Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Современные методики разработки политик безопасности

Особенности защиты информации в базах данных | Д.т.н., проф. А.Ю.Щеглов (ЗАО «НПП «Информационные технологии в бизнесе») www.npp-itb.spb.ru | Ряд файловых объектов не разделяется ОС (например, папка All Users) и приложениями между пользователями. | Проведенный анализ позволяет сделать нам следующий вывод. | Отсюда получаем требование к корректности реализации СЗИ от НСД – должен контролировать доступ к ресурсу при любом способе обращения к ресурсу (идентификации ресурса). | Подобных примеров можно привести много, практически по реализации любого механизма защиты, нас ограничивает лишь формат статьи. | СЗИ от НСД, относящиеся к одному классу защищенности, могут быть ориентированы на решение различных задач защиты информации. | Способы защиты информации | Оформление таблицы рисков проекта | Снижение потерь |


Читайте также:
  1. CHINA (ПРОВЕДЕТ ПЕРЕГОВОРЫ ПО ВОПРОСАМ БЕЗОПАСНОСТИ) WITH JAPAN AND SOUTH KOREA
  2. Cреда разработки
  3. D) сохранения точных записей, определения установленных методов (способов) и сохранения безопасности на складе
  4. I. ОРГАНИЗАЦИЯ И ТЕХНОЛОГИЯ ЛУЧЕВОГО ИССЛЕДОВАНИЯ. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ЛУЧЕВОГО ИССЛЕДОВАНИЯ.
  5. III. Основные направления единой государственной политики в области гражданской обороны.
  6. IV. Реализация единой государственной политики в области гражданской обороны.
  7. IX. Политика силы

Целями защиты информации являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом, обеспечении нормальной производственной деятельности всех подразделений объекта. Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов. Для этого необходимо:
- отнести информацию к категории ограниченного доступа (служебной тайне);
- прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
- создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;
- создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в
функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;
- создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности.

При разработке политики безопасности можно использовать следующую модель (рис. 1), основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационная технология – методы защиты – критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью».


Рис. 1. Модель построения корпоративной системы защиты информации.

Представленная модель – это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Рассматриваются следующие объективные факторы:
- угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;
- уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы; - риск – фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери – прямые или косвенные).

Для создания эффективной политики безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для предприятия на основе заданного критерия. Политику безопасности и соответствующую корпоративную систему защиты информации предстоит построить таким образом, чтобы достичь заданного уровня риска.

Предлагаемая методика разработки политики информационной безопасности современного предприятия позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.

В ходе работ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные, а также информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Примерами внешних элементов являются сети связи, внешние сервисы и т.п.

При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.

Эта модель, в соответствии с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.
На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут рекомендации по проведению регулярных проверок эффективности системы защиты.

Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

По завершении работ, можно будет определить меру гарантии безопасности информационной среды, основанную на оценке, с которой можно доверять информационной среде объекта. Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. Адекватность оценки основана на вовлечении в процесс оценки большего числа элементов информационной среды объекта, глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения, строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

заключение

Важно помнить, что прежде чем внедрять какие-либо решения по защите информации необходимо разработать политику безопасности, адекватную целям и задачам современного предприятия. В частности, политика безопасности должна описывать порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения политики безопасности – это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. При этом политику безопасности желательно оформить в виде отдельного документа и утвердить руководством предприятия.

------------

Защита информации – взгляд в будущее

 

Дата: 24.03.2004 | Воронов А.В.  
function load_add_content(cont_id) { ajax_loadContent('add_content', 'http://www.xakep.ru/articles/art.asp?dir=' + cont_id) document.getElementById('pic_' + cont_id).src="http://www.xakep.ru/i/minus.jpg" }
 
 
VK.init({apiId: 2247275, onlyWidgets: true}); VK.Widgets.Like("vk_like", {type: "vertical"}, 21701);
0Share var addthis_config = {"data_track_clickback":true};

Название: Защита информации – взгляд в будущее
Автор: (нет данных)
Размер: 0 кб
Скачать:


