Федеральное государственное автономное образовательное учрежение высшего образования
жүктеу/скачать 5,2 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- ГЛАВА 1 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ ЭКОНОМИКОЙ
- Характеристика уязвимостей распределенных компьютерных систем .
- Механизмы сетевой безопасности распределенных систем управления.
- Базовые технологии корпоративной защиты данных .
- Криптография в защите данных сетевых
- Защита данных пользователей на основе IAM – систем.
- Литература
| РАЗДЕЛ 2
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СОЦИАЛЬНО-ЭКОНОМИЧЕСКИХ СИСТЕМ
151
ГЛАВА 1
АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ ЭКОНОМИКОЙ Бойченко Олег Валерьевич доктор технических наук, профессор
и приложениях реализованы собственные функции по разграничению доступа. Однако ввиду постоянно растущего количества систем и приложений, с которыми ежедневно приходится работать пользователям организации, из-за отсутствия единого инструмента для администрирования становится практически невозможным дать ответ на простой вопрос «кому, к чему и на каких основаниях предоставлен доступ». Кроме того, до сих пор одной из
основных технологий, используемых для
идентификации пользователя в системах, является принцип парольной аутентификации. Во-первых, пользователи вынуждены запоминать логины и пароли от всех используемых приложений, что, естественно, вызывает либо использование упрощенных паролей, либо хранение паролей на различных внешних носителях и облегчает доступ злоумышленникам к данным организации. Во-вторых, каждое приложение фактически вынуждено хранить собственную базу данных с парольной информацией и реализовывать ее защиту. Одной из проблем парольной аутентификации является невозможность однозначно ответить на вопрос, является ли пользователь тем, за кого он себя выдает, так как передача собственных паролей другим сотрудникам по личной или служебной необходимости является общепринятой практикой во многих организациях.
152
1.1. Современные аспекты сетевой безопасности корпоративных систем Масштабное использование цифровых технологий информационного обмена, обеспечивающее условия оперативного предоставления необходимых данных пользователям при решении разнообразных задач служебного и личного характера, в настоящее время порождает ряд проблем, связанных с необходимостью защиты данных. Данная проблема в спектре задач информационной безопасности не нова, однако современное состояние дел требует необходимости тщательного анализа с целью разработки комплекса дополнительных мер, направленных на исключение несанкционированного доступа к информации об учетных данных пользователей распределенных компьютерных систем [1]. Характеристика уязвимостей распределенных компьютерных систем. Развитие информационных технологий для обеспечения конструктивных решений, направленных на обеспечение эффективного управления экономикой, порождает комплекс проблем, связанных с простотой доступа к данным распределенных систем управления и создающих условия образования новых угроз информационной безопасности корпорации. Сетевой характер управления корпорацией определяет, что одним из наиболее распространенных видов сетевых атак на компьютерную систему, таких как атаки типа «отказ в обслуживании». Это
обусловлено не
только распространённостью, но и тем, что для своей реализации они требуют минимум знаний и умений, а также отсутствием надежной защиты от данного вида угроз компьютерных управляющих систем. Ввиду своей безнаказанности, масштабы DoS-атак растут и механизмы их проведения эволюционируют. Наиболее опасным видом атаки является DDoS-атака. Борьба с атаками «отказ в обслуживании» главным образом осуществляется на уровне
хостинга-провайдера, но
стопроцентных методов защиты на данный момент не существует. 153
Эксперты в области сетевых атак выделяют 2 основные группы причин использования DoS-атак: 1. Dos-атаки, осуществляемые из личных побуждений (личная неприязнь, месть, развлечение, политический протест); 2. Dos-атаки, осуществляемые с коммерческой целью (шантаж, вымогательство, заказ такой атаки недобросовестным конкурентом). Отдельно выделяют «случайные» или «нечаянные» DoS- атаки, возникающие посещением внезапно большого количества легальных пользователей. Примером простейшей DoS-атаки является использование одного
компьютера со
специальной программой и высокоскоростным интернетом. Ввиду своего примитивизма такая атака не будет иметь успех ввиду того, что современный Интернет позволяет отфильтровать хостинг-провайдеру достаточно высокий по интенсивности поток запросов по IP- адресу злоумышленника. Опасной разновидностью DoS-атаки является распределённая атака, использующая одновременную посылку запросов на веб- сайт с различных IP-адресов. Для реализации этого вида атак злоумышленники используют так называемые ботнеты. Таким образом, результаты исследования указывают, что наиболее эффективным способом обеспечения безопасности являются защитные инструменты провайдера [2]. Другим аспектом характеристики уязвимостей распределенных компьютерных систем является достаточно высокая степень простоты доступа к коммерческим данным сайта компании, необходимого для Интернет-маркетинга. Это обуславливает проведение научных
исследований по
проблематике несанкционированного доступа к коммерческой информации сайтов без привлечения активных способов получения данных (размещение вирусных кодов, Ddos-атаки, несанкционированный доступ и т.д.). В анализируемой ситуации создаются условия для скрытого (неочевидного) доступа к данным сайта, при чем уровень нанесения ущерба сайту конкурента становится довольно значительным. Практическое исследование отдельных сервисов, использующихся для анализа конкурентской базы маркетинговых
154
данных сайта с целью продвижения аналогичного продукта или услуги, указывает на широкие возможности относительно доступа к коммерческой информации, позволяющие без обмана в работе с клиентами получать такую же прибыль. В частности, сервис SpyWords.ru обеспечивает выдачу по запросу в считанные секунды следующей информации: -
-
ключевые слова, по которым данный рекламодатель размещает контекстную рекламу; -
позиция в поиске данного объявления; -
бюджет, выделенный на рекламу; -
трафик посетителей сайта – количество человек, заходящих на сайт; -
