Формальные средства защиты информации

 

Формальные средства выполняют свои фун­кции по определен­ным правилам без непосредственного участия людей. Формальные средства включают: технические средства и программные средства.

1.Технические средства реализуются в виде раз­личных электроме­ханических, электрических, электрон­ных и оптических систем наблюде­ния охранной и по­жарной сигнализации; систем обнаружения средств разведки конкурентов; средств защиты документов и изделий при их транспортировке. Технические средства защиты включают: физические средства защиты и аппаратные средства защиты.

Физические средства защиты включают: строи­тельные конструкции и механические устройства, пре­пятствую­щие проникновению нежела­тельных лиц в зак­рытые зоны и хищению документов и устройств; сред­ства против подслушивания и подсматривания; сред­ства перекрытия побочных технических каналов утечки информации.

Аппаратные средства защиты встраиваются в блоки ПЭВМ или выполняются в виде отдельных уст­ройств, сопрягаемых с ПЭВМ. К ап­паратным средствам защиты относятся различные электронные, элек­тронно-механические, электронно-оптические устройства (системы контроля доступа, средства аудита, системы шифрования информации, системы цифровой подписи, средства доказательства целостности документов, системы антивирусной защиты, межсетевые экраны). К настоящему времени разработано значительное число аппаратных средств различ­ного назначения, наиболее распространенные из них:

- специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

- генераторы кодов, предназначенные для автоматического генериро­вания идентифицирующего кода устройства;

- устройства измерения индивидуальных характеристик человека (го­лоса, отпечатков) с целью его идентификации;

- специальные биты секретности, значение которых определяет уро­вень секретности информации, хранимой в запоминающих устройствах, которой принадлежат данные биты;

- схемы прерывания передачи информации в линии связи с целью пе­риодической проверки адреса выдачи данных.

Защита от несанкционированного доступа к ресурсам ПЭВМ. Дан­ные меры защиты предусматривают защиту дос­тупа к дисковым накопи­телям информации, к клавиату­ре и дисплею ПЭВМ. Важное место в области средств защиты от несанкционированного доступа занимают аппаратно-программные системы идентификации и аутентификации (СИА) или устройства ввода идентификационных признаков (термин соответствует ГОСТ Р 51241-98). При использовании данных устройств доступ пользователя к компьютеру осуществляется только после успешного выполнения процедуры идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности идентификационного признака пользователю осуществляется в процессе аутентификации.

В состав СИА входят аппаратные идентификаторы, устройства ввода-вывода (считыватели, контактные устройства, адаптеры, разъемы системной платы и др.) и соответствующее программное обеспечение. Идентификаторы предназначены для хранения уникальных идентификационных признаков. Кроме этого они могут хранить и обрабатывать конфиденциальные данные. Устройства ввода-вывода и программное обеспечение осуществляют обмен данными между идентификатором и защищаемым компьютером.

В электронных СИА идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. По способу обмена данными между идентификатором и устройством ввода-вывода электронные СИА подразделяются на контактные и бесконтактные (рис. 6.9). Контактное считывание подразумевает непосредственное соприкосновение идентификатора с устройством ввода-вывода. Бесконтактный (дистанционный) способ обмена не требует четкого позиционирования идентификатора и устройства ввода-вывода. Чтение или запись данных происходит при поднесении идентификатора на определенное расстояние к устройству ввода-вывода.

 
 

 

Современные электронные СИА разрабатываются на базе следующих идентификаторов:

- смарт-карт (smart card – интеллектуальная карта);

- радиочастотных, или RFID-идентификаторов (radio-frequency iden­ti­fication – радиочастотная идентификация);

- идентификаторов iButton (information button - информационная «таблетка»);

- USB-ключей, или USB-токенов (token - опознавательный признак, маркер).

На российском рынке компьютерной безопасности присутствуют следующие сертифицированные изделия, использующие электронные системы идентификации и аутентификации:

- электронные замки: программно-аппаратный комплекс «Соболь-PCI», разработка НИП «Информзащита»; аппаратный модуль доверенной загрузки «Аккорд-АМДЗ», разработка ОКБ САПР; аппаратно-программный модуль доверенной загрузки «КРИПТОН-Замок/ PCI», разработка фирмы АНКАД;

- системы защиты от несанкционированного доступа к информационным ресурсам компьютера: СЗИ семейства Secret Net, разработка НИП «Информзащита»; СЗИ «Страж NT», разработка НИИ проблем управления, информатизации и моделирования Академии военных наук; СЗИ семейства «Аккорд», разработка ОКБ САПР (Москва); СЗИ семейства Dallas Lock, разработка компании «Конфидент» (Санкт-Петербург).

