Попередження комп'ютерних злочинiв

При розробцi комп'ютерних систем, вихiд з ладу або помилки в роботi яких
можуть привести до важких наслiдкiв, питання комп'ютерноï безпеки
стають першочерговими. Вiдомо багато мер, спрямованих на попередження
злочину. Видiлимо з них технiчнi, органiзацiйнi й правовi.
До технiчних мiр можна вiднести захист вiд несанкцiонованого доступу до
системи, резервування особливо важливих комп'ютерних пiдсистем,
органiзацiю обчислювальних мереж з можливiстю перерозподiлу ресурсiв у
випадку порушення працездатностi окремих ланок, установку встаткування
виявлення й гасiння пожежi, устаткування виявлення води, вживання
конструкцiйних заходiв захисту вiд розкрадань, саботажу, диверсiй,
вибухiв, установку резервних систем електроживлення, оснащення примiщень
замками, установку сигналiзацiï й багато чого iнше
До органiзацiйних мiр вiднесемо охорону обчислювального центра,
ретельний пiдбор персоналу, виключення випадкiв ведення особливо
важливих робiт тiльки однiєю людиною, наявнiсть плану вiдновлення
працездатностi центра пiсля виходу його з ладу, органiзацiю
обслуговування обчислювального центра сторонньою органiзацiєю або
особами, незацiкавленими в прихованнi фактiв порушення роботи центра,
унiверсальнiсть засобiв захисту вiд всiх користувачiв (включаючи вище
керiвництво), покладання вiдповiдальностi на особи, якi повиннi
забезпечити безпека центра, вибiр мiсця розташування центра й т.п.
До правових мiр варто вiднести розробку норм, що встановлюють
вiдповiдальнiсть за комп'ютернi злочини, захист авторських прав
програмiстiв, удосконалювання карного й цивiльного законодавства, а
також судочинства. До правових мiр ставляться також питання суспiльного
контролю за розроблювачами комп'ютерних систем i прийняття мiжнародних
договорiв про ïхнi обмеження, якщо вони впливають або можуть
вплинути на вiйськовi, економiчнi й соцiальнi аспекти життя краïн,
що мiстять угоду
При розглядi проблем захисту даних у мережi насамперед виникає
питання про класифiкацiю збоïв i порушень прав доступу, якi можуть
привести до знищення або небажаноï модифiкацiï даних
Слiд зазначити, що подiбний розподiл досить умовно, оскiльки сучаснi
технологiï розвиваються в напрямку сполучення програмних i
апаратних засобiв захисту. Найбiльше поширення такi програмно-апаратнi
засоби одержали, зокрема, в областi контролю доступу, захисту вiд
вiрусiв i т.д.
Концентрацiя iнформацiï в комп'ютерах — аналогiчно
концентрацiï готiвки в банках — змушує усе бiльше
пiдсилювати контроль iз метою захисту iнформацiï. Юридичнi питання,
приватна таємниця, нацiональна безпека — всi цi мiркування
вимагають посилення внутрiшнього контролю в комерцiйних i урядових
органiзацiях. Роботи в цьому напрямку привели до появи новоï
дисциплiни: безпека iнформацiï. Фахiвець в областi безпеки
iнформацiï вiдповiдає за розробку, реалiзацiю й експлуатацiю
системи забезпечення iнформацiйноï безпеки, спрямованоï на
пiдтримку цiлiсностi, придатностi й конфiденцiйностi накопиченоï в
органiзацiï iнформацiï. У його функцiï входить
забезпечення фiзичноï (технiчнi засоби, лiнiï зв'язку й
вилученi комп'ютери) i логiчноï (данi, прикладнi програми,
операцiйна система) захисту iнформацiйних ресурсiв
