Информационная безопасность, как процес не является величиной постоянной, нельзя ее считать и залогом безопасности вашей компании, вашей информации или компьютерных систем. Так же, сожалению, невозможно "абсолютно" обеспечить защиту - это всегда компромис между рисками и затратами на безопасность. Но реализовать безопасность на необходимом уровне вполне реально, хотя концепции, лежащие основе информационной безопасности, порой не очень-то и просты.
Информационная безопасность - это cистема, позволяющая выявлять уязвимые места организации, определять и оценивать риски, угрожающие ей, и реализовывати защитные мероприятия.
В этой статье мы постараемся развеять существующие мифы об информационной безопасности и покажем стратегии управления, которым нужно следовать.
Так каково же понятие об информационной безопасности?
Это - меры, принятые для предотвращения несанкционированного использования, злоупотребления, изменения сведений, фактов, данных или аппаратных средств либо отказа в доступе к ним.
Как мы видим из этого определения, информационная безопасность не обеспечивает "абсолютную" защиту. Можно построить самую прочную крепость в мире - и тут же обнаружится, что есть кто-то с еще более мощным тараном. Информационная безопасность - это предупредительные действия, которые позволяют защитить информацию и оборудование от угроз и использования их уязвимых мест.
Еще на заре цивилизации сведения хранились в материальной форме: их вырезали на каменных табличках, записывали на бумагу. А для защиты использовали физические предметы: стены, рвы и охрану. К сожалению, физическая защита имеет недостаток. При захвате сообщения враги узнавали все, что было написано в нем.
Казалось бы решение проблемы вот оно - использование шифров. Шшифр позволяет посылать сообщения, которые никто не мог прочитать в случае перехвата. Таквремя Второй мировой войны Германия использовала машину под названием Enigma, позволяющую шифровать передаваемые данные. Шифровались не только военные донесения. Для защиты от прослушивания в американских воинских частях использовали радистов из народа навахо, которые вели переговоры на родном языке. При перехвате радиосообщений противник не мог понять их содержание.
Защита излучения
Если не брать в расчет ошибки шифровальных систем, сложный шифр очень трудно взломать. Поэтому шел постоянный поиск других способов перехвата информации, передаваемой в зашифрованном виде.
В 1950 г. было установлено, что доступ к сообщениям возможен посредством просмотра электронных сигналов, возникающих при их передаче по общедоступным линиям (телефонным) .
Как известно, работа любых электронных систем сопровождается электромагнитным излучением, не исключение телетайпы и блоки шифрования. Блок шифрования посылает зашифрованное сообщение по телефонной линии, а вместе с ним передается и электрический сигнал от исходного сообщения. Следовательно, при наличии хорошей аппаратуры исходное сообщение можно восстановить.
Проблема защиты излучения привела к созданию в Соединенных Штатах Америки программы "TEMPEST". Эта программа разработала стандарты на электрическое излучение компьютерных систем, используемых в секретных организациях. Целью программы было уменьшение уровня излучения, которое могло бы быть использовано для сбора информации.
Защита компьютера
При передаче сообщений по телеграфу достаточно было обеспечить защиту коммуникаций и излучения. Затем появились компьютеры и пользоваться ими стали все. К информации теперь мог обратиться любой пользователь. Проблема защиты данных коснулась и компьютеров.
Защита сети
Недопонимание механизмов работы в сети стали еще одной проблемой, связанной с критериями оценки безопасности систем. Ведь при работе компьютеров в сети к старым проблемам безопасности добавились новые. Скорости передачи постоянно повышались, появилось множество линий общего пользования. И, наконец, появились многочисленные пользователи, имеющие доступ к системам.
В настоящее время проблемы еще серьезнее. Появились беспроводные сети и портативные компьютеры КПК соединенные не только с внутренними сетями но и с сетями общего пользования (Интернет).
Защита информации
Итак, к чему мы пришли в итоге? Создается впечатление, что ни одно из решений не устраняет проблем безопасности. В реальной жизни надежная защита - это объединение всех способов защиты. Так физическая защита необходима для обеспечения сохранности материальных активов - аппаратных средств, носителей информации. Защита коммуникаций отвечает за сохранность при передаче информации. Защита излучения (EMSEC) необходима, если требуется обеспечить защиту от чтения электронной эмиссии компьютерных систем. Компьютерная безопасность (COMPUSEC) обеспечивает управление доступом в компьютерных системах, а безопасность сети (NETSEC) - защищает локальные компьютерные сети. В сумме все виды защиты обеспечивают информационную безопасность (INFOSEC).
Определение безопасности как процесса
Как мы уже рассмотрели, нельзя полагаться только на один вид защиты. Не существует и единственного продукта, реализующего все необходимые способы защиты для компьютеров и сетей. Для всеобъемлющей защиты информационных ресурсов требуется множество различных продуктов, способов и организационных мероприятий. Об этом мы поведем рассказ далее.
Антивирусное программное обеспечение
Антивирусное программное обеспечение - неотъемлемая часть надежной системы безопасности. При его правильной настройке значительно уменьшается риск воздействия вредоносных программ (хотя и не всегда). И здесь, как и везде в системах безопасностии существует компромис между рисками и реализацией.
Так же надо понимать, что никакая антивирусная программа не защитит организацию от злоумышленника, использующего для входа в систему законную программу, или от легального пользователя, пытающегося получить несанкционированный доступ к файлам.
Управление доступом
Каждая информационная система организации ограничивает доступ к файлам, идентифицируя пользователя, входящего в систему. При правильной настройке системы, при установке необходимых разрешений для легальных пользователей существует ограничение на использование файлов, к которым у них нет доступа. Однако система управления доступом не обеспечит защиту, если злоумышленник через уязвимые места получит доступ к файлам как администратор. Такое нападение будет считаться легальными действиями администратора.
