Учебник Информатика. Базовый курс. Симонович С.В.. С. В. Симоновичаинформатикабазовый курс2е издание
Скачать 17.96 Mb.
|
Защита информации в Интернете При работе в Интернете следует иметь в виду, что насколько ресурсы Всемирной сети открыты каждому клиенту, настолько же и ресурсы его компьютерной системы могут быть при определенных условиях открыты всем, кто обладает необходимыми средствами. Для частного пользователя этот факт не играет особой роли, но знать о нем необхо- димо, чтобы не допускать действий, нарушающих законодательства тех стран, на территории которых расположены серверы Интернета. К таким действиям относятся вольные или невольные попытки нарушить работоспособность компьютерных 2 2 0 Глава 8. Компьютерные сети, Интернет, компьютерная безопасность систем, попытки взлома защищенных систем, использование и распространение программ, нарушающих работоспособность компьютерных систем (в частности, компьютерных вирусов). Работая во Всемирной сети, следует помнить о том, что абсолютно все действия фиксируются и протоколируются специальными программными средствами и информация как о законных, так и о незаконных действиях обязательно где-то накапливается. Таким образом, к обмену информацией в Интернете следует подхо- дить как к обычной переписке с использованием почтовых открыток. Информация свободно циркулирует в обе стороны, но в общем случае она доступна всем участ- никам информационного процесса. Это касается всех служб Интернета, открытых для массового использования. Однако даже в обычной почтовой связи наряду с открытками существуют и почто- вые конверты. Использование почтовых конвертов при переписке не означает, что партнерам есть, что скрывать. Их применение соответствует давно сложившейся исторической традиции и устоявшимся морально-этическим нормам общения. Потребность в аналогичных «конвертах» для защиты информации существует и в Интернете. Сегодня Интернет является не только средством общения и универсаль- ной справочной системой — в нем циркулируют договорные и финансовые обяза- тельства, необходимость защиты которых как от просмотра, так и от фальсификации очевидна. Начиная с года Интернет становится мощным средством обеспече- ния розничного торгового оборота, а это требует защиты данных кредитных карт и других электронных платежных средств. Принципы защиты информации в Интернете опираются на определение мации, сформулированное нами в первой главе этого пособия. Информация — это продукт взаимодействия данных и адекватных им методов. Если в ходе коммуни- кационного процесса данные передаются через открытые системы (а Интернет относится именно к таковым), то исключить доступ к ним посторонних лиц невоз- можно даже теоретически. Соответственно, системы защиты сосредоточены на втором компоненте информации — на методах. Их принцип действия основан на том, чтобы исключить или, по крайней мере, затруднить возможность подбора адек- ватного метода для преобразования данных в информацию. Одним из приемов такой защиты является шифрование данных. Понятие о несимметричном шифровании информации Системам шифрования столько же лет, сколько письменному обмену информацией. Обычный подход состоит в том, что к документу применяется некий метод шиф- рования, основанный на использовании ключа, после чего документ становится недоступен для чтения обычными средствами. Его можно прочитать только тот, кто знает ключ, — только он может применить адекватный метод чтения. Анало- гично происходит шифрование и ответного сообщения. Если в процессе обмена информацией для шифрования и чтения пользуются одним и тем же ключом, то такой криптографический процесс является симметричным. Основной недостаток симметричного процесса заключается в том, что, прежде чем начать обмен информацией, надо выполнить передачу ключа, а для этого опять- 8.4. Вопросы компьютерной безопасности таки нужна защищенная связь, то есть проблема повторяется, хотя и на другом уровне. Если рассмотреть оплату клиентом товара или с помощью кредитной карты, то получается, что торговая фирма должна создать по одному ключу для каждого своего клиента и каким-то образом передать им эти ключи. Это крайне неудобно. Поэтому в настоящее время в Интернете используют несимметричные криптогра- фические системы, основанные на использовании не одного, а двух ключей. Проис- ходит это следующим образом. Компания для работы с клиентами создает два ключа: один открытый (public — публичный), закрытый На самом деле это как бы две «половинки» одного целого ключа, связанные друг с другом. Ключи устроены так, что сообщение, зашифрованное одной половинкой, можно расшифровать только другой половинкой (не той, которой оно было закодировано). Создав ключей, торговая компания широко распространяет публичный ключ (открытую половинку) и надежно сохраняет закрытый ключ (свою половинку). Как публичный, так и закрытый ключи