комплексы разделения
полномочий
средства усиленной
аутентификации
встроенные;
внешние.
К встроенным средствам
защиты персонального компьютера и
программного обеспечения относятся
средства парольной защиты BIOS, операционной
системы, СУБД. Данные средства могут быть
откровенно слабыми — BIOS с паролем супервизора,
парольная защита Win95/98, но могут быть и
значительно более стойкими — BIOS без паролей
супервизора, парольная защита Windows NT,
СУБД ORACLE. Использование сильных сторон
этих средств позволяет значительно усилить
систему защиты информации от НСД.
Внешние средства
призваны подменить встроенные средства
с целью усиления защиты, либо дополнить
их недостающими функциями.
К ним можно
отнести:
аппаратные средства
доверенной загрузки;
аппаратно-программные
комплексы разделения полномочий пользователей
на доступ;
средства усиленной
аутентификации сетевых соединений.
Аппаратные средства
доверенной загрузки представляют собой
изделия, иногда называемые «электронным
замком», чьи функции заключаются
в надежной идентификации пользователя,
а также в проверке целостности программного
обеспечения компьютера. Обычно это плата
расширения персонального компьютера,
с необходимым программным обеспечением,
записанным либо во Flash-память платы, либо
на жесткий диск компьютера.
Принцип их действия
простой. В процессе загрузки стартует
BIOS и платы защиты от НСД. Он запрашивает
идентификатор пользователя и сравнивает
его с хранимым во Flash-памяти карты.
Идентификатор дополнительно можно
защищать паролем. Затем стартует встроенная
операционная система платы или компьютера
(чаще всего это вариант MS-DOS), после чего
стартует программа проверки целостности
программного обеспечения. Как правило,
проверяются системные области загрузочного
диска, загрузочные файлы и файлы, задаваемые
самим пользователем для проверки. Проверка
осуществляется либо на основе имитовставки
алгоритма ГОСТ 28147-89, либо на основе функции
хэширования алгоритма ГОСТ Р 34.11-34 или
иного алгоритма. Результат проверки сравнивается
с хранимым во Flash-памяти карты. Если в
результате сравнения при проверке идентификатора
или целостности системы выявится различие
с эталоном, то плата заблокирует дальнейшую
работу, и выдаст соответствующее сообщение
на экран. Если проверки дали положительный
результат, то плата передает управление
персональному компьютеру для дальнейшей
загрузки операционной системы.
Все процессы идентификации
и проверки целостности фиксируются
в журнале.
Достоинства устройств
данного класса — их высокая надежность,
простота и невысокая цена. При отсутствии
многопользовательской работы на компьютере
функций защиты данного средства обычно
достаточно.
Аппаратно-программные
комплексы разделения полномочий на
доступ используются в
случае работы
нескольких пользователей на одном
компьютере, если встает задача разделения
их полномочий на доступ к данным друг
друга. Решение данной задачи основано
на:
Q запрете пользователям
запусков определенных приложений
и процессов;
Q разрешении
пользователям и запускаемым
ими приложениям лишь определенного
типа действия с данными.
Реализация запретов и разрешений
достигается различными способами.
Как правило, в процессе старта операционной
системы запускается и программа
защиты от несанкционированного доступа.
Она присутствует в памяти компьютера,
как резидентный модуль и контролирует
действия пользователей на запуск приложений
и обращения к данным. Все действия пользователей
фиксируются в журнале, который доступен
только администратору безопасности.
Под средствами этого класса обычно и
понимают средства защиты от несанкционированного
доступа. Они представляют собой аппаратно-программные
комплексы, состоящие из аппаратной части
— платы доверенной загрузки компьютера,
которая проверяет теперь дополнительно
и целостность программного обеспечения
самой системы защиты от НСД на жестком
диске, и программной части — программы
администратора, резидентного модуля.
Эти программы располагаются в специальном
каталоге и доступны лишь администратору.
Данные системы можно использовать и в
однопользовательской системе для ограничения
пользователя по установке и запуску программ,
которые ему не нужны в работе.
Средства усиленной аутентификации
сетевых соединений применяются
в том случае, когда работа рабочих
станций в составе сети накладывает требования
для защиты ресурсов рабочей станции от
угрозы несанкционированного проникновения
на рабочую станцию со стороны сети и изменения
либо информации, либо программного обеспечения,
а также запуска несанкционированного
процесса. Защита от НСД со стороны сети
достигается средствами усиленной аутентификации
сетевых соединений. Эта технология получила
название технологии виртуальных частных
сетей.
Одна из основных задач защиты от
несанкционированного доступа — обеспечение
надежной идентификации пользователя
и возможности проверки подлинности любого
пользователя сети, которого можно однозначно
идентифицировать по тому, что он:
знает;
имеет;
из себя представляет.
