Технологии и продукты Microsoft в обеспечении информационной безопасности

Технологии и продукты Microsoft в обеспечении
информационной безопасности

2-е издание, исправленное

Авдошин С.М.
Савельева А.А.
Сердюк В.А.

Национальный Открытый Университет “ИНТУИТ”
2016

2

Технологии и продукты Microsoft в обеспечении информационной безопасности/ С.М. Авдошин ,
А.А. Савельева , В.А. Сердюк - М.: Национальный Открытый Университет “ИНТУИТ”, 2016

Предлагаемый курс позволит студентам приобрести знания современных технологий защиты
информации и навыки практического использования способов противодействия угрозам ИБ с
использованием технологий Microsoft.
Предлагаемый курс ориентирован на то, чтобы ознакомить слушателей с различными подходами к
обеспечению информационной безопасности организации. Особенностями курса являются: изучение
принципов криптографии как основы технологий обеспечения ИБ; систематизированное изложение
информации о продуктах и технологии на базе модели STRIDE; ориентация на практические аспекты
обеспечения ИБ с привязкой к продуктам и технологиям компании Microsoft; комплексный подход к
проблеме обеспечения ИБ с разных позиций - программиста, системного администратора,
архитектора и топ-менеджера

(c) ООО “ИНТУИТ.РУ”, 2010-2016
(c) Авдошин С.М., Савельева А.А., Сердюк В.А., 2010-2016

3

Введение. Основные понятия информационной безопасности

Лекция знакомит слушателей с основными проблемами ИБ и причинами их появления
в конце XX в.

Презентацию к лекции Вы можете скачать здесь скачать:
http://old.intuit.ru/department/security/mssec/1/lecture.ppt.

Цель лекции

Изучить фундаментальные свойства оцифрованной информации
Проанализировать причины появления киберпреступности
Рассмотреть примеры нерешенных проблем
Понять причины, по которым совершенная защита информации невозможна

Во времена Римской империи была сформулирована геополитическая формула: “Кто
владеет морем, тот владеет миром!” Во время Второй мировой войны это выражение
было модифицировано и звучало уже следующим образом: “Кто владеет воздушным
пространством, тот владеет миром!” И наконец, во второй половине XX века, в период
становления постиндустриального общества был выработан новый геополитический
тезис: “Кто владеет информацией, тот владеет миром!”, который остается актуальным
и по сей день.

Наступило время, когда необходимо считаться с тем, что переход информации в разряд
важнейших ресурсов человечества одновременно порождает проблему обладания этим
ресурсом, его уничтожения или изменения, исходя из государственных, коммерческих,
частных и других интересов, и, как следствие, приводит к появлению нового средства
нападения или защиты, т.е. информационного оружия. Причиной такой перемены
стала возможность представления информации в цифровом виде. Важно отметить, что
цифровая информация обладает следующими неотъемлемыми свойствами

Отчуждаемость
Воспроизводимость
Неуничтожимость
Возможность быстрого поиска

С одной стороны, эти качества позволяют существенно оптимизировать процесс
обработки информации, сведя к минимуму вмешательство человека в рутинные
процессы и обеспечивая легкий и быстрый доступ к необходимым сведениям. С другой
стороны, они же стали причиной появления в конце XX в. нового вида злодеяний киберпреступлений. Так, отчуждаемость и воспроизводимость информации вкупе
привели к обострению проблемы защиты авторских прав. Не так давно понятие
“кража” подразумевало, что субъект лишается неких материальных ценностей. С
цифровой информацией все по-другому: если пират копирует диск с записью еще не
вышедшего фильма, имущество правообладателя может физически не пострадать однако при этом законный хозяин теряет над своим произведением контроль. Более
того, если до появления компьютеров создание дубликатов приводило к ухудшению

4

качества объекта копирования (репродукции картин, переписывание книг и
аудиокассет и т.д.), то в цифровом мире копирование может производиться в
неограниченных количествах практически бесплатно - и без потери качества! К
парадоксально нежелательным результатам привело и быстрое снижение цен на
устройства хранения данных. Работа по анализу хранимой в организации информации
с целью выявления данных, подлежащих уничтожению по причине утери актуальности
и полезности, обходится дороже покупки и установки нового оборудования.
Вследствие этого новостные ленты пестрят заголовками о найденных в мусоре или
купленных на аукционах жестких дисках и магнитных лентах, содержащих секретные
сведения, которые никто не потрудился стереть перед утилизацией устройств.
Отдельного внимания заслуживает проблема уничтожения информации, хотя бы
однажды появившейся в Интернет и проиндексированной поисковой системой.
Возможность быстрого поиска и объединения по ключевым полям (например, ФИО и
адрес электронной почты) делает задачу составления портрета активного пользователя
компьютера максимально простой для злоумышленника.

