ЭЛЕМЕНТЫ СОВРЕМЕННОЙ ИНФОРМАЦИОННОЙ ТЕХНОЛОГИИ
В нашем журнале эта рубрика впервые появилась в № 8
2006 г. Она предназначена для ознакомления читателей с новыми элементами
современной информационной технологии (ИТ), новыми терминами и понятиями в этой
сфере. Среди главных причин, обусловивших открытие специальной рубрики, –
рассредоточение подобных материалов по большому количеству источников (как
традиционных, так и электронных), терминологические проблемы, возникающие у
библиотечно-информационных специалистов в процессе обработки документных
источников по ИТ и обслуживания пользователей.
Рубрику ведет автор словаря-справочника по информатике [1] профессор Ф. С. Воройский;
он систематически отслеживает появление новинок и изменений в сфере ИТ по всем
новым поступлениям литературы в фонд ГПНТБ России и в Интернете.
Редколлегия
УДК 351.864.1+004.056.5
Ф. С. Воройский
Новейшие концепции, технологии и разработки
в области информационной безопасности
Вопросы информационной безопасности вычислительных систем и
информации занимают одно из ведущих мест в международном сообществе. В этом
материале приводятся сведения о наиболее важных действующих и перспективных
разработках, не вошедших в ранее опубликованные работы [1, 2].
AAA, 3А (Authentication, Authorisation, Administration) – «Аутентификация, авторизация, администрирование»:
наименование новой концепции построения комплексной системы информационной
безопасности корпоративных сетевых инфраструктур, которая предполагает
многоуровневое эшелонированное построение средств их защиты от разнородных
видов угроз и централизованное управление ими.
В 2003 г. известная аналитическая служба IDC разделила рынок программных
средств AAA на два
сегмента: Управления безопасностью и устранением уязвимостей – SVM (SecurityandVulnerabilityManagement)
и Управления идентификацией и доступом – IAM (IdentityandAccessManagement).
К SVM
отнесены приложения, которые обеспечивают оценку имеющихся уязвимостей,
управление процедурами настройки средств защиты и автоматическим
распространением программных «заплаток» на выявленные места «уязвимостей».
В IAM
входят IM-приложения (IdentityManagement),
которые являются системами централизованного управления учетными записями и
разграничения прав доступа пользователей к информационным ресурсам, а также AM-приложения (AccessManagement)
– системы, обеспечивающие логическую связь аутентификации и авторизации
пользователей с корпоративными приложениями и сервисами однократной регистрации
– SSO (SingleSign-On). Однократная регистрация позволяет использовать
аутентификацию, выполненную в одной системе, другой системой, связанной с
первой.
В системах, объединяющих значительное число территориально
распределенных предприятий (организаций) и пользователей, в последние годы
набирает популярность так называемое распределенное управление идентификацией (FederatedIdentityManagement),
позволяющее использовать общие данные для доступа к разным серверам, службам и
документам благодаря обмену между ними едиными идентификационными данными.
Этому способствует появление таких технологий, как SAML и ADFS (ActiveDirectoryFederationServices),
а также сходных по назначению технологий компаний ComputerAssociates, EMC, HP, IBM, Oracle и SunMicrosystems. (Подробнее см. [3–6].)
BitLocker – технология шифрования дисков, используемая в серверной и клиентской
версиях WindowsServer
2008 и MicrosoftWindowsVista.
Обеспечивает физическую безопасность установленных данных: на сервере – защиту
от копирования и при физическом изъятии жесткого диска; на клиентских ПК
(особенно на ноутбуках) – конфиденциальность данных при их потере. В отличие от
EFS (см. далее),
которая позволяет шифровать только отдельные файлы, BitLocker шифрует весь том Windows целиком, в том числе
системные файлы WindowsServer
2008, которые необходимы для загрузки компьютера и регистрации в системе. Если
при загрузке компьютера BitLocker
обнаружит возможные угрозы безопасности (наличие ошибок диска, изменений BIOS или файлов загрузки), то
соответствующий раздел будет заблокирован и для его разблокирования потребуется
пароль восстановления BitLocker.
(Подробнее см. [7].)
