1. ĮVADAS
Saugumas, be abejonės, prioritetinė kryptis, kai kalbama apie duomenų aprūpinimą ne privačiuose kompiuteriniuose tinkluose – ypatingai internete. Šis dėmesys saugumui yra suprantamas ir reikšmingas. Neautorizuotas priėjimas prie duomenų gali pridaryti labai svarbių ir didelių finansinių nuostolių, praradimas vertingos informacijos apie klientų įrašus ar slaptų dokumentų.
Duomenų apsauga turi būti vykdoma dviem pagrindinėm kryptim:
1. duomenų apsauga nuo nesankcionuotų prisijungimų per kompiuterių tinklus, tem tarpe ir internetą;
2. fizinė duomenų apsauga, kai duomenys gali būti prieinami nesinaudojant ar net nesat kompiuterinio ryšio su duomenų šaltiniu
Šiame referate pabandžiau surasti šiek tiek informacijos apie tokias apsaugos priemones. Didžioji dalis informacijos paimta iš interneto, ir norint garantuoti jos teisingumą aišku reiktų būti specialistu šioje srityje. Visa pateikta medžiaga yra grynai susipažinimui su tomis priemonėmis, būdais, principais. Daugiau panašios informacijos galima rasti įvairiose knygose, moksliniuose straipsniuose, įvairių firmų interneto svetainėse ir pan.
Verta pastebėti ir tai, kad referate daugiau dėmesio yra skirta duomenų apsaugai kompiuterinio tinklo lygmenyje, nes fizinė apsauga kai kuriais atvejais realizuojama paprasčiau, pavyzdžiui, į darbinių stočių patalpas neįleidžiami asmenys neturintys tam leidimo. Kontrolę pastaruoju atveju gali atlikti apsaugos darbuotojai. Tačiau net ir tokiais atvejais būtina naudoti dar bent viena apsaugos būda, pavyzdžiui, vartotojo identifikaciją pagal vardą ir slaptažodį, nes gali pasitaikyti ir nesąžiningų apsaugos darbuotojų, specialiai praleidžiančių nepageidautinus asmenis ir pan.
2. KOMPIUTERINIŲ TINKLŲ APSAUGOS PRIEMONĖS
Duomenų centrai turėjo ryškią fizinę apsaugą, įvairios programos reikalavo griežtos autentifikacijos, tačiau tinklų saugumui buvo skirta labai mažai dėmesio. Faktas yra tas, kad tn3270(E) pramoninis standartas, naudojamas šiuolaikiniuose TCP/IP tinkluose, formaliai neužtikrina “nuo pradžios iki galo” (end-to-end) duomenų užkodavimo. Panašiai ir Microsoft kompanijos “SNA Server”, vienas iš populiariausių SNA vartų (gateway) realizuojant PC/darbo vietų priėjimo prie mazgų (host) per lokalius/globalius tinklus neturįs jokios funkcijos, kad užtikrintų duomenų saugumą “nuo pradžios iki galo” (end-to-end). Praeityje tinklų saugumas nebuvo svarbus. Atitinkamai buvo skiriama tam mažai lėšų, kadangi IBM mazgai, taip vadinami SNA tinklai, buvo tik maži privatūs tinklai.
Privatūs tinklai, suprantama, buvo saugūs nuo smalsių akių, ypač jei buvo sujungta nuomojamomis linijomis (“leased lines”). SNA privatūs tinklai, net kai buvo prijungti prie plačiai komutuojamų tinklų, kaip Frame Relay ar X.25 buvo laikomi, kaip pakankamai saugūs tinklai, nes šį servisą tiekė gerą vardą turinčios kompanijos kaip AT&T, MCI, Sprint. Tačiau praėjus šiek tiek laiko vis daugiau ir daugiau kompiuterių buvo prijungiami prie lokalių ir globalių tinklų, kurie tarpusavį “šnekėjosi” priimtais, standartais – dažniausiai TCP/IP. Tada ir išryškėjo pirmosios saugumo spragos. Staiga duomenų srautas tarp didelių serverių (mainframes ar AS/400s) tapo nesaugus ir nekonfidencialus, netgi jei tai buvo bankomatų PIN kodai ir kreditinių kortelių numeriai, komercinės transakcijos, B2B e-biznio sandėriai. Duomenys keliavo per nesaugius tinklus “aiškiu tekstu”. Nesąžiningi veikėjai galėjo lengvai perimti svarbią informaciją, naudodami jau gatavas ir nesunkiai gaunamas programas vadinamas “network sniffers”. Augantis populiarumas interneto kaip strateginė priemonė bendram prisijungimui prie pagrindinių galingų serverių (Mainframes), naudojant vartotojo identifikavimo vardą ir slaptažodį prie esamų servisų tapo pavojingas, kadangi bet kas galėjo perimti šią informaciją. Vis labiau ir labiau imta rūpintis saugumu. Dabar tam skiriama daug lėšų. Tačiau ši problema vis dar egzistuoja [1].
2.1. Ugniasienės
Ugniasienė yra sistema ar sistemų grupė, kuri kontroliuoja duomenų apsikeitimą tarp dviejų tinklų. Ugniasienę galima interpretuoti labai įvairiai, bet pats tinkamiausias apibūdinimas būtų toks: ugniasienė yra mechanizmų pora, kurių vienas blokuoja informacijos srautą, o kitas informacijos srautą praleidžia. Todėl vienos ugniasienes daugiau blokuoja informacijos srautą, kitos daugiau praleidžia. Bet visų svarbiausia yra suprasti, kad ugniasienė yra įrankis kontroliuotis duomenų apsikeitimą. Jei yra nežinoma, kuriuos duomenis norima praleisti, o kuriuos ne, tada ugniasienė nepadės. Taip pat svarbu suprasti, kad ugniasienė yra valdoma, galima nustatyti apribojimus ir leidimus. Todėl administratoriams, kuriu žinioje yra kompiuteriai ir darbinės stotys, tenka didele atsakomybė.
2.1.1. Kam reikia ugniasienės?
Internetas, kaip ir bet kuri kita visuomenė, turi savo tarpe piktadarių, kurie mėgaujasi dažais tepliodami pastatų sienas, darkydami pašto dėžutes ar gadindami automobilius – visa tai nesvetima ir elektronikos pasauliui. Vieni žmones naudojasi internetu darydami įvairius darbus ir ieškodami ten informacijos, kiti – saugo naudingus duomenis, naudojasi elektroninių paštu ir pan. Šiuo atveju ugniasienės paskirtis yra neleisti tokiems piktadariams trikdyti darbo, vogti ar kitaip gadinti vartotojų duomenis.
Daugelis vidutinių firmų, organizacijų ir duomenų centrų turi savo saugumo politika, kuri nustato duomenų apsaugos lygį ir reikalavimus.
Dažniausiai yra sunku organizuoti saugumo politika didelėse įstaigose, tokiais atvejais svarbiausia būna geras administravimas, kuriam nesant apsaugos įrenginiai tampa mažiau veiksmingi, pvz. ugniasienė. Tik geras administravimas lemia kaip efektyviai ji dirbs, ar patenkins įstaigos poreikius, užtikrins darbo ir duomenų saugumą.
Ugniasienės vaidmuo – firmos ambasadorė – atstovė internete. Daugelis organizacijų ugniasienių sistemą naudoja kaip vietą laikyti viešą informaciją apie firmos produktus ir paslaugas, bylas parsisiuntimui ir t.t.