представляют собой некую кодовую после- довательность. Публичный ключ компании может быть опубликован на ее сервере, откуда каждый желающий может его получить. Если клиент хочет сделать фирме заказ, он возьмет ее публичный ключ и с его помощью закодирует свое сообщение о заказе и данные о своей кредитной карте. После кодирования это сообщение может прочесть только владелец закрытого ключа. Никто из участников цепочки, по кото- рой пересылается информация, не в состоянии это сделать. сам отправитель не может прочитать собственное сообщение, хотя ему хорошо известно содержание. Лишь получатель сможет прочесть сообщение, поскольку только у него есть закры- тый ключ, дополняющий использованный публичный Если фирме надо будет отправить клиенту квитанцию о том, что заказ принят к исполнению, она закодирует ее своим закрытым ключом. Клиент сможет прочи- тать квитанцию, воспользовавшись имеющимся у него публичным ключом данной фирмы. может быть уверен, что квитанцию ему отправила именно эта фирма, поскольку никто иной доступа к закрытому ключу фирмы не имеет. Принцип достаточности Защита публичным ключом (впрочем, как и большинство других видов защиты информации) не является абсолютно надежной. Дело в том, что поскольку каждый желающий может получить и использовать чей-то публичный ключ, то он может сколь угодно подробно изучить алгоритм работы механизма шифрования и пытаться установить метод расшифровки сообщения, реконструировать закрытый ключ. Это настолько справедливо, что алгоритмы кодирования публичным ключом даже нет смысла скрывать. Обычно к ним есть доступ, а часто они просто широко пуб- ликуются. Тонкость заключается в том, что знание алгоритма еще не означает воз- можности провести реконструкцию ключа разумно приемлемые сроки. Так, напри- мер, правила игры в шахматы известны всем, и нетрудно создать алгоритм для перебора всех возможных шахматных партий, но он никому не нужен, поскольку 2 2 2 Глава 8. Компьютерные сети, Интернет, компьютерная безопасность даже самый быстрый современный суперкомпьютер будет работать над этой зада- чей дольше, чем существует жизнь на нашей планете. Количество комбинаций, которое надо проверить при реконструкции закрытого ключа, не столь велико, как количество возможных шахматных партий, однако защиту информации принято считать достаточной, если затраты на ее преодоление превышают ожидаемую ценность самой информации. В этом состоит принцип достаточности которым руководствуются при использовании несиммет- ричных средств шифрования данных. Он предполагает, что защита не абсолютна и приемы ее снятия известны, но она все же достаточна для того, чтобы сделать это мероприятие нецелесообразным. При появлении иных средств, позволяющих таки получить зашифрованную информацию в разумные сроки, изменяют принцип работы алгоритма, и проблема повторяется на более высоком уровне. Разумеется, не всегда реконструкцию закрытого ключа производят методами про- стого перебора комбинаций. Для этого существуют специальные методы, основан- ные на исследовании особенностей взаимодействия открытого ключа с определен- ными структурами данных. Область науки, посвященная этим исследованиям, называется криптоанализом, а средняя продолжительность времени, необходимого для реконструкции закрытого ключа по его опубликованному открытому ключу, называется криптостойкостъю алгоритма шифрования. Для многих методов несимметричного шифрования криптостойкость, полученная в результате криптоанализа, существенно отличается от величин, заявляемых раз- работчиками алгоритмов на основании теоретических оценок. Поэтому во многих странах вопрос применения алгоритмов шифрования данных находится в поле законодательного регулирования. В частности, в России к использованию в госу- дарственных и коммерческих организациях разрешены только те программные средства шифрования данных, которые прошли государственную сертификацию в административных органах, в частности, в Федеральном агентстве правитель- ственной связи и информации при Президенте Российской Федерации (ФАПСИ). Понятие об электронной подписи Мы как клиент может переслать организации свои конфиденциаль- ные данные (например, номер электронного счета). Точно так же он может общаться и с банком, отдавая ему распоряжения о перечислении своих средств на счета других лиц и организаций. Ему не надо ездить в банк и стоять в очереди — все можно сделать, не отходя от компьютера. Однако здесь возникает проблема: как банк узнает, что распоряжение поступило именно от данного лица, а не от злоумышлен- ника, выдающего себя него? Эта проблема решается с помощью так называемой электронной подписи. Принцип ее создания тот же, что и рассмотренный выше. Если нам надо создать себе электронную подпись, следует с помощью специальной программы (получен- ной от банка) создать те же два ключа: закрытый и публичный. Публичный