Nella prima parte dei "Fondamenti di sicurezza delle informazioni" abbiamo considerato le principali tipologie di minacce alla sicurezza delle informazioni. Per poter iniziare a scegliere i mezzi di protezione delle informazioni, è necessario considerare più in dettaglio cosa può essere attribuito al concetto di informazione.
Informazione e sua classificazione
Esistono molte definizioni e classificazioni di "Informazioni". La definizione più sintetica e al tempo stesso capiente è data dalla legge federale del 27 luglio 2006 N. 149-FZ(come modificato il 29 luglio 2017), articolo 2: L'informazione è un'informazione (messaggi, dati) indipendentemente dalla forma della loro presentazione.Le informazioni possono essere classificate in diversi tipi e, a seconda della categoria di accesso ad esse, sono suddivise in informazione pubblica, nonché le informazioni a cui l'accesso è limitato - dati riservati e segreti di stato.
Le informazioni, a seconda dell'ordine della loro fornitura o distribuzione, sono suddivise in informazioni:
- liberamente ridistribuibile
- Fornito previo accordo di persone coinvolti nella rispettiva relazione
- Che, in conformità con le leggi federali da fornire o distribuire
- Distribuzione, che nella Federazione Russa limitato o proibito
- Massa- contiene informazioni banali e opera con un insieme di concetti comprensibili alla maggior parte della società.
- Speciale- contiene un insieme specifico di concetti che potrebbero non essere compresi dalla maggior parte della società, ma sono necessari e comprensibili all'interno di un ristretto gruppo sociale in cui queste informazioni vengono utilizzate.
- segreto- il cui accesso è fornito a una ristretta cerchia di persone e attraverso canali chiusi (sicuri).
- Personale (privato)- un insieme di informazioni su una persona che determina la posizione sociale e i tipi di interazioni sociali.
Secondo la legge della Federazione Russa del 21.07.1993 N 5485-1 (come modificato il 03/08/2015) “Sui segreti di Stato” Articolo 5. "Elenco delle informazioni che costituiscono un segreto di stato" si applica a:
- Informazioni in ambito militare.
- Informazioni nel campo dell'economia, della scienza e della tecnologia.
- Informazioni in materia di politica estera ed economia.
- Informazioni nel campo dell'intelligence, del controspionaggio e delle attività di ricerca operativa, nonché nel campo della lotta al terrorismo e nel campo della garanzia della sicurezza delle persone nei confronti delle quali è stata decisa l'applicazione di misure di protezione statale.
Dati riservati- si tratta di informazioni il cui accesso è limitato secondo le leggi dello Stato e le norme che le società stabiliscono autonomamente. Si possono distinguere i seguenti tipi di dati riservati:
- Dati personali sensibili: Informazioni su fatti, eventi e circostanze della vita privata di un cittadino, che consentano di identificare la sua personalità (dati personali), ad eccezione delle informazioni da diffondere nei media nei casi previsti dalle leggi federali. L'unica eccezione sono le informazioni che vengono distribuite nei media.
- Dati sensibili al servizio: Informazioni ufficiali, il cui accesso è limitato dalle autorità pubbliche ai sensi del codice civile della Federazione Russa e delle leggi federali (segreto ufficiale).
- Dati confidenziali forensi: Sulla protezione statale di giudici, funzionari delle forze dell'ordine e organismi di regolamentazione. Sulla protezione statale delle vittime, dei testimoni e di altri partecipanti ai procedimenti penali. Informazioni contenute nei fascicoli personali dei detenuti, nonché informazioni sull'esecuzione di atti giudiziari, atti di altri organi e funzionari, ad eccezione delle informazioni pubblicamente disponibili ai sensi della legge federale del 2 ottobre 2007 N 229-FZ " Sui procedimenti esecutivi”.
- Dati sensibili commerciali: tutti i tipi di informazioni relative al commercio (profitto) e il cui accesso è limitato dalla legge o informazioni sull'essenza di un'invenzione, un modello di utilità o un design industriale prima della pubblicazione ufficiale di informazioni su di loro da parte dell'impresa (sviluppi segreti, produzione tecnologie, ecc.).
- Dati professionali riservati: Informazioni relative ad attività professionali, il cui accesso è limitato ai sensi della Costituzione della Federazione Russa e delle leggi federali (segreti medici, notarili, legali, corrispondenza, conversazioni telefoniche, posta, telegrafo o altri messaggi, ecc.)
Figura 1. Classificazione dei tipi di informazioni.
Dati personali
Separatamente, vale la pena prestare attenzione e considerare i dati personali. Secondo la legge federale del 27 luglio 2006 N. 152-FZ(come modificato il 29/07/2017) "Sui Dati Personali", articolo 4: Dati personali- si tratta di qualsiasi informazione relativa a persona fisica, direttamente o indirettamente identificata o identificabile (soggetto dei dati personali).L'operatore dei dati personali è- un ente statale, un ente comunale, una persona giuridica o un individuo, indipendentemente o insieme ad altre persone che organizzano e (o) effettuano il trattamento dei dati personali, nonché determinare le finalità del trattamento dei dati personali, la composizione dei dati personali dati da trattare, azioni (operazioni) eseguite con dati personali.
Trattamento dei dati personali- qualsiasi azione (operazione) o insieme di azioni (operazioni) eseguita utilizzando strumenti di automazione o senza utilizzare tali strumenti con dati personali, inclusi raccolta, registrazione, sistematizzazione, accumulazione, conservazione, chiarimento (aggiornamento, modifica), estrazione, utilizzo, trasferimento ( distribuzione, fornitura, accesso), depersonalizzazione, blocco, cancellazione, distruzione dei dati personali.
Il diritto al trattamento dei dati personali è sancito dai regolamenti sugli enti statali, dalle leggi federali, dalle licenze per lavorare con i dati personali rilasciate da Roskomnadzor o FSTEC.
Le aziende che lavorano professionalmente con dati personali di un'ampia gamma di persone, ad esempio società di hosting di server virtuali o operatori di telecomunicazioni, devono iscriversi al registro gestito da Roskomnadzor.
Ad esempio, il nostro hosting di server virtuali VPS.HOUSE opera nell'ambito della legislazione della Federazione Russa e in conformità con le licenze del Servizio federale per la supervisione delle comunicazioni, dell'informatica e delle comunicazioni di massa n. 139322 del 25 dicembre 2015 (Servizi di comunicazione telematica) e n. 139323 del 25.12.2015 (Servizi di comunicazione per la trasmissione di dati, ad eccezione dei servizi di comunicazione per la trasmissione di dati ai fini della trasmissione di informazioni vocali).
In base a ciò, qualsiasi sito che disponga di un modulo di registrazione utente, che indica e successivamente elabora informazioni relative a dati personali, è un operatore di dati personali.
Visto l'articolo 7 della legge N. 152-FZ“Sui Dati Personali”, gli operatori e le altre persone che hanno avuto accesso ai dati personali sono obbligati a non divulgare a terzi ea non diffondere i dati personali senza il consenso dell'interessato, salvo diversa disposizione della legge federale. Di conseguenza, qualsiasi gestore di dati personali è obbligato a garantire la necessaria sicurezza e riservatezza di tali informazioni.
Al fine di garantire la sicurezza e la riservatezza delle informazioni, è necessario determinare quali sono i media il cui accesso è aperto e chiuso. Di conseguenza, anche i metodi e i mezzi di protezione vengono selezionati in base al tipo di supporto.
Principali vettori di informazioni:
- Supporti stampati ed elettronici, reti sociali, altre risorse su Internet;
- Dipendenti dell'organizzazione che hanno accesso alle informazioni in base alle loro amicizie, familiari, legami professionali;
- Mezzi di comunicazione che trasmettono o memorizzano informazioni: telefoni, centralini telefonici automatici, altre apparecchiature di telecomunicazione;
- Documenti di ogni tipo: personali, ufficiali, statali;
- Il software come oggetto informativo indipendente, soprattutto se la sua versione è stata sviluppata appositamente per una determinata azienda;
- Supporti di memorizzazione elettronici che elaborano i dati in modo automatico.
Classificazione degli strumenti di sicurezza delle informazioni
Conformemente alla legge federale del 27 luglio 2006 N. 149-FZ(come modificato il 29 luglio 2017) "Sull'informazione, le tecnologie dell'informazione e la protezione dell'informazione", articolo 7, comma 1. e comma 4:
1. Sicurezza delle informazioni rappresenta adozione di misure legali, organizzative e tecniche, teso a:
- Sicurezza protezione delle informazioni da accessi non autorizzati, distruzione, modifica, blocco, copia, fornitura, distribuzione, nonché da altre azioni illegali in relazione a tali informazioni;
- Conformità riservatezza delle informazioni riservate;
- Implementazione il diritto di accesso alle informazioni.
- Prevenzione accesso non autorizzato alle informazioni e (o) il loro trasferimento a persone che non hanno il diritto di accedere alle informazioni;
- tempestivo rilevamento fatti di accesso non autorizzato alle informazioni;
- Un avvertimento la possibilità di conseguenze negative della violazione dell'ordine di accesso alle informazioni;
- Prevenzione impatto sui mezzi tecnici di trattamento delle informazioni, a causa del quale il loro funzionamento è interrotto;
- Possibilità di immediato recupero informazioni modificate o distrutte a causa dell'accesso non autorizzato ad esse;
- Costante controllo per garantire il livello di sicurezza delle informazioni;
- Trovare sul territorio della Federazione Russa di banche dati di informazioni utilizzate per raccogliere, registrare, sistematizzare, accumulare, archiviare, chiarire (aggiornare, modificare), estrarre i dati personali dei cittadini della Federazione Russa (la clausola 7 è stata introdotta dalla legge federale di 21.07.2014 N. 242-FZ).
- Livello legale garantisce il rispetto degli standard statali nel campo della sicurezza delle informazioni e include copyright, decreti, brevetti e job description.
Un sistema di protezione ben costruito non viola i diritti degli utenti e le norme sul trattamento dei dati. - Livello organizzativo consente di creare regole per il lavoro degli utenti con informazioni riservate, selezionare il personale, organizzare il lavoro con documentazione e supporti dati.
Le regole per il lavoro degli utenti con informazioni riservate sono chiamate regole di controllo degli accessi. Le regole sono stabilite dal management dell'azienda insieme al servizio di sicurezza e al fornitore che implementa il sistema di sicurezza. L'obiettivo è creare condizioni per l'accesso alle risorse informative per ciascun utente, ad esempio il diritto di leggere, modificare, trasferire un documento riservato.
Le regole di controllo degli accessi sono sviluppate a livello organizzativo e implementate nella fase di lavoro con la componente tecnica del sistema. - Livello tecnico condizionatamente suddiviso in fisico, hardware, software e matematico (crittografico).
Strumenti per la sicurezza delle informazioni
Strumenti per la sicurezza delle informazioni preso per essere suddiviso in normativo (informale) e tecnico (formale).Mezzi informali di sicurezza delle informazioni
Strumenti informali per la sicurezza delle informazioni– sono normativi (legislativi), amministrativi (organizzativi) e morale ed etica mezzi, che includono: documenti, regole, eventi.quadro giuridico ( mezzi legislativi) la sicurezza delle informazioni è fornita dallo Stato. La protezione delle informazioni è regolata dalle convenzioni internazionali, dalla Costituzione, dalle leggi federali "Sull'informazione, sulle tecnologie dell'informazione e sulla protezione dell'informazione", le leggi della Federazione Russa "Sulla sicurezza", "Sulle comunicazioni", "Sui segreti di Stato" e vari statuti .
Inoltre, alcune delle leggi sopra elencate sono state fornite e discusse da noi in precedenza, come basi legali della sicurezza delle informazioni. Il mancato rispetto di queste leggi comporta minacce alla sicurezza delle informazioni, che possono portare a conseguenze significative, che a loro volta sono punibili secondo tali leggi, fino alla responsabilità penale.
Lo Stato determinerà anche la misura di responsabilità per la violazione delle disposizioni della normativa in materia di sicurezza delle informazioni. Ad esempio, il capitolo 28 "Reati nel campo dell'informazione informatica" del codice penale della Federazione Russa comprende tre articoli:
- Art. 272 “Accesso illegale alle informazioni informatiche”;
- Articolo 273 “Creazione, uso e diffusione di programmi informatici dannosi”;
- Art. 274 “Violazione delle norme relative al funzionamento dei mezzi di memorizzazione, elaborazione o trasmissione di informazioni e reti informatiche e di telecomunicazione”.
Per ridurre l'impatto di questi aspetti, è necessaria una serie di misure organizzative, legali, organizzative e tecniche che escludano o minimizzino la possibilità di minacce alle informazioni riservate.
In questa attività amministrativa e organizzativa di protezione delle informazioni per il personale addetto alla sicurezza, c'è spazio per la creatività.
Si tratta di soluzioni architettoniche e progettuali che consentono di proteggere le sale riunioni e gli uffici direzionali dalle intercettazioni e dalla creazione di vari livelli di accesso alle informazioni.
Dal punto di vista della regolamentazione delle attività del personale, sarà importante progettare un sistema di richieste di accesso a Internet, posta elettronica esterna e altre risorse. Un elemento separato sarà la ricezione di una firma digitale elettronica per aumentare la sicurezza delle informazioni finanziarie e di altro tipo trasmesse alle agenzie governative tramite i canali di posta elettronica.
a morale ed etica I mezzi possono essere attribuiti alle norme morali o alle regole etiche che si sono sviluppate in una società o in un determinato gruppo, la cui osservanza contribuisce alla protezione delle informazioni, e la loro violazione è equiparata al mancato rispetto delle regole di comportamento in un società o squadra. Queste norme non sono obbligatorie, in quanto norme legalmente approvate, tuttavia, la loro non conformità porta a un calo dell'autorità, del prestigio di una persona o di un'organizzazione.
Mezzi formali di protezione delle informazioni
Rimedi formali- si tratta di mezzi tecnici e software speciali che possono essere suddivisi in fisici, hardware, software e crittografici.Mezzi fisici di protezione delle informazioni- si tratta di tutti i meccanismi meccanici, elettrici ed elettronici che funzionano indipendentemente dai sistemi informativi e creano barriere all'accesso agli stessi.
Serrature, anche elettroniche, schermi, persiane sono progettate per creare ostacoli al contatto di fattori destabilizzanti con i sistemi. Il gruppo è integrato per mezzo di sistemi di sicurezza, ad esempio videocamere, videoregistratori, sensori che rilevano il movimento o un eccesso del grado di radiazione elettromagnetica nell'area in cui si trovano i mezzi tecnici per la registrazione delle informazioni.
Sicurezza delle informazioni hardware- si tratta di tutti i dispositivi elettrici, elettronici, ottici, laser e di altro tipo integrati nei sistemi informatici e di telecomunicazione: computer speciali, sistemi di controllo dei dipendenti, protezione dei server e delle reti aziendali. Impediscono l'accesso alle informazioni, anche mascherandole.
L'hardware include: generatori di rumore, filtri di rete, radio di scansione e molti altri dispositivi che "bloccano" potenziali canali di perdita di informazioni o ne consentono il rilevamento.
Software per la sicurezza delle informazioni- si tratta di programmi semplici e complessi progettati per risolvere problemi relativi alla sicurezza delle informazioni.
Un esempio di soluzioni complesse sono i sistemi DLP e i sistemi SIEM.
Sistemi DLP("Prevenzione della perdita di dati" letteralmente "prevenzione della fuga di dati"), rispettivamente, servono a prevenire la perdita, la riformattazione delle informazioni e il reindirizzamento dei flussi di informazioni.
Sistemi SIEM("Informazioni di sicurezza e gestione degli eventi", che significa "Gestione degli eventi e sicurezza delle informazioni") forniscono analisi in tempo reale degli eventi di sicurezza (allarmi) dai dispositivi di rete e dalle applicazioni. SIEM è rappresentato da applicazioni, dispositivi o servizi e viene utilizzato anche per la registrazione e il reporting dei dati per la compatibilità con altri dati aziendali.
Gli strumenti software richiedono la potenza dei dispositivi hardware e durante l'installazione devono essere fornite riserve aggiuntive.
Matematica (crittografica)– implementazione di metodi di protezione dei dati crittografici e stenografici per la trasmissione sicura su una rete aziendale o globale.
La crittografia è considerata uno dei modi più affidabili per proteggere i dati, perché protegge le informazioni stesse e non l'accesso ad esse. Le informazioni convertite crittograficamente hanno un alto grado di protezione.
L'introduzione della protezione delle informazioni crittografiche significa la creazione di un complesso software e hardware, la cui architettura e composizione è determinata in base alle esigenze di un particolare cliente, ai requisiti legali, alle attività e ai metodi necessari e agli algoritmi di crittografia.
Ciò può includere componenti software di crittografia (cryptoproviders), strumenti di organizzazione VPN, strumenti di identità, strumenti per la generazione e la verifica di chiavi e firme digitali.
Gli strumenti di crittografia possono supportare algoritmi di crittografia GOST e fornire le classi di protezione crittografica necessarie a seconda del grado di protezione richiesto, del quadro normativo e dei requisiti di compatibilità con altri, inclusi i sistemi esterni. Allo stesso tempo, gli strumenti di crittografia forniscono protezione per l'intero set di componenti delle informazioni, inclusi file, directory con file, supporti di archiviazione fisici e virtuali, interi server e sistemi di archiviazione dati.
In conclusione della seconda parte, dopo aver brevemente considerato i principali metodi e mezzi di protezione delle informazioni, nonché la classificazione delle informazioni, si può affermare quanto segue: Il fatto che si conferma ancora una volta la nota tesi secondo cui garantire la sicurezza delle informazioni è tutta una serie di misure che comprendono tutti gli aspetti delle informazioni sulla protezione, la cui creazione e fornitura devono essere affrontate con la massima attenzione e serietà.
È necessario osservare rigorosamente e in nessun caso la regola d'oro deve essere violata: questo è un approccio integrato.
Per una rappresentazione più visiva dei mezzi di protezione delle informazioni, vale a dire come un insieme indivisibile di misure, sono presentati di seguito nella Figura 2, ciascuno dei quali rappresenta la protezione delle informazioni in un determinato segmento, rimuovere uno dei mattoni e lì sarà una minaccia per la sicurezza.
Figura 2. Classificazione degli strumenti di sicurezza delle informazioni.
Introduzione. 2
1. Disposizioni di base della teoria della sicurezza dell'informazione. cinque
1.1 Classificazione delle minacce alla sicurezza delle informazioni. cinque
1.2 Minacce più comuni.. 9
1.3 Attacchi software. undici
1.4 Software dannoso. 13
1.5 Classificazione delle misure di sicurezza KS.. 14
2. Metodi e mezzi di base per proteggere le informazioni nelle reti. 19
2.1 Protezione fisica delle informazioni. 19
2.2 Protezione delle informazioni hardware nel CS .. 22
2.3 Software per la sicurezza delle informazioni nel CS .. 24
3. Metodi e mezzi di sicurezza delle informazioni nelle reti di telecomunicazioni dell'impresa "Vestel". 44
3.1 Caratteristiche dell'impresa e della rete aziendale. 44
3.2 Supporto organizzativo e legale della protezione delle informazioni. 46
3.3 Protezione delle informazioni nella rete aziendale "Vestel" a livello di sistema operativo.. 48
3.4 Protezione delle informazioni da accessi non autorizzati. 52
3.5 Protezione antivirus. 57
Conclusione. 64
Glossario. 68
Elenco delle fonti utilizzate. 70
Elenco delle abbreviazioni. 74
Appendice A.. 75
Appendice B. 76
Appendice B.. 77
Appendice D. 78
introduzione
Il problema della sicurezza delle informazioni è tutt'altro che nuovo. Le persone hanno cercato di risolverlo fin dai tempi antichi.
Agli albori della civiltà, informazioni preziose erano conservate in forma materiale: venivano ritagliate su tavolette di pietra, successivamente scritte su carta. Per la loro protezione sono stati utilizzati gli stessi oggetti materiali: muri, fossati.
Le informazioni venivano spesso trasmesse da messaggeri e accompagnate da guardie. E queste misure si giustificavano, poiché l'unico modo per ottenere le informazioni di qualcun altro era rubarle. Sfortunatamente, la protezione fisica ha avuto un grosso svantaggio. Quando catturavano un messaggio, i nemici riconoscevano tutto ciò che vi era scritto. Anche Giulio Cesare decise di proteggere informazioni preziose nel processo di trasmissione. Ha inventato il cifrario di Cesare. Questo cifrario permetteva di inviare messaggi che nessuno avrebbe potuto leggere se intercettato.
Questo concetto è stato sviluppato durante la seconda guerra mondiale. La Germania ha utilizzato una macchina chiamata Enigma per crittografare i messaggi inviati alle unità militari.
Naturalmente, il modo in cui le informazioni vengono protette è in continua evoluzione, poiché la nostra società e la nostra tecnologia stanno cambiando. L'avvento e l'uso diffuso dei computer ha portato al fatto che la maggior parte delle persone e delle organizzazioni ha iniziato a memorizzare informazioni in forma elettronica. C'era la necessità di proteggere tali informazioni.
