Существуют два метода: GET и POST. При отправке запроса методом GET данные, введенные в форму, присоединяются к URL после вопросительного знака. В этом случае URL может выглядеть, например, так: "/cgi-bin/dir/script.pl?name=John&age=25 &hobby=reading&hobby=football". Нетрудно заметить, что данные состоят из пар "имя=значение", разделенных амперсандами. При отправке данных методом POST та же самая строка: "па-me=John&age=25&hobby=reading&hob-by=football" помещается после заголовке запроса, отделяясь от них пустой строкой В этом случае к URL ничего не добавляется.

Очевидно, что никакой HTTP-сервер не может предусмотреть всего разнообразия интерактивных www-приложений. Вместо этого HTTP-сервер предлагает разработчику интерфейс, используя который, сторонняя программа может получить от HTTP-сервера все необходимые для обработки запроса данные, а в ответ сгенерировать контент, который будет возвращен сервером браузеру. Таким образом, задача генерации контента возлагается на приложения, разрабатываемые под нужды конкретной задачи. В комплексных информационных системах на базе WWW говорят, что HTTP-сервер - это front end www-сайта, а приложения, генерирующие контент, - back end. Часто приложения работают в связке с базой данных: таким образом, имеет место трехуровневая схема: HTTP-сервер - приложение - база данных.

Интерфейс CGI

Наиболее общим и распространенным интерфейсом подобного типа является CGI. При его использовании HTTP-сервер запекает приложение, которое должно обработать запрос, и передает ему на стандартный ввод все, что поступило в запросе после заголовков. Также HTTP-сервер устанавливает несколько переменных окружения, в том числе переменную QUERY_STRING, которая содержит часть URL, расположенную после вопросительного знака (а это, как мы знаем, данные, переданные методом GET). Таким образом, CGI-приложение получает доступ к данным, введенным пользователем в форму. Отметим, что сами данные, их наличие или отсутствие, размещение в теле запроса или в URL или сразу в обоих местах HTTP-сервером никак не интерпретируются и не декодируются, а передаются приложению как есть. Все задачи по интерпретации и преобразованию данных возложены на CGI-приложение. Обработав запрос, приложение передает сгенерированный контент на свой стандартный вывод, где он перехватывается HTTP-сервером и пересылается клиенту. Единственный заголовок, который обязано выставить само CGI-приложение, - Content-Type.

Выполняемые составляющие

Другой способ динамической генерации контента - внесение программного кода непосредственно в текст HTML-файла. Код размещается внутри специальных тэгов (например, ). Приняв запрос такого файла, HTTP-сервер производит разбор его содержимого, обнаруживает программный код и исполняет его. В текст исходного файла вставляется результат выполнения кода и итоговый контент отправляется клиенту. Популярными технологиями, использующими встроенный код на стороне сервера, являются PHR ASP (Active Server Pages), JSP (Java Server Pages). В отличие от CGI, где от сервера, в общем случае, не требуется никаких знаний о том, как работает запускаемая им CGI-программа, при использовании встроенного кода требуется поддержка соответствующей технологии сервером, так как выполнение кода производится внутри процесса сервера.

Особый случай встроенного кода - язык Javascript. Код, написанный на Javascript, помещается внутри пары тэгов , передается на сторону клиента и выполняется браузером. На стороне клиента выполняются также программы, написанные на языке Java. Встретив в HTML-документе тэг , браузер загружает с сервера файл, содержащий байт-код программы, и передает его на выполнение Java-машине. Последнюю можно бесплатно загрузить из Интернета с сайта http://java.sun.com.

Кэширование данных

Часто между браузером и HTTP-сервером располагается промежуточное звено - HTTP-кэш, или прокси-сервер. Не всякий контент будет помещен в кэш. Администратор прокси-сервера формулирует политику кэширования: например, не кэшировать контенты больше определенного размера, контенты, в URL которых имеется каталог cgi или cgi-bin, или контенты, полученные с серверов локальной сети. Кроме того, используя заголовок Cache-Control, сервер может явно запретить кэширование выдаваемого им контента. Помещенный в кэш контент не хранится там вечно: на основании значения заголовков Last-Modified и Expires прокси-сервер определяет его "срок годности".

Очевидно, что не все информационные ресурсы WWW могут быть открыты для всеобщего просмотра. Для того чтобы ограничить доступ к какому-либо ресурсу, используется аутентификация клиента, прежде чем запрос обслуживается HTTP-сервером. Аутентификация выполняется с помощью заголовков WWW-Authenticate и Authorization. Сегодня определены две схемы аутентификации: Basic и Digest, фундаментально отличающиеся друг от друга с точки зрения безопасности. Первая представляет собой обычную процедуру пересылки имени и пароля пользователя в открытом виде; вторая использует алгоритм MD5.

