лекции 2022 / Lecture3
.docЛЕКЦИЯ 3 Аппаратно-программная защита информация
3.1. Инженерно-техническое обеспечение безопасности информации
3.2. Технические средства защиты информации
Инженерно-техническое обеспечение безопасности информации
В настоящее время для получения конфиденциальной информации злоумышленниками, в том числе и промышленными шпионами, используются самые разнообразные средства и способы проникновения на объекты, разработанные на основе последних достижений науки и техники, с использованием новейших технологий в области миниатюризации в интересах скрытного их использования. Для противодействия этому натиску службы безопасности оснащаются необходимой аппаратурой, не уступающей по надежности и функциональным возможностям аппаратуре злоумышленников.
Инженерно-техническое обеспечение безопасности информации путем осуществления необходимых технических и организационных мероприятий должно исключать:
неправомочный доступ к аппаратуре обработки информации путем контроля доступа в производственные помещения;
неправомочный вынос носителей информации персоналом, занимающимся обработкой данных, посредством выходного контроля в соответствующих производственных помещениях;
несанкционированное введение данных в память, изменение или стирание информации, хранящейся в памяти;
неправомочное пользование системами обработки информации и незаконное получение в результате этого данных;
доступ в системы обработки информации посредством специальных устройств и незаконное получение данных;
возможность неправомочной передачи данных через компьютерную сеть;
обработку данных заказчика без соответствующего указания последнего.
Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях (рисунок 3.1). Инженерно-техническая защита – это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации.
Рисунок 3.1 Основные инженерные и технические мероприятия по защите информации
Физические средства включают в себя различные инженерные средства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и защищающие персонал (личные средства безопасности), материальные, средства и финансы, информацию от противоправных действий.
По уровню физической защиты все зоны и помещения подразделяются на три группы:
тщательно контролируемые зоны с защитой высокого уровня;
защищенные зоны;
слабо защищенные зоны.
К первой группе относятся, как правило, серверные комнаты, помещения с сетевым и связным оборудованием, архив программ и данных.
Ко второй группе относятся помещения, где расположены рабочие места администраторов, контролирующих работу сети, а также периферийное оборудование ограниченного пользования.
В третью группу входят помещения, в которых оборудованы рабочие места пользователей и установлено периферийное оборудование общего пользования.
К аппаратным средствам относятся приборы, устройства, приспособления и другие технические решения, используемые в интересах обеспечения безопасности. В практике деятельности любой организации находит широкое применение самая различная аппаратура: от телефонного аппарата до совершенных автоматизированных информационных систем, обеспечивающих ее производственную деятельность. Основная задача аппаратных средств – стойкая безопасность коммерческой деятельности.
Программные средства – это специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки данных.
Криптографические средства – это специальные математические и алгоритмические средства защиты информации, передаваемой по сетям связи, хранимой и обрабатываемой на компьютерах с использованием методов шифрования.
Очевидно, что такое деление средств безопасности информационных систем достаточно условно, так как на практике очень часто они и взаимодействуют и реализуются в комплексе в виде программно-аппаратной реализации с широким использованием алгоритмов закрытия информации. Например, в настоящее время для обеспечения безопасности передачи данных в компьютерных сетях применяются следующие механизмы защиты информации:
идентификация и аутентификация;
управление доступом;
обеспечение конфиденциальности данных и сообщений;
обеспечение целостности данных и сообщений;
контроль субъектов взаимодействия;
регистрация и наблюдение.
Технические средства защиты информации
Технические средства защиты разделяются на встроенные и внешние (рисунок 3.2).
Рисунок 3.2 Технические средства защиты информации
К встроенным средствам защиты персонального компьютера и программного обеспечения относятся средства парольной защиты BIOS, операционной системы, СУБД. Данные средства могут быть откровенно слабыми – BIOS с паролем супервизора, парольная защита Windows, но могут быть и значительно более стойкими – BIOS без паролей супервизора, парольная защита iOS. Использование сильных сторон этих средств позволяет значительно усилить систему защиты информации от несанкционированного доступа (НСД).