В настоящее время проблемами информационной безопасности озабочены практически все: силовые структуры, органы власти, коммерческие и государственные предприятия. Уже давно на языке натер мозоль тезис «Кто владеет информацией – тот владеет миром». А желающих порулить на троне, как известно, всегда хватало.
Судя по современному американскому кинематографу (да и наши уже не шибко отставать стараются) – сегодня и завтра - мы живем в мире, где практически идет война. Злобные хакеры, купленные мерзкими террористами, крушат Интернет направо и налево, походя похищая миллионы долларов (чего мелочиться-то), с помощью вирусов взрывают мониторы у несчастных юзеров, проникают по сети в любой компьютер, даже выключенный из розетки, и так далее. И только славные парни, твердо держащие палец на кнопке Esc, способны спасти мир от глобальной катастрофы. На самом деле, ситуация не настолько смертельна, но все равно, заставляет задуматься о перспективах завтрашнего дня в свете развития современных информационных технологий, поскольку, благодаря им, темпы «гонки вооружений» в реальных битвах за информацию нарастают из года в год. Статистику не обманешь. Недаром, даже в уважаемый Уголовный кодекс РФ были внесены статьи о преступлениях в сфере компьютерной информации. И если отталкиваться от фактов, то пока получается, что с защитой у нас не очень, так как при применяемых сегодня подходах «броня» все более и более отстает от «снаряда». В рамках данной статьи автор хотел бы рассмотреть существующую ситуацию, и поискать хотя бы один из вероятных путей выхода из приближающегося кризиса.

1.

