- •А.И.Бородина, л.И Крошинская, о.Л.Сапун
- •Введение
- •1. Кто и что угрожает деловой информации
- •Вопросы для самоконтроля
- •2. Компьютерная преступность
- •Вопросы для самоконтроля
- •3. Предупреждение компьютерных преступлений
- •Вопросы для самоконтроля
- •4. Защита данных в компьютерных сетях
- •4.1. Классификация сбоев и нарушений прав доступа
- •4.2. Физическая защита данных Кабельная система
- •Системы электроснабжения
- •Системы архивирования и дублирования информации
- •Защита от стихийных бедствий
- •4.3. Программные и программно-аппаратные методы защиты Защита от компьютерных вирусов
- •Защита от несанкционированного доступа
- •Шифрование
- •Подписи
- •4.4. Защита информации при удаленном доступе
- •4.5. Администрирование систем
- •Вопросы для самоконтроля
- •5. Законы и защита деловой информации
- •Вопросы для самоконтроля
- •Использованная литература
- •Глоссарий
- •Тренинг умений
- •Содержание
- •Учебное издание
- •Основы информатики и вычислительной техники
4.3. Программные и программно-аппаратные методы защиты Защита от компьютерных вирусов
Наиболее распространенными методами защиты от вирусов остаются различные антивирусные программы. Однако в качестве перспективного подхода к защите от компьютерных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирусные платы, которые вставляются в стандартные слоты расширения компьютера. Корпорация Intel уже в 1994 году предложила перспективную технологию защиты от вирусов в компьютерных сетях. Flash-память сетевых адаптеров Intel EtherExpress PRO/10 содержала антивирусную программу, сканирующую все системы компьютера еще до его загрузки.
Защита от несанкционированного доступа
Проблема защиты информации от несанкционированного доступа обострилась в связи с широким распространением компьютерных сетей. Зачастую ущерб наносится не из-за злого умысла, а из-за элементарных ошибок пользователей, которые случайно портят или удаляют важные данные. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей.
В компьютерных сетях при организации контроля доступа и разграничения полномочий пользователей чаще всего используются встроенные средства сетевых операционных систем. Так крупнейший производитель сетевых операционных систем – корпорация Novell – в своем продукте NetWare 4.1 предусмотрел помимо стандартных средств ограничения доступа, таких как система паролей и разграничения полномочий, ряд новых возможностей, обеспечивающих первый класс защиты данных. NetWare предусматривает, в частности, возможность кодирования данных по принципу «открытого ключа» (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов.
В то же время в такой системе организации защиты все равно остается слабое место: уровень доступа и возможность входа в систему определяются паролем. Но пароль можно подсмотреть или подобрать. Для исключения возможности неавторизованного входа в компьютерную сеть в последнее время используется комбинированный подход: пароль + идентификация пользователя по персональному ключу. В качестве ключа может использоваться пластиковая карта (магнитная или со встроенной микросхемой – smart-card) или различные устройства для идентификации личности по биометрической информации: по радужной оболочке глаза или отпечатков пальцев, размерам кисти руки и т.п.
Оснастив сервер или сетевые рабочие станции, например, устройством чтения smart-card и специальным программным обеспечением, можно значительно повысить степень защиты от несанкционированного доступа. В этом случае для доступа к компьютеру пользователь должен вставить карту в устройство чтения и ввести свой персональный код. Программное обеспечение позволяет установить несколько уровней безопасности, которые управляются системным администратором. Возможен и комбинированный подход с вводом дополнительного пароля, при этом приняты специальные меры против «перехвата» пароля с клавиатуры. Этот подход значительно надежнее применения паролей, поскольку, если пароль подглядели, пользователь об этом может не знать, если же пропала карточка, можно принять меры немедленно.
Smart-card позволяет реализовать, в частности, такие функции, как контроль входа, доступ к устройствам персонального компьютера, доступ к программам, файлам и командам. Кроме того, возможно также осуществление контрольных функций, в частности, регистрация попыток нарушения доступа к ресурсам, использования запрещенных утилит, программ, команд Ms Dos.
Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos. В основе этой системы авторизации лежат три компонента:
База данных, содержащая информацию по всем сетевым ресурсам, пользователям, паролям, шифровальным ключам и т.д.
Авторизационный сервер (authentication server), обрабатывающий все запросы пользователей для получения того или иного вида сетевых услуг. Авторизационный сервер, получая запрос от пользователя, обращается к базе данных и определяет, имеет ли пользователь право на совершение данной операции. При этом пароли пользователей по сети не передаются, что также повышает степень защиты информации.
Сервер выдачи разрешений (ticket-granting server) получает от авторизационного сервера «пропуск», содержащий имя пользователя и его сетевой адрес, время запроса и ряд других параметров, а также уникальный ключ.
Среди других подобных комплексных схем можно отметить разработанную Европейской Ассоциацией Производителей Компьютеров (ЕСМА) систему Sesame (Secure European System for Application in Multivendor Environment), предназначенную для использования в крупных гетерогенных сетях.
Пароли
Идея использования пароля заключается в следующем: если кто-нибудь попробует обратиться к информации и, в частности, к деловым данным или аппаратным средствам, то пароли должны создать ему массу неудобств. Чем сложнее его угадать, тем безопаснее сохранность данных.
Длина пароля существенно влияет на уровень защиты. Например, 4 цифры по 10 возможных значений каждая содержат 1000 возможных комбинаций. Таким образом при увеличении пароля даже на одну цифру сложность любого внедрения значительно возрастает.
Но при задании пароля важно соблюдать некоторые предостережения: не желательно употребление имен, использование профессиональной информации, желательно избегать повторений. Длинные пароли с изменением регистра и знаков препинания являются наиболее эффективными.
Использование одинакового пароля в течение недель, месяцев или лет не является формой профессиональной защиты, так как обнаружение пароля кем-либо может повлечь за собой, например, разглашение коммерческой тайны. По этой причине предпочтительным является регулярное изменение пароля.
В Microsoft Word для Windows 6.0 защитить документ можно следующим образом. В меню Файл можно выбрать Сохранить как…, а в появившемся диалоговом окне нажать кнопку Параметры, в последующем диалоговом окне можно ввести пароль, ограничивающий возможность открыть документ. Можно также ввести пароль, необходимый для изменения содержания документа.
У пользователей ПК есть несколько методов защиты паролем важных материалов: пароли начальной загрузки BIOS, пароли отдельных файлов и защищенные паролем архивные файлы – это средства, которые помогают защитить деловую информацию от несанкционированного доступа.