Самоучитель системного администратора. 5-е изд

Безопасность 
491 
а 
б 
в 
Рис. 9.36. 
а
— зашифрованные сообщения в списке;
б
— зашифрованное сообщение;
в
— введите пароль 

492 
Глава 9 
Итак, отправку подписанных и зашифрованных сообщений мы освоили. Теперь 
посмотрим, как читать зашифрованные и подписанные сообщения. 
Пришедшее к вам зашифрованное сообщение будет отмечено значком замка 
(рис. 9.36, 
а
). Откройте зашифрованное сообщение — программа сообщит, что оно 
зашифровано: 
Encrypted
(рис. 9.36, 
б
). Нажмите ссылку 
Click
для расшифровки 
сообщения и введите пароль своего сертификата (рис. 9.36, 
в
) — если пароль вве-
ден правильно, сообщение будет расшифровано. 
После установки и настройки MailDroid нужно отключить стандартный почтовый 
клиент Gmail, чтобы не получать уведомления о новой почте из двух программ. 
Для этого выполните следующие действия: 
1.
Откройте 
Настройки
Android. 
2.
Выберите 
Приложения
. 
3.
Перейдите на вкладку 
Все
. 
4.
Выберите 
Gmail
. 
5.
Нажмите кнопку 
Остановить
. 
6.
Нажмите кнопку 
Отключить
. 
После этого приложение Gmail будет перемещено с вкладки 
Все
на вкладку
Отключенные
. 
Шифрование в базах данных 
Значительная часть информации предприятия хранится на серверах баз данных. 
Современные версии производственных серверов имеют возможность выборочного 
(по столбцам таблиц) или полного (всей базы) шифрования данных. Эти функции 
реализуются средствами сервера баз данных, и поэтому шифрование «прозрачно» 
для прикладных программ. Администратору необходимо определить критичную 
информацию (излишнее шифрование не имеет смысла, а производительность сис-
темы будет снижаться) и включить шифрование средствами управления SQL-сер-
вера. 
П
РИМЕЧАНИЕ
Возможность шифрования в базах данных была и раньше. Но эта функциональность 
должна была использоваться программой, работающей с данными. 
Архитектура решения для Microsoft SQL Server 2008 представлена на рис. 9.37:
каждая база данных шифруется собственным ключом. Для этого используется сер-
тификат, зашифрованный мастер-ключом базы 
Master
, который, в свою очередь, 
шифруется ключом службы сервера базы данных, создаваемым при установке сер-
вера. 
Обратите внимание, что прозрачное шифрование данных предотвращает доступ
к информации в резервных копиях и на остановленных серверах (выключенных 
системах). Но если злоумышленник попытается получить доступ через работаю-
щий SQL-сервер (например, получив параметры доступа пользовательской учетной

Безопасность 
493 
Рис. 9.37. 
Архитектура шифрования данных в SQL Server 2008 
записи), то такая попытка завершится успехом. В этом случае должны срабатывать 
средства контроля доступа SQL-сервера. 
Стеганография 
Лучший способ защиты информации — не показать злоумышленнику, что такая 
информация есть. Технология 
стеганографии
предполагает маскировку данных 
среди ничего не значащей информации. 
Самый простой способ — это добавить в конец файла изображения еще один архив 
(«склеить» его с изображением). Изображение будет нормально просматриваться
в графических программах, но при открытии его в архиваторе вы сможете извлечь 
скрытые данные. 
Анализ поведения пользователей 
По результатам некоторых западных исследований примерно две трети высокотех-
нологичных корпораций постоянно сталкиваются с внутренними угрозами без- 
опасности информации. 
Традиционные способы защиты: ограничение доступа к информации, контроль пе-
риметра (почты, различных мессенджеров, сменных носителей и т. д.) по ключевым 
словам (сигнатурам) и т. д. — становятся малоэффективными. 

