текст_1(all). Контрольные вопросы для самостоятельной про верки освоенного материала. Для студентов специальности 062100 Управление пер соналом
Скачать 1.61 Mb.
|
Тема 6. КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Компьютерные информационные технологии включают в себя три составные части: 1. Комплекс технических средств управления информационными ресурсами. 2. Комплекс программных средств. 3. Организационно-методическое обеспечение. 6.1. Комплекс технических средств управления информационными ресурсами В составе комплекса технических средств обеспечения управления информационными ресурсами выделяют средства компьютерной техни- ки, средства коммуникационной техники и средства организационной техники (рис. 6.1). Технические средства управления информационными ресурсами Средства компьютерной техники Средства организационной техники Средства комммуникационной техники Рис. 6.1. Технические средства управления информационными ресурсами 6.1.1. Средства коммуникационной техники Средства коммуникационной техники обеспечивают одну из ос- новных функций управленческой деятельности – передачу информации в рамках системы управления и обмен данными с внешней средой, предполагают как автономное функционирование, так и в комплексе со средствами компьютерной техники. К средствам коммуникационной техники относятся (рис. 6.2): – средства и системы стационарной и мобильной телефонной связи; – средства и системы телеграфной связи; – средства и системы факсимильной передачи информации и мо- демной связи; – средства и системы кабельной и радиосвязи, включая оптико- волоконную и спутниковую связь. 51 Средства коммуникационной техники Телефонная связь Факсимильная передача информации и модемная связь Телеграфная связь Спутниковая связь Рис. 6.2. Средства коммуникационной техники Телефонная связь является самым распространенным видом опера- тивной административно-управленческой связи. Абонентами сети теле- фонной связи являются как физические лица, так и предприятия. Теле- фонную связь можно разделить на: – телефонную связь общего пользования (городскую, междугород- ную и др.); – внутриучрежденческую телефонную связь. Особыми видами телефонной связи являются: радиотелефонная связь, видеотелефонная связь. Внутриучрежденческие АТС используются в фирмах для организации некоторого количества дополнительных внутренних телефонов: все внеш- ние вызовы принимаются АТС и переводятся на внутренние телефоны. Для всех фирм остро стоит проблема организации оперативной, высокоскоростной, многофункциональной и качественной связи со своими партнерами, сотрудниками, потребителями товаров и услуг. Интеграцию и организацию эффективного взаимодействия разно- родных локальных информационных инфраструктур в единую инфор- мационную телекоммуникационную сеть позволяют выполнить систе- мы компьютерной телефонии. Компьютерной телефонией называется технология, в которой компьютерные ресурсы применяются для выполнения исходящих и приема входящих звонков и для управления телефонным соединением. Интернет-телефония (IP-телефония) – технология, которая ис- пользуется в Internet для передачи речевых сигналов. В Интернет-телефонии существуют несколько типов телефонных запросов, среди которых запросы: – с телефона на телефон; – с компьютера на телефон; – с компьютера на компьютер. Услуга IP-телефонии «телефон–Интернет–телефон» – это звонок с телефона на телефон в режиме тонального набора (в современных теле- фонных системах существует два способа кодирования набираемого 52 номера: импульсный и тональный). Такая возможность становится ре- альностью, если вы приобретаете (перед осуществлением звонка) спе- циальную PIN-карту, становясь владельцам лицевого счета, с которого по окончании разговора будет списана соответствующая сумма. 6.1.2. Средства организационной техники Средства организационной техники предназначены для механиза- ции и автоматизации управленческой деятельности во всех ее прояв- лениях. К таким средствам относится достаточно большой перечень технических средств, устройств и приспособлений, начиная от ка- рандашей и заканчивая сложными системами и средствами передачи информации. Применение средств оргтехники в офисных процедурах и процес- сах связано с выполнением различных операций по обработке докумен- тированной информации или с организацией управленческого или ино- го труда. Поэтому классификация всей номенклатуры средств проводи- лась по функциональному признаку и была закреплена в соответствую- щем государственном стандарте (ГОСТ) (рис. 6.3): – носители информации; – средства составления и изготовления документов; – средства репрографии и оперативной полиграфии; – средства обработки документов; – средства хранения, поиска и транспортировки документов; – офисная мебель и оборудование; – другие средства оргтехники. Средства организационной техники Носители информации Другие средства оргтехники Средства составления и изготовления документов Средства хранения, поиска и транспортировки документов Офисная мебель и оборудование Средства репрографии и оперативной полиграфии Средства обработки документов Рис. 6.3. Средства организационной техники 53 Средства оперативной полиграфии – машины, предназначенные для тиражирования