CARML (ClientAttributeRequirementMarcupLanguage) – язык, созданный в
2006 г. компанией Oracle
на базе XML в рамках
открытой ею инициативы IGF
(IdentityGovernanceFramework), призванной помочь организациям
улучшить управление идентификацией и защитой персональной информации о
служащих, заказчиках и партнерах, используемых в приложениях и гетерогенных
сетях. Предназначен также для программистов, которые разрабатывают приложения,
реализующие условия контрактов с клиентами информационных служб в Интернете, в
частности, для реализации условий доступа к данным и сервисным услугам.
Помимо CARML в рамках проекта IGF создается язык AAPML (Attribute Authority Policy Markup Language)
для определения политики безопасности и регулирования доступа на уровне
приложений.
Регламентировать доступ к защищенным данным из различных источников
должна специальная служба – Identity
Service. Ведущие производители в этой области (в их числе CA, Novell, Ping
Identity, Securent, Sun Microsystems) рассмотрели черновой вариант спецификаций
и готовы к совместной работе с Oracle над полным и окончательным вариантом
языка.
С целью ускорения развития и принятия стандарта IGF для
повышения уровня защищенности корпоративных приложений, Oracle безвозмездно
передал спецификации IGF в международный консорциум Liberty Alliance, создающий системы идентификации, обеспечивающей
более безопасное использование Интернета государственными учреждениями, компаниями
и другими потребителями во всем мире.
Поставщики ПО, работающие вместе с Oracle и Liberty Alliance
над дальнейшим развитием этой спецификации, а также клиенты, внедряющие решения
на базе этой спецификации, смогут использовать IGF без каких-либо лицензионных
выплат Oracle. Это касается всех ключевых компонентов IGF, в том числе CARML
Specification, CARML Schema, CARML Client API, AAPML Specification.
(Дополнительную информацию можно получить по адресу:www.oracle.com/goto/igf/ip [8].)
CDP (ContinuousDataProtection) – «Непрерывная
защита данных» – концепция, предусматривающая непрерывное отслеживание и
фиксацию всех текущих изменений в файлах. Одной из первых попыток ее реализации
стал предложенный корпорацией Майкрософт (см. www.microsoft.com./windowsserversystem/dpm) в сентябре 2004 г.
программный продукт DPM
(DataProtectionManager 2006). Резервное копирование
DPM основано на
использовании функции «Сервисы теневого копирования тома» – VSS (VolumeShadowCopiesServices) в ОС WindowsServer 2003и ее специализированной версии WindowsStorageServer 2003, в которых данные
сначала копируются на диски сервера DPM, а затем VSS
записывает все последующие изменения в виде так называемых теневых копий. После
редактирования какого-либо файла на DPM пересылаются только те байты, которые содержат новые
значения. Таким образом сокращается объем трафика резервного копирования и
занимаемой области дискового пространства. Однако VSS ограничивает число резервных
копирований (не чаще восьми раз в сутки и одного в час), а число теневых копий
одного тома не может быть более 64. Кроме того, DPM пока не поддерживает в онлайновом
режиме защиту баз данных, электронной почты и восстановление вышедшего из строя
сервера. Поэтому Microsoft
характеризует свой продукт как «почти CDP». (Подробнее см. [9,
10].)
CDPF (IBMTivoliCDPforFiles) – реализация непрерывной
защиты данных (см. выше «CDP») в среде Windows для ноутбуков,
настольных ПК и файл-серверов корпорации IBM (см. www.ibm.com/ru/software/tivoli/ products/cont_data_prot_files.html). Заключается в том, что каждый
раз, когда создается новый файл или изменяется существующий, CDPF копирует его в специальную папку RealTimeBackup на том же диске, а затем, сразу после
подключения ПК к сети, пересылает ее на удаленный файл-сервер в сетевое
устройство хранения данных (NAS)
или на сервер резервного копирования – TSM (TivoliStorageManager).
Помимо этого CDPF
позволяет копировать файлы на съемные накопители (например флэш-диски). CDPF может использоваться как
отдельный продукт или компонент TSM.
(Подробнее см. [9].)
HDCP (High-Bandwidth Digital Content Protection)
– протокол защиты широкополосных цифровых данных, разработанный корпорацией Intel и являющийся одним из вариантов
системы управления цифровыми правами доступа (см. выше «DRM») к аудио- и
видеоданным, передаваемым по интерфейсам DVI и HDMI.