2.1.2. Nuo ko gali apsaugoti ugniasienė?
Kai kurios ugniasienės praleidžia tik elektroninius laiškus, taip apsaugodamos tinklą nuo bet kokiu atakų, kitos, atvirkščiai, kaip tik nepraleidžia elektroninių laiškų, dar kitos teikia mažesnę apsaugą ir blokuoja tik tas paslaugas, kurios yra nepatikimos.
Dažniausiai ugniasienės yra suderintos taip, kad apsaugotų nuo nepatikimų interaktyvių prisijungimų iš “išorinio pasaulio“. Ji labiausiai padeda išvengti įsilaužėlių prisijungimo prie firmos kompiuterių tinklo, o tuo pačiu ir prie atskirų kompiuterių, duomenų bazių bei kitų darbinių stočių. Taigi, ugniasienė apsaugo, dažniau blokuoja informacijos srautą iš išorinių tinklų (WAN – wide area networks), tačiau leidžia vartotojams, esantiems viduje, laisvai bendrauti su išoriniais tinklais.
Ugniasienės gali atlikti svarbias prisijungimo (login) ir audito funkcijas, kitaip tariant, administratoriui pateikia suvestinę, kiek ir kokių duomenų buvo išsiųsta ir priimta, kiek ir iš kur buvo bandyta įsilaužti į sistemos vidų ir pan.
Tas pačias funkcijas galima atlikti ir vietiniame tinkle, nes pavojus duomenų saugumui yra ne tik išorėje, bet ir tinklo viduje. Todėl mažai kompanijų turi tik išorines ir neturi vidinės apsaugos sistemų.
2.1.3. Nuo ko negali apsaugoti ugniasienė?
Ugniasienė negali apsaugoti nuo atakų, kurios apeina ją. Daug firmų, kurios turi ryši su internetu, yra labai susirūpinusios duomenų nutekėjimu iš firmos per tinklus. Deja, jiems norint saugiai keistis duomenimis yra tik vienintelis būdas – magnetiniai įrenginiai. Daug organizacijų, kurios buvo prijungtos prie interneto, net dabar nenutuokia kaip apsaugoti ryšį per modemą. Daug organizacijų perka brangias ugniasienes kai kurioms mašinoms, bet per daug nesirūpina kitokio pobūdžio saugumu (pavyzdžiui, reguliariu slaptažodžių keitimu ir pan.). Sudarant saugumo politiką reikia rūpintis visu tinklu, o ne atskiromis dalimis. Taip pat reikėtų gerai apgalvoti kuriuos mazgus jungti prie tinklo, kuriu ne. Pavyzdžiui, dali tinklo mazgų, saugančiu labai slaptus duomenis, nereikia jungti prie tinklo per ugniasienes, jie turėtų būti atskirti nuo firmos tinklo. Prie tokų mazgų turėtų būti atliekama ypatingai griežta kontrolė.
Dar vienas dalykas nuo ko negali apsaugoti ugniasienė – informacijos nutekėjimas organizacijos tinklo viduje. Kol industrinis šnipas bandys atsisiųsti slaptos informacijos per ugniasienę, tinklo viduje esantis asmuo galės ramiai tuos duomenis perduoti telefonu, fakso įrenginiu ar įrašęs į diskeli ar kitokį informacijos kaupiklį. Diskelių panaudojimas ir yra populiariausia priemonė duomenims “nutekėti”. Ugniasienės taip pat negali apsaugoti nuo kvailumo. Įsilaužėlis gali be didesnio vargo įsibrauti i jūsų tinklą ir praeiti pro ugniasienę, jei jis ras “paslaugų” darbuotoją, kuris, apgautas, duos įsilaužėliui slaptažodžius.
Išvada: firmos duomenų saugumas priklauso nuo firmos vadovavimo ir administravimo. Jei jų nebus, nepadės ir ugniasienės. Firmos duomenų apsaugos politika ir administratoriaus prižiūrinčio firmos tinklą kvalifikacija ir žinios gali užtikrinti tikrai gerą apsaugą nuo svarbios informacijos praradimo. Žinoma, tokiais atvejais duomenų apsaugai reikia skirti ir atitinkamas lėšas. Kokio dydžio turi būti investicijos į duomenų apsaugą reiktų spręsti pagal informacijos, esančios tame tinkle, svarbą ir nuostolių dydį, kuriuos patirtų įmonė jei tie duomenys būtų prarasti ar patektų į kitų rankas.
Ar ugniasienė gali apsaugoti nuo virusu?
Ugniasienės ne visada apsaugo nuo virusų, nes siunčiant duomenis tinklu yra tiek daug įvairių būdų užkoduoti dvejetaines bylas, o taip pat daug skirtingu virusų rūšių, kurių ugniasienė nesugeba ištirti. Kitaip sakant, ugniasienė negali garantuoti geros apsaugos nuo virusų, be to dažniausiai ugniasienės paskirtis visai ne tokia. Pavyzdžiui, ugniasienė negali apsaugoti jei vartotojas gauna elektronini laišką, kuriame yra virusas. Nuo virusų plintančių elektroniniu paštu geriau apsaugo specialios antivirusinės programos vartotojo kompiuteryje o dar geriau elektroninio pašto darbinėje stotyje (serveryje).
Organizacijos, kurioms rūpi savo duomenis apsaugoti nuo virusų turėtų įsigyti antivirusines programas ir jas pastoviai atnaujinti. Naudodami tokias programas kartu su ugniasiene, duomenys bus apsaugoti visapusiškiau, nes kai kurios ugniasienes gali apsaugoti nuo virusu, bet tik nuo tu, kurie ateina į tinklą internetu nekoduotos. Antivirusinė programa prisidės prie saugumo, aptikdama virusus patenkančius kitais keliais: elektroniniu paštu, plintančius vidiniu tinklu, atnešami diskeliais ar kitomis išorinėmis duomenų laikmenomis. Iš išoriniu laikmenų i kompiuterį ypatingai dažnai patenka virusai, tokiais atvejais ugniasienė visiškai padėti negali, nebent tai būtų „trojos arklio“ tipo virusas, kuris bandys atidaryti išėjimą į išorinį tinklą, ugniasienė gali tai užblokuoti, ir virusas tampa bejėgis.
Kad ir kokia butų gera ugniasienė, ji niekad neatstos jautrios antivirusinės programos. Todėl neverta būti naiviems ir pasitikėti pardavėju iš didelės tarptautines kompanijos ar naudoti elektroninio pašto programą, nes ją naudoja „visi“. Dažniausiai „visuotinės“ pašto programos, kurias didelė kompanija padarė „visiems lengvas naudotis“, būna vienos iš nesaugiausių programų, vien dėl to, kad jas lengva perprasti, o tuo pačiu ir „nulaužti“.
2.2. Proxy darbo stotys (serveriai)
Proxy serveriai gyvuoja nuo pat interneto atsiradimo laikų. Basivystant informacinėm technologijoms ir internetui šiek tiek pasikeitė proxy serverių paskirtis ir požiūris į juos. Iš pradžių proxy serveriai buvo tik didelėse organizacijose, o dabar jie yra beveik visur – nuo mažu verslo įmonių iki namu kompiuterių. Natūraliai kyla klausimas – kodėl taip yra. Atsakymas gan paprastas – internetas yra pavojinga erdve, kuriame pilna pavojingu dalyku, tokiu kaip hakeriai, virusai ir pan. Tačiau pagrindinė geroji interneto pusė yra ta, kad ten gausu įvairios ir reikalingos informacijos, pavyzdžiui, informacija apie įvairių firmų paslaugas ir gaminius, mokslinė informacija ir t. t. Taigi viena iš proxy serverių paskirčių – ugniasienė.