передается банку. Если теперь надо отправить поручение банку на операцию с рас- четным счетом, оно кодируется публичным ключом банка, а своя подпись под ним кодируется собственным закрытым ключом. Банк поступает наоборот. Он читает 8.4. Вопросы компьютерной безопасности 2 2 3 поручение с помощью своего закрытого ключа, а подпись — с помощью публичного ключа поручителя. Если подпись читаема, банк может быть уверен, что поручение ему отправили именно мы, и никто другой. Понятие об электронных сертификатах Системой несимметричного шифрования обеспечивается делопроизводство в Интернете. Благодаря ей каждый из участников обмена может быть уверен, что полученное сообщение отправлено именно тем, кем оно подписано. Однако здесь возникает еще ряд проблем, например даты отправки сооб- щения. Такая проблема возникает во всех случаях, когда через Интернет заключа- ются договоры между сторонами. Отправитель документа может легко изменить текущую дату средствами настройки операционной системы. Поэтому обычно дата и время отправки электронного документа не имеют юридической силы. В тех же случаях, когда это важно, выполняют сертификацию даты/времени. Сертификация даты. Сертификация даты выполняется при участии третьей, неза- висимой стороны. Например, это может быть сервер организации, авторитет кото- рой в данном вопросе признают оба партнера. В этом случае документ, зашифро- ванный открытым ключом партнера и снабженный своей электронной подписью, отправляется сначала на сервер сертифицирующей организации. Там он получает «приписку» с указанием точной даты и времени, зашифрованную закрытым ключом этой организации. Партнер декодирует содержание документа, электронную под- пись отправителя и отметку о дате с помощью своих «половинок» ключей. Вся работа автоматизирована. Сертификация Web-узлов. Сертифицировать можно не только даты. При заказе товаров в Интернете важно убедиться в том, что сервер, принимающий заказы и платежи от имени некоей фирмы, действительно представляет эту фирму. Тот факт, что он распространяет ее открытый ключ и обладает ее закрытым ключом, строго говоря, еще ничего не доказывает, поскольку за время, прошедшее после создания ключа, он мог быть скомпрометирован. Подтвердить действительность ключа тоже может третья организация путем выдачи сертификата продавцу. В сертификате указано, когда он выдан и на какой срок. Если добросовестному станет известно; что его закрытый ключ каким-либо образом скомпрометирован, он сам уведомит сертификационный центр, старый сертификат будет аннулирован, создан новый ключ и выдан новый сертификат. Прежде чем выполнять платежи через Интернет или отправлять данные о своей кредитной карте кому-либо, следует проверить наличие действующего ката у получателя путем обращения в сертификационный центр. Это называется сертификацией Сертификация издателей. Схожая проблема встречается и при распространении программного обеспечения через Интернет. Так, например, указали, что браузеры, служащие для просмотра должны обеспечивать механизм защиты от нежелательного воздействия активных компонентов на компьютер клиента. Можно представить, что произойдет, если кто-то от имени известной компании начнет распространять модифицированную версию ее браузера, в которой специально 2 2 4 Глава 8. Компьютерные сети, Интернет, компьютерная безопасность оставлены бреши в системе защиты. Злоумышленник может использовать их для активного взаимодействия с компьютером, на котором работает такой браузер. Это относится не только к браузерам, но и ко всем видам программного обеспече- ния, получаемого через Интернет, в которое могут быть имплантированы «троян- ские кони», «компьютерные вирусы», «часовые бомбы» и прочие нежелательные объекты, в том числе и такие, которые невозможно обнаружить антивирусными средствами. Подтверждение того, что сервер, распространяющий программные продукты от имени известной фирмы, действительно уполномочен ею для этой деятельности, осуществляется путем сертификации издателей. Она организована аналогично сертификации Web-узлов. Средства для проверки сертификатов обычно предоставляют браузеры. В частно- сти, в браузере Microsoft Internet Explorer 6.0, работа с которым более подробно будет рассмотрена в следующей главе, доступ к центрам сертификации осуществляется командой Сервис • Свойства обозревателя • Содержание • Сертификаты •Доверен- ные корневые центры сертификации. Практическое занятие Упражнение Создание соединения удаленного доступа мин 1. Запустите Мастер новых подключений: Пуск • Настройка • Сетевые подключе- ния • Мастер новых подключений. 2. В окне мастера щелкните на кнопке Далее. Затем выберите тип установив переключатель Подключить к Интернету. Щелкните на кнопке Далее. 3. На следующем этапе работы мастера установите переключатель Установить подключение вручную и щелкните на кнопке Далее. На следующем этапе работы мастера установите переключатель Через обыч- ный модем и щелкните на кнопке Далее. 