Лицензионные отчисления за его использование принимает дочернее подразделение
Intel – фирма Digital Content Protection LLC. Для предотвращения передачи и
воспроизведения нешифрованных аудио- и видеоданных служат:
1. Специальный протокол аутентификации, который не позволяет
несертифицированным устройствам получать контент высокой четкости;
2. Система шифрования данных, передаваемых по DVI или HDMI,
которая предотвращает как прямое копирование, так и "подслушивание"
данных, включая возможность атаки "третьим лицом".
3. Алгоритм аннулирования ключей в HDCP, который позволяет
сравнительно просто блокировать передачу контента HDTV на
устройства нарушивших соглашения производителей.
Устройства, поддерживающие HDCP, снабжаются уникальным набором
из 40 секретных ключей по 56 бит. Каждому набору соответствует специальный ключ
«вектор выбора ключа – KSV (key-selection
vector), который содержит 20 бит, имеющих значение «0», и 20 бит, имеющих
значение «1». Шифрование производится поточным шифром. К битам каждого пикселя
применяется операция XOR с некоторым 24-битным числом, которое генерируется
специальным устройством. В алгоритм заложена смена ключей после каждого кадра.
Во время аутентификации обе стороны (например ТВ и ресивер) обмениваются
ключами KSV. Затем каждое устройство суммирует свои секретные ключи в
соответствии с битами KSV от другого устройства. Если бит KSV равен единице, то
соответствующий секретный ключ используется, если нулю, то не используется.
Секретные ключи и KSV составлены таким образом, что в результате этого процесса
оба устройства получат одинаковое 56-битное число. Далее это число используется
для шифрования.
В случае, если некоторая модель будет считаться нарушившей
соглашение, ее KSV помещается в список аннулирования. Этот список записывается,
например, на все новые диски. Каждый список аннулирования заверяется цифровой
подписью на основе алгоритма DSA. Это требуется, чтобы отсечь попытки внесения
в такие листы легитимных моделей злоумышленниками. Во время аутентификации,
если источник сигнала обнаруживает, что KSV подключенного к нему устройства
есть в списке аннулирования, то он не устанавливает с ним соединения и не
передает данные высокой четкости. (Подробнее см. [11].)
MicrosoftForefront(ранее называлось Antigen и выпускалось компанией SybarySoftware, приобретенной
корпорацией Microsoft)
– семейство программных продуктов Майкрософт, которые предназначены для защиты
серверов корпоративных пользователей, шлюзов электронной почты и рабочих
станций сотрудников от вирусов, червей, спама, а также документов и данных
нежелательного содержания путем использования так называемой системы
разделенного многоядерного сканирования, в которой применяются ядра и базы
сигнатур различных производителей антивирусного и антиспамового ПО.
Одной из версий этого продукта является FCS (ForefrontClientSecurity),
обеспечивающий, по мнению представительницы Майкрософт Руси Калихман,
комплексный подход к вопросу информационной безопасности, простоту управления,
единое решение защиты от всех видов вирусов на технологиях, разработанных и опробованных Майкрософт и другими компаниями
ранее. В состав сервера FCS
и дистрибутива пакета ПО ClientSecurity
входят: MOM 2005 SPI; отчетный компонент MOM2005 ReportingSPI; дополнения для MOM*,
необходимые для совместной работы с ForefrontClientSecurity; SQL 2005 EnterpriseEdition и консоль ForefrontClientSecurity с
модулем отчетов. (Подробнее см. [12, 13].)
RSA – криптографический алгоритм,
название которого состоит из первых букв фамилий трех его разработчиков –
сотрудников Массачусетсского технологического института Рона Ривеста (RonRivest),
Ади Шамира (AdiShamir) и Лена Адлемана (LenAdleman). Алгоритм RSA, впервые опубликованный в 1977 г., считается и в
настоящее время одним из краеугольных камней современной электронной
безопасности. В 1986 г. ученые – изобретатели алгоритма основали
собственную фирму, названную RSASecurity, которая стала одним из лидеров на рынке
ИТ-безопасности; число ее сотрудников – более 1100; годовой оборот ~ 300 млн
долларов. Летом 2006 г. фирма вошла в корпорацию EMC в качестве отдельного подразделения
– RSA, TheSecurityDivisionofEMС. С 1992 г. по
настоящее время RSASecurity
проводит ежегодные специализированные по криптографическим проблемам
конференции, ставшие мировыми форумами в области ИТ-безопасности.