Nei primi anni '70. Nel 20° secolo, David Bell e Leonard La Padula hanno sviluppato un modello di sicurezza per le operazioni informatiche. Questo modello si basava sul concetto governativo di livelli di classificazione delle informazioni (non classificati, confidenziali, segrete, top secret) e livelli di autorizzazione. Se una persona (soggetto) aveva un livello di autorizzazione superiore al livello del file (oggetto) secondo la classificazione, allora ha avuto accesso al file, altrimenti l'accesso è stato negato. Questo concetto è stato implementato nello standard 5200.28 "Trusted Computing System Evaluation Criteria" (TCSEC), sviluppato nel 1983 dal Dipartimento della Difesa degli Stati Uniti. A causa del colore della copertina, si chiamava "The Orange Book".
Il "Libro arancione" ha definito i requisiti funzionali e di garanzia per ciascuna sezione. Il sistema doveva soddisfare questi requisiti per soddisfare un certo livello di certificazione.
Il completamento dei requisiti di garanzia per la maggior parte dei certificati di sicurezza era dispendioso in termini di tempo e denaro. Di conseguenza, pochissimi sistemi sono stati certificati al di sopra del livello C2 (infatti, solo un sistema è mai stato certificato al livello A1 - Honeywell SCOMP).
Nello sviluppo di altri criteri, sono stati fatti tentativi per separare i requisiti funzionali dai requisiti di garanzia. Questi sviluppi sono stati inclusi nel Libro verde tedesco nel 1989, nei criteri canadesi nel 1990, nei criteri di valutazione della sicurezza delle tecnologie dell'informazione (ITSEC) nel 1991 e nei criteri federali (noti come criteri comuni - "criteri generali") nel 1992. Ciascuno standard offriva un proprio modo di certificare la sicurezza dei sistemi informatici.
Uno dei problemi associati ai criteri di valutazione della sicurezza dei sistemi era la mancanza di comprensione dei meccanismi di funzionamento della rete. Quando i computer vengono uniti, ai vecchi problemi di sicurezza ne vengono aggiunti di nuovi. L '"Orange Book" non ha considerato i problemi che sorgono quando si collegano i computer a una rete comune, quindi nel 1987 è apparso TNI (Trusted Network Interpretation) o il "Red Book". Il "Red Book" ha mantenuto tutti i requisiti di sicurezza del "Orange Book", è stato fatto un tentativo per affrontare lo spazio di rete e creare un concetto di sicurezza della rete. Sfortunatamente, il "Red Book" associava anche la funzionalità alla garanzia. Solo pochi sistemi sono stati valutati da TNI e nessuno ha avuto successo commerciale.
Oggi i problemi sono diventati ancora più seri. Le organizzazioni iniziarono a utilizzare reti wireless, l'aspetto di cui il "Libro rosso" non poteva prevedere. Per le reti wireless, il certificato Red Book è considerato obsoleto.
Le tecnologie dei sistemi informatici e delle reti si stanno sviluppando troppo velocemente. Di conseguenza, stanno emergendo rapidamente anche nuovi modi di proteggere le informazioni. Pertanto, il tema del mio lavoro di qualificazione "Metodi e mezzi per proteggere le informazioni nelle reti" è molto rilevante.
L'oggetto della ricerca sono le informazioni trasmesse sulle reti di telecomunicazioni.
L'argomento dello studio è la sicurezza informatica delle reti.
Lo scopo principale del lavoro di qualificazione è quello di studiare e analizzare i metodi ei mezzi per proteggere le informazioni nelle reti.
Per raggiungere questo obiettivo, è necessario risolvere una serie di compiti:
Considera le minacce alla sicurezza e la loro classificazione;
Caratterizzare le modalità ei mezzi di protezione delle informazioni in rete, la loro classificazione e le caratteristiche applicative;
Per rivelare le possibilità di protezione delle informazioni fisiche, hardware e software nel CS, per identificare i loro vantaggi e svantaggi;
Considerare metodi, metodi e mezzi per proteggere le informazioni in una rete aziendale (sull'esempio dell'impresa Vestel).
1.1 Classificazione delle minacce alla sicurezza delle informazioni
Sotto la minaccia della sicurezza delle informazioni in una rete informatica (CN) si intende un evento o un'azione che può causare un cambiamento nel funzionamento della CN, associato a una violazione della sicurezza delle informazioni in essa trattate.
La vulnerabilità delle informazioni è la possibilità di un tale stato in cui vengono create le condizioni per l'implementazione di minacce alla sicurezza delle informazioni.
Un attacco a un CS è un'azione intrapresa da un intruso, che consiste nel cercare e sfruttare una particolare vulnerabilità. In altre parole, un attacco a un CS è la realizzazione di una minaccia alla sicurezza delle informazioni in esso contenute.
I problemi che sorgono con la sicurezza della trasmissione delle informazioni quando si lavora in reti di computer possono essere suddivisi in tre tipi principali:
intercettazione di informazioni - l'integrità delle informazioni è preservata, ma la sua riservatezza è violata;
modifica delle informazioni - il messaggio originale viene modificato o completamente sostituito da un altro e inviato al destinatario;
Modifica della paternità delle informazioni. Questo problema può avere gravi conseguenze. Ad esempio, qualcuno può inviare un'e-mail a nome di qualcun altro (questo tipo di inganno è comunemente chiamato spoofing) oppure un server Web può fingere di essere un negozio di elettronica, accettare ordini, numeri di carta di credito, ma non inviare alcuna merce.
La specificità delle reti informatiche, in termini di vulnerabilità, è principalmente associata alla presenza di un'intensa interazione informativa tra elementi territorialmente dispersi ed eterogenei (diversi).
Vulnerabili sono letteralmente tutti i principali elementi strutturali e funzionali del CS: workstation, server (Host-machine), bridge tra reti (gateway, centri di commutazione), canali di comunicazione, ecc.
È noto un gran numero di diverse minacce alla sicurezza delle informazioni di varia origine. Esistono molte classificazioni differenti in letteratura, dove i tipi di pericoli generati, il grado di intento dannoso, le fonti delle minacce, ecc. sono usati come criteri di divisione. Una delle classificazioni più semplici è mostrata in Fig. uno.
Riso. 1. Classificazione generale delle minacce alla sicurezza.
Le minacce naturali sono minacce causate dall'impatto sulla CS e sui suoi elementi di processi fisici oggettivi o di disastri naturali indipendenti dall'uomo.
Le minacce artificiali sono minacce alla COP causate dalle attività umane. Tra questi, in base alla motivazione delle azioni, possiamo distinguere:
minacce non intenzionali (non intenzionali, accidentali) causate da errori nella progettazione del CS e dei suoi elementi, errori nel software, errori nelle azioni del personale, ecc.;
minacce intenzionali (deliberate) associate alle aspirazioni egoistiche delle persone (intrusi).
Le fonti di minaccia in relazione al CS possono essere esterne o interne (componenti del CS stesso: hardware, programmi, personale).
Una classificazione più complessa e dettagliata delle minacce è fornita nell'Appendice A.
Un'analisi delle conseguenze negative dell'implementazione delle minacce implica l'identificazione obbligatoria di possibili fonti di minacce, vulnerabilità che contribuiscono alla loro manifestazione e modalità di implementazione. E poi la catena cresce nel circuito mostrato in Fig. 2.
Riso. 2. Modello di implementazione delle minacce alla sicurezza delle informazioni.
Le minacce sono classificate in base alla possibilità di arrecare danno al soggetto dei rapporti in violazione degli obiettivi di sicurezza. Il danno può essere causato da qualsiasi soggetto (delitto, colpa o negligenza), nonché diventare una conseguenza che non dipende dall'oggetto delle manifestazioni. Non ci sono così tante minacce. Quando si garantisce la riservatezza delle informazioni, ciò può essere il furto (copia) di informazioni e mezzi per elaborarle, nonché la loro perdita (perdita involontaria, perdita). Quando si garantisce l'integrità delle informazioni, l'elenco delle minacce è il seguente: modifica (distorsione) delle informazioni; negazione dell'autenticità delle informazioni; imporre false informazioni. Quando si garantisce la disponibilità delle informazioni, è possibile bloccarle o distruggere le informazioni stesse e i mezzi del loro trattamento.
Tutte le fonti di minaccia possono essere suddivise in classi in base al tipo di media e classi in gruppi in base alla posizione (Fig. 3a). Le vulnerabilità possono anche essere suddivise in classi in base all'appartenenza alla fonte delle vulnerabilità e classi in gruppi e sottogruppi in base alle manifestazioni (Fig. 3b). I metodi di attuazione possono essere suddivisi in gruppi in base alle modalità di attuazione (Fig. 3c). Allo stesso tempo, va tenuto conto del fatto che il concetto stesso di "metodo" è applicabile solo quando si considera l'attuazione di minacce da parte di fonti antropiche. Per le fonti tecnogeniche e naturali, questo concetto si trasforma nel concetto di "prerequisito".
Riso. 3. Struttura delle classificazioni: a) "Fonti di minaccia"; b) "Vulnerabilità"; c) "Modalità di attuazione"
La classificazione delle possibilità di implementazione delle minacce (attacchi) è un insieme di possibili azioni della fonte della minaccia mediante determinati metodi di implementazione che utilizzano vulnerabilità che portano all'implementazione degli obiettivi di attacco. Lo scopo dell'attacco potrebbe non coincidere con lo scopo dell'attuazione delle minacce e potrebbe essere finalizzato all'ottenimento di un risultato intermedio necessario per ottenere un'ulteriore attuazione della minaccia. In caso di tale discrepanza, l'attacco è considerato una fase di preparazione per intraprendere azioni volte a realizzare la minaccia, ad es. come "preparazione a commettere" un atto illecito. Il risultato dell'attacco sono le conseguenze che sono l'attuazione della minaccia e/o contribuiscono a tale attuazione.
I dati iniziali per valutare e analizzare le minacce alla sicurezza quando si lavora in rete sono il risultato di interrogare i soggetti delle relazioni volte a comprendere la direzione delle loro attività, le priorità attese degli obiettivi di sicurezza, i compiti risolti nella rete e le condizioni per la localizzazione e funzionamento della rete.
I più frequenti e pericolosi (in termini di entità del danno) sono gli errori non intenzionali di utenti regolari, operatori, amministratori di sistema e altre persone che gestiscono una rete di computer.
A volte tali errori sono in realtà minacce (dati inseriti in modo errato o un errore nel programma che ha causato il crash del sistema), a volte creano vulnerabilità di cui gli aggressori possono trarre vantaggio (di solito gli errori amministrativi sono tali). Secondo alcuni rapporti, fino al 65% delle perdite sono il risultato di errori non intenzionali.
Incendi e inondazioni non causano tanti problemi quanto l'analfabetismo e la negligenza sul lavoro.
Ovviamente, il modo più radicale per affrontare gli errori non intenzionali è la massima automazione e un controllo rigoroso.
Altre minacce all'accessibilità possono essere classificate in base ai componenti del CS a cui sono rivolte le minacce:
errore dell'utente;
guasto della rete interna;
guasto dell'infrastruttura di supporto.
In genere, vengono considerate le seguenti minacce in relazione agli utenti:
riluttanza a lavorare con il sistema informativo (il più delle volte si manifesta quando è necessario padroneggiare nuove funzionalità e quando vi è una discrepanza tra le richieste degli utenti e le effettive capacità e caratteristiche tecniche);
incapacità di lavorare con il sistema per mancanza di un'adeguata formazione (mancanza di alfabetizzazione informatica generale, incapacità di interpretare i messaggi diagnostici, incapacità di lavorare con la documentazione, ecc.);
incapacità di lavorare con il sistema per mancanza di supporto tecnico (documentazione incompleta, mancanza di informazioni di riferimento, ecc.).
Le principali fonti di guasti interni sono:
deviazione (accidentale o intenzionale) dalle regole operative stabilite;
uscita del sistema dal normale funzionamento a causa di azioni accidentali o intenzionali degli utenti o del personale di manutenzione (superamento del numero di richieste stimato, eccessiva quantità di informazioni in elaborazione, ecc.);
errori durante la (ri)configurazione del sistema;
guasti software e hardware;
distruzione dei dati;
distruzione o danneggiamento delle apparecchiature.
In relazione all'infrastruttura di supporto, si consiglia di considerare le seguenti minacce:
interruzione (accidentale o intenzionale) dei sistemi di comunicazione, alimentazione elettrica, fornitura acqua e/o calore, aria condizionata;
distruzione o danneggiamento dei locali;
impossibilità o riluttanza del personale di servizio e/o degli utenti a svolgere le proprie funzioni (disordini civili, incidenti stradali, atto terroristico o sua minaccia, sciopero, ecc.).
I cosiddetti dipendenti "offesi" - attuali ed ex - sono molto pericolosi. Di norma, cercano di danneggiare l'organizzazione, ad esempio "l'autore del reato":
danneggiare le apparecchiature;
costruire una bomba logica che distruggerà programmi e/o dati nel tempo;
cancellare i dati.
I dipendenti offesi, anche ex, conoscono le regole dell'organizzazione e sono in grado di causare danni considerevoli. È necessario garantire che quando un dipendente lascia, i suoi diritti di accesso (logici e fisici) alle risorse informative vengano annullati.
Il consumo aggressivo di risorse (di solito larghezza di banda della rete, potenza di elaborazione dei processori o RAM) può essere utilizzato come mezzo per interrompere il normale funzionamento della rete. In base alla posizione della fonte della minaccia, tale consumo è diviso in locale e remoto. Con errori di calcolo nella configurazione del sistema, un programma locale può quasi monopolizzare il processore e/o la memoria fisica, riducendo a zero la velocità di esecuzione di altri programmi.
L'esempio più semplice di consumo di risorse remote è l'attacco SYN flood. È un tentativo di overflow della tabella di connessione TCP "semiaperta" del server (la creazione di connessioni inizia ma non finisce). Per lo meno, un tale attacco rende difficile per gli utenti legittimi stabilire nuove connessioni, ovvero il server sembra essere inaccessibile.
Le reti che accettano pacchetti ping con indirizzi broadcast sono vulnerabili all'attacco "Papa Puffo". Le risposte a tali pacchetti "mangiano" la larghezza di banda.
Di recente, il consumo di risorse remote si è manifestato in una forma particolarmente pericolosa, come attacchi distribuiti coordinati, quando richieste di connessione e/o servizio completamente legali vengono inviate al server da molti indirizzi diversi alla massima velocità. Il febbraio 2000 può essere considerato l'inizio della "moda" per tali attacchi, quando molti dei più grandi sistemi di e-commerce (più precisamente, i proprietari e gli utenti dei sistemi) si sono rivelati vittime. Se si verifica un errore di calcolo dell'architettura sotto forma di squilibrio tra la larghezza di banda della rete e le prestazioni del server, è estremamente difficile difendersi dagli attacchi distribuiti alla disponibilità.
Le vulnerabilità sotto forma di errori software e hardware possono essere utilizzate per portare i sistemi fuori dal normale funzionamento. Ad esempio, un bug noto nel processore Pentium I ha consentito a un utente locale di "bloccare" il computer emettendo un comando specifico, quindi solo un RESET hardware aiuta.
Il programma "Teardrop" "blocca" in remoto i computer sfruttando un bug nell'assemblaggio di pacchetti IP frammentati.
1.4 Software dannoso
Uno dei metodi più pericolosi per eseguire attacchi è l'introduzione di software dannoso nei sistemi attaccati.
Si distinguono i seguenti aspetti del malware:
funzione dannosa;
metodo di distribuzione;
presentazione esterna.
La parte che svolge la funzione distruttiva è destinata a:
introduzione di altro malware;
ottenere il controllo sul sistema attaccato;
consumo aggressivo di risorse;
modifica o distruzione di programmi e/o dati.
Secondo il meccanismo di distribuzione, ci sono:
Virus - codice che ha la capacità di diffondersi (possibilmente con modifiche) iniettandosi in altri programmi;
"worm" - un codice in grado di indipendentemente, cioè senza essere introdotto in altri programmi, causare la diffusione delle sue copie sulla rete e la loro esecuzione (l'attivazione del virus richiede l'avvio di un programma infetto).
I virus di solito si diffondono localmente, all'interno di un host; richiedono assistenza esterna, come l'invio di un file infetto, per la trasmissione sulla rete. I worm, d'altra parte, si concentrano principalmente sui viaggi in rete.
A volte la stessa distribuzione di malware provoca un consumo aggressivo di risorse ed è quindi una caratteristica dannosa. Ad esempio, i "worm" "mangiano" la larghezza di banda della rete e le risorse del sistema di posta.
Il codice dannoso che sembra un programma funzionalmente utile è chiamato Trojan. Ad esempio, un normale programma, infettato da un virus, diventa un Trojan; a volte i trojan sono realizzati a mano e consegnati a utenti creduloni in un pacchetto attraente (di solito quando si visitano reti di condivisione file o siti di gioco e intrattenimento).
1.5 Classificazione delle misure di sicurezza CS
Secondo le modalità di attuazione, tutte le misure per garantire la sicurezza delle reti informatiche si suddividono in: legale (legislativa), morale ed etica, organizzativa (amministrativa), fisica, tecnica (hardware e software).
Le misure di tutela giuridica comprendono leggi, decreti e regolamenti vigenti nel Paese che regolano le regole per il trattamento delle informazioni, fissano i diritti e gli obblighi dei partecipanti ai rapporti informativi nel processo di elaborazione e utilizzo delle stesse, nonché stabiliscono la responsabilità per le violazioni di queste regole, prevenendo così l'uso improprio delle informazioni e fungere da deterrente per potenziali trasgressori.
Le contromisure morali ed etiche includono norme di comportamento che si sono sviluppate tradizionalmente o si stanno sviluppando man mano che le reti di computer si diffondono in un paese o in una società. Queste norme non sono per la maggior parte obbligatorie, in quanto atti normativi approvati dalla legge, tuttavia, la loro non conformità porta solitamente a un calo dell'autorità, del prestigio di una persona, di un gruppo di persone o di un'organizzazione. Le norme morali ed etiche possono essere sia non scritte (ad esempio norme di onestà generalmente riconosciute, patriottismo, ecc.) sia scritte, cioè formalizzate in qualche insieme (carta) di regole o regolamenti.
Le misure di protezione organizzativa (amministrativa) sono misure organizzative che regolano il funzionamento del sistema informatico, l'uso delle sue risorse, le attività del personale, nonché la procedura con cui gli utenti interagiscono con il sistema in modo da ostacolare maggiormente o escludere la possibilità di implementare minacce alla sicurezza. Loro includono :
attività svolte nella progettazione, costruzione e equipaggiamento di reti e altri oggetti di sistemi di elaborazione dati;
misure per sviluppare regole per l'accesso degli utenti alle risorse di rete (sviluppo di una politica di sicurezza);
attività svolte nella selezione e formazione del personale;
organizzazione della sicurezza e controllo affidabile degli accessi;
organizzazione della contabilità, archiviazione, uso e distruzione di documenti e supporti con informazioni;
distribuzione dei dati di controllo accessi (password, chiavi di crittografia, ecc.);
organizzazione del controllo esplicito e dissimulato sull'operato degli utenti;
attività svolte nella progettazione, sviluppo, riparazione e modifica di apparecchiature e software, ecc.
Le misure di protezione fisica si basano sull'uso di vari tipi di dispositivi e strutture meccanici, elettro o elettronico-meccanici, appositamente progettati per creare ostacoli fisici su possibili vie di penetrazione e accesso di potenziali intrusi ai componenti della rete e alle informazioni protette, nonché mezzi tecnici di osservazione visiva, comunicazione e allarme di sicurezza.
Le misure di protezione tecnica (hardware) si basano sull'uso di vari dispositivi elettronici che fanno parte del CS e svolgono (indipendentemente o in combinazione con altri mezzi) funzioni di protezione.
I metodi di protezione del software sono destinati alla protezione diretta delle informazioni in tre aree: a) hardware; b) software; c) dati e comandi di controllo.
Per proteggere le informazioni durante la loro trasmissione, vengono solitamente utilizzati vari metodi di crittografia dei dati prima che vengano immessi in un canale di comunicazione o su un supporto fisico con successiva decrittazione. Come mostra la pratica, i metodi di crittografia possono nascondere in modo affidabile il significato del messaggio.
Tutti i programmi di protezione che gestiscono l'accesso alle informazioni della macchina operano secondo il principio della risposta alle domande: chi può eseguire quali operazioni e su quali dati.
L'accesso può essere definito come:
generale (fornito incondizionatamente a ciascun utente);
rifiuto (rifiuto incondizionato, ad esempio, il permesso di cancellare un'informazione);
dipendente dall'evento (guidato dall'evento);
dipendente dal contenuto dei dati;
dipendente dallo stato (stato dinamico del sistema informatico);
dipendente dalla frequenza (ad esempio, l'accesso all'utente è consentito una sola volta o un certo numero di volte);
per nome o altra indicazione dell'utente;
dipendente dall'autorità;
per autorizzazione (ad esempio, per password);
per procedura.