И так, чем характерен наступивший век? Тем что технократическое развитие цивилизации идет уже не семимильными, а семидесятимильными шагами. Не даром XXI век называют веком высоких технологий. Давайте попробуем отследить к каким результатам подобралась современная цивилизация в области хранения, обработки и передачи информации.
Миниатюризация. Словом «Нанотехнологии» сегодня можно удивить только бабушку - пенсионерку. Свыше сорока миллионов транзисторов на кристаллах площадью в несколько десятков квадратных миллиметров! А если туда еще добавить тысячи резисторов, диодов, конденсаторов и дросселей, все это залить оловом, и включить в розетку?! Вот так и получаются современные миниатюрные средства обработки информации. Полноценный компьютер с основной периферией уже помещается в пачку сигарет. Исключение пока составляет, пожалуй, принтер, и то, возможно уже разработали какого-нибудь таракана с синим зубом (Bluetooth) и пипетками на пузе, чтоб бегал по листу бумаги, и рисовал буковки. Так что, смотрите внимательно под ноги.
Повышение сложности как аппаратной так и программной составляющих современных изделий. С ростом миниатюризации появляется возможность запихнуть в тот же объем еще что-то, и денег за это попросить, или наоборот, нарастить объем, и все равно – попросить денег. В первом случае, можно взглянуть на автомобиль 1903 г и 2003 г – кто не верит, что «Ока» меньше кареты с моторчиком, может сходить в музей. Во втором – вспомним (кто может), что MS-DOS третьей версии (была такая операционка от Гейтса) помещалась на гибкую дискетку емкостью 360 кб. Что за дискета такая? Ну как вам сказать … сходите лучше в музей.
Рост производительности. Гигабайтами обрабатываемой информации сейчас тоже уже тяжело удивить. Сегодня в моде - терабайты. (Сколько нулей?) По рабочим частотам микропроцессор легко можно спутать с микроволновкой. Распараллеливание процессов обработки информации, многопроцессорность - все это способствует тому, что «фильмы на домашнем компьютере монтируются в шесть раз быстрее, чем раньше» (фраза из рекламы P-IV). Вы давно монтировали свой последний фильм? И как он вам?
И это только половина картины. Объемы передаваемой информации так же растут. Не за горами массовое наступление сетей мобильной связи третьего поколения. GSM умрет от зависти. Потоковое видео по мобильнику! Класс! Можно объясниться девушке в любви, находясь за тысячи километров, и при этом наблюдать в режиме реального времени с разрешением 800х600 как она краснеет от смущения. Бедные экзаменаторы, ведь наглые студенты в секунду смогут обменять изображение билета на пару страниц конспекта с ответом. Уже сегодня радиосети по пропускной способности, с учетом стоимости эксплуатации, составляют серьезную конкуренцию проводным. А оптоволокно? Ведь несмотря на гигабитные скорости передачи, специалисты утверждают, что до предела еще далеко.
Автономность. Как часто вы заряжаете аккумулятор вашего мобильного телефона? Раз в четыре дня? А я - раз в неделю. Автономность сегодня является одним из определяющих качеств мобильного устройства. Еще лет десять назад вы могли поверить, что телевизор будет потреблять энергии меньше чем электрическая лампочка? А кто мог догадаться, что сегодня в аккумулятор размера АА можно «засунуть» тока аж на 2000 mA/ч.? Добавьте сюда различные типы генераторов для текущей подзарядки, и в итоге, мы получаем возможность неделями не дружить с розеткой.