При этом, анализ предоставленных данных позволяет конкуренту получить необходимую коммерческую информацию о бюджете, ключевых словах, наиболее часто используемых в запросах клиентов, эффективности расходования бюджета на рекламу и поступлениях трафика его посетителей. Полученные данные позволяют повысить конкурентоспособность сайта-клона за счет более выгодного размещения рекламного объявления и привлечения большего количества клиентов. Так, исследование возможностей сервиса Publer.wildo.ru по предоставлению необходимых данных для мониторинга рекламных постов и тизеров ВКонтакте, в ОК, ТаргетМайл конкурентов, указывают на эффективность использования этого инструмента для привлечения трафика из социальных сетей, поскольку с помощью него можно получить следующую информацию: -
данные о выгодности покупки рекламы в определенной контактной группе; -
-
данные о наибольшем спросе на товар; -
данные о способах и месте размещения рекламы конкурентов. Такие сервисы анализа сайтов конкурентов необходимы для того, чтобы сократить время и материальные затраты на продвижение конкретной страницы сайта в ТОП поисковой выдачи. 155
Однако, в указанной ситуации возникает острая необходимость владельца сайта по решению проблемы защиты коммерческой информации, связанной с планированием бюджета на создание рекламы, уникального контента, дизайна, разработку оптимальных вариантов для повышения продаж своей компании и т.д.
Это обусловлено тем, что информация о рекламе, как элемента SEO-оптимизации и Интернет-маркетинга сайта, является достаточно уязвимой по причине того, что сайт изначально предназначен для публикации, то есть является открытым во всеобщем доступе, а способов и методов по противодействию несанкционированному мониторингу сайтов конкурентами в настоящее время не существует. Практика указывает, что в настоящее время существует острая необходимость создания системы методов и способов эффективного противодействия мониторингу сайтов конкурентами для защиты коммерческой рекламной информации о своём продвижении сайта и способах эффективного привлечения клиентов с помощью Интернет-технологий, а также сохранении необходимых условий для читабельности браузерами клиентов [3]. Хищение личных идентификационных данных представляет повышенный интерес в преступной среде. Это обусловлено достаточно простым доступом к данным за счет использования современных цифровых технологий. Наиболее часто
злоумышленники используют фишинг, представляющий собой процедуру рассылки электронных сообщений, замаскированных под надёжный источник (официальные сайты банков или социальных сетей). В случае успешной фишинг-рассылки, пользователи вводят запрошенные данные, попадающие в последствие злоумышленнику. Чаще всего целью фишинговых мошенников являются логины, пароли и номера кредитных карт пользователей. Точечный фишинг
представляет особую
угрозу информационной безопасности корпорации, поскольку является базисом для проникновения хакеров в корпоративную сеть путем использования методов социальной инженерии. Для рассылки используется поддельный сайт или поддельный адрес отправителя. Кроме того, мошенники применяют изощренные 156
способы, заставляющие жертву перейти на сайт, где пользователи оставляют нужную информацию или загружают на компьютер вредоносное ПО. Опасность усиливает то, что URL-адреса большинства сообщений, по которым получатель переходит на вредоносные сайты, имеют такой же вид, как их действующие аналоги. Другим способом фишинговой атаки является применение психологического приема, основанного на использовании в сообщении фраз с угрозами каких-либо неприятных последствий в случае невыполнения рекомендаций перехода по ссылке или обещания бонусов от известного сервиса. В настоящее время особую опасность приобретает сетевой фишинг, что обусловлено стремительным ростом онлайн сервисов и широкими возможностями мошенников к организации фишинговой атаки даже в условиях абсолютной безопасности сервиса. В таком случае актуальным является разработка комплекса мер для пользователей, позволяющего создать условия для уменьшения риска кражи
персональной информации пользователя. По мнению авторов, в состав комплекса информационной защиты от фишинга, необходимо включить следующие элементы: -
адреса с изображением замка в окне браузера и сертификата безопасности используемого сайта; -
соблюдение мер предосторожности и уведомление о всех подозрительных случаях службы технической поддержки; -
шифрованного соединения с адресом, который начинается с "https://", а не с "http://"; -
сигнатурой [4]. Механизмы сетевой безопасности распределенных систем управления. Современный этап развития бизнеса характеризуется широким использованием средств автоматизации процессов внутри управляющей системы. Это обусловлено необходимостью постоянного контроля процесса взаимоотношений клиента и предприятия, обеспечивающего 157
создание условий для повышения эффективности работы отделов. В настоящее время для решения указанных проблем необходимо внедрять CRM-системы, представляющие собой программное обеспечение, направленное на автоматизацию процесса взаимодействия с клиентами. Внедрение CRM-систем позволяет создавать общую базу контактов предприятия, осуществлять непосредственный контроль эффективности работы отдела продаж, получать своевременную аналитическую и статистическую информацию, планировать стратегию развития предприятия, предпринимать своевременные управленческие решения. Кроме того, внедрение облачных сервисов позволяет экономить бюджет предприятия, так как традиционное решение является более дорогим в процессе внедрения и поддержки управляющих информационных систем. Однако проблемой внедрения облачных технологий является обеспечение надежной защиты данных, что обусловлено широкими возможностями несанкционированного доступа к клиентской базе предприятия и документам компании по причине открытости CRM-системы. В качестве решения указанной проблемы может быть предложена технология многоуровневой защиты данных компании, использующей CRM-системы. Первым является уровень физической защиты, основанный на обеспечении круглосуточной охраны дата-центров, а также обеспечением сохранности информации, хранящейся на серверах средствами резервного копирования. Защита информации на уровне передачи данных представляет второй уровень, основанный на использовании SSL – сертификата, который уникальным способом идентифицирует пользователей и различные сервера. Это обеспечивает создание зашифрованного канала безопасной передачи данных. Третий уровень обеспечивает авторизацию в системе, позволяющую автоматически определять наличие доступа к конкретному отделу базы данных путем осуществления контроля логина и пароля пользователя при загрузке новой страницы и изменении критической информации. Четвертый уровень