Складнiсть створення системи захисту iнформацiï визначається
тим, що данi можуть бути викраденi з комп'ютера й одночасно залишатися
на мiсцi; цiннiсть деяких даних полягає у володiннi ними, а не в
знищеннi або змiнi
Забезпечення безпеки iнформацiï — дорога справа, i не стiльки
через витрати на закупiвлю або установку засобiв, скiльки через те, що
важко квалiфiковано визначити границi розумноï безпеки й
вiдповiдноï пiдтримки системи в працездатному станi
Якщо локальна мережа розроблялася з метою спiльного використання
лiцензiйних програмних засобiв, дорогих кольорових принтерiв або бiльших
файлiв загальнодоступноï iнформацiï, те немає
нiякоï потреби навiть у мiнiмальних системах
шифрування/дешифрування iнформацiï Засобу захисту iнформацiï
не можна проектувати, купувати або встановлювати доти, поки не зроблений
вiдповiдний аналiз. Аналiз ризику повинен дати об'єктивну оцiнку
багатьох факторiв (схильнiсть появi порушення роботи, iмовiрнiсть появи
порушення роботи, збиток вiд комерцiйних втрат, зниження
коефiцiєнта готовностi системи, суспiльнi вiдносини, юридичнi
проблеми) i надати iнформацiю для визначення пiдходящих типiв i рiвнiв
безпеки. Комерцiйнi органiзацiï все бiльшою мiрою переносять
критичну корпоративну iнформацiю з бiльших обчислювальних систем у
середовище вiдкритих систем i зустрiчаються з новими й складними
проблемами при реалiзацiï й експлуатацiï системи безпеки.
Сьогоднi усе бiльше органiзацiй розвертають потужнi розподiленi бази
даних i додатка клiєнт/сервер для керування комерцiйними даними.
При збiльшеннi розподiлу зростає також i ризик неавторизованого
доступу до даних i ïх перекручування
Шифрування даних традицiйно використовувалося урядовими й оборонними
департаментами, але у зв'язку зi змiною потреб i деякi найбiльш солiднi
компанiï починають використовувати можливостi, надаванi шифруванням
для забезпечення конфiденцiйностi iнформацiï
Фiнансовi служби компанiй (насамперед у США) представляють важливу й
бiльшу користувальницьку базу й часто специфiчнi вимоги пред'являються
до алгоритму, використовуваному в процесi шифрування. Опублiкованi
алгоритми, наприклад DES (див. нижче), є обов'язковими. У той же
час, ринок комерцiйних систем не завжди вимагає такого строгого
захисту, як урядовi або обороннi вiдомства, тому можливо застосування
продуктiв i iншого типу, наприклад PGP (Pretty Good Privacy).
Шифрування даних може здiйснюватися в режимах On-line (у темпi
надходження iнформацiï) i Off-line (автономному). Зупинимося
докладнiше на першому типi, що представляє великий iнтерес.
Найпоширенiшийо два алгоритми
Стандарт шифрування даних DES (Data Encryption Standart) був розроблений
фiрмою IBM на початку 70-х рокiв i в цей час є урядовим стандартом
для шифрування цифровоï iнформацiï. Вiн рекомендований
Асоцiацiєю Американських Банкiрiв. Складний алгоритм DES
використовує ключ довжиною 56 бiт i 8 битов перевiрки на парнiсть
i жадає вiд зловмисника перебору 72 квадрилионов можливих ключових
комбiнацiй, забезпечуючи високий ступiнь захисту при невеликих витратах.
При частiй змiнi ключiв алгоритм задовiльно вирiшує проблему
перетворення конфiденцiйноï iнформацiï внедоступную.