Аутентификацию пользователя можно реализовать с помощью системы Zlogin компании SekurIT. Система предназначена для двухфакторной аутентификации пользователей сети с использованием электронных ключей. Вместо пароля пользователь предъявляет электронный USB-ключ и вводит PIN-код. Система Zlogin упрощает аутентификацию пользователя и повышает безопасность сети. Это происходит благодаря следующим факторам: пароль генерируется по специальному алгоритму, перегенерируется автоматически, согласно политикам учетных записей, профили пользователя хранятся в защищенной PIN-кодом области электронного ключа, что предотвращает использование ключа посторонними лицами в случае его утери или кражи.

Пароли защищают информацию, но в то же время могут причинять неудобства забывчивым пользователям. Альтернатива паролям - при­менение биометрических устройств, таких, например, как дактилоскопи­ческий сканер Ethentica Ethenticator USB 2500. Требуемые ресурсы: один свободный USB-порт; Microsoft Windows 98,98SE или NT 4.0 (SP4 или более новой версии), 2000 или NT Server.

В небольшом пластмассовом приборе находится датчик, толщиной 0,075 мм, состоящий из слоев пластика. Для обнаружения отпечатка в виде электрического поля, создаваемого пальцем, используется специ­альный полимер в сочетании с оригинальной технологией верификации отпечатков пальцев под названием TactileSense. Такой подход позво­ляет повысить уровень защиты, обеспечиваемой прибором: его не уда­стся ввести в заблуждение скрытым отпечатком на поверхности сканера или фотографией пальца авторизованного пользователя.

Специалистами компании «Рускард» разработано семейство программно-аппаратных средств аутентификации и разграничения доступа под общей торговой маркой Мастер Паролей. Процедура аутентификации этих средств базируется на использовании в качестве паролей случайных наборов символов большой длины, сохраняющихся на специальных пластиковых карточках в защищенном от изучения виде. Такое решение позволяет избежать недостатков парольной защиты при сохранении простоты использования системы. Компания «Рускард» – российский разработчик и интегратор комплексных систем защиты информации. Решения компании внедрены в локальных сетях ряда крупных торговых компаний, подразделений и учреждений МПС, финансовых и научно-исследовательских организаций.

Особую и наиболее распространенную группу аппаратных средств защиты составляют устройства для шифрования информации. Алгоритмы шифрования, могут быть реализованы как программным, так и аппаратным способом. На базе устройств криптографической защиты можно обеспечить всестороннюю защиту компьютера, что нельзя сделать при использовании только программно реализованного шифрования. Основное назначение устройств криптографической защиты – шифрование данных. Эта операция выполняется шифропроцессором, представляющим собой специализированную микросхему, которая выполняет криптографические операции, или микросхему программируемой логики (PLD - Programmable Logic Device).

Шифропроцессоров может быть несколько для повышения скорости и/или надежности шифрования. Для повышения скорости информацию распараллеливают между ними. Для обеспечения надежности производят обработку одних и тех же данных двумя шифропроцессорами с последующим сравнением результатов перед их выдачей. Шифропроцессорами и остальными модулями управляет основной модуль – блок управления, реализуемый обычно на базе микроконтроллера с достаточным количеством внутренних ресурсов и хорошим быстродействием.

Кроме шифрования, устройство криптографической защиты может выполнять ряд дополнительных функций. Наличие аппаратного датчика случайных чисел, необходимых для генерации криптографических ключей, используются в алгоритмах электронной цифровой подписи. Наличие функциональности электронного замка: контроль входа пользователя на компьютер и контроль целостности файлов операционной системы, позволяет обеспечить полноценную защиту компьютера от несанкционированного доступа. Пример: серия устройств криптографической защиты данных КРИПТОН российской фирмы «АНКАД». Устройства имеют сертификаты соответствия и аппаратно реализованы в соответствии с федеральным стандартом шифрования Федерального агентства правительственной связи и информации.

Аппарат­ные средства мо­гут решать следующие задачи:

- запрет несанкционированного доступа к ресурсам ПЭВМ;

- защиту от компьютерных вирусов;

- защиту информации при аварийном отключении электропита­ния.

2.Программные средства представляют собой программное обеспе­чение, специально предназначенное для выполнения функций защиты информации. Программная защита является наиболее распространен­ным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению программные средства можно разде­лить на следующие группы:

- механизм шифрования (криптографии) - специальный алгоритм, кото­рый запускается уникальным ключом или битовой последователь­ностью, обычно называемым шифрующим ключом; затем по каналам связи передается зашифрованный текст, а получатель имеет свой ключ для дешифрования информации;

- механизм цифровой подписи;

- механизмы контроля доступа;

- механизмы обеспечения целостности данных;

- механизмы постановки графика;

- механизмы управления маршрутизацией;

- механизмы арбитража;

- антивирусные программы;

- программы архивации;

- защита при вводе информации;

- защита при выводе информации.

