Защита от злоумышленника. Западная статистика показывает, что, как правило, проникновению злоумышленника в информационную систему компании способствуют либо некорректные действия администратора сети, либо умышленная или неумышленная помощь со стороны сотрудников. Причем в качестве предателя интересов компании в подавляющем большинстве случаев выступает ни кто иной, как представитель высшего эшелона власти.
Последнее вполне объяснимо топ-менеджер имеет широкий доступ к информации, понимает ее ценность и обладает достаточным кругом общения, для того чтобы ее продать. Подтверждается старинная русская пословица От своего вора не убережешься. Противодействовать утечке информации через такие каналы позволяют, в первую очередь, организационно-режимные мероприятия в том числе ограничение доступа к информации, о которых будет сказано ниже. Что же касается устойчивости к нападениям извне, то, согласно Оранжевой книге Министерства обороны США, программное обеспечение может относиться к одному из следующих классов класс D - защита отсутствует, пользователь имеет неограниченный доступ ко всем ресурсам.
К этому классу относятся операционные системы типа MS-DOS класс C, наиболее популярный подкласс - C2. Доступ с паролем и именем. При работе с базой данных класса С пользователь, получив доступ к той или иной таблице базы, получает и доступ ко всем имеющимся в ней данным.
К этому классу относится большинство сетевых операционных систем класс B, наиболее употребительный подкласс - B1. Базы данных класса В позволяют дифференцировать доступ к данным для разных пользователей даже внутри одной таблицы. Улучшенные с точки зрения безопасности реализации стандартных операционных систем производят многие фирмы DEC, Hewlett-Packard, Santa Cruz Operations, Sun класс А - наиболее защищенные операционные системы, которые российские системные интеграторы рекомендуют использовать только при построении сетевой защиты от внешнего мира создании брандмауэра. Надо заметить, что вероятность несанкционированного входа в систему возрастает при ее перегрузках, которые возникают, например, при массовом подключении к ней пользователей в начале рабочего дня. Хакеры иногда создают сходную ситуацию, направляя в систему поток сообщений, которые она не в состоянии корректно обработать.
В результате создается открытый канал, через который возможен несанкционированный доступ.
Таким образом, наличие брандмауэра как средства, предоставляющего более высокую степень защиты, оказывается вполне оправданным. На фоне массового подключения к Internet брандмауэры начали устанавливать и российские компании. По оценкам специалистов компании ЛВС , в России пользуются спросом сравнительно недорогие машины стоимостью около 5 тыс. дол. с операционной системой UNIX, сертифицированной по классу С2. СУБД также предоставляют определенный уровень защиты, позволяя разграничить доступ к данным для разных категорий пользователей.
Во-первых, информацию, доступную разным классам пользователей, можно хранить в разных таблицах. Во-вторых, содержащуюся в таблице информацию пользователь может получать через некоторое промежуточное представление, или вид, охватывающий лишь определенную часть таблицы скажем, три колонки из пяти. В-третьих, можно ограничить права на выполнение отдельных модулей, время использования центрального процессора, число физических считываний с диска за определенный промежуток времени.
Таким образом, возможны ситуации, когда любой запрос пользователя обрабатывается, но очень медленно. Серверы обладают различными встроенными средствами защиты - защитой от выключения питания двухуровневой системой паролей для пользователя и системного администратора, реализованной средствами BIOS паролями на съемные компоненты диски блокировкой клавиатуры гашением монитора.
Однако сами по себе оборудование и ПО не в состоянии обеспечить защиту данных. Система безопасности должна быть грамотно настроена, что обуславливает особые требования к квалификации системного администратора. Конфигурирование операционной системы класса С2 представляет собой сложную задачу. Кроме того, технические меры необходимо дополнять рядом организационно- режимных мероприятий ограничением доступа на предприятие и в различные его подразделения выделением специальных устройств для работы с секретной информацией человек, имеющий доступ к закрытой информации, не сможет выводить свои данные на сетевой принтер регулярной сменой паролей и наложением административных санкций за их разглашение или уход с рабочего места без выхода из системы запретом на использование в качестве паролей имен, фамилий и других легко угадываемых слов. Большое значение для безопасности информационной системы имеют такие акции системного администратора, как своевременное обновление программного обеспечения.
Как правило, при выходе новой версии немедленно становится общедоступной информация об ошибках предыдущей в том числе о недостатках системы защиты. Если обновление не было вовремя произведено, вероятность взлома системы многократно возрастает.
Впрочем, иногда возникают и противоположные ситуации. В качестве примера можно упомянуть операционную систему Microsoft Windows NT 3.5, которая сертифицирована по стандарту безопасности С2. Однако следующая версия, Windows NT 3.51, ни по какому стандарту безопасности не сертифицирована.
Следовательно, системный администратор, сменивший 3.5 на старшую 3.51, взял на себя ответственность за безопасность бизнеса фирмы. Только сообщить об этом руководству он, скорее всего, забыл. При соблюдении всех правил конфигурирования программного обеспечения и проведения административных мероприятий вероятность несанкционированного доступа к информации значительно снижается. Штатные возможности программного обеспечения могут быть дополнены рядом технических средств смарт-картами, магнитными ключами, использованием интеллектуального оборудования, например концентраторов с защитой на порт, структуризацией локальной сети с ограничением прав доступа к ее отдельным сегментам и специальными программами мониторинга и защиты сетей.
В частности, фирма АйТи рекомендует своим клиентам программу SecretNet производства российской компании ИнформЗащита.