Алгоритм RSA був винайдений Ривестом, Шамиром i Альдеманом в 1976 роцi i
являє собою значний крок у криптографiï. Цей алгоритм також
був прийнятий як стандарт Нацiональним Бюро Стандартiв
DES, технiчно є СИМЕТРИЧНИМ алгоритмом, а RSA -
- АСИМЕТРИЧНИМ, тобто вiн використовує рiзнi ключi при шифруваннi
й дешифруваннi. Користувачi мають два ключi й можуть широко поширювати
свiй вiдкритий ключ. Вiдкритий ключ використовується для
шифруванням повiдомлення користувачем, але тiльки певний одержувач
може дешифрувати його своïм секретним ключем; вiдкритий ключ
марний для дешифрування. Це робить непотрiбними секретнi угоди про
передачу ключiв мiж кореспондентами. DES визначає довжину даних
i ключа в бiтах, а RSA може бути реалiзований при будь-якiй довжинi
ключа. Нiж длиннее ключ, тим вище рiвень безпеки (але стає
длительнее й процес шифрування й дешифрування). Якщо ключi DES можна
згенерувати за мiкросекунди, то зразковий час генерацiï ключа RSA
— десятки секунд. Тому вiдкритi ключi RSA волiють розроблювачi
програмних засобiв, а секретнi ключi DES — розроблювачi
апаратури
Кабельна система залишається головноï ахилессовой п'ятоï
бiльшостi локальних обчислювальних мереж: за даними рiзних дослiджень,
саме кабельна система є причиною бiльш нiж половини всiх вiдмов
мережi. У зв'язку iз цим кабельнiй системi повинне придiлятися особлива
увага iз самого моменту проектування мережi
Щонайкраще позбавити себе вiд головного болю iз приводу
неправильноï прокладки кабелю є використання получивших
широке поширення останнiм часом так званих структурованих кабельних
систем, що використовують однаковi кабелi для передачi даних у локальнiй
обчислювальнiй мережi, локальноï телефонноï мережi, передачi
вiдеоiнформацiï або сигналiв вiд датчикiв пожежноï безпеки або
охоронних систем
Зовнiшня пiдсистема складається з мiдного оптоволоконного кабелю,
пристроïв електричного захисту й заземлення й зв'язує
комунiкацiйну й обробну апаратуру в будинку (або комплексi будинкiв).
Крiм того, у цю пiдсистему входять пристрою сполучення зовнiшнiх
кабельних лiнiй i внутрiшнiми
Апаратнi служать для розмiщення рiзного комунiкацiйного встаткування,
призначеного для забезпечення роботи адмiнiстративноï пiдсистеми
Адмiнiстративна пiдсистема призначена для швидкого й легкого керування
кабельноï системи SYSTIMAX SCS при змiнi планiв розмiщення
персоналу й вiддiлiв. У ïï склад входять кабельна система
(неекранована кручена пари й оптоволокно), пристрою комутацiï й
сполучення магiстралi й горизонтальноï пiдсистеми, сполучнi шнури,
маркировочние засобу й т.д.
Магiстраль складається з мiдного кабелю або комбiнацiï
мiдного й оптоволоконного кабелю й допомiжного устаткування. Вона
зв'язує мiж собою поверхи будинку або бiльшi площi того самого
поверху
Горизонтальна система на базi крученого мiдного кабелю розширює
основну магiстраль вiд вхiдних крапок адмiнiстративноï системи
поверху до розеток на робiтнику мiсцi
И, нарештi, устаткування робочих мiсць мiстить у собi сполучнi шнури,
адаптери, пристроï сполучення й забезпечує механiчне й
електричне з'єднання мiж устаткуванням робочого мiсця й
горизонтальноï кабельноï пiдсистеми
Найкращим способом захисту кабелю вiд фiзичних (а iнодi й температурних
i хiмiчних впливiв, наприклад, у виробничих цехах) є прокладка
кабелiв з використанням у рiзному ступенi захищених коробiв. При
прокладцi мережного кабелю поблизу джерел електромагнiтного
випромiнювання необхiдно виконувати наступнi вимоги :
а) неекранована кручена пара повинна вiдстояти мiнiмум на 15-30 см вiд
електричного кабелю, розеток, трансформаторiв i т.д.
б) вимоги до коаксiального кабелю менш твердi — вiдстань до
електричноï лiнiï або електроприладiв повинне бути не менш 10-
15 см.
Iнша важлива проблема правильноï iнсталяцiï й
безвiдмовноï роботи кабельноï системи — вiдповiднiсть
всiх ïï компонентiв вимогам мiжнародних стандартiв
Найбiльше поширення в цей час одержали наступнi стандарти кабельних
систем :
Специфiкацiï корпорацiï IBM, якi передбачають дев'ять рiзних
типiв кабелiв. Найпоширенiшим серед них є кабель IBM type 1 -
- екранована кручена пари (STP) для мереж Token Ring.
