Информационные технологии в оперативно розыскной деятельности

1348kb. 01.09.2011 22:44
2920kb. 01.09.2011 22:38

  • Смотрите также:
  • [ документ ]
  • [ документ ]
  • [ лекция ]
  • [ шпаргалка ]
  • [ реферат ]
  • [ документ ]
  • [ реферат ]
  • [ документ ]
  • [ реферат ]
  • [ документ ]
  • [ реферат ]
  • [ лекция ]

6. Информационные технологии следственной и оперативно-розыскной деятельности

Новые информационные технологии могут успешно использоваться в следственной деятельности. С их помощью рекомендуется решать следующие основные задачи:

  • автоматизация следственной работы при создании документов;
  • автоматизация составления календарных планов и графиков расследования;
  • сбор, накопление и анализ информации по следственным делам (особенно со многими лицами и эпизодами), автоматизация составления по результатам анализа следственных документов и заключений;
  • получение справочной информации по уголовным делам из многих источников;
  • разработка автоматизированных методов расследования по различным видам преступлений;
  • статистический анализ расследуемых уголовных дел;
  • автоматизация контроля хода следствия и соблюдения сроков расследования;
  • создание, ведение, использование баз данных следственной информации;
  • анализ информации о прошлых преступлениях.

Автоматизация процесса раскрытия преступлений — наиболее сложная задача правовой , хотя вполне можно автоматизировать составление следственных документов, отнимающее много времени. Существенную помощь может оказать «Специализированная территориально-распределенная автоматизированная система Следственного комитета РФ» («СТРАС-СК») с банками данных, включающая три уровня:

1) для центрального аппарата Следственного комитета;

2) для следственных управлений (отделов) МВД-УВД;

3) для следственных подразделений городских и районных органов внутренних дел.

Информационное обеспечение СТРАС-СК состоит из ряда подсистем по следующим направлениям.

«Расследование». По данным о составе, способе, месте, объекте, жертве преступления компьютер выдает рекомендации для планирования расследования, автоматизирует составление документов, поиск и сопоставление материалов по другим делам.

«Контроль». Автоматизируются контроль деятельности следователя (дело «на контроле»), ведение каталога дел, планирование и соблюдение сроков.

«Статистика». Формируются и анализируются статистические данные, ведется накопление данных о преступлениях, лицах, ущербе. Автоматизируются составление обзорных и статистических отчетов, анализ работы конкретного следователя, выдача различных видов статистической информации.

«Справочные системы» по законодательству, нормативным актам и постановлениям, касающимся работы следователя.

«Банки данных» по различным категориям уголовных дел.

«Подсистема связи с банками криминальной информации» (Федеральным и региональными) для получения информации из учетов.

Подсистемы для автоматизации работы секретариата, канцелярии, учета кадров следственного аппарата.

Но в целом система СТРАС-СК еще находится в процессе дальнейшей разработки.

Реализация компьютерных технологий в деятельности следователя может осуществляться с использованием автоматизированного рабочего места следователя (АРМС).

Такие рабочие места создаются на базе персональных компьютеров локальной или глобальной сети МВД и снабжаются соответствующим программным обеспечением.

Программное обеспечение процесса расследования уголовного дела дает возможность выполнять такие трудоемкие действия, как:

  • создание следовательских документов (протоколов, постановлений, запросов, карточек и т.п.);
  • получение информации (справок) по запросам;
  • анализ документов (обвинительного заключения, обвинения, постановления о прекращении уголовного дела и др.);
  • заполнение документов, в том числе различных бланков;
  • отыскание необходимых сведений в материалах дела (фамилии, имена, отчества;
  • клички, даты, эпизоды, протоколы, места происшествий и др.);
  • оформление материалов;
  • составление планов профилактических мероприятий;
  • систематизация материалов дела;
  • составление формулы обвинения;
  • составление обвинительного заключения и других документов по делу;
  • подготовка материалов для суда.

Для ускорения работы могут использоваться стандартные (типовые) бланки и образцы документов.

Программное обеспечение для обработки сопутствующей информации обеспечивает:

  • получение информации о фигурантах по уголовному делу;
  • поиск и анализ связей фигурантов;
  • получение сведений о вещественных доказательствах;
  • поиск и анализ данных об эпизодах преступления (место, время, участники, способы совершения, вещественные доказательства и др.).

С помощью этого программного обеспечения автоматизируются поиск, анализ и выдача информации о лицах по делу и их связях, о вещественных доказательствах, эпизодах, сходных происшествиях. Основными требованиями к программному обеспечению АРМС должны быть:

  • эффективная работа с текстовой информацией и документами;
  • проверка грамматики документов;
  • печать документов;
  • ведение архивов стандартных форм документов и отчетов;
  • поиск и компоновка текстовых фрагментов;
  • автоматизированный подбор данных для таблиц;
  • простейшие статистические расчеты;
  • поиск и анализ информации;
  • работа в диалоговом режиме.

Для следственной деятельности разработан ряд автоматизированных информационных систем. Одной из таких систем является «Диалоговый конструктор БИНАР-3» для информационного обеспечения принятия решений, информационно-логических задач, анализа связей и объектов в уголовном деле. БИНАР-3 может хранить и обрабатывать структурированные символьные и числовые данные, а также текстовые фрагменты; имеет средства настройки баз данных и получения отчетов по запросам. База данных конструктора состоит из так называемых объектов учета, включающих:

  • информацию по делу (учетная карточка, эпизоды, лица, организации);
  • База данных может включать много сведений (до миллиона записей по каждому объекту учета).

    На экран или на принтер могут выводиться:

  • реквизиты учитываемых объектов и связанных с ними объектов;
  • перечень прямых и косвенных связей большой глубины, т.е. с большим числом звеньев в цепочке связей;
  • статистические данные о лицах, суммах, эпизодах;
  • сведения о лицах, фигурирующих в базах данных;
  • материалы допросов;
  • фрагменты обвинительных заключений;
  • взаимосвязи эпизодов, лиц, объектов.

Имеется календарный план расследования по дням и часам. Для работы конструктора используется СУБД Clipper; ряд программных модулей составлен на языке Ассемблера и языке С. Диалоговый конструктор удобно использовать в локальной сети с распределенной базой данных для коллективной работы следственной бригады.

Система анализа и учета уголовных дел САУД-М функционирует на основе интегрированного пакета прикладных программ МАСТЕР. В САУД-М входят:

  • текстовый процессор;
  • табличный процессор;
  • простая СУБД;
  • ППП для графического отображения данных;
  • пакет для электронной телекоммуникации;
  • программы систематизации и анализа материалов дела;
  • программы учета фигурантов;
  • программы учета и анализа объектов преступных посягательств;
  • времени, места, способа совершения, мотивов преступления.

Работа САУД-М организуется с помощью меню, как в ОС Windows. Имеются готовые бланки документов, удобно анализируются связи между различными следственными данными. Недостаток системы — невозможность работы в локальной вычислительной сети.

Большие возможности открывает гипертекстовая система ИНТЕЛТЕКСТ, предназначенная для создания текстовых документов (отчетов, обзоров, рекомендаций, обоснований, результатов анализа).

С ее помощью можно вести базу текстовых документов, устанавливать связи между ними, строить комбинированные тексты, создавать фрагменты текстов из первичных документов и компоновать их. Работа основана на оконной технологии. Для поиска фрагментов используются ключевые слова, рубрики (типы фрагментов: допросы, показания, протоколы, лица и др.), ссылки на источники фрагмента. Для источников составляется каталог. Для каждого фрагмента имеется набор атрибутов в виде меню. По комбинации атрибутов можно находить фрагмент и запоминать его в соответствующих папках, для которых имеется каталог папок. Папки можно просматривать и корректировать. Фрагменты могут иметь двунаправленные смысловые связи с другими фрагментами. Благодаря связям фрагменты могут объединяться в смысловую сеть в виде гипертекста. Связи могут указываться пользователем (например, по ключевым словам) в интерактивном или автоматическом режиме. По смысловой сети можно осуществлять навигацию автоматически или вручную. Созданная тематическая подборка затем преобразуется в единый текстовый документ, редактируется и отправляется в файл или на принтер. Само текстовое окно может иметь до трех полей: собственно текст, аннотация, заголовок. Допускаются «прокрутка», изменение размеров окна, масштабирование и другие редакционные действия. Информацию в базе текстовых документов можно отыскивать по строке текста, заголовку, строке аннотации и другим признакам.

АРМС для расследования конкретных видов преступлений разрабатываются Следственным комитетом МВД РФ совместно с ВНИИ МВД и предназначены для автоматизации методики раскрытия таких типичных преступлений, как, например:

  • грабежи и разбойные нападения;
  • кражи из жилищ;
  • незаконный оборот наркотиков.

