Безопасность и контроль информационных систем

Управление информационными системами в кибер-корпорации

Глава 14. Безопасность и контроль информационных систем Глава 15. Этическое и социальное влияние информационных систем Глава 16. Управление глобальными информационными системами Проект части V. Расчет полной стоимости владения (ТСО) web-сайтом

После изучения материала этой главы вы сможете:

1. Определять причины сбоев информационных систем, связанных с их уяз­вимостью, ошибками, неправильной эксплуатацией и низким качеством.

2. Сравнивать общий контроль и контроль программных средств информаци­онных систем.

3. Оценивать специальные измерители, необходимые для обеспечения надеж­ности, доступности и безопасности систем электронной коммерции и циф­ровых бизнес-процессов.

4. Описывать основные методики обеспечения качества программных средств.

5. Демонстрировать важность аудита информационных систем и обеспечения качества данных.

Планирование безопасности в компании Keystone Mercy Health Plan

Индустрия здравоохранения отличается не только сильной конкуренци­ей, но также высокой степенью регулируемости, по крайней мере в том, что касается правительственных ограничений на использование инфор­мации о пациентах. Законодательный акт, принятый в США в 1996 г., призван сохранять безопасность и конфиденциальность подобной информации и устанав­ливает стандарты обмена данными при административных и финансовых опера­циях.

Компания Keystone Mercy Health Plan, штаб-квартира которой расположена в Филадельфии, обслуживает 240 тыс. подписчиков, поэтому должна придержи­ваться законодательства в вопросах обеспечения конфиденциальности информа­ции. Фил Фишголд (Phil Fishgold), менеджер по информационной безопасности компании, неусыпно следит за безопасностью ее компьютерной сети, чтобы быть уверенным, что Keystone четко исполняет требования этого акта и других регла­ментирующих документов.

Фирма Keystone уже применяла антивирусные программы в 1999 г», когда Фишголд занял свой пост, однако он преложил внедрить новые, более жесткие

меры безопасности. Информационная инфраструктура компании базировалась на серверах Hewlett-Packard и Compaq, работающих под управлением операцион­ных систем UNIX и Windows NT. Фишголд установил программы для обнаруже­ния несанкционированных подключений, которые позволили вести постоянный мониторинг наиболее уязвимых мест корпоративных сетей. Хотя Keystone — не­коммерческая организация, не представляющая особого интереса для хакеров, он не хотел оставлять им никаких шансов. Также была внедрена двухступенчатая система удаленной аутентификации, чтобы дать возможность производителям программ устранять неполадки и обновлять программное обеспечение.

Фишголд настаивал на установлении четких стандартов безопасности. Он считал, что сотрудникам сложно привыкнуть к ситуации, когда одна система ис­пользует пароли из двух знаков, а другая — из шести или восьми. Он ввел буквен­но-цифровую систему паролей, определяющих доступ к системам (смесь из букв и цифр, затрудняющая случайный подбор).

Руководство компании Keystone Mercy осознало, что безопасность заключает­ся не только в выборе нужной технологии. Сотрудники и менеджеры фирмы долж­ны быть в курсе основных вопросов безопасности и использовать правильные методы работы с информацией. Когда все новые работники проходят обучение,

их предупреждают об опасности передачи своих паролей для входа в систему дру­гим людям. Персоналу справочных служб запрещено принимать звонки от посто­ронних лиц, которые пытаются выдать себя за сотрудников компании и на этом основании получить доступ к системе. Отдел кадров Keystone снабжает справоч­ные службы персональной информацией, позволяющей определить, работает ли звонящий в компании на самом деле.

Согласно федеральному и государственному медицинскому законодатель­ству, сотрудники могут получать доступ только к той конфиденциальной инфор­мации, которая нужна им для работы. Фишголд использует электронные профи­ли, присваиваемые сотрудникам всех отделов. Эти профили определяют, какие области данных доступны для пользователей согласно выполняемым ими функ­циям. Руководство определяет правила доступа к системе. Топ-менеджеры ком­пании отвечают за обеспечение безопасности в пределах всей организации.