Доступность, независимо от географического положения. Мы уже вспоминали про краснеющую за тысячи километров девушку. А проверка уроков у сына - балбеса (вроде и умный, но шило - не скажу где) несмотря на то, что вы в командировке в Австралии, и едете по пустыне на…, на чем они там ездят? Возможность связаться с кем-то из любой точки Земли уже не фантастика. Система спутниковой телефонной связи ИРИДИУМ - один из примеров решения этого вопроса. В перспективе - же, при создании совместимых интерфейсов для различных стандартов и типов связи, не за горами возможность выхода (или входа?) в единую мировую коммуникационную сеть с практически любым средством связи. И сам процесс входа упростится до нажатия кнопки посыла вызова. Только не забудьте дома свою записную книжку.
Простота интерфейса. Вы когда-нибудь сталкивались с настройкой ОС Unix из командной строки, или, выражаясь по научному, из консоли? Ага, понимаю, читали об этом. А живьем, сами, ручками? А-а, вы столько не выпьете. Ну тогда вы согласитесь со мной, почему в мире, где желающих потыкать кнопки значительно больше, чем системщиков - юниксоидов, «Винды» имеют такую популярность. Красивый, наполненный графический интерфейс дает возможность работать на компьютере даже слабо подготовленному пользователю. Своеобразная «защита от дурака» - подсовывание окошек с надписями и кнопками, ограничивающими варианты действий (Да-Нет-Отменить). И не надо никуда лазить, система сама подскажет.
Вернемся к всемирной мобильной связи. При желании связаться со своим другом на Гаваях, вы набираете номер телефона, нажимаете клавишу «Вызов», и все, что происходит дальше – вас не интересует. Система сама найдет адресата, промаршрутизирует пути, скоммутирует каналы (слова-то какие умные!), и передаст информацию. И это удобно.
Один мой коллега сказал, что он знает два или три (пять?!) способов копирования файла в Windows из точки А в точку С. При этом, копируете вы, вставляете, или перетаскиваете, вам совершенно все равно - что происходит в системе, и что она о вас думает. Вам не важно что там читается, пишется, стирается, важно чтобы информация была там, где вы хотите. Но в системе, за красивой ширмой, на самом деле, происходят интересные вещи (кто знает - тот со мной согласится): байтики туда-сюда бегают, жесткий диск вдруг начинает шуршать без спросу. А еще, в системе есть, например, журналы регистрации различных событий (Log - файлы), куда много чего записывается, в том числе и действия пользователя. Вот мой начальник, к слову, об этом знает, и однажды решил меня напугать. Он сказал, что просмотрел записи, и, оказывается, я слишком много времени сижу в Интернете. Бедный начальник, он даже не представляет СКОЛЬКО я сижу в Интернете… Но Log - файлы, как и грязную посуду, я привык убирать за собой.
Скажу честно, конечно, приятно нажимать на кнопочки, открывать окошки, выбирать варианты «Да», «Нет», «Отменить». Это удобно и это хорошо, но до тех пор, пока в дверь не позвонит улыбчивый дядя капиталистической наружности, и не скажет, что у вас незарегистрированная копия операционной системы. Вот тогда и задумаешся: «А откуда он это узнал?» Но это - уже совсем другая история.
Интеллектуализация и автоматизация. Ваша СВЧ - печка умеет разогревать вам завтрак к 7.00 утра? А при переходе на летнее/зимнее время поправку делает? Техника становится все «умнее», причем, бытовая не в последнюю очередь. Внедрение «интеллектуальных» функций, автоматизирующих работу системы, порождает все больше устройств, которые способны самостоятельно реагировать на определенные изменения окружающей обстановки, на специфические ситуации. Широкое применение микропроцессоров и автоматизированных систем позволяет избавит человека … например, от стирки белья пузырьковым методом, или от необходимости приобретения определенных навыков (например – вождение автомобиля на четвертой скорости при утопленной в пол педали тормоза). А во всеми любимых Windows, например, идея тотальной автоматизации просто поставлена во главу угла. Возьмите банальные макросы, или встроенный VBA. Появилась возможность практически любому пользователю самостоятельно добавлять в систему новые функции, настраивать ее под себя и не только… Вы любите старую фантастику про умные машины? Помните, чем это обычно заканчивалось? Вас не мучает Дежавю?