Inoltre, misure efficaci per contrastare i tentativi di accesso non autorizzato includono strumenti di registrazione. A tal fine, i più promettenti sono i nuovi sistemi operativi speciali ampiamente utilizzati all'estero e chiamati monitoring (monitoraggio automatico di una possibile minaccia informatica).
Il monitoraggio è svolto dal sistema operativo (OS) stesso e le sue funzioni includono il controllo sui processi di input-output, elaborazione e distruzione delle informazioni della macchina. Il sistema operativo registra l'ora dell'accesso non autorizzato e gli strumenti software a cui è stato effettuato l'accesso. Inoltre, segnala immediatamente al servizio di sicurezza informatica una violazione della sicurezza di un sistema informatico con il contestuale rilascio dei dati necessari (elenco) per la stampa. Recentemente, negli Stati Uniti e in alcuni paesi europei, sono state utilizzate anche subroutine speciali per proteggere i sistemi informatici, provocando l'autodistruzione del programma principale quando una persona non autorizzata tenta di visualizzare il contenuto di un file con informazioni classificate, simile a l'azione di una “bomba logica”.
Compiti di sicurezza:
Protezione delle informazioni nei canali di comunicazione e nelle banche dati mediante metodi crittografici;
Autenticazione degli oggetti dati e degli utenti (autenticazione delle parti che stabiliscono la comunicazione);
Rilevamento di violazioni dell'integrità degli oggetti di dati;
Garantire la protezione dei mezzi tecnici e dei locali in cui le informazioni riservate vengono trattate dalla fuga attraverso canali laterali e da eventuali dispositivi elettronici incorporati per il recupero delle informazioni;
Garantire la protezione di prodotti software e apparecchiature informatiche dall'introduzione di virus software e segnalibri in essi;
Protezione contro le azioni non autorizzate sul canale di comunicazione da parte di persone che non sono autorizzate a utilizzare strumenti di crittografia, ma che perseguono l'obiettivo di compromettere informazioni segrete e interrompere il funzionamento delle stazioni di abbonato;
Misure organizzative e tecniche volte a garantire la sicurezza dei dati riservati.
2. Metodi e mezzi di base per proteggere le informazioni nelle reti
È semplicemente impossibile analizzare in dettaglio tutti i metodi ei mezzi per proteggere le informazioni nell'ambito del WRC. Ne caratterizzerò solo alcuni.
Le misure per la protezione fisica delle informazioni includono:
antincendio;
protezione contro acqua e liquido estinguente
protezione contro i gas corrosivi;
protezione contro le radiazioni elettromagnetiche;
protezione da atti vandalici;
protezione contro furti e furti;
protezione contro le esplosioni;
protezione contro la caduta di detriti;
protezione dalla polvere;
protezione contro l'accesso non autorizzato ai locali.
Quali misure dovrebbero essere adottate per garantire la sicurezza fisica?
Prima di tutto, devi preparare la stanza in cui si troveranno i server. Regola obbligatoria: il server deve trovarsi in una stanza separata, il cui accesso ha una cerchia di persone strettamente ristretta. L'aria condizionata e un buon sistema di ventilazione dovrebbero essere installati in questa stanza. Puoi anche posizionare un mini-ATS e altri sistemi tecnici vitali lì.
Disabilitare le unità disco inutilizzate, le porte parallele e seriali sul server è una mossa intelligente. È desiderabile sigillare il suo corpo. Tutto ciò complicherà il furto o la sostituzione delle informazioni anche se l'attaccante entra in qualche modo nella sala server. Non trascurare misure di sicurezza banali come sbarre e porte di ferro, serrature a combinazione e telecamere di videosorveglianza che registreranno costantemente tutto ciò che accade nelle aree chiave dell'ufficio.
Un altro errore tipico è relativo al backup. Tutti ne conoscono la necessità, così come la necessità di avere un estintore in caso di incendio. Ma per qualche motivo dimenticano che i backup non possono essere archiviati nella stessa stanza del server. Di conseguenza, dopo essersi difesi dagli attacchi informatici, le aziende si trovano indifese anche di fronte a un piccolo incendio, in cui le copie fatte con prudenza muoiono insieme al server.
Spesso, anche dopo aver protetto i server, dimenticano che anche tutti i tipi di cavi necessitano di protezione: il sistema di cavi della rete. Inoltre, spesso devi aver paura non degli intrusi, ma dei più comuni addetti alle pulizie, che sono meritatamente considerati i peggiori nemici delle reti locali. Il modo migliore per proteggere il cavo è una scatola, ma, in linea di principio, qualsiasi altro metodo che consente di nascondere e fissare saldamente i fili funzionerà. Tuttavia, non dovresti perdere di vista la possibilità di collegarti ad essi dall'esterno per intercettare informazioni o creare interferenze, ad esempio scaricando corrente. Tuttavia, bisogna ammettere che questa opzione non è diffusa e viene vista solo nelle violazioni del lavoro delle grandi imprese.
Oltre a Internet, i computer sono inclusi in un'altra rete, la solita elettrica. È ad esso che è associato un altro gruppo di problemi relativi alla sicurezza fisica dei server. Non è un segreto che la qualità delle moderne reti elettriche sia tutt'altro che ideale. Anche se non ci sono segni esterni di anomalie, molto spesso la tensione di rete è superiore o inferiore al normale. Allo stesso tempo, la maggior parte delle persone non sospetta nemmeno che ci siano problemi con l'alimentazione a casa o in ufficio.
La sottotensione è l'anomalia più comune e rappresenta circa l'85% del numero totale di vari problemi di alimentazione. La sua causa abituale è la carenza di elettricità, che è particolarmente comune durante i mesi invernali. L'aumento della tensione è quasi sempre il risultato di un qualche tipo di incidente o danno al cablaggio nella stanza. Spesso, a seguito della disconnessione del filo neutro comune, le fasi adiacenti vengono eccitate a 380 V. Succede anche che nella rete si verifichi un'alta tensione a causa di un cablaggio errato.
Fonti di impulsi e interferenze ad alta frequenza possono essere fulmini, accensione o spegnimento di potenti consumatori di elettricità, incidenti nelle sottostazioni e il funzionamento di alcuni elettrodomestici. Molto spesso, tale interferenza si verifica nelle grandi città e nelle aree industriali. Gli impulsi di tensione con una durata da nanosecondi (10~9 s) a microsecondi (10~6 s) possono raggiungere diverse migliaia di volt di ampiezza. I più vulnerabili a tali interferenze sono i microprocessori e altri componenti elettronici. Spesso, il rumore impulsivo non soppresso può causare il riavvio del server o un errore nell'elaborazione dei dati. L'alimentatore integrato del computer, ovviamente, attenua parzialmente i picchi di tensione, proteggendo i componenti elettronici del computer da guasti, ma le interferenze residue riducono comunque la durata dell'apparecchiatura e portano anche ad un aumento della temperatura nel server Alimentazione elettrica.
Per proteggere i computer dal rumore degli impulsi ad alta frequenza, vengono utilizzati limitatori di sovratensione (ad esempio, i marchi Pilot), che proteggono le apparecchiature dalla maggior parte delle interferenze e dai picchi di tensione. Inoltre, i computer con informazioni importanti dovrebbero essere dotati di un gruppo di continuità (UPS). I moderni modelli UPS non solo mantengono il computer in funzione in caso di interruzione dell'alimentazione, ma lo scollegano anche dalla rete se l'alimentazione di rete è fuori portata.
2.2 Protezione delle informazioni hardware nel CS
L'hardware di sicurezza delle informazioni comprende dispositivi elettronici ed elettromeccanici inclusi nei mezzi tecnici del CS e che svolgono (indipendentemente o in un unico complesso con software) alcune funzioni di sicurezza delle informazioni. Il criterio per classificare un dispositivo come hardware, e non come mezzo di protezione ingegneristico e tecnico, è l'inclusione obbligatoria nella composizione dei mezzi tecnici del COP.
I principali strumenti di sicurezza delle informazioni hardware includono:
Dispositivi per l'inserimento di informazioni identificative dell'utente (carte magnetiche e plastiche, impronte digitali, ecc.);
Dispositivi per la crittografia delle informazioni;
Dispositivi per impedire l'accensione non autorizzata di workstation e server (serrature e interblocchi elettronici).
Esempi di sicurezza delle informazioni hardware ausiliarie:
Dispositivi per la distruzione di informazioni su supporti magnetici;
Dispositivi di segnalazione di tentativi di azioni non autorizzate da parte di utenti CS, ecc.
L'hardware sta guadagnando sempre più attenzione non solo perché è più facile proteggersi da danni e altri attacchi accidentali o dannosi, ma anche perché l'implementazione hardware delle funzioni è più veloce dell'implementazione del software e il loro costo è in costante diminuzione.
Sempre più nuovi dispositivi compaiono sul mercato della protezione hardware. La descrizione della serratura elettronica è riportata di seguito a titolo esemplificativo.
Serratura elettronica "Sobol"
Sobol, sviluppato e fornito da CJSC NIP Informzashchita, fornisce le seguenti funzioni di protezione:
identificazione e autenticazione degli utenti;
controllo dell'integrità dei file e dei settori fisici dell'hard disk;
blocco dell'avvio del sistema operativo da floppy e CD-ROM;
bloccare l'accesso di un utente registrato quando supera il numero specificato di tentativi di accesso non riusciti;
registrazione di eventi relativi alla sicurezza del sistema.
Gli utenti sono identificati da una chiave individuale sotto forma di tablet Touch Memory con una memoria fino a 64 KB e l'autenticazione è eseguita da una password lunga fino a 16 caratteri.
Il controllo dell'integrità è progettato per garantire che i programmi ei file utente, e in particolare i file di sistema del sistema operativo, non siano stati modificati da un utente malintenzionato o da una scheda software introdotta da lui. Per fare questo, in primis, entra in gioco il parser del file system OS: il calcolo dei valori di riferimento e il loro controllo in fase di caricamento è implementato in Sobol a livello hardware. La costruzione dell'elenco di controllo dell'integrità degli oggetti viene eseguita utilizzando l'utility OS, che in linea di principio consente al programma interceptor di modificare tale elenco, ed è noto che il livello di sicurezza generale del sistema è determinato dal livello di sicurezza dei più deboli collegamento.
Per software di protezione delle informazioni si intendono programmi speciali inclusi nel software CS esclusivamente per eseguire funzioni di protezione.
I principali software per la sicurezza delle informazioni includono:
Programmi per l'identificazione e l'autenticazione degli utenti CS;
Programmi per delimitare l'accesso degli utenti alle risorse CS;
Programmi di crittografia delle informazioni;
Programmi per la protezione delle risorse informative (software di sistema e applicativo, database, strumenti informatici di formazione, ecc.) da modifiche, usi e copie non autorizzati.
Resta inteso che l'identificazione, in relazione alla garanzia della sicurezza delle informazioni del CS, è intesa come riconoscimento inequivocabile del nome univoco del soggetto del CS. Autenticazione significa confermare che il nome presentato corrisponde al soggetto dato (autenticazione del soggetto).
Il software per la sicurezza delle informazioni include anche:
Programmi per la distruzione delle informazioni residue (in blocchi di RAM, file temporanei, ecc.);
Programmi di audit (registri di registrazione) di eventi relativi alla sicurezza del COP, per garantire la possibilità di recupero ed evidenza del verificarsi di tali eventi;
Programmi per l'imitazione del lavoro con l'autore del reato (distraendolo per ricevere informazioni presumibilmente riservate);
Programmi per il controllo dei test di sicurezza CS, ecc.
I vantaggi del software per la sicurezza delle informazioni includono:
Facilità di replica;
Flessibilità (la capacità di adattarsi a varie condizioni d'uso, tenendo conto delle specificità delle minacce alla sicurezza delle informazioni di specifiche CS);
Facilità d'uso: alcuni strumenti software, come la crittografia, funzionano in modalità "trasparente" (invisibile all'utente), mentre altri non richiedono all'utente di possedere competenze nuove (rispetto ad altri programmi);
Possibilità praticamente illimitate per il loro sviluppo apportando modifiche per tenere conto delle nuove minacce alla sicurezza delle informazioni.
Riso. 4. Un esempio di strumento di sicurezza ancorato.
Riso. 5. Un esempio di uno strumento di protezione software integrato.
Gli svantaggi del software per la sicurezza delle informazioni includono:
Ridurre l'efficienza del CS a causa del consumo delle sue risorse necessarie al funzionamento dei programmi di protezione;
Prestazioni inferiori (rispetto a protezioni hardware simili come la crittografia);
L'aggancio di molti strumenti di protezione del software (e non il loro integrato nel software CS, Fig. 4 e 5), che crea una possibilità fondamentale per l'intruso di aggirarli;
Possibilità di modifica dannosa degli strumenti di protezione del software durante il funzionamento del CS.
Il sistema operativo è il componente software più importante di qualsiasi computer, pertanto la sicurezza complessiva del sistema informativo dipende in gran parte dal livello di implementazione della politica di sicurezza in ogni specifico sistema operativo.
Il sistema operativo MS-DOS è il sistema operativo in modalità reale del microprocessore Intel, e quindi non si può parlare di condivisione della RAM tra processi. Tutti i programmi residenti e il programma principale utilizzano lo stesso spazio RAM. Non c'è protezione dei file, è difficile dire qualcosa di preciso sulla sicurezza della rete, poiché in quella fase dello sviluppo del software, i driver di rete non erano sviluppati da MicroSoft, ma da sviluppatori di terze parti.
La famiglia di sistemi operativi Windows 95, 98, Millenium sono cloni, originariamente orientati al lavoro nei computer di casa. Questi sistemi operativi utilizzano livelli di privilegio in modalità protetta, ma non eseguono controlli aggiuntivi e non supportano i sistemi di descrittori di sicurezza. Di conseguenza, qualsiasi applicazione può accedere all'intera quantità di RAM disponibile sia in lettura che in scrittura. Sono presenti misure di sicurezza della rete, tuttavia la loro attuazione non è all'altezza. Inoltre, nella versione di Windows 95 è stato commesso un errore fondamentale, che ha permesso di portare da remoto in pochi pacchetti ad un “blocco” del computer, che ha minato in modo significativo anche la reputazione dell'OS; nelle versioni successive, sono stati fatti molti passi per migliorare la sicurezza della rete di questo clone.
La generazione di sistemi operativi Windows NT, 2000 è già uno sviluppo molto più affidabile di MicroSoft. Sono veri e propri sistemi multiutente che proteggono in modo affidabile i file di vari utenti sul disco rigido (tuttavia, la crittografia dei dati non viene ancora eseguita e i file possono essere letti senza problemi avviando da un disco di un altro sistema operativo, ad esempio MS -DOS). Questi sistemi operativi utilizzano attivamente le capacità della modalità protetta dei processori Intel e possono proteggere in modo affidabile i dati e il codice di processo da altri programmi, a meno che non vogliano fornire loro un accesso aggiuntivo dall'esterno del processo.
In un lungo periodo di sviluppo, sono stati presi in considerazione molti diversi attacchi di rete e bug di sicurezza. Sono state apportate correzioni sotto forma di blocchi di aggiornamenti (service pack in inglese).
Un altro ramo di cloni cresce dal sistema operativo UNIX. Questo sistema operativo è stato originariamente sviluppato come rete e multiutente e quindi conteneva immediatamente strumenti per la sicurezza delle informazioni. Quasi tutti i cloni UNIX diffusi hanno fatto molta strada nello sviluppo e, poiché sono stati modificati, hanno tenuto conto di tutti i metodi di attacco scoperti durante questo periodo. Abbastanza dimostrato: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Naturalmente, tutto quanto sopra si applica alle ultime versioni di questi sistemi operativi. Gli errori principali in questi sistemi non sono più legati al kernel, che funziona perfettamente, ma alle utilità di sistema e applicative. La presenza di errori in essi spesso porta alla perdita dell'intero margine di sicurezza del sistema.
Componenti principali:
Amministratore locale della sicurezza - è responsabile dell'accesso non autorizzato, controlla l'autorizzazione dell'utente ad accedere al sistema, supporta:
Audit - verifica della correttezza delle azioni dell'utente
Account Manager - supporto per il database degli utenti delle loro azioni e interazione con il sistema.
Security monitor: verifica se l'utente dispone di diritti di accesso sufficienti all'oggetto
Registro di controllo: contiene informazioni sugli accessi degli utenti, i record funzionano con file e cartelle.
Pacchetto di autenticazione: analizza i file di sistema per verificare se sono stati sostituiti. MSV10 è il pacchetto predefinito.
Windows XP ha aggiunto:
è possibile assegnare password per le copie archiviate
protezione dalla sostituzione dei file
sistema di differenziazione ... inserendo una password e creando un account utente. L'archiviazione può essere effettuata da un utente che dispone di tali diritti.
NTFS: controllo dell'accesso a file e cartelle
In XP e 2000 - una differenziazione più completa e profonda dei diritti di accesso degli utenti.
EFS: fornisce crittografia e decrittografia delle informazioni (file e cartelle) per limitare l'accesso ai dati.
La crittografia è la scienza della protezione dei dati. Sta cercando soluzioni a quattro importanti problemi di sicurezza: riservatezza, autenticazione, integrità e controllo dei partecipanti all'interazione. La crittografia è la trasformazione dei dati in una forma illeggibile utilizzando chiavi di crittografia-decrittografia. La crittografia consente di mantenere la riservatezza mantenendo segrete le informazioni a coloro a cui non sono destinate.
La crittografia è impegnata nella ricerca e nello studio di metodi matematici per trasformare le informazioni.
La crittografia moderna comprende quattro sezioni principali:
crittosistemi simmetrici;
crittosistemi a chiave pubblica;
sistemi di firma elettronica;
gestione delle chiavi.
Le principali direzioni di utilizzo dei metodi crittografici sono la trasmissione di informazioni riservate tramite canali di comunicazione (ad esempio e-mail), l'autenticazione dei messaggi trasmessi, l'archiviazione di informazioni (documenti, database) su supporti crittografati.
Un disco crittografato è un file contenitore che può contenere altri file o programmi (possono essere installati ed eseguiti direttamente da questo file crittografato). Questo disco è disponibile solo dopo aver inserito la password per il file contenitore, quindi sul computer viene visualizzato un altro disco, riconosciuto dal sistema come logico e lavorare con esso non è diverso dal lavorare con qualsiasi altro disco. Dopo aver scollegato l'unità, l'unità logica scompare, diventa semplicemente "invisibile".
Ad oggi, i programmi più comuni per la creazione di dischi crittografati sono DriveCrypt, BestCrypt e PGPdisk. Ognuno di loro è protetto in modo affidabile dall'hacking remoto.
Tutte le modifiche alle informazioni nel file contenitore si verificano prima nella RAM, ad es. il disco rigido rimane sempre crittografato. Anche se il computer si blocca, i dati segreti rimangono crittografati;
I programmi possono bloccare un'unità logica nascosta dopo un certo periodo di tempo;
Tutti diffidano dei file temporanei (file di scambio). È possibile crittografare tutte le informazioni riservate che potrebbero entrare nel file di scambio. Un metodo molto efficace per nascondere le informazioni memorizzate in un file di scambio è disattivarlo del tutto, senza dimenticare di aumentare la RAM del computer;
La fisica di un disco rigido è tale che anche se si sovrascrivono alcuni dati con altri, il record precedente non verrà completamente cancellato. Con l'aiuto della moderna microscopia magnetica (Magnetic Force Microscopy - MFM), possono ancora essere ripristinati. Con questi programmi è possibile eliminare in modo sicuro i file dal disco rigido senza lasciare traccia della loro esistenza;
Tutti e tre i programmi memorizzano i dati sensibili in forma altamente crittografata sul disco rigido e forniscono un accesso trasparente a questi dati da qualsiasi programma applicativo;
Proteggono i file contenitore crittografati dall'eliminazione accidentale;
Fanno un ottimo lavoro con Trojan e virus.
Prima di accedere al VS, l'utente deve identificarsi e i meccanismi di sicurezza della rete quindi autenticano l'utente, ovvero controllano se l'utente è davvero chi afferma di essere. Secondo il modello logico del meccanismo di protezione, gli aeromobili si trovano su un computer funzionante, al quale l'utente è collegato tramite il suo terminale o in altro modo. Pertanto, le procedure di identificazione, autenticazione e abilitazione vengono eseguite all'inizio di una sessione sulla workstation locale.
Successivamente, quando vengono stabiliti protocolli di rete diversi e prima di ottenere l'accesso alle risorse di rete, le procedure di identificazione, autenticazione e abilitazione possono essere riabilitate su alcune workstation remote per ospitare le risorse oi servizi di rete richiesti.
Quando un utente accede a un sistema informatico utilizzando un terminale, il sistema richiede il nome e il numero di identificazione. In base alle risposte dell'utente, il sistema informatico identifica l'utente. In una rete, è più naturale che gli oggetti che stabiliscono una connessione reciproca si identifichino a vicenda.
Le password sono solo un modo per autenticarsi. Ci sono altri modi:
1. Informazioni predefinite a disposizione dell'utente: password, numero di identificazione personale, accordo sull'uso di frasi codificate speciali.
