Простейшие практические меры защиты информации

Как работать с ключами шифрования (паролями)

Как было уже сказано, слабейшим звеном всякой системы защиты является человек. Даже в самой надёжной криптосистеме можно подобрать ключ, если пользователь выбрал его неаккуратно. Ниже приведены правила выбора паролей и обращения с ними. Несоблюдение их может свести на нет всю сложную систему защиты.

Пароль не должен быть значимым словом или сочетанием слов какого-либо языка. Словари всех языков давно составлены вместе со всеми возможными формами слов. Распространённые системы подбора паролей начинают перебор, используя словарь, в котором слова расставлены по частоте их употребления. Например, у вас длина пароля до 12 символов. Противник начинает взламывать вашу защиту, перебирая пароль со скоростью 10 000 вариантов в секунду (средний компьютер). Если в качестве пароля выбрано случайное сочетание символов (цифр и латинских букв разного регистра), то возможных вариантов примерно 12⁶², и перебор вариантов займёт

Возраст вселенной существенно меньше этого срока. Но если вы для более лёгкого запоминания поставили в качестве пароля осмысленное слово, то количество вариантов резко сокращается. В языке примерно 100 000 слов, вместе два языка дадут 200 000, с учётом всех возможных форм и кодировок пусть 106. Такое число будет перебрано за

Несколько выше ваши шансы, если использовалась пара слов. Сочетаний из двух слов – 10¹². Перебор займёт 10⁸ с – около 3 лет. Однако стоит противнику применить компьютер помощнее, как время полного перебора вновь упадёт до нескольких минут. Если же ваше сочетание слов сколь-нибудь осмысленно, то задачка упрощается на несколько порядков.

Не записывайте свой пароль в файле или на бумажке. Это приведёт к тому, что пароль не только станет известен тому, кто захочет его узнать, но и вы не будете подозревать, что пароль скомпрометирован. Когда вы не рискуете положиться на свою память, пароль записывается в специальный журнал паролей, который опечатывается и хранится в сейфе или в другом месте, исключающем доступ посторонних.

Не используйте один пароль для нескольких целей. Предположим, что вы придумали и ухитрились запомнить хороший пароль. И вы ставите его на свой аккаунт в локальной сети, на свой почтовый ящик, аккаунт в системе баннерного обмена, электронный кошелёк, шифруете им свои архивы и т.д. У всех этих систем разная степень стойкости. Грамотному хакеру не составит большого труда перехватить ваш пароль на почтовый ящик. После этого, если не полный лентяй, он попробует его ко всем вашим аккаунтам и, конечно, будет прав. Чтобы избежать такой «цепной реакции», придётся вам напрячь память и запомнить несколько паролей. Надо заметить, что не везде нужны пароли длинные и стойкие. Где-то возможно применение и простых, если информация не представляет особой ценности.

При наборе пароля, хотя он, как правило, на экране не отображается, следует всё же избегать чужих глаз. Будет очень полезно, если вы заведёте в коллективе такой порядок, что когда кто-то набирает свой пароль, остальные, как истинные джентльмены, отворачиваются, независимо от того, видно им или нет.

Шифрованные архивы

Программы-архиваторы, как правило, имеют опцию шифровки. Ею можно пользоваться для не слишком важной информации. Во-первых, используемые там методы шифровки не слишком надёжны (подчиняются официальным экспортным ограничениям), во-вторых, детально не описаны. Всё это не позволяет всерьёз рассчитывать на такую защиту. Однако архивы с паролем можно в большинстве случаев (ведь среди нас хакеров гораздо меньше просто любопытных).

На некоторых сайтах в Интернете вы можете найти «ломалки» для зашифрованных архивов. Например, архив ZIP взламывается на хорошем компьютере за несколько минут, при этом от пользователя не требуется никакой особой квалификации.

Шифровка в Word и Excel

Фирма Microsoft включила в свои продукты некоторое подобие криптозащиты. Но это весьма законопослушная фирма, которая чётко соблюдает все экспортные ограничения США, да ещё и перестраховывается. Это не позволяет надеяться на стойкость такой защиты. К тому же, алгоритм шифровки не описан, что, как было показано выше, является показателем ненадёжности.

Кроме того, имеются данные, что Microsoft оставляет в используемых криптоалгоритмах «чёрный ход». Если вам очень нужно расшифровать файл, пароль к которому утрачен (или враг не хочет говорить), можно обратиться в фирму. По официальному запросу, при достаточных основаниях они проводят расшифровку файлов Word и Excel. Так, кстати, поступают и некоторые другие производители ПО.

Шифрованные диски (каталоги)

Шифровка – достаточно надёжный метод защиты информации на вашем жёстком диске. Однако если количество закрываемой информации не исчерпывается двумя-тремя файлами, то вам будет несколько сложно с ней работать: каждый раз нужно будет файлы расшифровывать, а после редактирования – зашифровывать обратно. При этом на диске могут остаться страховочные копии файлов, которые создают многие пользователи.