Универсальность. Если верить рекламе, то сегодня практически все стиральные порошки, кроме «Обычного», не только стирают, но еще и гладят и сушат белье. Тенденция к универсализации устройств возрастает. Как вы думаете, что получится, если к мобильник скрестить с моторчиком и пропеллером? Правильно, мобильная сотовая радиобритва. Главное - кнопки не перепутать. Универсальность, помноженная на интеллектуализацию, открывает гигантские перспективы. Про «умные дома» слышали уже все. Удобно. Холодильник с функциями микроволновки, пылесоса, одежного шкафа и телевизора - тоже удобно. Можно с помощью кнопки «Жарко - Холодно» издеваться над американской курицей, подогревая и замораживая ее, пока она не признается - из какой нефти сделана. Можно, по забывчивости, вместе с колбасой засунуть в холодильник пиджак, и никто не будет смеяться. Наоборот, его там почистят, погладят, и он еще долго будет пахнуть морозной свежестью, если курица не умрет раньше. Ну а супруга? Она ж весь день на кухне, и ей конечно нужен телевизор! Ведь Любимые женщины - тоже друзья человека, и тоже хотят получить малую толику маленьких житейских радостей, хотя, и иногда их за это убить хочется.
Еще одно новшество - подключение «интеллектуальных железок» к Интернет, да еще и при помощи микросотовой технологии. Тоже удобно. Уходя утром на работу, можно наказать утюгу, чтоб заказал в электронном магазине поесть - попить, еще чего-нибудь, и обязательно отправил записку бабушке, чтоб прислала по электронной почте баночку любимого варенья. И скоро емкость электронных почтовых ящиков будет измеряться не только мегабайтами, но и килограммами. Хорошо? Конечно, хорошо! И здесь очень важно сотовый утюг не перепутать с сотовым телефоном.
А теперь представьте, как ваш интеллектуальный телевизор обсуждает ваше поведение после 23.00 с другим телевизором, живущим по соседству, через океан, а вам после этого приходит счет за телефонные переговоры, которых вы не совершали. Здорово, правда?!
Виртуализация процессов обработки информации в сетях. Слышали про стратегическое направление в Microsoft - «.NET»? Кто не знает - SUN уже лет десять продвигает аналогичную идею под названием «.СОМ». Они считают, что «компьютер - это сеть». И, в принципе они правы. Когда-то, давным-давно, существовали ЭВМ третьего поколения - шкафы, объединенные в единую схему проводами. У пользователя был терминал, а машина организовывала виртуальное вычислительное пространство, в котором каждой задаче отводилась отдельная область. Сейчас, на новом витке спирали развития мы вернулись к тому же, но на другом уровне. Распределенные процессы обработки и хранения информации, при наличии надежных каналов связи и высокой надежности узлов, позволяют более равномерно распределить нагрузку в сети, ускорить процессы обработки, и повысить уровень сохранности информации. А пользователю необходим только терминал, стационарный или мобильный - по желанию, и все. Больше его ничто не должно волновать, до тех пор, пока «1С-Бухгалтерия» не начнет обрабатывать информацию о его теневых доходах на компьютере, контролируемом налоговой инспекцией.
Ну вот, теперь мы имеем примерную картину сегодняшнего дня и ближайшего будущего в информационно-технологической сфере. Давайте рассмотрим возможности, которые доступны, или будут доступны в ближайшей перспективе потенциальным злоумышленникам, жаждущим нашей информации. Хочу предупредить сразу, это не попытка нагнетания истерии, и не шизофренические проявления, а всего-навсего рассмотрение возможных вариантов.