Система категорiй Underwriters Labs (UL) представлена цiєю
лабораторiєю разом з корпорацiєю Anixter. Система
включає п'ять рiвнiв кабелiв. У цей час система UL наведена у
вiдповiднiсть iз системою категорiй EIA/TIA.
Стандарт EIA/TIA 568 був розроблений спiльними зусиллями UL, American
National Standarts Institute (ANSI) i Electronic Industry
Association/Telecommunications Industry Association, пiдгрупою TR41.8.1
для кабельних систем на кручений парi (UTP). На додаток до стандарту
EIA/TIA 568 iснує документ DIS 11801, розроблений International
Standard Organization (ISO) i International Electrotechnical Commission
(IEC). Даний стандарт використовує термiн категорiя для окремих
кабелiв i термiн клас для кабельних систем
Необхiдно також вiдзначити, що вимоги стандарту EIA/TIA 568 ставляться
тiльки до мережного кабелю. Але реальнi системи, крiм кабелю, включають
також сполучнi рознiмання, розетки, розподiльнi панелi й iншi елементи.
Використання тiльки кабелю категорiï 5 не гарантує створення
кабельноï системи цiєï категорiï. У зв'язку iз цим
усе вище перераховане встаткування повинне бути також сертифiковане на
вiдповiднiсть даноï категорiï кабельноï системи
Найбiльш надiйним засобом запобiгання втрат iнформацiï при
короткочасному вiдключеннi електроенергiï в цей час є
установка джерел безперебiйного харчування. Рiзнi по своïх
технiчних i споживчих характеристиках, подiбнi пристроï можуть
забезпечити харчування всiєï локальноï мережi або
окремоï комп'ютера протягом промiжку часу, достатнього для
вiдновлення подачi напруги або для збереження iнформацiï на
магнiтнi носiï. Бiльшiсть джерел безперебiйного харчування
одночасно виконує функцiï й стабiлiзатора напруги, що
— 18 -
є додатковим захистом вiд стрибкiв напруги в мережi. Багато
сучасних мережних пристроïв — сервери, концентратори, мости й
т.д. — оснащенi власними дубльованими системами електроживлення
За рубежем корпорацiï мають власнi аварiйнi електрогенератори або
резервнi лiнiï електроживлення. Цi лiнiï пiдключенi до рiзних
пiдстанцiй, i при виходi з ладу однiєï ïх
електропостачання здiйснюється з резервной пiдстанцiï
Органiзацiя надiйноï й ефективноï системи архiвацiï даних
є однiєï з найважливiших завдань по забезпеченню
схоронностi iнформацiï в мережi. У невеликих мережах, де
встановленi один-два сервера, найчастiше застосовується установка
системи архiвацiï безпосередньо у вiльнi слоти серверiв. У великих
корпоративних мережах найбiльше переважно органiзувати видiлений
спецiалiзований архивационний сервер
Зберiгання архiвноï iнформацiï, що представляє особливу
цiннiсть, повинне бути органiзоване в спецiальному охоронюваному
примiщеннi. Фахiвцi рекомендують зберiгати дублiкати архiвiв найцiннiших
даних в iншому будинку, на випадок пожежi або стихiйного лиха
Основноï й найпоширенiшоï метод захисту iнформацiï й
устаткування вiд рiзних стихiйних лих — пожеж, землетрусiв,
повеней i т.д. — складається в зберiганнi архiвних копiй
iнформацiï або в розмiщеннi деяких мережних пристроïв,
наприклад, серверiв баз даних, у спецiальних захищених примiщеннях,
розташованих, як правило, в iнших будинках або, рiдше, навiть в iншому
районi мiста або в iншому мiстi
Захист вiд комп'ютерних вiрусiв. Навряд чи найдеться хоча б один
користувач або адмiнiстратор мережi, який би жодного разу не
зiштовхувався з комп'ютерними вiрусами. За даними дослiдження,
проведеного фiрмою Creative Strategies Research, 64 % з 451
— 19 -
опитаного фахiвця випробували на собi дiя вiрусiв. На сьогоднiшнiй день
додатково до тисяч уже вiдомих вiрусiв з'являється 100-150 нових