Как следствие этого острота проблемы обеспечения информационной безопасности
(ИБ) субъектов информационных отношений, защиты их законных интересов при
использовании информационных систем и сетей, хранимой, обрабатываемой и
передаваемой в них информации постоянно возрастает. Несмотря на интенсивное
внедрение вновь создаваемых технологических решений в области информационной
безопасности, уровень криминогенности в информационной сфере сетей передачи
данных ведущих стран мира постоянно повышается, что приводит к миллиардным
финансовым потерям.

По данным координационного центра немедленного реагирования CERT,
организованного при университете Карнеги Меллона, ежегодно наблюдается рост
количества регистрируемых информационных атак (рис. 1.1). Как видно на диаграмме,
одной из наиболее актуальных проблем в последнее время стала защита от инсайдеров
(сотрудников компании, являющийся нарушителем, который может иметь легальный
доступ к конфиденциальной информации). Такая угроза стала возможной во многом
из-за появления портативных и дешевых устройств хранения с высокой плотностью
записи. Обостряет ситуацию мировой финансовый кризис, в условиях которого
выросло число сотрудников, недовольных своим работодателем (вследствие
сокращения зарплаты или даже увольнения) и желающих нанести ему вред или
незаконно обогатиться.

5

Рис. 1.1.  Рост количества атак

Характерно, что количество компьютерных преступлений, совершаемых в России,
ежегодно увеличивается. Так, согласно статистике Министерства внутренних дел РФ,
количество компьютерных преступлений, связанных с несанкционированным
доступом к конфиденциальной информации, увеличилось с шестисот инцидентов в
2000 г. до семи тысяч в 2004 г. К основным причинам роста количества атак можно
отнести следующие факторы:

с каждым годом увеличивается количество пользователей общедоступных сетей
связи, таких, например, как сеть Интернет. При этом в качестве новых
пользователей выступают как отдельные клиентские рабочие станции, так и целые
корпоративные сети;
увеличивается количество уязвимостей, ежедневно обнаруживаемых в
существующем общесистемном и прикладном программном обеспечении;
возрастает число возможных объектов атаки. Если несколько лет назад в качестве
основных объектов несанкционированного воздействия рассматривались
исключительно серверы стандартных Web -служб, такие как HTTP, SMTP и FTP, то к
настоящему моменту разработаны средства реализации атак на маршрутизаторы,
коммутаторы, межсетевые экраны и др.;
упрощаются методы реализации информационных атак. В сети Интернет можно
без труда найти программные реализации атак, направленных на активизацию
различных уязвимостей. При этом использование этих средств сводится к вводу IP
-адреса объекта атаки и нажатию соответствующей управляющей кнопки;
увеличивается число внутренних атак со стороны пользователей
автоматизированных систем (АС). Примерами таких атак является кража
конфиденциальной информации или запуск вредоносного программного
обеспечения (ПО) на рабочих станциях пользователей.

Необходимо отметить, что уровень сложности информационных атак также постоянно
растет. Данное утверждение можно проиллюстрировать на примере эволюции
компьютерных вирусов. В момент своего первого появления в 1980 г. вирусы
представляли собой достаточно простые программы, которые самостоятельно
распространялись в автоматизированных системах и основной задачей которых было
нарушение работоспособности системы. Сегодня же компьютерные вирусы

6

представляют существенно более сложные программные средства, способные
распространятся практически в любой среде передачи информации, а также
маскироваться под работу штатного ПО. Кроме этого, современные модификации
компьютерных вирусов в основном используются для кражи конфиденциальной
информации, а также для получения несанкционированного доступа к компьютерам
пользователей. Аналогичная тенденция характерна и для других видов угроз
безопасности, для реализации которых постоянно придумываются более изощренные
методы и средства проведения атак. Изменилась и ментальность хакеров: если раньше
основной мотивацией было решение сложной проблемы и возможность
самоутверждения, то сегодня на первый план выходит коммерческая составляющая,
которая способствует объединению талантливых одиночек в организованные
преступные сообщества.

Стоит обратить внимание на положительную тенденцию - некоторые производители
программного и аппаратного обеспечения стали обращать внимание на безопасность
продукта уже на стадии проектирования, а не в последний момент, когда изменить чтолибо в архитектуре системы уже поздно и можно довольствоваться функциональными
“заплатками”. Однако и на этом пути есть препятствия: во-первых, производство
продукта, не содержащего ошибок, в реальном мире невозможно; во-вторых,
компьютер представляет собой систему из огромного числа компонентов от разных
вендоров, и тестирование совместной работы всевозможных комбинацией является
неразрешимой задачей. Наконец, самая совершенная защита может быть взломана, и
причина этому - человеческий фактор. Устранить эту угрозу принципиально
невозможно, т.к. персонал является неотъемлемой частью любой информационной
системы.

