Защита информации в системах делопроизводства
Тема 7. Защита информации в системах электронного делопроизводства
Содержание
7.1. Доступ к информационным объектам.
7.2. Механизмы обеспечения безопасности.
7.3. Шифрование и дешифрование информации.
7.4. Упражнение.
7.5. Контрольные вопросы.
Ключевые слова
Администраторы. Протокол. Алгоритмы шифрования данных. Стандарт шифрования данных. Стандарт цифровой подписи. Шифрование данных. Секретные ключи. Открытые ключи. Сеансовые ключи. Цифровые подписи.
Рекомендуемые материалы
7.1. Доступ к информационным объектам
Файлы и папки, хранящиеся на локальном компьютере, в сети или в Интернете, можно передавать в общий доступ. Это делается по-разному, в зависимости от того, кому требуется предоставить доступ к файлам, а также от того, с какого компьютера другой пользователь будет обращаться к файлам.
Оба пользователя работают на одном компьютере
Файлы, к которым требуется предоставить доступ, можно поместить в папку Общие документы. Файлы, хранящиеся в папке Общие документы и ее подпапках, всегда доступны другим пользователям данного компьютера.
Чтобы обеспечить общий доступ к файлам и папкам на компьютере:
1. Откройте папку Мои документы.
2. Выберите файл или папку, доступ к которым следует предоставить.
3. Перетащите этот файл или папку в папку Общие документы, указанную в списке Другие места.
Чтобы открыть папку Мои документы, дважды щелкните значок Мои документы на рабочем столе.
На компьютере, подключенном к сетевому домену, папки Общие документы, Рисунки (общие) и Музыка (общая» недоступны.
Если в папке Мои документы или ее подпапках нет файла или папки, доступ к которым требуется предоставить, найдите этот файл или папку, нажав кнопку Поиск. Чтобы запустить средство поиска, нажмите кнопку Пуск, выберите команду Поиск, а затем выберите команду Файлы и папки.
Файлы и папки, перемещенные или скопированные в папку Общие документы, становятся доступными всем пользователям компьютера.
Оба компьютера расположены в одной сети
Папка, расположенная на локальном компьютере, может быть сделана доступной всем остальным пользователям, работающим в сети. Также можно запрещать или разрешать другим пользователям изменять файлы в общей папке.
Чтобы предоставить доступ к папке или диску для совместной работы с использованием компонента Общие папки:
1. Откройте узел Управление компьютером (локальным).
2. В дереве консоли щелкните узел Ресурсы.
3. В меню Действие выберите команду Новый общий файловый ресурс.
4. Следуйте инструкциям, выводящимся в окне Создание общей папки. Выберите папку или диск, введите имя и описание нового общего ресурса и установите разрешения. Введя эти сведения, нажмите кнопку Готово.
Чтобы открыть инструмент Управление компьютером, нажмите кнопку Пуск, затем выберите команды Настройка и Панель управления. Дважды щелкните значок Администрирование, а затем дважды щелкните значок Управление компьютером.
Пользоваться компонентом Общие папки могут только члены группы Администраторы или Опытные пользователи.
Чтобы предоставить доступ к папке или диску для совместной работы с использованием Проводника Windows откройте его и найдите общую папку или диск, для которых требуется добавить новое имя общего ресурса.
В случае наличия подключения к домену выполните следующий действия:
1. Правой кнопкой мыши щелкните общую папку или диск, затем выберите команду Общий доступ и безопасность.
2. Нажмите кнопку Открыть общий доступ к этой папке.
3. Установите требуемые параметры и нажмите кнопку OK.
Если подключение к домену отсутствует или если на компьютере установлена операционная система Windows XP Home Edition, выполните следующие действия:
1. Правой кнопкой мыши щелкните общую папку или диск, затем выберите команду Свойства.
2. На вкладке Доступ установите переключатель Открыть общий доступ к этой папке.
3. Установите требуемые параметры и нажмите кнопку OK.
Переключатель Открыть общий доступ к папке позволяет пользователям сети копировать файлы, содержащиеся в данной папке в режиме только чтение. Изменить ваши или записать свои файлы, удаленные пользователи не могут.
Общий ресурс – это сетевое имя папки под ним она будет отображаться в ЛВС (сетевое имя не обязательно должно совпадать с именем самой папки).
Переключатель Разрешить изменение файлов по сети позволяет пользователям копировать в эту папку свои файлы, а так же изменять файлы других пользователей. По соображениям безопасности не стоит открывать полный доступ к системным папкам (Windows, Program Files) и папкам, содержащим важные для вас данные. Лучше всего создать специальную папку для входящих файлов и открыть полный доступ только к ней.
