Сделать стартовойпоискНаписатьКарта сайта
Откройте для себя новое
в безопасности

Защита информации: что следует знать потребителю

Автомобиль, квартира, офис, дача, гараж… Не стоит доказывать, как важно обеспечить их безопасность. А нужно ли защищать информацию? Для ответа достаточно хотя бы ориентировочно определить потенциальную ценность конфиденциальных сведений — списков заказчиков, текстов договоров, персональных данных, финансовых документов. Трудно представить современный офис, в котором подобная информация обрабатывалась бы и хранилась на бумаге; но, к сожалению, не часто встретишь и серьезное отношение к защите компьютерной информации.

В лучшем случае защита сводится к паролю для входа в операционную систему, который «для памяти» записан на листке бумаги, приклеенном к монитору. А ведь существуют разные — и по цене, и по возможностям — средства защиты информации, доступные любому пользователю. Попробуем определить их основные разновидности на примере эффективных технологий информационной безопасности.

 

Чужие здесь не ходят

Для начала выясним, как защитить информацию от несанкционированного доступа. Пароли помогут вряд ли: простые пароли легко подобрать, а сложные — трудно запомнить; к тому же пароль можно забыть или подглядеть. Иными словами, для входа в компьютер, как и в квартиру, должен быть материальный «ключ». Электронные ключи конструктивно выглядят по-разному: это может быть смарт-карта (пластиковая карта с интегральной микросхемой), умещающийся на связке ключей брелок к порту USB, «таблетка» Touch Memory; для защиты наиболее ценной информации компьютер оснащают специальными платами (они перехватывают управление до загрузки операционной системы и требуют подтвердить полномочия пользователя — если это не удается, компьютер блокируется). В любом случае, необходим материальный носитель информации о праве доступа — причем такой, из которого извлечь эту информацию было бы нельзя. Лучше всего данному требованию отвечают микропроцессорные смарт-карты и USB-брелоки: хранящиеся в них данные зашифрованы, так что даже в случае кражи эти носители останутся бесполезными для злоумышленника.

Впрочем, есть и другие надежные носители информации для аутентификации (подтверждения полномочий) пользователя. Их не нужно покупать, а применять очень просто. Как уже догадался проницательный читатель, речь идет о биометрических признаках — например, отпечатках пальцев. Отпечатки невозможно украсть или подделать, в отличие от электронных ключей количество их «предъявлений» не ограничено (они не меняются всю жизнь и не стираются); кроме того, уникальность отпечатков гарантирует, что доступ к информации получит конкретный человек. Миниатюрный сканер отпечатка может быть вмонтирован в стандартную компьютерную мышь; современные технологии позволяют распознавать муляжи и централизованно хранить на мощных серверах «шаблоны» отпечатков (но не сами отпечатки, которые в буквальном смысле остаются на руках у пользователя и сверяются с шаблонами при попытке доступа).

Добавим, что перечисленные средства защиты от несанкционированного доступа действуют не только на входе в операционную систему. Например, отпечатком пальца можно заменить пароль «хранителя экрана» (как, впрочем, и пароли прикладных программ). В этом случае можно будет без опаски отлучиться с рабочего места или из помещения, где проводятся деловые переговоры: компьютер откроет доступ к информации только «владельцу» отпечатка.

 

Право на тайну
Защитой компьютера от несанкционированного доступа проблемы информационной безопасности не исчерпываются. Не исключены попытки физического изъятия жесткого диска, перехвата и/или искажения конфиденциальных сведений, передаваемых по открытым каналам связи, например, сети Интернет.

Для противодействия этим угрозам применяются криптографические технологии — шифрование и электронная цифровая подпись (ЭЦП). Шифрование обеспечивает конфиденциальность информации, а ЭЦП служит для проверки авторства и целостности электронных документов.