На мировом рынке программного обеспечения ИТ-безопасности
весьма популярны продукты RSASecurity,
относящиеся к области аутентификации, авторизации и администрирования – Security 3A:
– RSAAccessManager (ранее
известен как RSAClearTrust) – предназначен для управления доступом в сеть и
обеспечения защиты веб-приложений во внутренних и внешних сетях, порталах и
инфраструктурах обмена данными;
– RSADigitalCertificateManagementSolutions(ранее – RSAKeon) – система обеспечения информационной безопасности
предприятия, позволяющая вести безопасный электронный бизнес с помощью
создания, управления и использования цифровых сертификатов или подписей. Аутентификация
основана на использовании технологии открытых ключей;
– RSASecurID– средство аутентификации, предназначенное для предотвращения
неавторизованного доступа к конфиденциальным данным, приложениям и ресурсам как
в локальной сети предприятия, так и в открытых сетях. Обеспечивает двойную
защиту, поскольку пользователь должен знать персональный пароль и обладать
аутентификатором SecurID,
генерирующим каждые 60 секунд новый шестизначный цифровой код.
Помимо перечисленных средств, RSASecurity выпускает широкий
набор аутентификаторов, в том числе для электронных жетонов, смарт-карт и др.(Подробнее см. [14, 15].)
SOC(SecurityOperationsCenters) – «Операционные центры защиты [информации]»:
расположенная по всему миру разветвленная сеть центров, созданных компанией Symantec, для круглосуточного
предоставления услуг по обеспечению информационной безопасности.
Модель информационной безопасности Symantec включает:
1. Мониторинг событий в области безопасности, раннее
информирование об угрозах путем рассылки уведомлений;
2. Принятие контрмер и пресечение атак до того, как они
достигнут предприятия;
3. Предотвращение неблагоприятных событий или сведение к минимуму
их последствий;
4. Организацию оптимальной готовности к атакам.
(Подробнее см. [17].)
SSH(SecureShell) – «Защищенная
оболочка»:протокол и набор
программ, позволяющих выполнять Telnet-сеансыс
передачей информации в зашифрованном виде. Обеспечивает высокий уровень
аутентификации и безопасности передачи данных при использовании незащищенных
каналов. В настоящее время существуют две реализации этого протокола – SSH1 и SSH2. (Подробнее см. [18].)
WGA
(WindowsGenuineAdvantage)
– технология и соответствующие ей программные средства корпорации Майкрософт,
направленные против пиратской деятельности и предусматривающие ограничение
функциональных возможностей нелицензионных программных продуктов, а также
обеспечивающие корпорацию средствами контроля за добропорядочностью
использования клиентами ее программных продуктов.
В июле 2005 г. WGA стала обязательной при загрузке обновлений ОС WindowsXP с корпоративного сайта
Майкрософт. С того времени пользователи, желающие выполнить загрузку большей
части ориентированных на XP
программ и их обновлений, должны были соглашаться устанавливать на свои системы
различные компоненты WGA,
чтобы подтвердить подлинность используемой ими базовой системы Windows. Если копия версии Windows определялась как
контрафактная, пользователю выдавалось сообщение, призванное помочь ему решить
проблему. При этом ограничивалась возможность загрузки критически важных
подсистем безопасности.
С 2006 г. корпорация Майкрософт начала распространять
программу WGA скрытно в
виде критически важного обновления, за что многие аналитики объявили ее
шпионской. После существенного усовершенствования WGA вошла в состав ОС Vista. Vista-версия WGA лишает пользователя возможности
выполнять приложения и открывать или редактировать документы. Кроме того,
версия Vista, не
являющаяся подлинной, позволяет пользователю осуществлять поиск в глобальной
сети через InternetExplorer
лишь в течение часа и использовать оболочку Windows только для выполнения задач управления данными, например
резервного копирования. (Подробнее см. [19].)
Руткит (rootkit) –
наименование программного модуля, невидимого вместе со спрятанными в его папках
файлами для операционной системы и пользователя ПК. Использование руткит-технологийможет преследовать как полезные цели (например защиту
информационного продукта от несанкционированного копирования, обеспечение
ускорения или более надежного резервного копирования файлов и т.п.), так и
враждебные функции (например получение несанкционированного доступа к ПК,
внедрение и распространение различного рода вредоносных программ типа «червь»,
«троянский конь» и др.). Поэтому использование руткит-технологий не
приветствуется информационным сообществом и уже вызывало ряд конфликтов.
(Подробнее см. [20–22].)
Анонимайзер (anonymouser) – программа, позволяющая маскировать IP-адрес пользователя. (О результатах
тестирования существующих анонимайзеров см. [23].)
Стеганография (от греч.: steganos – секрет,
тайна; graphy – запись) – методология обеспечения информационной
безопасности, целью которой является сокрытие факта существования какой-либо
информации и/или её передачи.
В связи с развитием вычислительной техники и каналов
передачи данных появился ряд новых стеганографических методов, в основе которых
лежат особенности представления информации в компьютерных файлах,
вычислительных сетях и т.п. Это дает возможность говорить о становлении целого
нового направления защиты информации – компьютерной стеганографии. Последняя
основана на том, что те данные, которые необходимо скрыть, встраиваются внутрь
защищаемых файлов, не нарушая при этом их основных функциональных
характеристик.
Наибольшее распространение в компьютерной стеганографии получили
методы, основанные на использовании избыточности современных мультимедийных
файлов, таких, как оцифрованное изображение или звук. Компьютерная
стеганография использует также неспособность органов чувств человека различать
незначительные изменения в цвете изображения или качестве звука и т.п.
Например, изменение значений наименее значащих битов изображения, отвечающих за
цвет пикселя, не приводит к сколько-нибудь заметному для человека изменению цвета.
По отношению к защите передачи данных используются так
называемые стеганографические системы
(так же – стегосистемы), представляющие
собой реализацию совокупности методов и средств, обеспечивающих формирование
скрытого канала передачи информации.
При построении стегосистемы должны учитываться следующие положения:
1) потенциальный противник имеет полное представление о
стеганографической системе и деталях ее реализации; единственной информацией,
которая остается ему неизвестной, является ключ, с помощью которого только его
держатель может установить факт присутствия и содержание скрытого сообщения;
2) если противник каким-то образом узнает о факте
существования скрытого сообщения, это не должно позволить ему извлечь
содержащиеся в нем сведения в других источниках до тех пор, пока ключ хранится
в тайне;
3) потенциальный противник должен быть лишен каких-либо технических
и иных преимуществ в распознавании или раскрытии содержания тайных сообщений.
(Подробнее см. [24,
25].)
Цифровые водяные
знаки, ЦВЗ (Digital Watermarks) –
средства защиты компьютерных файлов, являющихся объектами авторского права, от
неправомерного изменения и копирования. ЦВЗ выполняются в виде стеганографических
(см. ранее) вставок (видимых или невидимых) и представляют собой специальные метки, которые внедряются в файл, цифровое изображение
или сигнал для контроля за правомерностью их использования.
Невидимые ЦВЗ должны обеспечивать:
1) незаметность для пользователей;
2) использование индивидуального алгоритма нанесения
(достигается путем стеганографического нанесения с использованием специального
ключа);
3) обнаружение автором несанкционированного использования
файла;
4) невозможность удаления неуполномоченными лицами;
5) устойчивость к изменениям носителя-контейнера, включая
изменения формата и размеров, сжатия поворота, аналого-цифровых преобразований,
введения спецэффектов и т.п.;
Этим требованиям удовлетворяет метод обратимого сокрытия
данных – RDH (ReversiibleDataHiding). ЦВЗ предлагается
использовать совместно с ЭЦП. Рекомендуется также сам знак ЦВЗ, алгоритмы его
встраивания и извлечения зафиксировать у нотариуса или зарегистрировать в
специализированной организации. (Подробнее о ЦВЗ и их использовании см. [26].)
Список источников
1. Воройский Ф. С. Информатика. Энциклопедический систематизированный словарь-справочник:
введение в современные информационные и телекоммуникационные технологии в
терминах и фактах. – Москва : Физматлит, 2006. – 768 с.
2. Воройский Ф. С. Защита информационных ресурсов // Науч. и техн. б-ки. – 2006. – № 9. –
С. 79–91.
3.
Орлов С. Крепкий
орешек // LAN/Журнал
сетевых решений. – 2005. – Март – С. 82–90.
4. Прохоров А. Рынок информационной безопасности 2005–2006 // Компьютер пресс. – 2006. – № 3 – С. 4–10.
5. Колесов А. Инфраструктурные решения для управления идентификацией и правами
доступа. Обзор решений в сфере IAM от ведущих мировых
производителей… // BYTE/Россия. – 2007. – № 02 (100). – С.18–23.
6. Асмаков С. Перспективные технологии: итоги и прогнозы / С. Асмаков,
Н. Елманова, С. Пахомов, О. Татарников // Компьютер пресс. – 2008. – № 1 – С.
4–43.
7. Безмалый В. Новая функцияWindowsServer 2008 обеспечит шифрование всех дисков // WindowsITPro/RE. –
2007. – № 8 (ноябрь-декабрь). – С. 40–45.
8. Oracle
безвоздмездно передала в Liberty Alliance технологию Identity Governance
Framework. [Электронный ресурс] – Режим доступа: http://www.realcoding.net/news/view/3086.
– Загл. с экрана.
9. Левин Л.CDP – решение непрерывной защиты данных // PCWEEK (RussianEdition). – 2006. – № 5 (515). – С. 24–25.
10.Кохран Джерри.ExchangeServer 2003 и VSS.
Новые методы обеспечения восстановления и отказоустойчивости. [Электронный
ресурс] – Режим доступа: http://www.osp.ru/win2000/2003/06/014.htm.
– Загл. с экрана.
11.Что такое HDCP? [Электронный ресурс] – Режим доступа: http://www.truehd.ru/20.htm.
– Загл. с экрана.
12.Елманова Н. Семейство продуктов MicrosoftForefront
// Компьютер пресс. – 2007. – № 3
– С. 49–57.
13.ЛохинО.Техническийобзор
Forefront Client Security // Windows IT Pro. – 2007. – № 6 (сентябрь). – С. 16–19.
14.Колесов А. Обсуждение ИТ-безопасности на высшем уровне // PCWEEK (RussianEdition). – 2007. – № 5 (563). – С. 1, 11.
15.Елманова С. Рынок ПО для обеспечения безопасности // Компьютер пресс. – 2007. – № 3 – С. 4–15.
16.Хоуи Дж.MOM для SMB
Security // Windows IT Pro. – 2007. – № 6 (сентябрь). – С.
42–55.
17.Павлова О. На первом рубеже защиты от кибератак // PCWEEK (RussianEdition).
– 2006. – № 36 (546). – С. 19, 20.
18.Лебедев И. Удаленное управление Linux-сервером по протоколу SSH // Компьютер пресс. – 2007. – № 10. – С.
23–25.
19.Тюрро П. О борьбе Microsoft против компьютерного пиратства // WindowsITPro/RE. –
2007. – № 1 (январь-февраль). – С. 10–12. 1328.
20.Новости.
Идеологически безопасный руткит // Компьютерра. – 2006. – № 3 (623). – С. 5, 6.
21.Хакер.
Руткит от Sony: история в деталях №1. [Электронный
ресурс] – Режим доступа: http://www.xakep.ru/post/28597/default.asp.
– Загл. с экрана.
22.Васильков А. Корень зол// Компьютерра. –
2006.— № 27–28 (647–648). – С. 42–44.
23.Групповой тест: программы анонимомайзеры // ComputerBild
(русское издание). – 2007. – № 25. – С. 60, 61.
24.Полтев С. По ту сторону терабайта // МИР ПК. – 2008. – № 2. – С. 16–18.
25.Генне О. В. Основные положения стеганографии.[Электронный ресурс] – Режим доступа:
http://www.citforum.ru/internet/securities/stegano.shtml. – Загл. с экрана.
26.Мельников Ю. Цифровые водяные знаки – новые методы защиты информации /
Ю. Мельников, А. Теренин, В. Погуляев // PCWEEK (Russian Edition).
– 2007. – № 48 (606). – С. 23.
|
