книги / Теория и практика борьбы с компьютерной преступностью
..pdf§ 3.4. Криптографические методы защиты
Криптографические методы защиты - это методы защиты данных при помощи криптографического преобразования, т. е. преобразования данных шифрованием.
Криптография - наука, изучающая принципы, средства и методы преоб разования данных с целью сокрытия их содержание, предотвращая, таким образом, их несанкционированное использование либо скрытую модифика цию. В результате криптографического преобразования получается зашифрованный текст. Различают:
■симметричное шифрование (для шифрования и расшифрования исполь зуется один и тот же ключ);
■шифрование на открытом ключе - асимметричное шифрование (для шифрования данных используется один ключ, а для расшифрования - другой);
■необратимое шифрование (используется при шифровании паролей, за шифрованный текст записывается в память, далее сравниваются зашиф рованные строки текста, при этом данные не могут быть воспроизведе ны).
Вкачестве паролей большинство исследователей не рекомендуют ис пользовать:
■свои имя, фамилию, а также имена и фамилии близких родственников;
■свои номера телефонов;
■номерной знак своего автомобиля;
■пароли, содержащие одинаковые буквы;
■комбинации букв на клавиатуре (например, qwerty);
•даты рождения, свою, друзей, коллег по работе, близких родственников;
■слова: user, master, guru, got и т. д.
К алгоритму шифрования, предназначенному для массового применения в вычислительных системах, предъявляется следующая система требований [65, с. 205]:
■зашифрованный текст должен поддаваться только чтению при наличии ключа шифрования;
■число операций, необходимых для определения использованного ключа шифрования по фрагменту шифрованного текста и соответствующему ему открытому тексту, должно быть не меньше общего числа возмож ных ключей;
■знание алгоритма шифрования не должно влиять на надежность защиты;
■незначительные изменения ключа шифрования должны приводить к су щественному изменению вида зашифрованного текста;
■незначительные изменения шифруемого текста должны приводить к су щественному изменению вида зашифрованного текста даже при исполь зовании одного и того же ключа;
■структурные элементы алгоритма шифрования должны быть неизмен ными;
■в процессе шифрования должен осуществляться постоянный контроль за шифруемыми данными и ключом шифрования;
■дополнительные биты, вводимые в текст в процессе шифрования, долж ны быть полностью и надежно скрыты в шифрованном тексте;
*длина шифрованного текста должна быть равна длине исходного откры
того ключа;
■не должно быть простых и легко устанавливаемых зависимостей между ключами, последовательно используемыми в процессе шифрования;
■любой ключ из множества возможных должен обеспечивать надежную
защиту информации;
•алгоритм должен допускать как программную, так и аппаратную реали зацию, при этом изменение длины ключа не должно вести к качествен ному ухудшению алгоритма шифрования.
ГЛАВА 4. ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ
Организационное обеспечение — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприя тий [78, с. 221].
Организационное обеспечение компьютерной безопасности включает в себя ряд мероприятий, схематично представленных на рис. 1.4.1 [131, с. 28-29].
Рис. 1.4.1
§ 4.1. Организационно-административные мероприятия
Организационно-административные мероприятия предполагают:
■минимизацию утечки информации через персонал (организация меро приятий по подбору и расстановке кадров, создание благоприятного климата в коллективе и т. д.);
■организацию специального делопроизводства и документооборота для конфиденциальной информации, устанавливающих порядок подготовки, использования, хранения, уничтожения и учета документированной ин формации на любых видах носителей;
■выделение специальных защищенных помещений для размещения средств вычислительной техники и связи, а также хранения носителей информации;
■выделение специальных средств компьютерной техники для обработки конфиденциальной информации;
■организацию хранения конфиденциальной информации на промаркиро ванных отчуждаемых носителях в специально отведенных для этой цели местах;
■использование в работе сертифицированных технических и программ ных средств, установленных в аттестованных помещениях;
■организацию регламентированного доступа пользователей к работе со средствами компьютерной техники, связи и в хранилище (архив) носи телей конфиденциальной информации;
■установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;
■контроль соблюдения требований по защите конфиденциальной инфор мации,
Многие авторы справедливо отмечают, что даже в хорошо отлаженной системе защиты информации наименее предсказуемым и управляемым зве ном является человек. С учетом данного фактора система мероприятий, на
правленных на максимальное предотвращение утечки информации через персонал, в общем виде выглядит следующим образом [126, с. 180]:
■оценка у претендентов на вакантные должности при подборе кадров таких личностных качеств, как порядочность, надежность, честность и т. д.;
■ограничение круга лиц, допускаемых к конфиденциальной информации;
■проверка надежности сотрудников, допускаемых к конфиденциальной информации, письменное оформление допуска;
■развитие и поддержание у работников компании корпоративного духа, создание внутренней среды, способствующей проявлению у сотрудни
ков чувства принадлежности к своей организации, позитивного отноше ния человека к организации в целом (лояльность);
•проведение инструктажа работников, участвующих в мероприятиях, не посредственно относящихся к одному из возможных каналов утечки ин формации.