обеспечивает определение позиционирования операций в системе как отдельного объекта
158
доступа с определением прав для отдельных пользователей и распределения доступа к документообороту. Пятый уровень организует контроль безопасности путем фиксации в системном журнале любого доступа к данным. Таким образом, использование многоуровневой системы защиты
информации в CRM-технологиях обеспечивает эффективную защиту коммерческой информации компании от несанкционированного доступа наряду с открытым доступом к данным, необходимым для сотрудников фирмы [5]. Стремительный рост сетевых сервисов как коммерческого, так и потребительского характера обостряет проблемы защиты пользовательских данных в сети. Актуальным является анализ проблематики сетевой информационной безопасности в части защиты коммерческих данных целевого сайта (сайта-лендинга), что связано с простотой копирования данных целевой веб-страницы. В таком случае злоумышленник получает возможность реализовать экономию своего бюджета и времени за счет создания копии, использованием примера привлекательного сайта с удачным предоставлением информации. Практический опыт показывает, что современная проблематика копирования лендинга, прежде всего, связана с потерей уникальности дизайна владельца сайта за счет модификации злоумышленниками большей части текстового наполнения и изменения контактных данных [6]. Особую опасность представляет целенаправленное копирование лендинга для того, чтобы работать от имени владельца сайта. Исследования показывают, что в такой ситуации злоумышленники меняют только контактную информацию, а персональные данные владельца сайта не меняются. Так, злоумышленники от имени компании могут предоставлять услуги при неопределенном уровне качества, проводить продажу с предоплатой копий продукции под видом оригинала. Такая ситуация приводит к созданию угрозы потери репутации сайта и потере части трафика, обусловленной деятельностью недобросовестных конкурентов по продажам.
159
Приведенные примеры обуславливают необходимость создания эффективной системы защиты данных сайта-лендинга от копирования в условиях его открытости во всеобщем доступе. По нашему мнению, в таком случае необходимо использовать «плавающие» (применяемые избирательно с соответствие с ситуацией) методы противодействия копированию данных сайта: -
использование скриптов запрета клика правой кнопкой мыши на сайте для защиты уникального контента (отключается возможность выделения, копирования и вставки); -
добавление водяного знака к изображениям также может создать необходимые условия противодействия копированию данных, однако не гарантирует того, что злоумышленники не получат заинтересовавшей их информации; -
скрипта трекинг-системы, который своевременно уведомит владельца о месте запуска сайта. При этом трекинг-система (если она не была удалена) обеспечивает даже удаление сайта с эксклюзивным контентом и существенно измененным дизайном; -
обращение к администратору хостинга по нарушению авторских прав, связанных с использованием злоумышленниками дизайн/ кода сайта [7]. Анализ современной практики использования сервисов Интернет указывает на возникновение необходимости применения в базе данных автоматизированной системы специального «контейнера» для
хранения паролей, что обусловлено целесообразностью организации системы сетевой безопасности. Основой системы является современный пароль, представляющий собой комбинацию символов различного регистра. Применение специального программного обеспечения (менеджера паролей) обеспечивает решение задачи хранения паролей в строго определенном месте, для чего используются специальные зашифрованные файлы с персональными данными. Следует отметить, что некоторые компании предлагают решение в виде расширения для браузера, которое автоматически осуществляет заполнение необходимых форм (PasswordBox, Blur, RoboForm, StickyPassword) как на платной, так и на безоплатной основе.
160
Для последующего анализа целесообразно представить классификацию современных менеджеров паролей по
назначению: -
десктопное приложение обеспечивает осуществление процесса хранения паролей к программному обеспечению, установленному непосредственно на жесткие накопители компьютера; -
процесса хранения паролей к программному обеспечению на мобильных устройствах, смартфонах, портативных накопителях; -
хранения паролей в режиме онлайн, предоставляя доступ к ним по запросу пользователя. Кроме того, менеджер паролей может быть использован для дополнительной защиты от фишинга за счет того, что менеджер при обращении со скриптами переходит на фишинговый сайт без подставления данных в форму ввода (при этом пользователь обязательно оповещается о посещении подозрительного сайта). Однако, несмотря на достоинства, использование менеджера паролей отличатся рядом уязвимостей. Так, если основной пароль будет взломан, то в руках злоумышленника окажется доступ ко всем пользовательским ресурсам. Кроме того, пароль может быть выявлен с помощью акустического крипто-анализа. Ситуация обостряется в случае использования некоторыми менеджерами паролей опции включения генератора паролей для повышения уровня шифра (в такой ситуации алгоритм генерации так же может выступить в роли инструмента для взлома). Ярким примером критической уязвимости является LastPass. Данный сервер довольно популярен среди пользователей благодаря низкой цене и достаточно простому интерфейсу. Однако данный сервер испытывал проблемы с кибер- безопасностью. Так, летом 2015 года сервис был взломан и персональные данные пользователей попали к злоумышленникам. При этом
было установлено, что двухфакторная защита не полностью обеспечивает сохранность персональных файлов
пользователей. Шон
Кессиди, обнаруживший уязвимость, придумал специальный инструмент – «LastPass» для демонстрации уязвимости в защите сервиса.
