Инструменты безопасности в сети

4. Метод "люка" основан на использовании скрытого программного или аппаратного механизма, позволяющего обойти методы защиты в системе. Этот механизм активируется некоторым неочевидным образом. Иногда программа пишется таким образом, что специфическое событие, например, число выполнения определенных процедур, обработанных в определенный день, вызовет запуск неавторизованного механизма.

5. Технология "салями" основана на постепенном изменении  компьютерной программы небольшими  частями, настолько маленькими, что  они незаметны. Например, платежи могут округляться до нескольких центов, и разница между реальной и округленной суммой поступать на специально открытый счет злоумышленника.

6. Технология  суперотключения названа по имени  программы, использовавшейся в  ряде компьютерных центров, обходившей системные меры защиты и использовавшейся при аварийных ситуациях. Владение этим "мастер-ключом" дает возможность в любое время получить доступ к компьютеру и информации, находящейся в нем.

 

Признаки уязвимых мест в информационной безопасности

Компьютерное  преступление можно предотвратить, а ущерб от возможного нарушения  системы информационной безопасности можно сделать минимальным, если внимательно анализировать систему  информационной безопасности на уязвимость и предпринимать меры для укрепления обнаруженных уязвимых мест.

Различают следующие  признаки уязвимых мест в информационной безопасности:

1. Не разработаны  положения о защите информации  или они не соблюдаются. Не  назначен ответственный за информационную  безопасность.

2. Пароли пишутся на компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими людьми, или они появляются на компьютерном экране при их вводе.

3. Удаленные  терминалы и микрокомпьютеры  оставляются без присмотра в  рабочие и нерабочие часы. Данные отображаются на компьютерных экранах, оставленных без присмотра.

4. Не существует  ограничений на доступ к информации, или на характер ее использования.  Все пользователи имеют доступ  ко всей информации и могут  использовать все функции системы.

5. Не ведется системных журналов, и не хранится информация о том, кто и для чего использует компьютер.

6. Изменения в программы  могут вноситься без их предварительного  утверждения руководством.

7. Отсутствует документация  или она не позволяет понимать  получаемые отчеты и формулы, по которым получаются результаты, модифицировать программы, готовить данные для ввода, исправлять ошибки, производить оценку мер защиты и понимать сами данные — их источники, формат хранения, взаимосвязи между ними.

8. Делаются многочисленные  попытки войти в систему с неправильными паролями.

9. Вводимые данные не  проверяются на корректность  и точность, или при их проверке  много данных отвергается из-за  ошибок в них, требуется сделать  много исправлений в данных, не  делается записей в журналах  об отвергнутых транзакциях.

10. Имеют место выходы  из строя системы, приносящие  большие убытки.

11. Не производится анализ  информации, обрабатываемой в компьютере, с целью определения необходимого  для ее уровня безопасности.

12.Мало внимания уделяется  информационной безопасности, считается, что на самом деле она не нужна.

 

 

 

2.3 Обеспечение безопасности в сети.

 

Для обеспечения  информационной безопасности разработано  множество методов и средств, но одним из ее важнейших аспектов является определение, анализ и классификация возможных угроз. Их перечень, оценки вероятностей реализации, а также модель нарушителя служат основой для проведения анализа риска и формулирования требований к системе защиты сети предприятия.

Большинство современных  автоматизированных систем обработки информации представляют собой распределенные системы, построенные на стандартных сетевых архитектурах и использующие типовые наборы сервисов и приложений. Корпоративные сети «наследуют» все «традиционные» для локальных вычислительных систем способы несанкционированного вмешательства. Кроме того, для них характерны и специфические каналы проникновения и несанкционированного доступа к информации, обусловленные использованием сетевых технологий. Сначала необходимо разработать надежную методологию безопасности. Она является уникальной в каждом отдельном случае, однако есть ключевые моменты, которые необходимо учитывать в любой методологии.

• Определение типов возможных угроз.
• Определение потенциально уязвимых мест.
• Проведение мероприятий по устранению угроз на этапах планирования и эксплуатации ИС

Основные мероприятия  по обеспечению информационной безопасности:

1. Подготовка дискового пространства сервера и файловой системы
2. Разграничение прав пользователей по использованию информации и возможностей управления системой. Применение политик безопасностей
3. Протоколирование обращений пользователей к ресурсам, отслеживание некорректное поведение пользователей системы.
4. Резервное копирование информации
5. Защита от проникновения и вредоносного программного обеспечения (использование межсетевого экранирования, антивирусных программ)
6. Использование шифрования информации
7. Профилактическое обслуживание и мониторинг состояния оборудования (серверы и рабочие станции, устройства хранения резервных копий, ИБП, системы охлаждения)

 

С целью защиты информации каждый должен знать и  осуществлять следующие меры:

1. Контроль доступа  как к информации в компьютере, так и к прикладным программам. Надо иметь гарантии того, что  только авторизованные пользователи  имеют доступ к информации  и приложениям.

Необходимо  требовать, чтобы пользователи выполняли  процедуры входа в компьютер, и использовать это как средство для идентификации в начале работы. Чтобы эффективно контролировать компьютер, может оказаться наиболее выгодным использовать его как однопользовательскую систему.

Нужно использовать уникальные пароли для каждого пользователя, которые не являются комбинациями личных данных пользователей, для аутентификации личности пользователя. Внедряются меры защиты при администрировании паролей и проводится знакомство пользователей с наиболее общими ошибками, позволяющими совершиться компьютерному преступлению.

2. Процедуры  авторизации. Администратор должен  разработать процедуры авторизации,  которые определяют, кто из пользователей  должен иметь доступ к той  или иной информации и приложениям,  и предусмотреть соответствующие  меры по внедрению тих процедур в организации.