При выборе и оборудовании специальных защищенных помещений для размещения СКТ и связи, а также хранения носителей информации реко мендуется придерживаться следующих требований [96, с. 433-437]. Опти мальной формой помещения является квадратная или близкая к ней. По мещение не должно быть проходным для обеспечения контроля доступа, желательно размещать его недалеко от постов охраны, что снижает шансы незаконного проникновения.
Помещение должно быть оборудовано пожарной и охранной сигнализа цией, системой пожаротушения, рабочим и аварийным освещением, конди ционированием, средствами связи.
Настоятельно рекомендуется применение источников бесперебойного питания (ИБП), желательно организовать двухуровневую систему беспере бойного электроснабжения СКТ - внешний источник питает один ИБП большой мощности, который по вторичной сети является источником элек троэнергии для меньших ИБП. Подобная организация питающей сети сни жает риск несанкционированного доступа до минимума, а также снижает возможность наступления негативных последствий в случае выхода из строя одного из ИБП.
Желательно отсутствие окон в помещении, лучше всего, если это внут реннее помещение (т. е. если нет контакта с наружными стенами здания). Не рекомендуется оборудовать помещение на верхнем этаже здания из-за риска протекания кровли. При размещении в подвале должны быть приняты специальные меры против попадания воды во время аварий и ремонтов ин женерных сетей.
Следует избегать мест с повышенным уровнем электромагнитного излу чения и вибраций. Желательно наличие поблизости грузового лифта для об легчения доставки оборудования. Следует избегать мест с риском появле ния агрессивных паров или газов, а также мест складирования агрессивных и взрывчатых веществ.
Вход в помещение должен быть оборудован металлической открываемой наружу дверью размером не менее 2,0 х 0,9 м без обозначений или с нейтраль ной табличкой (например, «Техническое помещение»). В дверном проеме дол жен быть порог для предотвращения попадания воды из коридора.
Пол помещения должен выдерживать распределенную нагрузку не ме нее 12 кПа и точечную нагрузку не менее 4,4 кПа, Для прокладки кабелей желательно устройство фальшпола.
Конструкция и материал стен должны учитывать возможность их об шивки металлическими экранирующими панелями и допускать крепление аппаратуры весом до 100 кг. Материал отделки стен и пола должен обеспе чивать огнестойкость в течение не менее 45 мин. В процессе эксплуатации отделка не должна становиться источником пыли.
Условия окружающей среды должны примерно соответствовать сле дующим [96, с. 433-437]:
■температура воздуха +18...+24°С при измерении на высоте 1,5 м от уровня пола;
■максимальная скорость изменения температуры не должна превышать 3 °С в час;
■влажность воздуха 30.. .55 % без конденсации влаги;
■скорость изменения влажности не должна превышать 6 % в час;
■освещение не менее 540 люкс при измерении на высоте 1 м;
■источники света должны обеспечивать равномерную освещенность всего пространства;
■напряженность электрического поля не должна превышать 3 В/м во всем спектре частот.
Специальные СКТ, предназначенные для обработки конфиденциальной информации, могут приобретаться в защищенном исполнении. Доработка обычных СКТ до необходимого уровня защиты может быть произведена с использованием различных СЗИ (желательно отечественных производите лей, например СЗИ НСД «Аккорд»).
Хранение конфиденциальной информации, полученной в результате ре зервного копирования, должно осуществляться на промаркированных от чуждаемых носителях в специально отведенных для этой цели местах. При
организации хранения носителей необходимо использовать средства физи ческой защиты (см. выше).
