Обновите ArcaOS до уровня NeoWPS Установите набор PNG иконок, нарисованных дизайнером, специализирующемся на оформлении OS/2 Установите eSchemes 2018, чтобы менять цвета и кнопки на рабочем столе

TITLE: Несколько слов о безопасности

DATE: 2002-01-19 20:14:30

AUTHOR: Andrei A. Porodko

Я не скажу, что я большой специалист по безопасности, в том числе и по компьютерной. Однако я осмелюсь сказать, что это скорее преимущество, когда мы говорим о компьютерной безопасности. Почему? Потому что компьютерная безопасность - очень сложная вещь и если бы я был специалистом, едва ли я смог бы найти общий язык с читателем. Тем не менее, я работаю системным администратором на протяжении многих лет и я рассматриваю этот текст как попытку систематизировать собственные знания о компьютерной безопасности. Мы будем говорить о компьютерной безопасности или, более точно, 'о безопасности данных', но для простоты, я буду использовать просто термин 'безопасность'.

Безопасность как таковая имеет свое собственное определение. Я понимаю ее как защиту любого компьютерного оборудования и информации от любых незаконных действий. Можно перечислить большое число незаконных действий. Профессионалы в безопасности называют их 'угрозами'. Например: компьютерное оборудование может быть подвергнуто угрозе уничтожения или похищения, информация может быть подвергнута угрозе раскрытия, и, конечно же, существует много методов защиты от подобных и других угроз. Несмотря на различную природу угроз, все методы защиты имеют много общего. Они могут быть разделены на три группы:

• Организационные методы, которые регулируют - кто, как, когда и где может получить доступ к компьютерному оборудованию и данным.
• Физические методы, которые ограничивают физический доступ к компьютерному оборудованию и данным.
• Технические и программные методы. Какое оборудование и программы используются для защиты.

Не существует предпочтительного метода защиты. Максимум безопасности достигается только когда все методы применяются в комплексе, совместно. Как вы могли заметить, первые две группы в основном будут одинаковыми для любой операционной системы и класса компьютеров. Технические и программные методы специфичны для каждой операционной системы, для каждой компьютерной платформы, так как различное оборудование совместимо с различными компьютерами и требует различной программной поддержки. То же самое можно сказать про программы. Нашей целью будет рассмотреть информационную безопасность в среде операционной системы OS/2. Это обозначает - компьютер Intel и установленную на нем OS/2, но перед тем, как мы начнем обзор, мы должны ответить на два вопроса: От чего мы собираемся защищаться (от каких угроз)? И что мы собираемся защищать? Я думаю, что для информации можно выделить три главные угрозы:

• раскрытие (компроментация)
• разрушение (уничтожение)
• искажение (подделка)

Остальные виды угроз являются комбинациями вышеперечисленных. Если первый вопрос кажется вполне разумным, то второй не кажется таковым. Хорошо, тогда зададим себе третий вопрос, который звучит как: Что есть информация? Или, лучше - в каких формах информация существует на наших компьютерах? Я думаю, это как минимум две формы в которых данные передаются и хранятся. Если быть правдивым, есть еще одна форма существования информации - в виде электромагнитных полей вокруг компьютера, но защита от распространения этих полей в основном яаляется общей проблемой для любого вида компьютерного оборудования и рассмотрение этого вопросы выходит за рамки нашей темы. Теперь мы можем подвести итог - у нас есть три вида угроз и два объекта защиты, и мы должны выбрать адекватные методы защиты для каждого вида информации в каждой из ситуаций.

Данные на устройствах хранения. Наиболее известный метод защиты для устройств хранения - это шифрование. Даже когда вы используете специальное оборудование для защиты информации на жестком диске (считыватели карточек и различные замки) мы можем говорить о шифровании, так как такие устройства часто выступают в роли носителя или считывателя ключей шифрования. Давайте посмотрим, что у нас есть в OS/2.

Существует один простой способ держать файлы в секрете о котором мы всегда забываем - шифрование, встроенное в архиваторы, такие как pkzip и arj. Да, это требует дополнительных ручных операций, и не обеспечивает высокой степени защиты, но это очень просто и вы всегда имеете этот инструмент под руками. Например, заархивируем и зашифруем файлы в каталоге \MySecretData:

D:\>pkzip /add /password=MyPassword MySecretData MySecretData\*
PKZIP(R)  Version 2.50  FAST!  Compression Utility for OS/2  5-1-1997
Copyright 1989-1997 PKWARE Inc.  All Rights Reserved. Shareware Version
PKZIP Reg. U.S. Pat. and Tm. Off.  Patent No. 5,051,745

 Encrypting files
 Using 204 compatible compression method
 Using compression level 5 - Default

Creating .ZIP: MySecretData.zip
  Adding File: description.lwp Deflating (16.9%), Encrypting, done.
  Adding File: Normal.dot      Deflating (86.4%), Encrypting, done.
  Adding File: os2mini.html    Deflating (65.2%), Encrypting, done.
  Adding File: svidet.gif      Storing   ( 0.0%), Encrypting, done.

От каких угроз защищает шифрование ? Все крипто-методы защищают ваши данные в первую очередь от раскрытия - так как преступник должен знать пароль, который не хранится в архивном файле; и от искажения - преступник не может исказить данные, так как просто не имеет к ним доступа. Однако, он может уничтожить данные - удалив архивный файл.