АРМС для расследования грабежей и разбойных нападений имеет обширный банк данных, основанный на эмпирических исследованиях, нормативных актах и специальной литературе. АРМС включает три блока:

  • уголовно-правовую квалификацию грабежей и разбойных нападений;
  • методику расследования грабежей и разбойных нападений;
  • справочный архив.

Методика расследования — это рекомендуемые следственные действия для различных случаев, а именно:

  • имеются или не имеются подозреваемые;
  • имеются или не имеются свидетели;
  • имеются или не имеются потерпевшие;
  • каковы вид и способ преступления (грабежа, нападения);
  • применялось ли оружие;
  • каков вид применявшегося оружия;
  • применялось ли насилие;
  • каковы другие характеристики преступления.

Даются рекомендации по осмотру места происшествия, экспертизе оружия, проведению допросов и другим следственным действиям. Указываются рекомендуемые экспертизы по каждой категории преступлений. Приводится словарь жаргонных слов уголовного лексикона.

АРМС по расследованию краж из жилищ также имеет три блока:

  • уголовно-правовую квалификацию краж;
  • методику расследования;
  • типовые версии.

Блок методики расследования предназначен для работы в диалоговом автоматизированном режиме с учетом разнообразных данных о происшествии:

  • задержаны подозреваемые или нет;
  • где задержаны;
  • подозреваемый явился сам или нет;
  • потерпевший известен или нет;
  • есть ли свидетели;
  • каков способ совершения преступления;
  • как осуществлено проникновение в жилище и т.п.

Даются рекомендации по осмотру и анализу места происшествия, порядку опознания лиц и предметов, проведению допросов, возможным экспертизам. В блоке типовых версий приводятся возможные предположения о личности преступника.

Программное обеспечение АРМС по расследованию незаконного оборота наркотиков содержит следующие блоки:

  • выдвижение версии;
  • методику расследования;
  • обстоятельства, подлежащие выяснению;
  • словари (жаргонные термины, названия наркотических средств, синонимы их названий, способы употребления, криминалистические рекомендации);
  • пояснения (классификацию наркотических средств, краткие сведения о них);
  • формы следственных документов.

Версии выдвигаются в зависимости от исходных данных. Методика расследования зависит от обстоятельств дела, например:

  • подозреваемый задержан, известен, не известен;
  • оперативные данные (подозреваемый задержан с поличным или по другим причинам);
  • есть ли свидетели или очевидцы;
  • цель действий задержанного (задержанных): сбыт наркотических средств или без сбыта.

АРМС предназначено для работы в интерактивном режиме и не требует специальной подготовки по ее освоению.

Имеется также специальная информационная система (СИС), предназначенная для автоматизации следственных действий, анализа работы следователей и следственных отделов, управления их работой. Система имеет несколько модулей.

Учет уголовных дел (обвиняемые, подозреваемые, потерпевшие, свидетели; дела в целом).

Работа с документами — формирование следственных документов по уголовным делам, вплоть до обвинительного заключения.

Контроль сроков выполнения расследования и оформления документов.

Архив уголовных дел (хранение исполненных документов и дел, направленных в суд).

Модуль отчетности (статистика уголовных дел, статистический учет).

Сервис (справочники и вспомогательная информация).

Настройка (на аппаратные средства, обслуживание баз данных, копирование информации).

Пользователь устанавливает для СИС расчетный период, в течение которого все документы сохраняются в оперативном ведении; по истечении расчетного периода документы отправляются в архив. Существуют локальный и сетевой варианты системы. Локальный вариант предназначен для следственных подразделений с малой нагрузкой (с одним компьютером), сетевой — для подразделений с большим объемом работы (с несколькими компьютерами и сетевым программным обеспечением).

Отметим, наконец, следственные экспертные системы, применяемые для раскрытия и расследования преступлений.

Экспертная система прогнозирования преступлений, позволяющая оценить зависимость между характерными особенностями личности преступника и возможным местом совершения преступления.

Экспертная система выявления скрытых преступлений (например, скрытых хищений в производстве или торговле) на основе анализа деятельности предприятий позволяет получить материал для ревизий.

Экспертная система поиска и установления личности преступника позволяет сделать предположения о личности преступника по материалам следствия и сузить круг подозреваемых лиц.

Экспертные системы расследования убийств, анализирующие следственные данные о преступнике, потерпевшем, способе совершения и сокрытия преступления, орудии убийства, возможных мотивах, месте и времени преступления. Такие экспертные системы могут иметь несколько разновидностей в зависимости от криминалистической характеристики преступления (убийство на сексуальной почве, с расчленением трупа, с особой жестокостью и др.).

Экспертные системы для расследования грабежей и разбоев и многие другие.

Широкое использование новых информационных технологий в следственной деятельности позволит поднять ее на более высокий уровень, но пока это использование лишь внедряется, учитывая, в частности, появление все новых видов преступлений, таких, например, как терроризм (в том числе — действия террористов-смертников), захват заложников, похищение людей, изготовление и сбыт фальшивой продукции и др. Важнейшей задачей здесь является создание технического и программного обеспечения, необходимого для решения рассмотренных выше разнообразных правовых задач пользователями, не являющимися специалистами в области прикладной информатики, т.е. с максимально «дружелюбным к пользователю» интерфейсом. Пока эта задача еще очень далека от выполнения.

^

Под компьютерными преступлениями понимаются предусмотренные законом общественно-опасные деяния с использованием компьютерной техники. С компьютерными преступлениями тесно связана информационная безопасность.

Проблема информационной безопасности возникла достаточно давно и имеет глубокие исторические корни. До сравнительно недавнего времени методы защиты информации были в исключительной компетенции спецслужб, обеспечивающих безопасность страны. Однако новые технологии измерения, передачи, обработки и хранения информации значительно расширили сферы деятельности людей, нуждающихся в защите информации, привели к развитию и распространению новых методов несанкционированного доступа к информации и, как следствие, к интенсивному развитию нового научного направления — «информационная безопасность». Все это связано, прежде всего, с появлением систем обработки данных на базе компьютеров, а также с бурным развитием систем передачи данных.

Можно выделить некоторые причины, которые и привели к необходимости как разработки новых методов защиты информации, так и к дальнейшему развитию традиционных.

Первые системы коллективного пользования ЭВМ, а затем объединение их в глобальные и локальные сети, технологии открытых систем уже на первом этапе выявили потребность в защите информации от случайных ошибок операторов, сбоев в аппаратуре, электропитании и т.п. Стремительный рост емкости внешних запоминающих устройств и высокая эффективность их использования в системах автоматизированного управления привели к созданию банков (баз) данных колоссальной емкости и высокой стоимости, одновременно создавая проблемы их защиты как от разнообразных случайностей, так и от несанкционированного доступа.

Современные информационные системы составляют техническую основу органов управления государственной власти, промышленных предприятий и научно-исследовательских организаций, учреждений кредитно-финансовой сферы, банков и т.п. Сегодня, когда компьютер прочно вошел в наш быт, мы все чаще вынуждены доверять ему свои секреты (финансовые, промышленные, медицинские и др.), и в связи с этим вопросы защиты информации приобретают всеобъемлющий характер.

Преступления, связанные с компьютерами, можно разделить на две категории (табл. 7.1).

В первой категории компьютер и (или) компьютерная информация является объектом преступления. (Компьютерная информация — это информация на машинном носителе или передаваемая по каналам связи в форме, доступной компьютеру).

К этой категории относятся хищение или нанесение ущерба техническим средствам и информации, несанкционированный вредоносный доступ к компьютерной системе и информационным ресурсам. Во второй категории компьютер служит орудием преступления. Таковы, например, осуществляемые с помощью компьютера банковские хищения; государственный, коммерческий, промышленный шпионаж; распространение компрометирующей информации, фальсификация результатов голосования и т.п. Обе категории преступлений тесно взаимосвязаны: например, компьютер может служить орудием несанкционированного доступа к другому компьютеру.

Таблица 7.1.

Компьютерные преступления

Различают следующие криминологические группы компьютерных преступлений.

Экономические преступления — самые распространенные, осуществляются с корыстными целями (мошенничество; хищение программ, услуг, компьютерного времени; экономический шпионаж).

Преступления против личных прав и частной сферы (сбор компрометирующих данных о лицах; разглашение банковской, врачебной и другой частной информации; получение данных о доходах или расходах).

Преступления против государственных и общественных интересов (ущерб обороноспособности, фальсификация результатов голосования).

К преступному вмешательству в работу компьютера относится:

Несанкционированный доступ к компьютерной информации в корыстных целях. При этом может использоваться чужое имя, изменение физических адресов технических устройств, остаточная информация, модификация информации и программного обеспечения, подключение записывающих устройств к каналам связи, маскировка под законного пользователя путем раскрытия его пароля (если нет средств аутентификации).

