Підходи до захисту інформації та інших ресурсів постійно змінюються, як змінюється наше суспільство і технології. Дуже важливо зрозуміти це, що-б виробити правильний підхід до забезпечення безпеки. Поет-му давайте трохи познайомимося з її історією, щоб уникнути повто-ренію минулих помилок.
У давнину цінні відомості зберігалися в матеріальній формі: вирізалися на кам'яних табличках, пізніше записувалися на папір. Для їх захисту використовувалися такі ж матеріальні об'єкти: стіни, рови і охорона.
Важливу або секретну інформацію намагалися не зберігати на твердих носіїв-лях, напевно тому до нас дійшло так мало записів алхіміків. Вони не обгово-дали свої секрети ні з ким, крім обраних учнів, адже знання - це сила. Напевно, це і було найкращим захистом. Сунь Цзи казав: «Секрет, кото-рий знає більше ніж один, - вже не секрет».
Якщо не брати до уваги помилок при використанні шифрувальних систем, складний шифр дуже важко зламати. Тому йшов постійний пошук інших способів перехоплення інформації, що передається в зашифрованому вигляді.
Досі точаться серйозні дискусії про можливість на практиці застосувати подібні технології для перехоплення повідомлень, наприклад, по відображенню світла від монітора на стіні з відстані від 1 км. Як тільки щось з'являється від військових або держструктур, тут же вся інформація засекречується. Громадськості залишається лише здогадуватися, чи реально існують технології або ж це була чергова «качка».
Можна припустити, що у військових що-небудь мається на наявність. Але для пересічних зловмисників в найближчому майбутньому можливість перехоплення випромінювань залишиться малоймовірною.
При передачі повідомлень по телеграфу досить було забезпечити захист комунікацій і випромінювання. Потім з'явилися комп'ютери, на які були перенесені в електронному форматі інформаційні ресурси організацій. Через якийсь час працювати на комп'ютерах cтало простіше, і багато користувачів навчилися спілкуватися з ними в режи-ме інтерактивного діалогу. До інформації тепер міг звернутися будь-який користувач, який увійшов в систему. Виникла потреба в захисті комп'ютерів.
Спочатку моделлю безпеки наукового середовища була «відкритий доступ», а моделлю урядових структур - «закрита і заблоковано». Щось середовищ-неї практично відсутнє. Це як і раніше належить до багатьох наукових і урядових структур, в яких вимоги специфічні і принципи роботи незмінні.
Описані моделі діаметрально протилежні: в моделі безпеки урядових структур все блоковано, а в моделі безпеки наукових установ все дозволено. Сучасні технології та методи забезпечення безпеки дозволяють реалізувати нові моделі безпеки для наукових і урядових структур, однак, їх еволюція займає певний час.
В області комп'ютерної безпеки наукові та урядові структури затвердили підходи, які використовуються досі.
На початку 70-х рр. XIX століття Девід Белл і Леонард Ла Падула разработа-ли модель безпеки для операцій, вироблених на комп'ютері. Ця модель базувалася на урядовій концепції рівнів клас-класифікацією інформації (несекретна, конфіденційна, таємна, цілком таємна) і рівнів допуску. Якщо людина (суб'єкт) мав рівень допуску вище, ніж рівень файлу (об'єкта) за класифікацією, то він отримував доступ до файлу, в іншому випадку доступ відхилявся. Ця концепція знайшла свою реалізацію в стандарті 5200.28 «Trusted Computing System Evaluation Criteria» (TCSEV) ( «Критерій оцінки без-пеки комп'ютерних систем»), розробленому в 1983 р Міністер-ством оборони США, через колір обкладинки він отримав назву « Помаранчева книга ». «Помаранчева книга» ранжувати комп'ютерні системи у відповідності з наступною шкалою.
· D Мінімальна захист (ненормований)
· С1 Захист на розсуд
· С2 Контрольована захист доступу
· B1 Захист з мітками безпеки
· B2 Структурована захист
· B3 Захист доменів
· А1 Проверяемая розробка
«Помаранчева книга» визначала для кожного розділу функціональні вимоги і вимоги гарантованості. Система повинна була удов-летворять цим вимогам, щоб відповідати певному рівню сертифікації.