Schematiškai proxy serverio vieta yra tarp kliento programos (dažniausiai tai paprasčiausia interneto naršyklė) ir išorinio serverio (duomenų ar internetinių puslapių). Proxy serveris gali stebėti ir kontroliuoti visą duomenų perdavimą ir užklausas tarp išorinio serverio ir kliento kompiuterio. Tokia pozicija leidžia proxy serveriui vykdyti tris pagrindines funkcijas: užklausų filtravimą, išplėstinį sujungimą ir išorinio ryšio kanalo srauto mažinimą (filtering requests, improving performance, and sharing connections).
Užklausų filtravimas yra duomenų apsaugos funkcija, tai yra rimta priežastis turėti proxy serveri. Proxy serveris gali stebėti visą duomenų judėjimą (tiek į vieną tiek į kitą pusę) per internetinį sujungimą ir nustatyti, kas gali būti pavojinga ir uždrausta perdavimui, priėmimui ar peržiūrai. Kadangi proxy serveris kontroliuoja abipusį internetinio srauto judėjimą, tai jis gali uždrausti vartotojams pasiekti nepageidaujamą interneto puslapį, o taip pat neprileisti nepageidautinų klientu į vidinį tinklą. Proxy serveris daugumoje atvejų reikalauja vartotojus identifikuotis ir tik tada suteikia praėjimą prie reikiamso informacijos ar internetinio puslapio. Kadangi proxy serveris kontroliuoja abipusį judėjimą, tai jis gali fiksuoti visus vartotojų veiksmus. Pavyzdžiui, HTTP protokolo atveju gali fiksuoti visus internetinius adresus (URL), FTP gali kontroliuoti visus bylų siuntimus, taip pat jis gali kontroliuoti duomenų perdavimą nuo nepageidaujamu žodžių bei aptikinėti virusus. Akivaizdu, kad proxy serverio dalis funkcijų turi būti skirta kontroliuoti ir filtruoti interneto duomenų judėjimą.
Kita proxy serveriu funkcija – laikinas duomenų saugojimas. Ypač tai aktualu peržiūrint internetinius puslapius. Kai per proxy serverį pajungiama daug vartotoju ir jie turi tikslą kasdien skaityti tą pačią informacija (pavyzdžiui,. įmonės internetinius puslapius, naujienas), tai proxy serveris gali atsiminti ta informacija ir prireikus greitai pateikti vartotojui lokaliniame tinkle. Tada nėra poreikio iš naujo krauti ta pačią informacija iš nutolusio serverio. Tuo pačiu labai sumažinamas internetinio ryšio kanalo apkrovimas.
Kai kurie proxy serveriai, ypač nedidelių įmonių, leidžia naudoti tik viena prisijungimą prie interneto ir dalyti ji visiems įmonės vartotojams. Tokiu būdu sumažinamos išlaidos ryšiui. Vartotojai gali keistis informacija, neišeidami į išorinį tinklą, pvz. – elektroniniai laiškai gali buti siuntinėjami tik organizacijos viduje.
Ypač didelis proxy serveriu vaidmuo organizacijos duomenų apsaugos sistemoje. Jis gali atlikti tokias duomenų apsaugos funkcijas:
• ugniasienės,
• virusų paieškos,
• vidinio tinklo apsaugos nuo nesankcionuotų prisijungimų,
Proxy serverio pasirinkimas nėra lengvas uždavinys, nes internete jų yra nemažai. 1 lentelėje išvardinti kai kurie proxy serveriai.
1 lentelė. Kai kurie proxy serveriai
Pavadinimas Balai Kaina $ Adresas parsisiuntimui
1 2 3 4
602Pro LAN Suite 9 200 http://www.software602.com/download/index.html
Avirt Gateway 6 140 – 500 http://www.avirt.com/download//gate42.exe
Avirt Soho 6 60 http://www.avirt.com/download/index.html
1 2 3 4
BrowseGate 7 2, 4 – 90 http://www.netcplus.com/downlds.htm – bg3download
CSM Proxy Server 8 400 http://www.csm-usa.com/product/download.htm
CSM Proxy Server Plus 8 700 http://www.csm-usa.com/product/download.htm
CSM Proxy Server Enterprise 8 1000 http://www.csm-usa.com/product/download.htm
EServ 10 110 –250 http://www.etype.net/eserv/download
Internet Gateway 10 150 –180 http://www.vicomsoft.com/index.html?page=http://www.vicomsoft.com/support/appnotes/vig.history.win.html – 702*track=internal
Microsoft ISA Server 8 750 –1500 http://www.microsoft.com/isaserver/downloads/evaluationedition.asp
Microsoft Proxy Serve 10 1000 –500 http://microsoft.com/proxy/downloads/proxy2.asp
MidPoint Companion 10 180 http://www.midpoint.com/dloadmp/dloadmp4.htm
Netscape Proxy Server 10 500 http://www.iplanet.com/downloads/testdrive/detail_14_13.html
Proxy-Pro GateKeepe 7 40 –400 http://www.proxy-pro.com/professional/Download.htm
RideWay PN 5 0 – 450 http://www.itserv.com/download.html
SoftRouter Plus 10 150 –400 http://www.vicomsoft.com/softrouter/sfr.demo.html
Spaghetti Proxy Server 8 50 –
Squid Internet Object Cache 9 Nemokama http://www.squid-cache.org/Versions/v2/2.4/squid-2.4.STABLE2-src.tar.gz
SyGate 8 40 –300 http://www.sybergen.com/cgi-bin/trial.cgi
Trumpet FireSock 6 60 – 150 http://www.trumpet.com/downloads.html
VOPRadius 8 500 – 3000 http://www.vircom.com/downloads/index.htm
Kokį proxy serverį pasirinkti konkrečiu atveju pasakyti sunku. Pirmiausiai, galbūt, reiktų atkreipti dėmesį į poreikius, t. y. į tai kokiais funkcijas jis turės atlikti tinkle. Taip pat verta pasidomėti kokius serverius naudoja kiti, paskaitinėti atsiliepimus apie vieną ar kita ir pan.
2.3. Virtualių privačių tinklų (VPT) technologija
VPT (virtualus privatus tinklas) yra įmonės tinklas, kuris eina per viešuosius tinklus, tokius kaip internetas. Šis tinklas yra privatus ir saugus ryšys einantis per nesaugius, nepatikimus tinklus bei turintis geografiškai išsibarsčiusius vartotojus, klientus ar verslo partnerius. VPT taikomi tie patys saugumo ir valdymo politikos principai, kaip ir privačiame tinkle. VPT duomenys transportuoti naudoja internetą, Frame Relay ir ATM tinklus.
Kuo skiriasi privatus tinklas nuo virtualaus privataus tinklo? Privatus tinklas naudoja savo linijas, o virtualus privatus tinklas sukuria saugu užšifruotą tunelį tarp dviejų nutolusių taškų. Duomenys eina per viešą tinklą – internetą.
1 pav. VPT struktūra
Pagrindinis VPT technologijos privalumas yra tai, kad taupomos lėšos, privataus tinklo linijos taupymas ir telefono sąskaitų sumažėjimas. Ne ką menkesnis VPT privalumas yra ir saugumas. VPT technologija suteikia galimybę saugiai perduoti slaptus duomenis iš vieno privataus tinklo į kitą per nesaugų viešąjį tinklą – internetą. VPT pasižymi nesudėtingu administravimu ir pigiomis tinklo praplėtimo galimybėmis.
VPT produktai gali būti skirstomi i tris grupes:
Ugniasienė. Ji užtikrina privataus tinklo saugumą ir atlieka tokias funkcijas:
1. adresu transliacija (NAT);
2. fiksuoja visus bandymus patekti i privatu tinkla;
3. realaus laiko „signalizacija“;
4. pakankamai gerus autorizacijos reikalavimus.