документов. К этим средствам относятся: – машины для гектографической (спиртовой) печати; – оборудование для оперативной офсетной печати; – машины для трафаретной (ротаторной) печати; – средства ризографического копирования (ризографы, дубликаторы). Ризограф – копировально-множительный аппарат, предназначен- ный для оперативного выпуска печатной продукции, где нет слишком высоких требований по качеству печати. В основу тиражирования на ризографе положен принцип «трафаретной печати». Наибольшей попу- лярностью пользуются тиражирование прайс-листов, бюллетеней, оп- росных листов, инструкций, справочные или технические материалы. Средства обработки документов используются в условиях совре- менного офиса для обеспечения единого порядка оформления докумен- тов, придания им формы, удобной для наглядного представления и практического использования информации. К этим техническим средст- вам относятся: – фальцевальные, биговальные, перфорирующие и резательные машины; – машины и устройства листоподборочные и сортировальные; – скрепляющее, склеивающее и переплетное оборудование; – конвертовскрывающие и резательные машины; – машины для нанесения защитных покрытий на документы; – адресовальные, штемпелевальные и франкировальные машины; – машины для уничтожения документов; – агрегативные линии для обработки корреспонденции. 6.2. Программные средства современных информационных технологий Программные средства современных информационных технологий в целом подразделяются на системные и прикладные. Прикладные программные средства классифицируются следующим образом: – системы подготовки текстовых, табличных и др. документов; – системы подготовки презентации; – системы обработки финансово-экономической информации; – системы управления базами данных; – личные информационные системы; – системы управления проектами; – экспертные системы и системы поддержки принятия решения. Личные информационные системыпредназначены для инфор- мационного обслуживания рабочего места управленческого работника 54 и, по существу, выполняют функции секретаря. Они, в частности, по- зволяют: – планировать личное время на различных временных уровнях, при этом система может своевременно напоминать о наступлении заплани- рованных мероприятий; – вести персональные или иные картотеки и автоматически выби- рать из них необходимую информацию; – вести журнал телефонных переговоров и использовать функции, характерные для многофункциональных телефонных аппаратов; – вести персональные информационные блокноты для хранения разнообразной личной информации. Системы подготовки презентаций предназначены для квалифи- цированной подготовки графических и текстовых материалов, исполь- зуемых в целях демонстрации на презентациях, деловых переговорах, конференциях. Для современных технологий подготовки презентаций характерно дополнение традиционных графики и текста такими форма- ми информации, как видео- и аудиоинформация, что позволяет говорить о реализации гипер-медиа технологий. Системы управления проектами предназначены для управления ресурсами различных видов (материальными, техническими, финансо- выми, кадровыми, информационными) при реализации сложных науч- но-исследовательских и проектно-строительных работ. Экспертные системы и системы поддержки принятия решений предназначены для реализации технологий информационного обеспече- ния процессов принятия управленческих решений на основе примене- ния экономико-математического моделирования и принципов искусст- венного интеллекта. Системы интеллектуального проектирования и совершенство- вания управления предназначены для использования так называемых CASE-технологии (Computer Aid System Engineering), ориентированных на автоматизированную разработку проектных решений по созданию и совершенствованию систем организационного управления. 6.3. Организационно-методическое обеспечение информационных технологий Организационно-методическое обеспечение информационных тех- нологий включает в себя: – нормативно-методические материалы по подготовке и оформле- нию управленческих и иных документов в рамках конкретной функции обеспечения управленческой деятельности; – инструктивные и нормативные материалы по эксплуатации технических средств, в том числе по технике безопасности работы и 55 по условиям поддержания нормальной работоспособности обору- дования; – инструктивные и нормативно-методические материалы по орга- низации работы управленческого и технического персонала в рамках конкретной информационной технологии обеспечения управленческой деятельности. Вопросы для самопроверки 1. Из каких частей состоят компьютерные информационные техно- логии? 2. Что можно отнести к средствам коммуникационной техники? 3. Какие виды телефонной связи вы знаете? 4. Какая технология называется компьютерной телефонией? 5. Какие типы телефонных запросов существуют в Интернет- телефонии? 6. Для чего предназначены средства организационной техники? 7. Для чего используются средства обработки документов? 8. Каким образом классифицируются прикладные программные средства? 9. Для чего предназначены личные информационные системы? 10. Для чего предназначены системы подготовки презентаций? 11. Для чего предназначены системы управления проектами? 