Пользователь вновь под ударом

Для пользователя WWW таит в себе те же угрозы, что и электронная почта, которую мы обсуждали в одном из предыдущих номеров, а именно: загрузка и исполнение на компьютере пользователя вредоносных программ, подлог документов (ресурсов) и прослушивание передаваемых данных и паролей.

В ЛАБИРИНТЕ ОТРАЖЕНИЙ

Технология, известная под названием mirror world, состоит в том, что злоумышленник создает на подконтрольном ему сервере копию сайта. После этого он обманом заставляет пользователя обратиться к своему серверу. Это можно сделать, например, с помощью ложного DNS-ответа, обманных ссылок или установив контроль над прокси-сервером. В результате пользователь, полагая, что работает на сайте, скажем, банка, вводит в HTML-форму номер кредитной карты, который немедленно попадает к злоумышленнику. Аутентификация в этом случае не поможет, поскольку она предназначена для защиты ресурсов сервера, а не пользователя. Более того, использование аутентификации для доступа на сфальсифицированный сервер приведет к сдаче пароля злоумышленнику.

ГОЛОВНАЯ БОЛЬ АДМИНИСТРАТОРА

Не только пользовательские компьютеры подвергаются опасности при использовании WWW. Целью злоумышленника может быть и HTTP-сервер. Подобно тому, как на сервере электронной почты приход сообщения вызывает запуск программы агента доставки, запрос клиента к HTTP-серверу может вызвать запуск CGI-программы или другого кода для генерации контента (для краткости любой такой код будем называть CGI-программой). На вход этой программы подаются данные, присланные клиентом, то есть фактически любой пользователь Интернета может в какой-то мере управлять работой программы в операционной системе HTTP-сервера. Следовательно, CGI-программы могут быть источником серьезных проблем, связанных с безопасностью. Администратору следует осторожно подходить к возможности разрешения пользователям сервера создавать собственные CGI-программы в своих каталогах.

 Информация уже давно стала товаром и собственностью, и цели обеспечения ее безопасности тоже изменились.

В основном, любой человек обладающий информацией хочет либо держать ее при себе, не допуская к ней никого, либо предоставить к ней доступ кого-либо, при условии, что никто более не сможет получить к ней доступ.

В любом случае проблема заключается в допуске к информации только тех лиц, которые имеют на это право, данное хозяином этой информации.

Давайте рассмотрим небольшой пример.
Человек хочет передать некоторую информацию, которую он знает, другому человеку. Сначала нервные импульсы преобразуются в движение языка, губ и т.д., затем в звуковые волны, а затем принятые ухом другого человека - снова в нервные импульсы. Если проследить путь информации из головы одного человека в голову другого, то можно твердо сказать: информация постоянно меняет свой вид и способ представления на этом пути, и каждому виду ее представления сопутствуют определенные каналы утечки информации.

Исходя из того, что, в наше время, большая часть всей информации хранится и обрабатывается при помощи ЭВМ и их сетей, можно сказать, что информация за время своего существования может изменять свое представление бесчисленное количество раз. В этом и заключается основная сложность проблемы обеспечения безопасности информации - слишком большое количество каналов утечки информации.

Поэтому проблема обеспечения информационной безопасности требует комплексного подхода. Системному инженеру необходимо оценить реальный риск несанкционированного доступа к информации, и принять решение какие из каналов утечки надо закрывать, и какие закрывать не рентабельно. Для этого системный инженер должен представлять себе, какие, собственно, могут быть каналы утечки информации. После этого системный инженер должен оценить способы закрытия каждого из каналов утечки. Затем, необходимо оценить спектр средств для закрытия каждого из каналов, экономические и временные характеристики этих решений, и возможный урон при реализации несанкционированного доступа (НСД) через один из каналов.

Допустим, системным инженером был выявлен канал утечки информации А, возможный урон от НСД к информации через этот канал составляет $1 тыс., а реализация заглушки этого канала обойдется в $20 тыс. Очевидно, что защита этого канала не рентабельна. А если НСД произойдет не один раз? То, когда защита канала станет рентабельной?

Таким образом, к решению проблемы защиты информации необходим всесторонний подход. Так же необходимо наличие довольно обширной базы знаний по каналам утечки информации, способам и средствам их блокирования, и знание рынка готовых средств, гарантирующих результат.