Что знает пользователь? Свое имя
и пароль. На этих знаниях основаны
схемы парольной идентификации. Недостаток
этих схем — ему необходимо запоминать
сложные пароли, чего очень часто не происходит:
либо пароль выбирают слабым, либо его
Идентификация пользователя он просто
записывают в записную книжку, на
листок бумаги и т. п. В случае использования
только парольной защиты принимают надлежащие
меры для обеспечения управлением создания
паролей, их хранением, для слежения за
истечением срока их использования и своевременного
удаления. С помощью криптографического
закрытия паролей можно в значительной
степени решить эту проблему и затруднить
злоумышленнику преодоление механизма
аутентификации.
Что может иметь пользователь? Конечно
же, специальный ключ — уникальный
идентификатор, такой, например, как
таблетка touch memory (I-button), e-token, смарт-
карта, или криптографический ключ,
на котором зашифрована его запись
в базе данных пользователей. Такая
система наиболее стойкая, однако требует,
чтобы у пользователя постоянно
был при себе идентификатор,
который чаще всего присоединяют к брелку
с ключами и либо часто забывают дома,
либо теряют. Будет правильно, если утром
администратор выдаст идентификаторы
и запишет об этом в журнале и примет их
обратно на хранение вечером, опять же
сделав запись в журнале.
Что же представляет собой пользователь?
Это те признаки, которые присущи
только этому пользователю, только
ему, обеспечивающие биометрическую идентификацию.
Идентификатором может быть отпечаток
пальца, рисунок радужной оболочки
глаз, отпечаток ладони и т. п. В
настоящее время — это наиболее перспективное
направление развития средств идентификации.
Они надежны и в то же время не требуют
от пользователя дополнительного знания
чего-либо или постоянного владения чем-либо.
С развитием технологи и стоимость этих
средств становится доступной каждой
организации.
Гарантированная проверка личности пользователя
является задачей различных механизмов
идентификации и аутентификации.
Каждому пользователю (группе пользователей)
сети назначается определенный отличительный
признак — идентификатор и он сравнивается
с утвержденным перечнем. Однако только
заявленный идентификатор в сети не может
обеспечить защиту от несанкционированного
подключения без проверки личности пользователя.
Процесс проверки личности пользователя
получил название — аутентификации.
Он происходит с помощью предъявляемого
пользователем особого отличительного
признака — аутентификатора, присущего
именно ему. Эффективность аутентификации
определяется, прежде всего, отличительными
особенностями каждого пользователя.
Конкретные механизмы идентификации
и аутентификации в сети могут
быть реализованы на основе следующих
средств и процедур защиты информации:
пароли;
технические средства;
средства биометрии;
криптография с уникальными
ключами для каждого пользователя.
Вопрос о применимости того или
иного средства решается в зависимости
от выявленных угроз, технических характеристик
защищаемого объекта. Нельзя однозначно
утверждать, что применение аппаратного
средства, использующего криптографию,
придаст системе большую надежность,
чем использование программного.
Анализ защищенности информационного
объекта и выявление угроз
его безопасности — крайне сложная
процедура. Не менее сложная процедура
— выбор технологий и средств
защиты для ликвидации выявленных угроз.
Решение данных задач лучше поручить
специалистам, имеющим богатый опыт.3
3.Преступления
в сфере компьютерной информации.
Отечественное законодательство предусматривает
уголовную ответственность за компьютерные
преступления в главе 28 Уголовного
кодекса, состоящей из трех статей:
- Статья 272. Неправомерный доступ к компьютерной информации (Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение,
блокирование, модификацию либо копирование
информации, нарушение работы ЭВМ, системы
ЭВМ или их сети);
- Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ (Создание программ для ЭВМ или внесение изменений в существующие
программы, заведомо приводящих к несанкционированному
уничтожению, блокированию, модификации
либо копированию информации, нарушению
работы ЭВМ, системы ЭВМ или их сети, а
равно использование либо распространение
таких программ или машинных носителей
с такими программами);
- Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию
охраняемой законом информации ЭВМ, если
это деяние причинило существенный вред).
Нет необходимости подробно анализировать
указанные статьи, поскольку их детальному
анализу уже были посвящены многочисленные
работы, а авторский «бестселлер»
«Хакер и Закон» в конце прошлого века
около сотни раз встречался автором на
русскоязычных хакерских сайтах в России
и за рубежом.
Разумеется, компьютерная сеть может
быть не только объектом, но и средством
преступления, в этом случае ответственность
правонарушителя будет по совокупности
преступлений. Как известно, с помощью
компьютера можно совершить любое преступление,
кроме изнасилования, поэтому количество
применимых статей достаточно велико.
Не претендуя на исчерпывающий
список противоправных деяний, которые
могут быть совершены с использованием
компьютера и/или сети, ниже представлен
перечень статей УК РФ под действие которых
они могут попадать:
- Статья 129. Клевета (распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его
репутацию).
