не из-за "злого умысла", а из-за элементарных ошибок пользователей, которые
случайно портят или удаляют жизненно важные элементы. В связи с этим,
помимо контроля доступа, необходимым элементом защиты информации в
компьютерных сетях является разграничение полномочий пользователей.
В компьютерных сетях при организации контроля доступа и разграничения
полномочий пользователей чаще всего используют встроенные средства сетевых
операционных систем. Так, крупнейший производитель сетевых ОС - корпорация
Novell - в своём последнем продукте NetWare 4.1 предусмотрел помимо
стандартных средств ограничения доступа, таких, как система паролей и
разграничения полномочий, ряд новых возможностей, обеспечивающих первый
класс защиты данных. Новая версия NetWare предусматривает, в частности,
возможность кодирования данных по принципу "открытого ключа" (алгоритм RSA)
с формированием электронной подписи для передаваемых по сети пакетов.
В тоже время в такой системе организации защиты всё равно остаётся
слабое место: уровень доступа и возможность входа в систему определяются
паролем. Не секрет, что пароль можно подсмотреть или подобрать. Для
исключения возможности неавторизованного входа в компьютерную сеть в
последнее время используется комбинированный подход - пароль +
идентификация пользователя по персональному "ключу". В качестве "ключа"
может использоваться пластиковая карта (магнитная или со встроенной
микросхемой smart card) или различные устройства для идентификации личности
по биометрической информации - по радужной оболочке глаз или отпечатков
пальцев, размерами кисти руки и так далее.
Оснастив сервер или сетевые рабочие станции, например, устройством
чтения смарт-карточек и специальным программным обеспечением, можно
значительно повысить степень защиты от несанкционированного доступа. В этом
случае для доступа к компьютеру пользователь должен вставить смарт-карту в
устройство чтения и ввести свой персональный код. Программное обеспечение
позволяет установить несколько уровней безопасности, которые управляются
системным администратором. Возможен и комбинированный подход с вводом
дополнительного пароля при этом приняты специальные меры против "перехвата"
пароля с клавиатуры. Этот подход значительно надёжнее применения паролей,
поскольку, если пароль подглядели, пользователь об этом может не узнать,
если же пропала карточка, можно принять меры немедленно.
Смарт-карты управления доступом позволяют реализовать, в частности,
такие функции, как контроль входа, доступ к устройствам персонального
компьютера, доступ к программам, файлам и командам. Кроме того, возможно
также осуществление контрольных функций, в частности, регистрация попыток
запроса доступа к ресурсам, использования запрещённых утилит, программ,
команд DOS.
Одним из удачных примеров создания комплексного решения для контроля
доступа в открытых системах, основанного как на программных, так и на
аппаратных средствах защиты, стала система Kerberos. В основе этой схемы
авторизации лежат три компонента:
. База данных, содержащая информацию по всем сетевым ресурсам,
пользователям, паролям, шифровальным ключам и т. д.
. Авторизационный сервер (authentication server), обрабатывающий все
запросы пользователей на предмет получения того или иного вида
сетевых услуг. Авторизационный сервер, получая запрос от
пользователя, обращается к базе данных и определяет, имеет ли
пользователь право на совершение данной операции. Примечательно,
что пароли пользователей по сети не передаются, что также повышает
степень защиты информации.
. Ticket - granting server (сервер выдачи разрешений) получает от
авторизационного сервера "пропуск", содержащий имя пользователя и
его сетевой адрес, время запроса и ряд других параметров, а также
уникальный ключ. Пакет, содержащий "пропуск", передаётся также в
зашифрованном по алгоритму DAS виде. После получения и расшифровки
"пропуска" сервер выдачи разрешений проверяет запрос и сравнивает
ключи и затем даёт "добро" на использование сетевой аппаратуры и
программ.
Среди других подобных комплексных систем можно отметить разработанную
Европейской Ассоциацией Производителей Компьютеров (ECMA) систему Sesame
(Secure European System for Applications in Multivendor Environment),
предназначенную для использования в крупных гетерогенных сетях.
3. Защита информации при удалённом доступе
По мере расширения деятельности предприятий, роста численности
персонала и появления новых филиалов, возникает необходимость доступа
удалённых пользователей (или групп пользователей) к вычислительным и
информационным ресурсам главного офиса компании. Компания Datapro
свидетельствует, что уже в 1995 году только в США число работников,
постоянно или временно использующих удалённый доступ к компьютерным сетям,
составит 25 млн. человек. Чаще всего для организации удалённого доступа
используются кабельные линии (обычные телефонные или выделенные) и
радиоканалы. В связи с этим защита информации, передаваемой по каналам
удалённого доступа, требует особого подхода.