Межсетевые экраны
Межсетевой экран (firewall) - это устройство управления доступом, защищающее внутренние сети от внешних атак. Оно устанавливается на границе между внешней и внутренней сетью. Правильно сконфигурированный межсетевой экран является важнейшим устройством защиты. Однако он не сможет предотвратить атаку через разрешенный канал связи. Например, при разрешении доступа к веб- серверу с внешней стороны и наличии слабого места в его программном обеспечении межсетевой экран пропустит эту атаку, поскольку открытое веб-соединение необходимо для работы сервера . Межсетевой экран не защитит от внутренних пользователей, поскольку они уже находятся внутри системы. Под внутреннего пользователя может замаскироваться злоумышленник. Рассмотрим организацию, имеющую беспроводные сети. При неправильной настройке внутренней беспроводной сети злоумышленник, сидя на стоянке для автомобилей, сможет перехватывать данные из этой сети, при этом его действия будут выглядеть как работа пользователя внутри системы. В этом случае межсетевой экран не поможет.
Смарт-карты
Аутентификация - (установление подлинности) личности. Исторически для идентификации личности в компьютерных системах применялись пароли. Но оказалось, что надеяться на пароли особо не следует. Пароль можно угадать, либо пользователь запишет его на клочке бумаги - и пароль узнают все. Решает эту проблему применение других методов аутентификации.
Для установления личности могут использоваться смарт-карты, и таким образом снижая риск угадывания пароля. Однако если смарт-карта украдена, и это - единственная форма установления подлинности, то похититель сможет замаскироваться под легального пользователя компьютерной системы. Смарт-карты не смогут предотвратить атаку с использованием уязвимых мест, поскольку они рассчитаны на правильный вход пользователя в систему.
Еще одна проблема - это стоимость смарт-карт, стоимость их варьируется от 50 до 100 долларов. Для крупной организации это серьезные затраты на оплату такой безопасности.
Биометрия
Использование биометрических систем - еще один механизм аутентификации, значительно снижающий вероятность угадывания пароля. Существует множество биометрических сканеров для верификации следующего:
Каждый метод предполагает использование определенного устройства для идентификации человеческих характеристик. Обычно эти устройства довольно сложны, чтобы исключить попытки обмана. Например, при снятии отпечатков пальцев несколько раз проверяются температура и пульс. При использовании биометрии возникает множество проблем, включая стоимость развертывания считывающих устройств и нежелание сотрудников их использовать.
Обнаружение вторжения
Системы обнаружения вторжения (Intrusion Detection System, IDS) неоднократно рекламировались как полное решение проблемы безопасности. Нашим компьютерам больше не нужна защита, теперь легко определить, что в системе кем-то выполняются недозволенные действия, и остановить его! Многие IDS позиционировались на рынке как системы, способные остановить атаки до того, как они успешно осуществятся. Кроме того, появились новые системы - системы предотвращения вторжения (Intrusion Prevention System, IPS). Следует заметить, что никакая система обнаружения вторжения не является устойчивой к ошибкам, она не заменит надежную систему безопасности или практику безопасности. С помощью этих систем нельзя выявить законных пользователей, пытающихся получить несанкционированный доступ к информации.
Системы обнаружения вторжения с автоматической поддержкой защиты отдельных участков создают дополнительные проблемы. Представьте, что система IDS настроена на блокировку доступа с предполагаемых адресов нападения. В это время ваш клиент сгенерировал трафик, который по ошибке был идентифицирован системой как возможная атака. Не удивляйтесь потом, что этот клиент больше не захочет иметь с вами дело!
Управление политиками
Политики и управление ими - важные компоненты надежной системы безопасности. С их помощью можно получить сведения о системах, не соответствующих установленным политикам. Однако и этот компонент не учитывает наличие уязвимых мест или неправильную конфигурацию прикладного ПО, что иногда приводит к успешному проникновению в систему. Управление политиками не гарантирует, что пользователи не будут пренебрежительно относиться к своим паролям или не передадут их злоумышленникам.
Сканирование на наличие уязвимых мест
Сканирование компьютерных, информационных систем на наличие уязвимых мест это важная часть в системе безопасности. Она позволяет выявлять потенциальные точки для вторжения и предпринять необходимые и своевременные меры для повышения безопасности. Однако такое исследование не остановит легальных пользователей, выполняющих несанкционированный доступ к файлам, не обнаружит злоумышленников, которые уже проникли в систему через "прорехи" в конфигурации.
Шифрование
Шифрование - важнейший механизм защиты информации при передаче. С помощью шифрования файлов можно обеспечить также безопасность информации при хранении. Однако служащие организации должны иметь доступ к этим файлам, а система шифрования не сможет различить законных и незаконных пользователей, если они представят одинаковые ключи для алгоритма шифрования. Для обеспечения безопасности при шифровании необходим контроль за ключами шифрования и системой в целом.
Механизмы физической защиты
Физическая защита - единственный способ комплексной защиты компьютерных систем и информации. Ее можно выполнить относительно дешево.
Даже при наличии механизмов физической защиты, тщательно расставленных по своим местам, вам придется дать пользователям доступ к системе. Физическая защита не предотвратит атаку с использованием легального доступа или сетевую атаку.
Итак в этой статье мы кратко рассмотрели вопросы информационной безопасности и основные ее части. Так же мы понимаем , что абсолютной безопасности не существует и зависит она от комплексного и совместного решения всех ее составных частей.
