропуске пакетов принимаются только на основе заголовков

TCP/IP, что не исключает возможности свершения ряда известных атак.

Прокси-система защищает внутреннюю сеть от угроз, исходящих от

прямого IP-соединения, посредством отображения внутренних адресов

корпоративной сети в единственный адрес (для злоумышленника извне вся

корпоративная сеть выглядит как один компьютер с конкретным IP-адресом).

Системы контроля текущего состояния позволяют существенно

повысить безопасность благодаря возможности отслеживания соединения и

после его непосредственного установления. Здесь также используется

фильтрация пакетов, однако, дополнительно в IP-пакетах осуществляется

просмотр информации прикладного уровня с контролем контекста соединения.

К лучшим образцам сертифицированных (проходящих в процессе

тестирования проверку на устойчивость к различным стандартным наборам

атак) межсетевых экранов отнесятся Fire Wall-1

фирмы Check Point, Alta Vista

Fire Wall от Digital, Centri фирмы Cisco, Guardian от NetGuard, Microsoft Proxy

Server и др. Всё большее распространение получают аппаратно реализованные

сетевые экраны, представляющие собой специализированные компьютеры,

например модель PIX фирмы Cisco Systems.

Туннелирование обеспечивает конфиденциальность и целостность всей,

включая служебную, передаваемой информации посредством

инкапсулирования (внедрения) исходного передаваемого пакета в другой

защищенный пакет при передаче пакетов в рамках сетей. При выполнении

туннелирования широко применяется протокол IPSec (IP Security),

ориентированный на обеспечение безопасной передачи данных в открытых

сетях. Открытые IP-пакеты инкапсулируются в защищенные IPSec-пакеты, что

позволяет организовать закрытый

канал передачи между отправителем и

получателем. В свою очередь, протокол IPSec используется протоколами более

высоких уровней.

Многие пользователи подключаются к своей корпоративной сети через

Интернет с удаленных от основного места работы точек с помощью

виртуальной частной сети (VNP - Virtual Private Network). Для многих

организаций сеть VPN выгодна тем, что исчезает необходимость прокладывать

витую пару (однако дистанционное соединение

не такое удобное и быстрое как

–

355

–

в локальной сети). Некоторые провайдеры требуют при использовании VPN

перехода в более дорогостоящий по оплате бизнес-тариф.

Технология VPN предполагает организацию защиты передаваемой по

сети информации. При создании сети на все компьютеры, имеющие выходы в

Интернет, устанавливается средство, реализующее VPN (VPN-агент), которое

автоматически шифрует всю исходящую информацию и, соответственно,

расшифровывает всю входящую информацию, а

также использует ЭЦП для

обеспечения ее целостности. Перед отправкой IP-пакета VPN-агент выполняет

ряд операций: из нескольких поддерживаемых им алгоритмов шифрования и

ЭЦП по IP-адресу получателя выбирается нужный для защиты данного пакета

алгоритм, а также ключи (при отсутствии в настройках VPN-агента указанного

адреса пакет не передается); добавляет в пакет ЭЦП отправителя;

шифрует

пакет; проводит инкапсуляцию, т.е. формирует новый заголовок, где указывает

адрес VPN-агента получателя (а не внутренний IP-адрес самого получателя).

При этом обмен между двумя сетями выглядит как обмен между двумя

компьютерами, на которые установлены VPN-агенты. При получении IP-

пакета перечисленные действия выполняются в обратном порядке. Следует

отметить, что в заголовке принятого

пакета содержится сведения о VPN-агенте

отправителя. При отсутствии данного агента в списке агентов, с которыми

разрешен обмен сообщениями, принятый пакет отбрасывается. Сложной в

технологии VPN является настройка VPN-агентов, требующая определенной

квалификации.

Выпускаются модели маршрутизаторов со встроенной поддержкой VPN

(криптографические маршрутизаторы), шифрующие все, проходящие через них

пакеты. VPN-агенты создают каналы (туннели) между защищаемыми

сетями.

Однако средства VPN не защищают от атак изнутри (когда злоумышленник

находится в одной из защищаемых сетей); по статистике около 75%

финансовых потерь наносится в результате подобных злоумышленных

действий. Также они бессильны перед DoS-атаками.

Совместное использование сетевых экранов, туннелирования и

шифрования реально обеспечивают необходимый уровень безопасности при

передаче данных в рамках виртуальный

частных сетей, построенных, как

правило, на базе Интернет.

Сканеры безопасности используются для периодического поиска

уязвимостей в системе защиты объекта (информационной системы) с целью

скорейшего принятия мер по их устранению. В процессе тестирования сканеры

фактически предпринимают множество санкционированных атак на

исследуемые объекты. В большинстве случаев наличие уязвимостей

объясняется ошибками в программном обеспечении (как правило, они

устраняются установкой более “свежей” версии программы) или

некорректным

администрированием (вносятся изменения в настройки).

–

356

–

Наиболее известные решения сосредоточены в семействе продуктов

адаптивного управления безопасностью SAFE suite Decisions, которое

включает в себя три сканера безопасности: Internet Scanner – для анализа

защищенности сетевых средств, System Scanner – для операционных систем,

Database Scanner – для систем управления базами данных. Эти сканеры

совместно способны обнаруживать более 1600 уязвимостей.

Следует отметить, что современные ОС и СУБД имеют значительные

наборы встроенных средств защиты

информации. К ним относятся: различные

варианты идентификации и аутентификации (в том числе с использованием

протокола Kerberos); разграничение прав и привилегий с возможностью их

делегирования (в том числе и на основе ролевой модели); конфигурирование

уровня безопасности и управление политикой безопасности; аудит системы;

защищенная передача данных в сети по протоколу IP; шифрование файлов

пользователей; использование

службы сертификатов.

Во многих случаях для зондирования сетей целесообразно использовать

не только коммерческие инструментальные средства, но и хакерский

инструментарий: Strobe, Mscan/Sscan, SATAN++/ SAINT/SARA. Анализ

данных, представленных такими инструментами, требует значительной

квалификации.

Internet Scanner позволяет проводить регулярное всестороннее или

выборочное тестирование операционных систем, распространенного

прикладного программного обеспечения, маршрутизаторов, межсетевых

экранов, серверов, рабочих станций, автономных компьютеров и др

. На основе

проведенных тестов система Internet Scanner вырабатывает отчеты, содержащие

подробное описание каждой обнаруженной уязвимости, ее расположение на

узлах корпоративной сети и рекомендации по их коррекции или устранению.

Система Internet Scanner обеспечивает высокий уровень анализа защищенности

за счет проведения всесторонних проверок и следующих ключевых

возможностей: большого числа проводимых проверок с возможностью

создания своих собственных

проверок; задания степени глубины сканирования;

централизованного управления процессом сканирования; параллельного

сканирования до 1288 сетевых устройств и систем; запуска процесса

сканирования по расписанию; возможности работы из командной строки;

мощной системы генерации отчетов с различными форматами и уровнями

детализации; функционирования под управлением многих операционных

систем.

Сканер System Scanner проводит анализ защищенности сканируемых

серверов и рабочих станций

изнутри сети, в то время как система Internet

Scanner - снаружи. При этом анализируются настройки ОС, которые могут быть

использованы для осуществления атак, а также ищутся следы ранее

проведенных атак.

–

357

–

Сканер Database Scanner предназначена для проверки настроек

параметров СУБД и ее окружения. Он обеспечивает детальный анализ

процедур аутентификации, авторизации, проверки целостности.

Новым средством защиты информации в сетях являются

системы

обнаружения атак

(IDS), предназначенные для выявления в реальном времени

различного рода вторжений путем регистрации и анализа неуместной,

некорректной или аномальной деятельности. Если

межсетевой экран можно

сравнить со стражем, проверяющим документы у всех проходящих через дверь

офиса посетителей, то система обнаружения атак напоминает сеть датчиков,

сообщающих, что кто-то проник в систему, где именно это произошло и какие

действия предприняты нарушителем. Наиболее распространен вариант

установки такой программы до начала работы. При запуске программа

фиксирует

все важные атрибуты системных файлов и далее регулярно

сравнивает их с текущими значениями. Проводится мониторинг всех

получаемых или отсылаемых пакетов с целью выявления известных сигнатур

атак. Системы характеризуются заметным уровнем ложных срабатываний (в

связи со сложностью своевременного обнаружения атаки).

Поскольку маршрутизаторы, по существу, формируют ядро Интернет, то

организация DoS-атак на маршрутизаторы потенциально может

привести к

выводу из строя целых сегментов инфраструктуры сети. Кроме того,

получивший доступ к маршрутизатору хакер может изменить его

конфигурацию и данные протокола для перенаправления трафика Интернет по

неверным (указанным им) адресам.