В частности, в мостах и маршрутизаторах удалённого доступа применяется
сегментация пакетов - их разделение и передача параллельно по двум линиям -
что делает невозможным "перехват" данных при незаконном подключении
"хакера" к одной из линий. К тому же используемая при передаче данных
процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки
"перехваченных" данных. Кроме того, мосты и маршрутизаторы удалённого
доступа могут быть запрограммированы таким образом, что удалённые
пользователи будут ограничены в доступе к отдельным ресурсам сети главного
офиса.
Разработаны и специальные устройства контроля доступа к компьютерным
сетям по коммутируемым линиям. Например, фирмой AT&T предлагается модуль
Remote Port Security Device (RPSD), представляющий собой 2 блока размером с
обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и
RPSD Key (ключ), подключаемый к модему удалённого пользователя. RPSD Key и
Lock позволяют установить несколько уровней защиты и контроля доступа, в
частности:
. Шифрование данных, передаваемых по линии при помощи генерируемых
цифровых ключей;
. Контроль доступа в зависимости от дня недели или времени суток
(всего 14 ограничений).
Широкое распространение радиосетей в последние годы поставило
разработчиков радиосетей перед необходимостью защиты информации от
"хакеров", вооружённых разнообразными сканирующими устройствами. Были
применены разнообразные технические решения. Например, в радиостанции
компании RAM Mobil Data информационные пакеты передаются через разные
каналы и базовые станции, что делает практически невозможным для
посторонних собрать всю передаваемую информацию воедино. Активно
используется в радиосетях и технология шифрования данных при помощи
алгоритмов DES и RSA.
Заключение
Итак, в работе освещены и исследованы возможные способы компьютерных
преступлений, а также выявлены методы защиты от них.
Проследив это в работе, я сделала вывод о том, что все компьютерные
преступления условно можно подразделить на две большие категории -
преступления, связанные с вмешательством в работу компьютеров, и
преступления, использующие компьютеры как необходимые технические средства.
В российском уголовном законодательстве уголовно-правовая защита
компьютерной информации введена впервые. Уголовный кодекс РФ, введённый в
действие с 1 января 1997 года, содержит главу №28 "Преступления в сфере
компьютерной информации".
Хакеры, "электронные корсары", "компьютерные пираты" - так называют
людей, осуществляющих несанкционированный доступ в чужие информационные
сети. Сомнения в необходимости существования уголовно-правовой защиты
компьютерной информации нет. Уголовный закон достаточно строго преследует
за совершение компьютерных преступлений. Это связано с высокой степенью
общественной опасности.
Так же хотелось бы подчеркнуть, что абсолютную надёжность и
безопасность в компьютерных сетях не смогут гарантировать никакие
аппаратные, программные и любые другие решения. В то же время свести риск
потерь возможно лишь при комплексном подходе к вопросам безопасности.
Литература
1. Уголовный кодекс РФ.
2. Комментарий к УК РФ.
3. М.Рааб (M.Raab) Защита сетей: наконец-то в центре внимания \\
Компьютеруолд Москва, 1994, №29.
4. С.В.Сухова. Система безопасности Net Ware \\ "Сети", 1995, №4.
5. Д.Векслер (J/Wexler) Наконец-то надёжно обеспечена защита данных в
радиосетях \\ Компьютеруолд, М., 1994 г., №17.
6. В.Беляев. Безопасность в распределительных системах \\ Открытые систмы,
М., 1995 г., №3.
7. Д.Ведеев. Защита данных в компьютерных сетях \\ Открытые системы, М.,
1995 г., №3.
8. Федеральный закон от 20 февраля 1995 года "Об информации, информатизации
и защите информации".
9. Ведомости РФ, 1992 г., №42
10. Новое уголовное право России. Особенная часть. М., 1996 г.
11. Батурин Ю.М., Жодзишкий А.М. Кмпьютерная преступность и компьютерная
безопасность, М., 1991 г.
12. Китов И. Компьютерные вирусы. \\ Монитор №28(42) 21-27 мая 1997 г.
-----------------------
[1] См. Ведомости РФ, 1992 г., №42, ст. 2325
[2] См. СЗ РФ, 1995 г., №8, ст. 609
[3] См. подробнее: Новое уголовное право. Особенная часть, М., 1996 г., с.
271-274