Чтобы предоставить доступ к папке или диску для совместной работы с использованием командной строки:
1. Откройте окно Командная строка (нажмите кнопку Пуск и выберите команды Программы, Стандартные, Командная строка).
2. Введите: net share ресурс=диск:путь.
Изменение прав доступа или запрет другим пользователям на доступ к файлам
Пользователь может изменить права доступа или запретить другим пользователям обращаться к своим папкам и содержащимся в них файлам. Если компьютер подключен к домену, для этого необходимо установить соответствующие разрешения на доступ к файлам и папкам. Если компьютер подключен к рабочей группе, для запрета доступа достаточно сделать папки частными.
Если компьютер подключен к сетевому домену, используйте следующую процедуру:
1. Откройте проводник и найдите файл или папку, для которой требуется установить разрешения.
2. Щелкните файл или папку правой кнопкой мыши, выберите команду Свойства и перейдите на вкладку Безопасность.
3. Выполните одно из следующих действий:
Чтобы установить разрешения для группы или пользователя, которого нет в списке Группы или пользователи, нажмите кнопку Добавить.
Введите имя группы или пользователя, для которого устанавливаются разрешения, и нажмите кнопку ОК.
Чтобы сменить или удалить разрешения на доступ для существующей группы или пользователя, выберите имя этой группы или пользователя.
Чтобы предоставить или отменить разрешение, в списке Разрешения для Имя пользователя или группы установите соответственно флажок Разрешить или Запретить.
Чтобы удалить группу или пользователя из списка Группы или пользователи, нажмите кнопку Удалить.
Если флажки в списке Разрешения для Имя пользователя или группы затенены или кнопка Удалить недоступна, значит, данный объект унаследовал разрешения от родительской папки.
При добавлении нового пользователя или группы им по умолчанию назначаются разрешения Чтение и выполнение, Список содержимого папки и Чтение.
Существуют следующие разрешения на доступ к папкам: Полный доступ, Изменение, Чтение и выполнение, Список содержимого папки, Чтение и Запись (см. таблицу):
| Разрешение | Описание |
| Обзор папок / Выполнение файлов | Для папок: «Обзор папок» разрешает или запрещает перемещение по структуре папок в поисках других файлов или папок, даже если пользователь не обладает разрешением на доступ к просматриваемым папкам (применимо только к папкам). Разрешение на обзор папок действительно только в том случае, если группа или пользователь не обладает правом Обход перекрестной проверки, устанавливаемым в оснастке «Групповая политика». (По умолчанию группа «Все» наделена правом Обход перекрестной проверки.) Для файлов: «Выполнение файлов» разрешает или запрещает запуск программ (применимо только к файлам). Разрешение «Обзор папок» для папки не означает автоматическую установку разрешения «Выполнение файлов» для всех файлов в этой папке |
| Содержание папки / Чтение данных | «Содержание папки»: разрешает или запрещает просмотр имен файлов и подпапок, содержащихся в папке. Это разрешение относится только к содержимому данной папки и не означает, что имя самой этой папки также должно включаться в список (применимо только к папкам). «Чтение данных»: разрешает или запрещает чтение данных, содержащихся в файлах (применимо только к файлам) |
| Чтение атрибутов | Разрешает или запрещает просмотр таких атрибутов файла или папки, как «Только чтение» и «Скрытый». Атрибуты определяются файловой системой NTFS |
| Создание файлов / Запись данных | «Создание файлов»: разрешает или запрещает создание файлов в папке (применимо только к папкам). «Запись данных»: разрешает или запрещает внесение изменений в файл и запись поверх имеющегося содержимого (применимо только к файлам) |
| Создание папок / Дозапись данных | «Создание папок»: разрешает или запрещает создание папок внутри папки (применимо только к папкам). «Дозапись данных»: разрешает или запрещает внесение данных в конец файла, но не изменение, удаление или замену имеющихся данных (применимо только к файлам) |
| Запись атрибутов | Разрешает или запрещает смену таких атрибутов файла или папки, как «Только чтение» и «Скрытый». Атрибуты определяются файловой системой NTFS. Разрешение «Запись атрибутов» не подразумевает права на создание или удаление файлов или папок: разрешается только вносить изме-нения в их атрибуты. Сведения о том, как разрешить (или запретить) операции создания и удаления, см. в описаниях разрешений Создание файлов / Запись данных, Создание папок / Дозапись данных, Удаление подпапок и файлов и Удаление |
| Удаление подпапок и файлов | Разрешает или запрещает удаление подпапок и файлов даже при отсутствии разрешения «Удаление» (применимо только к папкам) |
| Чтение разрешений | Разрешает или запрещает чтение таких разрешений на доступ к файлу или папке, как «Полный доступ», «Чтение» и «Запись» |
| Смена разрешений | Разрешает или запрещает смену таких разрешений на доступ к файлу или папке, как «Полный доступ», «Чтение» и «Запись» |
| Смена владельца | Разрешает или запрещает вступать во владение файлом или папкой. Владелец файла или папки всегда может изменять разрешения на доступ к ним независимо от любых разрешений, защищающих этот файл или папку |
Скрытие файлов и папок
Чтобы скрыть файл или папку необходимо:
1. Откройте папку Мои документы. Если в папке Мои документы или ее подпапках нет файла или папки, которые требуется скрыть, найдите этот файл или папку, нажав кнопку Поиск. Чтобы запустить средство поиска, нажмите кнопку Пуск, выберите команду Поиск, а затем выберите команду Файлы и папки.
