CC BY
65КУРБАНОВ Тагир Курбанович,
старший преподаватель кафедры «Информационная безопасность» Дагестанского государственного технического университета, e-mail: [email protected] SPIN-код: 1537-7511
КАРАЧАЕВ Аслан Русланович,
преподаватель кафедры ОПД Северо-Кавказского института повышения квалификации (филиал) Краснодарского университета МВД России, е-mail: [email protected]
ПАШАЕВА Фатима Руслановна,
студентка 3 курса кафедры «Информационная безопасность» Дагестанского государственного технического университета,
e-mail: [email protected]
ГИТИНОВ Хаджимурад Халилулаевич,
преподаватель Дагестанского государственного
аграрного университета, e-mail: [email protected]
АНАЛИЗ МЕТОДОВ ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЛИЧНОЙ ИНФОРМАЦИИ
Аннотация. В современном обществе возрастает количество проблем, связанных с утечкой информации, в связи с чем, необходимо применение различных программно-аппаратных средств или систем для защиты информации. Создание новых информационных технологий и широкая компьютеризация приводят к тому, что информационная безопасность становится из основных характеристик информационных систем. Существует множество угроз безопасности, приводящих к искажению информации, разрушению информационных ресурсов контролируемой системы, нарушающих защищенность системы. В настоящее время для защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, включающего комплекс взаимосвязанных мер (использование специальных технических и программных средств, организационные мероприятия, правовые акты, морально-этические меры противодействия и т.д.). Технология защиты информации в компьютерных информационных системах и сетях передачи данных активно развивается с каждым днем, требуя немалых усилий и больших затрат, тем самым позволяя избежать гораздо больших потерь или ущерба, которые могут возникнуть при реализации реальных угроз для информационных систем и информационных технологий.
Ключевые слова: информационная безопасность, несанкционированный доступ, защита информации, хакерские атаки, утечка данных.
KURBANOV Tagir Kurbanovich,
Senior lecturer of the Department "Information Security" of Dagestan State Technical University
KARACHAEVAsian Ruslanovich,
Lecturer of the Department of OPD of the North Caucasus Institute of Advanced Training (branch) of the Krasnodar University of the Ministry of Internal Affairs of Russia
ОБРАЗОВАНИЕ И ПРАВО № 5 • 2022
DOI: 10.24412/2076-1503-2022-5-325-329 NIION: 2018-0076-5/22-708 MOSURED: 77/27-023-2022-5-907
PASHAEVA Fatima Ruslanovna,
3rd year student of the Department of Information Security of Dagestan State Technical University
GITINOV Khadzhimurad Khalilulayevich,
lecturer at Dagestan State Agrarian University
ANALYSIS OF METHODS OF PROTECTION AGAINST UNAUTHORIZED ACCESS TO PERSONAL INFORMATION
Annotation. In modern society, the number of problems associated with information leakage is increasing, which requires the use of various software and hardware or systems to protect information. Creation of new information technologies and widespread computerization lead to the fact that information security becomes one of the main characteristics of information systems. There are many security threats that lead to the distortion of information, the destruction of information resources of the controlled system, which violate the security of the system. Currently, information protection requires not just the development of private protection mechanisms, but the implementation of a systematic approach that includes a set of interrelated measures (the use of special technical and software tools, organizational measures, legal acts, moral and ethical countermeasures, etc.). Technology of protection of information in computer information systems and data transmission networks actively develops every day, requiring no small effort and great expense, thus avoiding much greater losses or damage that may arise during the realization of real threats to information systems and information technology.
Key words: information security, unauthorized access, information security, hacker attacks, data leakage.
Для начала рассмотрим такое понятие, как «несанкционированный доступ». Под несанкционированным доступом понимается получение лицами доступа к данным, сетям, конечным точкам, приложениям или устройствам организации без разрешения [1, с. 55]. Он тесно связан с аутентификацией - процессом, который проверяет личность пользователя при доступе к системе. Сломанные или неправильно настроенные механизмы аутентификации являются основной причиной доступа неавторизованных лиц.
Блокирование несанкционированного
доступа играет центральную роль в предотвращении утечек данных [2, с. 3]. Однако надежная программа безопасности использует «защиту в глубину» - несколько уровней защиты в попытке смягчить атаки задолго до того, как злоумышленники достигнут чувствительной системы. Дополнительные уровни безопасности включают защиту Сети, защиту конечных точек и защиту данных.