2. Elementi hardware a disposizione dell'utente: chiavi, tessere magnetiche, microcircuiti, ecc.
3. Caratteristiche personali caratteristiche dell'utente: impronte digitali, pattern retinico, dimensioni corporee, timbro vocale e altre proprietà mediche e biochimiche più complesse.
4. Tecniche caratteristiche e caratteristiche del comportamento dell'utente in tempo reale: caratteristiche della dinamica, stile di lavoro sulla tastiera, velocità di lettura, capacità di utilizzo di manipolatori, ecc.
5. Abitudini: l'uso di spazi informatici specifici.
6. Competenze e conoscenze dell'utente dovute a istruzione, cultura, formazione, background, educazione, abitudini, ecc.
Se qualcuno desidera accedere al sistema informatico tramite un terminale o eseguire un lavoro batch, il sistema informatico deve autenticare l'utente. L'utente stesso, di regola, non verifica l'autenticità del sistema informatico. Se la procedura di autenticazione è unidirezionale, tale procedura è chiamata procedura di autenticazione dell'oggetto unidirezionale.
Gli strumenti software specializzati per la protezione delle informazioni dall'accesso non autorizzato hanno generalmente capacità e caratteristiche migliori rispetto agli strumenti del sistema operativo di rete integrati. Oltre ai programmi di crittografia, sono disponibili molti altri strumenti di sicurezza delle informazioni esterni. Tra i più frequentemente citati, si segnalano i seguenti due sistemi che consentono di limitare i flussi informativi.
Firewall - firewall (letteralmente firewall - un muro infuocato). Tra le reti locali e globali vengono creati speciali server intermedi, che ispezionano e filtrano tutto il traffico di rete/strato di trasporto che li attraversa. Ciò consente di ridurre drasticamente la minaccia di accesso non autorizzato dall'esterno alle reti aziendali, ma non elimina completamente questo pericolo. Una versione più sicura del metodo è il metodo mascherato, quando tutto il traffico in uscita dalla rete locale viene inviato per conto del server firewall, rendendo la rete locale quasi invisibile.
Proxy-server (delega - procura, persona autorizzata). Tutto il traffico del livello di rete/trasporto tra le reti locali e globali è completamente vietato: semplicemente non esiste alcun routing in quanto tale e le chiamate dalla rete locale alla rete globale avvengono tramite speciali server intermedi. Ovviamente, con questo metodo, l'accesso dalla rete globale alla rete locale diventa in linea di principio impossibile. È anche ovvio che questo metodo non fornisce una protezione sufficiente contro gli attacchi a livelli superiori, ad esempio a livello di applicazione (virus, codice Java e JavaScript).
Diamo un'occhiata più da vicino a come funziona il firewall. È un metodo per proteggere una rete dalle minacce alla sicurezza di altri sistemi e reti centralizzando e controllando l'accesso alla rete tramite hardware e software. Un firewall è una barriera di sicurezza costituita da diversi componenti (ad esempio, un router o un gateway che esegue il software firewall). Il firewall è configurato in base alla politica di controllo dell'accesso alla rete interna dell'organizzazione. Tutti i pacchetti in entrata e in uscita devono passare attraverso un firewall che consente il passaggio solo dei pacchetti autorizzati.
Un firewall per il filtraggio dei pacchetti è un router o un computer che esegue un software configurato per rifiutare determinati tipi di pacchetti in entrata e in uscita. Il filtraggio dei pacchetti si basa sulle informazioni contenute nelle intestazioni dei pacchetti TCP e IP (indirizzi del mittente e di destinazione, i relativi numeri di porta, ecc.).
Firewall di livello esperto: controlla il contenuto dei pacchetti ricevuti a tre livelli del modello OSI: rete, sessione e applicazione. Per eseguire questa attività, vengono utilizzati speciali algoritmi di filtraggio dei pacchetti per confrontare ciascun pacchetto con un modello noto di pacchetti autorizzati.
La creazione di un firewall si riferisce alla risoluzione del problema della schermatura. La dichiarazione formale del problema dello screening è la seguente. Siano presenti due insiemi di sistemi informativi. Uno schermo è un mezzo per delimitare l'accesso dei client da un set ai server di un altro set. Lo schermo svolge le sue funzioni controllando tutti i flussi di informazioni tra due insiemi di sistemi (Fig. 6). Il controllo del flusso consiste nel filtrarli, eventualmente con alcune trasformazioni.
Riso. 6. Lo schermo come mezzo di controllo degli accessi.
Al livello di dettaglio successivo, lo schermo (membrana semipermeabile) può essere convenientemente rappresentato come una serie di filtri. Ciascuno dei filtri, dopo aver analizzato i dati, può ritardarli (non perderli) oppure "buttarli" immediatamente fuori dallo schermo. Inoltre è possibile trasformare i dati, trasferire una parte dei dati al filtro successivo per ulteriori analisi, oppure elaborare i dati per conto del destinatario e restituire il risultato al mittente (Fig. 7).
Riso. 7. Schermo come una sequenza di filtri.
Oltre alle funzioni di controllo accessi, le schermate registrano lo scambio di informazioni.
Di solito lo schermo non è simmetrico, per esso vengono definiti i concetti "dentro" e "esterno". In questo caso, il compito di schermatura è formulato come proteggere l'area interna da una esterna potenzialmente ostile. Pertanto, i firewall (ME) vengono spesso installati per proteggere la rete aziendale di un'organizzazione che ha accesso a Internet.
La schermatura aiuta a mantenere la disponibilità dei servizi nell'area interna riducendo o eliminando il sovraccarico causato dalle attività esterne. La vulnerabilità dei servizi di sicurezza interni è ridotta, poiché l'attaccante deve prima passare attraverso lo schermo, dove i meccanismi di protezione sono configurati in modo particolarmente accurato. Inoltre il sistema di schermatura, a differenza di quello universale, può essere disposto in maniera più semplice e, quindi, più sicura.
La schermatura consente inoltre di controllare i flussi informativi diretti all'area esterna, contribuendo a mantenere il regime di riservatezza nel SI dell'organizzazione.
La schermatura può essere parziale, proteggendo alcuni servizi di informazione (es. schermatura e-mail).
Un'interfaccia di delimitazione può anche essere considerata come una sorta di evasione. Un oggetto invisibile è difficile da attaccare, specialmente con un set fisso di strumenti. In questo senso, l'interfaccia Web è naturalmente sicura, soprattutto quando i documenti ipertestuali vengono generati dinamicamente. Ogni utente vede solo ciò che dovrebbe vedere. È possibile tracciare un'analogia tra documenti ipertestuali generati dinamicamente e rappresentazioni in database relazionali, con il significativo avvertimento che nel caso del Web le possibilità sono molto più ampie.
Il ruolo di protezione di un servizio Web si manifesta chiaramente anche quando questo servizio svolge funzioni di intermediario (più precisamente, di integrazione) quando si accede ad altre risorse, come le tabelle di database. Non solo controlla il flusso delle richieste, ma nasconde anche la reale organizzazione dei dati.
Non è possibile combattere le minacce insite nell'ambiente di rete utilizzando sistemi operativi universali. Il sistema operativo universale è un enorme software che, oltre a bug evidenti, contiene probabilmente alcune funzionalità che possono essere utilizzate per ottenere privilegi illegalmente. La moderna tecnologia di programmazione non consente di mettere in sicurezza programmi così grandi. Inoltre, un amministratore che si occupa di un sistema complesso non è sempre in grado di tenere conto di tutte le conseguenze delle modifiche apportate. Infine, in un sistema multiutente universale, le falle di sicurezza sono costantemente create dagli utenti stessi (password deboli e/o modificate di rado, diritti di accesso impostati male, terminale non presidiato, ecc.). L'unico percorso promettente è quello legato allo sviluppo di servizi di sicurezza specializzati, che per la loro semplicità consentono verifiche formali o informali. Il firewall è proprio uno strumento di questo tipo che consente un'ulteriore scomposizione associata al mantenimento di vari protocolli di rete.
Il firewall si trova tra la rete protetta (interna) e l'ambiente esterno (reti esterne o altri segmenti della rete aziendale). Nel primo caso si parla di un ME esterno, nel secondo di un ME interno. A seconda del proprio punto di vista, un firewall esterno può essere considerato la prima o l'ultima (ma non l'unica) linea di difesa. Il primo - se guardi il mondo attraverso gli occhi di un intruso esterno. L'ultimo: se ti sforzi di proteggere tutti i componenti della rete aziendale e prevenire azioni illegali degli utenti interni.
Il firewall è un luogo ideale per incorporare strumenti di auditing attivi. Da un lato, sia sulla prima che sull'ultima linea difensiva, l'individuazione di attività sospette è a suo modo importante. D'altra parte, il ME è in grado di attuare una reazione arbitrariamente potente ad attività sospette, fino a rompere il collegamento con l'ambiente esterno. È vero, bisogna essere consapevoli che la connessione di due servizi di sicurezza può, in linea di principio, creare un divario che facilita gli attacchi all'accessibilità.
Si consiglia di assegnare al firewall l'identificazione/autenticazione degli utenti esterni che necessitano di accedere alle risorse aziendali (con supporto al concetto di single sign-on).
A causa dei principi di difesa in profondità, la schermatura in due pezzi è comunemente usata per proteggere le connessioni esterne (vedi Figura 8). Il filtraggio primario (ad esempio, il blocco dei pacchetti del protocollo di gestione SNMP pericolosi per gli attacchi di accessibilità, o i pacchetti con determinati indirizzi IP inclusi nella "lista nera") è effettuato dal router di frontiera (vedi anche paragrafo successivo), dietro il quale si trova la cosiddetta zona demilitarizzata (una rete con sicurezza moderata, in cui sono collocati i servizi informativi esterni dell'organizzazione (Web, e-mail, ecc.) e il firewall principale a protezione della parte interna della rete aziendale.
In teoria, un firewall (soprattutto interno) dovrebbe essere multiprotocollo, ma in pratica la famiglia di protocolli TCP/IP è così dominante che il supporto per altri protocolli sembra essere un sovraccarico che è dannoso per la sicurezza (più complesso è il servizio, più è vulnerabile).
Riso. 8. Schermatura bicomponente con zona demilitarizzata.
In generale, sia il firewall esterno che quello interno possono diventare un collo di bottiglia poiché la quantità di traffico di rete tende a crescere rapidamente. Uno degli approcci per risolvere questo problema consiste nel dividere il ME in diverse parti hardware e nell'organizzare server intermediari specializzati. Il firewall principale può classificare approssimativamente il traffico in entrata per tipo e delegare il filtraggio agli intermediari appropriati (ad esempio, un intermediario che analizza il traffico HTTP). Il traffico in uscita viene prima elaborato da un server intermedio, che può anche svolgere azioni funzionalmente utili, come la memorizzazione nella cache di pagine di server Web esterni, che riduce il carico sulla rete in generale e sul firewall principale in particolare.
Le situazioni in cui la rete aziendale contiene un solo canale esterno sono l'eccezione piuttosto che la regola. Al contrario, una situazione tipica è quando una rete aziendale è composta da più segmenti geograficamente dispersi, ciascuno dei quali è connesso a Internet. In questo caso ogni connessione deve essere protetta da un proprio schermo. Più precisamente, possiamo considerare che il firewall esterno aziendale è composito, ed è necessario per risolvere il problema dell'amministrazione coordinata (gestione e audit) di tutte le componenti.
L'opposto dei firewall aziendali compositi (o dei loro componenti) sono i firewall personali e i dispositivi di schermatura personale. I primi sono prodotti software che vengono installati sui personal computer e li proteggono solo. Questi ultimi sono implementati sui singoli dispositivi e proteggono una piccola rete locale, come una rete di home office.
Quando si implementano i firewall, è necessario seguire i principi della sicurezza dell'architettura di cui abbiamo discusso in precedenza, occupandosi principalmente della semplicità e gestibilità, della difesa in profondità e anche dell'impossibilità di passare a uno stato non sicuro. Inoltre, è necessario tenere conto non solo delle minacce esterne, ma anche interne.
Sistemi di archiviazione e duplicazione delle informazioni
L'organizzazione di un sistema di archiviazione dei dati affidabile ed efficiente è uno dei compiti più importanti per garantire la sicurezza delle informazioni sulla rete. Nelle piccole reti in cui sono installati uno o due server, viene spesso utilizzata l'installazione del sistema di archiviazione direttamente negli slot liberi dei server. Nelle grandi reti aziendali, è preferibile organizzare un server di archiviazione specializzato dedicato.
Tale server archivia automaticamente le informazioni dai dischi rigidi di server e workstation all'ora specificata dall'amministratore della rete locale, emettendo un rapporto sul backup.
La conservazione delle informazioni d'archivio di particolare valore dovrebbe essere organizzata in un'apposita stanza sicura. Gli esperti raccomandano di archiviare archivi duplicati dei dati più preziosi in un altro edificio in caso di incendio o calamità naturale. Per garantire il ripristino dei dati in caso di guasto dei dischi magnetici, i sistemi di array di dischi vengono spesso utilizzati di recente: gruppi di dischi che operano come un unico dispositivo conforme allo standard RAID (Redundant Arrays of Inexpensive Disks). Questi array offrono la massima velocità di scrittura/lettura dei dati, la possibilità di ripristinare completamente i dati e sostituire i dischi guasti in modalità "caldo" (senza spegnere il resto dei dischi nell'array).
L'organizzazione dei disk array prevede diverse soluzioni tecniche implementate a più livelli:
Il livello RAID 0 divide semplicemente il flusso di dati su due o più unità. Il vantaggio di questa soluzione è che la velocità di I/O aumenta in proporzione al numero di dischi utilizzati nell'array.
Il livello RAID 1 consiste nell'organizzazione dei cosiddetti dischi "mirror". Durante la registrazione dei dati, le informazioni del disco principale del sistema vengono duplicate sul disco mirror e, se il disco principale si guasta, quello "mirror" si accende immediatamente.
I livelli RAID 2 e 3 prevedono la creazione di array di dischi paralleli, quando scritti su cui i dati vengono distribuiti su dischi a livello di bit.
I livelli RAID 4 e 5 sono una modifica del livello zero, in cui il flusso di dati viene distribuito sui dischi dell'array. La differenza è che al livello 4 viene allocato un disco speciale per la memorizzazione delle informazioni ridondanti e al livello 5 le informazioni ridondanti vengono distribuite su tutti i dischi dell'array.
L'aumento dell'affidabilità e della protezione dei dati nella rete, basato sull'uso di informazioni ridondanti, è implementato non solo a livello di singoli elementi di rete, come gli array di dischi, ma anche a livello di sistemi operativi di rete. Ad esempio, Novell implementa versioni a tolleranza d'errore del sistema operativo Netware - SFT (System Fault Tolerance):
SFT Livello I. Il primo livello prevede la creazione di copie aggiuntive di FAT e Directory Entries Table, la verifica immediata di ogni nuovo blocco dati scritto sul file server e la prenotazione di circa il 2% del volume del disco su ciascun disco rigido .
SFT Level II conteneva inoltre la possibilità di creare dischi "mirror", nonché la duplicazione di controller di dischi, alimentatori e cavi di interfaccia.
La versione SFT Livello III consente l'utilizzo di server duplicati nella rete locale, di cui uno è il "master", ed il secondo, contenente una copia di tutte le informazioni, entra in funzione in caso di guasto del "master" server.
Il servizio di analisi della sicurezza è progettato per identificare le vulnerabilità al fine di eliminarle rapidamente. Di per sé, questo servizio non protegge da nulla, ma aiuta a rilevare (e correggere) le lacune di sicurezza prima che un utente malintenzionato possa sfruttarle. In primo luogo, non intendo quelle architettoniche (difficile eliminarle), ma le lacune "operative" comparse a seguito di errori di amministrazione o per disattenzione nell'aggiornamento delle versioni software.
I sistemi di analisi della sicurezza (chiamati anche scanner di sicurezza), come gli strumenti di audit attivi discussi sopra, si basano sull'accumulo e sull'uso della conoscenza. In questo caso, intendiamo la conoscenza delle lacune di sicurezza: come cercarle, quanto sono gravi e come risolverle.
Di conseguenza, il nucleo di tali sistemi è la base delle vulnerabilità, che determina la gamma di capacità disponibili e richiede un aggiornamento quasi costante.
In linea di principio si possono rilevare lacune di natura molto diversa: presenza di malware (in particolare virus), password utente deboli, sistemi operativi mal configurati, servizi di rete non sicuri, patch disinstallate, vulnerabilità nelle applicazioni, ecc. Tuttavia, i più efficaci sono gli scanner di rete (ovviamente per il predominio della famiglia di protocolli TCP/IP), così come gli strumenti antivirus. Classifichiamo la protezione antivirus come uno strumento di analisi della sicurezza, non considerandolo un servizio di sicurezza separato.
Gli scanner possono identificare le vulnerabilità sia attraverso l'analisi passiva, ovvero studiando i file di configurazione, le porte coinvolte, ecc., sia simulando le azioni di un utente malintenzionato. Alcune vulnerabilità rilevate possono essere riparate automaticamente (ad esempio, la disinfezione dei file infetti), altre vengono segnalate all'amministratore.
Il controllo fornito dai sistemi di analisi della sicurezza è di natura reattiva, ritardata, non protegge da nuovi attacchi, tuttavia, va ricordato che la difesa deve essere stratificata e, come una delle frontiere, il controllo della sicurezza è abbastanza adeguato. È noto che la stragrande maggioranza degli attacchi è di routine; sono possibili solo perché le falle di sicurezza note rimangono senza patch per anni.
3.1 Caratteristiche dell'impresa e della rete aziendale
Il gruppo di società Vestel riunisce 19 società specializzate nello sviluppo, produzione, commercializzazione e distribuzione di elettronica di consumo, piccoli e grandi elettrodomestici. Essendo uno dei leader nel mercato dell'elettronica e degli elettrodomestici in Europa, l'azienda ha uffici di rappresentanza in Francia, Spagna, Germania, Belgio, Lussemburgo, Italia, Gran Bretagna, Olanda, Romania, Taiwan, Hong Kong, Finlandia e Stati Uniti . Anche le strutture di produzione e ricerca e sviluppo sono concentrate in molte regioni del mondo. Al momento, Vestel Group fa parte della grande holding transnazionale Zorlu, con sede a Istanbul (Turchia).
Lo stabilimento di Alexandrov è stato installato nel novembre 2002 e nel novembre 2003 è iniziata la produzione di televisori. Nel 2006 è stata realizzata un'officina per la produzione di lavatrici e frigoriferi. Al momento, vengono presentati sul mercato russo cinescopi, televisori a cristalli liquidi e plasma, lavatrici, frigoriferi, stufe. L'impianto utilizza le più moderne tecnologie di assemblaggio e sistemi di controllo qualità completamente automatizzati.
Il numero dei dipendenti supera le 700 persone (di cui circa 500 sono lavoratori).
L'impresa non dispone di informazioni che costituiscono un segreto di stato, ma sono in corso lavori con segreti commerciali e ufficiali.
L'azienda dispone di una propria rete locale, il cui accesso è disponibile solo per i dipendenti di Vestel. Nella maggior parte dei casi, è possibile accedere solo a un numero limitato di siti di questa rete, necessari nel corso del lavoro. Le informazioni su ciascun accesso alla rete vengono registrate dall'amministratore di sistema. Questo vale anche per Internet.
Il numero di postazioni in rete è 27. Sono raggruppate in diversi gruppi di lavoro:
direttore dell'impresa - 1 workstation;
Reparto n. 1 - 2 postazioni di lavoro;
segreteria - 1 postazione di lavoro;
reparti 1, 2 e 3 del reparto n. 2 rispettivamente con 3, 2 e 4 postazioni;
reparti 4 e 5 del reparto n. 3, 3 e 4 postazioni di lavoro ciascuno;
reparto 6 del reparto n. 4 - 3 postazioni di lavoro;
Reparto n. 5 - 4 postazioni di lavoro;
Reparto n. 6 - 4 postazioni di lavoro.
L'intera rete si trova su un piano dell'edificio amministrativo.
La pianta dei locali in cui si trovano le workstation e il server è presentata nell'Appendice B.
La rete, come mostrato in Fig. 9 ha una topologia a stella.
La topologia a stella è una struttura più produttiva, ogni computer, incluso il server, è collegato da un segmento di cavo separato a un hub centrale (HAB).
Il principale vantaggio di tale rete è la sua resistenza ai guasti che si verificano a causa di malfunzionamenti sui singoli PC oa causa di danni al cavo di rete.
Il metodo di accesso utilizzato è CSMA/CD. È questo metodo di accesso utilizzato dall'architettura di rete Ethernet utilizzata nell'azienda. La rete è basata su doppino intrecciato (10Base-T) che utilizza il cavo Siemon UTP (Unshielded Twisted Pair) di categoria 5, lo standard internazionale del sistema di cablaggio.
I sistemi operativi utilizzati sono Windows 2000 (sulle workstation) e Windows 2003 Server.
Riso. 9. Topologia della rete aziendale.
L'azienda ha sviluppato le seguenti misure per proteggere le informazioni:
E' stato concluso un accordo sulla tutela dei locali e del territorio (è in vigore il regime di accesso);
Sono stati sviluppati il regime e le regole di sicurezza antincendio;
Modalità di videosorveglianza a pavimento;
Sono state sviluppate le job description dei dipendenti, delimitandone diritti e doveri;
Accordi aggiuntivi ai contratti di lavoro dei dipendenti sulla non divulgazione di informazioni riservate da parte degli stessi, disciplinando la responsabilità in materia di protezione delle informazioni;
Istruzioni per la protezione del perimetro, per il funzionamento del sistema di allarme di sicurezza e di videosorveglianza;
Regolamento sul flusso dei documenti riservati;
Descrizione del processo tecnologico di elaborazione CI;
Sistema di protezione antivirus installato sulle postazioni di lavoro;
L'accesso all'AWP è limitato da password.
Il supporto legale del sistema di protezione delle informazioni riservate include una serie di documentazione interna normativa e organizzativa, che include documenti aziendali come:
Contratto collettivo di lavoro;
Contratti di lavoro con i dipendenti dell'impresa;
Regolamenti interni dei dipendenti dell'impresa;
Responsabilità lavorative di dirigenti, specialisti e dipendenti dell'impresa.
Istruzioni per utenti di reti e banche dati informatiche;
Istruzioni dei dipendenti preposti alla protezione delle informazioni;
Un promemoria per il dipendente sulla conservazione di segreti commerciali o di altro tipo;
Obblighi contrattuali.
Senza approfondire il contenuto dei documenti elencati, possiamo affermare che tutti, a seconda del loro principale scopo normativo o legale, indicano i requisiti, le norme o le regole per garantire il livello necessario di sicurezza delle informazioni dell'impresa, rivolti principalmente al personale e gestione.
Il supporto legale consente di risolvere molte questioni controverse che inevitabilmente sorgono nel processo di scambio di informazioni a vari livelli, dalla comunicazione vocale alla trasmissione di dati nelle reti di computer. Inoltre, è in corso di formazione un sistema di provvedimenti amministrativi legalmente formalizzato che consente di applicare sanzioni o sanzioni ai trasgressori della politica di sicurezza interna, nonché di stabilire condizioni abbastanza chiare per garantire la riservatezza delle informazioni utilizzate o generate nel corso di cooperazione tra entità economiche, l'adempimento dei loro obblighi contrattuali, l'attuazione di attività congiunte, ecc. Allo stesso tempo, le parti che non rispettano queste condizioni sono responsabili nell'ambito sia previsto dalle pertinenti clausole dei documenti tra le parti (contratti, accordi, contratti, ecc.) sia dal diritto russo.
I principali oggetti di protezione sono:
Postazione di lavoro dei dipendenti;
server LAN;
Informazioni riservate (documenti);
Uffici del direttore generale, ingegnere capo e capo tecnologo;
Armadi con documenti riservati.
Windows 2003 Server dispone di funzionalità di sicurezza integrate nel sistema operativo. I più significativi di essi sono discussi di seguito.
Monitorare l'attività di rete.
Windows 2003 Server fornisce molti strumenti per il monitoraggio dell'attività di rete e dell'utilizzo della rete. Il sistema operativo consente:
visualizzare il server e vedere quali risorse utilizza;
vedere gli utenti attualmente connessi al server e vedere quali file hanno aperto;
controllare i dati nel registro di sicurezza;
controllare le voci nel registro eventi;
Specificare di quali errori l'amministratore deve essere avvisato se si verificano.
Avvio di una sessione su una workstation
Ogni volta che un utente avvia una sessione su una workstation, la schermata di accesso richiede un nome utente, una password e un dominio. La workstation invia quindi il nome utente e la password al dominio per l'autenticazione. Il server nel dominio controlla il nome utente e la password rispetto al database della scheda ID utente del dominio. Se il nome utente e la password sono identici alla scheda di accesso, il server notifica alla workstation che la sessione è stata avviata. Il server carica anche altre informazioni all'avvio di una sessione utente, come le impostazioni dell'utente, la sua directory e le variabili di ambiente.
Per impostazione predefinita, non tutte le carte conto in un dominio ti consentono di accedere. Solo le schede per i gruppi Amministratori, Operatori server, Operatori controllo stampa, Operatori controllo scheda account e Operatori controllo backup possono eseguire questa operazione.
Tutti gli utenti della rete aziendale hanno il proprio nome e password (ulteriori informazioni su questo nella prossima sezione del WRC).
Carte d'identità utente
Ciascun client che utilizza la rete dispone di un account utente nel dominio di rete. La scheda ID utente contiene informazioni sull'utente, inclusi nome, password e restrizioni sull'utilizzo della rete imposte all'utente. Le schede indice consentono di raggruppare in gruppi gli utenti che dispongono di risorse simili; i gruppi semplificano la concessione di diritti e autorizzazioni alle risorse, basta un'azione per concedere diritti o autorizzazioni all'intero gruppo.
L'Appendice B mostra il contenuto della carta conto dell'utente.
Registro eventi di sicurezza
Windows 2003 Server consente di definire ciò che verrà rivisto e scritto nel registro eventi di sicurezza ogni volta che vengono eseguite determinate azioni o si accede ai file. L'elemento di revisione mostra l'azione eseguita, l'utente che l'ha eseguita e la data e l'ora dell'azione. Ciò consente di controllare i tentativi riusciti e non riusciti di qualsiasi azione.
Il registro degli eventi di sicurezza per gli ambienti aziendali è un must, poiché se si tenta una violazione della rete, è possibile risalire all'origine.
In effetti, vengono registrati solo gli utenti e gli eventi sospetti. Poiché se tutti gli eventi vengono registrati, molto probabilmente il volume delle informazioni di registrazione aumenterà troppo rapidamente e la sua analisi efficace diventerà impossibile. La sorveglianza è importante soprattutto come misura preventiva. C'è da sperare che molti si astengano dal violare la sicurezza, sapendo che le loro azioni vengono registrate.
Diritti dell'utente
I diritti utente definiscono i tipi di azioni consentite per quell'utente. Le azioni basate sui diritti includono l'accesso al computer locale, lo spegnimento, l'impostazione dell'ora, la copia e il ripristino dei file del server e l'esecuzione di altre attività.
In un dominio Windows 2003 Server, i diritti sono concessi e limitati a livello di dominio; se il gruppo si trova direttamente in un dominio, i membri hanno diritti su tutti i controller di dominio primari e di backup.
Ogni utente dell'azienda deve avere i propri diritti di accesso alle informazioni, il permesso di copiare e ripristinare i file.
Impostazione della password e politica della scheda indice
Il dominio definisce tutti gli aspetti della politica delle password: una lunghezza minima della password di 6 caratteri, un'età minima e massima della password e un'esclusività della password che impedisce a un utente di modificare la propria password con una password utilizzata di recente dall'utente.
È inoltre possibile definire altri aspetti della polizza delle carte indicizzate:
In caso di blocco della carta conto;
Se gli utenti devono essere disconnessi forzatamente dal server dopo l'orario di inizio della sessione;
Se gli utenti devono essere in grado di accedere per modificare la propria password.
Quando il blocco della carta dell'account è abilitato, la carta dell'account viene bloccata in caso di più tentativi non riusciti di avviare una sessione utente e non più di un certo periodo di tempo tra due tentativi non riusciti di avviare una sessione. Le carte conto bloccate non possono essere utilizzate per accedere.
Se gli utenti vengono disconnessi forzatamente dai server quando la loro sessione è scaduta, ricevono un avviso appena prima della fine del periodo di sessione impostato. Se gli utenti non si disconnettono dalla rete, il server forzerà la disconnessione. Tuttavia, l'utente non verrà disconnesso dalla workstation. Le ore di sessione in azienda non sono stabilite, poiché tutti i dipendenti sono interessati ad attività di successo e spesso alcuni rimangono a fare gli straordinari o nei fine settimana.
Se all'utente viene richiesto di modificare la password, quando non lo ha fatto con una password scaduta, non sarà in grado di modificare la propria password. Se la password scade, l'utente deve contattare l'amministratore di sistema per assistenza nella modifica della password per poter accedere nuovamente alla rete. Se l'utente non ha effettuato l'accesso ed è ora di modificare la password, verrà avvisato di modificare la password non appena accede.
File system crittografato EFS
Windows 2000 offre la possibilità di proteggere ulteriormente i file e le cartelle crittografati su volumi NTFS tramite l'utilizzo di Encrypting File System (EFS). Quando si lavora in un ambiente Windows 2000, è possibile lavorare solo con i volumi per i quali si dispone dei diritti di accesso.
Quando si utilizza il file system crittografato EFS, è possibile avere file e cartelle i cui dati verranno crittografati utilizzando una coppia di chiavi. Qualsiasi utente che desidera accedere a un determinato file deve disporre di una chiave privata con la quale i dati del file verranno decrittografati. Il sistema EFS fornisce anche uno schema di protezione dei file nell'ambiente Windows 2000. Tuttavia, l'azienda non utilizza questa funzionalità poiché le prestazioni del sistema vengono ridotte quando viene utilizzata la crittografia.
Gli aspetti organizzativi e legali della protezione delle informazioni dall'accesso non autorizzato e le capacità di Windows 2000 in questo senso sono già stati indicati in precedenza. Ora mi soffermerò un po' di più su altri aspetti.
Le informazioni che circolano nella rete aziendale sono molto diverse. Tutte le risorse informative sono divise in tre gruppi:
Risorse di rete condivise;
Risorse informative del file server;
Risorse informative del DBMS.
Ogni gruppo contiene un numero di nomi di risorse informative, che a loro volta hanno un codice individuale, livello di accesso, posizione di rete, proprietario, ecc.
Queste informazioni sono importanti per l'azienda e i suoi clienti, quindi devono essere ben protette.
Chiavi elettroniche
Tutti i computer che funzionano con informazioni che costituiscono un segreto commerciale sono dotati di software e sistemi hardware aggiuntivi.
Tali complessi sono una combinazione di software e hardware per proteggere le informazioni da accessi non autorizzati.
La parte hardware di tali complessi, la cosiddetta serratura elettronica, è una scheda elettronica inserita in uno degli slot del computer e dotata di un'interfaccia per il collegamento di un lettore di chiavi elettroniche di tipo: Smart Card, Touch Memory, Proximity Card, eToken. Un tipico insieme di funzioni fornite da tali serrature elettroniche è:
Registrazione degli utenti del computer e assegnazione di identificativi personali (nomi e/o chiavi elettroniche) e password per l'accesso al sistema;
Richiesta dell'ID personale e della password di un utente all'avvio del computer. La richiesta viene effettuata dall'hardware prima del caricamento del sistema operativo;
Possibilità di bloccare l'accesso di un utente registrato;
Mantenere un registro di sistema, che registra gli eventi relativi alla sicurezza del sistema;
Controllare l'integrità dei file sul disco rigido;
Controllo dell'integrità dei settori fisici dell'hard disk;
Protezione hardware contro il caricamento non autorizzato del sistema operativo da floppy disk, CD-ROM o porte USB;
Possibilità di collaborazione con strumenti software di protezione contro accessi non autorizzati.
Tutore protezione dei dati
L'impresa utilizza una tale variante della protezione delle informazioni come protezione dei dati fiduciari. Un trustee è un utente a cui sono stati concessi privilegi o diritti di accesso alle risorse di informazioni sui file.
Ogni dipendente ha uno degli otto tipi di diritti:
Leggi - il diritto di leggere i file aperti;
Scrivi - il diritto di scrivere per aprire i file;
Apri - il diritto di aprire un file esistente;
Crea - il diritto di creare (e aprire contemporaneamente) nuovi file;
Elimina - il diritto di eliminare i file esistenti;
Parentale - Diritti dei genitori:
Il diritto di creare, rinominare, eliminare le sottodirectory di directory;
Il diritto di stabilire fiduciari e diritti nella directory;
Il diritto di stabilire fiduciari e diritti in una sottodirectory;
Cerca - il diritto di cercare nella directory;
Modifica - il diritto di modificare gli attributi del file.
Per evitare modifiche accidentali o l'eliminazione di singoli file, tutti i dipendenti utilizzano la protezione degli attributi dei file. Tale protezione si applica ai file di informazioni pubbliche che vengono generalmente letti da molti utenti. Nella protezione dei dati vengono utilizzati quattro attributi di file:
Scrivi leggi,
Solo lettura,
condivisa,
Inseparabile.
Come ho già sottolineato, tutti i computer dell'azienda sono protetti con password.
Poiché in tutti i computer dell'organizzazione sono installati Microsoft Windows 2000 e Windows Server 2003, viene utilizzata la protezione tramite password del sistema operativo, impostata dall'amministratore nel BIOS, poiché la protezione del BIOS svolge il ruolo più importante nella prevenzione dell'accesso non autorizzato ai dati del computer.
La modifica, la distruzione del BIOS di un personal computer è possibile a seguito di un ripristino non autorizzato o del funzionamento di programmi dannosi, virus.
A seconda del modello di computer, la protezione del BIOS è fornita da:
Posizionando lo switch posto sulla scheda madre in una posizione che escluda la modifica del BIOS (eseguita dal servizio di supporto tecnico del reparto automazione);
Impostando una password amministrativa nel software SETUP.
Il BIOS è protetto dal ripristino non autorizzato sigillando il case del computer con un adesivo olografico protettivo.
Vengono utilizzati due tipi di password di accesso: amministrativa e utente.
Quando si impostano le password amministrative e utente, attenersi alle seguenti regole:
La password dell'utente viene selezionata e inserita dal solo utente del computer (almeno 6 caratteri). All'amministratore della sicurezza delle informazioni è vietato conoscere la password dell'utente.
La password amministrativa (non inferiore a 8 caratteri) viene inserita dall'amministratore della sicurezza delle informazioni. All'amministratore della sicurezza delle informazioni è vietato comunicare la password amministrativa all'utente.
Nel caso in cui il computer sia dotato di protezione hardware e software contro l'accesso non autorizzato, che vieta di caricare il sistema operativo senza presentare l'identificativo personale dell'utente, la password dell'utente potrebbe non essere impostata.
Se l'esito della verifica della validità della password presentata dall'utente è positivo:
Il sistema di controllo accessi fornisce all'utente i diritti di accesso a lui assegnati;
L'utente viene registrato tramite i mezzi di registrazione integrati (se presenti).
Controllo dell'accesso a Internet
Particolare attenzione dovrebbe essere prestata all'accesso dei dipendenti dell'impresa a Internet.
In precedenza, l'accesso a Internet veniva effettuato da un luogo di lavoro specializzato chiamato Internet point. Il chiosco Internet non era connesso alla rete aziendale dell'azienda.
Nella suddivisione che gestiva il chiosco Internet, sono state effettuate le seguenti operazioni:
Giornale di contabilità dei lavori su Internet, che rifletteva: il nome completo dell'utente, la data, l'ora di inizio del lavoro, la durata del lavoro, lo scopo del lavoro, le risorse utilizzate, la firma;
Il registro degli accessi, che rifletteva: il nome completo dell'utente, i compiti per i quali gli è consentito lavorare su Internet, l'ora del lavoro e la durata massima, la firma del capo.
Ma questa pratica è stata successivamente abbandonata. Ora tutti i computer della rete aziendale hanno accesso a Internet.
La crescita della gamma e del volume dei servizi, che comporta la necessità per i reparti di scambiare informazioni con organizzazioni esterne, nonché la necessità di fornire l'accesso remoto alle informazioni attraverso i canali di comunicazione pubblica, aumenta notevolmente i rischi di accesso non autorizzato, attacchi di virus, eccetera.
3.5 Protezione antivirus
Fattori di rischio considerati
I virus possono entrare in una macchina in vari modi (attraverso la rete globale, tramite un floppy disk o un'unità flash infetti). Le conseguenze della loro penetrazione sono molto spiacevoli: dalla distruzione del file all'interruzione dell'intero computer. Basta un solo file infetto per infettare tutte le informazioni sul computer e quindi infettare l'intera rete aziendale.
Durante l'organizzazione del sistema di protezione antivirus presso l'azienda, sono stati presi in considerazione i seguenti fattori di rischio:
Funzionalità limitate dei programmi antivirus
La capacità di creare nuovi virus con l'obiettivo di contrastare specifici pacchetti antivirus e meccanismi di protezione, l'utilizzo di vulnerabilità nei software di sistema e applicativi portano al fatto che anche il totale utilizzo di strumenti antivirus con anti-virus aggiornati -virus databases non fornisce una protezione garantita contro la minaccia di infezione da virus, poiché potrebbe comparire un virus le cui procedure di protezione non sono state ancora aggiunte ai database antivirus più recenti.
Rilevamento ad alta intensità di vulnerabilità critiche nel software di sistema
La presenza di nuove vulnerabilità critiche non riparate nel software di sistema crea canali per la distribuzione di massa di nuovi virus su reti locali e globali. L'inclusione di moduli "Trojan" nella composizione dei virus, che forniscono la possibilità di controllare da remoto un computer con i massimi privilegi, crea non solo il rischio di un denial of service di massa, ma anche il rischio di furto diretto attraverso l'accesso non autorizzato all'attività bancaria automatizzata sistemi.
La necessità di pre-testare gli aggiornamenti del sistema e del software antivirus
L'installazione degli aggiornamenti senza un test preventivo crea rischi di incompatibilità tra il sistema, l'applicazione e il software antivirus e può causare malfunzionamenti. Allo stesso tempo, il test comporta ulteriori ritardi nell'installazione degli aggiornamenti e, di conseguenza, aumenta il rischio di infezione da virus.
Diversità e multipiattaforma utilizzati nei sistemi automatizzati di hardware e software
La capacità di alcuni tipi di virus di funzionare su piattaforme diverse, la capacità dei virus di riprodursi utilizzando i sistemi di posta aziendali o le reti informatiche, la mancanza di prodotti antivirus per alcune piattaforme specifiche rendono impossibile o inefficiente l'utilizzo di software antivirus in alcuni casi.
Ampia disponibilità di moderne comunicazioni mobili, dispositivi di archiviazione e supporti ad alta capacità
Le moderne comunicazioni mobili consentono a dipendenti senza scrupoli di effettuare una connessione non autorizzata di una workstation a Internet, creando così una violazione del perimetro di sicurezza della rete aziendale ed esponendo le sue risorse informative al rischio di un'infezione di massa da parte di un nuovo virus informatico. La disponibilità di dispositivi di archiviazione compatti a prezzi accessibili e il trasferimento di grandi quantità di informazioni creano le condizioni per l'uso non autorizzato di tali dispositivi e supporti per scopi personali e non produttivi. La copia non autorizzata delle informazioni ottenute da fonti non verificate sui computer aziendali aumenta notevolmente il rischio di infezione da virus.
La necessità di azioni qualificate per respingere un attacco di virus
Azioni non qualificate per respingere un attacco di virus possono portare all'aggravamento delle conseguenze dell'infezione, alla perdita parziale o completa di informazioni critiche, all'eliminazione incompleta di un'infezione virale o persino all'espansione della fonte dell'infezione.
La necessità di pianificare misure per identificare le conseguenze di un attacco di virus e ripristinare il sistema informativo interessato
In caso di impatto diretto del virus sul sistema bancario automatizzato, o nel corso di misure mediche non qualificate, le informazioni potrebbero andare perse o il software potrebbe essere distorto.
In queste condizioni, solo l'adozione di misure di sicurezza rigorose e complete per tutti i possibili tipi di minacce consentirà di controllare i rischi sempre crescenti di chiusura totale o parziale dei processi aziendali a causa di infezioni da virus.
Pacchetto Dr.Web
Dr.Web Enterprise Suite è stata scelta per la protezione antivirus. Questo pacchetto fornisce protezione centralizzata per una rete aziendale di qualsiasi dimensione. Una moderna soluzione basata sulle tecnologie Dr.Web per le reti aziendali è un complesso tecnico unico con un sistema integrato per la gestione centralizzata della protezione antivirus su scala aziendale. Dr.Web Enterprise Suite consente a un amministratore che opera sia all'interno della rete che su un computer remoto (tramite Internet) di eseguire le attività amministrative necessarie per gestire la protezione antivirus dell'organizzazione.
Caratteristiche principali:
Distribuzione rapida ed efficiente degli aggiornamenti del database dei virus e dei moduli del programma dal server Dr.Web Enterprise Suite alle workstation protette.
Minimo, rispetto a soluzioni simili di altri produttori, il traffico di rete costruito sulla base dei protocolli IP, IPX e NetBIOS con la possibilità di utilizzare algoritmi di compressione speciali.
La possibilità di installare una workstation dell'amministratore (console di gestione della protezione antivirus) praticamente su qualsiasi computer che esegue qualsiasi sistema operativo.
Il file chiave del software client e del server, per impostazione predefinita, è archiviato sul server.
Scanner Dr.Web con interfaccia grafica. Scansiona gli oggetti selezionati dall'utente sui dischi su richiesta, rileva e neutralizza i virus in memoria, controlla i file e i processi di avvio.
Guardiano residente (monitor) SpIDer Guard. Monitora tutti gli accessi ai file in tempo reale, rileva e blocca le azioni sospette dei programmi.