2. Щелкните файл или папку правой кнопкой мыши и выберите команду Свойства.
3. На вкладке Общие установите флажок Скрытый.
Для просмотра скрытых файлов выберите в меню Сервис в окне любой папки команду Свойства папки. На вкладке Вид в группе Дополнительные параметры выберите вариант Показывать скрытые файлы и папки. Скрытые файлы и папки будут иметь вид недоступных элементов в знак того, что они являются не совсем обычными. Как правило, скрываются программные или системные файлы, которые не подлежат изменению или удалению.
Чтобы отобразить другие скрытые файлы, снимите флажок Скрывать защищенные системные файлы (рекомендуется).
Если требуется отображать расширения имен для всех файлов, снимите флажок Скрывать расширения для зарегистрированных типов файлов.
Технология предоставления общего доступа к принтеру
1. Откройте компонент Принтеры и факсы (нажмите кнопку Пуск, выберите команды Настройка и Панель управления, затем дважды щелкните значок Принтеры и факсы).
2. Щелкните правой кнопкой тот принтер, который требуется сделать общим, и выберите команду Общий доступ.
3. Перечень параметров на вкладке Доступ варьируется в зависимости от того, включен ли на компьютере совместный доступ. Если выводится сообщение о необходимости включения общего доступа к принтеру, необходимо запустить Мастер домашней сети для включения общего доступа к принтерам. Запустите мастер, щелкнув ссылку на вкладке Доступ, и следуйте его инструкциям. После включения общего доступа начните данную процедуру сначала.
Если отображаются параметры для предоставления и отмены общего доступа к принтеру:
1. На вкладке Доступ выберите Общий ресурс а затем введите имя для общего принтера.
2. Если принтер должен совместно использоваться различными платформами или операционными системами, нажмите кнопку Дополнительные драйверы. Выберите те среды и операционные системы, которые будут использовать этот принтер, и нажмите кнопку OK, чтобы установить необходимые драйверы.
3. Нажмите кнопку OK либо, если были установлены дополнительные драйверы, кнопку Закрыть.
Изменение разрешений для принтера возможно только при наличии разрешения Управление принтерами (одно из нескольких разрешений для принтеров).
Для задания новых разрешений на доступ к принтеру необходимо выполнить:
1. Откройте компонент Принтеры и факсы.
2. Щелкните правой кнопкой мыши принтер, для которого нужно задать разрешения, выберите команду Свойства и откройте вкладку Безопасность. Окно свойств принтера также можно открыть из папки Принтеры и факсы. Для этого выделите принтер и щелкните ссылку Настройка параметров печати в группе Задачи в левой части окна папки. Этот параметр доступен, только если включено представление папок в виде web-страниц и принтер выделен.
3. Нажмите кнопку Добавить.
4. Нажмите кнопку Типы объектов, выберите типы пользователей, которых требуется добавить, и нажмите кнопку OK.
5. Нажмите кнопку Размещение, выберите область поиска и нажмите кнопку OK.
6. В поле Имя введите через точку с запятой ( ; ) имена пользователей или групп, для которых требуется задать разрешения.
7. Чтобы проверить распознавание имен по каталогу, нажмите кнопку Проверить имена. Распознанные имена будут подчеркнуты. Если некоторые имена не будут подчеркнуты, нажмите кнопку Проверить имена еще раз. Для получения помощи при поиске имен нажмите кнопку Дополнительно, введите начало имени в поле Имя, а затем нажмите кнопку Поиск. В возвращенном списке выберите имя, которое требуется добавить, и нажмите кнопку OK. Чтобы выделить много имен по одному, щелкните каждое из нужных имен, удерживая нажатой клавишу CTRL; чтобы выделить блок имен, щелкните первое имя, нажмите клавишу SHIFT и, удерживая ее нажатой, щелкните последнее имя.
8. Когда все нужные имена будут перечислены в поле Имя, нажмите кнопку OK.