Так же с развитием законодательной базы, многие концепции защиты информации приняты на законодательном уровне, и рекомендованы или обязательны для выполнения. Поэтому необходимо также разбираться в роли государства в обеспечении информационной безопасности.

Рассмотрим некоторые аспекты и средства обеспечения безопасности.

Для того, что бы ЭВМ могла принять решение, давать ли доступ к информации данному субъекту, субъект должен быть идентифицирован и его идентификатор должен определить права субъекта на данную информацию. Всем известен парольный метод аутентификации пользователя. Рассмотрим ситуацию: некий злоумышленник пытается осуществить физический доступ к ЭВМ (допустим, во время обеденного перерыва).

У злоумышленника вполне есть время для того, чтобы отыскать пароль записанный на задней крышке монитора, или подобрать наиболее простые пароли наудачу. Представим такую же ситуацию, с одним отличием: идентификация пользователя происходит незаметно для него самого, например, считыватель отпечатков пальцев, встроенный в мышку. Отпечатки пальцев злоумышленника будут сохранены в памяти компьютера и предоставлены затем в отдел режима организации, а злоумышленник об этом может и не догадываться. А ведь такие мышки уже существуют.

Проблема физического несанкционированного доступа к информации остается сейчас довольно актуальной. Иногда дешевле нанять человека, который отберет портфель у курьера, чем пытаться украсть информацию более технологичным и научным путем. Однако каково же будет удивление вора, когда он обнаружит в портфеле кучку пепла или свеже-отформатированный винчестер, так как некий датчик обнаружил, что портфель удалился от курьера более, чем на 2 метра. Надо заметить, что уничтожение информации является неотъемлемой частью проблемы безопасности информации, так как не уничтоженная ненужная информация будет постоянно накапливаться, и требовать все больших расходов на поддержание безопасности.

Так же при внутрикорпоративной деятельности определенный объем информации приходится хранить на ЭВМ в доступном виде для постоянной работы с ним, что создает канал утечки при физическом доступе к информации. Однако методы простого шифрования данных не удобны, так как что бы работать с информацией ее все равно придется расшифровать.

Однако есть методы позволяющие делать это быстро и незаметно для пользователя (прозрачно), так что создается впечатление работы с обычными данными. Так же есть методы "горячей" защиты критической информации. Представим ситуацию: создалась угроза физического доступа к информации (например, попытка украсть ЭВМ). В этом случае служащий отдела режима нажимает на специальную кнопку, и злоумышленнику попадает в руки ЭВМ на которой "нет" никакой информации. После же возвращения ЭВМ к нормальной работе, специальным ключом в виде брелка или пластиковой карточки, вся информация восстанавливается в прежнем виде.

Однако проблема физического доступа к информации не является на сегодняшний день главной. В настоящее время, Интернет завоевывает лидирующие позиции по коммуникациям, рекламе и коммерции. Поэтому многие компании столкнулись с необходимостью если не использования сети Интернет, то хотя бы расширения или объединения своей корпоративной сети. Однако стоит заметить, что сеть Интернет стала и прекрасной средой для исследователей-самоучек (хакеров). Хотя по данным статистики 80 процентов нарушений безопасности происходит изнутри компаний, будь то это действия затаившего злобу на начальство служащего, превышение или пренебрежение полномочиями.
В любом случае возникает необходимость защитить сеть или участок сети от вторжения извне сохраняя возможность доступа изнутри наружу. Для таких целей существует межсетевой экран. Межсетевых экранов в настоящее время разработано множество, и не достаточно просто приобрести один из них. Во-первых, каждый межсетевой экран имеет свои достоинства и недостатки. Во-вторых, необходимо грамотно настроить сетевой экран и сопровождать его работу в дальнейшем. И в-третьих, в вашей корпоративной сети могут функционировать специфические задачи связанные с родом деятельности, для которых необходимо настроить межсетевой экран специальным образом, что бы они не мешали друг другу и одновременно не давали каналов утечки информации.

Возможно, почти все компании уже перешагнули тот рубеж, когда корпоративная сеть ограничивалась пространством одного здания. Филиалы или клиенты компании могут находиться на любом удалении друг от друга. И единственным удобным, доступным и дешевым средством коммуникаций стал Интернет. Сразу же возникает проблема защиты информации во время ее прохождения через Интернет. Для реализации защищенного канала передачи данных с использованием открытых (незащищенных) сетей связи была разработана концепция виртуальных частных сетей (VPN).