VPT technine iranga – atlieka pagrindines funkcijas su VPT duomenimis. Tai dažniausiai būna duomenų šifravimo maršrutizatorius. Kadangi programinės įrangos juose nėra, tai nereikalingas būna ir procesorius. Techninė įranga atsakinga už duomenų perdavimą per „tunelius“. Geriausiuose techninės įrangos komplektuose būna ir programinė įranga, bet ji skirta tik valdyti prietaisą nuotoliniu būdu.
VPT programinės įrangos paketas – suteikia lanksčias galimybes kontroliuoti duomenų judėjimą.
2.3.1. VPT atliekamos funkcijos
VPT atlieka tokias pagrindines funkcijas:
• Vartotoju identifikacija. Prie VPN tinklo gali prisijungti tik tam teises turintys vartotojai. Ši funkcija turi fiksuoti visus įvykius: nesėkmingus bandymus prisiregistruoti, kas ir kokią informaciją naudojosi tam tikru laiku.
• Adresų valdymas. Ši funkcija turi paskirti vartotojui adresą VPN tinkle ir užtikrinti, kad adresas butų apsaugotas.
• Duomenų šifravimas. Duomenys, einantys viešuoju tinklu, turi būti neprieinami, neturintiems teises.
• Raktu valdymas. Šis sprendimas turi generuoti ir atnaujinti kriptografinius raktus klientui ir serveriui.
• Kelių protokolų palaikymas. Šis sprendimas turi valdyti bendrus protokolus (IP, IPX ir t.t.).
2.3.2. VPT panaudojimo galimybes
VPT technologija suteikia galimybe imones tinklui saugiai dalintis informacija su ofiso padaliniais, mobiliais vartotojais, namu vartotojais ir verslo partneriais. VPT pagal panaudojimo galimybes gali buti skirstoma i tris kategorijas:
• Intraneto VPT sujungia pastovios geografinės padėties, įmonės padalinius, namų biurus.
• Ekstraneto VPT sujungia verslo partnerius, tiekėjus ir potencialius klientus.
• Distancinio priėjimo VPT sujungia mobilius vartotojus – darbuotojus.
2.3.3. VPT tinklo komponentai
Esminiai VPT elementai skirstomi į:
• Vartotoju kiekio ir geografines vietos dinamiškumas. Kiekvienas elementas dinamiškai keičiasi aplink VPT platforma. Įmonės padalinio vietos pasikeitimas ar įmonės plėtimasis. Tokių pasikeitimų pritaikymas prie besikeičiančiu sąlygų yra VPT pagrindinė problema, sprendimas.
• Apsauga. Tunelių sudarymas, duomenų šifravimas ir paketų identifikacija yra reikalingi saugiam duomenų perdavimui per viešuosius tinklus. Vartotojų identifikacija ir priėjimo kontrolė yra pagrindiniai uždaviniai sudarant tinklo politika, suteikiant privilegijas ir priėjimą prie tinklo resursų.
• VPN paslaugos. Tinklo srauto dalijimas, tinklo paketų, protokolų klasifikavimas ir valdymas.
• Kitos priemonės. Ugniasienės, įsilaužimo detektoriai, aktyvus apsaugos auditas – visapusiškam VPN perimetro saugumui.
• Valdymas. Nuolatinio saugumo ir tinklo srauto valdymo politika aplink VPT, tinklo monitoringas yra būtinas VPT sprendimas.
2.3.4. VPT veikimo principai
VPT technologijos koncepcija sutelkta į tarpininkavimą tarp privačiųjų ir viešųjų tinklų. Tarpinis įrenginys, pavyzdžiui, programinė, techninė įranga, arba jų kombinacija, dirba privataus tinklo naudai. Kai vietinė sistema siunčia duomenis nutolusiai tinklo sistemai, duomenys iš pradžių turi praeiti pro privataus tinklo apsaugos „šliuzą“ (angl. Gateway). Toliau keliauja viešaisiais tinklais kol praeina per distancinio tinklo apsaugota „šliuzą“ į nutolusio vartotojo sistemą. VPT apsaugo duomenis, užšifruodamas juos prieš siunčiant iš vieno privataus tinklo i kita, paversdamas juos i IP paketus. Pasiekus nutolusią sistemą duomenys iššifruojami.
VPT komponentu pagrindas yra šifravimas, kuris ir sudaro tokių tinklų saugumą. Tikslas yra apriboti priėjimą tam tikriems vartotojams ir sistemoms, užtikrinti, kad duomenys butu užšifruoti ir saugiai nukeliautu internetu taip, kad tik autorizuotas vartotojas ar sistema galėtų tuos duomenis priimti. Tam reikia „end-to-end“ paketų užšifravimo, t. y. viename gale duomenys užšifruojami ir išsiunčiami, kitame gale jie priimami ir iššifruojami. Technologija, kurioje naudojamas informacijos užkodavimas, bet lengvai prieinamas informacijos paketu pavadinimas, yra vadinamas tuneliavimu. Vieną kartą pajungta VPT sukuria ir atidaro saugų tunelį, kuriame informacija yra paversta į IP paketus ir užšifruota. Visi vartotojai yra autorizuoti.
2.3.5. VPT duomenų perdavimo eiga
Duomenys VPT perduodami tokia tvarka:
1. Kliento kompiuteris jungiasi per vietinį ISP (Interneto paslaugų tiekėjas) į internetą.
2. Speciali kliento programinė įranga nustato tikslą ir pradeda VPT sesija.
3. Užšifruoti paketai verčiami į IP paketus ir siunčiami tuneliu per internetą
4. VPT serveris atpažįsta ir priima VPT sesiją ir iššifruoja paketus.
5. Galiausiai iššifruotas informacijos srautas normaliai keliauja i kitus serverius.
2.3.6. VPT duomenų tuneliavimas
Tuneliavimas naudoja viešąją tinklinę terpe persiusti duomenis tarp dviejų privačių tinklu. Duomenys ir kita informacija, kuri perduodama tuneliu, gali būti kitu protokolų dalys. Tunelio protokolas duomenų paketus paslepia po papildoma antrašte, skirtingai nei kiti protokolai, kurie siunčia viska atvira forma. Papildomoje antraštėje yra maršruto informacija, kad duomenys būtų perduodami tinklu tiksliai iki gavėjo. Informacijos paketai perduodami per tinklą nuo tunelio pradžios iki pabaigos. Tunelis – tai loginis kelias, kurio informacijos vienetai keliauja viešuoju tinklu. Kai informacijos paketai pasiekia tikslą, jie yra priimami, iškoduojami ir perduodami iki galutinio tikslo jau privačiame tinkle. Tuneliavimas aprėpia informacijos paketų suskaidymą (užkodavimą), siuntimą ir priėmimą (iškodavimą).
2.3.7. VPT naudojami protokolai
IPSec – tai interneto Draft standartas (angl. Internet Draft Standard), kuris buvo sukurtas IETF (Engineering Task Force) darbo grupės, užtikrinantis saugų informacijos perdavimą per viešuosius IP tinklus.
IPSec yra 3 lygio protokolo standartas, kuris sujungia kelias skirtingas apsaugos technologijas, užtikrinančias konfidencialumą, vientisumą ir autentiškumą. IPSec protokolas realizuoja tinklo lygio šifravimą ir autentifikacija, naudodamas end-to-end tinklinės architektūros technologija.
IPSec naudoja:
• Diffie-Hellman raktų apsikeitimo technologiją gauti rakta tarp dviejų tašku viešame tinkle.