Сучасна концепція безпеки втілена в «Загальних крите-риях». Головна ідея зосереджена в так званих профілях захисту, що визначають різні середовища безпеки, в які може бути поміщена комп'ютерна система. Продукти проходять оцінку на відповід-ветствие цим профілям і сертифікуються. При покупці системи орга-нізація має можливість вибрати профіль, найбільш повно відпо-ціалу її потребам, і підібрати продукти, сертифіковані за цим профілем. Сертифікат продукту включає також рівень дове-рія, т. Е. Рівень секретності, закладений оцінювачами, відповідаю-щий профілем функціональних можливостей.
Технології комп'ютерних систем занадто швидко розвиваються в порівнянні з програмою сертифікації. Виникають нові версії опе-раціонних систем і апаратних засобів і знаходять свої ринки збуту ще до того, як більш старші версії і системи проходять сертифика-цію.
На сьогоднішній день проблеми стали ще серйозніше. Організації стали вико-ристовувати бездротові мережі, появи яких «Червона книга» не міг-ла передбачити.
Ще не розроблений процес сертифікації комп-ютерної систем, що підтверджує забезпечується безпека. Для більшості пропонованих рішень технології дуже швидко пішли перед.
Ясно, що не можна покладатися на один вид захисту для забезпечення безпеки інформації. Не існує і єдиного продукту, що реалізує всі необхідні способи захисту для комп'ютерів і мереж. На жаль, багато розробників претендують на те, що тільки їх про-дукт може впоратися з цим завданням. Насправді це не так. Для все-сторонньої захисту інформаційних ресурсів потрібно безліч раз-особистих продуктів.
Антивірусне програмне забезпечення є невід'ємною частиною надійної програми безпеки. При його правильному налаштуванні зна-ве зменшується ризик впливу шкідливих програм.
Але жодна антивірусна програма не захистить організацію від зло-умишленніка, що використовує для входу в систему законну програму, або від легального користувача, що намагається отримати несанкціоні-ний доступ до файлів.
Будь-яка комп'ютерна система в межах організації обмежує доступ до файлів, ідентифікуючи користувача, який входить в систе-му. При правильному налаштуванні системи, при установці необхідних дозволів для легальних користувачів існує обмеження на використання файлів, до яких у них немає доступу. Однак система управління доступом не забезпечить захист, якщо зловмисник через вразливі місця отримає доступ до файлів як адміністратор. Таке на-падіння буде вважатися легальними діями адміністратора.
Біометричні системи - ще один механізм аутентифікації (вони - то, чим ви є), значно зменшує ймовірність вгадуючи-ня пароля. Існує безліч біометричних сканерів для вері-ції наступного:
Кожен метод передбачає використання певного устрій-ства для ідентифікації людських характеристик. Зазвичай ці уст-ройства досить складні, щоб виключити спроби обману.
Сканування комп'ютерних систем на наявність вразливих місць грає важливу роль в програмі безпеки. Воно дозволить виявити потен-соціальні точки для вторгнення і вжити негайних заходів для підвищення безпеки. Однак таке дослідження не зупинить ле-гальних користувачів, що виконують несанкціонований доступ до файлів, не виявить зловмисників, які вже проникли в сис-тему через «діри» в конфігурації.
Шифрування - найважливіший механізм захисту інформації при переда-чі. За допомогою шифрування файлів можна забезпечити також безпека-ність інформації при зберіганні. Однак службовці організації долж-ни мати доступ до цих файлів, а система шифрування не зможе розрізнити законних і незаконних користувачів, якщо вони представлять однакові ключі для алгоритму шифрування. Для забезпечення без-пеки при шифруванні необхідний контроль за ключами шіфрова-ня і системою в цілому.
Фізичний захист - єдиний спосіб комплексного захисту когось пьютерних систем та захисту інформації. Її можна виконати відносно дешево. Для цього виройте яму глибиною 20 метрів, помістіть в неї важ-ні системи і зверху залийте бетоном. Все буде в повній Безпека,-ти! На жаль, з'являться проблеми зі співробітниками, яким потрібен доступ до комп'ютерів для нормальної роботи.