В организации  устанавливается порядок, при котором  для использования компьютерных ресурсов, получения разрешения доступа  к информации и приложениям и  получения пароля требуется разрешение руководства.

3. Защита файлов. Разрабатываются процедуры по ограничению доступа к файлам с иными:

• используются внешние и внутренние метки файлов для указания типа информации, который они содержат, и требуемого уровня безопасности;
• ограничивается доступ в помещения, в которых хранятся файлы данных, иисие, как архивы и библиотеки данных;
• используются организационные меры и программно-аппаратные средства для ограничения доступа к файлам только авторизованных пользователей;

4. Защита целостности  информации. Вводимая информация  должна быть авторизована, полна,  точна и должна подвергаться  проверкам на ошибки. Необходимо  проверять точность информации  с помощью процедур сравнения  результатов обработки с предполагаемыми  результатами обработки.

5. Защита системных  программ. Если программное обеспечение  используется совместно, необходимо  защищать его от скрытой модификации.  Меры защиты при разработке  программ должны включать процедуры  внесения изменений в программу,  ее приемки и тестирования до ввода в эксплуатацию.

6. Становление  мер защиты более адекватными  с помощью привлечения организаций,  занимающихся тестированием информационной  безопасности. При разработке мер  защиты в прикладных программах  необходимо консультироваться с  ними при определении необходимости тестов и проверок при обработка критических данных.

7. Рассмотрение  вопроса о коммуникационной безопасности. Данные, передаваемые по незащищенным  линиям, могут быть перехвачены.

 

Глава III Управление безопасностью на примере Windows Vista

 

Службы Windows Vista

 

Во время  работы Windows Vista запускается и работает много служб. Но не все службы необходимы для нормальной работы компьютера. Ниже приводится список сетевых служб  или служб, связанных с информационной безопасностью, деятельность которых желательно контролировать. Быстрый доступ к списку служб можно получить с помощью команды services.msc в Пуск -> Выполнить.

 

 

• DHCP-клиент (DHCP Client)

Регистрирует  и обновляет IP-адреса и DNS-записи для  этого компьютера. Если эта служба остановлена, этот компьютер не сможет получать динамические IP-адреса и выполнять обновления DNS. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

Имя службы в  реестре: Dhcp

Выводимое имя: DHCP Client

• DNS-клиент (DNS Client)

Служба DNS-клиента (dnscache) кэширует имена DNS (Domain Name System) и  регистрирует полное имя данного  компьютера. Если служба остановлена, разрешение имен DNS будет продолжаться. Однако результаты очередей имен DNS не будут кэшироваться, и имя компьютера не будет зарегистрировано. Если служба отключена, все явно зависящие от нее службы запустить не удастся.

Имя службы в  реестре: Dnscache

Выводимое имя: DNS Client

• Windows CardSpace

Эта служба обеспечивает надежную возможность создания, управления и раскрытия цифровых удостоверений.

Имя службы в  реестре: idsvc

Выводимое имя: Windows CardSpace

• Агент защиты сетевого доступа (Network Access Protection Agent)

Включает функции  защиты сетевого доступа (NAP) на клиентских компьютерах.

Имя службы в реестре: napagent

Выводимое имя: Network Access Protection Agent

• Агент политики IPsec (IPsec Policy Agent)

Безопасность  протокола IP (IPsec) поддерживает проверку подлинности узлов на сетевом  уровне, проверку подлинности источника  данных, проверку целостности данных, их конфиденциальность (шифрование) и защиту повторения. Эта служба вводит в действие политики IPsec, созданные с помощью оснастки "Политики IP-безопасности" или средством командной строки "netsh ipsec". Остановка этой службы может привести к возникновению проблем с сетевыми подключениями, если политика требует, чтобы соединения использовали IPsec. Кроме того, если остановлена эта служба, то удаленное управление брандмауэром Windows недоступно.

Имя службы в  реестре: PolicyAgent

Выводимое имя: IPsec Policy Agent

• Брандмауэр Windows (Windows Firewall)

Брандмауэр Windows помогает предотвратить несанкционированный  доступ к вашему компьютеру через  Интернет или сеть.

Имя службы в  реестре: MpsSvc

Выводимое имя: Windows Firewall

Тип запуска - Автоматически.

При использовании  стороннего продукта для защиты компьютера, например Outpost firewall, Norton Personal Firewall, ZoneAlarm и т.п, то рекомендуется режим - Отключено

• Вторичный вход в систему (Secondary Logon)

Позволяет запускать  процессы от имени другого пользователя. Если эта служба остановлена, этот тип регистрации пользователя недоступен. Если эта служба отключена, то нельзя запустить другие службы, которые явно зависят от нее.

Имя службы в  реестре: seclogon

Выводимое имя: Secondary Logon

Данную службу рекомендуется отключить в любом случае.

• Группировка сетевых участников (Peer Networking Grouping)

Предоставляет групповые службы одноранговой сети.

Имя службы в  реестре: p2psvc

Выводимое имя: Peer Networking Grouping

• Диспетчер учетных записей безопасности (Security Accounts Manager)

Запуск этой службы служит для других служб сигналом о том, что диспетчер учетных  записей безопасности (SAM) готов к  приему запросов. При отключении данной службы другие службы в системе не получат уведомления о готовности SAM, что в свою очередь может помешать корректному запуску этих служб. Не следует отключать эту службу.

Имя службы в  реестре: SamSs

Выводимое имя: Security Accounts Manager

• Защитник Windows (Windows Defender)