9. В области Разрешения установите флажки Разрешить или Запретить для каждого разрешения, которое требуется предоставить или запретить.
10. Чтобы просмотреть или изменить элементы разрешений, составляющие разрешения Печать, Управление принтерами и Управление документами, нажмите кнопку Дополнительно.
Подключение к сетевому принтеру
1. Откройте компонент Принтеры и факсы.
2. В группе Типичные задачи печати щелкните ссылку Установка принтера, чтобы запустить мастер установки принтера, а затем нажмите кнопку Далее.
3. Выберите вариант Сетевой или подключенный к другому компьютеру принтер и нажмите кнопку Далее.
4. Подключитесь к нужному принтеру одним из следующих трех способов:
Ø Поиск в Active Directory. Этот способ доступен при работе в домене Windows, в котором выполняется служба каталогов Active Directory:
• Выберите параметр Найти принтер в Active Directory, а затем нажмите кнопку Далее.
• Нажмите кнопку Обзор справа от поля Размещение, выберите размещение принтера и нажмите кнопку OK.
• Нажмите кнопку Найти.
• Выберите принтер, к которому требуется подключиться, и нажмите кнопку ОК.
Ø Ввод имени принтера или обзор принтеров:
• Выберите вариант Подключиться к принтеру.
• Выполните одно из следующих действий:
* Введите имя принтера в следующем формате: \имя_сервера_печатисетевое_имя
* Выберите принтер в сети. Нажмите кнопку Далее и выберите нужный принтер в поле Общие принтеры.
• Нажмите кнопку Далее.
Ø Выберите вариант Подключиться к принтеру в Интернете, в домашней сети или в интрасети:
• Введите URL-адрес принтера в следующем формате: http://имя_сервера_печати/Printers/сетевое_имя/.printer
5. Чтобы завершить подключение к сетевому принтеру, следуйте инструкциям, появляющимся на экране.
Существует также ряд альтернативных способов подключения к сетевому принтеру. Например, можно подключиться к принтеру, перетащив его значок из папки Принтеры сервера печати в папку Принтеры локального компьютера, либо щелкнув значок принтера правой кнопкой и выбрав команду Подключиться.
Еще одним способом добавления принтера является двойной щелчок ярлыка Установка принтера. Этот вариант доступен только при отображении папок в классическом виде Windows XP, когда принтер не выделен.
7.2. Стандартные механизмы обеспечения безопасности
Стандартными механизмами обеспечения безопасности сетевых систем являются: протокол Kerberos, протокол IPSec, инфраструктура открытого ключа PKI.
Инфраструктура – это набор совместно используемых служб и компонентов. Она применяется для построения безопасной среды, позволяющей надежно обмениваться сообщениями электронной почти через Интернет и Интранет, защитить Web-узел и проходящие через него транзакции, расширить возможности шифрующей файловой системы, развернуть систему для работы со смарт-картами и т.п.
Протокол Kerberos
Протокол Kerberos базируется на системе билетов, которые представляют собой пакеты зашифрованные данных, выдаваемые центром распространения ключей KDC (Key Distribution Center). Билет выступает в роли «паспорта», вместе с которым передается масса секретной информации. Каждый центр распространения ключей KDC отвечает за определенную сферу (realm); в среде Windows 2000/XP отдельной сферой является каждый домен. Кроме того, каждый контроллер домена Active Directory является центром распространения ключей KDC.
Когда вы входите в Windows 2000/XP, локальные средства защиты LSA (Local Security Authority) проводят проверку подлинности, предоставляя вам билет TGT (Ticket Granting Ticket – билет для получения билета), выступающий в качестве пропуска. Затем, когда вам потребуется доступ к определенным ресурсам сети, вы представите свой билет TGT контроллеру домена и запросите билет для получения доступа к ресурсу.
Билет на доступ к определенному ресурсу также известен как билет службы ST (Service Ticket). Когда вам необходимо получить доступ к ресурсу, ваш билет службы предоставляется ресурсу. После этого вам предоставляется доступ к ресурсу, а ваши права определяются списком контроля доступа ACL для этого ресурса.
Протокол Kerberos – это очень быстрый протокол и идеальная среда для реализации инициативы Single SignOn (разовый вход в систему) для проведения проверки подлинности. Механизм Single SignOn поддерживается такими приложениями, как SQL Server 2000 и Exchange 2000, а также доверительными отношениями между областями, реализуемыми другими операционными системами и Windows 2000/XP.
Протокол IPSec
Протокол IPSec (Internet Protocol Security) представляет собой механизм защиты IP-сетей, реализованный в Windows 2000/XP для зашиты сетевого трафика. IPSec использует криптографические службы безопасности для обеспечения целостности, подлинности и конфиденциальности данных, а также защиты от повторений для трафика TCP/IP. Управление IPSec осуществляется посредством политики IPSec, для настройки и назначения которой используется инструмент «Управление политикой безопасности IP».
