Защита информации в сети Интернет
Инженерно-техническая защита
Инженерно-техническая защита включает в себя:
- аппаратные средства защиты;
- программные средства защиты – это использование специальных программ в системах, средствах и сетях обработки данных;
- математические способы защиты – применение математических и криптографических методов в целях защиты конфиденциальной информации (без знания ключа невозможно узнать и дешифрировать украденную информацию).
В состав системы обеспечения информационной безопасности обычно входят следующие компоненты и подсистемы, тесно интегрированные между собой и с другими компонентами ИТ-инфраструктуры:
- подсистема защиты периметра сети;
- подсистема обеспечения безопасности межсетевых взаимодействий;
- подсистема мониторинга и аудита безопасности;
- подсистема обнаружения и предотвращения атак;
- подсистема резервного копирования и восстановления данных;
- подсистема анализа защищенности и управления политикой безопасности;
- подсистема контроля целостности данных;
- криптографическая подсистема;
- инфраструктура открытых ключей;
- подсистема защиты от вредоносного ПО;
- подсистема фильтрации контента и предотвращения утечки конфиденциальной информации;
- подсистема установки обновлений ПО;
- подсистема администрирования безопасности.
Требования по защите информации – это составная часть общей проблемы обеспечения безопасности информации. Требования по защите информации включают совместные мероприятия по специальной защите основных и вспомогательных средств вычислительной техники, а так же средств и систем связи от технических средств разведки и промышленного шпионажа. В число требований по защите информации входят: обязательная постановка на учет носителей информации; запуск и завершение программ по защите информации; установка сигнализации от попыток взлома программ; очистка (обнуление, обезличивание) освобожденных областей оперативной памяти ЭВМ и внешних накопителей. К числу требований по защите информации можно отнести и шифрование информации, принадлежащей различным субъектам на разных ключах, а так же шифрование информации конфиденциального характера. Требования по защите информации касаются и обеспечения целостности программных устройств. К требованиям по защите информации можно прибавить и использование сертифицированных средств защиты.
Комплексная защита информации в области информационной безопасности препятствует несанкционированному досупу к информации. В процесс комплексной защиты информации включаются специализированные системы информационной безопасности. Комплексная защита информации - это различные методы и средства информационной защиты. В комплексную защиту информации входят и системы защиты, позволяющие защищать компьютеры в локальной сети от НСД. Системы шифрования и создания электронной цифровой подписи так же входят в комплексную защиту информации. Стремительное развитие информационных технологий требует осуществления комплексной защиты информации, которая в области информационной безопасности усилит и дополнит средства защиты.
Существует ряд основных правил, универсальных для защиты любой компьютерной системы от несанкционированного доступа. Если помнить их и постоянно им следовать, можно значительно снизить риск взлома системы или появления других нежелательных проблем.
1. Использование сложных паролей. Одним из самых простых способов защиты является использование непростых трудноподбираемых паролей. Такой метод хорошо защищает от так называемых «грубых» атак, суть которых заключается в применении злоумышленниками программ по автоподбору паролей. Пароли, состоящие из специальных символов, прочерков и пробелов, содержащих прописные буквы наряду со строчными буквами и цифрами, гораздо труднее угадать, чем имя матери или дату рождения пользователя. Также следует помнить, что при увеличении длины пароля всего на один символ, увеличивается и степень числа возможных комбинаций для подбора. В целом, пароль длинной менее 8 символом объективно считается легким для подбора. 10, 12 или 16 символов – уже гораздо лучше. Однако не стоит придумывать такие пароли, которые трудно будет запомнить или набрать.