Filtro posta residente SPIDer Mail. Controlla in tempo reale tutti i messaggi di posta in arrivo tramite protocollo POP3 e in uscita tramite protocollo SMTP. Inoltre, fornisce un funzionamento sicuro sui protocolli IMAP4 e NNTP.
Scanner per console Dr.Web. Scansiona gli oggetti selezionati dall'utente sui dischi su richiesta, rileva e neutralizza i virus in memoria, controlla i file e i processi di avvio.
Utilità di aggiornamento automatico. Scarica gli aggiornamenti dei database dei virus e dei moduli del programma, nonché registra e fornisce una licenza o un file di chiave demo.
Agenda. Consente di pianificare le azioni regolari necessarie per garantire la protezione antivirus, come l'aggiornamento dei database dei virus, la scansione dei dischi del computer, il controllo dei file di avvio.
Dr.Web per Windows 5.0 offre la possibilità di disinfettare le infezioni attive, include tecnologie per l'elaborazione dei processi in memoria e si distingue per la resistenza ai virus. In particolare, Dr.Web è in grado di neutralizzare virus complessi come MaosBoot, Rustock.C, Sector. Come notato, nella nuova versione sono state ulteriormente sviluppate le tecnologie che consentono a Dr.Web di trattare efficacemente i virus attivi, e non solo di rilevare le raccolte di laboratorio.
Il modulo di autoprotezione Dr.Web SelfProtect fornisce il controllo completo degli accessi e le modifiche a file, processi, finestre e chiavi di registro dell'applicazione. Il modulo di autoprotezione stesso è installato nel sistema come driver, il cui scarico e arresto non autorizzato è impossibile fino al riavvio del sistema.
La versione 5.0 implementa una nuova tecnologia di disimballaggio universale Fly-code che consente di rilevare virus nascosti sotto packer Dr.Web sconosciuti sulla base di voci speciali nel database dei virus Dr.Web e ipotesi euristiche del modulo di ricerca Dr.Web sui malware eventualmente contenuti in l'oggetto archivio compresso.
La tecnologia di ricerca senza firma di Dr.Web, Origins Tracing, che ha ricevuto il suo ulteriore sviluppo nella nuova versione, aiuta anche a contrastare le minacce Dr.Web sconosciute. Secondo gli sviluppatori, Origins Tracing integra la tradizionale ricerca delle firme Dr.Web e l'analizzatore euristico e aumenta il livello di rilevamento di malware precedentemente sconosciuto.
Inoltre, secondo Doctor Web, Dr.Web per Windows è in grado non solo di rilevare, ma anche di neutralizzare efficacemente i virus utilizzando le tecnologie rootkit. La versione 5.0 introduce una versione fondamentalmente nuova del driver Dr.Web Shield, che consente di combattere anche le tecnologie rootkit di nuova generazione. Allo stesso tempo, Dr.Web è in grado di scansionare completamente gli archivi di qualsiasi livello di annidamento. Oltre a lavorare con gli archivi, Dr.Web per Windows versione 5.0 aggiunge il supporto per dozzine di nuovi packer e apporta una serie di miglioramenti quando si lavora con file compressi, inclusi file compressi molte volte e anche da packer diversi.
Includendo nuove e ottimizzando le tecnologie Dr.Web per Windows esistenti, gli sviluppatori sono stati in grado di accelerare il processo di scansione. Grazie alla maggiore velocità del motore antivirus, lo scanner Dr.Web è più veloce del 30% rispetto alla versione precedente per la scansione della RAM, dei settori di avvio, del contenuto dei dischi rigidi e dei supporti rimovibili, secondo l'azienda.
Tra le novità si segnala il monitor HTTP SpIDer Gate. Il monitor HTTP di SpIDer Gate controlla tutto il traffico HTTP in entrata e in uscita, pur essendo compatibile con tutti i browser conosciuti, e il suo funzionamento non ha quasi alcun effetto sulle prestazioni del PC, sulla velocità di Internet o sulla quantità di dati trasferiti. Tutti i dati provenienti da Internet vengono filtrati: file, applet, script, che ti consentono di scaricare solo contenuti verificati sul tuo computer.
Test del pacchetto Dr.Web
Per essere sicuro che il Dr.Web selezionato come pacchetto antivirus aziendale sia davvero affidabile, ho studiato diverse recensioni di programmi antivirus e ho preso conoscenza di diversi risultati di test.
I risultati del test probabilistico (sito web antivirus.ru) danno a Dr.Web il primo posto (Appendice D).
Secondo i risultati dei test di febbraio dei programmi antivirus, condotti dalla rivista Virus Bulletin, il polifago domestico Dr. Web si è classificato all'8° posto tra i migliori antivirus al mondo. Programma Dott. Il Web ha mostrato un risultato assoluto del 100% nella categoria (tecnologica) importante e prestigiosa - nel grado di rilevamento di virus polimorfici complessi. Va notato in particolare che nei test della rivista Virus Bulletin, un risultato del 100% nella rilevazione di virus polimorfici, il Dr. Il Web ha ottenuto risultati costanti (gennaio 2007, luglio-agosto 2007 e gennaio 2008) per la terza volta consecutiva. Nessun altro scanner antivirus può vantare una tale stabilità in questa categoria.
Il livello più alto del 100% è stato raggiunto dal Dr. Anche il Web rientra in una categoria molto rilevante: il rilevamento di macro-virus.
Il progresso ha dato all'umanità moltissimi risultati, ma lo stesso progresso ha anche dato origine a molti problemi. La mente umana, pur risolvendo alcuni problemi, ne incontrerà inevitabilmente altri, nuovi. L'eterno problema è la protezione delle informazioni. In varie fasi del suo sviluppo, l'umanità ha risolto questo problema con la specificità inerente a questa era. L'invenzione del computer e l'ulteriore rapido sviluppo della tecnologia dell'informazione nella seconda metà del XX secolo hanno reso il problema della sicurezza dell'informazione tanto rilevante e acuto quanto l'informatizzazione è rilevante per l'intera società odierna. La principale tendenza che caratterizza lo sviluppo delle moderne tecnologie dell'informazione è la crescita del numero di crimini informatici e il furto di informazioni riservate e di altro tipo ad essi correlate, nonché perdite materiali.
Oggi, probabilmente, nessuno potrà nominare con certezza la cifra esatta delle perdite complessive per reati informatici connessi all'accesso non autorizzato alle informazioni. Ciò è dovuto principalmente alla riluttanza delle società interessate a divulgare informazioni sulle proprie perdite, nonché al fatto che non è sempre possibile valutare accuratamente le perdite dovute al furto di informazioni in termini monetari.
Ci sono molte ragioni per l'attivazione di reati informatici e le perdite finanziarie ad essi associate, le più significative delle quali sono:
Il passaggio dalla tradizionale tecnologia "cartacea" di archiviazione e trasmissione di informazioni allo sviluppo elettronico e insufficiente della tecnologia di protezione delle informazioni in tali tecnologie;
Unificazione dei sistemi informatici, creazione di reti globali ed espansione dell'accesso alle risorse informative;
Un aumento della complessità degli strumenti software e la conseguente diminuzione della loro affidabilità e un aumento del numero di vulnerabilità.
Le reti di computer, a causa delle loro specificità, semplicemente non possono funzionare e svilupparsi normalmente, ignorando i problemi di protezione delle informazioni.
Nel primo capitolo del mio lavoro di qualificazione sono stati considerati vari tipi di minacce e rischi. Le minacce alla sicurezza non sono divise in naturali e artificiali, ma artificiali, a loro volta, sono divise in non intenzionali e deliberate.
Le minacce più comuni includono errori degli utenti della rete di computer, guasti interni della rete o della sua infrastruttura di supporto, attacchi software e software dannoso.
Le misure per garantire la sicurezza delle reti informatiche si suddividono in: legale (legislativa), morale ed etica, organizzativa (amministrativa), fisica, tecnica (hardware e software).
Nel secondo capitolo del WRC, ho discusso in dettaglio alcuni dei metodi di protezione fisici, hardware e software. I moderni software per la sicurezza delle informazioni includono metodi crittografici, crittografia del disco, identificazione e autenticazione dell'utente. Per proteggere una rete locale o aziendale dagli attacchi della rete globale, vengono utilizzati strumenti software specializzati: firewall o server proxy. I firewall sono speciali server intermedi che ispezionano e filtrano tutto il traffico del livello di rete/trasporto che li attraversa. Un server proxy è un server intermedio, tutte le chiamate dalla rete locale alla rete globale avvengono attraverso di esso.
L'organizzazione di un sistema di archiviazione dei dati affidabile ed efficiente è anche uno dei compiti più importanti per garantire la sicurezza delle informazioni sulla rete. Per garantire il ripristino dei dati in caso di guasti ai dischi magnetici, i sistemi di array di dischi vengono spesso utilizzati di recente, gruppi di dischi che funzionano come un unico dispositivo conforme allo standard RAID.
Per identificare le vulnerabilità al fine di eliminarle rapidamente, è previsto il servizio di analisi della sicurezza. I sistemi di analisi della sicurezza (chiamati anche scanner di sicurezza), come gli strumenti di audit attivi discussi sopra, si basano sull'accumulo e sull'uso della conoscenza. In questo caso, intendiamo la conoscenza delle lacune di sicurezza: come cercarle, quanto sono gravi e come risolverle.
Nel terzo capitolo della WRC, ho esaminato i metodi ei mezzi per proteggere le informazioni nelle reti di telecomunicazioni dell'impresa Vestel. Dopo aver brevemente descritto l'azienda e la sua rete aziendale, mi sono concentrato sulla protezione organizzativa e legale, esaminando in dettaglio le capacità di protezione del sistema operativo Windows 2003 Server utilizzato nell'azienda. È molto importante proteggere la rete aziendale da accessi non autorizzati. Per fare ciò, l'azienda utilizza chiavi elettroniche, protezione dei dati del tutore organizzato, imposta password e monitora l'accesso a Internet.
Per escludere che i virus informatici infettino la rete aziendale, Vestel utilizza il pacchetto software antivirus Dr.Web Enterprise Suite. I vantaggi di questo pacchetto sono:
scalabilità;
Centro di controllo unico;
Amministrazione a basso costo;
Salvataggio del traffico di rete locale;
Ampia gamma di supporto del protocollo.
A questo si aggiunge l'attrattiva del prezzo.
Per essere sicuro che Dr.Web, che ho scelto come pacchetto antivirus aziendale, sia la soluzione migliore, ho studiato diverse recensioni di programmi antivirus e ho preso conoscenza dei risultati di diversi test. I risultati del test probabilistico (sito web antivirus.ru) danno a Dr.Web il primo posto e il Bollettino sui virus mette Dr. Web all'8° posto tra i migliori antivirus al mondo.
Dopo aver analizzato le informazioni a mia disposizione sull'organizzazione della protezione della rete aziendale Vestel, ho tratto la seguente conclusione:
6. Biyachuev TA Sicurezza delle reti aziendali. Libro di testo / ed. L.G.Osovetsky - San Pietroburgo: SPbGU ITMO, 2004. - 161 p.
7. Black U. Internet: protocolli di sicurezza. Corso di formazione. - San Pietroburgo: Pietro, 2001. - 288 p.: ill.
8. Bozhdai AS, Finogeev AG Tecnologie di rete. Parte 1: Tutorial. - Penza: Casa editrice di PGU, 2005. - 107 p.
9. Banche M. Protezione delle informazioni del PC (con CD-ROM). - Kiev: "Vek", 2001. - 272 pag.
10. Vasilenko ON Algoritmi teorici dei numeri in crittografia. - M.: Centro di Mosca per l'Educazione Matematica Continua, 2003. - 328 p.
11. Vikhorev S. V., Kobtsev R. Yu Come scoprire dove attaccare o da dove proviene la minaccia alla sicurezza delle informazioni // Protezione delle informazioni. Fiducioso, n. 2, 2002.
12. Sistemi informatici, reti e telecomunicazioni: libro di testo. - 2a ed., riveduta. e aggiuntivo / Ed. A.P. Piatibratov. - M.: Finanza e statistica, 2003.
13. Galatenko VA Standard di sicurezza delle informazioni. - M.: Casa editrice "Internet University of Information Technologies - INTUIT.ru", 2004. - 328 p.: ill.
14. Goshko S.V. Enciclopedia della protezione dai virus. - M.: Casa editrice "SOLON-Press", 2004. - 301 p.
15. Denisov A., Belov A., Vikharev I. Internet. Esercitazione. - San Pietroburgo: Pietro, 2000. - 464 p.: ill.
17. Zima V., Moldovyan A., Moldovyan N. Sicurezza delle tecnologie di rete globali. Serie "Maestro". - San Pietroburgo: BHV-Pietroburgo, 2001. - 320 p.: ill.
18. Zubov A.Yu. Cifre perfette. - M.: Helios ARV, 2003. - 160 p., ill.
19. Kaspersky K. Note di un ricercatore di virus informatici. - San Pietroburgo: Pietro, 2004. - 320 p.: ill.
20. Kozlov DA Enciclopedia dei virus informatici. - M.: Casa editrice "SOLON-Press", 2001. - 457 p.
21. Cole E. Guida alla protezione dagli hacker. - M.: Williams Publishing House, 2002. - 640 p.
22. Laponina O.R. Fondamenti crittografici della sicurezza. - M.: Casa editrice "Internet University of Information Technologies - INTUIT.ru", 2004. - 320 p.: ill.
23. Laponina O.R. Fondamenti di sicurezza delle reti: algoritmi crittografici e protocolli di interazione. - M.: Casa editrice "Internet University of Information Technologies - INTUIT.ru", 2005. - 608 p.: ill.
24. McClure S., Skembrey J., Kurtz J. I segreti degli hacker. Sicurezza della rete - soluzioni chiavi in mano. 2a edizione. - M.: Casa editrice Williams, 2001. - 656 p.
25. Mamaev M., Petrenko S. Tecnologie per la sicurezza delle informazioni su Internet. Guida speciale. - San Pietroburgo: Pietro, 2001. - 848 p.: ill.
26. Medvedovsky ID Attacco Internet. - M.: Casa editrice "SOLON-Press", 2002. - 368 p.
27. Miklyaev A.P., Desktop book for IBM PC user 3rd edition M.:, "Solon-R", 2000, 720 p.
28. Northcut S., Novak J. Rilevamento di violazioni della sicurezza nelle reti. 3a ed. - M.: Casa editrice Williams, 2003. - 448 p.
29. Firewall di Oglerty T. Applicazione pratica dei firewall - M.: DMK, 2003. - 401 p.
30. Olifer V., Olifer N. Reti informatiche. Principi, tecnologie, protocolli: un libro di testo per le università. 2a ed. - San Pietroburgo: Pietro, 2002. - 864 p.: ill.
31. Partyka TL, Popov II Informazioni di sicurezza. - M.: "Infra-M", 2002. - 368 p.
32. Parkhomenko P. N., Yakovlev S. A., Parkhomenko N. G. Aspetti legali dei problemi di sicurezza delle informazioni. Materiali della V Conferenza scientifica e pratica internazionale "Sicurezza dell'informazione" - Taganrog: TRTU, 2003.
33. Personal computer: dialogo e software. Esercitazione. ed. V.M. Matyushka - M.: Casa editrice di UDN, 2001.
34. Pyatibratov A. P. Sistemi informatici, reti e telecomunicazioni: libro di testo; ed. A. P. Pjatibratov. - 2a ed., riveduta. e aggiuntivo - M.: Finanza e statistica, 2003. - 512 pag.: ill. - Bibliografia: p. 495.
35. Rastorguev S. P. Filosofia della guerra dell'informazione - M.: Vuzovskaya kniga, 2001. - 468 p.
36. Simonis D. et al Check Point NG. Guida all'amministrazione. - M.: DMK Press, 2004. - 544 pag.
37. Simonovich S.V., Evseev G.A., Murakhovsky V.I. Hai comprato un computer: la guida completa per principianti a domande e risposte. - M.: AST-RUBRICA STAMPA; Inkorom-Press, 2001, - 544 p.: ill.
38. Stallings V. Crittografia e protezione della rete: principi e prassi. 2a edizione. - M.: Casa editrice Williams, 2001. - 672 p.
39. E. Zwicky, S. Cooper, B. Chapman, Building Security on the Internet (2a edizione). - San Pietroburgo: Symbol-Plus, 2002. - 928 p.
40. Yarochkin VI Informazioni di sicurezza. - M.: Casa editrice "Progetto accademico", 2004. - 640 p.
Per software di protezione delle informazioni si intendono programmi speciali inclusi nel software CS esclusivamente per eseguire funzioni di protezione.
I principali software per la sicurezza delle informazioni includono:
- * programmi per l'identificazione e l'autenticazione degli utenti CS;
- * programmi per delimitare l'accesso degli utenti alle risorse CS;
- * programmi di crittografia delle informazioni;
- * programmi per la protezione delle risorse informative (software di sistema e applicativo, database, strumenti informatici di formazione, ecc.) da modifiche, utilizzi e copie non autorizzati.
Resta inteso che l'identificazione, in relazione alla garanzia della sicurezza delle informazioni del CS, è intesa come riconoscimento inequivocabile del nome univoco del soggetto del CS. Autenticazione significa confermare che il nome presentato corrisponda al soggetto dato (autenticazione del soggetto)5.
Il software per la sicurezza delle informazioni include anche:
- * programmi per la distruzione delle informazioni residue (in blocchi di RAM, file temporanei, ecc.);
- * programmi di audit (registri di registrazione) di eventi relativi alla sicurezza del COP, per garantire la possibilità di recupero e l'evidenza del verificarsi di tali eventi;
- * programmi per l'imitazione del lavoro con l'autore del reato (distraendolo per ricevere presunte informazioni riservate);
- * programmi per il controllo dei test di sicurezza CS, ecc.
I vantaggi del software per la sicurezza delle informazioni includono:
- * facilità di replica;
- * flessibilità (la capacità di adeguarsi a diverse condizioni di utilizzo, tenendo conto delle specificità delle minacce alla sicurezza delle informazioni di specifiche CS);
- * facilità d'uso: alcuni strumenti software, come la crittografia, funzionano in modalità "trasparente" (invisibile all'utente), mentre altri non richiedono all'utente di possedere competenze nuove (rispetto ad altri programmi);
- * possibilità praticamente illimitate del loro sviluppo apportando modifiche per tenere conto delle nuove minacce alla sicurezza delle informazioni.
Riso. 4
Riso. cinque
Gli svantaggi del software per la sicurezza delle informazioni includono:
- * diminuzione dell'efficienza del CS a causa del consumo delle sue risorse necessarie al funzionamento dei programmi di protezione;
- * prestazioni inferiori (rispetto allo svolgimento di funzioni simili di protezione hardware, come la crittografia);
- * l'aggancio di molti strumenti di protezione software (e non la loro disposizione nel software del COP, Fig. 4 e 5), che crea una possibilità fondamentale per l'intruso di aggirarli;
- * Possibilità di modifica dannosa degli strumenti di protezione del software durante il funzionamento della COP.
Sicurezza a livello di sistema operativo
Il sistema operativo è il componente software più importante di qualsiasi computer, pertanto la sicurezza complessiva del sistema informativo dipende in gran parte dal livello di implementazione della politica di sicurezza in ogni specifico sistema operativo.
Della famiglia di sistemi operativi Windows 2000, Millenium sono cloni, originariamente orientati al lavoro nei computer di casa. Questi sistemi operativi utilizzano livelli di privilegio in modalità protetta, ma non eseguono controlli aggiuntivi e non supportano i sistemi di descrittori di sicurezza. Di conseguenza, qualsiasi applicazione può accedere all'intera quantità di RAM disponibile sia in lettura che in scrittura. Sono presenti misure di sicurezza della rete, tuttavia la loro attuazione non è all'altezza. Inoltre, nella versione di Windows XP è stato commesso un errore fondamentale, che ha permesso di “congelare” il computer da remoto in pochi pacchetti, il che ha minato in modo significativo anche la reputazione dell'OS; nelle versioni successive sono stati compiuti molti passaggi per migliorare la sicurezza della rete di questo clone6.
La generazione dei sistemi operativi Windows Vista, 7 è già uno sviluppo molto più affidabile di MicroSoft. Sono davvero sistemi multiutente che proteggono in modo affidabile i file di vari utenti sul disco rigido (tuttavia, la crittografia dei dati non viene ancora eseguita e i file possono essere letti senza problemi avviando da un disco di un altro sistema operativo, ad esempio MS-DOS ). Questi sistemi operativi utilizzano attivamente le capacità della modalità protetta dei processori Intel e possono proteggere in modo affidabile i dati e il codice di processo da altri programmi, a meno che non vogliano fornire loro un accesso aggiuntivo dall'esterno del processo.
In un lungo periodo di sviluppo, sono stati presi in considerazione molti diversi attacchi di rete e bug di sicurezza. Sono state apportate correzioni sotto forma di blocchi di aggiornamenti (service pack in inglese).