В самом простом случае можно зашифровать файл (или группу файлов) и отправить их по e-mail: перехватив письмо с шифровкой, злоумышленник не сможет ее раскрыть. Все большей популярностью пользуется «прозрачное» (т.е. автоматическое, «на лету») шифрование логических дисков: секретный диск открыт для доступа и работы в обычном режиме (создания, удаления, копирования, перемещения файлов и каталогов и т.д.) только владельцу ключа шифрования, записанного на брелоке или смарт-карте; для остальных пользователей секретный диск вообще «отсутствует». В момент записи на секретный диск данные автоматически зашифровываются, а при чтении — автоматически расшифровываются, так что, даже выкрав винчестер, злоумышленник не получит доступ к конфиденциальной информации.

По выбору владельца доступ к секретному диску может быть открыт другому пользователю (например, бухгалтерия будет работать с одним секретным диском, финансисты — с другим и т.д., что важно для защиты информации внутри фирмы); для противодействия внешним угрозам секретный диск большого объема можно разместить на сервере. Рядовые сотрудники могут и не знать о предпринимаемых мерах защиты — ведь в их работе не изменится ничего; не почувствуют они и незначительного (как правило, на 5-10%) снижения скорости обработки информации. Наиболее продвинутые системы прозрачного шифрования могут закрывать доступ к секретному диску, реагируя на информацию датчиков движения (в случае, если сервер установлен в охраняемом помещении) или в ответ на сигнал, посланный с радиобрелока владельца фирмы (администратора безопасности).

 

Моя сеть — моя крепость

Выстраивая «рубежи» защиты, необходимо учитывать все направления атак, число которых с развитием компьютерной техники постоянно увеличивается. И если для защиты отдельной рабочей станции упомянутых выше средств может оказаться достаточно, то для противодействия угрозам со стороны внешних сетей нужны специальные меры.

«Постовым» на входе в корпоративную сеть станет межсетевой экран. Он призван защищать от атак со стороны Интернет, пропуская во внутреннюю сеть «своих» и отсекая «чужаков». Но, предположим, конфиденциальными данными через общедоступный Интернет обмениваются головной офис фирмы и ее филиал. В этом случае нужно обеспечить безопасность и самого канала обмена информацией, для чего используются технологии VPN (Virtual Private Network, в дословном переводе — виртуальные частные сети). На выходе из каждой внутренней сети устанавливается криптомаршрутизатор, который зашифровывает всю исходящую информацию и расшифровывает — входящую, причем незашифрованный трафик или трафик, пришедший от неавторизованного (неизвестного) маршрутизатора во внутреннюю сеть не допускается. Потенциальным злоумышленникам запрещен доступ и ко внутренним ресурсам, и к информации, передаваемой по открытым внешним каналам связи.

Технологии VPN позволяют обезопасить обмен данными не только между несколькими сетями; одним из участников обмена может быть удаленная рабочая станция мобильного пользователя (например, ноутбук на даче у трудолюбивого начальника) или простые настольные компьютеры. Ряд продуктов (как российских, так и зарубежных) эффективно сочетает функции межсетевого экранирования и VPN, имеет гибкую архитектуру и легко может быть масштабирован под структуру сети заказчика. Используя эти решения, в зависимости от задач и предпочтений пользователя можно либо полностью запретить доступ «посторонней» информации из Интернета, либо разрешить работу отдельных сервисов всемирной сети (в последнем случае надо понимать, что уровень защиты объективно снижается).