2. Внешняя защита. Не следует целиком полагаться только на возможности системы. Даже в случае наличия всего лишь одного компьютера неплохо иметь и внешний брандмауэр/маршрутизатор. В крайнем случае, можно приобрести обычный широко распространенный роутер, например Linksys, D-Link или Netgear (есть в продаже в магазинах Best Buy, Circuit City и CompUSA). Если этого покажется мало, то стоит установить коммутаторы и маршрутизаторы «промышленного» типа от таких производителей, как Cisco, Vyatta и Foundry Networks. Как вариант, можно использовать брандмауэры, спроектированные собственноручно с нуля или предустановленные, например m0n0wall и IPCop. Помимо этого, надежной внешней защите способствуют прокси-сервера, антивирусные и антиспамовые шлюзы. Также нужно учесть, что коммутаторы в плане защиты лучше хабов, маршрутизаторы с трансляцией сетевых адресов (NAT) лучше коммутаторов, а брандмауэры и вовсе суть средство первой необходимости.
3. Обновление программного обеспечения. Для того чтобы проверка приложений на вирусы перед их установкой проходила наиболее эффективно, следует постоянно обновлять программы защиты. Долгое игнорирование появляющихся обновлений может привести к тому, что система станет легкой добычей для хакеров. Это же касается любых систем обнаружения злоупотреблений, сканирующих трафик с целью поиска вредоносного участка кода - сигнатуры, например, антивирусных программ, которые не теряют свою эффективность, только в случае своевременного пополнения базы данных кодов, соответствующих той или иной атаке.
4. Отключение неиспользуемых служб. Зачастую пользователи не знают, какие системные сетевые службы работают у них на компьютере. К примеру, Telnet и FTP часто весьма уязвимы для сетевых атак и должны быть отключены в случае, если они не используются. Следует узнать, для чего нужна та или иная служба и удостовериться, что каждая работающая действительно имеет причины для того, чтобы работать. Возможно, потребуется тщательное исследование некоторых служб на предмет соответствия тем или иным интересам пользователя, например, не будет большой ошибкой отключение службы RPC на компьютере с операционной системой Microsoft Windows, или отмена входа в систему с паролем. В любом случае, отключение неиспользуемых служб – полезная вещь.
5. Шифрование информации. Этот метод подходит для опытных продвинутых пользователей или системных администраторов. Степень шифрования данных в каждом случае определяется индивидуально в зависимости от конкретных целей и обстоятельств. Зашифровываются как отдельные файлы, так и целые диски. Системный раздел жесткого диска при этом обычно не затрагивается, поскольку тогда потребуется специальное аппаратное устройство декодировки, однако если требуется безопасность подобного уровня, и имеются соответствующие средства, то можно произвести и такое полносистемное шифрование. Если же в кодировании системного раздела нужды нет, имеется множество решений для каждого уровня шифрования, работающих как с коммерческими системами, так и с платформами на основе открытого исходного кода.
6. Резервное копирование информации. Это одно из самых важных правил защиты. Резервное копирование может быть простым и примитивным как перенесение информации на компакт-диски, так и комплексным, в виде регулярного автоматического сохранения данных на отдельном сервере. На системах, требующих перманентной беспрерывной работы, целесообразно установить матрицы RAID (тип дисковой памяти с резервированием и дублированием данных), способные автоматически восстанавливать утерянную информацию. Существуют бесплатные приложения rsync и Bacula, где в произвольной последовательности объединены схемы автоматического резервного копирования. Автоматизированные системы управления версиями программных средств (version control), например Subversion, предоставляют такую гибкую систему контроля данных, что становится возможным не только хранить резервную копию информации на другом компьютере, но также легко управлять несколькими компьютерами с одними и теми же данными без особых проблем. Использование такой системы однажды спасло автора данного очерка во время поломки основного рабочего ноутбука.
7. Кодирование сообщений. Криптографические программы для защиты сообщений от посторонних глаз распространены достаточно широко: это приложения, поддерживающие протокол OpenPGP для электронной почты, плагины Off The Record для IM-клиентов, специальное программное обеспечение для продолжительного обмена сообщениями переписки, использующее протоколы SSH и SSL, и многие другие виды приложений, служащие для того, чтобы отсылаемая информация не подверглась риску при передаче. Иногда бывает сложно убедить партнера по переписке в необходимости использования подобных программ, однако в некоторых случаях без них нельзя обойтись.