Un altro ramo di cloni cresce dal sistema operativo UNIX. Questo sistema operativo è stato originariamente sviluppato come rete e multiutente e quindi conteneva immediatamente strumenti per la sicurezza delle informazioni. Quasi tutti i cloni UNIX diffusi hanno fatto molta strada nello sviluppo e, poiché sono stati modificati, hanno tenuto conto di tutti i metodi di attacco scoperti durante questo periodo. Abbastanza dimostrato: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Naturalmente, tutto quanto sopra si applica alle ultime versioni di questi sistemi operativi. Gli errori principali in questi sistemi non sono più legati al kernel, che funziona perfettamente, ma alle utilità di sistema e applicative. La presenza di errori in essi spesso porta alla perdita dell'intero margine di sicurezza del sistema.
Componenti principali:
Amministratore locale della sicurezza - è responsabile dell'accesso non autorizzato, controlla le credenziali di accesso dell'utente, supporta:
Audit - verifica della correttezza delle azioni dell'utente
Account Manager - supporto per il database degli utenti delle loro azioni e interazione con il sistema.
Security monitor: verifica se l'utente dispone di diritti di accesso sufficienti all'oggetto
Registro di controllo: contiene informazioni sugli accessi degli utenti, le correzioni funzionano con file, cartelle.
Pacchetto di autenticazione: analizza i file di sistema per verificare se sono stati sostituiti. MSV10 è il pacchetto predefinito.
Windows XP ha aggiunto:
è possibile assegnare password per le copie archiviate
protezione dalla sostituzione dei file
sistema di differenziazione ... inserendo una password e creando un account utente. L'archiviazione può essere effettuata da un utente che dispone di tali diritti.
NTFS: controllo dell'accesso a file e cartelle
In XP e 2000 - una differenziazione più completa e profonda dei diritti di accesso degli utenti.
EFS: fornisce crittografia e decrittografia delle informazioni (file e cartelle) per limitare l'accesso ai dati.
Metodi di protezione crittografica
La crittografia è la scienza della protezione dei dati. Sta cercando soluzioni a quattro importanti problemi di sicurezza: riservatezza, autenticazione, integrità e controllo dei partecipanti all'interazione. La crittografia è la trasformazione dei dati in una forma illeggibile utilizzando chiavi di crittografia-decrittografia. La crittografia consente di mantenere la riservatezza mantenendo segrete le informazioni a coloro a cui non sono destinate.
La crittografia è impegnata nella ricerca e nello studio di metodi matematici per trasformare le informazioni (7).
La crittografia moderna comprende quattro sezioni principali:
crittosistemi simmetrici;
crittosistemi a chiave pubblica;
sistemi di firma elettronica;
gestione delle chiavi.
Le principali direzioni di utilizzo dei metodi crittografici sono la trasmissione di informazioni riservate tramite canali di comunicazione (ad esempio e-mail), l'autenticazione dei messaggi trasmessi, l'archiviazione di informazioni (documenti, database) su supporti crittografati.
Crittografia dell'unità
Un disco crittografato è un file contenitore che può contenere altri file o programmi (possono essere installati ed eseguiti direttamente da questo file crittografato). Questo disco è disponibile solo dopo aver inserito la password per il file contenitore, quindi sul computer viene visualizzato un altro disco, riconosciuto dal sistema come logico e lavorare con esso non è diverso dal lavorare con qualsiasi altro disco. Dopo aver scollegato l'unità, l'unità logica scompare, diventa semplicemente "invisibile".
Ad oggi, i programmi più comuni per la creazione di dischi crittografati sono DriveCrypt, BestCrypt e PGPdisk. Ognuno di loro è protetto in modo affidabile dall'hacking remoto.
Caratteristiche generali dei programmi: (8)
- - tutte le modifiche alle informazioni nel file contenitore si verificano prima nella RAM, ad es. il disco rigido rimane sempre crittografato. Anche se il computer si blocca, i dati segreti rimangono crittografati;
- - i programmi possono bloccare un'unità logica nascosta dopo un certo periodo di tempo;
- - sono tutti diffidenti nei confronti dei file temporanei (file di scambio). È possibile crittografare tutte le informazioni riservate che potrebbero entrare nel file di scambio. Un metodo molto efficace per nascondere le informazioni memorizzate in un file di scambio è disattivarlo del tutto, senza dimenticare di aumentare la RAM del computer;
- - la fisica dell'hard disk è tale che anche se si sovrascrivono alcuni dati con altri, il record precedente non verrà completamente cancellato. Con l'aiuto della moderna microscopia magnetica (Magnetic Force Microscopy - MFM), possono ancora essere ripristinati. Con questi programmi è possibile eliminare in modo sicuro i file dal disco rigido senza lasciare traccia della loro esistenza;
- - tutti e tre i programmi memorizzano i dati riservati in una forma crittografata in modo sicuro sul disco rigido e forniscono un accesso trasparente a questi dati da qualsiasi programma applicativo;
- - proteggono i file contenitore crittografati dall'eliminazione accidentale;
- - fare un ottimo lavoro con Trojan e virus.
Modalità di identificazione dell'utente
Prima di accedere al VS, l'utente deve identificarsi e i meccanismi di sicurezza della rete quindi autenticano l'utente, ovvero controllano se l'utente è davvero chi afferma di essere. Secondo il modello logico del meccanismo di protezione, gli aeromobili si trovano su un computer funzionante, al quale l'utente è collegato tramite il suo terminale o in altro modo. Pertanto, le procedure di identificazione, autenticazione e abilitazione vengono eseguite all'inizio di una sessione sulla workstation locale.
Successivamente, quando vengono stabiliti protocolli di rete diversi e prima di ottenere l'accesso alle risorse di rete, le procedure di identificazione, autenticazione e abilitazione possono essere riabilitate su alcune workstation remote per ospitare le risorse oi servizi di rete richiesti.
Quando un utente accede a un sistema informatico utilizzando un terminale, il sistema richiede il nome e il numero di identificazione. In base alle risposte dell'utente, il sistema informatico identifica l'utente. In una rete, è più naturale che gli oggetti che stabiliscono una connessione reciproca si identifichino a vicenda.
Le password sono solo un modo per autenticarsi. Ci sono altri modi:
- 1. Informazioni predefinite a disposizione dell'utente: password, numero di identificazione personale, accordo sull'uso di frasi codificate speciali.
- 2. Elementi hardware a disposizione dell'utente: chiavi, tessere magnetiche, microcircuiti, ecc.
- 3. Caratteristiche personali caratteristiche dell'utente: impronte digitali, pattern retinico, dimensioni corporee, timbro vocale e altre proprietà mediche e biochimiche più complesse.
- 4. Tecniche caratteristiche e caratteristiche del comportamento dell'utente in tempo reale: caratteristiche della dinamica, stile di lavoro sulla tastiera, velocità di lettura, capacità di utilizzo di manipolatori, ecc.
- 5. Abitudini: l'uso di spazi informatici specifici.
- 6. Competenze e conoscenze dell'utente dovute a istruzione, cultura, formazione, background, educazione, abitudini, ecc.
Se qualcuno desidera accedere al sistema informatico tramite un terminale o eseguire un lavoro batch, il sistema informatico deve autenticare l'utente. L'utente stesso, di regola, non verifica l'autenticità del sistema informatico. Se la procedura di autenticazione è unidirezionale, tale procedura è chiamata autenticazione dell'oggetto unidirezionale (9).
Software specializzato per la protezione delle informazioni.
Gli strumenti software specializzati per la protezione delle informazioni dall'accesso non autorizzato hanno generalmente capacità e caratteristiche migliori rispetto agli strumenti del sistema operativo di rete integrati. Oltre ai programmi di crittografia, sono disponibili molti altri strumenti di sicurezza delle informazioni esterni. Tra i più frequentemente citati, si segnalano i seguenti due sistemi che consentono di limitare i flussi informativi.
Firewall - firewall (letteralmente firewall - un muro infuocato). Tra le reti locali e globali vengono creati speciali server intermedi, che ispezionano e filtrano tutto il traffico di rete/strato di trasporto che li attraversa. Ciò consente di ridurre drasticamente la minaccia di accesso non autorizzato dall'esterno alle reti aziendali, ma non elimina completamente questo pericolo. Una versione più sicura del metodo è il metodo mascherato, quando tutto il traffico in uscita dalla rete locale viene inviato per conto del server firewall, rendendo la rete locale quasi invisibile.
Proxy-server (delega - procura, persona autorizzata). Tutto il traffico del livello di rete/trasporto tra le reti locali e globali è completamente vietato: semplicemente non esiste alcun routing in quanto tale e le chiamate dalla rete locale alla rete globale avvengono tramite speciali server intermedi. Ovviamente, con questo metodo, l'accesso dalla rete globale alla rete locale diventa in linea di principio impossibile. È anche ovvio che questo metodo non fornisce una protezione sufficiente contro gli attacchi a livelli superiori, ad esempio a livello di applicazione (virus, codice Java e JavaScript).
Diamo un'occhiata più da vicino a come funziona il firewall. È un metodo per proteggere una rete dalle minacce alla sicurezza di altri sistemi e reti centralizzando e controllando l'accesso alla rete tramite hardware e software. Un firewall è una barriera di sicurezza costituita da diversi componenti (ad esempio, un router o un gateway che esegue il software firewall). Il firewall è configurato in base alla politica di controllo dell'accesso alla rete interna dell'organizzazione. Tutti i pacchetti in entrata e in uscita devono passare attraverso un firewall che consente il passaggio solo dei pacchetti autorizzati.
Un firewall per il filtraggio dei pacchetti è un router o un computer che esegue un software configurato per rifiutare determinati tipi di pacchetti in entrata e in uscita. Il filtraggio dei pacchetti si basa sulle informazioni contenute nelle intestazioni dei pacchetti TCP e IP (indirizzi del mittente e di destinazione, i relativi numeri di porta, ecc.).
Firewall di livello esperto: controlla il contenuto dei pacchetti ricevuti a tre livelli del modello OSI: rete, sessione e applicazione. Per eseguire questa attività, vengono utilizzati speciali algoritmi di filtraggio dei pacchetti per confrontare ciascun pacchetto con un modello noto di pacchetti autorizzati.
La creazione di un firewall si riferisce alla risoluzione del problema della schermatura. La dichiarazione formale del problema dello screening è la seguente. Siano presenti due insiemi di sistemi informativi. Uno schermo è un mezzo per delimitare l'accesso dei client da un set ai server di un altro set. Lo schermo svolge le sue funzioni controllando tutti i flussi di informazioni tra due insiemi di sistemi (Fig. 6). Il controllo del flusso consiste nel filtrarli, eventualmente con alcune trasformazioni.
Al livello di dettaglio successivo, lo schermo (membrana semipermeabile) può essere convenientemente rappresentato come una serie di filtri. Ciascuno dei filtri, dopo aver analizzato i dati, può ritardarli (non perderli) oppure "buttarli" immediatamente fuori dallo schermo. Inoltre è possibile trasformare i dati, trasferire una parte dei dati al filtro successivo per ulteriori analisi, oppure elaborare i dati per conto del destinatario e restituire il risultato al mittente (Fig. 7).
Riso. 7
Oltre alle funzioni di controllo accessi, le schermate registrano lo scambio di informazioni.
Di solito lo schermo non è simmetrico, per esso vengono definiti i concetti "dentro" e "esterno". In questo caso, il compito di schermatura è formulato come proteggere l'area interna da una esterna potenzialmente ostile. Pertanto, i firewall (ME) vengono spesso installati per proteggere la rete aziendale di un'organizzazione che ha accesso a Internet.
La schermatura aiuta a mantenere la disponibilità dei servizi nell'area interna riducendo o eliminando il sovraccarico causato dalle attività esterne. La vulnerabilità dei servizi di sicurezza interni è ridotta, poiché l'attaccante deve prima passare attraverso lo schermo, dove i meccanismi di protezione sono configurati in modo particolarmente accurato. Inoltre il sistema di schermatura, a differenza di quello universale, può essere disposto in maniera più semplice e, quindi, più sicura.
La schermatura consente inoltre di controllare i flussi informativi diretti all'area esterna, contribuendo a mantenere il regime di riservatezza nel SI dell'organizzazione.
La schermatura può essere parziale, proteggendo alcuni servizi di informazione (es. schermatura e-mail).
Un'interfaccia di delimitazione può anche essere considerata come una sorta di evasione. Un oggetto invisibile è difficile da attaccare, specialmente con un set fisso di strumenti. In questo senso, l'interfaccia Web è naturalmente sicura, soprattutto quando i documenti ipertestuali vengono generati dinamicamente. Ogni utente vede solo ciò che dovrebbe vedere. È possibile tracciare un'analogia tra documenti ipertestuali generati dinamicamente e rappresentazioni in database relazionali, con il significativo avvertimento che nel caso del Web le possibilità sono molto più ampie.
Il ruolo di protezione di un servizio Web si manifesta chiaramente anche quando questo servizio svolge funzioni di intermediario (più precisamente, di integrazione) quando si accede ad altre risorse, come le tabelle di database. Non solo controlla il flusso delle richieste, ma nasconde anche la reale organizzazione dei dati.
Aspetti architettonici della sicurezza
Non è possibile combattere le minacce insite nell'ambiente di rete utilizzando sistemi operativi universali. Il sistema operativo universale è un enorme software che, oltre a bug evidenti, contiene probabilmente alcune funzionalità che possono essere utilizzate per ottenere privilegi illegalmente. La moderna tecnologia di programmazione non consente di mettere in sicurezza programmi così grandi. Inoltre, un amministratore che si occupa di un sistema complesso non è sempre in grado di tenere conto di tutte le conseguenze delle modifiche apportate. Infine, in un sistema multiutente universale, le falle di sicurezza sono costantemente create dagli utenti stessi (password deboli e/o modificate di rado, diritti di accesso impostati male, terminale non presidiato, ecc.). L'unico percorso promettente è quello legato allo sviluppo di servizi di sicurezza specializzati, che per la loro semplicità consentono verifiche formali o informali. Il firewall è proprio uno strumento di questo tipo che consente un'ulteriore scomposizione associata al mantenimento di vari protocolli di rete.
Il firewall si trova tra la rete protetta (interna) e l'ambiente esterno (reti esterne o altri segmenti della rete aziendale). Nel primo caso si parla di un ME esterno, nel secondo di un ME interno. A seconda del proprio punto di vista, un firewall esterno può essere considerato la prima o l'ultima (ma non l'unica) linea di difesa. Il primo - se guardi il mondo attraverso gli occhi di un intruso esterno. L'ultimo: se ti sforzi di proteggere tutti i componenti della rete aziendale e prevenire azioni illegali degli utenti interni.
Il firewall è un luogo ideale per incorporare strumenti di auditing attivi. Da un lato, sia sulla prima che sull'ultima linea difensiva, l'individuazione di attività sospette è a suo modo importante. D'altra parte, il ME è in grado di attuare una reazione arbitrariamente potente ad attività sospette, fino a rompere il collegamento con l'ambiente esterno. È vero, bisogna essere consapevoli che la connessione di due servizi di sicurezza può, in linea di principio, creare un divario che facilita gli attacchi all'accessibilità.
Si consiglia di assegnare al firewall l'identificazione/autenticazione degli utenti esterni che necessitano di accedere alle risorse aziendali (con supporto al concetto di single sign-on).
A causa dei principi di difesa in profondità, la schermatura in due pezzi è comunemente usata per proteggere le connessioni esterne (vedi Figura 8). Il filtraggio primario (ad esempio, il blocco dei pacchetti del protocollo di gestione SNMP pericolosi per gli attacchi di accessibilità, o i pacchetti con determinati indirizzi IP inclusi nella "lista nera") è effettuato dal router di frontiera (vedi anche paragrafo successivo), dietro il quale si trova la cosiddetta zona demilitarizzata (una rete con sicurezza moderata, in cui sono collocati i servizi informativi esterni dell'organizzazione (Web, e-mail, ecc.) e il firewall principale a protezione della parte interna della rete aziendale.
In teoria, un firewall (soprattutto interno) dovrebbe essere multiprotocollo, ma in pratica la famiglia di protocolli TCP/IP è così dominante che il supporto per altri protocolli sembra essere un sovraccarico che è dannoso per la sicurezza (più complesso è il servizio, più è vulnerabile).
Riso. 8
In generale, sia il firewall esterno che quello interno possono diventare un collo di bottiglia poiché la quantità di traffico di rete tende a crescere rapidamente. Uno degli approcci per risolvere questo problema consiste nel dividere il ME in diverse parti hardware e nell'organizzare server intermediari specializzati. Il firewall principale può classificare approssimativamente il traffico in entrata per tipo e delegare il filtraggio agli intermediari appropriati (ad esempio, un intermediario che analizza il traffico HTTP). Il traffico in uscita viene prima elaborato da un server intermedio, che può anche svolgere azioni funzionalmente utili, come la memorizzazione nella cache di pagine di server Web esterni, che riduce il carico sulla rete in generale e sul firewall principale in particolare.
Le situazioni in cui la rete aziendale contiene un solo canale esterno sono l'eccezione piuttosto che la regola. Al contrario, una situazione tipica è quando una rete aziendale è composta da più segmenti geograficamente dispersi, ciascuno dei quali è connesso a Internet. In questo caso ogni connessione deve essere protetta da un proprio schermo. Più precisamente, possiamo considerare che il firewall esterno aziendale è composito, ed è necessario per risolvere il problema dell'amministrazione coordinata (gestione e audit) di tutte le componenti.
L'opposto dei firewall aziendali compositi (o dei loro componenti) sono i firewall personali e i dispositivi di schermatura personale. I primi sono prodotti software che vengono installati sui personal computer e li proteggono solo. Questi ultimi sono implementati sui singoli dispositivi e proteggono una piccola rete locale, come una rete di home office.
Quando si implementano i firewall, è necessario seguire i principi della sicurezza dell'architettura di cui abbiamo discusso in precedenza, occupandosi principalmente della semplicità e gestibilità, della difesa in profondità e anche dell'impossibilità di passare a uno stato non sicuro. Inoltre, è necessario tenere conto non solo delle minacce esterne, ma anche interne.
Sistemi di archiviazione e duplicazione delle informazioni
L'organizzazione di un sistema di archiviazione dei dati affidabile ed efficiente è uno dei compiti più importanti per garantire la sicurezza delle informazioni sulla rete. Nelle piccole reti in cui sono installati uno o due server, viene spesso utilizzata l'installazione del sistema di archiviazione direttamente negli slot liberi dei server. Nelle grandi reti aziendali, è preferibile organizzare un server di archiviazione specializzato dedicato.
Tale server archivia automaticamente le informazioni dai dischi rigidi di server e workstation all'ora specificata dall'amministratore della rete locale, emettendo un rapporto sul backup.
La conservazione delle informazioni d'archivio di particolare valore dovrebbe essere organizzata in un'apposita stanza sicura. Gli esperti raccomandano di archiviare archivi duplicati dei dati più preziosi in un altro edificio in caso di incendio o calamità naturale. Per garantire il ripristino dei dati in caso di guasto dei dischi magnetici, i sistemi di array di dischi vengono spesso utilizzati di recente: gruppi di dischi che operano come un unico dispositivo conforme allo standard RAID (Redundant Arrays of Inexpensive Disks). Questi array offrono la massima velocità di scrittura/lettura dei dati, la possibilità di ripristinare completamente i dati e sostituire i dischi guasti in modalità "caldo" (senza spegnere il resto dei dischi nell'array).
L'organizzazione dei disk array prevede diverse soluzioni tecniche implementate a più livelli:
Il livello RAID 0 divide semplicemente il flusso di dati su due o più unità. Il vantaggio di questa soluzione è che la velocità di I/O aumenta in proporzione al numero di dischi utilizzati nell'array.
Il livello RAID 1 consiste nell'organizzazione dei cosiddetti dischi "mirror". Durante la registrazione dei dati, le informazioni del disco principale del sistema vengono duplicate sul disco mirror e, se il disco principale si guasta, quello "mirror" si accende immediatamente.
I livelli RAID 2 e 3 prevedono la creazione di array di dischi paralleli, quando scritti su cui i dati vengono distribuiti su dischi a livello di bit.
I livelli RAID 4 e 5 sono una modifica del livello zero, in cui il flusso di dati viene distribuito sui dischi dell'array. La differenza è che al livello 4 viene allocato un disco speciale per la memorizzazione delle informazioni ridondanti e al livello 5 le informazioni ridondanti vengono distribuite su tutti i dischi dell'array.
L'aumento dell'affidabilità e della protezione dei dati nella rete, basato sull'uso di informazioni ridondanti, è implementato non solo a livello di singoli elementi di rete, come gli array di dischi, ma anche a livello di sistemi operativi di rete. Ad esempio, Novell implementa versioni a tolleranza d'errore del sistema operativo Netware - SFT (System Fault Tolerance):
- - SFT Livello I. Il primo livello prevede la creazione di copie aggiuntive di FAT e Directory Entries Table, la verifica immediata di ogni nuovo blocco dati scritto sul file server e la prenotazione di circa il 2% del volume del disco su ciascun disco rigido disco.
- - SFT Livello II conteneva inoltre la possibilità di creare dischi "mirror", nonché la duplicazione di controller di dischi, alimentatori e cavi di interfaccia.