штамiв щомiсяця. Найпоширенiшими методами захисту вiд вiрусiв донинi
залишаються рiзнi антивiруснi програми
Однак як перспективний пiдхiд до захисту вiд комп'ютерних вiрусiв в
останнi роки всi частiше застосовується сполучення програмних i
апаратних методiв захисту. Серед апаратних пристроïв такого плану
можна вiдзначити спецiальнi антивiруснi плати, якi вставляються в
стандартнi слоти розширення комп'ютера. Корпорацiя Intel в 1994 роцi
запропонувала перспективну технологiю захисту вiд вiрусiв у комп'ютерних
мережах.Flash-Пам'ять мережних адаптерiв Intel EtherExpress PRO/10
мiстить антивiрусну програму, сканирующую всi системи комп'ютера ще до
його завантаження
Проблема захисту iнформацiï вiд несанкцiонованого доступу особливо
загострилася iз широким поширенням локальних i, особливо, глобальних
комп'ютерних мереж. Необхiдно також вiдзначити, що найчастiше збиток
наноситься не через злий намiр, а через елементарнi помилки
користувачiв, якi випадково псують або видаляють життєво важливi
данi. У зв'язку iз цим, крiм контролю доступу, необхiдним елементом
захисту iнформацiï в комп'ютерних мережах є розмежування
повноважень користувачiв
У комп'ютерних мережах при органiзацiï контролю доступу й
розмежування повноважень користувачiв найчастiше використовуються
убудованi засоби мережних операцiйних систем. Так, найбiльший виробник
мережних ОС — корпорацiя Novell — у своєму останньому
продуктi NetWare 4.1 передбачив крiм стандартних засобiв обмеження
доступу, таких, як система паролiв i розмежування повноважень, ряд нових
можливостей, що забезпечують перший клас захисту даних. Нова версiя
NetWare передбачає, зокрема, можливiсть кодування даних за
принципом вiдкритого ключа (алгоритм RSA) з формуванням електронного
пiдпису для переданих по мережi пакетiв
У той же час у такiй системi органiзацiï захисту однаково
залишається слабке мiсце: рiвень доступу й можливiсть входу в
систему визначаються паролем. Не секрет, що пароль можна пiдглянути або
пiдiбрати. Для виключення можливостi неавторизованого входу в
комп'ютерну мережу останнiм часом використовується комбiнований
пiдхiд — пароль + iдентифiкацiя користувача по персональному
ключi. У якостi ключа може використовуватися пластикова карта (магнiтна
або з убудованою мiкросхемою — smart-card) або рiзнi пристроï
для iдентифiкацiï особистостi за бiометричною iнформацiєю
— по райдужнiй оболонцi ока або вiдбиткiв пальцiв, розмiрам кистi
руки й так далi. Оснастивши сервер або мережнi робочi станцiï,
наприклад, пристроєм читання смарт-карток i спецiальним програмним
забезпеченням, можна значно пiдвищити ступiнь захисту вiд
несанкцiонованого доступу. У цьому випадку для доступу до комп'ютера
користувач повинен вставити смарт-карту в пристрiй читання й увести свiй
персональний код. Програмне забезпечення дозволяє встановити
кiлька рiвнiв безпеки, якi управляються системним адмiнiстратором.
Можливий i комбiнований пiдхiд з уведенням додаткового пароля, при цьому
вжитi спецiальнi заходи проти перехоплення пароля iз клавiатури. Цей
пiдхiд значно надiйнiше застосування паролiв, оскiльки, якщо пароль
пiдглядiли, користувач про це може не знати, якщо ж пропала картка,
можна вжити заходiв негайно.
Смарт-Карти керування доступом дозволяють реалiзувати, зокрема, такi
функцiï, як контроль входу, доступ до пристроïв персонального
комп'ютера, доступ до програм, файлам i командам. Крiм того, можливо
також здiйснення контрольних функцiй, зокрема, реєстрацiя спроб
порушення доступу до ресурсiв, використання заборонених утилiт, програм,
команд DOS.