56 Тема 7. КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 7.1. Понятие информационной безопасности Безопасность информации (данных) – состояние защищенности информации (данных), при котором обеспечены еѐ (их) конфиденци- альность, доступность и целостность. Информационная безопасность – защита конфиденциальности, це- лостности и доступности информации. 1. Конфиденциальность: обеспечение доступа к информации толь- ко авторизованным пользователям. 2. Целостность: обеспечение достоверности и полноты информации и методов еѐ обработки. 3. Доступность: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости. Информационная безопасность (англ. information security) – все аспек- ты, связанные с определением, достижением и поддержанием конфиденци- альности, целостности, доступности, неотказуемости, подотчетности, ау- тентичности и достоверности информации или средств еѐ обработки. Безопасность информации (данных) (англ. information (data) security) – состояние защищенности информации (данных), при котором обеспечива- ются еѐ (их) конфиденциальность, доступность и целостность. Безопасность информации (данных) определяется отсутствием не- допустимого риска, связанного с утечкой информации по техническим ка- налам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии. Безопасность информации (при применении информационных тех- нологий) (англ. IT security) — состояние защищенности информацион- ной технологии, обеспечивающее безопасность информации, для обра- ботки которой она применяется, и информационную безопасность авто- матизированной информационной системы, в которой она реализована. Безопасность автоматизированной информационной системы – со- стояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность, доступность, цело- стность, подотчетность и подлинность еѐ ресурсов. В качестве стандартной модели безопасности часто приводят мо- дель из трѐх категорий: конфиденциальность (англ. confidentiality) – состояние информа- ции, при котором доступ к ней осуществляют только субъекты, имею- щие на него право; 57 целостность (англ. integrity) – избежание несанкционированной модификации информации; доступность (англ. availability) – избежание временного или по- стоянного сокрытия информации от пользователей, получивших права доступа. Выделяют и другие не всегда обязательные категории модели безо- пасности: неотказуемость или апеллируемость (англ. non-repudiation) – не- возможность отказа от авторства; подотчѐтность (англ. accountability) – обеспечение идентифика- ции субъекта доступа и регистрации его действий; достоверность (англ. reliability) – свойство соответствия преду- смотренному поведению или результату; аутентичность или подлинность (англ. authenticity) – свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случай- ных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или под- держивающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предот- вращению таких воздействий. 7.2. Исторические аспекты возникновения и развития информационной безопасности Объективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интере- сов, которым может быть нанесен ущерб путем воздействия на средства информационных коммуникаций, наличие и развитие которых обеспе- чивает информационный обмен между всеми элементами социума. Учитывая влияние на трансформацию идей информационной безо- пасности, в развитии средств информационных коммуникаций можно выделить несколько этапов: I этап – до 1816 года – характеризуется использованием естествен- но возникавших средств информационных коммуникаций. В этот пери- од основная задача информационной безопасности заключалась в защи- те сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение. 58 II этап – начиная с 1816 года – связан с началом использования ис- кусственно создаваемых технических средств электро- и радиосвязи. Для обеспечения скрытности и помехозащищенности радиосвязи необ- ходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого кодирования сообщения (сигнала) с последующим декодированием принятого сообщения (сигнала). III этап – начиная с 1935 года – связан с появлением радиоло- кационных и гидроакустических средств. Основным способом обеспе- чения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение за- щищенности радиолокационных средств от воздействия на их прием- ные устройства активными маскирующими и пассивными имитирую- щими радиоэлектронными помехами. IV этап – начиная с 1946 года – связан с изобретением и внедрени- ем в практическую деятельность электронно-вычислительных машин (ком- пьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации. V этап – начиная с 1965 года – обусловлен созданием и развитием локальных информационно-коммуникационных сетей. Задачи инфор- мационной безопасности также решались, в основном, методами и спо- собами физической защиты средств добывания, переработки и передачи информации, объединенных в локальную сеть путем администрирова- ния и управления доступом к сетевым ресурсам. VI этап – начиная с 1973 года – связан с использованием сверхмо- бильных коммуникационных устройств с широким спектром задач. Уг- розы информационной безопасности стали гораздо серьезнее. Для обес- печения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка но- вых критериев безопасности. Образовались сообщества людей – ха- керов, ставящих своей целью нанесение ущерба информационной безо- пасности отдельных пользователей, организаций и целых стран. Ин- формационный ресурс стал важнейшим ресурсом государства, а обеспе- чение его безопасности – важнейшей и обязательной составляющей на- циональной безопасности. Формируется информационное право – новая отрасль международной правовой системы. VII этап – начиная с 1985 года – связан с созданием и развитием глобальных информационно-коммуникационных сетей с использовани- ем космических средств обеспечения. Можно предположить, что оче- редной этап развития информационной безопасности, очевидно, будет связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в простран- 59 стве и времени, обеспечиваемым космическими информационно-комму- никационными системами. Для решения задач информационной безо- пасности на этом этапе необходимо создание макросистемы информа- ционной безопасности человечества под эгидой ведущих международ- ных форумов. 7.3. Основные составляющие информационной безопасности Информационная безопасность – многогранная, многомерная об- ласть деятельности, в которой успех может принести только системати- ческий, комплексный подход. Спектр интересов субъектов, связанных с использованием инфор- мационных систем, можно разделить на следующие категории: обеспе- чение доступности, целостности и конфиденциальности информацион- ных ресурсов и поддерживающей инфраструктуры. Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации. Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевает- ся актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Наконец, конфи- денциальность – это защита от несанкционированного доступа к ин- формации. Информационные системы создаются (приобретаются) для получе- ния определенных информационных услуг. Если по тем или иным при- чинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отно- шений. Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и мате- риальные, и моральные – может иметь длительная недоступность ин- формационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.). Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относя- щуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частно- сти, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений. Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит «руководством к действию». Рецептура ле- 60 карств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказать- ся в буквальном смысле смертельным. Неприятно и искажение офици- альной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информацион- ных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закры- тыми, так что большинство пользователей лишено возможности соста- вить представление о потенциальных рисках. Во-вторых, на пути поль- зовательской криптографии как основного средства обеспечения кон- фиденциальности стоят многочисленные законодательные препоны и технические проблемы. 7.4. Что угрожает информационной безопасности Действия, которые могут нанести ущерб информационной безопас- ности организации, можно разделить на несколько категорий. 1. Действия, осуществляемые авторизованными пользователями. В эту категорию попадают: 1) целенаправленная кража или уничтожение данных на рабочей станции или сервере; 2) повреждение данных пользователем в результате неосторожных действий. 2. «Электронные» методы воздействия, осуществляемые хакерами. Под хакерами понимаются люди, занимающиеся компьютерными преступлениями как профессионально (в том числе в рамках конкурентной борьбы), так и просто из любопытства. К таким методам относятся: не- санкционированное проникновение в компьютерные сети; DoS-атаки. Целью несанкционированного проникновения извне в сеть пред- приятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных це- лях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т.п. Атака типа DoS (сокр. от Denial of Service – «отказ в обслуживании») – это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое-то время вывести их из строя. 61 Это, как правило, влечет за собой нарушения в бизнес-процессах компа- нии-жертвы, потерю клиентов, ущерб репутации и т.п. Официальной информации по частоте их проведения в Интернете нет, но есть все основания утверждать, что такие атаки на более менее крупные информационные ресурсы проводятся как минимум ежеднев- но. Цель атакующих – сделать недоступным из Интернета тот или иной ресурс. Чаще всего это просто блокирование доступа, иногда вывод это- го ресурса из строя (наиболее известное последствие для последнего – синий экран на компьютерах под управлением Microsoft систем). Ино- гда DoS-атака может являться частью другой, более широкомасштабной и сложной акции, направленной на взлом ресурса. Основные типы DoS-атак Блокирование каналов связи и маршрутизаторов осуществляется с помощью мощного потока пакетов (flood), полностью забивающего всю ширину канала или входной маршрутизатор и не дающего возможности для прохождения пакетов пользователей. При этом атаки проводятся с систем с быстрыми сетевыми интерфейсами, расположенных на высо- коскоростных каналах. При определенных условиях