Шифрование часто называют сквозным (end-to-end), что означает, что данные остаются зашифрованными до тех пор, пока не достигнут другого компьютера, только на котором они и могут быть расшифрованы. Протокол IPSec также поддерживает и шифрование с использованием открытого ключа; генерация ключа происходит на обоих концах соединения, что избавляет от необходимости его передачи по сети.
Защита локальной рабочей станции
Для обеспечения безопасности компьютера необходимо организовать защиту отдельных файлов и папок и принять меры к физической защите самого компьютера. Если на компьютере имеются конфиденциальные сведения, они должны храниться в безопасном месте.
Другими способами защиты компьютера являются его блокировка на время отсутствия пользователя на рабочем месте и настройка экранной заставки, защищенной паролем. Нажав одновременно клавиши CTRL, ALT и DEL, а затем кнопку Блокировка, можно предотвратить несанкционированный доступ пользователей к компьютеру. Разблокировать его сможет только владелец и члены группы администраторов компьютера. (Для разблокирования компьютера нужно нажать одновременно клавиши CTRL, ALT и DEL, ввести пароль, а затем нажать кнопку ОК.)
Можно также настроить заставку таким образом, чтобы она открывалась и автоматически блокировала компьютер после того, как он простаивал в течение определенного времени.
Чтобы защитить файл с помощью пароля экранной заставки необходимо:
1. На панели управления откройте компонент «Экран» (нажмите кнопку Пуск, выберите команды Настройка и Панель управления, затем дважды щелкните значок Экран).
2. На вкладке Заставка в списке Заставка выберите нужную экранную заставку.
3. Установите флажок Защита паролем. Если включено быстрое переключение пользователей, установите флажок При продолжении открыть окно приветствия.
Если установить флажок Защита паролем, то при активизации экранной заставки компьютер будет блокироваться. Чтобы разблокировать компьютер и продолжить работу, необходимо будет ввести пароль. Пароль заставки совпадает с паролем пользователя, вошедшего в систему на данном компьютере. Если при входе в систему пароль не использовался, пароль заставки установить нельзя.
7.3. Шифрование и дешифрование информации
В компьютерной технике стандарт, управляющий способами шифрования данных, известен как стандарт DES (Data Encryption Standard – стандарт шифрования данных). Алгоритмы шифрования данных DEA (Data Encryption Algorithms) определяют, каким образом должны зашифровываться и расшифровываться данные. Спецификации DES разрабатываются и утверждаются такими организациями, как ANSI (American National Standards Institute – Национальный институт стандартизации США) и NIST (National Institute Of Standards and Technologies – Национальный институт стандартов и технологий). Каждый алгоритм получает определенную оценку в соответствии с его возможностями шифрования (а также стойкостью к воспроизведению или атакам шифрующего и/или дешифрующего ключа).
Стандарт DES, т.е. алгоритм DEA, нуждается в постоянном совершенствовании, т.к. эти коды часто вскрывают специалисты в области шифрования (как в чисто научных, так и преступных целях). Очень скоро на смену стандарту DES придет новый стандарт AES (Advanced Encryption – расширенный стандарт шифрования).
К другим стандартам, разработанным перечисленными выше организациями, относится стандарт цифровой подписи DSS (Digital Signature Standard) и алгоритм цифровой подписи DSA (Digital Signature Algorithm).
Шифрование данных всегда требует от пользователя необходимых усилий и для обеспечения защиты соединений. Только внедрение алгоритмов шифрования в ядро операционной системы и стандартизированные сетевые протоколы сделают шифрование и надежным, и прозрачным для пользователя. Сегодня Windows 2000/XP полностью реализует подобные возможности. Как только сетевой администратор корректно настроит шифрование в Windows 2000/XP с помощью политики безопасности, сразу же все пользователи смогут его использовать совершенно прозрачно для себя.
Остановимся на основных понятиях криптографии. Криптография чем-то напоминает замок, так как без соответствующего ключа до зашифрованной информации просто не добраться. Ключ, или криптографический ключ, известен только людям, отправляющим и получающим информацию. Очевидно, что, если у вас есть ключ, вы сможете расшифровать код и получить полный текст сообщения.
Общие сведения о шифрованной файловой системе
Шифрованная файловая система (EFS) обеспечивает ядро технологии шифрования файлов, используемой для хранения шифрованных файлов на томах файловой системы NTFS. После того как файл или папка зашифрованы, с ними работают так же, как и с другими файлами или папками.
Шифрование является прозрачным для пользователя, зашифровавшего файл. Это означает, что перед использованием файл не нужно расшифровывать. Можно, как обычно, открыть файл и изменить его.
Поскольку EFS интегрирована в файловую систему, ею легко управлять, она надежна и прозрачна для пользователя. Это особенно удобно для защиты данных на компьютерах, которые могут оказаться уязвимыми для кражи, таких как переносные компьютеры.
Использование EFS сходно с использованием разрешений для файлов и папок. Оба метода используются для ограничения доступа к данным. Злоумышленник, получивший несанкционированный физический доступ к зашифрованным файлам и папкам, не сможет их прочитать. При его попытке открыть или скопировать зашифрованный файл или папку появиться сообщение, что доступа нет. Разрешения для файлов и папок не защищают от несанкционированных физических атак.
Шифрование и расшифровывание файлов выполняется установкой свойств шифрования для папок и файлов, как устанавливаются и другие атрибуты, например «только чтение», «сжатый» или «скрытый». Если шифруется папка, все файлы и подпапки, созданные в зашифрованной папке, автоматически шифруются. Рекомендуется использовать шифрование на уровне папки.
Чтобы получить право на шифрование и расшифровку файлов:
1. Откройте проводник Windows.
2. В области сведений щелкните правой кнопкой мыши зашифрованный файл, который нужно изменить, и выберите команду Свойства.
3. На вкладке Общие нажмите кнопку Дополнительно.
4. В диалоговом окне Дополнительные атрибуты и нажмите кнопку Подробнее.
5. Чтобы разрешить пользователю изменить этот файл нажмите кнопку Добавить и выполните следующие действия.
Для добавления пользователя, имеющих сертификат на данном компьютере, выберите сертификат и нажмите кнопку ОК.
Для просмотра сертификата на данном компьютере перед добавлением его к файлу выберите сертификат и затем нажмите кнопку Просмотр сертификата.
Для добавления пользователя из Active Directory нажмите кнопку Найти пользователя и затем кнопку ОК.
6. Чтобы запретить пользователю изменять файлы, выберите имя пользователя и нажмите кнопку Удалить.
Чтобы зашифровать файл или папку:
1. Откройте проводник Windows.
2. Щелкните правой кнопкой мыши файл или папку, которые требуется зашифровать, и выберите из контекстного меню команду Свойства.
3. На вкладке Общие нажмите кнопку Дополнительно.
4. Установите флажок Шифровать содержимое для защиты данных.
Чтобы расшифровать файл или папку:
1. Откройте проводник Windows.
2. Правой кнопкой мыши щелкните зашифрованную папку или диск, затем выберите команду Свойства.
3. На вкладке Общие нажмите кнопку Дополнительно.
4. Снимите флажок Шифровать содержимое для защиты данных.
Когда расшифровывается папка, система запросит подтверждение о необходимости расшифровывать также файлы и подпапки в данной папке. Если выбрано расшифровывание только папки, зашифрованные файлы и папки в расшифрованной папке остаются зашифрованными. Однако новые файлы и папки, создаваемые в расшифрованной папке, не будут зашифровываться автоматически.
Секретные ключи
Шифрование с использованием секретного ключа также известно как шифрование с использованием симметричного ключа (симметричное шифрование) или как классическая криптография. При таком методе шифрования для зашифровки и расшифровки данных используется один и тот же ключ. Другими словами, для того чтобы закрыть дверь, вы используете тот же ключ, что и для того, чтобы ее открыть.
Отправитель зашифровывает сообщение с помощью ключа, а получатель расшифровывает его с помощью того же ключа. Такая схема шифрования не обеспечивает надежного уровня безопасности, так как при развитой системе коммуникаций ключ должен быть известен многим сторонам. А как только ключ попадет в плохие руки, все старания защитить сведения окажутся тщетными. Однако он может использоваться при проверке подлинности в сети, когда «кража» ключа маловероятна.
Открытые ключи
Шифрование с использованием открытого ключа подразумевает применение двух ключей. Один ключ открытый, а второй – секретный (закрытый). При шифровании данных может использоваться любой из этих ключей, а при дешифровании – только секретный. Эта технология основана на архитектуре открытого ключа PKI (Public Key Infrastructure), поддержка которой уже реализована в Windows 2000/XP.
Для получения обоих ключей используется сложный математический процесс, поэтому они неразрывно связаны между собой. Сообщение, зашифрованное с помощью одного ключа, можно расшифровать только с помощью его пары.
Например, вам необходимо отправить зашифрованное сообщение. У получателя есть открытый ключ, который он предлагает для шифрования сообщений. Вы зашифровываете сообщение с помощью открытого ключа и отправляете его. Когда получатель получит ваше сообщение, он расшифрует его с помощью секретного ключа, математически связанного с открытым ключом. Никто, даже вы, не сможет расшифровать сообщение с помощью открытого ключа. Но и в этом случае следует тщательно охранять секретный ключ.