161
Данная уязвимость заключается в том, что, при конкретных условиях LastPass уведомляет пользователя о истечении срока сессии и
прохождения повторной аутентификации. Особенностью является то, что разработанный инструмент использует XSS-уязвимость для того чтобы обнаружить наличие у пользователя аккаунта в LastPass путем входа в него с помощью CSRF, а после выдать уведомление, предлагающее пользователю зайти в свой аккаунт еще раз. При этом, когда пользователь соглашается, с точностью до пикселя появляется логин-страничка LastPass, и введенная пользователем информация передается злоумышленнику. Кроме того, злоумышленник может подделать полномочия для LastPass API-интерфейса, проверить их подлинность, и даже задавать конкретного пользователя, использующего двухфакторную аутентификацию. Если все условия соблюдены, и все коды прошли проверку, то, используя тот же LastPass API, злоумышленник может собрать все данные из пользовательского аккаунта, в том числе конкретные пароли от конкретных ресурсов. Стоит учесть, что данная уязвимость работает исключительно в браузер Google Chrome, так как другие браузеры используют иной тип вывода уведомлений с данного веб-ресурса. Исслелования указывают, что все пользователи с двух факторной защитой (все бесплатные аккаунты) находятся в группе риска. В заключение отметим, что применение менеджера паролей для защиты персональных данных на основе сервисов LastPass ограничено при использовании браузера Google, поскольку это приводит к угрозе утечки информации. Для предотвращения утраты персональных данных и конфиденциальных паролей необходимо использовать ввод данных на странице сервиса, либо проходить аутентификацию через приложение [8].
Подсистемы защиты корпоративных данных распределенных компьютерных систем Фундаментом для создания системы защиты информации является документ, в котором формулируются принципы и основные положения политики предприятия в области информационной безопасности.
162
Первым элементом политики информационной безопасности (ПИБ) является разработка правового обеспечения защиты
информации, представляющая собой систему
нормативно-правовых документов, актуальных для деятельности предприятия. В состав правового обеспечения включаются государственные законы и акты, внутренние нормативные и организационные документы предприятия. Вторым элементом ПИБ является определение потенциальных угроз безопасности информации, которые можно разделить на три группы в зависимости от источника образования: -
информационной системой и предумышленные действия; -
некорректная работа или отказ технических или программных средств; -
стихийные бедствия и форс-мажорные обстоятельства. Третий элемент определяет составление перечня данных, подлежащих защите, в состав которого входит открытая информация (ущерб от потери подобного рода сведений не является значительным, поэтому их защита не приоритетна) и закрытая информация (данные, являющиеся государственной тайной – их перечень определяется законодательством; коммерческие или служебные сведения – любая информация, связанная с производством, финансами, использующимися технологиями, утечка или утрата которой может нанести ущерб интересам предприятия; персональные данные сотрудников). Четвертый элемент определяет создание подразделения, ответственного за вопросы защиты информации. Как правило, на российских предприятиях существует разделение функций, связанных с обеспечением информационной безопасности. Это подразумевает, что за разработку политики защиты данных, выполнение организационных мер отвечает служба безопасности компании, а вопросы, связанные с применением любых программных и аппаратных средств, включаются в компетенцию ИТ-подразделений. Анализ показывает, что наиболее правильным подходом является создание единой точки принятия решений, а именно создание подразделения, задачей которого будет решение всего спектра вопросов по защите информации на предприятии. В его 163
состав необходимо включить как сотрудников службы безопасности, так и ИТ-специалистов. Пятый элемент
включает определение основных направлений обеспечения информационной безопасности. В рамках решения этой задачи, в частности, обозначаются компоненты автоматизированной системы управления, которые нуждаются в защите, определяются необходимые программные и технические средства, формулируются организационные меры, направленные на защиту информации. Решение проблем обеспечения качественно новых показателей доступности и достоверности данных информационной системы управления (ИСУ) является одной из важнейших задач повышения эффективности ее функционирования в условиях неопределенности и дефиците времени. Особую остроту проблема приобретает в связи с необходимостью решения задач защиты информации от возможного несанкционированного доступа к данным, их модификации и уничтожения. Рост научно-технического прогресса обусловливает негативные тенденции развития преступного мира, приводит к появлению новых форм и видов преступных посягательств за счет того, что преступные группы активно используют в своей деятельности новейшие достижения науки и техники, применяют современные информационно-телекоммуникационные технологии [9]. Это требует разработки новых форм и методов защиты данных ИСУ от возможности несанкционированного доступа. Традиционно контроль функционирования вычислительной системы при помощи пароля выделяет решение следующих задач: 1. Контроль пользователя при доступе в систему, которые реализуется в том числе штатными средствами операционной системы (ОС); 2. Контроль при запуске процесса, благодаря чему при запуске некоторых приложений может быть установлена парольная защита. Решение этой задачи направлено на установку пароля ответственного лица; 3. Контроль при доступе к локальным ресурсам, например, при доступе к локальному принтеру, а также аутентификация ответственного лица;
164
4. Контроль при доступе к сетевым ресурсам, который реализуется в том числе штатными средствами ОС. Примером может быть разделение паролем доступа к ресурсам сети. Известные методы управления защитой информации в ИСУ, которые основаны на применении встроенного контроля для выявления и диагностирования ошибки, связанной с нарушением правильности последовательности выполнения элементов программного обеспечения (ПО), в целом с достаточным уровнем надежности обеспечивают информационную безопасность системы. Однако, несмотря на оснащение такой защитой всех слоев структуры, последовательность выполнения может быть нарушена вхождением программы в бесконечный цикл, выполнением цикла неверным числом раз или выполнением выхода через несуществующую ветвь [10].