При наличии незащищенных файлов несанкционированный доступ возможен и вследствие поломки.

Разработка и распространение «компьютерных вирусов», которые могут распространяться и заражать другие компьютеры; «логических или временных бомб», которые срабатывают при определенных условиях или по достижении определенного времени и полностью или частично выводят из строя компьютерную систему, а также «червей».

Халатная небрежность при разработке и эксплуатации программного обеспечения компьютерной системы, которая может привести к тяжелым последствиям. Но полной надежности быть не может, в программах всегда могут остаться незамеченные ошибки.

Подделка и фальсификация компьютерной информации. Например, при выполнении контрактных работ можно таким путем выдать вновь разработанные негодные компьютерные системы и программное обеспечение за годные и сдать заказчику. Можно фальсифицировать результаты выборов, референдумов, опросов. Возможна и фальсификация в корыстных целях.

Хищение программного обеспечения. В РФ значительная часть программного обеспечения распространяется путем краж, продажи краденого, обмена краденым. Таковы, например, известные «пиратские» компакт-диски, которые значительно дешевле лицензионных и поэтому широко применяются пользователями компьютеров. Бороться с этим видом хищений очень трудно.

Несанкционированное копирование, модификация, уничтожение информации. Преступное присваивание информации может осуществляться путем копирования. Информация должна представлять собой самостоятельный объект охраны.

Несанкционированный просмотр или хищение информации из баз данных, банков данных, баз знаний.

В информационном обществе резко увеличивается число компьютерных преступлений и их доля в общем числе преступлений. Потери могут быть огромными. Имелись покушения на компьютерные хищения на $500000, 70 млрд. руб. и многие другие, произошли хищения на несколько десятков миллионов рублей. Очень большие компьютерные хищения происходят из банков по фиктивным документам. Большинство банковских хищений остаются безнаказанными, поскольку банки обычно не заинтересованы в проведении следствия, опасаясь потери репутации и неизбежного раскрытия банковской тайны.

Предупреждение компьютерных преступлений включает технические, организационные и правовые меры.

К техническим мерам относятся:

  • аппаратная защита от несанкционированного доступа;
  • резервирование особо важных компонент компьютерной системы;
  • организация вычислительных сетей с перераспределением ресурсов при нарушении функционирования;
  • устройства обнаружения и тушения пожаров;
  • обнаружение утечек воды;
  • аппаратная защита от хищений, саботажа, диверсий, взрывов;
  • дублирование электропитания;
  • надежные запирающие устройства;
  • средства сигнализации.

К организационным мерам относятся:

  • охрана помещений;
  • подбор надежного персонала;
  • подготовленный план восстановления компьютерной системы после выхода из строя;
  • обслуживание и контроль работы компьютерного центра персоналом, не заинтересованным в сокрытии преступлений;
  • организация защиты информации от всех, включая руководство;
  • ограничение доступа к компьютерной системе;
  • выбор безопасного местонахождения информационного центра;
  • меры административной ответственности.

К правовым мерам относятся:

  • разработка правовых норм ответственности, усовершенствование уголовного и гражданского законодательства, а также судопроизводства по делам, связанным с компьютерными преступлениями (правовые нормы, предусмотренные в настоящее время Уголовным кодексом РФ, указаны далее в разделе 8);
  • защита авторских прав программистов;
  • общественный контроль за разработчиками компьютерных систем;
  • принятие необходимых международных соглашений по вопросам информационной (компьютерной) безопасности.

Следует подчеркнуть, что абсолютно надежной защиты компьютерной системы не существует и речь может идти лишь о степени ее надежности.

Причинами утери или искажения информации могут быть:

  • нарушение работы компьютера (кабельной системы, электропитания, дисков, системы архивирования данных, серверов, рабочих станций, сетевых карт, модемов);
  • повреждение носителей информации;
  • некорректная работа программного обеспечения вследствие ошибок или действия вредоносных программ типа вирусов и т.п.;
  • повреждение информации;
  • преступные действия злоумышленников, в частности, несанкционированный доступ с целью копирования, уничтожения, подделки информации;
  • неправильное хранение информационных архивов;
  • ошибки обслуживающего персонала и пользователей.

Рассмотрим некоторые приемы и методы, связанные с защитой информации от случайных ошибок или некомпетентности пользователей, а также от сбоев аппаратуры, в частности из-за помех в электросети, то есть причин возможной потери информации, не связанных с несанкционированным доступом и происками злоумышленников. Потеря файлов, а также крах системы вполне возможны и без внешних, корыстных помыслов. В связи с этим во всех операционных системах предусматриваются простейшие средства профилактики. Так при удалении файлов, как правило, требуется дополнительное подтверждение, а удаленный файл, как правило, при необходимости может быть восстановлен, поскольку определенное время он хранится в специальном буфере («корзина для мусора»).

Для того чтобы обезопасить себя от неприятных последствий (связанных с вышеперечисленными инцидентами), приводящих к потере данных на сервере или рабочих станциях, которые могут представлять большую ценность, так как являются результатом больших трудовых затрат, необходимо выполнение определенных мероприятий. Существует три основных способа защиты от таких воздействий — резервное копирование данных, избыточное дублирование и установка специализированных устройств защиты от нарушений в системе электропитания.

Резервное копирование данных

Методы, используемые для резервного копирования, зависят от их объема, важности информации и динамики ее изменения. Если говорить о носителях, применимых для хранения резервных копий, то дискеты годятся лишь в частных случаях для небольших объемов информации и личных архивов пользователей. В большинстве случаев используются либо накопители на магнитной ленте (стримеры), либо магнитно-оптические устройства, либо оптические типа WORM или WARM. Независимо от типа устройства для резервного копирования необходимо систематически проводить копирование данных во избежание их потери. Выбор конкретного способа зависит от того, как часто изменяются данные, какую ценность они представляют и как много времени потребуется для этой процедуры. В настоящее время существуют следующие способы резервного копирования.

Случайный. При таком подходе производится случайное копирование отдельных файлов. Метод является наименее надежным, так как если обнаружится, что копия не самая новая, приходится проделать весь объем работы от момента изготовления этой резервной копии. Еще хуже, если носитель, на котором находится резервная копия, окажется поврежденным. Однако это лучше, чем ничего.

Серьезный. Резервные копии производятся регулярно и для их изготовления используются два набора носителей.

Профессиональный. Этот метод используют вычислительные центры с дорогостоящим оборудованием и большими компьютерами. В нем используются три копии данных на трех наборах носителей (для надежности иногда используются по два экземпляра для каждого из наборов).

При работе поочередно используется каждый из наборов. Этот метод иногда называют схемой «сын — отец — дед».

Избыточность данных

Резервирование также подразумевает избыточность данных. С точки зрения подлинности, лучше иметь два среднего размера файловых сервера в локальной сети, чем один большой. Тогда в случае выхода из строя одного из них можно временно продолжать работать с другим. Конечно же, при этом на втором сервере должны находиться резервные копии рабочих файлов.

Несмотря на то, что системы хранения данных, основанные на магнитных дисках, производятся уже 40 лет, массовое производство отказоустойчивых систем началось совсем недавно. Дисковые массивы с избыточностью данных, которые принято называть RAID (redundant arrays of inexpensive disks — избыточный массив недорогих дисков, redundant array of independent disks — избыточный массив независимых дисков) были представлены исследователями (Петтерсон, Гибсон и Катц) из Калифорнийского университета в Беркли в 1987г. Но широкое распространение RAID системы получили только тогда, когда диски, которые подходят для использования в избыточных массивах, стали доступны и достаточно производительны. Со времени представления официального доклада о RAID в 1988г., исследования в сфере избыточных дисковых массивов начали бурно развиваться в попытке обеспечить широкий спектр решений на основе компромисса «цена — производительность — надежность». Производители файловых серверов, учитывая необходимость избыточности данных, предлагают модели с дисковыми массивами — системами НЖМД, в которых информация зеркально дублирована на различных дисководах. Естественно, что избыточность данных ни в коей мере не заменяет необходимость резервного копирования.

Защита от нарушений в системе электропитания

Рассмотрим теперь защиту от помех в электросети. Сбои электропитания всегда происходят неожиданно. В момент сбоя электросети практически любая программа может в какой-то степени испортить файл, с которым она работала. Для защиты от таких ситуаций необходимо использовать источники бесперебойного питания (UPS — Uninterruptible Power System) файл-серверов. Нет необходимости подключать к UPS рабочие станции, поскольку производители UPS нормируют их по максимальной мощности подключенных к ним приборов, так что не следует превышать эту величину.

