Файл: Роль информационного права и информационной безопасности в современном обществе (Комплексный подход к безопасности).pdf

Политика безопасности должна определять приемлемые алгоритмы шифрования для применения внутри организации и ссылаться на информационную политику для указания соответствующих алгоритмов для защиты секретной информации. В такой политике совершенно не обязательно указывать какой-либо один конкретный алгоритм. Политика безопасности также определяет процедуры управления ключами.

Политика использования интернета, как правило, включается в главную политику использования компьютеров. Однако в некоторых случаях эта политика представляется в виде отдельной политики в силу своих особенностей. Организации предоставляют своим сотрудникам доступ в интернет, чтобы они выполняли свои обязанности более эффективно и, следовательно, приносили большую прибыль. К сожалению, веб-сайты, посещаемые сотрудниками в интернете, далеко не всегда связаны с их работой.

Процедуры управления пользователями - это процедуры, выполняемые в рамках обеспечения безопасности, которым зачастую не уделяется должного внимания, что представляет собой огромный риск. Процедура системного администрирования определяет, каким образом осуществляется совместная работа отдела безопасности и системных администраторов с целью обеспечения безопасности систем. Данный документ состоит из нескольких специальных процедур, определяющих, каким образом и как часто должны выполняться задачи системного администрирования, связанные с безопасностью.

Политика резервного копирования определяет, каким образом осуществляется резервное копирование данных. Политика резервного копирования должна определять частоту резервного копирования данных. Как правило, конфигурация предусматривает проведение полного резервного копирования данных один раз в неделю с дополнительным резервным копированием, проводимым в остальные дни. Дополнительное резервное копирование сохраняет только файлы, изменившиеся с момента последнего резервирования, что сокращает время процедуры и обеспечивает меньший объем пространства на резервном носителе.

1.6 Разработка политики безопасности

При разработке политики безопасности могут быть задействованы следующие группы лиц:

· Отдел кадров. Ответственность за ту часть политики, в которой говорится о поощрении и наказании сотрудников, как правило, лежит на отделе кадров компании. Он формулирует положения о дисциплине и предусматривает наказание и увольнение сотрудников в случае нарушения. Отдел кадров предлагает каждому сотруднику подписаться под изложенными правилами для подтверждения осведомленности и согласия с политиками компании, чтобы в дальнейшем избежать проблем с несением ответственности за нарушения.

· Юридический отдел. Часто компании, в состав которой входит свой собственный юридический отдел, либо компании, сотрудничающей с внешней юридической организацией, требуется пересмотреть и прояснить правовые вопросы в документе и получить рекомендации по соответствию законам и приемлемости установленных правил в стране, где находится организация, а также за рубежом. Всем компаниям рекомендуется проводить юридическую проверку и корректировку политик относительно их применения к отдельным сотрудникам.

· Отдел IT-технологий. В большинстве компаний политика безопасности в основном касается компьютеров и, в частности, средств безопасности, встроенных в компьютерную инфраструктуру. Здесь сотрудники отдела информационных технологий являются одними из самых главных участников разработки политики.

· Отдел физической безопасности. В некоторых компаниях есть отделы физической безопасности, не связанные тесно с технологической инфраструктурой. Такие подразделения, как правило, занимаются применением физических средств безопасности, оговоренных в политике.

Все эти группы представлены на рис (Приложение 1)

Пользователями политики безопасности являются все лица, владеющие какой-либо информацией о компании:

· Все сотрудники.

· Подрядчики, поставщики, временные работники.

· Партнеры по бизнесу и поставщики.

· Клиенты.

На рис. (Приложение 2) приведено обозначение отделов в типичной компании, которые должны изучить политику безопасности. К каждому из отделов могут применяться, различные части политики безопасности. Каждое подразделение и компании должно, так или иначе, соответствовать политике безопасности.