Эта концепция включает в себя методы идентификации и авторизации клиентов, аутентификации и контроля целостности (неизменности) передаваемых данных, защиты передаваемой информации от НСД криптографическими методами. Что обеспечивает уровень безопасности достаточный для расширения корпоративных сетей с использованием Интернет, таким образом, Ваша компания не будет ограничена физическими рамками и не будет привязана к географическому месту расположения. При помощи технологии VPN любая компания сможет выйти на рынок, ранее считавшийся не достижимым для мощностей компании, работая с клиентами через Интернет совершенно безопасно.

Таким образом, проблема обеспечения информационной безопасности становится проблемой, на которую трудно закрыть глаза, и которая сходу не решается. Внутрикорпоративный информационный обмен оттачивался годами работы и не может быть просто так ограничен какими-то правилами. Здесь требуется комплексный и всесторонний подход, точный анализ и обширная исследовательская работа по проектированию комплекса мер защиты корпоративной информации.

Нужен опыт работы с аналогичными проектами. В настоящее время существуют фирмы предоставляющие такого вида услуги. После определенного времени работы такая компания предоставит Вам технико-экономическое решение, отвечающее вашим требованиям и пожеланиям по безопасности ориентированное исключительно на Вашу компанию. Так что, если компания считает, что ее информация представляет ценность, то настало время задуматься о ее безопасности.

 

Чем дальше, тем больше развитие информационных технологий делает крайне актуальными вопросы безопасности в сетях Internet/Intranet. Если не так давно эти темы волновали, по большей части, лишь корпоративных пользователей, то в последние годы в связи с массовым развитием сетей они начинают интересовать и пользователей индивидуальных (по крайней мере, в тот момент, когда те решают совершить оплату через Интернет с помощью банковской карточки).

Если раньше угрозой номер один считались компьютерные вирусы, и именно им было посвящено подавляющее большинство статей в средствах массовой информации, то теперь на первый план выходят безопасное хранение данных и их передача по Сети, защищенные финансовые транcакции и конфиденциальность электронно-цифровой подписи (ЭЦП). Кроме того, наряду с этой основной проблемой, как правило, встают и две другие, принципиально влияющие на выбор того или иного решения, - это соотношение цена/качество (связанное с соответствием затрат на поддержание именно того уровня безопасности, который необходим компании или частному лицу) и мобильность, позволяющая пользователю или корпорации легко защитить все компьютеры (в том числе портативные), которые используются в работе.

ПАРОЛЬ И ЛОГИН

Простейшие методы аутентификации, основанные на введении учетной записи (логина) и пароля, всем хорошо знакомы и не нуждаются в отдельном представлении. Очевидны и их недостатки: помимо того что пользователь вынужден запоминать множество паролей для входа в различные программы или системы, использование пароля давно уже не считается достаточной гарантией безопасности: пароль не сложно подсмотреть, подобрать или расшифровать, если он кодируется стандартными средствами операционной системы.

ИНФРАСТРУКТУРА ОТКРЫТЫХ КЛЮЧЕЙ

Следующим шагом в обеспечении защиты информации стало использование различных средств и способов шифрования. Широко распространено использование Инфраструктуры Открытых Ключей (Public Key Infrastructure - PKI). Системы, основанные на PKI, генерируют два отдельных ключа шифрования, несходных, но связанных между собой: открытый (который называется также публичным) ключ, предоставляемый всем, от кого пользователь собирается получать зашифрованные данные, и закрытый (личный) ключ, который имеется только у его держателя. С помощью закрытого ключа можно создать цифровую сигнатуру, подтверждающую личность отправителя и целостность сообщения, а любой обладающий открытым ключом способен ее проверить. Но при этом если открытый ключ становится известен злоумышленникам, он оказывается бесполезен, поскольку с его помощью можно провести лишь шифровку сообщения, а дешифровка невозможна без личного ключа
Однако хранение ключей шифрования на жестких дисках компьютеров становится дополнительным фактором риска, поскольку подвергает их опасности копирования с дальнейшими попытками подбора парольной фразы и получения несанкционированного доступа к ключам. Таким образом, хотя PKI и обеспечивает не только аутентификацию, но и защиту информации, ее использование лишь на программном уровне вызывает немало опасений.

БИОМЕТРИЯ

Именно это и заставило искать выход на стыке программных и аппаратных средств. Для тех организаций, перед которыми не стоит задача кодирования информации, ряд производителей предлагает обратиться к такому проверенному временем способу решения задачи, как биометрия, когда идентификатор пользователя всегда находится при нем и нет необходимости держать в памяти логины и пароли. Варианты использования биометрии весьма разнообразны: аутентификация, в зависимости от системы, производится по геометрии руки и лица, радужной оболочке и сетчатке глаза, клавиатурному почерку и подписи. Активно ведутся разработки и в области голосовой аутентификации. Так, скажем, VeriVoice Security Lock компании VeriVoice позволяет один раз зарегистрировав в течение трех минут определенную серию фраз, произносимых пользователем, в дальнейшем за несколько секунд производить аутентификацию при помощи подсоединенного к персональному компьютеру микрофона или через телефонную линию. Если раньше основной проблемой аналогичных систем была точность распознавания, то в настоящее время главным препятствием для их внедрения служат ситуации, когда голос пользователя меняется по независящим от него причинам (например, при простуде).

Более распространенным является контроль доступа к системе по отпечаткам пальцев. Специальные мыши и клавиатуры  считывают отпечатки пальцев пользователя и передают информацию установленному на компьютере программному обеспечению.

Внешне решение выглядит достаточно красиво, однако содержит в себе немалое количество подводных камней. Прежде всего, пользователь оказывается привязан к мышкам и клавиатурам конкретных производителей, которые далеко не всегда устраивают его по качеству, дизайну и удобству в работе. Кроме того, не секрет, что именно эти устройства первыми выходят из строя и нуждаются в замене намного чаще, чем компоненты внутри системного блока или другая компьютерная периферия. На этот случай компании поставляют отдельные сканеры с подключением к USB, PS/2 и параллельному порту, однако тогда на рабочем столе появляется дополнительное устройство, под которое необходимо выделить место.

С другой стороны, данный метод аутентификации вызывает понятную настороженность у людей, которые не хотят, чтобы их отпечатки пальцев хранились у компании. Вдобавок, как показывает практика, возможно использование ложных отпечатков на негативах; экраны и поверхности таких устройств требуют частой очистки и при интенсивной эксплуатации могут породить немалые проблемы.

И, наконец, едва ли не главный минус биометрии - она выполняет лишь задачи аутентификации пользователя, однако очевидно, что она не может освободить от всех остальных проблем - от конфиденциальности ЭЦП до применения различных методов шифрования в сетях. Таким образом, переходя на биометрию, компания решает лишь одну задачу (и, добавим, не самым дешевым способом) и нередко оказывается вынуждена устанавливать дополнительные системы безопасности.

СМАРТКАРТЫ

Более универсальным нам представляется другой вариант - использование смарткарт (интеллектуальных карт). Их основное удобство заключается в портативности и широком спектре функций, позволяющем компании, выбрав данную технологию, постепенно достраивать необходимые компоненты защиты в зависимости от текущих потребностей. При этом не придется испытывать тех сложностей, которые, скажем, возникают при простом использовании систем, основанных на PKI. Смарткарты обеспечивают двухфакторную аутентификацию при доступе к защищенным ресурсам и выступают в качестве хранилищ любой секретной информации - от закрытых ключей (например, для использования в системах аутентификации для LAN, WAN и VPN) до цифровых сертификатов, - делая ее мобильной и не подвергая угрозе копирования, как это может происходить с данными, расположенными на жестком диске. Соответственно, их можно использовать для шифрования данных и переписки, защиты программного обеспечения (в частности, от внесения программных "закладок" и "логических бомб"), идентификации поступающих в сеть или на сайты Internet/Intranet запросов, дополнения почтового сообщения или трансакции цифровой подписью. В качестве примера можно привести выпускаемую компанией Orga линейку смарткарт Micardo - Standard, Public и Dual - с памятью EEPROM от 4 до 32 Кбайт, от 32 до 64 Кбайт ROM и криптоконтроллером (в зависимости от модели). Orga также поставляет специальный MICARDO Software Development Kit, обеспечивающий разработчиков инструментами для интегрирования технологии в различное программное обеспечение.

Однако переход на смарткарты невозможен без приобретения специальных считывающих устройств и оснащения ими всех компьютеров, на которых ведется работа с защищенными данными. Хотя на отечественном рынке дешевые считывающие устройства можно найти за $40, имеет смысл заплатить больше, но приобрести качественное устройство известного производителя, способное работать с различными типами смарткарт (с памятью, защищенной памятью, микропроцессорных, криптографических), с несколькими картами одновременно, предоставляющее возможность дистанционного перепрограммирования и загрузки новых версий микрокода с использованием перезаписываемой EEPROM-памяти. Подобный вариант обойдется компании дороже $100, а клавиатуры со встроенными сматркарт-ридерами обычно попадают в ценовой диапазон свыше $150.