После пропадания напряжения в электросети батареи UPS обеспечивают работоспособность сервера в последующие пять-десять минут — время, достаточное для того, чтобы завершить работу и успеть сохранить рабочие файлы. Кроме того, UPS защищает файл-сервер от скачков напряжения в электросети.

Существуют и более дешевые системы дежурного питания (SPS — Standby Power System) вместе с фильтром напряжения сети, которые защищают оборудование от кратковременных исчезновений электроэнергии в электросети, выбросов и помех.

На современных критически важных серверах принято за правило устанавливать особые «Redundant-блоки питания», которые предоставляют системному администратору возможность подключать сервер одновременно к двум источникам питания (например, к двум электрическим розеткам, подключенным к двум независимым электрическим группам, или одновременно к электрической розетке и к UPS).

При падении напряжения на одном из подключений сервер продолжает работать на другом. Это намного повышает надежность питания сервера и позволяет производить плановую замену UPS без остановки сервера.

Заметим, что термины «информационная безопасность» (information security) и «безопасность сети» (network security) в широком смысле относятся к секретности, т.е. гарантии того, что информация и службы, имеющиеся в сети, не будут доступны для несанкционированного использования. Безопасность подразумевает механизм защиты, гарантирующий невозможность несанкционированного доступа к вычислительным ресурсам, шпионажа или перехвата сообщений, а также доступа в работу служб. Конечно, нельзя гарантировать абсолютную безопасность сети, так же как нельзя гарантировать полную защищенность материальных ценностей.

Обеспечение информационной безопасности требует охраны как физических, так и виртуальных ресурсов. К физическим устройствам можно отнести как пассивные устройства для хранения информации, такие как жесткие диски и компакт-диски, так и активные устройства, такие как компьютеры пользователей. В сетевом окружении понятие физической безопасности относится к кабелям, мостам, маршрутизаторам и т.д. Хотя физическая безопасность упоминается очень редко, она часто играет важную роль при планировании полной безопасности, а меры по ее обеспечению достаточно традиционны и хорошо известны.

Обеспечение безопасности виртуального ресурса, такого как информация, обычно связывают с тремя основными понятиями компьютерной безопасности.

Угроза безопасности компьютерной системы — это потенциально возможное происшествие, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней. Обычно выделяют три вида угроз:

угроза раскрытия заключается в том, что информация становится известной нежелательным лицам. Иногда вместо слова «раскрытие» используют термины «кража» или «утечка».

угроза целостности включает себя любое умышленное изменение (модификацию или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности — деловые или коммерческие.

угроза отказов обслуживания возможна всякий раз, когда в результате определенных действий блокируется доступ к некоторому ресурсу вычислительной системы. Блокирование может быть постоянным (чтобы запрашиваемый ресурс никогда не был получен) или может вызвать только задержку, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорится, что ресурс исчерпан. В локальных вычислительных системах наиболее частыми являются угрозы раскрытия и целостности информации, а в глобальных на первое место выходит угроза отказа от обслуживания.

Уязвимость компьютерной системы — это некоторые ее неудачные характеристики, которые дают возможность возникновения угрозы. Именно из-за уязвимости в системе происходят нежелательные явления.

Атака на компьютерную систему — третье основополагающее понятие компьютерной безопасности. Это действие, предпринимаемое злоумышленником, которое заключается в поиске той или иной уязвимости. Таким образом, атака — реализация угрозы. К сетевым системам, наряду с обычными (локальными) системами, осуществляемыми в пределах одной компьютерной системы, применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве — так называемые «сетевые (или удаленные) атаки». Они характеризуются, во-первых, тем, что злоумышленник находится за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки считаются лидирующими по количеству попыток и по успешности их применения, поэтому обеспечение безопасности с точки зрения противостояния сетевым атакам приобретает первостепенное значение.

Под удаленной атакой обычно понимается информационное разрушающее воздействие на распределенную вычислительную систему, программно осуществляемое по каналам связи. Это определение охватывает как удаленные атаки на информационную инфраструктуру и протоколы сети, так и удаленные атаки на операционные системы и приложения. Под инфрастуктурой сети понимается как сложившаяся система организации связи между объектами сети, так и используемые в сети сервисные службы. А под операционными системами и приложениями — все программное обеспечение, работающее на удаленном компьютере, которое тем или иным образом обеспечивают сетевое взаимодействие.

Хотя понятие «информационная безопасность» охватывает множество способов защиты, основными из них являются следующие.

Безопасность целостности данных. Безопасная система должна защитить информацию от несанкционированного изменения и повреждения.

Доступность данных. Система должна гарантировать, что несанкционированный пользователь не может помешать законному доступу к данным.

Секретность и конфиденциальность. Система не должна позволять несанкционированным пользователям создавать копии данных во время их передачи по сети, а также анализировать их содержимое в том случае, если копии все-таки сделаны.

Авторизация. Меры информационной безопасности должны быть избирательными, учитывающими классификацию людей и ресурсов по различным категориям.

Аутентификация. Система должна позволять двум взаимодействующим между собой объектам проверить подлинность друг друга.

Запрещение повторного использования. Чтобы посторонние не могли перехватывать копии с целью их дальнейшего использования, система не должна обрабатывать копии повторно переданных пакетов данных.

Указывая основные понятия информационной безопасности, необходимо указать и правонарушителей, так или иначе связанных с проблемами компьютерного взлома, так называемых «хакеров». Общественное мнение специалистов в отношении деятельности хакеров неоднозначно, оно либо сугубо негативное (хакеры — это преступники), либо достаточно позитивное (хакеры — «санитары леса»).

В действительности, эта деятельность имеет как положительную сторону, так и сугубо отрицательную, и эти две стороны четко разграничены. В связи с этим некоторые специалисты предлагают разделить всех профессионалов, связанных с информационной безопасностью, на хакеров (hackers) и кракеров (crackers).

И те, и другие во многом занимаются решением одних и тех же задач — поиском уязвимости в вычислительных системах и осуществлением на них атак («взломом»).

Кракеры (crackers) — специалисты, способные снять защиту от копирования с лицензионного программного обеспечения. В современном компьютерном андеграунде кракерами обычно называют взломщиков программного обеспечения, в то время как хакерами именуют людей, специализирующихся на взломе защиты отдельных компьютеров и распределенных систем.

Принципиальное различие между хакерами и кракерами состоит в целях, которые они преследуют. Основная цель хакера состоит в том, чтобы исследуя вычислительную систему обнаруживать слабые места (уязвимость) в ее системе безопасности и информировать пользователя и разработчиков системы с целью устранения найденных уязвимостей. Другая задача хакера — проанализировать существующую систему, сформулировать необходимые требования и условия повышения уровня ее защищенности. Задача кракера состоит в непосредственном осуществлении взлома системы с целью получения несанкционированного доступа к чужой информации для кражи, подмены или объявления факта взлома. Среди основных целей кракеров следует отметить следующие:

  • получить доступ к важной информации, закрытой по тем или иным соображениям от использования посторонними лицами;
  • получить доступ к ресурсам чужой системы (процессору, внешней памяти и т.п.).

В этом случае владелец системы ничего не теряет за исключением времени занятости процессора и части дискового пространства. Но, возможно, и приобретает достаточно дорогое программное обеспечение;

  • нарушить работоспособность хоста, без реализации угрозы раскрытия. Это может быть достаточно опасным, если хост обеспечивает бесперебойное обслуживание клиентов;
  • создать плацдарм для осуществления вышеназванных целей, но для атаки на другой компьютер с целью переадресовать корыстные цели на чужой компьютер;
  • отладить механизм атак на другие системы, используя атакованный компьютер в качестве пробного.

Мотивы кракеров низменны, но их состав неоднороден. Существует даже их классификация, в соответствии с которой кракеров разделяют на следующие категории:

1) вандалы — самая известная (благодаря распространению вирусов) и самая малочисленная часть кракеров. Их основная цель — взломать систему для ее дальнейшего разрушения. Это специалисты в написании вирусов и их разновидностей под названием «троянских коней». Эта стадия «кракерства» характерна для новичков и быстро проходит, если кракер продолжает совершенствоваться.

2) «шутники» — наиболее безобидная часть кракеров. Основная цель «шутников» — известность, достигаемая путем взлома компьютерных систем и внедрения туда различных эффектов, выражающих их неудовлетворенное чувств юмора. К «шутникам» также можно отнести создателей вирусов с различными визуально-звуковыми эффектами («музыкодрожание» или переворачивание экрана и т.п.) «Шутники», как правило, не наносят существенного ущерба компьютерным системам и администраторам. Все их действия — либо невинные шалости, либо рекламные акции профессионалов.