С учетом вышесказанного можно с уверенностью утверждать, что проблема защиты
АС от информационных атак является одной из наиболее актуальных и значимых в
ИТ-индустрии. По всему миру ежегодно проводится большое количество
исследований, направленных на разработку новых и более эффективных методов
противодействия угрозам злоумышленников. С учетом актуальности вопросов,
связанных с защитой от внешних и внутренних информационных атак, и был написан
этот учебный курс.

Краткие итоги

В данной лекции были рассмотрены фундаментальные свойства оцифрованной
информации и их влияние на рост угроз в сфере информационной безопасности с
наступлением компьютерной эры. Перечислены факторы, не позволяющие обеспечить
совершенную защиту информации, и выделен перечень не решенных на данный
момент проблем.

7

Составление досье с использованием интернет-ресурсов для
оценки воздействия ИКТ-технологий на неприкосновенность
частной жизни

Перед студентами ставится задача собрать и систематизировать как можно больше
информации друг о друге с использованием общедоступных Интернет-ресурсов,
оценить угрозу злоумышленного применения информации и выработать рекомендации
по обеспечению необходимого уровня безопасности частной жизни в мире цифровых
зависимостей

Цель занятия

Воспитание ответственного отношения к информационной деятельности,
связанной с обработкой и хранением информации;
Приобретение опыта профилактической и предупреждающей деятельности по
отношению к информационным угрозам на уровне личной информационной
безопасности

Методические указания

Для выполнения лабораторной работы студенты разбиваются на пары.
Первая задача: найти как можно больше личной информации о коллеге, используя
общедоступные сетевые ресурсы:

1. Поисковые системы bing.ru, google.ru, yandex.ru, rambler.ru, aport.ru и

др.

2. Социальные сети: vkontakte.ru, odnoklassniki.ru, moikrug.ru,

professionali.ru, linkedin.com, facebook.com и др.

3. Сервисы онлайн-блогов: livejournal.com, blogs.mail.ru, blogs.yandex.ru,

blog.ru, www.blogdir.ru

4. Сайты профессиональных сообществ
5. Сайты ВУЗов
6. и т.д.

Создать с использованием собранной информации досье со следующими
основными разделами:

1. ФИО, дата рождения, семейное положение, место проживания, контакты
2. Профессия, области профессиональных интересов, жизненные цели
3. Круг общения: родственники, друзья, коллеги, знакомые
4. Посещаемые места, пристрастия в еде, одежде, музыке и др.
5. Наличие машины
6. Распорядок дня
7. Фотографии
8. Другое

Оценить возможность использования найденной информации злоумышленниками,
например:

1. Телефонными террористами

8

2. Мошенниками
3. Похитителями номеров банковских карт
4. Распространителями рекламной продукции и т.д.

Передать собранные материалы “коллеге” и получить досье с информацией о себе
Оценить уровень конфиденциальности, актуальности и достоверности собранной
информации
Проанализировать выводы коллеги о возможности использования найденной
информации злоумышленниками
Оценить уровень влияния цифровых технологий на свою частную жизнь и
продумать шаги по обеспечению желаемого уровня безопасности

Краткие итоги

В результате выполнения лабораторной работы студенты должны:

научиться смотреть на свои персональные данные с позиции взломщика
понять важность обеспечения личной информационной безопасности в
современном обществе

9

Моделирование угроз ИБ: различные подходы

В лекции рассматривается анализ рисков как основа управления информационной
безопасностью предприятия. Обосновывается выбор модели угроз STRIDE как основы
для изложения материалов курса.

Презентацию к лекции Вы можете скачать здесь скачать:
http://old.intuit.ru/department/security/mssec/3/lecture.ppt.

Цель лекции

Рассмотреть методы и инструменты анализа и контроля информационных рисков
Изучить преимущества и недостатки Количественной оценки соотношения потерь
от угроз безопасности и затрат на создание системы защиты
Провести сравнительный анализ подходов к распознаванию угроз с
использованием различных моделей: CIA, Гексада Паркера, 5A, STRIDE
Обосновать выбор модели STRIDE как основы для изложения материалов курса

Основой управления информационной безопасностью предприятия является анализ
рисков. Фактически риск представляет собой интегральную оценку того, насколько
эффективно существующие средства защиты способны противостоять
информационным атакам.

Обычно выделяют две основные группы методов расчёта рисков безопасности. Первая
группа позволяет установить уровень риска путём оценки степени соответствия
определённому набору требований по обеспечению информационной безопасности. В
качестве источников таких требований могут выступать (рис. 3.1):

Нормативно-правовые документы предприятия, касающиеся вопросов
информационной безопасности;
Требования действующего российского законодательства - руководящие
документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и др.;
Рекомендации международных стандартов - ISO 17799, OCTAVE, CoBIT и др.;
Рекомендации компаний-производителей программного и аппаратного
обеспечения - Microsoft, Oracle, Cisco и др.

Рис. 3.1.  Источники требований информационной безопасности, на основе которых
может проводиться оценка рисков

10