Тем не менее целый ряд западных компаний предлагает решения на основе смарткарт в качестве стандартных, поставляя считывающие устройства с новыми моделями компьютеров. Так, Smart Credit Card Internet Keyboard прилагается к настольным компьютерам марки Presario 5000 и позиционируется, в первую очередь, как продукт для обеспечения безопасных платежей по банковским картам в рамках электронной коммерции (отметим, что в России в настоящее время только начинают реализовываться проекты перехода на чиповые пластиковые карты международных платежных систем).

В то же время технология смарткарт также обладает, на наш взгляд, двумя главными недостатками. Во-первых, она относительно дорога в использовании, что выливается в немалые суммы при оснащении считывающими устройствами всех компьютеров корпорации. В ситуациях, когда этого не избежать (например, при необходимости считывать данные с пластиковых карт), идея представляется оправданной, однако если обеспечение безопасности корпоративных данных является единственной задачей, имеет смысл обратиться к иным решениям.

Во-вторых, хотя решения на основе карт PCMCIA существуют, они не слишком обрадуют пользователей мобильных компьютеров как по цене, так и по удобству в работе.

eToken

В настоящее время существует достойная альтернатива смарткартам - более удобная технология электронных ключей, выполненных в виде брелка и по размеру сопоставимых с ключами от дома. Конкретные параметры устройства зависят от модели ключа; например, eToken R2 компании Aladdin имеет до 64 Кбайт энергонезависимой памяти и встроенный криптопроцессор, реализующий алгоритм симметричного шифрования DES-X со 120-битным ключом.

При этом у пользователя или корпорации имеется в распоряжении широкий выбор программного обеспечения, и большое количество решений, основанных на использовании паролей, цифровых сертификатов, ЭЦП, шифровании данных, успешно работают с электронными ключами. Тот же eToken поддерживает работу в архитектуре Microsoft CryptoKey с помощью интерфейса MS Crypto API через CSP (Crypto Service Provider) и X.509 для работы с цифровыми сертификатами. Если для интернет-бизнеса компании необходимо использование Digital Signature Trust (DST) и цифровых сертификатов TrustID, их несложно загрузить в eToken через Internet Explorer или Netscape. Для обеспечения безопасности электронной почты с помощью RSA-KEON, поддерживающего PKI, сертификаты и ключи для шифрования и подписи сообщений также хранятся в eToken и используются в Microsoft Outlook, Outlook Express и Netscape Messenger.

Таким образом, электронные ключи подойдут не только для тех, кто использует специализированное программное обеспечение. Например, в Windows 2000 и Windows XP их поддержка уже встроена изначально. Одно из решений Aladdin обеспечивает защищенный вход в сеть с помощью расширения PKINIT протокола Kerberos версии 5. Оно позволяет использовать сертификат открытого ключа вместо пароля в процессе начальной аутентификации. Так как при аутентификации между центром сертификации и eToken происходит обмен данными, не являющимися секретными и не представляющими ценности для злоумышленников, этот процесс абсолютно защищен.

Электронные ключи оказались тем более удобны, что для их подключения не требуется никаких дополнительных специальных устройств: ключ напрямую вставляется в порт USB, которым оснащены едва ли не все компьютеры, выпускаемые в последние годы. Поддерживается и возможность "горячего подключения" (hot plug), что позволяет подсоединить и отсоединить ключ без выключения системы.

Однако не существует универсальных решений: если у вас старый компьютер без порта USB, то вы все же столкнетесь с проблемой при использовании устройств от Aladdin.

Подводя итоги, следует сказать, что на сегодняшний день основными конкурирующими решениями являются разработки на основе смарткарт и электронных ключей. Но до тех пор, пока не произойдет существенное снижение стоимости данных устройств и они не превратятся в столь же стандартное устройство для персональных компьютеров, как, скажем, CD-приводы или дисководы, трудностей нам не избежать.

В качестве примера можно рассмотреть брелок российского производителя Aladdin. Принцип работы устройства очень прост: микросхема памяти брелка является энергонезависимой, и в нее можно записать до 30 тыс. байт абсолютно любой информации, в том числе защищенной паролем. Само устройство поставляется с SDK, благодаря чему любой программист может сам написать программу, которая будет шифровать/дешифровать с помощью брелка и работать с памятью устройства.