Защита дисков от несанкционированного доступа осуществляется с помощью паролей - набора символов, который соответствует определенному объекту идентификации. Пароли для защиты дисков де­лятся:

- по типу объектов идентификации: пароли пользо­вателей, ресурсов и файлов;

- по типу символов: цифровые, буквенные, смешан­ные;

- по способу ввода в ПЭВМ: с клавиатуры, с помо­щью мыши, со специ­альной ключевой дискеты;

- по срокам применения: с неограниченным сроком, периодически сме­няемые, разовые;

- по длительности: фиксированной и переменной длины.

Чем больше длина пароля и меньше срок его ис­пользования, тем лучше защищен диск. Парольная защита дисков осуществляется специальными про­граммами, напри­мер, HARDLOCK, PASSW, ути­литойПароливоперационной системе Windows.

Более детальная процедура доступа к файлам орга­низуется на ос­нове таблиц разграничения доступа пользователей к файлам по назна­чению файлов, а также по характеру работы пользователей (создание, чтение, редактирование, удаление файлов и др.). Например, про­грамма Wath Dog предоставляет пользователям только те файлы и те возмож­ности работы с ними, которые ука­заны в таблице разграничения дос­тупа. Широкое приме­нение нашли также программы ASSA и NDMI. Раз­работан ряд специальных программ, которые фиксируют даты и время обращения к диску, а также случаи взлома защиты диска.

Если в сети не хранятся сверхсекретные данные, то для доступа к ресурсам обычно достаточно логина и пароля. В Windows 2000/XP и Server 2003 создаются обособленные защищенные зоны управления - домены. Сетевой администратор предоставляет пользователям домена права доступа к ресурсам любого компьютера. В Windows 2000 и более поздних версиях для разграничения доступа к важным ресурсам применяются групповые политики. Windows Server 2003 обеспечивает соблюдение самых высоких стандартов безопасности и является первой серверной операционной системой Microsoft, разработанной в рамках концепции защищенных информационных систем и открывающей новые возможности взаимодействия систем на базе технологий Microsoft .NET.

В Novell NetWare для этого применяется служба Novel Directory Services, которая предоставляет пользователю регистрационное сетевое имя. Каждый пользователь представляется в каталоге объектом User, в свойствах которого содержится информация о его паролях и соединениях.

В операционных системах Unix концепция домена отсутствует. Вместо этого каждый хост Unix содержит файл паролей, где хранится информация о каждом пользователе, включая шифрованный пароль. Для доступа к ресурсам других сетевых хостов пользователь Unix должен либо зарегистрироваться на этом компьютере, либо использовать прокси. Утилиты TCP/IP, такие как FTP и Telnet, часто пересылают пароли пользователей по сети открытым текстом и поэтому являются легкой добычей для хакера. В Unix для выполнения обычных сетевых операций, таких как копирование или печать файлов, или регистрация на удаленной системе, используются утилиты удаленной работы (r-команды) и утилиты защитной оболочки (Secure Shell, SSH), обеспечивающие передачу данных подобно r-командам, но с аутентификацией и шифрованием.

Защита накопителей на жестком магнитном диске и накопителей на гибких магнитных дисках предусматривает:

- защиту от любого несанкционированного доступа к диску;

- разграничение доступа пользователей к файлам дисков;

- контроль обращения к диску и проверка целост­ности защиты инфор­мации диска;

- стирание в файлах остатков закрытой информации.

Необходимость стирания в файлах остатков закры­той информации вызвана следующим. Во-первых, при уда­лении файла командами MS DOS, Norton Commander или Windows стирается только имя файла, а не сама информация на диске. Во-вторых, объем данных в файле меньше, чем отведенное для файла пространство на диске, поэтому в конце файла могут сохраниться остатки зак­рытой информации от предыду­щего файла. Операцию стирания «хвостов» файлов осуществляют ути­лита Wipe Info (пакет Norton Utilities) и программа GRIF-PC (ЦНИИ Ин­форм).

Защита дисков от копирования. Основное направление действий по защите от копи­рования дисков относится к дискетам, так как дискету легче похитить и скопировать. Применяются следующие способы за­щиты дискет от копирования:

- парольная защита дискеты, при которой без вво­да пароля дискета не копируется;

- привязка информации к определенной дискете: фирме и типу дис­кеты, нестандартному способу форматирования дискеты,нанесению уникальных признаков на дискету, связанных с введением за­ранее по­меченных «сбойных» участков;

- привязка информации к определенной ПЭВМ, на­пример: тактовой час­тоте, параметрам накопите­лей, дисплея, принтера и др.