DoS-атака может создать серьезные проблемы на маршрутизаторах, использующих динамические роутинго- вые протоколы, поскольку с ее помощью можно вызвать автоматиче- ское переключение роутеров на запасные маршруты. Атаки, использующие ошибки в реализации стека протоколов TCP/IP в операционной системе. Основой таких атак является генерация последовательности сетевых пакетов, при обработке которой проявля- ется искомая ошибка реализации. Как результат можно получить стремящуюся к бесконечности за- грузку процессора, захват ядром или приложением всей доступной па- мяти. В качестве примера можно привести Teardrop и Land. Как прави- ло, для проведения такой атаки требуется послать один пакет. Однако по мере устранения ошибок в реализации сетевого стека такие атаки реализуются все реже и реже. Атаки, направленные на переполнение ресурсов операционной сис- темы или приложений. Поскольку каждая система или работающее на ней приложение имеют ограничения по множеству параметров, как на- пример, максимальное количество одновременных соединений, файло- вых дескрипторов и т.д., атакующий пытается заставить программу пре- высить этот ресурс. Последствием такой атаки обычно является неспособность атакуе- мого сервиса обслужить штатных абонентов, а в идеале – полная неспо- собность атакуемой системы к сетевой деятельности. Иногда атаке под- вергается входной маршрутизатор, который бомбардируется маленькими 62 перекрывающимися фрагментами. В результате запросы пользователей не проходят к серверу, расположенному за маршрутизатором, из-за перепол- нения внутренних ресурсов маршрутизатора. Как правило, после прекра- щения атаки все приходит в норму само собой, но в некоторых случаях ситуация может потребовать вмешательства администратора. 3. Компьютерные вирусы. Отдельная категория электронных методов воздействия – компью- терные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко исполь- зующего компьютерные сети, интернет и электронную почту. Проник- новение вируса на узлы корпоративной сети может привести к наруше- нию их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям фи- нансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании. 4. Спам. Еще одним каналом утечки конфиденциальной информации, кото- рым могут воспользоваться инсайдеры, является электронная почта. На сегодняшний день электронная почта является стандартом современных корпоративных коммуникаций, и компания, которая ей не пользуется, обрекает себя на информационное прозябание. С другой стороны, отсутствие контроля электронной почты чревато тем, что нелояльно настроенный сотрудник может отправить письмо с конфиденциальной информацией кому-либо, для кого эта информация не предназначена, например, конкурентам или на свой домашний адрес. Если после этого отправленное письмо удалить из папки «Отправлен- ные», то на рабочей станции пользователя не останется от него никаких следов, а на почтовом сервере может быть зафиксирован только факт отправки письма, без его содержимого. При этом злой умысел необяза- телен – любой пользователь может по ошибке отправить электронное сообщение не тому адресату. Кроме этого, в корпоративной практике руководителям часто при- ходится решать конфликтные ситуации между сотрудниками, клиента- ми, партнерами, притом, что возникновение и развитие таких ситуаций сопровождается перепиской по электронной почте. В этом случае для восстановления картины происшедшего необходимо проанализировать переписку, которая сопровождала конфликт. Если в компании ведется архив электронных сообщений, то задача такого анализа не требует привлечения технических специалистов и может быть выполнена руко- водителем любого уровня. Электронная почта стала главным каналом распространения вредо- носных программ; спам отнимает массу времени на просмотр и после- 63 дующее удаление сообщений, вызывает у сотрудников чувство психо- логического дискомфорта; как частные лица, так и организации стано- вятся жертвами мошеннических схем, реализуемых спамерами (зачас- тую подобного рода события потерпевшие стараются не разглашать); вместе со спамом нередко удаляется важная корреспонденция, что мо- жет привести к потере клиентов, срыву контрактов и другим неприят- ным последствиям; опасность потери корреспонденции особенно воз- растает при использовании черных списков RBL и других «грубых» методов фильтрации спама. 5. «Естественные» угрозы. На информационную безопасность компании могут влиять разно- образные внешние факторы: причиной потери данных может стать не- правильное хранение, кража компьютеров и носителей, форс-мажорные обстоятельства и т.