3) взломщики — профессиональные кракеры. Их основная задача — взлом компьютерной системы с серьезными целями, например, с целью кражи или подмены хранящейся в системе информации. Как правило, для того чтобы осуществить взлом, необходимо пройти три основные стадии:

  • исследование вычислительной системы с выявлением в ней изъянов (уязвимости);
  • разработку программной реализации атаки;
  • непосредственное осуществление атаки.

Настоящими профессионалом можно считать того кракера, который для достижения своей цели проходит все три стадии. В принципе, работа взломщиков — это обычное воровство. Однако в нашй стране, где находящееся у пользователей программное обеспечение в преобладающей части является пиратским, т.е. украденным не без помощи тех же взломщиков, отношение к ним не столь категорично.

В связи с этим, если не ограничиваться рассмотрением хакеров и кракеров с позиций распределенных систем, то следует отметить, что самая многочисленная категория кракеров занимается снятием защиты с коммерческих версий программных продуктов, изготовлением регистрационных ключей (registrationkey) для условно-бесплатных программ (shareware) и т.п.

Следует отметить, что в последнее время сформировался устойчивый миф о всемогуществе кракеров и хакеров и полной незащищенности компьютерных систем. Действительно, современные вычислительные системы общего назначения имеют серьезные проблемы с безопасностью. Но речь идет именно о системах общего назначения. Там же, где требуется обработка критической информации и обеспечение высшего уровня защиты (например, в военной области, атомной энергетике и т.п.), используются специализированные защищенные вычислительные системы, которые изолированы от сетей общего назначения физически и не допускают несанкционированного удаленного доступа извне. В то же самое время любая уважающая себя организация, будь то ЦРУ, АНБ, НАСА, имеет свои www- или FTP-серверы, находящиеся в открытой сети и доступные всем, и кракеры в этом случае проникали именно в них.

Другим, еще более устойчивым, является миф о всеобщей беззащитности банковских систем. Действительно, в отличие от вычислительных систем стратегического назначения, банки вынуждены для обеспечения удобства и оперативности работы с клиентами предоставлять им возможность удаленного доступа из сетей общего пользования к своим банковским вычислительным системам. Однако для связи в этом случае используются защищенные криптопротоколы и разнообразные системы сетевой защиты, и к тому же предоставление клиенту возможности удаленного доступа отнюдь не означает, что клиент может получить доступ непосредственно к внутренней банковской сети.

По мнению специалистов, зарубежные банковские вычислительные системы являются наиболее защищенными вслед за системами стратегического назначения. В обоих случаях речь идет о несанкционированном удаленном доступе извне. В том случае, если нанести ущерб системам вознамерится кракер из состава персонала защищенной системы, трудно судить об успехе его попыток. Как утверждают статистики, нарушение безопасности системы собственным персоналом составляет около 90% от общего числа нарушений. Таким образом, даже критические вычислительные системы нельзя считать неуязвимыми, но реализовать на них успешную удаленную атаку практически невозможно.

Как утверждают некоторые исследователи, ни одного подтвержденного факта целенаправленного взлома с помощью программных средств (а не с помощью подкупа и т.п.) указанных выше систем ни в России, ни за рубежом пока обнаружить не удалось.

Рассмотрим теперь некоторые меры защиты от удаленных атак. Следует отметить, что защита от удаленных атак взаимосвязана с методами доступа и использованными пользователем ресурсами глобальной сети. Сети являются общедоступными. Удаленный доступ к этим ресурсам может осуществляться анонимно любым неавторизованным пользователем. Примером неавторизованного доступа является подключение к www- или FTP-серверам. В этом случае, если трафик пользователя будет перехвачен, пройдет через сегмент атакующего, то последний не получит ничего, кроме общедоступной информации, т.е. отпадает забота о защите информации. Если же планируется авторизованный доступ к удаленным ресурсам, то следует обратить на эту проблему особое внимание.

Методы защиты связаны также с используемой пользователем операционной системой. При этом имеется в виду: собирается ли пользователь разрешать удаленный доступ из сети к своим ресурсам. Если нет, то пользователь должен использовать чисто «клиентскую» операционную систему (например, Windows или NT Workstation).

Удаленный доступ к данной системе в принципе невозможен, что, безусловно, повышает ее безопасность (хотя и не гарантирует ее полностью).

Естественно, все ограничения, связанные с безопасностью, ухудшают функциональность системы. В связи с этим существует такая «аксиома безопасности»: «Принципы доступности, удобства, быстродействия и функциональности вычислительной системы антагонистичны принципам ее безопасности. Чем более удобна, быстра и многофункциональна вычислительная система, тем она менее безопасна». Естественно, полная изоляция компьютера от глобальной сети путем отключения разъема или создания выделенной линии связи обеспечивает абсолютную безопасность от удаленных атак, однако полностью исключает функциональные возможности сетей и поэтому бессмысленна. Основная же цель комплексной защиты информации — обеспечение максимальных функциональных возможностей при максимальной защищенности сети. Среди разнообразных мер по защите от удаленных атак наиболее простыми и дешевыми являются административные меры. Например, как можно защититься от анализа сетевого трафика злоумышленником, если известно, что с помощью программного прослушивания можно перехватить любую информацию, которой обмениваются удаленные пользователи, когда по каналу передаются нешифрованные сообщения? Также известно, что базовые прикладные протоколы удаленного доступа TELNET и FTP не предусматривают элементарную защиту передаваемых по сети идентификаторов (имен) и аутентификаторов (паролей).

Поэтому администраторы сетей могут запретить использовать эти базовые протоколы для предоставления авторизованного доступа к ресурсам своих систем. При необходимости можно рекомендовать средства защиты этих протоколов.

Определенную опасность представляет использование так называемого протокола ARP. Этот протокол осуществляет поиск и сопоставление IP адреса с адресом конкретной локальной сети (например, Ethernet) и направление следования именно по этому адресу. Перехваченный IP пакет может быть в данном случае направлен по ложному адресу (по ложному ARP серверу).

Чтобы устранить эту неприятность, связанную с отсутствием у операционной системы каждого хоста необходимой информации о соответствующих IP и Ethernet адресах остальных хостов внутри данного сегмента сети, сетевой администратор создает статическую ARP таблицу в виде файла, куда вносится необходимая информация об адресах. Данный файл устанавливается на каждый хост внутри сетевого сегмента, и, следовательно, у сетевой операционной системы отпадает необходимость использования удаленного ARP поиска.

Известна также уязвимость адресной службы DNS, что позволяет кракеру получить глобальный контроль над соединениями путем навязывания ложного маршрута через хост кракера — ложный DNS сервер. Это приводит к катастрофическим последствиям для огромного числа пользователей. Защита от ложного DNS сервера — достаточно сложная задача, однако и в этом случае могут быть предложены административные методы, которые могут предотвратить установление такого глобального контроля либо защитить подобную удаленную систему. Разработаны административные меры от навязывания ложного маршрута, защиты от отказа в обслуживании и от других причин нарушения безопасности информации.

Признавая важность административных мер защиты от удаленных атак, тем не менее, следует считать, что основную роль играют все же программно-аппаратные методы защиты. Центральным элементом в комплексе программно-аппаратных методов является криптография. В течение многих лет криптография использовалась исключительно в военных целях. В последние 20—30 лет наблюдается быстрый рост несекретных академических исследований в области криптографии. Сегодня современная компьютерная криптография широко практикуется и вне военных ведомств, что, безусловно, связано с расширением сфер деятельности пользователей, в которых возникает потребность в криптографических методах защиты информации. Это научное направление имеет серьезное теоретическое (математическое, алгоритмическое) обоснование. В открытой печати уже появилось много публикаций, учебников и солидных монографий по криптографии.

Конкретная реализация методов криптографии связана с разработкой аппаратных и программных средств, так, например, мейнфреймы фирмы IBM начиная с 90х гг. прошлого века (1990) оснащаются криптографическими процессорами, обеспечивающими шифрование и дешифрование сообщений с минимальной дополнительной нагрузкой на центральный процессор. Эти спецпроцессоры могут обрабатывать большие объемы данных и обеспечивать высокий уровень защищенности вычислительных систем. Важную роль в реализации криптографических методов играет разработка генераторов «истинно случайных» чисел и другие исследования.