В соответствии с задачамизащиты от копирования имеется много программ защиты, напримерпрограммаSuper Guard-многоуровне­вая система защиты дискет от копирования.

Защита клавиатуры и дисплея применяется, когда пользователь от­лучается с рабочего места на короткое время. Например, утилита Disk­reet (Norton Utilities) бло­кирует клавиатуру и гасит экран при ее вводе. Ограни­чения снимаются введением пароля.

Резервное копирование информации. Резервное копирование ин­формации предназначено для защиты ее от уничтожения и искажения на жестких магнитных дисках и осуществляется на дискеты, сменные жесткие диски, стримеры, магнитооптические диски. Резервное копиро­вание обычно производится со сжатием (компрессией) информации, т.е. создаются файлы меньшего размера, чем исходные. Это делают специ­альные программы - ар­хиваторы. Независимо от носителя резервной информации и программы-архиватора смысл сжатия практичес­ки одина­ков.

В различных файлах на жестком диске, как правило, есть повторяю­щиеся фрагменты, которые архи­ватор находит и ликвидирует все, кроме одного. Таким образом, освобождаются места, куда может быть записа­на другая информация, а также сведения о ликвидиро­ванных фрагмен­тах. Коэффициент сжатия у различных файлов разный, он больше у тек­стовых и графических файлов и меньше у программных. Считается, что про­граммы-архиваторы сжимают файлы в полтора - два раза.

Наиболее известны архиваторы PKZIP/PKUNZIP, РАК/РКРАК, ARJи Win RAR. Эти программы архиви­руют отдельные файлы или все файлы каталога (подка­талога). Программы PKZIP/PKUNZIP и РАК/РКРАК обла­дают большой скоростью работы и высокой степе­нью сжатия, а ARJ и WinRAR имеют разнообразные сервисные функции. Основные режимы работы некото­рых архиваторов:

- A (Add) - помещение в архив всех файлов;

- Е (Extract) - извлечение из архива файлов;

- U (Update) - добавление в архив новых файлов;

- F (Freshen) - добавление новых версий, имеющихся в архивеновых файлов.

- Примеры применения архиваторов.

- PKZIPDOCUMENT - создание архива файлов ка­талога DOCUMENT с помощью архиватора PKZIP;

- ARJ ADOCUMENT - архивация файлов програм­мой ARJ;

- PKUNZIPDOCUMENT - извлечение из архива фай­лов каталога DOCUMENT с помощью реархиватора PKUNZIP;

- ARJEDOCUMENT - реархивация файлов програм­мой ARJ;

Шифрование информации. Шифрование информации является са­мым надеж­ным способом защиты информации, так как защищает­ся сама информация, а не доступ к ней. Шифрование иногда называют криптографическим преобразованием информации (от греч. criptos - тайна, logos - слово). Основные методы шифрования:

- подстановка, заключающаяся в замене символов исходного текста символами другого алфавита (цифрами, буквами, пиктограммами) в соответствии с заранее обусловленной схемой замены;

- перестановка – символы шифруемого текста переставляются по какому-то правилу в пределах какого-то блока текста

- гаммирование, представляющее собой наложение на символы исход­ного текста последовательности (гаммы) других символов иначе, символы шифруемого текста складываются с символами некоторой случайной последовательности (гаммы);

- применение математических методов (например, алгебры матриц) для преобразования исходного текста в зашифрованный текст;

- двойное шифрование (последовательное применение двух упомяну­тых методов), которое применяется для закрытия особо важной информации.

К шифрам, предназначенным для закрытия информации, предъявляется ряд требований, основные из них:

- достаточная стойкость (надежность закрытия);

- простота шифрования и расшифрования;

- нечувствительность к небольшим ошибкам шифрования;

- возможность внутримашинной обработки зашифрованной информации;

- незначительная избыточность информации за счет шифрования.

Шифрование осуществляется специальными программами – шифра­торами. Одним из самых распространенных способов шифрования яв­ляется стандарт США DES (Data Encryption Standard). Например, при ис­пользовании алгоритма DES число ключей для открывания «замка» со­ставляет 72*1024 , подбор которых на ПЭВМ займет несколько тысяч лет.

Для шифрования коммерческой информации широко используется утилита Diskreet из пакета Norton Utilities (стандарт DES) и программа «Иней» из пакета ЦНИИ Автоинформ (ГОСТ 28147-89). В связи с объективной необходимостью средства и способы защиты информации постоянно расширяются и совершенствуются.