Проблемы управления

Опыт Keystone Mercy Health Plan показывает необходимость принятия фирмами специальных мер защиты своих информационных систем. Несанкционирован­ный доступ, программные и аппаратные сбои, нарушения коммуникаций, при­родные катаклизмы и ошибки сотрудников могут полностью парализовать работу системы. После прочтения данной главы вы будете готовы приступить к реше­нию следующих проблем:

1. Разработка систем с необходимой степенью регулирования. Хотя большин­ство нарушений безопасности и сбоев в работе информационных систем по-прежнему связано с внутренними факторами, растет число «внешних» вторжений, поскольку фирмы, занимающиеся электронной коммерцией, открыты для атак через Интернет. Не всегда легко определить степень «от­крытости» организации, позволяющую ей достичь приемлемого уровня безопасности и при этом успешно вести свой бизнес. Если в системе исполь­зуется слишком много паролей, процедур авторизации и уровней безопас­ности для доступа к информации, то сотрудники просто не будут ей поль­зоваться. Очень сложно создать эффективные средства управления, не ограничивающие возможности авторизованных пользователей.

2. Применение стандартов качества по отношению к широкомасштабным си­стемным проектам. В данной главе объясняется, почему невозможно добить­ся полного отсутствия ошибок в сложных программах. При наличии мел­ких недочетов и ошибок система может демонстрировать приемлемый (или даже отличный) уровень производительности. Даже если скрупулезный подход к разработке и тщательное тестирование позволяют исправить все дефекты, приходится учитывать временные и бюджетные ограничения про­ектов, создающие далеко не идеальные условия для работы. При таких об­стоятельствах менеджерам сложно разрабатывать стандарты качества и сле­довать им.

Компьютерные системы играют настолько важную роль в коммерческих струк­турах, правительственных учреждениях и повседневной жизни, что организации должны принимать специальные меры для защиты своих информационных си-

стем и обеспечения их точности и надежности. В данной главе рассматриваются вопросы управления информационными системами и обеспечения их надежно­сти и безопасности.

...■■■■■....

14.1. Уязвимые места и неправильная эксплуатация информационных систем

До начала «компьютерной эры» данные об отдельных людях или организациях хранились в виде бумажных записей, распределенных среди отдельных департа­ментов или организационных единиц. Информационные системы концентриру­ют данные в компьютерных файлах, к которым проще обеспечить доступ всем сотрудникам организации и людям, находящимся за ее пределами. Следователь­но, подобные данные уязвимее с точки зрения их уничтожения, подделки, оши­бочности и неправильного использования.

Когда компьютерные системы перестают работать, как требуется, фирмы, во многом зависящие от них, резко снижают свою эффективность. Чем дольше ком­пьютерные системы не работают, тем к более серьезным последствиям это приво­дит. В табл. 14.1 описаны ожидаемые финансовые потери, связанные с неработо­способностью web-сайта, которые ожидают брокерские и аукционные фирмы. Деятельность некоторых фирм, ключевые бизнес-процессы которых полностью компьютеризированы, может быть совершенно парализована, если авария не бу­дет исправлена в течение нескольких дней.

Почему системы настолько уязвимы?

Когда большие объемы данных хранятся в электронной форме, они гораздо уяз­вимее, чем, к примеру, «бумажная» документация. В табл. 14.2 перечислены

Таблица 14.2 Потенциальные опасности для компьютерных информационных систем

Неполадки в работе оборудования Пожар

Программные сбои Проблемы с электропитанием

Действия сотрудников Ошибки пользователей

Несанкционированный доступ к терминалам Изменения в программах

Кражи данных и оборудования Проблемы с телекоммуникациями

основные опасности, которым подвергаются компьютеризированные информа­ционные системы. Они являются производными от многих технических, органи­зационных факторов и окружения, дополненных неправильными управленче­скими решениями.

Развитие телекоммуникационных и компьютерных технологий только увеличи­ло уязвимость «электронных» данных. Информационные системы, расположен­ные в различных местах, связываются между собой при помощи компьютерных сетей. Возможности несанкционированного доступа, нарушений в эксплуатации или мошенничества больше не ограничиваются географическим расположением систем, так как потенциальный злоумышленник может использовать множество точек доступа к сети.