В качестве примера применения криптографических методов рассмотрим процедуру защиты IP протокола в глобальной сети Интернет. Обеспечить безопасность глобальной сети Интернет особенно трудно, поскольку дейтаграммы, передающиеся от отправителя до конечного получателя, проходят через несколько промежуточных сетей и маршрутизаторов, не контролируемых ни отправителем, ни получателем. Таким образом, поскольку дейтаграммы могут быть перехвачены без ведома отправителя, их содержимому нельзя доверять. Например, рассмотрим сервер, который использует процедуру аутентификации источника для проверки того, что запросы поступают от авторизованных клиентов. Процедура аутентификации источника требует, чтобы сервер при получении каждой дейтаграммы проверял IP адрес отправителя и принимал запросы только от компьютеров, адреса которых перечислены в специальном списке. Данный вид аутентификации обеспечивает слабую защиту, поскольку ее можно легко обойти. В частности, один из промежуточных маршрутизаторов может контролировать трафик проходящих через него дейтаграмм и фиксировать IP адреса авторизованных клиентов, которые могут быть перехвачены любым злоумышленником, контролирующим этот маршрутизатор. Затем этот злоумышленник может выступить в роли авторизованного клиента.

Группа IETF (Internet Engineering Task Forse) — инженерная группа, входящая в структуру архитектурного совета Интернет, разработала набор протоколов, которые обеспечивают безопасную связь в глобальной сети. Все вместе они называются семейством протоколов IPsec (IP security или защитным протоколом IP).

В этих протоколах аутентификация и шифрование данных выполняются на уровне протокола IP.

Методы криптографии, применяемые при разработке разнообразных криптопротоколов, составляют основу программных методов защиты информации в сетях. В то же время они являются составной частью так называемой методики Firewall, являющейся сейчас основой программно-аппаратных средств осуществления сетевой политики безопасности в IP сетях и реализующей следующие функции:

Многоуровневая фильтрация сетевого трафика. Фильтрация обычно происходит на четырех уровнях OSI:

канальном (Ethernet),

сетевом (IP),

транспортном (TCP, UDP),

прикладном (FTP, TELNET, HTTP, SMTP и т.д.).

Фильтрация сетевого трафика является основной функцией системы Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику в выделенном сегменте IP сети. Настроив для этого соответствующим образом Firewall, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящимся в защищенном сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети.

Proxy — схема с дополнительной идентификацией и аутентификацией пользователей. Смысл proxy-схемы заключается в создании соединения с конечным адресатом через промежуточный сервер, называемый proxy-сервером (proxy — полномочный), на хосте Firewall.

Создание приватных сетей с виртуальными IP адресами. Если администратор безопасности считает целесообразным скрыть истинную топологию своей внутренней IP сети, он может использовать proxy-сервер для отделения своей внутренней приватной сети со своими внутренними виртуальными IP адресами, которые, очевидно, непригодны для внешней адресации. При этом proxy-сервер должен осуществлять связь с абонентами из внешней сети со своего настоящего IP адреса. Эти же схемы применяются и в том случае, если для создания IP сети выделено недостаточное количество IP адресов. Основным аппаратным компонентом для реализации методики управления доступом к объединенной сети является специализированное устройство, называемое брандмауэром, ассоциируемое с термином Firewall (термин брандмауэр позаимствован из строительства, где он обозначает толстую несгораемую стену, благодаря которой секция строения становится непроницаемой для огня).

Обычно «брандмауэр» устанавливается между внутренней сетью организации и каналом, ведущим к внешним сетям (например, к глобальной сети Интернет).

Брандмауэры разделяют объединенную сеть на две области, которые неофициально называются внутренней и внешней. Хотя сама идея брандмауэра проста, ее реализация усложняется множеством факторов. Один из них — внутренняя сеть организации может иметь несколько внешних соединений. При этом необходимо сформировать периметр безопасности (security perimeter), установив брандмауэр на каждое внешнее соединение. Чтобы гарантировать эффективность периметра безопасности, во всех брандмауэрах должны использоваться одинаковые ограничения доступа. В противном случае злоумышленники могут обойти ограничения, наложенные одним брандмауэром, и зайти в объединенную сеть через другой.

Существует несколько способов реализации брандмауэров. Выбор способа зависит от того, какое количество внешних каналов существует в организации. В большинстве случаев каждый барьер в брандмауэре реализуется на основе маршрутизатора, содержащего фильтр пакетов. Чтобы брандмауэр не замедлял работу сети, его аппаратное и программное обеспечение должно быть оптимизировано на решение конкретной задачи. Решению этой задачи способствует и тот факт, что в большинство коммерческих маршрутизаторов включен быстродействующий механизм фильтрации пакетов, который выполняет основную часть работы.

На практике, как правило, возникает необходимость создать безопасный брандмауэр, который предотвратит нежелательный доступ извне и в то же время позволит пользователям внутренней сети получить доступ к внешним службам. При этом необходимо выработать специальный механизм безопасности. В общем случае организация может обеспечить доступ к внешним службам только через защищенный компьютер. Поэтому обычно с каждым брандмауэром связывают один защищенный компьютер и устанавливают на этом компьютере набор шлюзов уровня приложения. Для того чтобы такой компьютер мог служить в качестве безопасного канала связи, его степень защиты должна быть очень высока. Поэтому такой компьютер часто называют бастионным узлом. На бастионном узле запускаются службы, которые организация хочет сделать видимыми извне, а также proxy-серверы, которые позволяют внутренней сети получить доступ к внешним серверам. В брандмауэре также может использоваться так называемая «тупиковая сеть», которая позволяет изолировать внешний трафик от внутреннего. К этой сети подключаются брандмауэры, а также бастионный узел.

Все брандмауэры можно разделить на три типа:

1) пакетные фильтры (packet filter);

2) серверы прикладного уровня (application gateways);

3) серверы уровня соединения (circuit gateways).

Все типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры

Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP адреса, флажки или номера TCP портов в заголовке этого пакета. IP адрес и номер порта — это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, так как все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

Серверы прикладного уровня

Брандмауэры с серверами прикладного уровня используют серверы конкретных сервисов — TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения. Использование серверов прикладного уровня позволяет решить важную задачу — скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS).

Другим положительным качеством является возможность аутентификации на пользовательском уровне.

При описании правил доступа используются такие параметры, как название сервиса, имя пользователя, допустимый временной диапазон использования сервиса, компьютеры, с которых можно пользоваться сервисом, схемы аутентификации. Серверы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты — взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

Серверы уровня соединения

Сервер уровня соединения представляет собой транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод. Как правило, пункт назначения задается заранее, тогда как источников может быть много (соединение типа «один со многими»).

Используя различные порты, можно создавать различные конфигурации. Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.

Относительно программных средств защиты информации необходимо отметить, что конечной целью атаки кракера является определенный компьютер, с конкретной реализацией сетевых протоколов, с конкретной определенной системой. В связи с этим необходимо коснуться защиты операционных систем. Среди типичных атак, которым могут быть подвергнуты любые ОС, можно указать следующие:

  • кража пароля (подглядывание за несколькими пользователями, получение из файла, кража носителей и т.п.);
  • подбор пароля (перебор возможных вариантов, включая оптимизированный перебор);
  • копирование «жестких» дисков компьютера;
  • сбор «мусора»: если средства операционной системы позволяют восстанавливать ранее удаленные объекты, злоумышленник может получить доступ к удаленным объектам (удаленным другими пользователями), просмотрев содержимое их мусорных корзин;
  • превышение полномочий: используя ошибки в программном обеспечении или администрировании операционной системы, злоумышленник получает полномочия, превышающие те, которые предоставлены ему согласно действующей политике безопасности;
  • отказ в обслуживании (целью этой атаки является частичный или полный вывод операционной системы из строя, как правило, с помощью вирусов).

Самой распространенной операционной системой в глобальной сети Интернет является операционная система Unix, основными протокольными определяющими сети Интернет являются протоколы TCP/IP, которые были разработаны для системы Unix. Не менее 90% мощных Интернет-узлов работают под управлением этой системы и различных ее диалектов. Основные концепции Unix разрабатывались в конце 60-х — начале 70-х гг. прошлого столетия, когда не было никакой теории компьютерной безопасности и никто не подозревал о тех крупных неприятностях, которые возникнут по мере развития сетевых технологий. Современные сетевые операционные системы оказываются в заведомо более выгодном положении, поскольку они разрабатывались с учетом ошибок Unix и современной ситуации с безопасностью сетей. Однако это вовсе не говорит об их большей безопасности.

За долгий срок жизни Unix исследователями написаны, а администраторами изучены сотни статей и книг относительно механизмов безопасности Unix и способов их нарушения. Все это позволяет предположить, что никаких сюрпризов Unix больше не преподнесет.

С новыми операционными системами ситуация прямо противоположная. И хотя в них заложены концепции, согласующиеся с современным состоянием теории безопасности, у них очень малый срок эксплуатации. Они активно исследуются хакерами и кракерами, и, несмотря на опыт Unix, начинают проходить тот же самый путь и совершать те же самые ошибки в обеспечении безопасности.