5. Введите произвольное название нового соединения в поле Имя поставщика услуг. Щелкните на кнопке Далее. 6. Заполните поле телефонного номера (номер должен быть получен от постав- щика услуг). Щелкните на кнопке Далее. 7. Укажите имя пользователя и (дважды) пароль доступа. Эти данные должны быть получены от поставщика услуг. Щелкните на кнопке Далее. В некоторых случаях имя пользователя и пароль на Web-сайте постав- щика услуг в ходе интерактивной регистрации. В этом случае для первичного подклю- чения к Интернету и выполнения регистрации поставщик предоставляет имя пользо- вателя и пароль для бесплатного гостевого доступа. В этом упражнении допустимо создать такое соединение для гостевого доступа к сайту поставщика услуг. 8. На завершающем этапе работы мастера можно установить флажок, который позволит создать ярлык подключения на Рабочем столе. Если переместить этот ярлык на панель быстрого запуска, установка соединения с Интернетом стано- вится очень простым делом. Практическое занятие 2 2 5 Упражнение 8.2. Настройка подключения для удаленного доступа мин 1. Откройте папку Сетевые подключения (Пуск • Настройка • Сетевые под- ключения). В этой папке находятся значки подключений, имеющихся на дан- ном компьютере. Их может быть несколько. 2. Выберите настраиваемое Щелкните на его значке правой кноп- кой мыши. В открывшемся контекстном меню выберите пункт Свойства — откроется диалоговое окно свойств данного подключения. 3. На вкладке Общие проверьте правильность ввода телефонного номера постав- щика услуг Интернета и правильность выбора и настройки модема. В необходимости внесите необходимые изменения. Если поставщик услуг Интернета предоставил несколько телефонных номеров для подключения к его серверу, щелкните на кнопке Другие и введите допол- нительные номера телефонов, используя кнопку Добавить. 4. На вкладке Сеть в списке Компоненты, используемые этим подключением флажки у пунктов Служба доступа к файлам и принтерам сетей Microsoft и для сетей Microsoft должны быть сброшены из соображений безопасности. Выбе- рите в этом списке пункт Протокол Интернета (TCP/IP) и щелкните на кнопке Свойства. 5. Включите переключатель ввода в соответствии с указаниями постав- щика услуг (для коммутируемого соединения обычно включают переключатель Получить IP-адрес автоматически). 6. Введите адреса серверов DNS. Если эти адреса получены от поставщика услуг, включите переключатель Использовать следующие адреса DNS-серверов и вве- дите по четыре числа для первичного и вторичного серверов DNS. Если адреса не получены, возможно, что они вводятся автоматически. В этом случае вклю- чите переключатель Получить адрес DNS-сервера автоматически. 7. Щелчком на кнопке ОК закройте диалоговое окно настройки свойств протокола TCP/IP. 8. Щелчком на кнопке ОК закройте диалоговое окно настройки свойств подклю- чения. Упражнение 8.3. Установление соединения с сервером поставщика услуг мин Запустите программу установки соединения двойным щелчком на значке настро- енного соединения — откроется диалоговое окно Установка связи. 2. Проверьте правильность записи номера телефона. 3. Введите имя пользователя, согласованное с поставщиком услуг Интернета. 4. В поле Пароль введите пароль, полученный от поставщика услуг. При вводе пароля его символы заменяются подстановочными символами «*» и на экране не 2 2 6 Глава 8. Компьютерные сети, Интернет, компьютерная безопасность видны. Предварительно убедитесь, что клавиатура находится в нужном регистре (строчные символы) и правильно выбрана раскладка клавиш (англоязычная). Чтобы при каждом сеансе связи не заниматься вводом имени пользователя и па- роля, установите флажок Сохранить пароль. Сохранение информации об имени пользователя и о пароле происходит только при условии, что соединение успешно состоялось. Если оно не состоялось, эта инфор- мация не и ее надо вводить заново. 5. Запустите программу щелчком на кнопке Подключиться. Если все сделано пра- вильно, произойдет подключение к серверу поставщика услуг. По окончании процесса установки на панели индикации (справа на Панели задач) образуется значок работающего соединения. 6. Щелкните правой кнопкой мыши на значке работающего соединения на панели индикации. В открывшемся диалоговом окне узнайте параметры соединения, в частности скорость обмена данными с сервером поставщика услуг Интернета. Сохранять информацию о пароле можно только на компьютерах, находящихся в лич- пользовании. На компьютерах, предназначенных для коллективного использова- ния, эту информацию не сохраняют. В операционных системах семейства Windows защита конфиденциальных данных организована не идеально. Подготовленному пользователю доступны косвенные данные, дающие возможности извлечь зашифро- ванные сведения обходными приемами. |