У несанкционированного доступа может быть множество причин возникновения, самыми распространёнными являются:
• слабые пароли, выбранные пользователями, или пароли, совместно используемые различными службами;
• атаки социальной инженерии, в первую очередь, фишинг, когда злоумышленники рассылают сообщения, выдавая себя за закон-
ные лица, часто с целью кражи учетных данных пользователя;
• взломанные учетные записи - злоумышленники часто ищут уязвимую систему, компрометируют ее и используют для получения доступа к другим, более защищенным системам;
• инсайдерские угрозы - злоумышленник может использовать свое положение для получения несанкционированного доступа к системам компании;
• вредоносное ПО - использует ботнеты для получения несанкционированного доступа к финансовым системам путем кражи учетных данных, банковской информации и финансовых данных;
• cobalt strike - коммерческий инструмент для тестирования на проникновение, используемый для проведения spear-phishing и получения несанкционированного доступа к системам.
Типичное нарушение безопасности происходит в три этапа:
• исследование - злоумышленник ищет слабые места или уязвимости в организационных системах, людях или процессах;
• сетевая / социальная атака - злоумышленник пытается проникнуть за периметр Сети -либо обходя сетевые защитные системы, либо используя социальную инженерию,
ОБРАЗОВАНИЕ И ПРАВО № 5 • 2022
чтобы обманом заставить людей предоставить доступ, данные или учетные данные; • эксфильтрация - как только злоумышленнику удается получить доступ, он может украсть ценные активы или нанести ущерб в точке проникновения, а также осуществить боковое перемещение для получения доступа к другим, более ценным системам [3, а 40].
Получив несанкционированный доступ к организационным системам или учетным записям пользователей, злоумышленники могут украсть или уничтожить частные данные; украсть деньги или товары путем мошенничества; украсть личные данные пользователей; скомпрометировать системы и использовать их для незаконной или преступной деятельности; саботировать организационные системы или наносить ущерб вебсайтам; нанесение физического ущерба - путем получения доступа к подключенным устройствам.
Успешная утечка данных имеет различные последствия: утечки данных; ущерб репутации и доверию; нарушение непрерывности бизнеса; снижение финансовой оценки или цены акций; расходы на ликвидацию последствий и расследование нарушения; штрафы, налагаемые правительствами или стандартами безопасности; выплата ущерба пострадавшим сторонам; расходы на PR и коммуникацию [4, а 5].
Существует несколько групп методов защиты, в т.ч. препятствие предполагаемому нарушителю с помощью физических и программных средств, управление или воздействие на элементы защищаемой системы, маскировка или преобразование данных с использованием криптографических методов, регулирование или разработка законодательства и комплекса мер, направленных на стимулирование правильного поведения пользователей, работающих с базами данных, принуждение или создание условий, при которых пользователь будет вынужден соблюдать правила работы с данными, поощрение или создание среды, которая мотивирует пользователей действовать правильно [5, а 4].
Шифрование сетевого трафика гарантирует, что данные не могут быть перехвачены злоумышленником, который подглядывает за сетевым трафиком [6, а 9]. По состоянию на 2014 г. широко распространено использование шифрования для защиты сетевого трафика, проходящего через открытый Интернет, обычно в виде соединений SSL/TLS. Однако внутри центров обработки данных соединения между серверами часто не шифруются [7, а 3].
Злоумышленник, получивший доступ к такой Сети, даже не имея доступа к самим серверам, на которых хранятся данные, все равно может переОБРАЗОВАНИЕ И ПРАВО № 5 • 2022
хватить защищенные конфиденциальностью данные, передаваемые между серверами в многомашинном кластере. Кроме того, организации все чаще записывают и анализируют собственный сетевой трафик для обнаружения вторжений в Сеть [8, c. 176]. В результате, полные копии сетевого трафика могут храниться в таких системах мониторинга в течение длительных периодов времени. Это может привести к непреднамеренной утечке защищенных данных в систему, в которой не реализованы такие же уровни контроля и надзора [9, c. 211].
Важно, чтобы все сетевые соединения, по которым перемещаются данные, защищенные от несанкционированного доступа, использовали шифрование. Это относится не только к соединениям, созданным авторизованными пользователями для доступа к системе извне центра обработки данных, но и к сетевым соединениям между узлами в многосерверной системе. На практике это почти всегда требует использования SSL/TLS или аналогичного VPN-уровня между пользователями и системой. Внутри самой системы связь может быть защищена с помощью SSL/TLS, IPSec или другой технологии VPN «точка-точка».
Шифрование в состоянии покоя гарантирует, что данные не будут храниться в виде обычного текста. При использовании этой технологии, когда данные записываются на диск (или твердотельный накопитель, или ленту и т.д.), они шифруются с помощью набора секретных ключей, известных только привилегированным администраторам системы. Эта техника защищает не только от компрометации данных в случае взлома системы, когда злоумышленник получает удаленный доступ к системе хранения данных, но и от физической кражи, когда похищаются сами устройства хранения данных для последующего извлечения информации.
Шифрование в состоянии покоя может усложнить управление системой, поскольку секретные ключи должны предоставляться человеком при запуске и перезапуске системы, а не позволять полностью автоматизировать циклическую работу системы. Шифрование в состоянии покоя также требует тщательного аудита всех мест, где данные могут временно храниться, например, серверов временного хранения или кэширования.
Двухфакторная аутентификация требует предъявления пользователем двух частей информации перед предоставлением доступа к системе. Таким образом, скомпрометировать учетную запись легитимного пользователя гораздо сложнее, чем просто узнать его пароль.
Если первым фактором обычно является пароль, то второй фактор — это одноразовый код
доступа, предоставляемый специализированным оборудованием или программным обеспечением, таким как токен RSA SecurlD или приложение для смартфона, выполняющее ту же функцию (например, Google Authenticator или Duo Security). Это также может быть одноразовый код, предоставляемый через внеполосный механизм связи, например, SMS-сообщение или автоматический телефонный звонок.
Хотя это делает аутентификацию немного более громоздкой, это заставляет любого потенциального злоумышленника не только скомпрометировать пароль пользователя, но и физическое устройство, которое находится под его контролем. Для еще большей безопасности трехфакторная аутентификация может сопровождать каждый успешный вход в систему электронным или SMS-сообщением, чтобы пользователь мог быстро получить предупреждение о несанкционированном доступе к учетной записи и немедленно сообщить об этом.
Защита конфиденциальности — это, прежде всего, регулирование санкционированного доступа к данным и их использования. Информационная безопасность (сокращенно InfoSec, или кибербезопасность), которая, в первую очередь, направлена на предотвращение несанкционированного доступа к информации, — это то, что делает защиту конфиденциальности возможной. Без контроля несанкционированного доступа создание режима защиты конфиденциальности для авторизованных пользователей не имеет смысла, поскольку любая защита, которую можно легко обойти, не является настоящей защитой вообще.
Хотя реализация конфиденциальности и безопасности направлена на защиту от различных угроз, они используют одни и те же технологии, такие как шифрование, аудит, протоколирование, контроль доступа, разделение задач, оповещение, активный мониторинг и расследование. Поэтому вполне понятно, что организация, не задумывавшаяся над основными различиями, может принять конфиденциальность за безопасность. Но архитектура — это расположение вещей для создания целого с желаемыми свойствами, а желаемые свойства для защиты конфиденциальности и для защиты от несанкционированного доступа не одинаковы. Каждое из них требует уникального подхода к проектированию.
Если в организации нет специальной команды по информационной безопасности, то требуется ее создание. Если же в организации уже есть специальная команда по информационной безопасности, нужно привлечь ее к процессу проектирования на раннем этапе. Будучи экспертами по сетевой безопасности, они дадут бесцен-
ные советы по созданию системы, отвечающей требованиям безопасности и соответствия требованиям организации.
Требования безопасности могут оказать огромное влияние на все аспекты проектирования системы. Архитектура данных, возможность совместного размещения сервисов на одной машине, производительность системы и даже бюджет на оборудование могут быть существенно затронуты требованиями безопасности.
Список литературы:
[1] Будников C.A., Паршин H.B. Информационная безопасность автоматизированных систем: учеб. пособие.- 2-е изд., доп. - Воронеж: Изд-во им. Е. А. Болховитинова, 2011.
[2] Васильков А.В. Безопасность и управление доступом в информационных системах / А.В. Васильков, И.А. Васильков. — М.: ФОРУМ: ИНФРА-М, 2013. — 368 с.
[3] Гаидамакин Н.А. Разграничение доступа к информации в компьютерных системах. — Екатеринбург: Изд-во Урал. ун-та, 2003. — 328 с.
[4] Гитинов Х.Х., Курбанов Т.К., Алискеров М.Р., Качаева Г.И. Актуальные проблемы обеспечения защиты конфиденциальной информации в условиях электронного документооборота в работе государственных и муниципальных органов // Образование и право. - 2021. - № 10. - С. 131-139.
[5] Зегжда Д.П. Основы безопасности информационных систем / Д.П. Зегжда, А.М. Ивашко. — М.: Горячая линяя — Телеком, 2000. — 452 с.
[6] Курбанов Т.К., Мирземагомедова М.М. Правовой статус применения физическими и юридическими лицами открытых систем аудио- и видеозаписи // Образование и право. - 2021. - № 11.
[7] Мельников П.В. Информационная безопасность и защита информации / П.В. Мельников, С.А. Клеименов, А.М. Петраков. - 6-е изд. - М.: ИЦ «Академия»,2012.
[8] Организационно-правовое обеспечение информационной безопасности: учеб. пособие для студ. учреждений сред. проф. образования / Е.Б. Белов, В.Н. Пржегорлинский. - М.: ИЦ «Академия», 2017. - 336 с.
[9] Черешкин Д.С. Методика оценки рисков нарушения информационной безопасности в автоматизированных информационных системах / Д.С. Черешкин, А.А. Кононов, Е.Г. Новицкии. В.Н. Цыгичко. - М.: ИСА РАН, 1999.
Spisok literatury:
[1] BudnikovC.A., ParshinH.B. Informacionnay-abezopasnost' avtomatizirovannyhsistem: ucheb.
ОБРАЗОВАНИЕ И ПРАВО № 5 • 2022
posobie.- 2-e izd., dop. - Voronezh: Izd-vo im. E. A. Bolhovitinova, 2011.
[2] Vasil'kov A.V. Bezopasnost' i upravlenie dostupom v informacionnyh sistemah / A.V. Vasil'kov, I.A. Vasil'kov. — M.: FORUM: INFRA-M, 2013. — 368 s.
[3] GaTdamakin N.A. Razgranichenie dostupa k informacii v komp'yuternyh sistemah. — Ekaterinburg: Izd-vo Ural. un-ta, 2003. — 328 s.
[4] Gitinov H.H., Kurbanov T.K., Aliskerov M.R., Kachaeva G.I. Aktual'nye problemy obespecheniya zashchity konfidencial'noj informacii v usloviyah elek-tronnogo dokumentooborota v rabote gosudarstven-nyh i municipal'nyh organov // Obrazovanie i pravo. -2021. - № 10. - S. 131-139.
[5] Zegzhda D.P. Osnovy bezopasnosti infor-macionnyh sistem / D.P. Zegzhda, A.M. Ivashko. — M.: Goryachaya linyaya — Telekom, 2000. — 452 s.
[6] Kurbanov T.K., Mirzemagomedova M.M. Pravovoj status primeneniya fizicheskimi i yuridich-eskimi licami otkrytyh sistem audio- i videozapisi // Obrazovanie i pravo. - 2021. - № 11.
[7] Mel'nikov P.V. Informacionnaya bezopasnost' i zashchita informacii / P.V. Mel'nikov, S.A. Kleimenov, A.M. Petrakov. - 6-e izd. - M.: IC «Akademiya», 2012.
[8] Organizacionno-pravovoe obespechenie informacionnoj bezopasnosti: ucheb. posobie dlya stud. uchrezhdenij sred. prof. obrazovaniya / E.B. Belov, V.N. Przhegorlinskij. - M.: IC «Akademiya», 2017. - 336 s.
[9] CHereshkin D.S. Metodika ocenki riskov narusheniya informacionnoj bezopasnosti v avtoma-tizirovannyh informacionnyh sistemah / D.S. CHereshkin, A.A. Kononov, E.G. NovickiT. V.N. Cygichko. - M.: ISA RAN, 1999.
ОБРАЗОВАНИЕ И ПРАВО № 5 • 2022
