2.4. Защита информационных систем
Средства защиты в автоматизированных системах обработки данных:
1. Пароли.
2. Голос человека.
3. Отпечатки пальцев.
4. Геометрия рук.
5. Рисунок сетчатки глаза.
6. Личная подпись человека. Идентифицируемые характеристики – графика написания букв, динамика подписи, давление пишущего инструмента.
7. Фотография человека.
8. Персональные карточки, содержащие идентифицирующую информацию.
Защита компьютерных систем подразделяется на: законодательные (правовые), административные (организационные), процедурные и программно-технические.
К законодательным мерам защиты относятся действующие в стране нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил. Важное значение имеют стандарты "Оранжевая книга", рекомендации X.800 и "Общие критерии оценки безопасности информационных технологий" (Common Criteria for IT Security Evaluation).
Осенью 2006 г. в России был принят национальный стандарт ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология – Практические правила управления информационной безопасностью", соответствующий международному стандарту ИСО 17799. Стандарт представляет собой перечень мер, необходимых для обеспечения информационной безопасности организации, включая действия по созданию и внедрению системы управления информационной безопасности, которая строится таким же образом и на тех же принципах, что и система менеджмента качества, и совместима с ней.
Административные меры защиты - меры организационного характера, регламентирующие процессы функционирования автоматизированных ИС, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
1. Подбор и подготовку персонала системы.
2. Организацию охраны и пропускного режима.
3. Организацию учета, хранения, использования и уничтожения документов и носителей с информацией.
4. Распределение реквизитов разграничения доступа (паролей, ключей шифрования и т. д.).
В составе административных мер защиты важную роль играет формирование программы работ в области информационной безопасности и обеспечение ее выполнения (для этого необходимо выделять необходимые ресурсы и контролировать состояние дел). Основой программы является политика безопасности организации - совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которыми руководствуется организация в своей деятельности. Разработка политики безопасности включает определение следующих основных моментов:
1) какие данные и насколько серьезно необходимо защищать;
2) кто и какой ущерб может нанести организации в информационном аспекте;
3) основные риски и способы их уменьшения до приемлемой величины.
Политику безопасности условно делят на три уровня: верхний, средний и нижний.
К верхнему уровню относятся решения, затрагивающие организацию в целом (как правило, носят общий характер и исходят от руководства). Например, цели организации в области информационной безопасности, программа работ в области информационной безопасности (с назначением ответственных за ее реализацию).
К среднему уровню относятся вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией (например, использование на работе персональных ноутбуков, установка непроверенного программного обеспечения, работа с Интернетом и т. д.).
Политика безопасности нижнего уровня касается конкретных сервисов и должна быть наиболее детальной. Часто правила достижения целей политики безопасности нижнего уровня заложены в эти сервисы на уровне реализации.
Меры процедурного уровня - отдельные мероприятия, выполняемые на протяжении всего жизненного цикла автоматизированных ИС. Они ориентированы на людей (а не на технические средства) и подразделяются на:
1) управление персоналом;
2) физическая защита;
3) поддержание работоспособности;
4) реагирование на нарушения режима безопасности;
5) планирование восстановительных работ. Программно-технические меры защиты основаны на использовании специальных аппаратных средств и программного обеспечения, входящих в состав автоматизированных ИС и выполняющих функции защиты: шифрование, аутентификацию, разграничение доступа к ресурсам, регистрацию событий, поиск и удаление вирусов и т. д.
Парольная защита
Роль парольной защиты в обеспечении безопасности автоматизированных ИС. Криптографические методы, в частности шифрование, хорошо обеспечивают защиту информации (конфиденциальности, целостности, аутентичности и т. д.) от внешнего нарушителя. Такой нарушитель, возможно, может перехватывать сообщения, передающиеся по каналу связи, а в некоторых случаях модифицировать их и даже вставлять в сеанс связи собственные сообщения (зачастую стараясь выдать их за сообщения другого источника). Однако информация в канале связи предварительно подвергается криптографическим преобразованиям и передается в соответствии с криптографическими протоколами, специально разработанными для того, чтобы помешать нарушителю реализовать угрозы безопасности. Для того чтобы нарушить безопасность информации, циркулирующей в системе, ему необходимо найти уязвимость в системе защиты, либо в использованных в ней криптографических алгоритмах. Аналогичные трудности встают перед нарушителем, получившим доступ к защищенной автоматизированной ИС в качестве пользователя, не обладающего привилегиями, необходимыми для доступа к интересующим его данным.
Однако ситуация меняется, если нарушитель получает доступ в систему от имени пользователя, уполномоченного выполнять операции с интересующими его данными (например, копирование конфиденциальных файлов, уничтожение критически важных данных и т. д.). В этом случае вся криптографическая защита оказывается бесполезной. Таким образом – самое уязвимое место автоматизированной информационной системы – точки доступа к ней. Эти точки доступа защищаются протоколами аутентификации (проверки подлинности пользователя). А самая удобная для пользователя и наиболее используемая форма аутентификации – парольная защита.
Существует ряд стандартных приемов, применяемых злоумышленниками с целью обойти парольную защиту. Для каждого из этих приемов выработан механизм противодействия.
Способы атаки на пароль. обеспечение безопасности пароля.
Существуют следующие приемы обхода парольной защиты и методы противодействия им.
1. Полный перебор (метод грубой силы, bruteforce). Самая простая (с технической точки зрения) атака на пароль – перебор всех комбинаций допустимых символов (начиная от односимвольных паролей). Современные вычислительные мощности позволяют перебрать все пароли длиной до пяти-шести символов за несколько секунд.
Некоторые системы не позволяют реализовать атаки, основанные на переборе, поскольку реагируют на несколько попыток неправильно набранного пароля подряд.
Однако существует множество систем, позволяющих бесконечный перебор. Например, к защищенному паролем файлу (архив rar или zip, документ Microsoft Office и т. д.) можно пробовать разные пароли бесконечно. Существует множество программ, которые позволяют автоматизировать эту процедуру: Advan ced RAR Password Recovery, Advan ced PDF Password Recovery, Advan ced Office XP Password Recovery. Кроме того, многие программы хранят хэш пароля в доступном файле. Например, клиент для работы с электронной почтой (работающий на общедоступном компьютере) может хранить пароли пользователей. Существуют способы похитить файл, содержащий хэши паролей доступа к операционной системе. После этого можно заниматься подбором паролей уже в обход системы, с помощью специальных программ.
Важной характеристикой пароля, затрудняющей полный перебор, является его длина. Современный пароль должен иметь длину не менее 12 символов.
Два лишних символа в пароле увеличивают время перебора в 40 000 раз, а четыре символа – уже в 1 600 000 000 раз. Однако вычислительные мощности компьютеров постоянно растут (еще несколько лет назад безопасным считался пароль длиной 8 символов).
2. Перебор в ограниченном диапазоне. Известно, что многие пользователи, составляя пароль, используют символы, находящиеся в определенном диапазоне. Например, пароль, состоящий только из русских букв или только из латинских букв или только из цифр. Такой пароль значительно легче запомнить, однако задача противника, осуществляющего перебор, неимоверно упрощается.
Пусть N = 70 – количество символов, из которых можно составить пароль, причем 10 из них – цифры, 30 – буквы одного языка и 30 – буквы другого языка. Пусть мы составляем пароль длиной m = 4 символа.