д. Современные корпорации сталкиваются с бурным ростом объемов данных, необходимых для их повседневной работы. Этот рост вызван потребностью иметь «на кончиках пальцев» финансовую, маркетинго- вую, техническую, статистическую и другую информацию для опера- тивного реагирования на изменения рыночной ситуации, поведение конкурентов и клиентов. С другой стороны, высокая степень централизации корпоративной информации делает ее особенно уязвимой и увеличивает риск утечки. Информация в корпоративных сетях хранится на жестких дисках и магнитных лентах, и попадание именно этих носителей в руки зло- умышленника создает наиболее серьезную угрозу информационной безопасности и может привести к тяжелым последствиям. Вот только некоторые возможные варианты утечки конфиденци- альной информации, хранящейся на жестких дисках и лентах: размещение серверов в стороннем центре данных (collocation); отправка серверов или жестких дисков в ремонт; перевозка компьютеров из одного офиса в другой, например, при переезде; утилизация компьютеров, серверов, жестких дисков и лент; хранение магнитных лент в специальном депозитарии (off-site storage); перевозка ленты, например, в депозитарий; кража или потеря жестких дисков или лент. 7.5. Ущерб от атак на информационную безопасность Уже в 2001 году зафиксированный объем потерь составил около $150 млрд, а в последующие годы эта цифра выросла еще больше. И это 64 при том, что достоянием гласности становится лишь около 15% престу- плений в области информационной безопасности! Большая часть этого ущерба – результат внутренних атак: до 70% потерь, понесенных компаниями, связана с действиями их собственных сотрудников. Таким образом, в современных условиях наличие развитой системы информационной безопасности становится одним из важнейших условий конкурентоспособности и даже жизнеспособности любой компании. 7.6. Методы обеспечения информационной безопасности Несмотря на сложность и труднопроизносимость терминов «иден- тификация» и «аутентификация», каждый пользователь современных информационных систем сталкивается с процедурами, скрывающимися за этими терминами, неоднократно в течение рабочего дня. Один из способов аутентификации в компьютерной системе состо- ит во вводе пользовательского идентификатора, в просторечии назы- ваемого «логином» (англ. login – регистрационное имя пользователя) и пароля – некой конфиденциальной информации, знание которой обес- печивает владение определенным ресурсом. Получив введенный поль- зователем логин и пароль, компьютер сравнивает их со значением, ко- торое хранится в специальной базе данных и, в случае совпадения, про- пускает пользователя в систему. На компьютерах с ОС семейства UNIX базой является файл /etc/master.passwd (в дистрибутивах Linux обычно файл /etc/shadow, дос- тупный для чтения только root), в котором пароли пользователей хра- нятся в виде хеш функций от открытых паролей, кроме этого в этом же файле хранится информация о правах пользователя. Изначально в Unix – системах пароль (в зашифрованном виде) хранился в файле /etc/passwd, доступном для чтения всем пользователям, что было не- безопасно. На компьютерах с операционной системой Windows NT/2000/XP/2003 (не входящих в домен Windows) такая база данных называется SAM (Security Account Manager – диспетчер защиты учѐт- ных записей). База SAM хранит учѐтные записи пользователей, вклю- чающие в себя все данные, необходимые системе защиты для функцио- нирования. В доменах Windows Server 2000/2003 такой базой является Active Directory. Однако более надѐжным способом хранения аутентификационных данных признано использование специальных аппаратных средств (компонентов). 65 При необходимости обеспечения работы сотрудников на разных компьютерах (с поддержкой системы безопасности) используют аппа- ратно-программные системы, позволяющие хранить аутентификацион- ные данные и криптографические ключи на сервере организации. Поль- зователи свободно могут работать на любом компьютере (рабочей стан- ции), имея доступ к своим аутентификационным данным и криптогра- фическим ключам. Информационная инфраструктура современных предприятий гете- рогенна. Это означает, что в одной сети совместно существуют сервера под управлением разных операционных систем и большое количество прикладных программ. В зависимости от рода деятельности предпри- ятия, это могут быть приложения электронной почты и групповой рабо- ты (GroupWare), CRM- и ERP-системы, системы электронного докумен- тооборота, финансового и бухгалтерского учета и т.д. Количество паролей, которые необходимо помнить обычному пользователю, может достигать 5–6. Пользователи пишут пароли на бумажках и приклеивают на видных местах, сводя тем самым на нет все усилия по защите информации, либо постоянно путают и забывают па- роли, вызывая повышенную нагрузку на службу поддержки. Если к этому добавить, что каждый пароль должен состоять не менее чем из 6–8 произвольных букв, цифр и спецсимволов, и его необходимо периодически менять, то осознать серьезность проблемы не составит труда. Оптимальное решение проблемы – специальное программное обес- печение, позволяющее хранить пароли в защищенной памяти электрон- ных идентификаторов и в нужный момент извлекать их и предоставлять соответствующим системным или прикладным компонентам. В качестве электронных идентификаторов могут использоваться USB-брелки или смарт-карты, что позволяет контролировать их обра- щение и организовать строгий учет в отличие от паролей, для которых это невозможно в принципе. По убеждению экспертов «Лаборатории Касперского», задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программ- ные, физические, организационные и т.