• Viešojo rakto kriptografiją garantuojančią dviejų pusių privatumą ir išvengti tarpininkavimo (man-in-the-middle) atakų.
• Duomenų šifravimo standartą (DES), duomenų šifravimui.
• Duomenų kodavimo algoritmus MD5, SHA.
• Skaitmeninius parašus, sertifikatus, patvirtinančius autentiškumą ir naudojamas kaip skaitmeninės identifikavimo kortelės.
IPSec palaiko du šifravimo režimus: transporto ir tunelio. Transporto režimas šifruoja tik pačius duomenis kiekviename pakete, bet palieka protokolo antraštę nešifruotą. Daug saugesnis tunelio režimo šifravimas, nes ten užšifruojamas visas paketas – tiek duomenys, tiek antraštė. Gavėjo pusėje yra IPSec serveris, skirtas duomenų atkodavimui. Toks serveris turi būti tiek pas siuntėja, tiek pas gavėją, serveriai turi dalintis viešaisiais raktais (public keys). Tai įgyvendinama pasitelkus protokolą Internet Security Association and Key Management Protocol (ISAKMP), kuris leidžia gavėjui gauti viešąjį rakta ir autentifikuoti siuntėją pasinaudojant skaitmeniniu parašu.
Paprastas IP paketas susideda iš neužšifruotų duomenų ir antraštės, kurie gali būti labai naudingi bandančiam įsilaužti. Antraštė nurodo paketo šaltinį ir gavėją, kurie yra reikalingi maršrutizavimui, bet pasitelkus antraštes suteikiamą informaciją, slaptus duomenis perimti nėra sunku, pasinaudojus tarpininko atakos principais. Todėl IPSec apsaugo tiek antraštę, tiek pačią informaciją. Kad apsaugoti antraštes naudojama antraštes autentifikacijos (angl. Authentification Header (AH)) skaitmenis parašas, kuris pažymi visus išeinančius paketus. Prie paketo antraštės ir turinio pridedama sumaišyta jų verte.
PPTP(Point-to-Point Tunneling Protocol) – šio protokolo kūrėjai yra didieji gamintojai tokie kaip US Robotics, Ascend Communications, 3Com/Primary Access, ECI Telematics ir Microsoft. Tačiau dauguma vartotojų naudoja Microsoft protokolo versiją. PPTP – tai antro lygio protokolas ir yra sukurtas iš populiaraus Internetinio PPP (Point-to-Point Protocol) ir TCP/IP (Transmission Control Protocol/Internet Protocol) protokolų. PPP palaiko kelis protokolus, turintis duomenų autentifikacijos, privatumo ir suspaudimo metodus. PPTP specialiai buvo sukurtas kaip duomenų apjungimo (angl. encapsulation) mechanizmas, perduodanti duomenis tik ne TCP/IP (non-TCP/IP) protokolais, tokiais kaip IPX ir Appletalk, per Internetą naudojant GRE (Generic Routing Encapsulation) technologiją. Ši technologija skirta apsaugoti TCP/IP srautą tarp Windows 95/98/NT klientų, prisijungusių prie interneto per PPP ir Windows NT serverius, esančius vietiniame tinkle, už ugniasienės. PPTP naudoja TCP sujungimą tunelio palaikymui ir GRE, apjungti PPP kadrus (angl. frames) tunelio duomenims. Tuneliavimas realizuotas PPTP pagalba, nes šis protokolas apjungia paketus, įdėdamas paketo informaciją (IP, IPX, ar NetBEUI) į IP paketo vidų, perdavimui per internetą. Pasiekęs gavėją išorinis IP paketas yra „nuimamas“, paliekant originalų paketą. Apjungimas (angl. encapsulation) leidžia transportuoti paketą, kuris be apjungimo negalėtų saugiai būti perduotas per internetą.
L2F (Layer 2 Forwarding). Ši technologija buvo pasiūlyta Cisco. L2F yra nepriklausomas 2 lygio tuneliavimo protokolas, pasiūlytas prie Cisco IOS programinės įrangos. Tai yra perdavimo protokolas, kuris leidžia serveriams besijungiantiems prie interneto naudojant modemą ir tą srautą pritaiko PPP protokolui. L2F protokolai fokusuojami sudaryti standartiškus tunelio mechanizmus nuorodų-lygio (angl.link-layer) kadrams (pvz. High-Level Data Link Control (HDLC), async PPP, SLIP, ar PPP ISDN) ar aukšto-lygio protokolų transportavimui. Paketai perduodami per WAN nuorodas į L2F serveri (ar maršrutizatorių), kur jie yra iškoduojami ir perduodami į tinklą. L2F priverstiniuose tuneliuose neturi apibrėžtų klientų ar funkcijų.
L2TP (Layer 2 Tunneling Protocol) – Antro lygio tuneliavimo protokolas. Microsoft ir Cisco sujunge PPTP ir L2F protokolų geriausias savybes, taip buvo sukurtas tuneliavimo standarto protokolas pavadintas L2TP. L2TP yra tinklo protokolas palengvinantis PPP kadrų tuneliavimą per viešąjį tinklą. Jis apjungia PPP kadrus siuntimui per IP, X25, Frame Relay ar ATM tinklus. Apjungtų PPP kadrų duomenys užšifruojami ir/arba suspaudžiami. L2Tp gali būti naudojamas tiesiai per įvairius WAN tinklus. L2TP naudoja UDP ir serija L2TP žinučių, tunelių palaikymui IP tipo tinkluose. L2TP leidžia daugialypius tunelius per tą patį abipusį ryšį.
L2TP susideda iš dviejų dalių: L2TP priėjimo koncentratorius (LAC – L2TP Access Concentrator) ir L2TP Tinklo Serverio (LNS – L2TP Network Server). LAC yra tarp LNS ir nuotolinės sistemos, LAC persiunčia paketus iš vieno į kitą (pvz. iš LNS į nuotolinę sistemą). LNS yra loginis PPP sesijos terminatorius, sesijos kuri sukurta LAC, iš nuotolinės sistemos.
2.4. DMZ arba kitaip „perimetras“
DMZ pilnas angliškas pavadinimas butu – „demilitarized zone“ (pavadinimas atsirado nuo Šiaures ir Pietų Korėjos sienos), lietuviškai – demilitarizuota zona (dar vadinama perimetras). Tai yra tinklo dalis, kuri nėra nei privataus, nei viešojo tinklų dalis, tai tinklas esantis tarp jų (2 pav.).
2 pav. Pav. Tinklas su DMZ
Savaime suprantama, kad DMZ priklauso vidiniam tinklui, nes į tą zoną statomas vidinio tinklo FTP ar HTTP serveris. Praktiškai ši zona būna tarp interneto maršrutizatorius ar ugniasienės ir saugomo vartotojo. Šis sprendimas realizuojamas ugniasienės, ji sukuria trečią tinklą. Taigi išoriniai klientai norintis patekti į jūsų interneto puslapį nebus įleidžiami į vidinį tinklą, o bus nukreipiami į DMZ zona (perimetrą). Tai palengvina tinklo administravimą, nes šiam perimetrui taikomi atskiri apsaugos politikos sprendimai. Taip pat sumažėja vidinio tinklo apkrovimas.
3. FIZINĖ DUOMENŲ APSAUGA
Fizinė duomenų apsauga nemažiau reikalinga nei apsauga nuo išorinių kompiuterinių tinklų, per kuriuos gali patekti įsilaužėliai. Pagrindinė to priežastis yra tai, kad galima fiziškai prieiti prie darbinių stočių ar duomenų bazių ir taip sunaikinti ar nukopijuoti vertingus duomenis. Tokiu būdu turi būti griežta tokio priėjimo kontrolė. Paprasčiausia priėjimo kontrolė yra naudojant prisijungimo vardą ir slaptažodį. Tačiau šiais laikais tai gali sudaryti nemenkų problemų.