На рис. (Приложение 3) показан процесс, необходимый для создания эффективной политики безопасности. Во-первых, необходимо четко определить бизнес-требования, чтобы политика соответствовала деловой среде. Кроме того, должна быть прояснена область применения политики, чтобы соответствующие стороны могли консультироваться в процессе ее разработки. Затем политика безопасности документируется на основе деловых требований. Как только она готова, можно принимать решения об управлении, связанные с разработкой и применением сетевых технологий и средств контроля. Разработка политики безопасности должна руководствоваться определением требований и области применения. После того, как политика безопасности будет готова, можно разработать процедуры, стандарты и инструкции, предписывающие использование и управление оговоренными технологиями и средствами контроля. Все это представляет собой фазу реализации, показанную на схеме в нижней части рис. (Приложение 3).

При построении индивидуальной политики безопасности следует в коротком введении указать соображения и провести анализ как основу тех или иных решений. Это позволит читателю разобраться в общих концепциях политики. Далее следует раскрыть корпоративное предназначение каждого элемента.

Глава 2. Безопасность беспроводных сетей

2.1. Беспроводные сети

За последние несколько лет беспроводные сети (WLAN) получили широкое распространение во всём мире. И если ранее речь шла преимущественно об использовании беспроводных сетей в офисах и хот-спотах, то теперь они широко используются и в домашних условиях, и для развертывания мобильных офисов (в условиях командировок). Специально для домашних пользователей и небольших офисов продаются точки беспроводного доступа и беспроводные маршрутизаторы класса SOHO, а для мобильных пользователей – карманные беспроводные маршрутизаторы. Однако, принимая решение о переходе к беспроводной сети, не стоит забывать, что на сегодняшнем этапе их развития они имеют одно уязвимое место.

Безопасность беспроводных сетей, или, точнее, боязнь незащищенности беспроводных сетей, - одна из важнейших тем в современной IT-индустрии. Это основ­ное препятствие для расширения мирового рынка беспроводных сетей, надежно засевшее в головах руководящего IT-персонала компаний. В соответствии со многими заявлениями продавцов средств защиты беспроводных сетей, сделанных на крупных конференциях и выставках, таких как 2003 Wireless Event в Лондоне, «не­защищенность беспроводных сетей и связанные с ней угрозы являются результатом разработки новой прогрессивной технологии в последние несколько лет, которая направлена на обеспечение новых уровней мобильной коммуникации». История перехвата радиосигналов уходит в далекое прошлое, и первые подобные случаи имели место во время Первой Мировой войны, опередив атаки на отказ в обслужи­вании (DOS-атаки) более чем на полвека. Первая функционирующая беспроводная сеть была построена в 1969 году - за 4 года до появления технологии Ethernet. Это была пакетная радиосеть ALOHA, разработанная в Гавайском Университете; она привела сотрудника Xerox PARC по имени Боб Меткалф к созданию алгоритма CSMA/CD (изначально названного Alto Aloha Network), что облегчило внедрение стандартов DIX Ethernet и 802.3.

2.2 Безопасность беспроводных сетей

Любая беспроводная сеть состоит как минимум из двух базовых компонентов – точки беспроводного доступа и клиента беспроводной сети (режим ad-hoc, при котором клиенты беспроводной сети общаются друг с другом напрямую без участия точки доступа, мы рассматривать не будем). Стандартами беспроводных сетей 802.11a/b/g предусматривается несколько механизмов обеспечения безопасности, к которым относятся различные механизмы аутентификации пользователей и реализация шифрования при передаче данных.

Протокол WEP

Все современные беспроводные устройства (точки доступа, беспроводные адаптеры и маршрутизаторы) поддерживают протокол безопасности WEP (Wired Equivalent Privacy), который был изначально заложен в спецификацию беспроводных сетей IEEE 802.11. Данный протокол является своего рода аналогом проводной безопасности (во всяком случае, расшифровывается он именно так), однако реально никакого эквивалентного проводным сетям уровня безопасности он, конечно же, не предоставляет. Протокол WEP позволяет шифровать поток передаваемых данных на основе алгоритма RC 4 с ключом размером 64 или 128 бит. Данные ключи имеют так называемую статическую составляющую длиной от 40 до 104 бит и дополнительную динамическую составляющую размером 24 бита, называемую вектором инициализации (Initialization Vector, IV). На простейшем уровне процедура WEP-шифрования выглядит следующим образом: первоначально передаваемые в пакете данные проверяются на целостность (алгоритм CRC-32), после чего контрольная сумма (integrity check value, ICV) добавляется в служебное поле заголовка пакета. Далее генерируется 24-битный вектор инициализации, (IV) и к нему добавляется статический (40-или 104-битный) секретный ключ. Полученный таким образом 64-или 128-битный ключ и является исходным ключом для генерации псевдослучайного числа, использующегося для шифрования данных. Далее данные смешиваются (шифруются) с помощью логической операции XOR с псевдослучайной ключевой последовательностью, а вектор инициализации добавляется в служебное поле кадра. Вот, собственно, и всё.

Протокол безопасности WEP предусматривает два способа аутентификации пользователей: Open System (открытая) и Shared Key (общая). При использовании открытой аутентификации никакой аутентификации, собственно, и не существует, то есть любой пользователь может получить доступ в беспроводную сеть. Однако даже при использовании открытой системы допускается использование WEP-шифрования данных.

Протокол WPA

Протокол WEP имеет ряд серьёзных недостатков и не является для взломщиков труднопреодолимым препятствием. Поэтому в 2003 году был представлен следующий стандарт безопасности — WPA (Wi-Fi Protected Access). Главной особенностью этого стандарта является технология динамической генерации ключей шифрования данных, построенная на базе протокола TKIP (Temporal Key Integrity Protocol), представляющего собой дальнейшее развитие алгоритма шифрования RC 4. По протоколу TKIP сетевые устройства работают с 48-битовым вектором инициализации (в отличие от 24-битового вектора WEP) и реализуют правила изменения последовательности его битов, что исключает повторное использование ключей. В протоколе TKIP предусмотрена генерация нового 128-битного ключа для каждого передаваемого пакета. Кроме того, контрольные криптографические суммы в WPA рассчитываются по новому методу под названием MIC (Message Integrity Code).

Кроме того, протокол WPA поддерживает шифрование по стандарту AES (Advanced Encryption Standard), то есть по усовершенствованному стандарту шифрования, который отличается более стойким криптоалгоритмом, чем это реализовано в протоколах WEP и TKIP.

Фильтрация MAC-адресов

Фильтрация MAC-адресов, которая поддерживается всеми современными точками доступа и беспроводными маршрутизаторами, хотя и не является составной частью стандарта 802.11, тем нее менее, как считается, позволяет повысить уровень безопасности беспроводной сети. Для реализации данной функции в настройках точки доступа создаётся таблица MAC-адресов беспроводных адаптеров клиентов, авторизованных для работы в данной сети.

Режим скрытого идентификатора сети SSID

Ещё одна мера предосторожности, которую часто используют в беспроводных сетях – это режим скрытого идентификатора сети. Каждой беспроводной сети назначается свой уникальный идентификатор (SSID), который представляет собой название сети. Когда пользователь пытается войти в сеть, то драйвер беспроводного адаптера, прежде всего, сканирует эфир на наличие в ней беспроводных сетей. При использовании режима скрытого идентификатора (как правило, этот режим называется Hide SSID) сеть не отображается в списке доступных, и подключиться к ней можно только в том случае, если, во-первых, точно известен её SSID, и, во-вторых, заранее создан профиль подключения к этой сети.

2.3 Понятие аутентификации

Идентификатор пользователя – некоторое уникальное количество информации, позволяющее различать удаленных пользователей (имя учетной записи, имя пользователя, логин)