В дополнение следует добавить несколько замечаний о структуре средств информационной безопасности операционной системы Unix и наиболее слабых ее местах. Как известно, изначально система Unix была ориентирована на централизованные вычисления в системах коллективного пользования как многозадачная, многопользовательская система. Пользователи системы разделялись на группы, в зависимости от прав доступа (или привилегий):

  • суперпользователь (root), имеющий неограниченные права;
  • обычный пользователь, имеющий права в рамках своего идентификатора (UID, user ID);
  • членство в группе (GID, group ID) — права и ограничения устанавливаются для него суперпользователем.

По мере развития операционной системы и использования Unix-машин в качестве серверов в глобальных сетях среди обычных пользователей выделялись так называемые специальные пользователи. Они, как правило, имеют зарегистрированные имена (guest, bin, uucp и т.п.) и номера UID и GID. Прав у этого пользователя еще меньше, чем у обычного. Их устанавливает суперпользователь для работы с конкретными приложениями. Одним из интересных примеров специального пользователя является анонимный пользователь FTP, который так и называется anonymous, или ftp.

И, наконец, есть категория так называемых псевдопользователей, не имеющих никаких прав и не идентифицируемых системой. Но они могут подключаться к системе с помощью так называемых программ-демонов (в современной терминологии серверов), в частности, используя средства электронной почты e-mail. От этого пользователя не требуется аутентификации, учет по нему также не ведется.

Именно две последние категории пользователей (особенно последняя) и являются причиной основных неприятностей в операционной системе Unix с точки зрения информационной безопасности. Среди основных причин уязвимости Unix принято считать:

  • наличие доменов;
  • механизм SUID/SGIN — это атрибут, который предоставляет право иметь привилегии суперпользователя, в частности, возможность смены идентификатора (собственного пароля);
  • излишнее доверие, поскольку в не столь давние времена создатели делали систему «под себя», не подозревая, насколько теснее и опаснее станет компьютерный мир через несколько лет.

Также слабым местом Unix-систем являются «люки». «Люком» или «черным входом» (backdoor) часто называют оставленную разработчиком недокументированную возможность взаимодействия с системой (чаще всего — входа в нее), например, известный только разработчику универсальный пароль. Люки оставляют в конечных программах вследствие ошибки, не убрав отладочный код, или вследствие необходимости продолжения отладки уже в реальной системе из-за ее высокой сложности, или же из корыстных интересов.

Учитывая динамику развития операционной системы Unix, в настоящее время можно сказать, что она является наиболее мощной и надежной, в том числе и со стороны информационной безопасности системы.

Рассмотрим, наконец, методы цифровой подписи данных, передаваемых в сетях, т.е. защиту документов, скрепленных подписью ответственного лица, называемых «электронной подписью».

Подпись «от руки» издавна используется для доказательства авторских прав или согласия с документом. Из наиболее важных аспектов подписи отметим следующие:

  • подпись достоверна;
  • она убеждает получателя, что человек, подписавший документ, сделал это сознательно;
  • подпись не поддельна;
  • она доказывает, что именно указанный человек подписал документ;
  • подпись невозможно использовать повторно, она составляет часть документа, ее невозможно нанести на другой документ;
  • подписанный документ невозможно изменить;
  • от подписи нельзя отказаться.

Хотя все эти утверждения не бесспорны, однако действия мошенников с традиционно подписанными документами затруднены и они рискуют быть разоблаченными.

Однако реализация электронной подписи и передача ее в сетях требует специальных мер защиты, так как ситуация оказывается гораздо сложнее. Во-первых, компьютерные файлы очень легко копируются. Даже если подпись человека или графическое изображение подписи от руки подделать нелегко, можно без труда «вырезать» подлинную подпись из этого документа и вставить ее в другой документ. Таким образом, простое наличие в документе такой подписи ничего не означает. Во-вторых, компьютерные файлы очень легко изменить уже после подписания документа, не оставив ни малейшего следа изменения.

В связи с этим механизм цифровой (электронной) подписи, реализуемый криптографическими методами, состоит из двух процессов:

1) формирования подписи блока данных при передаче;

2) проверки подписей в принятом блоке данных.

Первый процесс заключается в формировании подписи по определенному алгоритму с использованием секретного ключа. Второй — в обратном преобразовании.

Существует большое разнообразие криптографических протоколов для передачи цифровой подписи в сетях. Это и так называемые симметричные протоколы, когда ключ для шифрования сообщения аналогичен ключу для его прочтения, симметричные алгоритмы с посредником-арбитром и т.п. Считается, что для реализации цифровой подписи предпочтительнее методы шифрования с открытым ключом. В этом протоколе используется два ключа. Один — открытый (известный пользователям) и другой — закрытый (секретный).

Используя открытый ключ, кто угодно может зашифровывать сообщение, но расшифровать сообщение может только владелец закрытого ключа. Одним из основных достоинств этого протокола является то, что вычислительными методами очень трудно определить закрытый ключ по открытому. Очень удачной аналогией этого протокола является почтовый ящик. Шифрование открытым ключом аналогично опусканию письма в почтовый ящик — это может сделать кто угодно, просто открыв паз и опустив в него письмо. Дешифрование с закрытым ключом при этом подобно извлечению почты из почтового ящика. Открыть его гораздо сложнее. Однако если у Вас есть ключи от почтового ящика, извлечь письмо нетрудно. Этот протокол является самодостаточным, так как для его выполнения не требуется ни посредник, ни арбитр для различения разногласий (как это имеет место в симметричных протоколах).

Однако и этот протокол имеет недостатки.

Одним из самых ранних примеров использования цифровых подписей было упрощение проверки соблюдения договоров о ядерных испытаниях. Соединенные Штаты и Советский Союз разрешили друг другу разместить за границей сейсмографы для мониторинга ядерных испытаний. Проблема заключалась в том, что каждая сторона хотела быть уверенной, что страна, в которой размещены приборы, не подделывает их показаний. В свою очередь страна, в которой размещались сейсмографы, искала гарантий, что приборы посылают только ту информацию, которая нужна для мониторинга испытаний. Эти проблемы были решены с помощью цифровых подписей. Сторона, на территории которой стоял сейсмограф, может читать, но не изменять данные сейсмографа, и наблюдающая сторона знает, что данные не подделываются.

Таким образом, комбинируя цифровые подписи и криптографию открытым ключом, можно создать протокол, сочетающий надежное шифрование с достоверностью цифровых подписей.

На рынке достаточно много предложений средств защиты Интернета, однако по ряду параметров ни одно из них не может быть признано адекватным задачам защиты информации именно для Интернета. Например, достаточно криптостойкой и замечательной по своей идее является распространенная система PGP (Pritty good privacy).

Однако, поскольку PGP обеспечивает шифрование файлов, она применима только там, где можно обойтись файловым обменом. Защитить, например, приложения «on-line» при помощи PGP затруднительно. Кроме того, уровень иерархии управления защиты PGP слишком высок: эту систему можно отнести к прикладному или представительскому уровням модели OSI. Стыковка защиты PGP с другими прикладными системами потребует также определенных усилий, если, конечно, вообще окажется осуществимой. Альтернативу таким «высокоуровневым» системам защиты среди традиционных решений составляют устройства защиты канального и физического уровня — скремблеры и канальные шифраторы. Они «невидимы» с прикладного уровня и, в этом смысле, совместимы со всеми приложениями. Однако такие системы имеют ограниченную совместимость с различным каналообразующим оборудованием и физическими средами передачи данных. Это, как правило, не сетевые устройства, способные распознавать топологию сети и обеспечить связь из конца в конец через многие промежуточные узлы, а «двухточечные» системы, работающие на концах защищаемой линии и поэтому вносящие значительную аппаратную избыточность. И, конечно же, на таких устройствах невозможно построить систему защиты в рамках такой сети, как Интернет, уже хотя бы потому, что невозможно обеспечить их повсеместное распространение (вследствие высокой цены) и всеобщую аппаратную совместимость.

В заключение обсуждения методов защиты информации следует отметить, что персонал представляет собой наиболее уязвимое звено в любой системе безопасности. Служащий фирмы либо по злому умыслу, либо по неосторожности, либо не зная принятой в организации стратегии, может поставить под угрозу самую современную систему безопасности. В изучении методов защиты информации сложилось даже целое направление — социальная инженерия, связанная со злоупотреблением доверием пользователей, например, как одним из наиболее эффективных методов получения информации у ничего не подозревающих сотрудников, особенно в больших организациях, где многие пользователи не знают персонал своих компьютерных подразделений «в лицо», общаясь, в основном, по телефону. По определению самих хакеров, «социальная инженерия» — это термин, используемый взломщиками и хакерами для обозначения несанкционированного доступа иным способом, чем взлом программного обеспечения; цель — обмануть сотрудников для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону, электронную почту, разговоры по Интернет в «реальном времени», обыкновенную почту, личные встречи и т.п.