Сертификаты ключей – это контейнеры открытых ключей. В них обычно содержатся открытый ключ для получателя, такой же ключ для создателя сообщения, сведения о времени создания ключа, а также список цифровых подписей.
Сеансовые ключи
Основная проблема, связанная с распространения открытых ключей, состоит в том, что алгоритмы шифрования, используемые для получения ключей, слишком медлительны для современных коммуникаций. По этой причине создается сеансовый ключ, который, в свою очередь, содержит ключ для зашифрованных данных. Шифрование данных с помощью сеансового ключа происходит в тысячи раз быстрее, чем с помощью открытого.
Свойства сеансового ключа:
1. Сеансовый ключ произвольным образом создается при каждом соединении, требующем шифрования. Инициатор соединения создает сеансовый ключ для одного соединения или сообщения.
2. Данные зашифровываются с помощью сеансового ключа.
3. Сеансовый ключ зашифровывается с помощью открытого ключа получателя. 4. Зашифрованные данные и зашифрованный сеансовый ключ отправляют получателю, который сначала расшифровывает сеансовый ключ с помощью секретного ключа, а после этого расшифровывает данные с помощью сеансового ключа.
Цифровые подписи
Не всегда обязательно зашифровывать сообщения, т.к. это отнимает много ресурсов компьютера. Иногда данные или содержание сообщения большой ценности не представляют. Но что делать, если кто-то перехватит сообщение и изменит его содержание? Последствия могут быть непредсказуемыми.
Цифровые подписи используются для проверки подлинности отправителя, связывания двух сторон при обмене данными, проверки подлинности содержания, а также подтверждения того, что данные не были изменены при передаче.
Использование паролей для доступа к сетевым ресурсам
Если компьютер является членом рабочей группы, но не подсоединен к домену, можно работать с сетевыми ресурсами, используя для доступа имя пользователя домена и пароль.
Чтобы использовать эту возможность, подключитесь к сетевому ресурсу, такому как папка или файл, доступ к которому необходимо получить:
1. Откройте папку Мой компьютер.
2. В меню Сервис выберите команду Подключить сетевой диск.
3. В поле Диск введите или выберите букву диска, к которому требуется подключить общий ресурс.
4. В поле Папка введите сервер и имя общего ресурса в виде: \имя_серверасетевое_имя. Чтобы найти ресурс, можно также нажать кнопку Обзор.
5. Нажмите кнопку Готово.
6. В диалоговом окне Имя и пароль пользователя в поле Имя пользователя введите имя пользователя в виде: доменимя_пользователя.
7. В поле Пароль введите пароль домена. Ввод имени пользователя домена и пароля является необходимым для получения доступа к сетевым ресурсам.
Чтобы в дальнейшем подключаться к сетевому ресурсу без ввода имени пользователя и пароля, установите флажок Сохранить пароль. Чтобы в Windows использовать автоматическое подключение к этому сетевому ресурсу без вывода на экран диалогового окна Имя и пароль пользователя, установите флажок Больше не спрашивать этот пароль.
7.4. Упражнение
Ознакомиться с комплексными средствами обеспечения информационной безопасности.
1. Обобщенная модель системы защиты информации
При организации системы безопасности необходимо иметь в виду, что в соответствии с общепринятой моделью системы защиты информации в качестве нарушителя рассматривается субъект, имеющий доступ в помещение, где находятся штатные средства автоматизированной системы (АС) и (или) к работе с этими средствами. Нарушителей можно классифицировать по уровню возможностей, предоставляемых им штатными средствами АС и СВТ, а также в соответствии со способами внедрения и возможностями средств специального программно-математического воздействия (СПМВ). Классификация является иерархической, то есть каждый следующий уровень включает в себя функциональные возможности предыдущего.
Первый уровень нарушителей определяется возможностью их доступа в помещение к средствам АС и подразумевает использование дистанционного способа внедрения средств защиты СПМВ (с использованием генераторов различных излучений).
Второй уровень нарушителей определяется возможностью ведения диалога в АС − запуск задач (программ) из фиксированного набора, а также возможность дистанционного внедрения средств СПМВ.
Третий уровень нарушителей определяется их возможностью создания и запуска собственных программ с новыми функциями по обработке информации, то есть способом прямого внедрения программных закладок с ограниченной эффективностью применения, а также возможностью дистанционного внедрения средств СПМВ.
Четвертый уровень нарушителей определяется их возможностью управления функционированием АС, то есть воздействием на базовое программное обеспечение системы и на состав и конфигурацию оборудования, что предусматривает более эффективное применение средств СПМВ с помощью как прямого, так и дистанционного способа внедрения.