Максимум памяти, который может быть "на борту" брелка, составляет всего лишь 64 Кбайт, однако для хранения паролей и шифров этого более чем достаточно. Более простая версия брелка, eToken R2, имеет аппаратно реализованный алгоритм шифрования DESX с ключом 120 бит. Вторая версия, eToken PRO, дополнительно снабжена чипом смарткарты, который аппаратно реализует алгоритмы шифрования RSA/1024, 3DES (TripleDES), SHA-1, MD5 и генератор личных (Private) ключей, никогда не покидающих чип.

Внутреннее устройство

Несмотря на все достоинства, самым интересным моментом оказалась внутренняя файловая система брелка. Система Siemens CardOS/M4 позволяет создавать структуры любой степени вложенности и практически не отличается от привычного FAT. Работать с ней можно с помощью специальной программы, которая мало чем отличается от проводника Windows.

Защита

Для защиты файлов и директорий можно использовать пароли, которые запоминаются в брелке, причем не в явном виде в какой-либо скрытой области памяти, а в виде 16-байтного хэша, полученного в результате DESX-преобразования. С этим связано еще одно, правда, для меня лично очень спорное, достоинство. Если пользователь забыл пароль, то брелок можно просто выкинуть - без пароля никакой пользы от него нет, разве что радует глаз.

eToken R2 не обладает механизмом блокировки неудачных обращений и, соответственно, никогда не блокируется, сколько бы раз не вводился неправильный PIN-код. Однако чтобы жизнь медом не казалась и обычный перебор модифицированным John the Ripper или аналогичной программой был невозможен, после каждого неверного ввода PIN-кода установлена задержка в 1 секунду.

СМЕРШ ДЛЯ КОМПЬЮТЕРА

В Интернете слишком много желающих познакомиться с содержимым вашего компьютера. Пути и методы такого проникновения могут быть разными, но цель одна - шпионаж. Для этого существуют различные программы-шпионы, которые мы часто получаем в качестве довеска к полезным и распространенным утилитам.

Например, имеется целый ряд весьма полезных утилит, которые широко применяются большинством пользователей (как частных, так и корпоративных), не ведающих о двойной жизни их любимого софта. Дело в том, что эти программы отличаются нездоровым интересом к содержимому компьютера, на котором они установлены. Этим грешат, например, некоторые версии таких популярных программ, как CuteFTP, GetRight, GolZilla, Net Sonic и многие другие. Они очень часто содержат шпионские модули (spyware).

Наиболее известны такие spyware, как Aureate, Cydoor, DoubleQick, EverAd, OnFlow и WebSOOO. Чаще всего шпионские модули попадают на ваш компьютер через программы типа adware, поэтому их еще называют spyware рекламного типа.
Конечно, рекламный тип шпионских программ относительно безопасен, но тем не менее неприятно, что эти программы в процессе работы потихоньку собирают конфиденциальную информацию и передают ее либо на сайт разработчика, либо еще куда-то. Желающие могут в этом наглядно убедиться, используя специальные средства защиты.
Однако существуют и другие виды spyware. Наиболее опасным типом spyware являются так называемые программы для тотальной слежки за вашим компьютером (например, Y3K, Spektor, AgentSpy и т. п.). Они пробираются на ваш компьютер самыми различными путями и очень умело маскируются, так чтобы быть абсолютно незаметными для пользователя. Действуют они, естественно, также не афишируя своего присутствия.

Их цель - запись абсолютно всего, что происходит на вашем компьютере: создание "мгновенных снимков" экрана, фиксирование последовательности нажатия клавиш на клавиатуре, перехватывание паролей для доступа в Интернет или номеров кредитных карточек и т. д. и т. п. Кроме того, некоторые программы этого класса могут записы-вать происходящее на вашем компьютере на видео.

Существуют различные способы защиты от шпионского софта. Понятно, что самый простой способ - вообще не подключаться к Интернету. Но это крайняя мера. Можно также установить на компьютере программу-firewall, и спать спокойно. Однако такой подход не позволяет детектировать существование самих шпионских программ в вашей системе. Проблематично также, что он защитит вас от вредоносной работы уже проникших в вашу систему и хорошо замаскировавшихся шпионских модулей. Именно для того чтобы обнаружить непрошенных гостей на вашем компьютере на ранней стадии их развития и, естественно, оградить себя от их работы, предназначены специальные антишпионские программы.

Кто любит знать о вас все?

