Современные информационные технологии / 4.Информационная
безопасность.
Чернявська
Т.О.
Науковий керівник: Пророчук Ж.О.
Донецький національний
університет економіки і торгівлі імені Михайла Туган-Барановського
ШЛЯХИ ЗАХИСТУ ІНФОРМАЦІЙНИХ РЕСУРСІВ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ
Сьогодні проблеми, пов'язані із захистом інформації, турбують як фахівців в області комп'ютерної безпеки, так і всіх інших звичайних користувачів персональних комп'ютерів. У міру розвитку й ускладнення засобів, методів і форм автоматизації процесів обробки інформації підвищується її вразливість - можливість знищення чи спотворення інформації (тобто порушення її фізичної цілісності), і можливість несанкціонованого використання інформації (тобто небезпека витоку інформації обмеженого користування). Другий вид уразливості викликає особливу занепокоєність користувачів ПК.
Проблема захисту інформаційних ресурсів була розглянута в роботах М.З. Згуровського, Й.У Мастяниці, О.В. Сосніна, Л.Є. Шиманського. Але це питання потребує постійного вивчення, тому що засоби злому інформаційних систем вдосконалюються і становлять все більшу загрозу для користувачів ПК. У зв’язку з цим, дана тема є дуже актуальною на сьогодні і потребує детального вивчення.
Метою даної роботи є
вивчення основних шляхів захисту інформаційних ресурсів від несанкціонованого
доступу.
Не існує
"абсолютно надійних" методів захисту інформації, які гарантують повну
неможливість отримання несанкціонованого доступу. Тому при захисті від
несанкціонованого доступу слід виходити з припущення, що рано чи пізно цей
захист виявиться знятим. Метою захисту повинен бути вибір такого способу, який
забезпечить неможливість отримання несанкціонованого доступу для заздалегідь
визначеного кола осіб протягом обмеженого часу. Наприклад, якщо захистити від
копіювання комерційну версію програми, необов'язково захищати цю версію від
копіювання "назавжди" - вартість такого захисту може перевищити
вартість самої програми. Цілком достатньо, щоб спосіб захисту було неможливо
"розгадати" до моменту появи наступної версії програми, оскільки в
новій версії можна змінити цей спосіб.
Рівень захисту
повинен бути таким, щоб було б вигідніше купити програму, а не займатися
зняттям захисту від копіювання. Іноді захищати програми від копіювання взагалі
недоцільно. Фірма Microsoft в основному не захищає від копіювання свої
програмні продукти. Для залучення покупців вона встановлює низькі ціни на свої
вироби та забезпечує супровід на високому рівні. Таким чином, для вибору
способу організації захисту від несанкціонованого доступу і від копіювання
необхідний індивідуальний підхід у кожному конкретному випадку [1].
На сьогоднішній день
у мережі існує велика кількість облікових записів адміністратора. Якщо ви є
адміністратором мережі, то ваша увага повинна бути спрямована на корпоративний
Active Directory enterprise, це питання щодо безпеки контролерів домену,
серверів, служб, додатків і підключень до Internet. Причин, по яких необхідно
контролювати ці облікові записи безліч. По-перше, у великих або середніх
мережах потенційно може існувати тисячі таких облікових записів, тому велика
імовірність того, що ці облікові записи можуть вийти з під контролю. По-друге,
більшість компаній дозволяють звичайним користувачам мати доступ до облікового
запису локального адміністратора, що може стати причиною неприємностей.
По-третє, з оригінальним обліковим записом адміністратора необхідно звертатися
дбайливо, правило обмеження привілеїв є чудовим запобіжним заходом. З усіх
ваших серверів вам необхідно виділити сервера, що виконують наступні задачі:
збереження даних, сервер для друку, сервер додатків, поштовий сервер, офісний
сервер. У кожного з цих серверів мається локальна SAM, і тому є обліковий запис
локального адміністратора. Цей обліковий запис може використовуватися не дуже
часто, але це може бути ще більш важливою причиною, по якій необхідно
контролювати її права. І нарешті, ви повинні розглянути контролери домену. Тут
у вас є дуже важливий обліковий запис адміністратора – це обліковий запис, що
контролює Active Directory. Цей обліковий запис адміністратора не тільки
контролює Active Directory, але також керує кореневим доменом, також як і
обліковий запис корпоративного адміністратора. Якщо у вас більш одного домену,
то у вас повинен бути один обліковий запис адміністратора для кожного домену.
Відповідний обліковий запис адміністратора має силу лише в тім домені, у якому
вона розміщається, але все рівно це дуже важливий обліковий запис. Однак, ці
облікові записи не повинні використовуватися щодня. Тому необхідно почати деякі
міри для обмеження їхнього використання. Для облікових записів адміністратора,
зв'язаних з Active Directory, непогано було б розробити процес для призначення
паролів, коли жоден користувач не знає цілий пароль. Це можна легко зробити в
тому випадку, коли два різних адміністратори вводять частину пароля [2].
Не можна забувати і
про права локального адміністратора та про його обмеження доступу до облікового
запису. Два простих способи полягають у зміні імені облікового запису
локального адміністратора і частої зміни пароля для неї. Існує об'єкт політики
групи для кожного з цих параметрів. Перший параметр знаходиться в Computer
Configuration Windows Settings Security Settings Local Policies Security
Options. Політика, яку необхідно настроїти називається Accounts: Rename Administrator
Account. Друга політика, що вам необхідно настроїти, є частиною нового
комплекту настроювань політик (suite of policy settings), політика є частина
комплекту за назвою Policy Maker suite, і розташовується в Computer
Configuration Windows.
У напрямку
перспектив безпеки не забуваємо про розвиток хакерської технології. Аналіз
різних XSS-атак свідчить про те, що, незважаючи на постійний розвиток
Інтернет-технологій, безпека додатків залишається на колишньому рівні. Через
уразливість сторінки до XSS, стало можливим створити підроблену форму
реєстрації, яку можна використовувати для збору параметрів доступу користувача.
Тут хакер може визначити, куди підроблена форма реєстрації буде відсилати
параметри доступу для подальшого використання в злочинних цілях. Хакер також
може впровадити даний код, пропустивши його через поле адреси браузера.
Аналізуючи випадки недавніх атак, можна прийти до висновку, що сайти корпорацій
зламуються точно так само, як і сайти невеликих фірм. Це наочно демонструє те,
що проблема безпеки полягає не в недоліку засобів, а у відсутності розуміння
суті погрози в більшості компаній різного розміру.
На найближчий час
можна використовувати контроль шифрованої файлової системи (Encrypting File
System – EFS) за допомогою групової політики. Шифрована файлова система (EFS) –
це могутня опція для захисту даних, що зберігаються на комп'ютерах Windows.
Перший рівень установлений на комп'ютерному рівні, що визначає, чи буде
підтримуватися ця файлова система, і чи буде вона доступна. Другий рівень – це
рівень папок і файлів, цей рівень виконує шифрування даних. Логістика являє
собою дозвіл користувачам шифрувати дані. EFS може шифрувати дані, що
зберігаються на комп'ютерах. Шифрування допоможе захистити дані від
користувачів або хакерів, що намагаються одержати до них доступ, але не
спроможних розшифрувати ці дані [3].
Таким чином, ми
розглянули основні шляхи захисту інформаційних ресурсів, які допоможуть
користувачеві захистити інформацію від несанкціонованого доступу.
Література:
1.
Мастяниця Й.У., Соснін О.В.,
Шиманський Л.Є. Захист інформаційних ресурсів України: проблеми і шляхи їх
розв’язання / Національний ін-т стратегічних досліджень; Центр інформаційних
ресурсів і технологій / О.В. Соснін (ред.). – К., 2007. – с. 99.
2.
Згуровський М.З. Проблеми
інформаційної безпеки в Україні, шляхи їх вирішення // Правове, нормативне та
метрологічне забезпечення системи захисту інформації в Україні:
Науково-технологічний збірник. – К., 2008.
3.
www.infosecuritylab.com