Навіть при наявності механізмів фізичного захисту, ретельно рас-ставлених по своїх місцях, вам доведеться дати користувачам доступ до системи - і їй скоро прийде кінець! Фізичний захист не відверне атаку з використанням легального доступу або мережеву атаку.
Три режиму захисту являють собою три компонента безпеки:
Як правило, оборона - перший режим безпеки. Бажання людей защи-щать себе здається майже інстинктивним, і оборона, як правило, передує будь-яким іншим зусиллям щодо забезпечення захисту. Оборонні заходи сни-жають ймовірність успішного злому цінних ресурсів, що запобігає ризику фінансових втрат. Якщо ж наявних коштів оборони не вистачає, то цінні ресурси будуть незахищеними, що збільшує потенційні збитки в разі пошкодження або втрати даних. Однак оборона є лише частиною повної стратегії безпеки. Багато компаній сподіваються тільки на міжмережевий екран і стають уразливими, так як ігнорують «слабкі місця», пов'язані з іншими режимами безпеки - стримуванням і виявленням.
Третім і найрідше застосовуються в комп'ютерних мережах режимом безопас-ності є виявлення. Забезпечуючи оборону або стримування, стратегія безпеки часто не передбачає виявлення скоєного злочину. Багато хто вважає, що досить застосувати систему сигналізації, яка буде повідомляти сторонніх про те, що вони намагаються порушити захищається, і вони рідко вдаються до допомоги фахівців у сфері безпеки. Без адекватних заходів пролом в системі може існувати протягом годин, днів або бути присутнім безстроково.
Ілюзія безпеки - 1
Багато власників автомобілів марки «Тоуоtа» в 1980-х роках не знали, що ключі до дверних замків цих автомобілів мали лише невелике число комбінацій. Вони сподівалися, що тумблери в дверних замках тримаються в секреті, і існує така велика кількість комбінацій, що злодій просто не вгадає потрібну. У цих авто-мобілістов була ілюзія безпеки. Злодій з повним набором ключів міг без праці відкрити будь-яку машину марки «Тоуоtа». Можна було випадково відкрити двері іншого автомобіля такої ж моделі.
Ілюзія безпеки - 2
Лінія Мажино, побудована між Першою і Другою світовими війнами для оборони Франції від Німеччини, - одна з вели-чайших помилок оборонної стратегії. Вона представляла собою стіну, возв-денную для забезпечення надійної прикордонної захисту і виключає доступ людей з зовнішньої сторони. Оборона провалилася, і війська Німеччини обійшли сте-ну і навіть безпосередньо подолали її. Це сталося через нехтування альтернативними векторами загроз (мається на увазі незавершене будівництво степи з обох її кінців). [2]
Одна з цілей ефективної стратегії безпеки - змусити зловмисника затратити на проникнення всередину захищається периметра якомога біль-ше часу, щоб він пішов ні з чим після тривалих безуспішних спроб взло-ма. Інші стратегії передбачають проникнення злочинця в систему, після чого його можна притягнути його до відповідальності перед правоохоронними органами. Інші стратеги припускають залучення зловмисника будь-якими хибними цінностями, щоб він витратив багато часу на отримання цієї «приманки».
У будь-якому випадку слабкі місця в інфраструктурі безпеки повинні бути усунуті. Якщо вони необхідні для ведення бізнесу, слід сфокусувати середовищ-ства виявлення і стримування на областях, в яких спостерігається недостатність-ва надійність оборонних коштів. Слід припустити, що ці слабкі місця привернуть увагу зловмисників, і скласти відповідний план дій на цей випадок.
Панацеї від зловмисників немає, так як безпека в електронній комерції є досить новою облас-ма, в даний час існують різні філософії і підходи до її реалізації.
До реалізації системи безпеки найкраще підходити з усвідомленням того, що жодна технологія не забезпечує стовідсоткову ефективність, і склад-лять відповідні плани дій. Щоб компенсувати слабкі місця в од-ном рівні системи безпеки, можна використовувати кілька рівнів захисту.