Наиболее известную угрозу информационной безопасности представляют компьютерные вирусы.

Проблема «вирусов» и «вирусной безопасности» возникла достаточно давно. Первое исследование саморазмножающихся искусственных технических и программных конструкций проводились в середине прошлого столетия в работах фон Неймана, Винера и других ученых. Было дано определение и проведен математический анализ конечных автоматов, в том числе и самовоспроизводящихся. Термин «компьютерный вирус» появился позднее — официально считается, что его впервые употребил сотрудник Лехайского университета (США) Фред Коэн в 1984г. на Седьмой конференции по безопасности информации, проходившей в США. Идеи вирусов были изложены широкой публике еще в 1983 году известным разработчиком ОС Unix Кэном Томпсоном в одной из своих лекций.

Одной из самых известных практических реализаций чисто теоретических работ фон Неймана и других известных ученых явилась программа Worm («червь»), созданная осенью 1988 г. студентом выпускного курса Корнелльского университета Робертом Морисом, который занимался в Bell Laboratories программным обеспечением безопасности Unix. Запущенный на сетевой машине «червь» искал в сети Интернет-машины с серверами и использовал их для воссоздания себя в большом количестве копий. Такое действие «червя» стало возможным в результате использования ошибки в программе («демоне») Unix fingered. Вирус распространялся с поразительной скоростью и появлялся в самых различных районах США. Через пять часов было поражено пять систем, через двое суток — шесть тысяч. По самым скромным оценкам вирус Мориса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 98 миллионов долларов. Ущерб был бы еще большим, если бы вирус изначально создавался с разрушительными целями.

Этот крупнейший инцидент в области компьютерной безопасности доказал (не теоретически, а практически) возможность создания саморепродуцирующихся программ, дал толчок к появлению целой отрасли компьютерной безопасности — компьютерной вирусологии, а также выявил необходимость разработчиков Unix более серьезно заняться безопасностью этой операционной системы. К тому времени уже существовали единичные вирусы и на персональных компьютерах — саморепродуцирующиеся в пределах одного компьютера (видимо поэтому сетевые вирусы стали называться «червями»).

Так что же такое компьютерный вирус? По определению, данному одним из известных отечественных специалистов Евгением Касперским, компьютерным вирусом называется программа, которая может создавать свои копии и внедряться в файлы и системные области компьютера, вычислительной сети и т.п. При этом копии сохраняют способность дальнейшего распространения. Другими словами, компьютерный вирус — небольшая программа (средний размер — 700 байт), написанная на языке Assembler и выполняющая разрушительные для операционной системы действия. Следует отметить, что такие программы как «бомбы» и «троянские кони» также приводят к неприятностям в системах, но отличаются от вирусов, так как не обладают свойством саморазмножения.

Название «вирус» распространилось ввиду явного сходства с биологическим прототипом. Суть воздействия биологического вируса сводится к нарушению информации, содержащейся в генетическом коде клетки. Посредством небольшого изменения фрагмента ДНК и РНК он захватывает управление жизненным процессом клетки. Таким образом, вирус обеспечивает себе возможность свободно и неограниченно размножаться. Это часто приводит к трагическим последствиям. Если компьютерную систему сопоставить с живым организмом, а отдельные программы — с клетками, то получим полную аналогию. Компьютерный вирус разрушает информацию, содержащуюся в коде программы. Он перехватывает контроль над компьютерной системой путем замены небольшого фрагмента программы, что позволяет ему неограниченно размножать свой код. Так же, как и биологический аналог, компьютерные вирусы:

  • представляют опасность для той системы, на которой они паразитируют;
  • быстро размножаются, легко распространяются на большие расстояния;
  • проявляют себя не сразу;
  • заболевание предшествует «латентный период», во время которого вирус продолжает распространяться в компьютерной системе;
  • важную роль в борьбе с «заболеваниями» играют профилактика и просвещение.

Биологическая аналогия оказывается настолько глубокой, что в литературе, посвященной компьютерным вирусам, широко используются и другие медицинские термины: «заболевание», «вакцина», «лечение», «карантин» и др., что иногда приводит к недоразумениям, когда забывается, что компьютерный вирус является обычной программой для компьютерной системы, которая имеет своего создателя.

Вирусы можно разделить на классы по следующим признакам:

  • по среде обитания вируса;
  • по способу заражения среды обитания;
  • по деструктивным возможностям.

По среде обитания различают, прежде всего, сетевые вирусы, или вирусы-черви (worm), которые распространяются в компьютерной сети. Проникая в память компьютера, они вычисляют сетевые адреса других машин и по этим адресам рассылают свои копии.

Файловые вирусы являются наиболее распространенным типом и обладают наибольшей инфицирующей способностью. Объектом поражения файловых вирусов являются исполняемые файлы, драйверы устройств и файлы операционной системы. По способу заражения файловые вирусы делятся на резидентные и нерезидентные.

Нерезидентный файловый вирус при запуске пораженной программы ищет первую «жертву» — незараженный файл в текущей директории и дописывает к ней свое тело, а затем передает управление запущенной программе. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время.

Резидентные вирусы находятся в памяти компьютера, оставляя в оперативной памяти свою резидентную часть, которая перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и остаются активными вплоть до выключения компьютера или его перезагрузки.

Загрузочные вирусы внедряются в загрузочный сектор системного диска, проникая в компьютер при загрузке зараженной дискеты. При идентификации диска вирус в большинстве случаев переносит оригинальный boot-сектор в какой-либо другой сектор диска, а сам записывается на его место. В результате при загрузке с зараженного диска вместо настоящего boot-сектора будет выполнен программный код вируса, который при первой возможности делает свое «черное дело». В настоящее время этот вид вирусов обречен, так как практически все машины имеют защиту boot-сектора.

Вирусы всех типов могут распространяться по сети. По своим деструктивным возможностям «троянский» компонент вируса обычно разделяют на:

  • безвредные, никак не влияющие на работу компьютера, кроме изменения свободной памяти на диске в результате своего размножения;
  • неопасные, влияние которых ограничивается уменьшением объема свободной памяти на диске и графическими, звуковыми и прочими эффектами, к которым относится, например, выдача букв или проигрывание какой-нибудь мелодии в определенное время;

опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера

очень опасные вирусы, которые могут привести к потере программ; уничтожить данные; стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже способствовать ускоренному износу движущихся частей диска.

Вирусы-«черви» (worm) — это вирусы, которые распространяются в компьютерной сети и так же, как и вирусы-«спутники», не изменяют файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

Отметим еще макровирусы. Это особая разновидность вирусов, которые поражают документы в прикладных программах, имеющие расширение .doc, например, документы, созданные текстовым процессором MS Word, и выполняющие макрокоманды. Если открыть файл документа в окне, происходит заражение.

Наиболее опасными в настоящее время представляются полиморфные вирусы — вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите. Такие вирусы не только шифруют свой код, используя различные способы шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов с постоянными кодами шифровальщика и дешифровщика. Полиморфные вирусы — это вирусы с самомодифицирующимися расшифровщиками. При таком шифровании, даже имея зараженный и оригинальный файлы, невозможно проанализировать код вируса обычными методами. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом непосредственно во время выполнения. При этом вирус может расшифровать себя всего сразу, а может выполнять расшифровку в ходе работы, вновь шифруя уже отработавшие участки с целью затруднения анализа кода вируса.

Абсолютных гарантий антивирусной безопасности не имеется, даже при наличии самых наилучших антивирусных программ. Однако путем соблюдения определенных правил профилактики (так называемой компьютерной гигиены), можно снизить до минимума риск заражения компьютеров.

Необходимо регулярно делать резервные копии файлов, с которыми ведется работа, на внешний носитель.

Следует покупать дистрибутивные копии программного обеспечения только у официальных продавцов.

Не следует запускать непроверенные антивирусные программы, полученные из сомнительных источников.

При лечении дисков следует использовать заведомо «чистую» операционную систему.

Необходимо иметь в виду, что очень часто вирусы переносятся с игровыми программами, с которыми следует быть предельно осторожным. В заключение следует отметить, что кроме вирусов существует другой вид программ, представляющих опасность для вычислительных систем, о которых ранее упоминалось. Это так называемые «троянские» программы. Такие программы не способны самостоятельно размножаться, и их распространение основано целиком на добровольном копировании. При запуске такой программы она, выполняя внешне безобидные действия, одновременно портит данные в компьютере. «Троянские программы» распространяются значительно медленнее, чем вирусы, поскольку уничтожив систему они погибают сами. Как правило, их маскируют под игровые программы или широко известные пакеты.