Daugelis slaptažodžių reiškia kažką asmeniško (augintinio vardą, mėgstama patiekalą, ar vaiko „pravardę“), nes taip lengviau įsiminti jį, tačiau tuo pačiu lengviau jį atspėti ir kitiems. Jeigu slaptažodis nėra lengvai įsimenamas, tenka užsirašyti jį, o popierėlį laikyti netoli kompiuterio. Ar daug saugumo suteikia tokia apsauga?
Slaptažodžiai sukuria didžiulį eksploatacinį darbo krūvį, kadangi laikantis nustatytų apsaugos procedūrų juos tenka reguliariai keisti. Tinklo slaptažodžių nepatogumas didėlėms įmonėms kainuoja pinigus. „Foster Research“ atliktu tyrimu nustatyta, kad bendrovės, savo sistemas, pakeitusiais į tokias, kur slaptažodžiai nereikalingi sutaupo iki 200 JAV dol. personalo išlaidų.
Slaptažodžių alternatyva yra nuovokiosios kortelės (smart cards) – kredito kortelės dydžio tapatybės įrodymo žetonai, suteikiantys prieiga prie tinklo resursų. Tačiau jie turi savo trūkumų. Tokį žetoną galima pamesti ar palikti namuose – tuomet jūsų darbuotojui gali tekti gerokai patrypčioti prie tinklo „durų“, kol jas atvers, atskubėjęs padėti IT meistras. Pamestas ar pavogtas tapatybės žetonas – tai tinklo raktas, galintis patekti į blogas rankas ir pridaryti įmonei nemažai nuostolių. Tuo tarpu biometrija užtikrina, kad durys atsivers tik turintiems teisę pro jas įžengti.
3.1. Biometriniai raktai
Unikalias atpažinimo galimybes suteikia biometriniai raktai: pirštų atspaudai, rainelės arba balso atpažinimas. Žinoma esant ypatingiems atvejams naudojama kompleksinė apsauga, kai sujungiami keli apsaugos būdai, pavyzdžiui, slaptažodis ir pirštų atspaudas. Kartais kompleksinė apsauga nėra būtina, nors ji ir naudojama. Toliau paminėsime tokius apsaugos būdus kaip identifikaciją pagal pirštų atspaudus ar balsą.
3.1.1. Pirštų atspaudai
Įmonėms, siekiančiomis apsaugoti savo tinklus nuo įsilaužimų, vis dažniau į pagalba ateina pirštų atspaudų skaitytuvai, akies rainelės skeneriai, veido atpažinimo vaizdo kameros.
Biometrinės apsaugos priemonės taikomos vis plačiau. Ši technologija panaudojama užtikrinti deramą įrengimų priežiūrą, kontroliuoti fizinę prieigą. Pavyzdžiui, „Volto Disnėjaus pasaulyje“ metiniai lankytojų bilietai suteikiami pagal pirštų atspaudus tam, kad su vienu bilietu negalėtų pasinaudoti keletas žmonių.
Pažvelkime kaip biometrija galėtų įsitvirtinti kasdieniniame gyvenime. Siekdamos užkirsti neteisėtą on-line prieigą prie banko sąskaitų ar akcijų paketų. Stambios finansų įstaigos duoda savo klientams nemokamus pirštų atspaudų skaitytuvus, kuriais patikrinama kliento tapatybė, atliekant banko ir kapitalo operacijas internetu. Jau 2002 m. kai kurios bendrovės pradės leisti kredito korteles, kuriuose bus informacija apie kliento pirštų atspaudus. Be to, automatiniuose pinigų išdavimo aparatuose, kioskuose ir panašiuose įrengimuose atsiras balso ir veido skanavimo įranga. Kai tik technologija išlaikys bandymus, ją, be abejo, pasipuoš ir delniukai (PDA), korinio ryšio telefonai ir kt.
Bene pats didžiausias laukas, kuriame gali ypatingai būti naudinga biometrija, yra įmonių kompiuterių tinklų slaptažodžiais papildymas arba pakeitimas. Kodėl? Todėl, kad slaptažodį atspėti ir įsilaužti į sistemos vidų yra lengva, nes daugelio žmonių anglų kalbos bagažas neviršija 80 000 žodžių.
Biometrijos priemonės ypatingai praverčia kovoje su kompiuterių nusikaltimais. Kiekviena didelė korporacija gali tikėtis, jog taps tokio nusikaltimo taikiniu ne rečiau kaip porą kartų per keturis metus. 1999 m. Amerikos pramoninės apsaugos draugija (American Society of Industrial Security) tyrimais nustatė, kad „Fortuke“ tūkstantuko bendrovėms pavogta jų pačių informacija atnešė daugiau 45 mlrd. JAV dol. nuostolį.
Niujorke įsikūrusios biometrijos bandymų laboratorijos ir konsultantų organizacijos Tarptautinės Biometrijos grupės (IBG) atliktas bandymas rodo, kad baigiantis 2005–siems kiekviename kompiuteryje bus įrengtos ir biometrijos sistemos – viena, ar net keleta technologijų.
Pirmuose pirštų atspaudų skaitytuvuose tapatybei nustatyti buvo naudojami optiniai skeneriai. Tokio skaitytuvo sandara pavaizduota 3 pav. Kai ant specialia danga padengto skenerio plastikinio langelio padedamas pirštas, CCD matrica užfiksuoja piršto atspaudą kaip vaizdą, kurį sudaro tamsūs gūbriai ir šviesos lomos. Analoginio signalo konverteris į skaitmeninį šį atvaizdą paverčia skaitmeniniu signalu. Tuomet sistema asmenybės tapatybę patvirtina (paieška „vienas su vienu“) arba patikrina („vienas su daug“), panaudodama vartotojų duomenų bazę.
Kai kuriuose įtaisuose pirštų atspaudams nustatyti yra naudojama naujesnė silicio technologija. Šie talpiniai įtaisai, kurių jutikliai reaguoja į žmogaus kūno natūralų elektros krūvį, išmatuoja energijos potencialo skirtumą tarp piršto atspaudu gūbrių ir keterų. Pagal tai nustatoma ar pirštas yra gyvas ar ne.
Nė vienas įtaisas nefiksuoja faktinių pirštų atspaudų. Fiksuojamas atstumas tarp gūbrių, lomų ir tam tikras tinklelis, kurį sudaro piršto atspaudo linijose esantys taškai, sujungti tarpusavyje (angl. minutine). Užkodavus šia informaciją dauguma įtaisų ją perduoda į duomenų bazę palyginimui. [3]
3.1.2. Balso atpažinimo modulis “RAKTAS”
Žemiau pateikta informacija apie balso atpažinimo modulį „RAKTAS“ surasta internete [6], tačiau negalima garantuoti šios informacijos teisingumo. Visa tai pateikiama tik bendro principo, kaip galima pritaikyti balsą savininko atpažinimui.
Siūlomas automatinis kalbančiojo atpažinimo modulis “RAKTAS” buvo sukurtas, remiantis 25 metų patirtimi, kuriant automatines kalbos analizės ir sintezės bei kalbos požymių atpažinimo sistemas.
Modulio baziniai parametrai atitinka naujausius pasiekimus kalbos technologijų srityje. Šie rezultatai pasiekti, naudojantis šiuolaikiniais kalbos analizės, atpažinimo ir sprendimų priėmimo, atpažinimo, metodais.