Поэтому удобно использовать специальные программы (драйверы), которые автоматически зашифровывают и расшифровывают всю информацию при записи её на диск и чтении с диска.

Меры организационного характера

В качестве организационных мер защиты можно рекомендовать следующие:

1. Познакомить всех сотрудников и пользователей компьютерной системы с принципами защиты информации и принципами работы средств хранения и обработки информации. Представляя себе хотя бы на качественном уровне, что происходит при тех или иных операциях, сотрудник избежит явных ошибок.

2. Чётко классифицировать всю информацию по степени её закрытости и ввести правила обращения с документами ограниченного распространения.

3. Обязать сотрудников исполнять требования по защите информации, подкрепив это соответствующими организационными и дисциплинарными мерами.

4. Заставить всех сотрудников изучить современные средства защиты информации и сдать по ним зачёт.

5. Иметь в штате специалиста, профессионально разбирающегося в проблемах защиты информации.

6. Не использовать в работе программное обеспечение, в отношении которого не имеется чёткой уверенности, что оно не совершает несанкционированных действий с обрабатываемой информацией, таких, например, как самовольное создание копий, сбор информации о компьютере, отсылка по Интеренету сведений изготовителю программного обеспечения. Особенно подобным поведением «грешат» программные продукты фирмы Microsoft.

7. Поставив себя на место вероятного противника (конкурента), подумать, что он мог бы предпринять для получения несанкционированного доступа к вашей информации. Продумать ответные меры защиты.

8. Приобрести сертифицированные средства защиты информации.

9. Запретить сотрудникам (кроме уполномоченных специалистов) инсталлировать какое-либо новое программное обеспечение. При получении любых исполняемых файлов по электроной почте стирать их, не разбираясь.

10. Разработать комплексную стратегию защиты информации в вашей организации. Лучше поручить такую задачу сторонним специалистам.

11. Провести «испытание» имеющихся у вас средств защиты информации, поручив стороннему специалисту испробовать на прочность вашу защиту.

 

Литература

Нормативные правовые акты

1. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

2. ГОСТ Р 50922-96 от 01.07.97 «Защита информации: основные термины и определения».

3. ГОСТ Р 50739-95 от 01.01.96 «Средства вычислительной техники, защита от несанкционированного доступа к информации».

4. Федеральный закон Российской Федерации «О безопасности» №2446-1 от 05.03.1992.

5. Федеральный закон Российской Федерации «О государственной тайне» №5481-1 от 02.07.1993.

6. Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006.

7. Приказ от 08.06.2006г №420 об утверждении новой редакции программы МВД России «Создание единой информационно-телекоммуникационной системы органов внутренних дел».

8. Приказ от 22.07.2005г №596 вопросы дирекции программы МВД России «Создание единой информационно-телекоммуникационной системы органов внутренних дел».

9. Приказ 06.12.2004г №813 «О мерах по созданию единой информационно-телекоммуникационной системы органов внутренних дел».

10. Приказ от 25.04.2006г №298 «О системе адресации единой информационно-телекоммуникационной системы органов внутренних дел».

11. Приказ МВД России от 26.08.2006г №763 «Об утверждении структуры мультисервисной телекоммуникационной системы органов внутренних дел».

12. Федеральный закон Российской Федерации «О связи» от 07.07.2003г №126

⇐ Предыдущая11121314151617181920

Поделиться:

Популярное:

1. V. Расчет потребности в удобрениях и средствах защиты растений
2. Административно – предупредительные меры.
3. Административные меры, направленные на ограждение детей от пьянства
4. Аудиторные занятия (лекции, лабораторные, практические, семинарские занятия)
5. БАРЬЕРНЫЕ ФУНКЦИИ ТКАНЕЙ И ФАКТОРЫ ЕСТЕСТВЕННОЙ ЗАЩИТЫ ОРГАНИЗМА
6. Валютный контроль: нормативное регулирование, понятие, основные направления, субъекты, методы. Виды и меры отв-сти за нарушение валютного законод-ва.
7. Вибрация. Действие на организм человека и меры борьбы с ней
8. Во время растяжения и гибки профиля на профилегибочном станке должны быть приняты меры, не допускающие нахождения людей на расстоянии менее 1м от профиля.
9. ВОПРОС 26. СИСТЕМА СОЦИАЛЬНОЙ ЗАЩИТЫ ДЕТСТВА В РОССИЙСКОЙ ФЕДЕРАЦИИ
10. Гл а в а 25. Бытовое обслуживание малообеспеченных граждан как составная часть социальной защиты населения
11. ГЛАВА 1. ЭКОНОМИКО-ПРАВОВЫЕ ОСНОВЫ ОРГАНИЗАЦИИ СТРАХОВОЙ ЗАЩИТЫ.
12. ГЛАВА 8 ОСНОВНЫЕ НАПРАВЛЕНИЯ НЕЙТРАЛИЗАЦИИ ВНУТРЕННИХ ИСТОЧНИКОВ УГРОЗ И ЗАЩИТЫ ОТ ВНЕШНИХ УГРОЗ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