Безопасность начинается дома

Средства для тех, кто заботится о защите своего бизнеса

Компьютерная индустрия затрачивает сегодня огромные усилия на обеспечение безопасной связи через Internet. Вольно или невольно, но при этом уходит из поля зрения более серьезная проблема. Федеральное бюро расследований совместно с Институтом компьютерной безопасности провело исследование, результаты которого свидетельствуют: почти в половине всех известных случаев попытки проникновения в сети предпринимались изнутри.

И в них были замечены не только недовольные сотрудники. Получить несанкционированный доступ к информации пытаются любопытные пользователи, временные служащие, промышленные шпионы, субподрядчики и даже конкурирующие фирмы, участвующие в совместных проектах. Все они получают пользовательский абонемент, благодаря которому им не приходится проникать в сеть через Internet или по коммутируемым каналам связи.

Частично решить проблему помогает контроль за работой в сети, при котором допуск к конкретной информации определяется пользовательским именем, принадлежностью к рабочей группе, IP-адресом и т. п. Однако по эффективности такой подход можно сравнить с замком автомобиля - оба они способны уберечь вашу собственность разве что от честного человека или неподготовленного злоумышленника.

К счастью, существуют два средства, которые могут обеспечить внутреннюю безопасность. Это - шифрование и брандмауэры.

Все усилия корпорации по защите своей информации могут уйти впустую из-за передающей среды, применяемой в локальной или глобальной вычислительной сети. Сетевая интерфейсная карта, установленная на любом компьютере, принимает все проходящие по сети пакеты, сильно напоминая тем самым телефонную подслушивающую закладку. Достаточно небольших познаний и общедоступного ПО - и можно читать все секреты, проходящие по такому каналу.

Существуют и автономные анализаторы пакетов, которые легко подключаются к ЛВС, оставаясь совершенно незаметными ни для пользователей, ни для администратора. Но это еще не все. Уже разработаны средства в стиле Джеймса Бонда, которые позволяют считывать данные, даже не подключаясь к сети: они принимают излучение компьютера, расположенного на большом удалении.

Единственна защита против сетевого шпионажа - шифрование трафика на уровне пакетов. Применяемые для этого средства отличаются крайней изощренностью и большой надежностью; как правило, они включают специальную аппаратуру, устанавливаемую на обоих концах линии связи.

И все же производители не торопятся с выпуском таких общедоступных средств, и их понять не трудно. Само шифрование особой сложности не составляет, его производит встроенный в исходный текст программы соответствующий алгоритм, например DES (Data Encryption Standard) или какой-либо из вариантов RSA. На практике проблемы создает обращение с ключами дешифрования. На заре шифровальных технологий ключи приходилось распределять централизованно и периодически заменять на новые, а это создавало множество проблем как организационного, так и технического характера.

Большим шагом вперед стала разработка таких средств, как RSA и система генерации открытых ключей Диффи Хеллмана, которые позволили создавать ключи автоматически.

Шифрование в конце концов будет производиться непосредственно в сетевых операционных системах, но это произойдет не так уж скоро. Корпорация Microsoft работает над проектом под названием CryptoAPI, который позволит пополнить возможности операционной системы Windows NT функциями шифрования способом, сходным с Winsock. Это даст разработчикам приложений средства закрытия передаваемой информации, однако их освоение будет вестись постепенно и займет много времени, поэтому еще несколько лет на всеобъемлющую защиту информации здесь рассчитывать не приходится.

Функция шифрования будет встроена и в IP Version 6, долгожданную модернизацию протокола TCP/IP, но работа над новым стандартом замерла на этапе проектирования именно этого компонента. Хотя некоторые элементы новой версии уже используются, до полного завершения проекта еще далеко.

В Unix уже много лет действует система защиты Kerberos, обеспечивающая шифрование и аутентификацию пользователей по продолжительности тайм-аута. В TCP/IP-сетях она доступна и пользователям ПК, но подобный метод для ЛВС на базе протоколов NetBEUI и IPX все еще находится в стадии разработки.

Фирма Novell, которая со времен NetWare 3.12 предлагает лишь закрытые пароли, включила в свое ПО GroupWise 4.1 (WordPerfect Office) новую систему шифрования. Она осуществляет кодирование всех передаваемых в канал связи данных, однако, будучи созданной специально для GroupWise, способна защитить информацию только в этой среде.

О других планах Novell по шифрованию общего IPX-трафика сообщений не поступало. И все же нельзя исключать, что по мере роста популярности Сети и TCP/IP наступит момент, когда даже для обеспечения безопасности ЛВС на базе IPX будут применяться Internet-протоколы, а IPX-пакеты станут упаковываться в IP-оболочку.

Lotus Notes корпорации Lotus Development, подобно Novell GroupWise, обеспечивает только закрытие данных собственного формата. Известны продукты, защищающие файлы данных или даже целые жесткие диски, но лишь немногие разработчики занимаются средствами шифрования пакетов, пересылаемых по локальным линиям связи.

Шифрованием сетей на базе протоколов TCP/IP активно занимается корпорация FSA. В январе она выпустила PowerTelnet - новый продукт, который должен устанавливаться на серверах вместо традиционной Unix-программы Telnet. Перехват вызовов WINSOCK.DLL, необходимый для шифрования Telnet-трафика, достигается за счет установки на защищаемых клиентских ПК специального добавочного ПО. При его отсутствии сеансы Telnet-связи ведутся без кодирования.

В августе FSA намеревалась выпустить на основе этой же технологии CipherLink еще один продукт, предназначенный для закрытия всего TCP/IP-трафика, а не только сеансов Telnet.

Средствами коммерческого шифрования, к всеобщему удивлению, занялась и авиастроительная компания Hughes Aircraft, которая готовится вывести из своих ангаров NetLock. Данный продукт, подобно CipherLink корпорации FSA, обеспечивает закрытие всего канала связи на уровне пакетов, что избавляет от необходимости вносить какие-либо изменения в прикладные программы. Агенты NetLock, устанавливаемые на клиентских компьютерах, обеспечивают полную поддержку всех сетевых протоколов, поэтому новую защиту можно применять не только в Internet, она отлично подходит для ЛВС и глобальных сетей. В качестве клиентов можно использовать платформы на базе всех основных разновидностей Unix, Macintosh, OS/2 и Windows. В ноябре планируется выпуск агента для среды NetWare, благодаря которому будет обеспечено шифрование не только протоколов IP, AppleTalk и NetBEUI, но и IPX.

Существующие технологии шифрования не только обеспечивают безопасный обмен информацией между двумя компьютерами, они позволяют провести аутентификацию сообщения и его проверку на отсутствие искажений. Для этого в пересылаемый документ добавляется кодированная группа, создаваема в соответствии со стандартом цифровой подписи, например, Digital Signature Standard или RSA. Успешное ее декодирование свидетельствует о том, что документ отправлен подписавшим его лицом и в процессе передачи в него не было внесено никаких изменений.

Одним из разработчиков, уже применяющих данный принцип, является корпорация Сylink. Она оснастила свой продукт Remote Access Management System как средствами шифрования, так и цифровой подписью, что значительно повысило уровень защиты сети от доступа извне.

Доказательством должного внимания сетевых пользователей к своему бизнесу служит не только применение шифрования, но и установка брандмауэров.

Брандмауэры находят применение как на границах корпоративной сети, так и внутри ее. Некоторые администраторы прибегают к их помощи, чтобы ограничить доступ внутренних пользователей к различным корпоративным проектам. Одним из примеров подобных средств защиты может служить продукт ON Guard корпорации ON Technology, позволяющий создавать виртуальные частные сети на базе сетевых протоколов IP и IPX.

С его помощью можно, например, достичь более высокого уровня защиты финансовой информации, чем это позволяет система разрешений NetWare. ON Guard скрывает внутренний трафик подразделения от посторонних взглядов столь же надежно, как брандмауэр Internet - трафик корпорации.

Но и этот продукт защищает информацию лишь от проникновения извне, тогда как служащие подразделения по-прежнему могут просматривать ее в виде обычного открытого текста.

Статья 272. НЕПРАВОМЕРНЫЙ ДОСТУП К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. СОЗДАНИЕ, ИСПОЛЬЗОВАНИЕ И РАСПРОСТРАНЕНИЕ ВРЕДОНОСНЫХ ПРОГРАММ ДЛЯ ЭВМ.

Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

Статья 274. НАРУШЕНИЕ ПРАВИЛ ЭКСПЛУАТАЦИИ ЭВМ, СИСТЕМЫ ЭВМ ИЛИ ИХ СЕТИ.

Мошенничество, то есть хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием, - наказывается штрафом в размере от двухсот до семисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до семи месяцев, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет. Мошенничество, совершенное:
группой лиц по предварительному сговору;
неоднократно лицом с использованием своего служебного положения с причинением значительного ущерба гражданину, -
наказывается штрафом в размере от семисот до одной тысячи минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от семи месяцев до одного года либо лишением свободы на срок от двух до шести лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.

Мошенничество, совершенное:
организованной группойв крупном размерелицом, ранее два или более раза судимым за хищение либо вымогательство, -
наказывается лишением свободы на срок от пяти до десяти лет с конфискацией имущества или без таковой.

 25.09.00 12:45 (Москва) Новая система безопасности в Сети будет представлена на "ИнтернетКом-2000"

Москва, 25 сентября (Монитор). Новый продукт, Online Scanner, представит на выставке "ИнтернетКом-2000" (3-6 октября, Москва) НИП "Информзащита". Об этом сообщается в пресс-релизе компании. Система Online Scanner позволяет решать удаленные проблемы с информационной безопасностью для пользователей, предпочитающих работать в режиме online. Система идентифицирует способы, которыми злоумышленник мог бы получить доступ к компьютеру пользователя и ищет следы тех, кто уже, возможно, такой доступ получил. После этого, Online Scanner создает простой в понимании отчет, следуя которому пользователь быстро может устранить все обнаруженные проблемы. Online Scanner позволяет банкам и другим финансовым организациям предлагать безопасный доступ клиентов к своим данным. Данная система позволяет поставщикам Интернет-услуг помогать своим заказчикам интерактивно защищать себя от внешних злоумышленников. В то же время Online Scanner дает пользователям возможность защитить их информацию и расширить свои знания о безопасности в Сети. Также на выставке "ИнтернетКом-2000" будут представлены и новые версии уже известных в России продуктов.