Внешние средства призваны подменить встроенные средства с целью усиления защиты, либо дополнить их недостающими функциями.
К ним можно отнести:
аппаратные средства доверенной загрузки;
аппаратно-программные комплексы разделения полномочий пользователей на доступ;
средства усиленной аутентификации сетевых соединений (защищенная аппаратура передачи данных – АПД).
Аппаратные средства доверенной загрузки представляют собой изделия, иногда называемые «электронным замком», чьи функции заключаются в надежной идентификации пользователя, а также в проверке целостности программного обеспечения компьютера. Обычно это плата расширения персонального компьютера, с необходимым программным обеспечением, записанным либо во Flash-память платы, либо на жесткий диск компьютера.
Принцип их действия простой. В процессе загрузки стартует BIOS платы защиты от НСД. Он запрашивает идентификатор пользователя и сравнивает его с идентификатором, хранимым во Flash-памяти карты. Идентификатор дополнительно можно защищать паролем. Затем стартует встроенная операционная система платы или компьютера, после чего стартует программа проверки целостности программного обеспечения. Как правило, проверяются системные области загрузочного диска, загрузочные файлы и файлы, задаваемые самим пользователем для проверки. Проверка осуществляется либо на основе имитовставки алгоритма ГОСТ 28147-89, либо на основе функции хэширования алгоритма ГОСТ Р 34.11-34 или иного алгоритма. Результат проверки сравнивается с хранимым эталоном во Flash-памяти карты. Если в результате сравнения при проверке идентификатора или целостности системы выявится различие с эталоном, то плата заблокирует дальнейшую работу, и выдаст соответствующее сообщение на экран. Если проверки дали положительный результат, то плата передает управление персональному компьютеру для дальнейшей загрузки операционной системы. Все процессы идентификации и проверки целостности фиксируются в журнале. Достоинства устройств данного класса – их высокая надежность, простота и невысокая цена. При отсутствии многопользовательской работы на компьютере функций защиты данного средства обычно достаточно.
Аппаратно-программные комплексы разделения полномочий на доступ используются в случае работы нескольких пользователей на одном компьютере, если встает задача разделения их полномочий на доступ к данным друг друга. Решение данной задачи основано на следующих функциях, реализуемых программным образом:
на запрете пользователям запусков определенных приложений и процессов;
на разрешении пользователям и запускаемым ими приложениям лишь определенного типа действия с данными.
Реализация запретов и разрешений достигается различными способами. Как правило, в процессе старта операционной системы запускается и программа защиты от несанкционированного доступа. Она присутствует в памяти компьютера, как резидентный модуль и контролирует действия пользователей на запуск приложений и обращения к данным. Все действия пользователей фиксируются в журнале, который доступен только администратору безопасности. Аппаратно-программные комплексы состоят из аппаратной части – платы доверенной загрузки компьютера, которая проверяет дополнительно и целостность программного обеспечения самой системы защиты от НСД на жестком диске, и программной части – программы администратора, резидентного модуля. Эти программы располагаются в специальном каталоге и доступны лишь администратору. Данные системы можно использовать и в однопользовательской системе для ограничения пользователя по установке и запуску программ, которые ему не нужны в работе.
Средства усиленной аутентификации сетевых соединений (блоки защиты в АПД) применяются в том случае, когда работа рабочих станций в составе сети накладывает требования для защиты ресурсов рабочей станции от угрозы несанкционированного проникновения на рабочую станцию со стороны сети и изменения либо информации, либо программного обеспечения, а также запуска несанкционированного процесса. Эта технология получила название технологии частных виртуальных сетей (VPN).
Анализ защищенности информационного объекта и выявление угроз его безопасности – крайне сложная процедура. Не менее сложная процедура – выбор технологий и средств защиты для ликвидации выявленных угроз. Решение данных задач лучше поручить специалистам, имеющим богатый опыт.