В конце 2001 г. был обнаружен способный к самостоятельному

распространению хакерский инструментарий Voyger Alpha Force, являющийся

эффективным инструментом организации DoS-атак. Программа заражает

Интернет-хосты на которых функционирует Microsoft SQL Server с

отсутствующим административным паролем. После создания достаточно

широкой сети действующих копий Voyger Alpha Force хакер может приказать

им начать бомбардировку некоторого сайта запросами, что приведет к

прекращению работы этого сайта.

В рамках корпоративных сетей для осуществления всех процедур

авторизации доступа пользователей используют выделенный сервер

аутентификации, на котором хранится единая

база данных с именами и

паролями всех пользователей, независимо от вида их подключения.

Единая регистрация (Single Sign On – SSO) представляет собой

механизм аутентификации и предоставления прав доступа, который даёт

пользователю возможность, один раз зарегистрировавшись в одной из систем,

получать доступ к другим системам, взаимодействующим с первой, не проходя

повторно процедуру регистрации. После регистрации на сервере SSO

пользователи могут обратиться ко всем ресурсам, в отношении которых у них

–

358

–

есть права доступа, в соответствии с тем, как они определены системой защиты,

без последующей регистрации в этих отдельных системах, приложениях,

ресурсах и сетях. Процедура единой регистрации даёт возможность

пользователям регистрироваться в основном домене, но при этом получать

доступ к доменам второго уровня (отпадает необходимость процедуры

регистрации в каждом из доменов второго

уровня).

В случае простейшей реализации SSO каждому пользователю

предоставляется учётная запись на сервере аутентификации, где хранятся все

пользовательские идентификаторы, пароли и другие учётные данные

пользователя. Сервер выполняет аутентификацию пользователя,

предъявившего своё имя и пароль, а затем (по мере необходимости) передаёт

его идентификатор и пароль другим доменам. Единственный способ обеспечить

защиту процесса

аутентификации – отказ от использования статических пар

“идентификатор пользователя/пароль” и переход к применению аппаратных

ключей. Такие ключи при каждом входе в систему создают различные пароли

единой регистрации, которые передаются защищённым образом по всем сетям.

Аутентификация при помощи аппаратных ключей предотвращает попытки

обхода SSO с целью прямой регистрации в системах второго уровня.

Эффективным средством аутентификации пользователей при контроле

доступа в вычислительные сети является

система Kerberos. Она рассчитана на

работу в распределенных средах в конфигурациях, где имеются незащищенные

рабочие станции, умеренно защищенные серверы и хорошо защищенные

средства распределения ключей (фактически эта система стала стандартом

средств защиты распределенных систем). Протокол Kerberos интегрирован в

систему безопасности и контроля доступа в ОС Windows 2000/XP. Базовый

протокол Kerberos (в нем используется симметричная схема шифрования)

определяет серию обменов между пользователем, процедурами

аутентификации и серверами для получения билетов Kerberos по доступу к

информационным ресурсам сети. Расширения протокола Kerberos,

использующие открытые ключи (несимметричная схема шифрования),

являются основой аутентификации в сети с помощью технологии смарт-

карточек. Ведущая служба Kerberos – Центр распределения ключей (KDC –

Key Distribution Center). Основной недостаток Kerberos – невозможность

аутентификации при DoS–атаках.

Корпорация Microsoft выпустила средство

глобальной аутентификации

для взаимодействия с Web-сайтами – программу Passport. Служба

аутентификации Passport позволяет своим пользователям сообщить системе

основные данные о себе (например, адрес электронной почты или почтовый

индекс). После этого они могут регистрироваться на любом Web-сайте,

поддерживающем Passport без повторного ввода информации персонального

характера.

–

359

–

Одним из наиболее кардинальных решений повышения уровня

безопасности корпоративной сети является ее разделение на две

самостоятельные сети, одна из которых соединена с сетью Интернет через

межсетевые экраны, а другая (закрытая) - используется для обмена

конфиденциальной информацией.

Алгоритм шифрования с открытым ключом положен в основу

криптографической системы для электронной почты PGP (Pretty Good Privacy),

широко используемой при

обмене информацией в сети Интернет. В этой

программе реализованы функции генерирования секретных и открытых

ключей, а также различные виды шифрования, что дает возможность

переписки с неизвестными до этого абонентами без предварительного обмена

ключами по безопасным каналам.