Наиболее эффективными в базовой части защиты корпоративных данных являются технологии защиты операционных систем серверов и автоматизированных рабочих мест. Кроме того, проблемы безопасности операционных систем могут быть представлены целью атаки. По данным Akamai Technologies, за большую часть DDoS-атак несут ответственность представители всего нескольких государств, среди которых на первом месте – США (рис. 1). Проблемами также являются воздействие на операционную систему (пользование легальным получением информации, скрытыми материалами, а также создание уникальных альтернативных каналов информационного обмена); использованием защищённости (неправильная политика безопасности, ошибки программного обеспечения и предварительно установленная закладка), а также активным и пассивным воздействием на операционную систему. Наряду с этим, проблемы безопасности операционных систем можно классифицировать по источнику возникновения (воровство информации, подбор
пароля, превышение полномочий, сбор
мусора (уничтоженная информация копируется и просматривается пользователем), а также программные закладки). Практика указывает, что основой современной технологи безопасности операционной системы является комплекс способов в следующем составе: контроль функционирования
165
операционной системы; организация политики безопасности; создание и обновление копий; постоянный контроль изменения данных.
Рис. 1. Топ-10 DDoS-атак в 2014-2015 гг.
Для поддержания политики безопасности операционных систем необходим анализ угроз, а также соответственно сформулированные требования к политике безопасности и ее корректировке. Кроме того, довольно эффективными способами защиты операционных систем являются: -
идентификация пользователя при входе в систему; -
ограниченные права доступа; -
регистрация событий. -
Практический анализ указывает, что в основе атак на операционные системы, состоят
некоторые группы,
отличающиеся следующими признаками: 166
-
группы, которые позволяют запустить исполняемый код; -
группы, которые запрещают операции чтения или записи файлов, или ограничивают права доступа; -
группы, которые приводят к отказу в обслуживании; -
троянские программы. Исследования определяют, что современные угрозы операционным системам напрямую используют их недостатки, а потому
администраторам информационных систем и
механизмы защиты [11] в комплексе мер аутентификации и идентификации. Вопрос идентификации пользователя в системе контроля доступа крайне актуален. Любое предприятие, имеющее дело с коммерческой или государственной тайной должно внедрять методы шифрования и системы контроля и управления доступом для предотвращения действий злоумышленников по похищению, изменению или уничтожению данных. Смарт-карты вместе с системой двухфакторной авторизации значительно усложняют задачу злоумышленника по получению доступа к закрытым данным. Описание принципов работы смарт-карт на предприятии с закрытыми данным для выделения ключевых особенностей смарт-карт с шифрованием RSA и по ГОСТ Р 34.10-2012, применяемых в настоящее время на предприятиях и фирмах, позволяет определить пути усовершенствования порядка их использования для повышения эффективности защитных мероприятий при управлении корпорацией. Смарт-карта – это специализированный для криптографии микропроцессор с повышенным уровнем безопасности. Доступ к памяти смарт-карты строго контролируется внутренним контроллером данных и не может быть считан без введения пин- кода. Сегодня смарт-карты используются с целью однозначной идентификации пользователя или для аутентификации его действий в системах контроля управления доступом (СКУД) для выполнения следующих задач: -
контроль доступа к помещениям; -
авторизация пользователя во внутренней локальной вычислительной сети (ЛВС) предприятия; 167
-
шифрование личных файлов,
электронной почты,
корпоративных файлов с ограниченным доступом; -
создание электронной цифровой подписи (ЭЦП) для удостоверения подлинности; -
-
учет рабочего времени сотрудника. Анализ современных способов авторизации в корпоративных системах позволяет выделить два способа для авторизации пользователя, такие как: -
пара «логин-пароль» (система – то, что знает только пользователь); -
храниться только у авторизированного пользователя. Использование смарт-карт позволяет дополнить оба способа и повысить надежность СКУД. Следует отметить, что СКУД, построенные на принципе идентификации пользователя по логину и паролю достаточно широко распространены и много раз рассматривались в научных статьях. Однако сегодня наибольший интерес представляют ИТ- системы корпораций, построенные на базе сертификатов и использующие инфраструктуру публичных ключей (PKI). Исследование показывает, что
достичь строгой
двухфакторной авторизации в корпоративных системах можно благодаря использованию криптографических смарт-карт и цифровых сертификатов. Особенностью двухфакторной авторизации является строгое выполнение пользователем в процессе аутентификации требования по предоставлению двух признаков для однозначного определения персоны: -
смарт-карта (то, чем обладает только пользователь); -
PIN-код (информация, доступная только владельцу смарт- карты).