Существует множество самостоятельных утилит для шифрования каталогов и файлов. Они могут быть найдены, например, в файловом архиве hobbes в Интернет, но на мой взгляд, они полезны только если Вам необходимо держать данные в секрете в безопасном месте, а не для повседневного использования.

С другой стороны, гораздо более удобными в повседневном применении являются специальные утилиты шифрования-на-лету. Как правило в этих программах реализованы промышленные криптостойкие алгоритмы шифрования. На настоящий момент мне известны две из них:

• ZipStream от Carbon Based Software и
• Cipher-плагин для NetDrive от Nickk

Если кто-то знает другие программы, дайте мне пожалуйста знать. Как таковой, ZipStream - это больше, чем просто утилита шифрования Он также сжимает данные и позволяет создавать сжатые папки и диски. Конечно же, с нашей точки зрения это можно рассматривать как дополнительную защиту. Последняя версия - это версия 2.0, она поддерживает несколько разновидностей алгоритма шифрования DES. Обычному пользователю достаточно трудно ориентироваться в разнице между DES и другими алгоритмами. Действительно, сравнение методов шифрования достаточно сложная задача. Я думаю, следовало бы написать отдельную статью, посвященную рассмотрению именно этого вопроса с точки зрения конечного пользователя. До этих пор будет достаточно, если я скажу, что алгоритм DES использовался правительством США на протяжении многих лет. В настоящее время создано множество новых алгоритмов.

Cipher-плагин для NetDrive предлагает большее разнообразие алгоритмов, в том числе и современных, таких как Blowfish и Rijndael (и множество других). Дизайн Cipher позволяет добавлять новые алгоритмы без изменения базовой программы.

Наибольшим недостатком таких программ является необходимость помнить пароль или хранить ключ на дискете. Но если вы поместите дискету или лист бумаги с записанным на нем паролем в сейф - все будет в порядке, т.е. для многих коммерческих применений такие программы обеспечивают вполне приемлимую безопасность.

Как и использование шифрованных архивов, применение утилит шифрования-на-лету защищает данные от раскрытия и искажения, но файлы могут быть уничтожены, например: вирусом или преступником. Поэтому вы должны использовать дополнительные методы для защиты от уничтожения, скажем, ограничив организационно и физически доступ к компьютеру, делая резервные копии и используя антивирусное программное обеспечение.

Здесь я хочу коснуться одного вопроса, которому придается, как правило, мало значения - резервное копирование - это один из способов защиты информации. Не игнорируйте этого факта. Как это следует из моих предыдущих выкладок - безопасность должна быть всесторонней. Только в этом случае она эффективна. Еще одна мысль - существует одно важное правило безопасности, полная стоимость мер и средств по ее обеспечению не должна превышать стоимость защищаемых объектов. Насколько я знаю, как правило, это примерно десять процентов от общей стоимости компьютерной системы.

Продолжение следует...

Я приглашаю всех знакомых с безопасностью не понаслышке, и просто знающих людей, принять участие в создании 'Comprehensive Security Guide for eCS user' ;-)

Автор: Андрей Породько

Английский вариант: http://www.os2ezine.com/20020116/page_9.html

Комментарии:

Сергей 2002-01-20 03:33:38	я немножко не в тему.. но как обеспечить безопасность уничтоженных данных? :) как в OS/2 восстановить удаленный файл? и какой программой воспользоваться, если я хочу, чтобы этот файл было невозможно восстановить? как очистить "пустое место" на диске?
RElf 2002-01-20 04:07:19	Единственным гарантом доверия программе, используемой для шифрования данных, является доступность ее исходных текстов. Иначе никто не гарантирует вам, что программа не складывает ваши пароли "в укромном месте" или не отсылает их "кому следует". Таким образом, как средствам шифрования ни ZipStream, ни Cipher-plugin доверять нельзя! К счастью есть другой программный продукт, лишенный этого недостатка - это AEFS - файловая система на базе AES. Ее (вместе с исходными текстами) можно взять здесь: [url]
zuko 2002-01-20 12:10:52	to Сеpгей: есть специальные утилы для удаления, они пеpед удалением пpописывают файл нулями итп. Есть под ос2 и навеpняка на hobbes.nmsu.edu to RElf: Cipher-plugin-у довеpять можно ибо он написан nickk'ом ;) Я думаю автоpы могут пpедоставлять и исходники, настолько озабоченым коммеpческим пользователям за соответствующие $$.. to Porro: zip ты лучше даже и не упоминай, его кpиптостойкость очень низкая и напpямую зависит от длины паpоля.. Могу набpосать наметки на темя 'безопасной' пеpедачи данных в плане ос2.
Eugene Gorbunoff 2002-01-20 13:36:35	2 zuko: бросай прямо на [e-mail]
RElf 2002-01-20 15:04:14	2 zuko: мы уже спорили на эту тему на канале. Вспоминается анекдот: "...там все джентельмены, друг другу на слово верят - вот тут-то мне карта и пошла..." У AEFS есть еще одно неоспоримое достоинство - оно БЕСПЛАТНОЕ ;-)

Прокомментируйте эту статью (напоминаем, автор работал над текстом несколько недель, уважайте мнение других).

Ваше имя: Ваш E-Mail: CODE:
Ваш комментарий:

eComStation 2.0 работает быстрее (поддержка SMP x файловая система JFS) Что нового в eCS 2.0?