Специальное делопроизводство и иные организационно-административ ные мероприятия в учреждении, организации, на предприятии должны рег ламентироваться соответствующими нормативными актами, утверждаемы ми руководителями.
Организационно-административные мероприятия играют важную роль в обеспечении безопасности СКТ. Российские исследователи совершенно правильно отмечают, что эти меры особенно активно используются тогда, когда другие недоступны [23, с. 16]. Однако применение только организа ционно-административных мер нежелательно:
■низка их надежность без соответствующей поддержки со стороны физи ческих, аппаратных и программных средств;
■применение для защиты только рассматриваемых мер может привести к параличу работы СКТ из-за неудобств, связанных с большим объемом формальной рутинной деятельности [23, с. 16].
§ 4.2. Организационно-технические и организационно экономические мероприятия
Комплекс организационно-технических мероприятий состоит:
■в ограничении доступа посторонних лиц внутрь корпуса оборудования за счет установки различных запорных устройств и средств контроля;
■в отключении от ЛВС, Internet тех СКТ, которые не связаны с работой с конфиденциальной информацией, либо в организации межсетевых эк
ранов;
•в организации передачи такой информации по каналам связи только
с использованием специальных инженерно-технических средств;
■в организации нейтрализации утечки информации по электромагнитным и акустическим каналам;
■в организации защиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации;
■в проведении иных организационно-технических мероприятий, направ ленных на обеспечение компьютерной безопасности.
Организационно-технические мероприятия по обеспечению компьютер
ной безопасности предполагают активное использование инженернотехнических средств защиты (рис. 1.4.2).
Например, в открытых сетях для защиты информации применяют меж сетевые экраны (МЭ).
Рис. 1.4.2
Межсетевые экраны - это локальное или функционально-распределен ное программно-аппаратное средство (комплекс средств), реализующее контроль за информацией, поступающей в автоматизированные системы или выходящей из них.
Известно три типа МЭ [109, с. 321 ]:
1.МЭ на основе фильтрации пакетов1 - анализируют значения полей «адрес» и «порт» в заголовке IP-пакета и на основе заранее определенных правил пропускают либо отклоняют порт. Характеризуются простотой, де шевизной, малым влиянием на производительность сети.
2.МЭ на основе технологии контекстной проверки просматривают па кеты на сетевом уровне и анализируют некоторые данные в пакете по от ношению к применяемым сервисам.
3.МЭ на основе технологии «посредника». Являются промежуточным звеном передачи пакетов между сервером и клиентом.
Все известные МЭ являются локальными средствами, в различной сте пени реализующими механизм дискреционного разграничения доступа.
МЭ классифицируются по уровню проведения фильтрации:
■на канальном уровне (уровень, предоставляющий услуги по обмену дан ными между логическими объектами сетевого уровня и выполняющий функции, связанные с формированием и передачей кадров2, обнаруже нием и исправлением ошибок, возникающих на физическом уровне) -
экранирующие концентраторы3;
1Пакет - протокольный блок данных сетевого уровня - группа совместно пере- даваемых элементов данных Из пакетов формируются сообщения
2Кадр —протокольный блок данных уровня звена данных канального уровня
5 Концентратор - функциональный блок, позволяющий общей передающей среде обнаружить источники данных, число которых превышает число одновременно имеющихся в передающей системе каналов
■на сетевом уровне (уровень, предоставляющий услуги по обмену дан ными между логическими объектами транспортного уровня, формирова нию пакетов и их маршрутизации при прохождении через сеть передачи данных) - маршрутизаторы1;
■на транспортном уровне (уровень, предоставляющий услуги по кодоне зависимому и надежному обмену данными между логическими объекта-
'ми сеансового уровня и обеспечивающий эффективное использование & функциональных возможностей нижерасположенных уровней) - транс
портное экранирование',
■на сеансовом уровне (уровень, предоставляющий услуги по организации и синхронизации диалога между логическими объектами уровня предос
тавления данных и управляющий обменом данными между ними) -
шлюзы сеансового уровня ',
№на прикладном уровне (верхний уровень в базовой эталонной модели взаимосвязи открытых систем, выполняющий роль интерфейса пользо вателей сети и предоставляющий услуги для обмена данными между прикладными процессами) - прикладные экраны.