д.) должны применяться одно- временно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодейство- вать и обеспечивать защиту как от внешних, так и от внутренних угроз. На сегодняшний день существует большой арсенал методов обес- печения информационной безопасности: 1) средства идентификации и аутентификации пользователей (так называемый комплекс 3А); 2) средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям; 66 3) межсетевые экраны; 4) виртуальные частные сети; 5) средства контентной фильтрации; 6) инструменты проверки целостности содержимого дисков; 7) средства антивирусной защиты; 8) системы обнаружения уязвимостей сетей и анализаторы сетевых атак. «Комплекс 3А» включает аутентификацию (или идентификацию), авторизацию и администрирование. Идентификация и авторизация – это ключевые элементы информационной безопасности. При попытке доступа к информационным активам функция идентификации дает от- вет на вопрос: «Кто вы?» и «Где вы?» – являетесь ли вы авторизован- ным пользователем сети. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция админист- рирования заключается в наделении пользователя определенными иден- тификационными особенностями в рамках данной сети и определении объема допустимых для него действий. Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком дис- ке или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты – обеспечение конфиденциальности. Основ- ные требования, предъявляемые к системам шифрования – высокий уровень криптостойкости и легальность использования на территории России (или других государств). Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхо- да из нее пакетов данных. Основной принцип действия межсетевых экранов – проверка каж- дого пакета данных на соответствие входящего и исходящего IP-адреса базе разрешенных адресов. Таким образом, межсетевые экраны значи- тельно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных. Следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network – VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам. Использование VPN можно свести к решению трех основных задач: – защита информационных потоков между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть); 67 – защищенный доступ удаленных пользователей сети к информацион- ным ресурсам компании, как правило, осуществляемый через интернет; – защита информационных потоков между отдельными приложе- ниями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей). Эффективное средство защиты от потери конфиденциальной ин- формации – фильтрация содержимого входящей и исходящей электрон- ной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопа- сить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется. Все изменения на рабочей станции или на сервере могут быть от- слежены администратором сети или другим авторизованным пользова- телем благодаря технологии проверки целостности содержимого жест- кого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (измене- ние, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизован- ными пользователями. Контроль осуществляется на основе анализа кон- трольных сумм файлов (CRC-сумм). Современные антивирусные технологии позволяют выявить прак- тически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позво- ляющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолиро- ваться (помещаться в карантин) или удаляться. Защита от вирусов мо- жет быть установлена на рабочие станции, файловые и почтовые серве- ра, межсетевые экраны, работающие под практически любой из распро- страненных операционных систем (Windows, Unix- и Linux-системы, Novell) на процессорах различных типов. Фильтры спама значительно уменьшают непроизводительные трудо- затраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлече- ния сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирус- ных программ), часто имеют признаки спама и отфильтровываются. Огромный урон, который был нанесен сетям компаний в 2003 году вирусами и хакерскими атаками, – в большой мере следствие слабых 68 мест в используемом программном обеспечении. Определить их можно заблаговременно, не дожидаясь реального нападения, с помощью сис- тем обнаружения уязвимостей компьютерных сетей и анализаторов се- тевых атак. Подобные программные средства безопасно моделируют распро- страненные атаки и способы вторжения и определяют, что именно хакер может увидеть в сети и как он может использовать ее ресурсы. Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация всѐ-таки возникнет. Один из основных методов защиты от потери данных – резервное копирование с четким соблюдением установленных процедур (регулярность, типы но- сителей, методы хранения копий и т.д.). Вопросы для самопроверки 1. Что понимается под информационной безопасностью? 2. Какие действия могут нанести ущерб информационной безопас- ности? 3. Что называется атакой типа DOS? 4. Что представляет собой спам? 5. Что представляет собой межсетевой экран? 6. Кто такие хакеры? 7. Что включает в себя «Комплекс 3А»? 8. Для чего предназначены системы шифрования? 9. В чем состоит основной принцип действия межсетевых экранов? 10. В чем состоят «естественные» угрозы? 11. Классификация вирусов. 12. Технологии антивирусной защиты. 13. Безопасность электронной почты и Интернет. 14. Дайте определение электронно-цифровой подписи (ЭЦП). 15. Укажите основные составляющие информационной безопасности? |