Кроме того, для поддержки современных телекоммуникационных сетей тре­буются все более сложные программы, более сложное и разнообразное оборудо­вание, а также квалифицированный технический персонал. В беспроводных се­тях используются технологии, основанные на радиоволнах, что делает их еще более уязвимыми, поскольку информация может легко перехватываться. Спе­циальные сети, создаваемые на основе беспроводных устройств, могут исполь­зоваться для нарушения работы различных служб, сбора конфиденциальной информации или распространения ложных данных. Поскольку беспроводные устройства могут перемещаться из одной зоны действия сетей в другую (роу-минг), такие атаки очень сложно отследить (Ghoshard Swaminathe, 2001). С раз­витием Интернета появились новые проблемы, поскольку его структура изна­чально предназначена для доступа максимально большого числа пользователей различных компьютерных систем. Уязвимые места телекоммуникационных се­тей проиллюстрированы на рис. 14.1.

Хакеры и компьютерные вирусы

Взрывному росту Интернета, его использованию предприятиями и отдельными личностями сопутствовали сообщения о всех новых «дырах» в системах без­опасности. Основная опасность заключается в лицах, осуществляющих несанкцио­нированный доступ, или хакерах, которые используют новейшие технологии и свои навыки для «взлома» или отключения защищенных компьютеров. Хакер — это человек, который получает доступ к чужому компьютеру для извлечения при­были, хулиганства или просто для удовольствия. Хакеры наносят вред компаниям массой способов. Некоторые злоумышленники используют «логические бомбы», «троянских коней» и другие программы, которые могут ничем не обнаруживать своего присутствия в системе до определенного момента. («Троянский конь» -

это программа, которая кажется легальной, однако содержит скрытые функции, которые могут нанести ущерб системе или данным.) При атаках отказа в обслу­живании хакеры загружают сетевой или web-сервер множеством запросов, что приводит к его остановке или отключению. В «Организационном окне» описана известная атака такого рода, а также упомянуты другие проблемы, которые хаке­ры создают организациям, использующим Интернет.

Опасность возросла, когда другие хакеры начали распространять компьютер­ные вирусы — вредоносные программы, быстро распространяющиеся между раз- Hacker (хакер)

Человек, который получает доступ к чужому компьютеру для извлечения при­были, хулиганства или просто для удовольствия. Denial of service attack (атака отказа в обслуживании) Перегрузка сервера запросами на получение данных с целью нарушения его работы.

I Хакеры: почему они не хотят остановиться?

I В начале января 2000 г. неизвестный взломщик потребовал $100 тыс. у ком­пании CD Universe, продающей свои товары через Интернет, заявив, что ему удалось скопировать данные о 300 тыс. кредитных карт, принадлежащих кли­ентам фирмы. Номера кредитных карт, полученные им из скопированных фай­лов, могут использоваться другими людьми для совершения покупок через Интернет или по телефону. Компания CD Universe отказалась платить вымога­телю, и киберпреступник выложил данные о некоторых картах в Сеть, заявив, что использует остальные для получения по ним денег.

«Следы» электронной почты взломщика могли вести в Латвию, Болгарию или Россию. Он поддерживал собственный web-сайт под названием Maxus Credit Card Pipeline, где посетители могли приобрести номер действующей кредитной карты вкупе с именем и адресом ее владельца из большой базы данных. До того как ресурс был отключен, несколько тысяч посетителей успе-I ли загрузить более 25 тыс. номеров карт (начиная с 25 декабря 1999 г., со­гласно показаниям счетчика, установленного на web-странице). Шантажист утверждал, что ему удалось найти способ обходить программу верификации карт ICVerify, производимую и распространяемую компанией Cybercash Inc. Компания CD Universe использовала данную систему, однако до сих пор у спе- | циалистов нет уверенности в том, что злоумышленник похитил информацию, | используя «дыры» в защите именно этой программы. На своем сайте Maxus \ Web взломщик рассказывает, что в 1998 г. он взломал целую сеть магазинов | и похитил программу ICVerify вместе с конфигурационными файлами, позво- 1 ляющими осуществлять денежные переводы.

В марте 2001 г. ФБР сообщило, что более 40 предприятий в 20 штатах под- I верглось сходным хакерским атакам и попыткам вымогательства, во время которых было похищено более миллиона номеров кредитных карт. Группы ха­керов, действующие на территории России и Украины, используют уязвимо­сти в программных продуктах корпорации Microsoft. Компании, подвергшиеся атакам, как правило, не принимали вовремя надлежащие меры для ликвида­ции уязвимостей и «дыр» в безопасности.