Для организации взаимодействия с Internet рекомендуется создание от дельного Internet-сегмента [88, с. 433]. Таким образом, типовой сегмент Internet организации состоит из двух относительно самостоятельных частей:
1.Открытого Internet-сегмента, включающего общедоступный WEBсервер, внешний DNS-сервер, FTP-сервер, почтовый сервер, иные серверы, предоставляющие необходимые сервисы Internet.
Данный Intemet-сегмент подключается к Internet через внешний экрани рующий маршрутизатор, запрещающий все виды трафика2, кроме трафика от прикладного экрана, общедоступных серверов организации к Internet и обратно.
2.Внутреннего Internet-сегмента, включающего служебные серверы ор ганизации, сервер удаленного доступа, элементы управления ПК (рабочие станции3), персонала организации, иное.
Данный сегмент подключается к Internet через внутренний экранирующий маршрутизатор, прикладной экран и внешний экранирующий маршрутизатор.
1 Маршрутизатор - блок взаимодействия, обеспечивающий выбор маршрута передачи данных между несколькими сетями, имеющими различную архитектуру или протоколы
2 Трафик - поток сообщений в сети передачи данных (рабочая нагрузка линии связи)
3 Рабочая станция ~узел цокольной вычислительной сети, предназначенный для работы пользователя в интерактивном режиме
Прикладной экран размещается между открытым и внешним Intemetсегментами. Он осуществляет фильтрацию пакетов по IP-адресам, а также сер висам Internet и обеспечивает разграничение прав доступа к информационным ресурсам по адресу сервера, имени файла, типу команды и т. д.
Проведение организационно-экономических мероприятий по обеспече нию компьютерной безопасности предполагает [52, с. 73]:
■ |
стандартизацию методов и средств защиты информации; |
" |
сертификацию средств компьютерной техники и их сетей по требовани |
|
ям информационной безопасности; |
■страхование информационных рисков, связанных с функционированием компьютерных систем и сетей;
■лицензирование деятельности в сфере защиты информации.
Данные направления деятельности в Республике Беларусь и Российской Федерации находятся в стадии становления и являются самостоятельным предметом изучения, поэтому рассмотрение их в настоящем учебном посо бии, по нашему мнению, преждевременно.
РАЗДЕЛ 2. КРИМИНАЛИСТИЧЕСКАЯ ХАРАКТЕРИСТИКА КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ
Цель настоящего раздела - определение понятия, структуры и содержа ния криминалистической характеристики компьютерных преступлений. Сформулированные теоретические положения далее послужат базой для выдачи практических рекомендаций по использованию технико-кримина листических средств, тактике проведения осмотра места происшествия, так тике назначения и производства экспертиз, в том числе на месте происше ствия, тактике использования специальных знаний и особенностям выдви жения следственных версий на этапе осмотра места происшествия по делам о компьютерных преступлениях, подробно рассмотренных в разд. 3.
Криминалистическая характеристика является важным элементом структуры частной криминалистической методики расследования компью терных преступлений. Под криминалистической методикой раскрытия и расследования компьютерных преступлений понимается совокупность на учных положений и разрабатываемых на их основе рекомендаций, т. е. на учнообоснованных и апробированных на практике советов по раскрытию и расследованию данных преступлений [116, с. 314]. Г. Н. Мухин определил отличительные особенности методики раскрытия и расследования преступ лений рассматриваемой группы следующим образом [116, с. 315]:
■ряд традиционных элементов частных криминалистических методик оказываются неинформативными или слабоинформативными примени тельно к рассматриваемой категории и структуре отдельных ее элемен тов; к их числу можно отнести особенности использования помощи об щественности в раскрытии преступлений, особенности личности потер певшего;
■особую роль играет информация об особенностях использования специ альных знаний при раскрытии и расследовании рассматриваемых пре ступлений, об особенностях непосредственного предмета преступного посягательства и возможностях защиты закрытых информационных ре сурсов криминалистическими методами, приемами и средствами;
■значительную сложность с позиции перспектив предварительного рас
следования приобретает стадия доследственной проверки материалов и выявления первичной информации о преступлениях такого рода.
-МО