При этом,
разрешение пользователю доступа к корпоративной ИС осуществляется только при совпадении этих признаков с базой данных пользователей системы управления. В иных случаях (после 3-х неуспешных попыток введения PIN- кода) производится автоматическое уведомление службы безопасности о возникновении проблемы с безопасностью на предприятии.
168
Анализ показывает, что принудительная двухфакторная авторизация является самым безопасным способом проверки подлинности пользователя в корпоративной среде для обеспечения необходимого уровня
информационной безопасности автоматизированной управляющей системы. Особого внимания требует вопрос внедрения смарт-карт на предприятии, в котором необходимо учесть несколько факторов: 1. Выбор адекватного алгоритма для построения PKI- системы (сегодня в РФ используется два стандарта – RSA- алгоритм, а также алгоритмы, описанные в стандарте ГОСТ Р 34.10-2012). Сравнивая указанные алгоритмы, следует отметить, что системы, использующие в своей основе алгоритм хеширования RSA, сейчас наиболее распространены среди систем СКУД в силу поддержки со стороны всех операционных систем и многих корпоративных приложений. Эти системы относительно легко внедрять и поддерживать, эти системы рекомендуют для корпораций финансового сектора (биржи, банки, страховые компании). Характеризуя системы на базе ГОСТ Р 34.10-2012, следует указать, что они внедряются сложнее, однако обязательны для государственных учреждений и организаций (рекомендуется к применению в системах с максимально критической стоимостью потери данных). Потому этот алгоритм является сертифицированных в РФ, и теоретически является более стойким, нежели RSA. 2. Выбор необходимого программного обеспечения (ПО), которое будет выполнять роль «удостоверяющего центра» (УЦ) (УЦ является основным компонентом любой PKI-системы, выпускающим сертификаты открытых ключей
и удостоверяющим их подлинность). Практика свидетельствует, что самым простым способом является использование УЦ, встроенного в Windows (Microsoft CA), поскольку Microsoft CA изначально рассчитан на работу с RSA-алгоритмом и может быть адаптирован и для работы по ГОСТу (например, при помощи решений компании КриптоПро). Помимо Microsoft CA существует много других УЦ, в том числе полностью ориентированных на работу только по ГОСТ Р 34.10-2012. 3. Выбор Card Management System (CMS) корпоративной информационной системы. CMS сопровождает сертификаты на протяжении всего их жизненного цикла: организует их выдачу, 169
перевыпуск, отзыв. Поэтому к выбору CMS необходимо отнестись серьезно и основательно. CMS должна легко интегрироваться в информационную среду, поддерживать различные директории, удостоверяющие центры, модули безопасности (HSM), токены и смарт-карты. Желательна также возможность интеграции CMS и СКУД. Таким образом, использование двухфакторной идентификации и авторизации на предприятиях с использованием смарт-карт в комплексе с перечнем рекомендаций их эффективного внедрения позволит создать условия для повышения эффективности функционирования корпоративной системы информационной безопасности [12].
развитием экономики в сети Интернет способы защиты информационных процессов при помощи криптографического преобразования данных становятся первостепенными в использовании. При системе бюджетного документооборота через сеть Интернет очень важно защищать информацию от постороннего вмешательства. На всех этапах передачи документов в бюджетном процессе используют последний способ – электронную подпись. Это позволяет вышестоящему и контролирующему органам принимать документы, связанные с финансированием и определять достоверность переданной информации от того или иного ведомства. Также это снижает время на бумажную волокиту и увеличивает скорость принятия документа. Один из минусов системы информационной защиты в том, что пользователю приходиться носить множество ключей (съемных носителей) от разных программ. Иногда количество может достигнуть 15-20 экземпляров. Для того чтобы устранить эту проблему для ведомств необходимо сгенерировать ключ с цифровой подписью, который будет подходить для некоторых программ сразу [13]. Широкая распространенность цифровых методов обработки и передачи данных ведет к стремительному росту использования частными лицами и предприятиями Internet-banking. Это, в свою очередь, требует разработки системы мер, направленных на 170
противодействие несанкционированному доступу к данным пользователей и корпораций. В настоящее время для обеспечения информационной безопасности в Internet-banking наиболее распространенными являются механизмы электронной цифровой подписи (ЭЦП), криптографической аутентификации сторон и шифрование данных. Так, использование ЭЦП обеспечивает целостность и подлинность (подтверждение авторства) информации. Для формирования ЭЦП клиента используются криптографические алгоритмы процедуры формирования ЭЦП клиента (ГОСТ 34310- 95) и процедуры вычисления хэш-функции (ГОСТ 34311-95). В процессе предварительной регистрации с использованием криптографического генератора псевдослучайных чисел
SecureRand dorn генерируется пара ключей ЭЦП клиента (секретный и открытый). При этом, секретный ключ ЭЦП клиента используется для формирования ЭЦП клиента под его финансовыми документами и другими распоряжениями, а секретный ключ ЭЦП клиента хранится в зашифрованном файле. Обеспечение защищенного взаимодействия через Internet проводится с помощью механизма криптографической аутентификации сторон путем использования защищенного протокола при установке соединения между Web-сервером банка и клиентом для подтверждения подлинности Web-сервера. Конфиденциальность передаваемой через
Internet информации обеспечивается путем шифрования данных. Шифрование информации осуществляется с помощью сессионных ключей, генерируемых на этапе установления с соединение между клиентом и сервером приложений. При этом для шифрования информации используются алгоритмы RSA- 1024 (асимметричный криптографический алгоритм с модулем N длиной 1024 бита) с целью обеспечения процедуры согласования сеансовых ключей шифрования и контроля уникальности сессии, а также симметричный алгоритм шифрования (ГОСТ 28147-89) для использования сервером приложений с целью шифрования передаваемых данных. В заключение следует отметить, что для обеспечения конфиденциальности и целостности данных в Internet-banking ведутся контрольные архивы, в которых хранятся все электронные документы с ЭЦП для разрешения конфликтных