Modulį “RAKTAS” sudaro dvi dalys: mokymo ir atpažinimo posistemės. Modulio mokymo kursas vienam vartotojui užtrunka vos 30 – 35 sekundes, jei naudojamasi slaptažodžio kartojimu 3 kartus. Vieno slaptažodžio frazės trukmė 2-3 sekundės. Slaptažodžio frazė gali būti pasakyta bet kokia kalba. Apmokymo rezultatų (vieno kalbančiojo balso 3 etalonų) saugojimui sunaudojama apie 30 kB atminties.
Atpažinimo stadijoje, kalbantysis ištaria slaptažodį į mikrofoną. Jei kalbantysis yra tas, kuo jis sakosi esąs, modulis jį atpažįsta ir išduoda leidimą (žinutę). Jei asmuo bando apgauti modulį, tai ji uždraudžia priėjimą prie kompiuterių tinklo ar duomenų bazės, arba įėjimą į patalpas. Atpažinimas užtrunka tik 2-3 sekundes.
Asmens balso atpažinimo modulis “RAKTAS” – tai aparatūros ir programinės įrangos kompleksas, kurį sudaro personalinis kompiuteris, mikrofonas, garso atkūrimo sistema (garso plokštė) ir programa.
Modulio “RAKTAS” kaip biometrinės sistemos panaudojimo sritys: apsauga nuo nesankcionuoto priėjimo prie duomenų bazių, kompiuterinių tinklų ar patekimo į saugomas patalpas: pastatus, biurus, cechus ir kitas saugomas patalpas. apsaugos
“RAKTAS” gali būti pritaikytas bankuose, dirbant su klientais telefonu.
“RAKTAS” kaip autonominis prietaisas gali būti naudojamas ir kaip “balso raktas” butams, garažams, automobiliams, seifams ir pan.
Speciali “RAKTO” panaudojimo sfera – kriminalistika. Programa, kartu su kitomis kalbančiojo identifikavimo sistemomis gali būti pritaikyta, kuriant automatizuotą asmens atpažinimo sistemą pagal balsą.
4. ISO 17799 STANDARTAS
Šis atnaujintas standartas aprašo bendrai pripažintas schemas, kurios padeda organizacijoms įdiegti duomenų apsaugos sistemas elektroninėje komercijoje, elektroninio pašto sistemose , o taip pat verslo vystyme internete.
ISO 17799 – pasaulyje garsus informacijos slaptumo valdymo standartas. Jis kompleksiškai modifikuotas pagal technologijos pakeitimus ir praktika, įtraukia kontrolės mechanizmus, kurie padeda organizacijoms apsisaugoti nuo virusų, įsilaužėlių, duomenų praradimo.
Patvirtinta schema duoda pagrindus organizacijoms įdiegti slaptumo priemones, kurios atitinka ISO 17799 standartą ir padeda pasiruošti auditui, kuris suteikia firmai pasitikėjimo partneriais, pirkėjais ir tiekėjais.
Augant elektroninei prekybai, ISO 17799 sertifikuotai įmonei leidžia sėkmingiau vystyti elektroninį verslą.
ISO 17799 standarto įdiegimas.
Standartas buvo sukurtas apsaugos ekspertams, dirbantiems verslo informacijos apsaugos sistemose. Taigi standartas skirtas verslui ir pritaikytas IT aplinkai. Sėkmingam standarto įgyvendinimui būtina atsižvelgti i dirbantį personalą – žmogiškąjį faktorių, nusistovėjusias organizacijos tradicijas, techniką, kultūrinę aplinka ir egzistuojančią verslo etika.
Esant didelei rizikai, vystyti elektronini verslą rekomenduojama standarto įgyvendinimui pasitelkti šios srities profesionalų darbuotoją.
Nuo ko pradėti? Pirmiausiai reikia suprasti duomenų apsaugos ir slaptumo svarbą. Kiekviena organizacija turi daug pavojų duomenų apsaugos srityse. Net 70% pavojų kyla iš pačios organizacijos vidaus. Kiti pavojai gali kilti iš įsilaužėlių, buvusių darbuotojų, rangovų, tiekėjų, konkurentų ir klientų.
Įdiegtas atsargumas yra pradžia informacijos apsaugos kultūroje. Aukščiausio rango pareigūnu mokymas apie duomenų apsaugos svarbą yra būtina sėkmingam duomenų apsaugos projekto įgyvendinimui.
Kaip ne kartą kalbėta, informacines technologijos ir internetas yra sudėtinga sritis bet kuriam žmogui. Geriausia išeitis – realus darbas ir mokymasis su šios srities specialistais. Darbo pradžia – turimo turto identifikacija. Akivaizdu, kad reikia žinoti ką reikia saugoti.
Kompanijos turtą galima klasifikuoti:
darbuotojai;
informacija: duomenų bazės ir bylos, dokumentacija;
programine įranga;
fizinis turtas: kompiuteriai, serveriai, maršrutizatoriai, ugniasienės;
kompanijos įvaizdis ir reputacija.
Toliau turtas dar gali būti klasifikuojamas į:
neklasifikuotas – prieinamas visiems, nėra būtinybes kontroliuoti ar įslaptinti;
bendrai valdomas (angl. shared) – prieinamas žmonių grupei ne iš organizacijos;
tik kompanijos – prieinamas tik kompanijos personalui;
konfidencialus – prieinamas tik daliai kompanijos dirbanciuju.
Tokia klasifikacija leidžia suprasti, ką reikia ir kaip reikia saugoti ir įslaptinti.
Techninis rizikos įvertinimas. Sekantis žingsnis – testavimas. Kokiais būdais įmanoma saugomą turtą paveikti. Tam reikalingi saugumo ekspertai, kurie įvairiais būdais ir testais patikrintų apsaugą. Tai leis suprasti turto apsaugos sistemos pažeidžiamumą. Testavimas vykdomas dviem budais – išorėje ir kompanijos viduje.
Procedūrinis rizikos įvertinimas. Po techninio rizikos įvertinimo reikia įvertinti firmos formalią ir neformalią politiką bei vidaus procedūras. Tai daroma apklausiant firmos darbuotojus ir asmenis, susijusius su firmos veikla. Tai leis geriau suprasti kokiame lygyje galimi pavojai iš firmos darbuotojų ir iš išores.
Rizikos valdymas. Kai yra firmos duomenų apsaugos spragu įvertinimas, galima žinoti apie rizikos laipsnį: ar jis labai mažas, gal kai kuriais atvejais sistema nepažeidžiama. BS 7799 taip sukurtas, kad jo 127 kontrolės būdai visiškai panaikintu tikimybę informacinių sistemų pažeidžiamumui. Kai kuriais atvejais – sumažintų riziką už prieinamą kainą.
Dokumentavimas ir planavimas. Tolesnis žingsnis – saugumo politikos dokumentavimas. Išskiriami šie darbai:
logine prieinamumo kontrole, slaptažodžiu ir kontroles sistema;
tinklo ir telekomunikacijų slaptumas;
programines įrangos slaptumas;
programines įrangos modifikavimo kontrole, versijų kontrolė;
atstatymo planas nelaimes atveju;
elektroninio pašto saugumas ir slaptumas;
duomenų archyvavimas ir atstatymas;
interneto prieinamumas ir slaptumas;
operacinių sistemų slaptumas;
incidentu valdymas;
trečios šalies slaptumas;
duomenų klasifikacija;
interneto puslapių serveriu, intraneto ir ugniasienių slaptumas;
baudžiamosios akcijos;
naudojamos kriptografijos, elektroninio parašo, duomenų bazių slaptumas, antivirusinės priemonės.
