- •Введение
- •1. Информация как предмет защиты
- •2. Информационная безопасность
- •3. Основные угрозы информационной безопасности
- •3.1. Классификация угроз безопасности данных
- •4. Модель потенциального нарушителя
- •4.1. Типы нарушителей информационной безопасности ис
- •5. Классификация компьютерных преступлений
- •6. Личностные особенности компьютерного преступника
- •7. Принципы организации систем обеспечения безопасности данных (собд) ивс
- •7.1. Основные подсистемы, входящие в состав собд ивс
- •8. Стандарты информационной безопасности
- •8.1. Критерии оценки безопасности компьютерных систем. «Оранжевая книга» сша.
- •Основные элементы политики безопасности.
- •Произвольное управление доступом.
- •Безопасность повторного использования объектов.
- •Метки безопасности.
- •Принудительное управление доступом.
- •Классы безопасности.
- •Требования к политике безопасности.
- •Произвольное управление доступом:
- •Повторное использование объектов:
- •Метки безопасности:
- •Целостность меток безопасности:
- •Принудительное управление доступом:
- •Требования к подотчетности. Идентификация и аутентификация:
- •Предоставление надежного пути:
- •Требования к гарантированности. Архитектура системы:
- •Верификация спецификаций архитектуры:
- •Конфигурационное управление:
- •Тестовая документация:
- •Описание архитектуры:
- •8.2. Европейские критерии безопасности информационных технологий
- •8.3. Руководящие документы Гостехкомиссии России.
- •8.4. Общие критерии безопасности информационных технологий
- •9. Методы и средства защиты данных
- •9.1. Основные методы защиты данных
- •9.2. Классификация средств защиты данных
- •9.3. Формальные средства защиты
- •9.4. Физические средства защиты
- •9.5. Аппаратные средства защиты
- •9.5.1. Отказоустойчивые дисковые массивы
- •9.5.2. Источники бесперебойного питания
- •9.6.Криптографические методы и средства защиты данных
- •Классификация криптографических методов преобразования информации
- •9.7. Методы шифрования
- •9.7.1. Методы замены
- •9.7.2. Методы перестановки
- •9.7.3. Методы аналитических преобразований
- •9.7.4. Комбинированные методы
- •9.7.5. Стандарт сша на шифрование данных (des)
- •Функция перестановки и выбора последовательности в
- •Функции сдвига Si
- •9.7.6. Отечественный стандарт на шифрование данных
- •9.8. Системы шифрации с открытым ключом
- •9.8.1. Алгоритм rsa
- •9.8.2. Криптосистема Эль-Гамаля
- •9.8.3. Криптосистемы на основе эллиптических уравнений
- •9.9. Электронная цифровая подпись
- •9.10. Методы кодирования
- •9.11. Другие методы шифрования
- •10. Стеганография
- •11. Защита программ от несанкционированного копирования
- •11.1. Методы, затрудняющие считывание скопированной информации
- •11.2. Методы, препятствующие использованию скопированной информации
- •11.3. Основные функции средств защиты от копирования
- •11.4. Основные методы защиты от копирования
- •11.4.1. Криптографические методы
- •11.4.2. Метод привязки к идентификатору
- •11.4.3. Методы, основанные на работе с переходами и стеком
- •11.4.4. Манипуляции с кодом программы
- •11.5. Методы противодействия динамическим способам снятия защиты программ от копирования
- •12. Защита информации от несанкционированного доступа
- •12.1. Аутентификация пользователей на основе паролей и модели «рукопожатия»
- •12.2. Аутентификация пользователей по их биометрическим характеристикам, клавиатурному подчерку и росписи мыши
- •12.3. Программно-аппаратная защита информации от локального несанкционированного доступа
- •12.4. Аутентификация пользователей при удаленном доступе
- •13. Защита информации в компьютерных сетях
- •Пакетные фильтры.
- •Сервера прикладного уровня.
- •Сервера уровня соединения.
- •Сравнительные характеристики пакетных фильтров и серверов прикладного уровня.
- •Схемы подключения.
- •Администрирование.
- •Системы сбора статистики и предупреждения об атаке
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
9.5. Аппаратные средства защиты
Согласно исследованиям, проведенным фирмой Intel наименее надежными компонентами вычислительной системы являются жесткий диск и источник питания.
9.5.1. Отказоустойчивые дисковые массивы
Проблема повышения отказоустойчивости систем чаще всего решается с помощью массивов RAID. RAID (Redundant Array of Inexpensive Disks) - массив избыточных недорогих дисков.
Технология RAID может быть построена на аппаратной или программной реализации.
По определению RAID имеет три признака:
набор дисков, доступных пользователям как один или несколько логических дисков;
данные распределяются по набору дисков определенным способом;
добавляется избыточная емкость или возможность восстановления данных в случае дисковых отказов.
RAID – это дисковая архитектура, которая объединяет два или более стандартных физических устройств в одно для того, чтобы достичь устойчивости данных против сбоев путем резервирования. Основные причины использования RAID-систем – улучшение производительности и повышение надежности.
Небольшие недорогие диски, используемые в персональных компьютерах и микроЭВМ, ниже по эффективности и емкости в сравнении с большими дорогими дисками универсальных ЭВМ и суперЭВМ.
Однако они превосходят их по четырем важнейшим показателям:
возможность ввода/вывода (I/O);
стоимость за мегабайт;
среднее время безотказной работы (MTBF);
соотношение «стоимость/эффективность» SCSI-контроллера на диск.
Совместное использование недорогих дисков в массиве дает очевидные преимущества:
высокую скорость пересылки;
увеличение дисковой емкости;
высокую скорость I/O.
Однако практические результаты и, следовательно, преимущества полученных решений в большой степени зависят от используемых уровней RAID, определяющих различные степени быстродействия, надежности и стоимости массивов. Выделяют восемь уровней RAID (0-7), наибольшее распространение получили уровни 1, 3 и 5.
RAID-0 - расщепление данных без проверки четности (DSA). Дисковый массив без избыточного хранения данных (рис. 7). Информация разбивается на блоки, которые одновременно записываются на отдельные диски, что обеспечивает повышение производительности. Такой способ хранения информации ненадежен, поскольку поломка одного диска приводит к потере всей информации, поэтому уровнем RAID как таковым не является.
Рис. 7. Дисковый массив с расщеплением данных
За счет возможности одновременного ввода/вывода с нескольких дисков массива RAID-0 обеспечивает максимальную скорость передачи данных и максимальную эффективность использования дискового пространства, так как не требуется места для хранения контрольных сумм. Реализация этого уровня очень проста. RAID-0, как правило, применяется в тех областях, где требуется быстрая передача большого объема данных. Для реализации массива требуется не меньше двух винчестеров.
Преимущества RAID-0:
наивысшая производительность в приложениях, требующих интенсивной обработки запросов ввода/вывода и данных большого объема;
простота реализации;
низкая стоимость;
максимальная эффективность использования дискового пространства –100%.
Недостатки:
не является «настоящим» RAID'ом, поскольку не поддерживает отказоустойчивость;
отказ одного диска влечет за собой потерю всех данных массива.
RAID-1 - дисковый массив с зеркалированием (MDA). Основан на принципе полного дублирования данных (создании зеркальной копии диска) (рис. 8). Все изменения на логическом разделе одного из дисков немедленно отражаются на точно таком же логическом разделе другого диска. Если операция чтения или записи не проходит на одном из дисков, то система использует второй. Контроль четности отсутствует.
Рис. 8. Дисковый массив с зеркалированием
Обеспечивается высокий уровень готовности данных и высокая производительность при операциях чтения. Для реализации массива требуется не меньше двух винчестеров.
Преимущества:
простота реализации;
простота восстановления массива в случае отказа (копирование).
Недостатки:
высокая стоимость – 100-процентная избыточность;
невысокая скорость передачи данных.
RAID-3 - параллельный дисковый массив (PDA). Производится расщепление данных на массиве дисков на битовом или байтовом уровне с выделением одного диска для контроля четности. Информация о четности позволяет восстановить потерянные блоки при меньшей избыточности по сравнению с RAID-1 (рис. 9).
Рис. 9. Параллельный дисковый массив
Этот уровень имеет намного меньшую избыточность, чем RAID-1. За счет расщепление данных RAID-3 имеет высокую производительность. Поскольку при каждой операции ввода/вывода производится обращение практически ко всем дискам массива, то одновременная обработка нескольких запросов невозможна.
Этот уровень подходит для приложений с файлами большого объема и малой частотой обращений (в основном это сфера мультимедиа). Использование только одного диска для хранения контрольной информации объясняет тот факт, что коэффициент использования дискового пространства достаточно высок (как следствие этого – относительно низкая стоимость). Для реализации массива требуется не меньше трех винчестеров.
Преимущества:
отказ диска мало влияет на скорость работы массива;
высокая скорость передачи данных;
высокий коэффициент использования дискового пространства.
Недостатки:
сложность реализации;
низкая производительность при большой интенсивности запросов данных небольшого объема.
RAID-5 - массив независимых дисков (IDA). Самый распространенный уровень. Блоки данных и контрольные суммы циклически записываются на все диски массива, отсутствует выделенный диск для хранения информации о четности, нет асимметричности конфигурации дисков (рис. 10).
Рис. 10. Массив независимых дисков
В случае RAID-5 все диски массива имеют одинаковый размер – но один из них невидим для операционной системы. Например, если массив состоит из пяти дисков емкостью 10 Гб каждый, то фактически размер массива будет равен 40 Гб – 10 Гб отводится на контрольные суммы. В общем случае полезная емкость массива из N дисков равна суммарной емкости N–1 диска.
Скорость выполнения операций считывания достаточно высока, так как не требует обращения к отдельному диску контроля четности.
Преимущества:
высокая скорость записи данных;
достаточно высокая скорость чтения данных;
высокая производительность при большой интенсивности запросов чтения/записи данных;
высокий коэффициент использования дискового пространства.
Недостатки:
низкая скорость чтения/записи данных малого объема при единичных запросах;
достаточно сложная реализация;
сложное восстановление данных.
Надежность RAID-массива зависит от его организации. Время наработки на отказ, по данным DEC, составляет: для RAID-0 – 0.0375; RAID-1 – 117.0; RAID-3 – 47.0; RAID-5 – 47.0 млн. час.
Помимо рассмотренных аппаратных реализаций RAID-массивов существуют и программные способы организации дисковых систем. Технология RAID может быть интегрирована в операционную систему (например NetWare, Windows NT). В данных системах поддерживаются RAID-0 (распределение одного логического диска по нескольким физическим) и RAID-1 (зеркальное отражение дисков). В большинстве задач для небольших массивов (4 Гбайт) это является оправданным решением с точки зрения экономической эффективности, производительности и надежности.
Общим недостатком для программных реализаций RAID является существенная загрузка процессора компьютера.