8. Осторожное отношение к чужим сетям. Это особенно важно при работе с открытыми беспроводными сетями, расположенных в кафе, аэропортах, развлекательных центрах и т.п. При достаточной осторожности и осведомленности в вопросах безопасности информации нет причин, по которым нельзя использовать сети в вышеобозначенных местах, в противном случае не стоит доверять системе безопасности этих сетей. В случае подключения к беспроводной сети следует зашифровать частную переписку, и принять меры предосторожности при вводе данных и паролей в формы веб-сайтов. Также следует убедиться в том, что неиспользуемые и уязвимые для атак сетевые службы отключены. Это относится и к сетевым файловым системам типа NFS или Microsoft CIFS, SSH-серверам, службам Active Directory и многим другим. Не помешает полная проверка системы изнутри и снаружи на предмет возможностей, которые могут использовать злоумышленники с целью ее взлома. Каждый пользователь определяет самостоятельно, какие службы следует отключать и какие сообщение при переписке считать необходимыми для шифрования. Защита данных от вредоносных атак при работе с чужой незнакомой сетью может потребовать фактически полного изменения настроек безопасности системы.
9. Источник бесперебойного питания. ИБП не только помогает сохранить информацию в случае отключения электричества, но и обеспечивает управление параметрами электропитания и предотвращает нарушение работы файловой системы. Стабилизатора напряжения недостаточно для защиты системы от сильных скачков. ИБП защищает как аппаратную, так и информационную часть.
10. Системы мониторинга нарушений и попыток атаки. После проведения всех мер по защите системы не стоит терять бдительность и полагать, что теперь информация находится в полной безопасности. Следует постоянно выявлять подозрительные события на предмет взлома системы и хакерских атак. При этом отслеживания трафика только на сетевом мониторе недостаточно, важно наряду с прочими действиями по увеличению уровня защиты проводить полную проверку входящей информации на каждой машине.
При работе в Интернете следует иметь в виду, что насколько ресурсы Всемирной сети открыты каждому клиенту, настолько же и ресурсы его компьютерной системы могут быть при определенных условиях открыты всем, кто обладает необходимыми средствами.
Для частного пользования этот факт не играет особой роли, но знать о нем необходимо, чтобы не допускать действий, нарушающих законодательства тех стран, на территории которых расположены серверы Интернета. К таким действиям относятся вольные или невольные попытки нарушить работоспособность компьютерных систем, попытки взлома защищенных систем, использование и распространение программ, нарушающих работоспособность компьютерных систем (в частности, компьютерных вирусов).
Работая во Всемирной сети, следует помнить о том, что абсолютно все действия фиксируются и протоколируются специальными программными средствами и информация как о законных, так и о незаконных действиях обязательно где-то накапливается. Таким образом, к обмену информацией в Интернете следует подходить как к обычной переписке с использованием почтовых открыток. Информация свободно циркулирует в обе стороны, но в общем случае она доступна всем участникам информационного процесса. Это касается всех служб Интернета, открытых для массового использования.
Однако даже в обычной почтовой связи наряду с открытками существуют и почтовые конверты. Использование почтовых конвертов при переписке не означает, что партнерам есть, что скрывать. Их применение соответствует давно сложившейся исторической традиции и устоявшимся морально-этическим нормам общения. Потребность в аналогичных "конвертах" для защиты информации существует и в Интернете. Сегодня Интернет является не только средством общения и универсальной справочной системой - в нем циркулируют договорные и финансовые обязательства, необходимость защиты которых как от просмотра, так и от фальсификации очевидна. Начиная с 1999 года Интернет становится мощным средством обеспечения розничного торгового оборота, а это требует защиты данных кредитных карт и других электронных платежных средств.
Принцип защиты информации в Интернете основан на том, чтобы исключить или, по крайней мере, затруднить возможность подбора адекватного метода для преобразования данных в информацию. Одним из приемов такой защиты является шифрование данных.