8.7. СРЕДСТВА АНТИВИРУСНОЙ ЗАЩИТЫ

Независимо от вида решаемых на компьютере задач весьма опасными

для пользователя могут быть последствия его заражения

компьютерным

вирусом, представляющим собой некоторую последовательность выполняемых

кодов (программу), способную самостоятельно создавать свои копии

(возможно с вариациями) и внедрять их в другие программы (файлы) с целью

нарушения работоспособности программного обеспечения и аппаратных

средств компьютеров и сетей. Диапазон последствий действия вирусов широк:

от снижения производительности компьютера до полной потери его

работоспособности из-за

стирания системной информации на винчестере и в

микросхеме с Flash BIOS.

Признаками присутствия вирусов на компьютере являются:

• неожиданное замедление работы компьютера;

• невозможность загрузки системных или прикладных программ, а

также их нестандартное функционирование;

• немотивированное изменение размеров файлов, дат и времени их

создания (обновления), появление новых файлов;

• уменьшение объема доступной

пользователю оперативной памяти;

• самопроизвольные изменения файловой структуры дисков;

• эпизодическое появление на экране дисплея неадекватных сообщений

и изображений;

• самопроизвольная активизация ресурсов компьютера, связанных с

копированием и передачей сообщений;

• заметное увеличение сбоев в работе компьютера, включая его

перезагрузку, и др.

Следует отметить, что некоторые проявления действия вирусов в силу

реализации в них широкого спектра разнообразных действий, могут быть

схожи с признаками случайных нарушений в работе компьютера и

–

360

–

установленного на нем программного обеспечения, а также физического

износа аппаратных средств. Это обстоятельство предполагает выполнение

периодических проверок технического состояния компьютера.

Хронологически первыми были созданы вирусы, инфицирующие

программные файлы с расширениями .EXE, .COM, .BAT. Традиционным путем

размножения вирусов за пределами компьютера было самостоятельное

внедрение их тела в другие программы при копировании этих программ на

дискеты

. С годами расширился диапазон потенциально заражаемых типов

файлов; практически любые файлы, включая и текстовые, в настоящее время

могут быть заражены тем или иным вирусом. Развитие компьютерных сетей

инициировало создание вирусов, способных к размножению с использованием

сетевых механизмов доступа к компьютерам. С развитием сети Интернет

появились вирусы-черви (первый вид создан

в 1999 г.), способные к

самораспространению посредством электронной почты без выполнения

пользователем конкретных операций, обычно сопутствующих активизации

других вирусов.

В апреле 1999 г. в России случилось крупнейшее за последние годы

заражение компьютеров вирусом Win 95 CIH, который уничтожает данные во

Flash BIOS и на винчестере таким образом, что восстановить их уже

невозможно. Почтовый вирус Melissa, написанный под создаваемые

с помощью

редактора Microsoft World документы, выбирает из адресной книги 50 адресов

и рассылает по ним свои письма. Следствием действия данного вируса является

переполнение почтовых серверов, которые просто зависают, а поскольку, во

многих случаях, на этих же компьютерах реализованы и файл–серверы, то

работа организации парализуется. Вирусы Code Red и Nimda, которые могут

считаться образцом совершенства, заразили

соответственно в июле и сентябре

2001 г. сотни тысяч компьютерных систем по всему миру. В этих вирусах

заложено сразу несколько способов распространения через различные бреши в

широко распространенной системе безопасности Microsoft Internet Information

Services. В 2001 г. было известно более 25 тысяч компьютерных вирусов. В

целом общее число ежемесячно обнаруживаемых новых компьютерных

вирусов постепенно уменьшается, однако

их сложность постоянно возрастает.

Основными каналами заражения компьютеров вирусами являются

носители информации (дискеты, компакт-диски и др.) и компьютерные сети

(нередко заражение происходит через почтовые ящики на инфицированных

Web-узлах). Сложность защиты корпоративных информационных систем во

многом осложняется увеличением числа мобильных устройств (карманных

компьютеров, PDA и др.), с которых вирус может попадать

в сеть организации

в обход корпоративной системы безопасности.

Во многих случаях активизация вируса на зараженном компьютере

связана с совершением какого-либо события, например, с наступлением

конкретной даты. После выполнения запрограммированных действий (зачастую

без заметных внешних проявлений) вирус освобождает используемые им