Пятый уровень нарушителей определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и сопровождение технических средств АС, вплоть до внедрения в состав СВТ собственных технических и программных средств с новыми функциями по обработке информации. На этом уровне можно выделить способ заблаговременного внедрения средств СПМВ в виде программных и электронных закладок, что, однако, не исключает применения прямого и дистанционного способов внедрения при реализации и обслуживании технических средств ведения системы.
При классификации нарушителей предполагается, что на своем уровне нарушитель является специалистом высшей квалификации, обладает полными знаниями о системе и средствах ее защиты, но администратор системы защиты АС не является нарушителем.
Чтобы современная модель защиты информации при ведении системы от неправомочных действий могла успешно действовать, она должна состоять, по крайней мере, из пяти основных подсистем: Управление доступом. Регистрация и учет. Криптографическая защита. Обеспечение целостности информации. Идентификация и аутентификация.
Главным связующим звеном, организующим взаимодействие всех подчиненных подсистем, является подсистема идентификации и аутентификации, которая становится ядром СЗИ, формирующим иерархическую централизованную структуру с обратной связью. Подчиненные подсистемы приобретают роль исполнительных механизмов подсистемы идентификации и аутентификации.
2. Основы метода адаптивной безопасности
Метод адаптивной безопасности сети предполагает использование следующих компонентов:
• технология анализа защищенности или поиска точек уязвимости;
• технология обнаружения атак;
• адаптивный компонент, который дополняет первые две технологии;
• управляющий компонент.
Сеть состоит из соединений, узлов, хостов, рабочих станций, приложений и баз данных и все они нуждаются как в оценке эффективности их защиты, так и в поиске неизвестных точек уязвимости. Средства, реализующие технологию анализа защищенности, исследуют сеть и ищут «слабые» места в ней, обобщают эти сведения и создают по ним отчет, содержащий рекомендации по устранению найденных точек уязвимости. Если система, реализующая эту технологию, содержит и адаптивный компонент, то вместо рутинного устранения найденной точки уязвимости оно будет осуществляться автоматически.
Ведущие эксперты, областью профессиональных интересов которых являются рассматриваемые вопросы защиты, обычно выделяют следующие проблемы, идентифицируемые технологией анализа защищенности:
• пробелы в системах и программы типа «троянский конь»;
• недостаточная сложность паролей;
• восприимчивость к проникновению из незащищенных систем и атакам типа «отказ в обслуживании»;
• отсутствие необходимых обновлений операционных систем;
• неправильная настройка межсетевых экранов, Web-серверов и баз данных;
• наличие работающих в сети модемов.
Средства анализа защищенности работают на этапе поиска предпосылок для атаки. Обнаруживая и вовремя устраняя точки уязвимости, они тем самым устраняют саму возможность реализации атаки, что позволяет снизить затраты (финансовые, материальные, людские и т.д.) на эксплуатацию средств защиты. Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности прежде, чем будет сделана попытка ее нарушения.
Обнаружение атак является процессом оценки подозрительных действий, которые происходят в сети. Обнаружение реализуется посредством анализа или журналов регистрации операционной системы и прикладного программного обеспечения, или сетевого трафика в реальном режиме времени. Компоненты обнаружения атак, размещенные на узлах или в сегментах сети, оценивают различные действия, в том числе и использующие известные точки уязвимости. Кроме того, можно заметить, что средства обнаружения атак функционируют на этапах реализации и завершения атаки. На этапе реализации атаки эти средства дополняют традиционные механизмы новыми функциями, повышающими защищенность сети. Системы обнаружения атак эффективно блокируют враждебные действия привилегированных пользователей (администраторов), дополняя возможности межсетевых экранов, защищают периметр сети, а также ее внутренние сегменты.
Использование модели адаптивной безопасности сети позволяет контролировать угрозы и своевременно реагировать на них высокоэффективным способом, позволяющим устранить точки уязвимости, которые могут привести к реализации угрозы, и проанализировать условия, приводящие к их появлению. Эта модель также позволяет уменьшить злоупотребления в сети, повысить осведомленность пользователей, администраторов и руководства предприятия о событиях в сети.
7.5. Контрольные вопросы
Рекомендация для Вас - Оглавление.
1. Как обеспечивается общий доступ к файлам и папкам на компьютере?
2. Назовите стандартные механизмы обеспечения безопасности сетевых систем.
3. Как зашифровать файл или папку?
4. Опишите алгоритм шифрования с использованием секретного ключа.
5. Опишите алгоритм шифрования с использованием открытого ключа. Для чего используют сеансовые ключи?
6. Какими свойствами обладает цифровая подпись?