- - La versione SFT Livello III consente l'utilizzo di server duplicati nella rete locale, di cui uno è il "master", ed il secondo, contenente una copia di tutte le informazioni, entra in funzione in caso di guasto del "master " server.
Analisi di sicurezza
Il servizio di analisi della sicurezza è progettato per identificare le vulnerabilità al fine di eliminarle rapidamente. Di per sé, questo servizio non protegge da nulla, ma aiuta a rilevare (e correggere) le lacune di sicurezza prima che un utente malintenzionato possa sfruttarle. In primo luogo, non intendo quelle architettoniche (difficile eliminarle), ma le lacune "operative" comparse a seguito di errori di amministrazione o per disattenzione nell'aggiornamento delle versioni software.
I sistemi di analisi della sicurezza (chiamati anche scanner di sicurezza), come gli strumenti di audit attivi discussi sopra, si basano sull'accumulo e sull'uso della conoscenza. In questo caso, intendiamo la conoscenza delle lacune di sicurezza: come cercarle, quanto sono gravi e come risolverle.
Di conseguenza, il nucleo di tali sistemi è la base delle vulnerabilità, che determina la gamma di capacità disponibili e richiede un aggiornamento quasi costante.
In linea di principio si possono rilevare lacune di natura molto diversa: presenza di malware (in particolare virus), password utente deboli, sistemi operativi mal configurati, servizi di rete non sicuri, patch disinstallate, vulnerabilità nelle applicazioni, ecc. Tuttavia, gli scanner di rete sono i più efficaci (apparentemente a causa del predominio della famiglia di protocolli TCP/IP), così come gli strumenti antivirus (10). Classifichiamo la protezione antivirus come uno strumento di analisi della sicurezza, non considerandolo un servizio di sicurezza separato.
Gli scanner possono identificare le vulnerabilità sia attraverso l'analisi passiva, ovvero studiando i file di configurazione, le porte coinvolte, ecc., sia simulando le azioni di un utente malintenzionato. Alcune vulnerabilità rilevate possono essere riparate automaticamente (ad esempio, la disinfezione dei file infetti), altre vengono segnalate all'amministratore.
Il controllo fornito dai sistemi di analisi della sicurezza è di natura reattiva, ritardata, non protegge da nuovi attacchi, tuttavia, va ricordato che la difesa deve essere stratificata e, come una delle frontiere, il controllo della sicurezza è abbastanza adeguato. È noto che la stragrande maggioranza degli attacchi è di routine; sono possibili solo perché le falle di sicurezza note rimangono senza patch per anni.
Strumenti per la sicurezza delle informazioniè un insieme di dispositivi e dispositivi ingegneristici, elettrici, elettronici, ottici e di altro tipo, strumenti e sistemi tecnici, nonché altri elementi reali utilizzati per risolvere vari problemi di protezione delle informazioni, inclusa la prevenzione delle perdite e la garanzia della sicurezza delle informazioni protette.
In generale, i mezzi per garantire la sicurezza delle informazioni in termini di prevenzione di azioni deliberate, a seconda del metodo di attuazione, possono essere suddivisi in gruppi:
- Tecnico (hardware. Si tratta di dispositivi di vario tipo (meccanici, elettromeccanici, elettronici, ecc.), che risolvono i problemi di protezione delle informazioni con l'hardware. Impediscono la penetrazione fisica o, se la penetrazione è avvenuta, l'accesso alle informazioni, anche attraverso il suo travestimento. La prima parte del compito è risolta da serrature, inferriate, allarmi di sicurezza, ecc. La seconda parte è costituita da generatori di rumore, filtri di rete, radio di scansione e molti altri dispositivi che "bloccano" potenziali canali di perdita di informazioni o ne consentono il rilevamento. I vantaggi dei mezzi tecnici sono legati alla loro affidabilità, indipendenza da fattori soggettivi e alta resistenza alla modifica. Punti deboli: mancanza di flessibilità, volume e peso relativamente grandi, costi elevati.
- Software gli strumenti includono programmi per l'identificazione degli utenti, il controllo degli accessi, la crittografia delle informazioni, la cancellazione di informazioni residue (funzionanti) come i file temporanei, il controllo dei test del sistema di protezione, ecc. I vantaggi degli strumenti software sono versatilità, flessibilità, affidabilità, facilità di installazione, capacità di modifica e sviluppo. Svantaggi: funzionalità limitata della rete, utilizzo di parte delle risorse del file server e delle workstation, elevata sensibilità a modifiche accidentali o intenzionali, possibile dipendenza dai tipi di computer (il loro hardware).
- misto hardware e software implementano le stesse funzioni di hardware e software separatamente e hanno proprietà intermedie.
- Organizzativo i mezzi consistono in quelli organizzativi e tecnici (preparazione dei locali con computer, posa di un sistema di cavi, tenendo conto dei requisiti per limitarne l'accesso, ecc.) e organizzativi e legali (leggi nazionali e regole di lavoro stabilite dalla direzione di un determinato impresa). I vantaggi degli strumenti organizzativi sono che consentono di risolvere molti problemi eterogenei, sono facili da implementare, rispondono rapidamente ad azioni indesiderate nella rete e hanno possibilità illimitate di modifica e sviluppo. Svantaggi: elevata dipendenza da fattori soggettivi, inclusa l'organizzazione complessiva del lavoro in una determinata unità.
A seconda del grado di distribuzione e accessibilità, vengono assegnati strumenti software, altri strumenti vengono utilizzati nei casi in cui è necessario fornire un livello aggiuntivo di protezione delle informazioni.
Software per la sicurezza delle informazioni
- Sicurezza delle informazioni integrata
- Programma antivirus (antivirus) - un programma per il rilevamento di virus informatici e il trattamento di file infetti, nonché per la prevenzione - impedendo che i file o il sistema operativo vengano infettati da codice dannoso.
- AhnLab - Corea del Sud
- Software ALWIL (avast!) - Repubblica Ceca (versioni gratuite ea pagamento)
- AOL Virus Protection come parte di AOL Safety and Security Center
- ArcaVir - Polonia
- Authentium - Regno Unito
- AVG (GriSoft) - Repubblica Ceca (versioni gratuite ea pagamento incluso firewall)
- Avira - Germania (disponibile versione Classic gratuita)
- AVZ - Russia (gratuito); monitor in tempo reale mancante
- BitDefender - Romania
- BullGuard - Danimarca
- ClamAV - Licenza GPL (gratuita, open source); monitor in tempo reale mancante
- Computer Associates - Stati Uniti
- Dr.Web - Russia
- Eset NOD32 - Slovacchia
- Fortinet - Stati Uniti
- Frisk Software - Islanda
- F-PROT - Islanda
- F-Secure - Finlandia (prodotto multimotore)
- G-DATA - Germania (prodotto multimotore)
- GeCAD - Romania (acquistato da Microsoft nel 2003)
- ICARO - Austria
- H+BEDV - Germania
- Hauri - Corea del Sud
- Microsoft Security Essentials: antivirus gratuito di Microsoft
- Tecnologie del Micromondo - India
- MKS-Polonia
- MoonSecure - Licenza GPL (gratuita, open source), basata sul codice ClamAV, ma con monitor in tempo reale
- Normanno - Norvegia
- Software NuWave - Ucraina (utilizzando motori di AVG, Frisk, Lavasoft, Norman, Sunbelt)
- Avamposto - Russia (vengono utilizzati due motori antimalware: antivirus di VirusBuster e antispyware, ex Tauscan, di nostro sviluppo)
- Software Panda - Spagna
- Quick Heal AntiVirus - India
- In aumento - Cina
- ROSE SWE - Germania
- Safe`n`Sec - Russia
- Simple Antivirus - Ucraina
- Sophos - Regno Unito
- Spyware Doctor - utilità antivirus
- Stiller ricerca
- Software Sybari (acquistato da Microsoft all'inizio del 2005)
- Trend Micro - Giappone (nominalmente Taiwan/USA)
- Trojan Hunter - utilità antivirus
- Universal Anti Virus - Ucraina (gratuito)
- VirusBuster - Ungheria
- ZoneAlarm AntiVirus - USA
- Zilla! - Ucraina (gratuito)
- Kaspersky Anti-Virus - Russia
- VirusBlockAda (VBA32) - Bielorussia
- Antivirus nazionale ucraino - Ucraina
- Gli strumenti software specializzati per la protezione delle informazioni dall'accesso non autorizzato hanno generalmente capacità e caratteristiche migliori rispetto agli strumenti integrati. Oltre ai programmi di crittografia e ai sistemi crittografici, sono disponibili molti altri mezzi esterni di protezione delle informazioni. Tra le soluzioni più citate si segnalano i seguenti due sistemi che consentono di limitare e controllare i flussi informativi.
- Firewall (chiamati anche firewall o firewall - da esso. Brandmauer, Inglese firewall- "muro di fuoco"). Tra le reti locali e globali vengono creati speciali server intermedi, che ispezionano e filtrano tutto il traffico di rete/strato di trasporto che li attraversa. Ciò consente di ridurre drasticamente la minaccia di accesso non autorizzato dall'esterno alle reti aziendali, ma non elimina completamente questo pericolo. Una versione più sicura del metodo è il metodo mascherato, quando tutto il traffico in uscita dalla rete locale viene inviato per conto del server firewall, rendendo la rete locale quasi invisibile.
| Firewall | ||
|---|---|---|
| Libero | Ashampoo FireWall gratuito Comodo Core Force Online Armor Strumenti per PC PeerGuardian Sygate ZoneAlarm | |
| Proprietario | Ashampoo FireWall Pro AVG Internet Security CA Personal Firewall Jetico (inglese) Kaspersky Microsoft ISA Server Norton Outpost Trend Micro (inglese) Windows Firewall Sunbelt (inglese) WinRoute (inglese) | |
| Hardware | Punto di controllo Fortinet Cisco Juniper | |
| FreeBSD | Ipfw IPFilter | |
| Mac OS | NetBarrier X4 | |
| linux | Netfilter (Iptables Firestarter Iplist NuFW Shorewall) | |
- Proxy-server (delega - procura, persona autorizzata). Tutto il traffico del livello di rete/trasporto tra le reti locali e globali è completamente vietato: non esiste alcun routing in quanto tale e le chiamate dalla rete locale alla rete globale avvengono tramite speciali server intermedi. Ovviamente, in questo caso, le chiamate dalla rete globale alla rete locale diventano in linea di principio impossibili. Questo metodo non fornisce una protezione sufficiente contro gli attacchi a livelli superiori, ad esempio a livello di applicazione (virus, codice Java e JavaScript).
- VPN (rete privata virtuale) consente di trasferire informazioni segrete attraverso reti dove è possibile che persone non autorizzate ascoltino il traffico. Tecnologie utilizzate: PPTP, PPPoE, IPSec.
Hardware per la sicurezza delle informazioni
La protezione hardware comprende vari dispositivi elettronici, elettromeccanici ed elettro-ottici. Ad oggi è stato sviluppato un numero significativo di hardware per vari scopi, ma i seguenti sono i più ampiamente utilizzati:
- registri speciali per la conservazione dei dati di sicurezza: password, codici identificativi, avvoltoi o livelli di segretezza;
- dispositivi per misurare le caratteristiche individuali di una persona (voce, impronte digitali) al fine di identificarla;
- schemi di interruzione della trasmissione di informazioni sulla linea di comunicazione al fine di verificare periodicamente l'indirizzo per il rilascio dei dati.
- dispositivi per la crittografia delle informazioni (metodi crittografici).
Mezzi tecnici di protezione delle informazioni
A protezione del perimetro del sistema informativo vengono realizzati: sistemi di sicurezza e di allarme antincendio; sistemi di videosorveglianza digitale; sistemi di controllo e gestione degli accessi (ACS). La protezione delle informazioni dalla loro dispersione attraverso i canali di comunicazione tecnica è fornita dai seguenti mezzi e misure: l'uso di un cavo schermato e la posa di fili e cavi in strutture schermate; installazione di filtri ad alta frequenza su linee di comunicazione; costruzione di stanze schermate (“capsule”); uso di apparecchiature schermate; installazione di sistemi acustici attivi; creazione di zone controllate.
Vocabolario finanziario
Mezzi tecnici, crittografici, software e altri progettati per proteggere le informazioni che costituiscono un segreto di stato, i mezzi con cui sono implementati, nonché mezzi per monitorare l'efficacia della protezione delle informazioni. Edward.… … Dizionario delle emergenze
Strumenti per la sicurezza delle informazioni- mezzi tecnici, crittografici, software e altri progettati per proteggere le informazioni che costituiscono un segreto di stato, i mezzi con cui sono implementati, nonché i mezzi per monitorare l'efficacia della protezione delle informazioni ...
Gli strumenti software sono forme oggettive di rappresentazione di un insieme di dati e comandi destinati al funzionamento di computer e dispositivi informatici al fine di ottenere un determinato risultato, nonché materiali preparati e fissati su un supporto fisico ottenuto nel corso del loro sviluppo, e gli schermi audiovisivi da essi generati.
Il software si riferisce agli strumenti di protezione dei dati che operano come parte del software. Tra questi, si possono distinguere e considerare più in dettaglio:
strumenti di archiviazione dati;
· programmi antivirus;
· mezzi crittografici;
mezzi di identificazione e autenticazione degli utenti;
controlli di accesso;
registrazione e controllo.
Esempi di combinazioni delle misure di cui sopra includono:
protezione della banca dati;
protezione dei sistemi operativi;
protezione delle informazioni quando si lavora in reti di computer.
3.1 Modalità di archiviazione delle informazioni
A volte è necessario eseguire copie di backup delle informazioni con una limitazione generale delle risorse di hosting dei dati, ad esempio i proprietari di personal computer. In questi casi viene utilizzata l'archiviazione del software. L'archiviazione è l'unione di più file e persino directory in un unico file, un archivio, riducendo il volume totale dei file di origine eliminando la ridondanza, ma senza perdita di informazioni, ovvero con la possibilità di ripristinare accuratamente i file originali. L'azione della maggior parte degli strumenti di archiviazione si basa sull'utilizzo di algoritmi di compressione proposti negli anni '80. Abraham Lempel e Jacob Ziv. I seguenti formati di archivio sono i più famosi e popolari:
· ZIP, ARJ per sistemi operativi DOS e Windows;
· TAR per il sistema operativo Unix;
formato JAR multipiattaforma (Java ARchive);
RAR (la popolarità di questo formato è in continua crescita, poiché sono stati sviluppati programmi che ne consentono l'utilizzo nei sistemi operativi DOS, Windows e Unix).
L'utente dovrebbe solo scegliere da solo un programma adatto che fornisca lavoro con il formato selezionato valutandone le caratteristiche: velocità, rapporto di compressione, compatibilità con un gran numero di formati, facilità d'uso dell'interfaccia, scelta del sistema operativo, ecc. L'elenco di tali programmi è molto ampio: PKZIP, PKUNZIP, ARJ, RAR, WinZip, WinArj, ZipMagic, WinRar e molti altri. La maggior parte di questi programmi non ha bisogno di essere acquistata in modo specifico, in quanto sono offerti come programmi shareware o freeware. È anche molto importante stabilire un programma regolare per tali attività di archiviazione dei dati o eseguirle dopo un importante aggiornamento dei dati.
3.2 Programmi antivirus
e Questi sono programmi progettati per proteggere le informazioni dai virus. Gli utenti inesperti di solito credono che un virus informatico sia un piccolo programma appositamente scritto che può "attribuire" se stesso ad altri programmi (cioè "infettarli"), oltre a eseguire varie azioni indesiderate sul computer. Gli specialisti in virologia informatica determinano che una proprietà obbligatoria (necessaria) di un virus informatico è la capacità di creare duplicati di se stesso (non necessariamente identici all'originale) e iniettarli in reti e/o file di computer, aree di sistemi informatici e altri oggetti eseguibili . Allo stesso tempo, i duplicati conservano la possibilità di un'ulteriore distribuzione. Si noti che questa condizione non è sufficiente; finale. Ecco perché non esiste ancora una definizione esatta del virus ed è improbabile che ne compaia una nel prossimo futuro. Pertanto, non esiste una legge definita con precisione in base alla quale i file "buoni" possono essere distinti dai "virus". Inoltre, a volte anche per un particolare file è abbastanza difficile determinare se si tratti di un virus o meno.
I virus informatici sono un problema particolare. Questa è una classe separata di programmi volti a interrompere il sistema e corrompere i dati. Esistono diversi tipi di virus. Alcuni di essi sono costantemente nella memoria del computer, altri producono azioni distruttive con "colpi" una tantum.
C'è anche un'intera classe di programmi che sembrano abbastanza decenti, ma in realtà rovinano il sistema. Tali programmi sono chiamati "cavalli di Troia". Una delle principali proprietà dei virus informatici è la capacità di "riprodursi" - ad es. autopropagazione all'interno di un computer e di una rete di computer.
Poiché varie applicazioni per ufficio sono state in grado di funzionare con programmi scritti appositamente per loro (ad esempio, è possibile scrivere applicazioni per Microsoft Office in Visual Basic), è apparso un nuovo tipo di programmi dannosi: Macro Virus. I virus di questo tipo vengono distribuiti insieme ai normali file di documento e sono contenuti al loro interno come normali subroutine.
Tenendo conto del potente sviluppo degli strumenti di comunicazione e del forte aumento dei volumi di scambio di dati, il problema della protezione contro i virus diventa molto rilevante. In pratica, ogni documento ricevuto, ad esempio, via e-mail, può ricevere un macro virus, e ogni programma in esecuzione può (teoricamente) infettare un computer e rendere inutilizzabile il sistema.
Pertanto, tra i sistemi di sicurezza, la direzione più importante è la lotta ai virus. Esistono numerosi strumenti appositamente progettati per risolvere questo problema. Alcuni di essi funzionano in modalità di scansione e scansionano il contenuto dei dischi rigidi e della RAM del computer alla ricerca di virus. Alcuni devono essere costantemente in esecuzione ed essere nella memoria del computer. Allo stesso tempo, cercano di tenere traccia di tutte le attività in corso.
Sul mercato del software kazako, il pacchetto AVP, sviluppato dal Kaspersky Anti-Virus Systems Laboratory, ha guadagnato la massima popolarità. Questo è un prodotto universale che ha versioni per una varietà di sistemi operativi. Esistono anche i seguenti tipi: Acronis AntiVirus, AhnLab Internet Security, AOL Virus Protection, ArcaVir, Ashampoo AntiMalware, Avast!, Avira AntiVir, A-square anti-malware, BitDefender, CA Antivirus, Clam Antivirus, Command Anti-Malware, Comodo Antivirus, Dr.Web, eScan Antivirus, F-Secure Anti-Virus, G-DATA Antivirus, Graugon Antivirus, IKARUS virus.utilities, Kaspersky Anti-Virus, McAfee VirusScan, Microsoft Security Essentials, Moon Secure AV, Multicore antivirus, NOD32, Norman Virus Control, Norton AntiVirus, Outpost Antivirus, Panda, ecc.
Metodi per rilevare e rimuovere i virus informatici.
I modi per contrastare i virus informatici possono essere suddivisi in diversi gruppi:
Prevenzione dell'infezione virale e riduzione del danno atteso da tale infezione;
· metodi di utilizzo dei programmi antivirus, inclusa la neutralizzazione e la rimozione di un virus noto;
Modi per rilevare e rimuovere un virus sconosciuto:
Prevenzione delle infezioni del computer;
Restauro di oggetti danneggiati;
· Programmi antivirus.
Prevenzione delle infezioni del computer.
Uno dei metodi principali per combattere i virus è, come in medicina, la prevenzione tempestiva. La prevenzione informatica implica il rispetto di un numero limitato di regole, che possono ridurre significativamente la probabilità di un'infezione da virus e la perdita di dati.
Per determinare le regole di base dell'igiene informatica, è necessario scoprire i principali modi in cui un virus entra in un computer e nelle reti di computer.
La principale fonte di virus oggi è Internet globale. Il maggior numero di infezioni da virus si verifica quando si scambiano lettere in formato Word. L'utente di un editor infetto da un virus macro, senza sospettarlo, invia messaggi infetti ai destinatari, che a loro volta inviano nuovi messaggi infetti e così via. Conclusioni: evitare contatti con fonti di informazioni sospette e utilizzare solo prodotti software legittimi (con licenza).
Recupero degli oggetti interessati
Nella maggior parte dei casi di infezione da virus, la procedura per il ripristino di file e dischi infetti si riduce all'esecuzione di un antivirus adatto in grado di neutralizzare il sistema. Se il virus è sconosciuto a qualsiasi antivirus, è sufficiente inviare il file infetto ai produttori di antivirus e dopo qualche tempo (di solito diversi giorni o settimane) ricevere un medicinale: un "aggiornamento" contro il virus. Se il tempo non aspetta, il virus dovrà essere neutralizzato da solo. Per la maggior parte degli utenti, è necessario disporre di copie di backup delle proprie informazioni.
Il principale mezzo nutritivo per la diffusione di massa di un virus in un computer è:
Sicurezza debole del sistema operativo (OS);
· Disponibilità di documentazione varia e abbastanza completa su OC e hardware utilizzato dagli autori di virus;
· uso diffuso di questo OS e di questo hardware.