Я вынес этот вопрос в заголовок не для красного словца. Ведь все чаще выясняется, что информацию о пользователях хотят получить не полубезумные хакеры-одиночки для удовлетворения своих амбиций, а серьезные фирмы и государственные организации. Да и в самом деле - велика ли выгода одинокому полуночнику от того, что он узнал, насколько часто вы заходите на Napster и какие музыкальные файлы скачиваете? Между тем, Windows Media Player 8, намертво вплавленный в состав Windows XP, собирает информацию обо всех файлах, которые проигрывались в нем. Более того, при закачивании файлов, проигрываемых с ее помощью, программа передает на сайт (а это сайт, принадлежащий Microsoft) идентификационный номер пользователя. Согласитесь, что подобная информация может оказаться полезной многим компаниям, например звукозаписывающим или продюсерским. И все бы хорошо, только почему-то Microsoft решила предупреждать пользователей о таком своеобразном поведении программы только после того, как в адрес компании был направлен запрос от Associated Press.

Подобным повышенным интересом к пользователям компьютеров отличаются не только частные фирмы, но и государственные учреждения. Так, среди покупателей программы Investigator значится Федеральное бюро расследований. Говорят, что ФБР использовало эту программу для поимки русских хакеров в Сиэтле. А позволяет Investigator ни много ни мало как отслеживать и записывать все действия, совершаемые пользователем, вплоть до передачи хозяину программы всего, введенного с клавиатуры. Последняя версия программы позволяет делать скриншоты пользовательского экрана, снимки web-камер, отслеживать общение в чатах.

Вообще, программа Investigator является классическим примером того, как можно извратить изначально хорошую мысль. Первоначально программа задумывалась как инструмент для поиска и исправления ошибок в других приложениях. Но популярность она снискала именно как программа-шпион. Именно в этом направлении автор и стал в дальнейшем ее развивать. На момент написания этой статьи число проданных копий перевалило за 200 тысяч. Возникает закономерный вопрос о том, кто же эти копии использует и какую информацию о чужих компьютерах собирает?

Список литературы:

А. Амеличев “СМЕРШ ДЛЯ КОМПЬЮТЕРА “ Chip май 2002
С. Воронов “ВИРТУАЛЬНАЯ БЕЗОПАСНОСТЬ “ Chip, январь 2002
”Информационная безопасность. Как много в этом звуке…”-ЗАО "НПП "БИТ"
М. Мамаев, С. Петренко “WORLD WILD WEB ИЛИ ДИКАЯ ПАУТИНА” Chip, январь 2002
 Д. Солошенко ” ЧЕМ ГРОЗИТ ВНЕШНИЙ ВРАГ” Chip, июль 2002

  По материалам интернета:
Sec.Ru -Информационный сервер по безопасности
Библиотека Информационной Безопасности- www.pps.ru/bib

Новосибирский государственный технический университет Кафедра вычислительной техники Реферат по теме: “Информация и личная безопасность” Выполнил: Студент АВТ гр. АБ-220 Волошин М. А.

 

 

 

Внимание! Представленный Реферат находится в открытом доступе в сети Интернет, и уже неоднократно сдавался, возможно, даже в твоем учебном заведении.
Советуем не рисковать. Узнай, сколько стоит абсолютно уникальный Реферат по твоей теме:

Новости образования и науки

• 14:21 05 Июля 2016
  Российско-китайский медуниверситет откроет магистерскую программу по TCM
• 01:21 05 Июля 2016
  На форуме МГУ Россия и Китай обсудят научно-образовательное сотрудничество
• 11:00 04 Июля 2016
  Реморенко: "ЕГЭ-туризм" в России сходит на нет
• 10:52 04 Июля 2016
  Летняя российско-австрийская школа откроется в Москве
• 15:31 01 Июля 2016
  В СПбГУ могут воссоздать географический факультет

Заказать уникальную работу

Похожие работы:

Системы электронного документооборота
Microsoft Access
Вопросы компьютерной безопасности (антивирусы)
Использование Prolog совместно с другими ЯП
Системы управления базами данных
Понятие алгоритма, его свойства. Описание алгоритмов с помощью блок схем на языке Turbo Pascal
Возможности системы программирования Delphi для создания пользовательского интерфейса
Программирование на Delphi
Калькулятор на VB - это легко!
Проектирование автоматизированных информационных систем

Свои сданные студенческие работы

присылайте нам на e-mail

Client@Stud-Baza.ru

Copyright (c) 2024 Stud-Baza.ru Рефераты, контрольные, курсовые, дипломные работы.