171
ситуаций, учет доступа клиентов по всем сервисам, времени доступа, идентификаторам ключей ЭЦП, которые были использованы в проведенных операциях. Кроме того, в системе ведется история документов по отношению к времени, месту, инициатору и руководителю предприятия. Внедрение Internet-banking требует
обязательного изменения текущей политики информационной безопасности банка, размещения серверов системы Internet-banking в отдельном сетевом сегменте с контролируемым доступом, создания контролируемого межсетевого экрана (Firewall) и внутренней защищенной сети банка [14]. Фальсификация документов и продукции в последнее время приобрела массовый характер. Имущественный и моральный урон наносится гражданам и предприятиям подделкой товаров, ценных бумаг и фальсификацией документов. В связи с ростом фальсификаций и нанесения ущерба владельцу информации имеет необходимость использовать электронную цифровую подпись (ЭЦП). Целью применения электронной цифровой подписи является аутентификация информации, т.е. защита передаваемых участниками информационного обмена сведений для получения гарантий их подлинности. Система ЭЦП предусматривает, что каждый пользователь имеет свой секретный ключ, который используется для формирования подписи, а также соответствующий ему открытый ключ, предназначенный для проверки подписи и распространенный среди определенного круга пользователей, входящих в систему информационного обмена. Существует несколько схем построения цифровой подписи: На основе алгоритмов симметричного шифрования. Данная схема предусматривает наличие в системе третьего лица – арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт зашифровывания его секретным ключом и передача его арбитру.
данный момент такие схемы ЭП наиболее распространены и находят широкое применение. Кроме этого, существуют другие разновидности цифровых подписей (групповая подпись, неоспоримая подпись, доверенная
172
подпись), которые являются модификациями описанных выше схем. Их появление обусловлено разнообразием задач, решаемых с помощью ЭП. Информация о ЭЦП доступна любому пользователю, имеющему к ней доступ. Для определения идентичности автора и подтверждения подлинности документа используется «хэш- функция». На первом этапе подписания документа ЭЦП строится специальная функция (наподобие контрольной суммы), хэш- функция, которая идентифицирует содержание документа. На втором этапе автор документа шифрует содержание хэш- функции своим персональным закрытым ключом. При этом зашифрованная им хэш-функция помещается в сам документ, сохраняется и передается вместе с ним. Размер хэш-функции весьма незначителен, поэтому не происходит ощутимого увеличения размера документа. При получении документа, подписанного ЭЦП, пользователь может убедиться в ее подлинности. Таким образом, на первом этапе получатель документа строит собственный вариант хэш-функции подписанного документа. На втором этапе расшифровывается хэш-функция, содержащаяся в документе. На третьем этапе происходит сравнения этих двух хэш-функций. Их совпадения является гарантией подлинности документа и его авторства. Для получения ЭЦП необходимо обратиться к специалистам удостоверяющих центров, которые рассмотривают заявление и подбирают необходимые пути ее решения [15]. Защита данных пользователей на основе IAM – систем. Интерес представляет также подход к решению вопроса аутентификации на основе собственных приложений в информационных системах (ИС). Однако постоянно растущее количество систем и приложений для работы пользователей организации, а также отсутствие единого инструмента для администрирования, приводит к необходимости усовершенствования приложений разграничения доступа в информационной системе управления предприятием. Решение проблемы возможно с использованием IAM (Identity and Access Management) системы, представляющей собой комплекс средств по управлению идентификацией
173
пользователей и контролю за предоставлением доступа к сетевым, вычислительным и информационным ресурсам ИС. IAM-системы позволяют снизить угрозу
несанкционированного доступа к информационной системе компании внешним и внутренним пользователям путем использования перехода на двухфакторную аутентификацию во всех охваченных IAM-системой приложениях. Архитектура IAM-систем характеризуется двумя областями, обеспечивающими функциональность современного IAM- решения: 1. Администрирование пользователей и резервирование – UAP (User Administration and Provisioning). UAP обеспечивает формирование первичных данных в базе данных предприятия о сотруднике при приеме на работу, а также созданием учетной записи в службе каталогов. При этом, доступ к данным новый работник получает, обратившись к системному администратору или в службу поддержки, с согласия руководителя или владельца ресурса. Изменения должностей, телефонных номеров и фамилий сотрудников обязательно отображаются в информационных системах. При ошибочном вводе пароля во время процедуры подключения доступа к почте на мобильный телефон, учетная запись сотрудника блокируется при многократных попытках ввода неправильных данных. Доступ сотрудника ко всем приложениям также блокируется в течение минуты при его увольнении. 2. Идентификация и управление доступом – IAG (Identity and Access Governance). IAG-приложение решает задачи запроса, подтверждения, аттестации и аудита доступа к приложениям, данным и сервисам, а также обеспечивает контроль и предоставляет бизнес-аналитику процессов создания учетных записей, управления этими записями и как эти записи были использованы для доступа. Основными преимуществом IAM-систем является экономия времени, простота в обращении, обеспечение доступа в любом месте, а также достаточный уровень обеспечения безопасности корпоративной информации.