2.

С увеличением интеграции узлов и компонентов в устройстве обработки информации, усложняется проведение специальной проверки данного устройства на наличие в нем модулей, выполняющих несанкционированные, с точки зрения пользователя, действия. Такая проверка обязательна, если вопрос касается гостайны, но и в некоторых других случаях она не вредна. При размещении на кристалле нескольких миллионов транзисторов, ничто не мешает несколько тысяч из них выделить для выполнения каких-либо специальных действий. И никто, в перспективе, не сможет дать вам гарантию (прецеденты уже есть), что этот узел, к примеру, не уничтожит всю информацию на вашем компьютере по команде свыше. А миниатюризация мобильных средств хранения информации упрощает их хищение. Flash-микросхема - это не стопка дискет.
Кроме того, с ростом сложности системы понижается ее надежность. А что мешает понизить надежность умышленно? И вот, в самый ответственный момент, когда вы говорите девушке: «Я вас…», связь пропадает. А до ближайшего исправного таксофона, между прочим, три дня пути на верблюдах. Так она и не узнает: любите вы ее, или еще чего-нибудь.
К тому же, с ростом сложности системы в целом - растет количество «дыр» в системе защиты, растет число обходных путей для злоумышленника. Примеры последних версий Windows показательны.
Увеличение производительности вычислительной системы и емкости каналов связи позволяет злоумышленнику в более короткие сроки произвести вскрытие паролей и ключей доступа, организовать более интенсивное воздействие на ваш узел информационной сети, и умыкнуть объемы информации такие, что даже таблетки от жадности не помогут. Недаром, сегодня в характеристиках средств «закрытия» информации указывают не сроки, а количество операций, необходимых для получения несанкционированного доступа.
Мобильность пользователей позволяет «достать» их в любой точке земного шара, в перспективе - с определением географических координат (при одновременном усложнении определения и перехвата злоумышленника), что дает возможность отследить маршрут их передвижения. Вот сидите вы утром на кухне, и вдруг влетает к вам в окно ракета с handsfree и мобильником на шее. Зачем ракете handsfree? Так у нее же рук нет! Как ей с мобильником обращаться-то?
Использование открытых каналов передачи информации облегчает возможность перехвата трафика. Спросите любую бабусю, из сидящих на лавочке у подъезда, и она вам скажет, что: «все телефоны подслушивают, я точно знаю». Если не скажет, значит она забыла что такое телефон.
Естественно, по открытым каналам конфиденциальную или приватную информацию в открытом виде передают все меньше, но кое-что отловить еще можно. Кроме того, встает вопрос надежности используемых в открытом канале методов закрытия информации. А воздействие на открытый канал с целью ухудшения его характеристик, может быть более эффективным, чем на какой-либо специализированный.
И снова о красивом интерфейсе. Выше уже упоминалось, что за приятной глазу оболочкой могут скрываться весьма неприятные вещи, особенно в Windows с ее закрытыми кодами. И неизвестно, кого надо бояться больше - злобных хакеров или пройдоху Билли. Еще пример: сегодня все чаще можно услышать о возможности дистанционного управления мобильным телефоном с целью акустического контроля действий абонента (чем ни радиомикрофон?). И эта информация появилась не на пустом месте. Ни для кого не секрет, что во многих моделях проводных АТС иностранного производства существуют «полицейские» функции. Секрет для большинства - как ими воспользоваться. Где гарантия, что таких функций нет в аппаратуре мобильной связи? Ведь, что такое телефонный аппарат сотовой связи - тот же компьютер, с клавиатурой, монитором и операционной системой, да еще и передатчиком - в придачу. А вы слышали, чтоб средства мобильной связи хоть раз проходили спецпроверку? Я - нет. А там, между прочим, все те же кнопочки и окошки с сообщениями - пользовательский интерфейс.
А что нам несут интеллектуальные функции? И снова о Windows. Безграничная и бесконтрольная автоматизация в виде скриптов, макросов, приложений VBA, технологии СОМ, о которых написано уже немало, может нанести серьезный ущерб системе защиты информации в целом, причем легальными средствами. Любая ОС, которая допускает протекание скрытых процессов, которая самопроизвольно, без оповещения пользователя, производит какие-либо действия с информацией опасна сама по себе, не говоря уже о возможностях злоумышленников.
Оборотная сторона интеллектуализации - более изощренная реализация угроз в отношении защищаемой информации, использование таких возможностей системы, с которыми не справятся существующие средства защиты. И не надо смеяться, между прочим, наш лицензионный AVP на «Нимду» не отреагировал никак.
Примерно то же самое можно сказать и об универсализации. Появляется возможность использования устройства в задачах, для решения которых оно изначально не предназначалось, возможность воздействия на одни функции устройства через другие. О легальных радиомикрофонах мы уже говорили. Про фотоаппараты, видеокамеры и диктофоны в сотовых телефонах даже упоминать не будем. А вот, к примеру, вы знаете, что звук можно писать на цифровую фотокамеру? Да, да – на ваш любимый «Олимпус», комментарии к фотоснимкам. При желании, я думаю, можно так накомментировать, что и вам хватит, и детям останется. Одна просьба, когда вас будут «брать» - не говорите, что это я вам подсказал.
И последнее – распределенная обработка информации. Сети – это хорошо, но когда оно, свое, родное лежит на дискетке, в кармашке у сердца, конечно – спокойнее. Легче, когда оно рядом, здесь, а не где-то там, … знает, где. Кто его знает, как там защита организована? А какой администратор, и есть ли он там вообще. А надежна ли сеть? И где гарантия, что моя информация не обрабатывается прямо на компьютере у хакера Васи, которого пивом не пои - дай гадость сделать? А что, например, делать, если вы написали душещипательное электронное письмо девушке Маше, после чего переместились со своим мобильным терминалом в другое место, а душещипательный ответ, из-за сбоя в системе, пришел по старому адресу, где сейчас сидит ваша жена?

На этом предлагаю рассмотрение текущего вопроса завершить. Я думаю, что основную массу возможностей злоумышленника мы обозначили, и теперь стоит подумать - как нам от всех этих напастей уберечься. Чем и займемся.

3.

Ситуация в области защиты информации сегодня складывается для «защитников» не лучшим образом. В сфере информационных технологий средства защиты всегда отставали от средств нападения (возможно умышленно) как минимум - на один шаг. При современных скоростях прогресса и существующих подходах отставание будет только увеличиваться. Выход из этого кризиса возможен только при кардинальном изменении подходов к организации защиты информации. Система информационной безопасности должна быть одним из компонентов, составляющих основу системы обработки информации.
Одной из основных проблем при решении данного вопроса является отставание России в информационно-технологической сфере, особенно в производстве. Мы, конечно, не Америка, и от электронной заразы не умрем, но то, что у них персоналка стоит пятьсот долларов, а у нас шестнадцать тысяч рублей – обидно, да? Хотя, программы пишем, и «Эльбрусы» придумываем не хуже других.
Второй серьезной проблемой является, на мой взгляд, современная методология организации защиты информации. Технологически процесс выглядит так: берется типовой компьютер - законченная интегрированная система, и на него навешивается еще одна система – система защиты информации, чужеродная. Порочность данного подхода в том, что в этом случае из двух отдельных системообразующих компонент не получается единой защищенной системы, которая, согласно теории системного анализа, должна приобрести новые свойства, отсутствующие у исходных компонент. В нашем случае - есть компьютер и есть средство защиты. Убираем средство защиты - компьютер продолжает нормально функционировать! Переносим средство защиты на другой компьютер – получаем новую «защищенную систему». Нонсенс. При удалении одной из базовых компонент система должна перестать существовать!
Вся мировая беда (а может и комизм) современной ситуации в области защиты информации состоит в том, что вся работа проводится по старинке (голой шашкой на танк!). В сельском хозяйстве было такое понятие: «экстенсивный путь развития». Похоже – оно самое происходит и в нашем хозяйстве. Возьмем типовой пример – компьютерные вирусы. Количество разнообразных антивирусных программ, наверное, скоро догонит количество вирусов. Но при этом, «эпидемии», почему-то, случаются все чаще. Ранее я уже упоминал вирус «Нимда» и его (ее) друга AVP. Кто-то скажет: «Надо было вовремя обновлять антивирусные базы!», и будет по своему прав. Но представьте, какого размера будут базы через пару лет? А ведь когда-то на дискету помещались. Для антивирусной защиты, что, надо будет ставить отдельный компьютер? Кстати, последний «писк» AVP – v.4 на ядре «Прага» все пробовали? Этот Бармаглот просто «подвешивает» машину. При включенном антивирусном мониторе загрузка банального документа в MSWORD тянется до двух минут! Как тут работать? И это при конфигурации: Celeron 650, 64 Мб ОЗУ и 100 МГц шина. Или в офис предлагается ставить P-IV?
До сих пор вирус попадает в антивирусную базу только после того, как подгадит где-то. А про нынешний эвристический анализ даже вспоминать не хочется. До сих пор не существует нормальной математической модели «жизнедеятельности» этих «существ», на которую можно было бы опереться разработчикам. Если не хватает средств, значит пора государству обратить внимание на проблему, взять контроль над ее решением. Пора обратиться к биологам, тем более, что понятие «вирус» пришло от туда. Пример из жизни – аскорбиновая кислота, употребляемая нами в том числе и при угрозе эпидемии гриппа. Насколько я помню – версия продукта не менялась тысячелетиями, изменялись только варианты дистрибутивов. При высокой эффективности средство совершенно не требовательно к ресурсам (привет Касперскому!), и не требует обновлений. Компьютерные антивирусные средства должны быть аналогичны. Средства защиты нового поколения должны отлавливать любой вирус по признакам его деятельности, независимо от того, старый он или новый. Конечно, прогресс не стоит на месте, и продукты, так же должны развиваться, но версия ПО не должна изменяться с появлением каждого нового вируса. И вот тогда мегабайтные базы данных вирусов отойдут в прошлое. Только это, боюсь, не очень понравится фирмам – производителям антивирусного ПО, кому они тогда будут нужны со своими еженедельными обновлениями?
Сегодня в СМИ все чаще появляются статьи с воплями (между строк) «А-А-А, мы все умрем от компьютерного гриппа (а любители разгона – от SPEED-а)!!!». Не знаю про нас, но, если в ближайшие годы не изменить подходы к решению подобных проблем, то Интернет точно умрет. Основная масса интернет-мощностей будет занята рассылкой вирусов, перекачкой обновлений антивирусных баз, и борьбой вирусов с антивирусами. А мы, сможем наконец оторваться от бесполезного компьютера, и вспомнить о любимых женщинах, детях, машине и… я забыл, у нас кошка или собака?
И последний штрих. Если вы – человек наблюдательный, то вы заметили, что основная масса современного ПО – бетта-версии. Таковы законы бизнеса – хапнуть побольше и побыстрее. Доводка происходит в процессе. О сложности современных продуктов информационных технологий мы уже говорили, так что – выводы делайте сами. Защищенная система должна быть некоммерческой, и она должна «вылизываться» перед вводом в эксплуатацию (только не надо кричать, что я апологет Linux).

Таков, на мой взгляд, примерный перечень требований к узлам сети, предназначенной для обработки защищаемой информации. При реализации комплексов обработки информации с учетом вышеприведенных требований, или аналогичных им, возможно создание полноценной системы защиты. С учетом современных вычислительных и коммуникационных мощностей, применение функций системы защиты не должно оказывать заметных тормозящих действий на процессы обработки информации. Стоимость таких комплексов, естественно, будет выше обычных, да ведь и не в DOOM на них играть собрались.
Вот, собственно, и вся моя точка зрения на проблему, которая может не совпадать с вашей. Ну а время покажет - кто был прав, желающих порулить на троне пока не убавилось.

-------------------

Безопасность и информационные технологии будущего

Автор: Алексей Лукацкий
Опубликовано в журнале "CIO" №6 от 20 июня 2005 года

2008-й год… Среднестатистический сотрудник среднестатистической российской компании открыл свой лэптоп, дождался загрузки Windows Longhorn и стал читать почту, «свалившуюся» за ночь. Попутно он звонил по телефону и делал какие-то заметки в своем iPAQ’е, автоматически синхронизирующиеся с корпоративной ERP-системой. Через полчаса его отвлек женский голос: «Милый, ты не освободишь комнату, а то мне маленького надо уложить?» Нисколько не смутившись, наш герой взял лэптоп в руки и переместился с ним на кухню, не прерывая беседы по телефону. На кухне он продолжил отвечать на письма и делать телефонные звонки, вовсе и не думая собираться на работу…

Не так давно эта картина показалась бы фантастической. Но уже сегодня возможности новых информационных технологий — IP-телефонии, беспроводной связи и др., позволяющие превратить лэптоп в собственный деловой центр, не зависеть от сетевых розеток и всегда быть на связи, никого не удивляют. При этом используемые устройства становятся все миниатюрнее и все мобильнее.

Вспомните, еще пять-шесть лет назад мобильный телефон был диковинкой даже в Москве и его обладателя сразу относили к «новым русским». А сейчас? Не иметь «мобильника» считается дурным тоном. То же начинает происходить с карманными компьютерами и смартфонами, которые используются как персональные органайзеры, в которых зачастую хранится очень важная или конфиденциальная информация. Во время моей учебы в институте жесткий диск объемом 20 Мбайт считался недостижимой роскошью, а сейчас практически невозможно найти «флешку» меньше 128 Мбайт. И это не предел. На последнем CeBIT’е демонстрировался мобильный телефон с жестким диском емкостью 3 Гбайта. Чего уж ожидать от будущих ноутбуков или серверов, для которых терабайтный диск станет нормой! Около семи лет назад я стал обладателем модема, работающего на скорости 33,6 Кбит/с. Я был счастлив. Сегодня я выхожу в Интернет со скоростью 7,5 Мбит/с и мне уже не хватает этой скорости. Видео по требованию, IP-телевидение, интернет-радио… Все эти новомодные развлечения требуют больших скоростей, и производители стараются удовлетворить желания пользователей. Всё ли я перечислил? Нет, не всё.

Информационные технологии прочно вошли в нашу жизнь и вторглись в области, доселе для них недоступные. Уже сейчас на Западе можно приобрести холодильник или микроволновую печь с подключением к Интернету. Выходя с работы, вы можете дать команду СВЧ-печи на подогрев вашего ужина, а холодильник самостоятельно может контролировать свежесть заложенных в него продуктов, связываться с поставщиком и заказывать фрукты и овощи, мясо и молоко. А совсем недавно потребителям был представлен унитаз с IP-модулем, который может проводить экспресс-анализ экскрементов и связываться с личным врачом пользователя в случае выхода контролируемых параметров за заданные пределы. Можно с уверенностью сказать, что информационные технологии станут неотъемлемой частью жилища будущего.


Дата добавления: 2015-11-14; просмотров: 68 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Основні перспективні напрями розвитку інформаційних технологій.| Ахиллесова пята

mybiblioteka.su - 2015-2024 год. (0.022 сек.)