- Статья 130. Оскорбление (унижение чести и достоинства другого лица, выраженное в неприличной форме).
- Статья 137. Нарушение неприкосновенности частной жизни (незаконное собирание или распространение сведений о частной жизни лица, составляющих
его личную или семейную тайну, без его
согласия либо распространение этих сведений
в публичном выступлении, публично демонстрирующемся
произведении или средствах массовой
информации, если эти деяния совершены
из корыстной или иной личной заинтересованности
и причинили вред правам и законным интересам
граждан).
- Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.
- Статья 146. Нарушение авторских и смежных прав (незаконное использование объектов авторского права
или смежных прав, а равно присвоение авторства,
если эти деяния причинили крупный ущерб).
- Статья 147. Нарушение изобретательских и патентных прав (незаконное использование изобретения, полезной модели или промышленного образца, разглашение без согласия
автора или заявителя сущности изобретения,
полезной модели или промышленного образца
до официальной публикации сведений о
них, присвоение авторства или принуждение
к соавторству, если эти деяния причинили
крупный ущерб).
- Статья 158. Кража (тайное хищение чужого
имущества).
- Статья 159. Мошенничество (хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием).
- Статья 163. Вымогательство (требование передачи чужого имущества или права на имущество или совершения
других действий имущественного характера
под угрозой применения насилия либо уничтожения
или повреждения чужого имущества, а равно
под угрозой распространения сведений,
позорящих потерпевшего или его близких,
либо иных сведений, которые могут причинить
существенный вред правам или законным
интересам потерпевшего или его близких).
- Статья 165. Причинение имущественного ущерба путем обмана или злоупотребления доверием.
- Статья 167. Умышленные уничтожение или повреждение имущества (если эти деяния повлекли причинение
значительного ущерба).
- Статья 168. Уничтожение или повреждение имущества по неосторожности (в крупном размере).
- Статья 171. Незаконное предпринимательство (осуществление предпринимательской деятельности без регистрации или с нарушением правил регистрации,
а равно представление в орган, осуществляющий
государственную регистрацию юридических
лиц, документов, содержащих заведомо
ложные сведения, либо осуществление предпринимательской
деятельности без специального разрешения
(лицензии) в случаях, когда такое разрешение
(лицензия) обязательно, или с нарушением
условий лицензирования, если это деяние
причинило крупный ущерб гражданам, организациям
или государству либо сопряжено с извлечением
дохода в крупном размере).
- Статья 182. Заведомо ложная реклама (использование
в рекламе заведомо ложной информации
относительно товаров, работ или услуг,
а также их изготовителей (исполнителей,
продавцов), совершенное из корыстной
заинтересованности и причинившее значительный
ущерб).
- Статья 183. Незаконные получение и разглашение
сведений, составляющих коммерческую
или банковскую тайну (собирание сведений,
составляющих коммерческую или банковскую
тайну, путем похищения документов, подкупа
или угроз, а равно иным незаконным способом
в целях разглашения либо незаконного
использования этих сведений).
- Статья 200. Обман потребителей (обмеривание, обвешивание, обсчет, введение в заблуждение относительно потребительских свойств или качества товара (услуги) или иной обман потребителей в организациях, осуществляющих реализацию товаров
или оказывающих услуги населению, а равно
гражданами, зарегистрированными в качестве
индивидуальных предпринимателей в сфере
торговли (услуг), если эти деяния совершены
в значительном размере).
- Статья 242. Незаконное распространение порнографических
материалов или предметов (незаконные
изготовление в целях распространения
или рекламирования, распространение,
рекламирование порнографических материалов
или предметов, а равно незаконная торговля
печатными изданиями, кино- или видеоматериалами,
изображениями или иными предметами порнографического
характера).
- Статья 276. Шпионаж (передача, а равно собирание, похищение или хранение в целях передачи иностранному государству, иностранной организации или их представителям сведений, составляющих государственную
тайну, а также передача или собирание
по заданию иностранной разведки иных
сведений для использования их в ущерб
внешней безопасности Российской Федерации,
если эти деяния совершены иностранным
гражданином или лицом без гражданства).
- Статья 280. Публичные призывы к осуществлению экстремистской деятельности.
- Статья 282. Возбуждение национальной, расовой или религиозной вражды (действия, направленные на возбуждение национальной, расовой или религиозной вражды, унижение национального достоинства, а равно пропаганда
исключительности, превосходства либо
неполноценности граждан по признаку
их отношения к религии, национальной
или расовой принадлежности, если эти
деяния совершены публично или с использованием
средств массовой информации).
- Статья 283. Разглашение государственной тайны (разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены).
- Статья 354. Публичные призывы к развязыванию агрессивной войны.