 

Защита от непрошеных гостей
Конечно, наглухо отгородиться от Интернета невозможно, да и вряд ли нужно. Всемирная сеть — неисчерпаемый источник информации, средство общения с партнерами и друзьями по всей планете… и гигантский рассадник вредоносных программ, часто обобщенно именуемых компьютерными вирусами. Еще недавно пользователи сталкивались лишь с традиционными файловыми или макровирусами; «чумой» же XXI века стала новая генерация вредоносных программ — так называемых «троянов», «вандалов», враждебных аплетов и скриптов. Их отличие от предшественников — как правило, не только в большем масштабе наносимого вреда, но и в особой изощренности маскировки и новом механизме активации. Если «старые» вирусы чаще всего поражали файлы, каталоги и загрузочные секторы и, чтобы начать свою работу, ждали действий пользователя (например, открытия или копирования пораженного файла), то новое поколение вредоносных программ гораздо более самостоятельно. Загрузившись в компьютер пользователя во время его путешествий по Интернету, «вандал» или «троян» может ожить в любой момент. Он не нуждается в дополнительных стимулах для активации, а последствия его действий могут быть катастрофичными — вплоть до уничтожения значительных массивов информации.

Иными словами, задача антивирусной защиты сохраняет актуальность, и разработки ведущих российских фирм, специализирующихся в этой сфере, занимают верхние строчки в мировых рейтингах соответствующих продуктов. Но с учетом новых угроз необходимо использование функций Content Security (т.е. «безопасности содержимого»): фильтрации содержимого электронной почты и Web-коммуникаций по ключевым словам (например, выявление потенциальных «беглецов» с фирмы, рассылающих письма со словом resume) и на наличие вредоносных кодов, защиты от «спама» и использования корпоративных ресурсов для «внепроизводственных» целей (скажем, доступа к развлекательным и т.п. сайтам в рабочее время), создания «карантинных» зон, куда помещаются для проверки подозрительные объекты, сканирования архивных и сжатых файлов, борьбы с враждебными сценариями, скриптами, аплетами и т.д.

 

Системный подход: решения для экономных
Даже краткий обзор основных направлений защиты информации способен вызвать у потребителя вопросы и размышления. Следует ли развивать у себя на фирме все направления или достаточно ограничиться одним? Как выбрать действительно нужное средство защиты и добиться, чтобы его использование было эффективным, но не создавало больших проблем для персонала? Где гарантии, что разные продукты вдруг не начнут конфликтовать друг с другом? Кому поручить обслуживание средств защиты, если на счету каждая штатная единица? И во что выльется создание системы защиты, есть ли пути сокращения расходов?

Для ответа на эти и подобные вопросы вновь обратимся к примерам из других областей. Так, к примеру, можно самостоятельно заниматься строительством коттеджа, лично разрабатывая архитектурный проект, согласовывая его с многочисленными инстанциями, посещая оптовые рынки в поисках дешевых стройматериалов и т.д. Но, сопоставив затраты и выгоды, нетрудно прийти к выводу: овчинка выделки не стоит, и гораздо дешевле поручить часть работ, отдельные их блоки или весь проект профессионалам.

В сфере информационной безопасности комплексный подход реализуют компании - системные интеграторы. Что выиграет потребитель, обратившись к их услугам? Во-первых, интегратор способен выполнить для потребителя весь цикл работ: от обследования бизнес-процессов фирмы-заказчика с выявлением угроз информационной безопасности до создания эффективной системы защиты информации. Во-вторых, интегратор не станет заниматься бесконечным латанием отдельных «дыр», а предложит разные варианты решения проблем информационной безопасности в целом. В‑третьих, системные интеграторы способны встать над схватками поставщиков отдельных, конкурирующих друг с другом решений и выбрать для заказчика то, что ему действительно нужно. В-четвертых, интегратор возьмет на себя ответственность за устранение возможных конфликтов разных средств защиты и представит заказчику действительно систему защиты, а не набор отдельных «кубиков», которые станут работать по отдельности, но не вместе. В-пятых, компании-интегратору можно поручить дальнейшее сопровождение системы защиты: часто это гораздо выгодней, чем специально создавать на фирме целый отдел информационной безопасности.

 

Словом, у отечественного потребителя есть широкие возможности для выбора оптимальных стратегий защиты информации. Главное - оценить важность самой проблемы информационной безопасности и вовремя взяться за ее решение.

 

  Автор: Игорь Лукашов