Значимость различных проблем ИТ-безопасности

Как показывает статистика, именно ошибки и неграмотные действия персонала (рис. 8.2) становятся причиной наибольших потерь предприятий. Недаром стала расхожей кем-то метко брошенная фраза: " Пользователь более непредсказуем, чем хакер ".

 

 

Рис. 8.2. По данным Computer Security, ошибки персонала составляют более 50% причин потерь на предприятии

 

Чтобы снизить количество ошибок персонала, необходимо иметь общие представления о безопасных коммуникациях.

Современная сеть - это многокомпонентная структура, включающая рабочие станции, мобильные компьютеры, доступ в Интернет и другие компоненты. Так что универсального решения по обеспечению защиты некой абстрактной организации не существует. Защиту различных компонентов можно строить на разных принципах, и выбор оптимальной стратегии защиты корпоративных данных - задача такая же сложная, как и любая иная задача комплексной информатизации. Сотрудники офиса, не занимающиеся вопросами безопасности профессионально, не обязаны обладать знаниями, достаточными для защиты корпоративной сети, однако должны иметь представление о том, какие системы безопасности применяются, в чем их суть и, главное, как необходимо взаимодействовать с этими системами, чтобы работа в офисе была безопасной.

 

 

Лекция 15: Криптозащита и безопасные коммуникации

 

Ключевые слова: пароль, ПО, письмо, криптография, crypto, идентификация пользовате- ля, сервер, открытый текст, алгоритм, шифрование, слово, ключ, симметричное шифрова-ние, симметричный ключ, асимметричное шифрование, алгоритм асимметричного шифро-вания, расшифрование, аутентичность, электронная подпись, открытый ключ, злоумышленник, CA, Certification Authority, цифровая подпись, сертификаты пользователей, центр сертификации, издатель сертификата, закрытый ключ, выпуск сертификатов, программный продукт, компьютер, пользователь, Internet, компонент, программа, безопасность, менеджер, certificate, manager, файл, значение, шифрование данных, Outlook, доступ, цифровой сертификат, адрес

 

Что такое криптография?

До сих пор мы рассматривали проблему ограничения доступа к информации лиц, которые заранее имеют пароль, обеспечивающий им вход в систему.

Однако если говорить о безопасных коммуникациях, то здесь возникают более сложные задачи. Допустим, нам необходимо переслать документ по Сети. Если мы защитим документ паролем, то для того, чтобы тот, кто получит защищенный документ, смог его открыть, необходимо сообщить пароль и ему, но как сделать так, чтобы пароль оказался недоступен другим лицам?

Рассмотрим конкретный пример. Пусть сотрудник А отправляет своему коллеге В важный документ по электронной почте (рис. 10.1.).

 

 

Рис. 10.1. Электронное письмо можно без труда прочитать в промежуточных пунктах его путешествия по Сети, например на сервере провайдера

 

Известно, что письмо и прикрепленные файлы можно без труда прочитать в промежуточных пунктах его путешествия по Сети, например на сервере провайдера.

Поэтому, получая письмо, В задает себе следующие вопросы. Действительно ли данный документ был отправлен А, а не другим лицом, которое выдает себя за " А "? Не был ли документ перехвачен и изменен в процессе доставки? Не был ли документ прочитан кем-либо, кроме него? Иными словами, его волнуют вопросы проверки аутентификации отправителя и послания и обеспечения конфиденциальности сообщения. Как будет показано ниже, все перечисленные проблемы решает современная криптография.

Криптография (от греч. cryptos - "тайный") - это наука и технология шифрования важной информации для защиты ее от изменений и неавторизованного¹ доступа. Криптография служит не только для перевода текстов в нечитаемую зашифрованную форму, но и позволяет решать задачи аутентификации и идентификации пользователей при работе в Сети.

Следует отметить, что в Сети мы общаемся не только с людьми, но и с различными службами. Например, когда мы собираемся скачать с какого-либо сервера программу, нам тоже важно знать, что данный сервер принадлежит именно фирме-разработчику, а не фирме-пирату, распространяющему нелицензионное ПО, которое может содержать вирусы.

Шифрование с помощью ключа

Процесс шифрования с помощью ключа рассмотрим на конкретном примере.

Предположим, нам нужно зашифровать открытый текст "Привет Вася" с помощью простейшего алгоритма - замены букв их номерами в алфавите. В результате мы получим зашифрованный текст вида: 17 18 10 3 6 20 3 1 19 33. Очевидно, что если посторонний узнает алгоритм шифрования, то использовать его в дальнейшем будет невозможно.

Этого несложно избежать, если использовать шифрование с ключом. Для того чтобы пояснить суть процесса шифрования с ключом, приведем простой пример (рис. 10.2).

 

 

Рис. 10.2. Принцип шифрования с секретным ключем

 

Выпишем буквы текста и под ними запишем их номера в алфавите. Третьей строчкой запишем буквы ключа, повторяя это слово на всю строку. Под буквами ключа запишем их номера в алфавите, а в четвертой строчке запишем сумму, которая и будет зашифрованным сообщением: 20 19 29 36 и т.д.

Зная ключ и алгоритм, легко расшифровать сообщение: 20 - 3 = 17, а 17-я буква алфавита - это "П" и т.д. Даже если злоумышленнику известен алгоритм, но неизвестен ключ, прочитать сообщение без длительной процедуры подбора ключа невозможно. Таким образом, один алгоритм можно использовать со многими ключами для разных каналов связи, закрепив за каждым корреспондентом отдельный ключ.

Чем длиннее ключ шифра, тем больше потребуется переборов различных комбинаций при расшифровке и тем, соответственно, сложнее раскодировать сообщение.