494 
Глава 9 
Во-первых, информация часто похищается теми, кто имеет доступ к соответствую-
щему классу данных. Кроме того, получить доступ к желаемой информации не 
представляет труда и для злоумышленника, использующего методы социальной 
инженерии. Во-вторых, пользователи становятся более опытными и подготовлен-
ными. Они могут легко узнать, какие продукты используются для защиты данных, 
какие сигнатуры анализируются, и даже поставить себе для изучения пробную вер-
сию такого продукта. В результате злоумышленник сможет вынести с предприятия 
серьезные объемы информации, имеющей коммерческую ценность. 
Для исключения подобных ситуаций стали появляться продукты, анализирующие 
модель поведения пользователя. Простейший пример: поведение сотрудника, в те-
кущей работе на своем рабочем месте столько-то раз открывающего документы из 
такой-то папки, производящего поиск по таким-то ключевым словам и т. д., может 
быть описано соответствующей моделью. Но если он начинает готовиться к уходу 
с предприятия и собирает кажущуюся ему полезной информацию, то такие допол-
нительные операции будут восприняты программой как отклонения от профиля,
и специалисты службы безопасности получат предупреждение. 
Подобные продукты являются коммерческими решениями. Здесь мы не станем 
описывать конкретные приложения, поскольку они специфичны для различных
типов информации. 
DLP-технологии 
Защищаемая информация может покинуть предприятие различными путями: через 
каналы связи и сменные носители, электронную почту, различные мессенджеры, 
Skype, флешки и т. п. Причем это может быть сделано как умышленно, так и слу-
чайно (например, если при создании письма перепутан адрес получателя). 
На рынке сегодня имеется несколько продуктов, позволяющих контролировать
периметр предприятия и блокировать возможную утечку данных. Такие решения 
называются 
предотвращением утечек
(от англ. Data Loss Prevention, DLP). Основ-
ная задача DLP — обнаружить и заблокировать запрещенную передачу конфиден-
циальных данных по любым каналам связи и устройствам. 
Большинство таких продуктов работают уже «по факту», т. е. сообщают о наличии 
подозрительного трафика и утечке данных. Кроме того, методы анализа данных не 
позволяют говорить о надежности распознавания конфиденциальной информации, 
тем более что каждой категории данных требуется своя адаптированная технология 
анализа. 
Для анализа документов применяется 
теория отпечатков
. Каждому документу 
ставится в соответствие цифровой отпечаток, который сравнивается с хранимыми 
цифровыми отпечатками документов, которые эксперты отнесли к конфиденциаль-
ной информации. На основе такого анализа определяется вероятность присутствия 
в документе конфиденциальных данных. Кроме того, проводится морфологический 
и грамматический разбор текста для обнаружения искомых данных. 
DLP-решения являются недешевыми продуктами. О целесообразности их внедре-
ния с экономической точки зрения имеет смысл говорить при числе контролируе-

Безопасность 
495 
мых рабочих мест порядка нескольких сотен и более. Кроме того, решение, выно-
симое такой системой, является вероятностным (хотя и с достаточно высокой сте-
пенью правильной идентификации). 
Поэтому подобные технологии сегодня пока применяются в крупных организациях, 
где очень высока стоимость утечки данных (финансовый сектор и т. п.). 
Анонимность работы в глобальной Сети 
В последнее время Интернет становится все менее анонимным. С одной стороны — 
всевозможные ресурсы и вредоносные программы, собирающие различную инфор-
мацию о пользователе: IP-адрес, имя, пол, возраст, место жительства, номер теле-
фона. Такая информация может собираться как явно (вы ее сами указываете, запол-
няя на посещаемых сайтах различные формы-вопросники), так и неявно, когда она 
определяется на основании косвенных данных (например, ваше местонахождение 
при посещении того или иного сайта легко вычисляется по IP-адресу компьютера,
с которого вы зашли в Интернет). Вся эта информация может собираться различ-
ными сайтами — например, для показа вам рекламных объявлений, привязанных
к вашему месту жительства, или в любых других целях. С другой стороны — вас 
«изучают» силовые органы с помощью оборудования СОРМ (система оперативно-
розыскных мероприятий), которое внедряется уже много лет. 
Зачем нужна анонимность в Интернете обычному законопослушному пользователю? 
П
РИМЕЧАНИЕ
В побуждения незаконопослушных мы здесь углубляться не станем... 
Причины у всех свои, но от них зависят способы достижения цели. В табл. 9.1 при-
водятся несколько типичных задач, которые рано или поздно приходится решать 
каждому интернет-пользователю. 
Таблица 9.1.
Причины сохранения анонимности в Интернете 
Задача Зачем? 
Способы 
решения 
Нужно разово скрыть 
свой IP-адрес 
Вы просто не хотите, чтобы ваш
IP-адрес был «записан» сайтом, 
который вы собираетесь посетить. 
Вторая причина — ради экспери-
мента. Например, вы создали
свой сайт, установили на нем
счетчик и теперь хотите проверить, 
работает он или нет. Если на сайт 
вы заходите со скрытого IP-адреса, 
значение счетчика останется неиз-
менным. Когда же вы зайдете 
с использованием IP-адреса
открытого, значение счетчика бу-
дет увеличено
Анонимные прокси-серверы 
Анонимайзеры 

496 

жүктеу/скачать 20,51 Mb.

Достарыңызбен бөлісу: