Ресурсы для предупреждения нарушений безопасности
Конфиденциальность, т. е. обеспечение скрытности или секретности, - одна из главных практических целей информационной безопасности.
Как правило, с информацией могут несанкционированно ознакомиться в трех местах:
- там, где она хранится (на компьютерных системах);
- там, где она передается (в сети);
- там, где хранятся резервные копии.
В первом случае для защиты используются права доступа к файлам, списки управления доступом и/или аналогичные механизмы. В последнем возможно физическое ограничение доступа. И во всех случаях помощь способны оказать криптографические средства.
Обычно мы принимаем на веру, что в заголовке электронного сообщения отправитель указан правильно. Заголовок, однако, нетрудно подделать. Аутентификация источника данных позволяет удостоверить подлинность отправителя сообщения или другого объекта.
Говорят, что информация находится в целостном состоянии, если она полна, корректна и не изменилась с момента последней проверки "цельности".
На целостность системной информации влияют многочисленные программно-технические и процедурные механизмы. Традиционные средства управления доступом обеспечивают контроль над тем, кто имеет доступ к системной информации. Необходимо также ограничение сетевого доступа. Дополнительно могут использоваться простые или криптографические контрольные суммы (имитовставки).
Широк спектр механизмов аутентификации. В простейшем случае в роли такового выступает системный администратор, заводящий новые пользовательские счета. На другом конце спектра находятся высокотехнологичные системы распознавания отпечатков пальцев и сканирования роговицы потенциальных пользователей. В некоторых системах для облегчения аутентификации применяются интеллектуальные карты. Здесь подлинность пользователя подтверждается обладанием определенным объектом.
Политика управления паролями важна для поддержания их секретности. Соответствующие процедуры могут варьироваться от эпизодических просьб или приказаний пользователю сменить пароль до активных попыток этот пароль подобрать с последующим информированием владельца о легкости выполнения данного действия.
Другая часть политики управления описывает, кто может распространять пароли.
Некоторые системы программным образом вынуждают пользователей регулярно менять пароли. Компонентом многих из них является генератор паролей.
Конфигурационное управление, которое обычно применяют в процессе разработки программного обеспечения, полезно и на этапе эксплуатации. Поскольку довольно часто системные программы предназначены для проведения в жизнь политики безопасности, необходима уверенность в их корректности.
Конфигурационное управление разумно применять и к физическому конфигурированию аппаратуры.
Иногда (например, на экранирующих системах) для противостояния стандартным атакам полезно ввести в конфигурацию небольшие нестандартности, в число которых могут входить оригинальный алгоритм шифрования паролей, необычное расположение конфигурационных файлов, а также переписанные или функционально ограниченные системные команды.
Проверки безопасности (контроль защищенности) - важная часть функционирования любой компьютерной среды. Элементом таких проверок должна стать ревизия политики безопасности и защитных механизмов, используемых для ее реализации.
Периодически нужно проводить плановые учения, чтобы проверить, адекватны ли выбранные процедуры безопасности предполагаемым угрозам.
В процессе проверок необходимо с максимальной тщательностью подбирать тесты политики безопасности, четко определить, что тестируется, как проводится тестирование и какие результаты ожидаются. Все это нужно документировать, включить в основной текст политики безопасности или издать в качестве дополнения.
Важно протестировать все аспекты политики безопасности, процедурные и программно-технические, с упором на автоматизированные механизмы проведения политики в жизнь. Должна быть уверенность в полноте тестирования каждого средства защиты.