Informacinė etika. Kompiuterių apsaugos specialistai turi suprasti ir daryti poveikį kompiuterių vartotojams. Tradiciškai slaptumo valdymas turi susikoncentruoti programinės ir aparatūrinės dalių apsaugos įslaptinimui, sukūrimui procedūrų, vartotojų mokymui apie procedūras, priimtina elgesį. Dabar kompiuterių specialistai taip pat turi padėti suprasti apie kompiuterinę etiką ir mokyti kasdieninio etiško elgesio.
Etikos diegimas. Daug etikos taisyklių žmonės atsineša iš ankstyvos vaikystės. Pavyzdžiui, visi žino, kad valgyti kirminus ir žiogus negalima, nors mediciniškai įrodyta, kad nieko blogo nuo to nebūtu. Daugelis etiniu taisyklių yra taip giliai pasąmonėje, kad žmones jų laikosi net nesusimąstydami.
Deja, to negalima pasakyti apie kompiuterinę etiką. Dar nėra visuomenės priimtų standartinių etinių normų ir elgesio kompiuterinėje srityje. Kompiuterių specialistų uždavinys ir yra sukurti ir propaguoti etikos elgesio normas. Galima teigti, kad jau auga nauja karta, kurią drąsiai galime vadinti elektronine.
Deja, kompiuterine etika įsisąmoninama labai sunkiai. Pavyzdžiui, turint šautuvą, labai lengva nušauti kita žmogų, bet niekas to nedaro. Kopijuoti ir vogti programas irgi labai paprasta ir tai visi daro. Bet tai dar nereiškia, kad tai daryti galima.
Veiksmu planas. Šios procedūros gali padėti saugumo specialistams diegti kompiuterinę etiką organizacijose:
sukurti organizacijos kompiuterinės etikos vadovą (žinyną);
sukurti kompiuterinės etikos politiką saugumo specialistams;
visus darbuotojus raštiškai supažindinti su kompiuterine etika ir duoti kompiuterinės etikos vadovą;
jei organizacija turi verslo etikos vadovą, papildyti jį kompiuterine etika;
mokyti kompiuterinės etikos.
Galima pasiūlyti tipines kompiuterines etikos elgesio taisykles:
1. Nesinaudoti kompiuteriu, siekiant pakenkti kitiems žmonėms.
2. Be leidimo neskaityti kitu žmonių informacinių bylų.
3. Nesikišti į kitų žmonių kompiuterinę veiklą.
4. Be leidimo nesinaudoti kitų žmonių kompiuterinės intelektualinės veiklos produkcija.
5. Nenaudoti kompiuterio neetiškos informacijos platinimui: šmeižtui, paskaloms, dezinformacijai ir pornografijai.
6. Negadinti kitų žmonių sukurtos kompiuterinės informacijos: programų ir duomenų.
7. Be leidimo neplatinti kompiuterinės informacijos: programų ir duomenų.
8. Nekurti ir neplatinti neigiamos informacijos: virusų, dezinformacijos, pornografijos ir pan.
9. Supažindinti kitus žmones su kompiuterine etika. [4]
5. INFORMACIJOS GADINIMO PRIEMONĖS – KOMPIUTERINIAI VIRUSAI
Kompiuterinis virusas tai programinis kodas, įterptas į kitą programą ar dokumentą ar duomenų apibrėžimo sritį, vykdantis nesankcionuotus veiksmus kompiuteryje.
Pagrindiniai kompiuterių virusų tipai:
Programiniai virusai
Pakraunami virusai
Makrovirusai
Programiniai virusai – tai programinio kodo blokai specialiai įterpti į taikomųjų programų vidų. Vykdant šį kodą, pažeidžiama kieto disko bylų sistema arba kitų programų turinys. Pavyzdžiui virusas gali save dauginti kitų programų kūne. Po tam tikro laiko, sukūrus tam tikrą skaičių kopijų, prasideda griaunamasis procesas, pažeidžiantis programų ir operacinės sistemos darbą. Šis procesas vadinamas virusų ataka.
Pakraunami virusai pažeidžia magnetinių diskų (lankstaus diskelio ir kieto disko) sistemines dalis. Be to, įjungtame kompiuteryje, jie laikinai gali būti operatyvinėje atmintyje. Šiuo virusu kompiuteris užkrečiamas, bandant jį pakrauti iš magnetinio nešėjo, kurio sisteminė dalis užkrėsta.
Makrovirusai tai virusų rūšis, kuri pažeidžia dokumentus, sukurtus su taikomosiomis programomis, turinčiomis priemones vykdyti makrokomandas. Dokumentas užkrečiamas jį atidarant programos lange, jei nėra uždraustas makrokomadų vykdymas.
Apsaugos nuo kompiuterinių virusų metodai
Egzistuoja 3 apsisaugojimo nuo kompiuterinių virusų būdai:
Apsaugoti kompiuterį, kad į jį virusai nepatektų
Apsisaugoti nuo virusų atakos, jei virusas pateko į kompiuterį
Panaikinti griaunamąsias pasekmes, kurias sukėlė virusų ataka.
Egzistuoja 3 metodai, vykdant apsaugą nuo kompiuterinių virusų:
Programiniai apsaugos metodai
Aparatūriniai apsaugos metodai
Organizaciniai apsaugos metodai
Saugant vertingus duomenis, net ir sukūrus galingas užkardas nuo virusų, negalima būti tikriems, kad išvengsime galimų griaunamųjų reiškinių. Darbas su duomenimis bus patikimas ir saugus tik tada, kai bet koks nenumatytas įvykis, net ir pilnas fizinis kompiuterio sunaikinimas neturės katastrofiškų pasekmių.
Apsaugos nuo kompiuterinių virusų priemonės. Pagrindinė informacijos apsaugos priemonė – rezervinių kopijų darymas vertingiems duomenims. Akivaizdu, kad rezervinės kopijos saugomos ne kompiuteryje.
Egzistuoja daug programų, kurios padeda apsisaugoti nuo virusų. Šios programos leidžia:
1. Sukurti kieto disko kopijas ant išorinių nešėjų.
2. Reguliariai skenuoti kietą diską, ieškant kompiuterinių virusų. Skanavimas gali būti atliekamas automatiškai, įjungus kompiuterį. Skenuojant reikia nepamiršti, kad antivirusinė programa ieško viruso lygindama programos kodą su kodais jai jau žinomų virusų, kurie saugomi duomenų bazėje. Jei duomenų bazė paseno, o virusas naujas, programa jo neras. Antivirusines programas reikia pastoviai atnaujinti.
3. Kontroliuoti bylų ilgius ir kitus atributus. Kai kurie virusai savo dauginimosi etape pakeičia pažeistų failų parametrus. Šį pasikeitimą kontroliuojanti programa fiksuoja ir įspėja vartotoją.
4. Kontroliuoti kreipinius į kietą diską. Pačios pavojingiausios operacijos, susijusios su virusu veiksmais, yra duomenų užrašytų kietame diske modifikacija. Antivirusinės programos gali kontroliuoti kreipinius į kietą diską ir perspėti vartotoją apie įtartiną kreipimosi į kietą diską aktyvumą. [5]
6. INFORMACIJOS ŠALTINIAI
1. http://security.ebiuras.lt
2. http://atzalynas.su.lt/skaitykla/main_duomenu_apsauga.htm
3. http://www.nkm.lt
4. http://www.geocities.com/pixelis2000
5. http://www.sc.vu.lt/vu_tinklas/apie_virusus.htm
6. http://www.technogama.lt/Kalbos/lt_duomenu.html