174
К недостаткам использования IAM-систем следует отнести существенные расходы на управление доступом к сети, а также комплексное соответствие правовым и корпоративным нормам. Таким образом, использование IAM-технологии, требует необходимости разграничить на одном устройстве служебное и персональное информационное пространство сотрудника для создания условий безопасности данных информационной системы управления предприятием [16].
1.
Бойченко О.В. Проблемы защиты данных пользователей социальной сети / О.В. Бойченко, Д.А. Логвиненко // Актуальные проблемы и перспективы развития экономики: XIV Междунар. науч.- технич. конф., 12-14 ноября 2015 г.: тезисы докладов. – Симферополь, 2015. – С. 239. 2. Бойченко О.В. Сетевая атака «отказ в обслуживании»/ О.В. Бойченко, И.О. Кравцов // Проблемы информационной безопасности: IІ Междунар. науч.-технич. конф., 25-27 февраля 2016 г.: тезисы докладов. – Симферополь, 2016. – С. 219. 3. Бойченко О.В. Проблема защиты маркетинговой информации сайтов / О.В. Бойченко, С.О. Адарчина // Информационная безопасность регионов России (ИБРР-2015). IX Санкт-Петербургская межрегиональная конференция. Санкт-Петербург, 28-30 окт. 2015 г.: материалы конференции / СПОИСУ. – СПб., 2015. – С. 203-204. 4. Бойченко О.В. Фишинг в корпоративной среде / О.В. Бойченко, Л.О. Броцкая // Проблемы информационной безопасности: IІ Междунар. науч.-технич. конф., 25-27 февраля 2016 г.: тезисы докладов. – Симферополь, 2016. – С. 160-161. 5. Бойченко О.В. Защита клиентской базы предприятия при использовании CRM-систем / О.В. Бойченко, Е.С. Тупота // Актуальные проблемы и перспективы развития экономики: XIV Междунар. науч.- технич. конф., 12-14 ноября 2015 г.: тезисы докладов. – Симферополь, 2015. – С. 240-241. 6. Ash, Tim. Landing Page Optimization: The Definitive Guide to Testing and Tuning for Conversions. – Wiley Publishing, 2011. – 384 p. 7. Бойченко О.В. Защита лендинга от копирования / О.В. Бойченко, С.В. Адарчина // Проблемы информационной безопасности: IІ Междунар. науч.-технич. конф., 25-27 февраля 2016 г.: тезисы докладов. – Симферополь, 2016. – С. 217-218. 8. Бойченко О.В. Менеджер паролей в решении проблем сетевой безопасности / О.В. Бойченко, Е.С. Тупота // Проблемы информационной
175
безопасности: IІ Междунар. науч.-технич. конф., 25-27 февраля 2016 г.: тезисы докладов. – Симферополь, 2016. – С. 220. 9. Бойченко О.В. Политика предприятия в области информационной безопасности / О.В. Бойченко, И.А. Авдошин // Проблемы информационной безопасности: IІ Междунар. науч.-технич. конф., 25-27 февраля 2016 г.: тезисы докладов. – Симферополь, 2016. – С. 73. 10. Бойченко О.В.
Контроль и восстановление данных информационной системы управления методом паролей / О.В. Бойченко // Проблемы информационной безопасности: I Междунар. науч.-технич. конф., 26-28 февраля 2015 г.: тезисы докладов. – Симферополь, 2015. – С.5-8. 11. Бойченко О.В. Способы защиты операционных систем / О.В. Бойченко, А.С. Трофимов // Проблемы информационной безопасности: IІ Междунар. науч.-технич. конф., 25-27 февраля 2016 г.: тезисы докладов. – Симферополь, 2016. – С. 115. 12. Бойченко О.В. Роль смарт-карт в системе корпоративной ІТ- безопасности / О.В. Бойченко, В.Р. Чачиев // Проблемы информационной безопасности: IІ Междунар. науч.-технич. конф., 25-27 февраля 2016 г.: тезисы докладов. – Симферополь, 2016. – С. 191-192. 13. Бойченко О.В. Способы
криптозащиты электронного документооборота в бюджетной системе / О.В. Бойченко, Г.Н. Макеева // Проблемы информационной безопасности: IІ Междунар. науч.-технич. конф., 25-27 февраля 2016 г.: тезисы докладов. – Симферополь, 2016. – С. 74. 14. Бойченко О.В. Механизмы информационной безопасности Интернет-банкинга / О.В. Бойченко, Д.В. Бех // Актуальные проблемы и перспективы развития экономики: XIV Междунар. науч.-технич. конф., 12- 14 ноября 2015 г.: тезисы докладов. – Симферополь, 2015. – С. 206-207. 15. Бойченко О.В. Защита документов с помощью ЭЦП / О.В. Бойченко, Б.В. Белименко // Актуальные проблемы и перспективы развития экономики: XIV Междунар. науч.-технич. конф., 12-14 ноября 2015 г.: тезисы докладов. – Симферополь, 2015. – С. 237-238. 22. Бойченко О.В. Применение IAM-систем в корпоративных информационных системах / О.В. Бойченко, А. Ивченко // Теория и практика экономики и предпринимательства: XII Междунар. науч.-технич. конф., 23-25 апреля 2015 г.: тезисы докладов. – Симферополь, 2015. – С. 178-179.
|