В феврале 2000 г. волна хакерских атак привела к временному отключению | сразу нескольких ведущих сайтов, имеющих отношение к электронной ком-!

личными системами, засоряющие память компьютеров или уничтожающие про­граммы и данные. В настоящее время известно несколько тысяч вирусов, причем каждый месяц появляется более двухсот новых «вредителей». В табл. 14.3 описа­ны характеристики наиболее распространенных вирусных программ.

В настоящее время множество вирусов распространяется через файлы, загру­жаемые из Интернета, или почтовые вложения. Вирусы могут внедряться в ин-

Computer virus (компьютерный вирус)

Вредоносные программы, которые сложно обнаружить, быстро распростра­няющиеся среди компьютерных систем, уничтожающие данные, нарушающие! работу компьютеров или засоряющие их память.

мерции, включая Yahoo, Amazon.com, Buy.com, E*Trade и ZDNet. Атаки отказа в обслуживании не имели своей целью проникновения в чужие компьютеры, они просто перегружали серверы огромным числом запросов, не давая воз­можности легальным пользователям подключиться к ним. Web-сайты были отключены на несколько часов, однако ни одна система не была повреждена, никакие данные не были похищены и финансовые потери, в общем, были не­значительными. После этих инцидентов многие компании начали искать но­вые пути защиты своих интернет-ресурсов.

В начале марта 2001 г. хакер взломал раздел официального сайта прави­тельства Австралии, рекламирующий товары и услуги, и начал загружать с него информацию о банковских счетах примерно 10 тыс. предприятий, которые были там зарегистрированы. Взломщик, известный под псевдонимами К2 и Kelly, заявил по радио, что он обнаружил «дыру» в защите случайно и хотел сооб­щить об этой уязвимости всем заинтересованным предприятиям. Он начал рассылать сообщения по электронной почте предприятиям, информацию о которых получил, указывая в письмах номера их счетов, филиалы банков, суммы налогов и другую конфиденциальную информацию. Правительство Ав­стралии немедленно отключило web-сайт, а местная полиция приступила

к расследованию.

Все описанные выше случаи показывают, что проблема хакеров становится все более важной, касаясь при этом как правительственных, так и коммерче­ских организаций. Согласно данным компании ICSA, занимающейся консал­тинговыми услугами в области безопасности, количество ежедневных хакер-ских атак в 2000 г. выросло в четыре раза по сравнению с 1999 г.

Информация к размышлению. Каким образом взломы, осуществляемые через Интернет, могут наносить ущерб организациям? Какие управленческие, организационные и технические аспекты необходимо учитывать при плани­ровании системы безопасности предприятия?

Источники: Lee Gomes, TedBhdis. «FBI Warns of Russian Hackers Stealing U.S. Credit-Card Data», The Wall Street Journal, March 9, 2001; John Markoff. «Thief Reveals Credit Card Data When Web Extortion Plot Fails», The New York Times, January 10, 2000; Gerard Knapp. «Hacker Strolls into Australian Tax Site», Australia.Internet.com, June 30, 2000; Elinor Abreu. «The Hack Attack», The Industry Standard, February 21, 2000; Kelly Jackson Higgins «Human Element Is Key to Stopping Hackers», Information Week, May 29, 2000.

формационные системы через компьютерные сети или при использовании «зара­женных» дискет. В будущем не исключены глобальные вирусные атаки. Такие вирусы, как Чернобыль, Мелисса и ILOVEYOU, вызвали сбои в работе компью­теров по всему миру, распространившись через зараженные почтовые отправле­ния. Современные вирусы распространяются и через беспроводные сети. Вирусы для мобильных устройств также в скором времени могут доставить массу про­блем, поскольку множество портативных компьютеров и мобильных телефонов подключаются к корпоративным беспроводным сетям.

Организации могут использовать антивирусные программы и процедуры ав­торизации для снижения риска «заражения» своих систем. Антивирусная про­грамма — это специальное программное обеспечение, предназначенное для про-

Таблица 14.3 Примеры компьютерных вирусов

Дата добавления: 2015-04-29; Просмотров: 682; Нарушение авторских прав?; Мы поможем в написании вашей работы!