Технології захисту інформації

Поряд з позитивним впливом на всі сторони людської діяльності широке впровадження інформаційних технологій призвело до появи нових загроз безпеці людей. Це пов'язано з тією обставиною, що інформація, створювана, збережена і обробляється засобами обчислювальної техніки, стала визначати дії більшої частини людей і технічних систем. У зв'язку з цим різко зросли можливості нанесення шкоди, пов'язані з розкраданням інформації, так як впливати на будь-яку систему (соціальну, біологічну або технічну) з метою її знищення, зниження ефективності функціонування або крадіжки її ресурсів (грошей, товарів, обладнання) можливо тільки в тому випадку, коли відома інформація про її структуру та принципи функціонування.

Всі види інформаційних загроз можна розділити на дві великі групи [18]:

  • • відмови та порушення працездатності програмних і технічних засобів;
  • • навмисні загрози, заздалегідь плановані зловмисниками для нанесення шкоди.

Виділяють наступні основні групи причин збоїв і відмов у роботі комп'ютерних систем:

  • порушення фізичної і логічної цілісності зберігаються в оперативній і зовнішньої пам'яті структур даних, що виникають по причині старіння або передчасного зносу їх носіїв;
  • • порушення, що виникають в роботі апаратних засобів через їх старіння або передчасного зносу;
  • • порушення фізичної і логічної цілісності зберігаються в оперативній і зовнішньої пам'яті структур даних, що виникають унаслідок некоректного використання комп'ютерних ресурсів;
  • • порушення, що виникають в роботі апаратних засобів через неправильне використання або пошкодження, в тому числі з-за неправильного використання програмних засобів;
  • • неусунуті помилки в програмних засобах, не виявлені в процесі налагодження і випробувань, а також залишилися в апаратних засобах після їх розробки.

Крім природних способів виявлення і своєчасного усунення зазначених вище причин, використовують такі спеціальні способи захисту інформації від порушень працездатності комп'ютерних систем:

  • • внесення структурної, тимчасової, інформаційної та функціональної надмірності комп'ютерних ресурсів;
  • • захист від некоректного використання ресурсів комп'ютерної системи;
  • • виявлення і своєчасне усунення помилок на етапах розробки програмно-апаратних засобів.

Структурна надмірність комп'ютерних ресурсів досягається за рахунок резервування апаратних компонентів і машинних носіїв даних, організації заміни відмовили і своєчасного поповнення резервних компонентів [19]. Структурна надмірність становить основу інших видів надмірності.

Внесення інформаційної надмірності виконується шляхом періодичного або постійного (фонового) резервування даних на основних і резервних носіях. Зарезервовані дані забезпечують відновлення випадково або навмисно знищеної і спотвореної інформації. Для відновлення працездатності комп'ютерної системи після появи стійкого відмови крім резервування звичайних даних слід завчасно резервувати і системну інформацію, а також готувати програмні засоби відновлення.

Функціональна надмірність комп'ютерних ресурсів досягається дублюванням функцій або внесенням додаткових функцій в програмно-апаратні ресурси обчислювальної системи для підвищення се захищеності від збоїв і відмов, наприклад періодичне тестування і відновлення, а також самотестування і самовідновлення компонентів комп'ютерної системи.

Захист від некоректного використання інформаційних ресурсів полягає в коректному функціонуванні програмного забезпечення з позиції використання ресурсів обчислювальної системи. Програма може чітко і своєчасно виконувати свої функції, але некоректно використовувати комп'ютерні ресурси через відсутність всіх необхідних функцій (наприклад, ізолювання ділянок оперативної пам'яті для операційної системи і прикладних програм, захист системних областей на зовнішніх носіях, підтримка цілісності і несуперечності даних).

Виявлення та усунення помилок при розробці програмно-апаратних засобів досягається шляхом якісного виконання базових стадій розробки на основі системного аналізу концепції, проектування та реалізації проекту.

Однак основним видом загроз цілісності і конфіденційності інформації є навмисні загрози, заздалегідь плановані зловмисниками для нанесення шкоди. Їх можна розділити на дві групи:

  • • загрози, реалізація яких виконується при постійній участі людини;
  • • загрози, реалізація яких після розробки зловмисником відповідних комп'ютерних програм виконується цими програмами без безпосередньої участі людини.

Завдання щодо захисту від загроз кожного виду однакові:

  • • заборона несанкціонованого доступу до ресурсів обчислювальних систем;
  • • неможливість несанкціонованого використання комп'ютерних ресурсів при здійсненні доступу;
  • • своєчасне виявлення факту несанкціонованих дій, усунення їх причин та наслідків.

Основним способом заборони несанкціонованого доступу до ресурсів обчислювальних систем є підтвердження автентичності користувачів і розмежування їх доступу до інформаційних ресурсів, що включає наступні етапи:

  • • ідентифікація;
  • • встановлення автентичності (аутентифікація);
  • • визначення повноважень для подальшого контролю і розмежування доступу до комп'ютерних ресурсів.

Ідентифікація необхідна для вказівки комп'ютерній системі унікального ідентифікатора звертається до неї користувача. Ідентифікатор може являти собою будь-яку послідовність символів і повинен бути заздалегідь зареєстрований в системі адміністратора служби безпеки. У процесі реєстрації заноситься наступна інформація:

  • • прізвище, ім'я, по батькові (за потреби інші характеристики користувача);
  • • унікальний ідентифікатор користувача;
  • • ім'я процедури встановлення автентичності;
  • • еталонна інформація для підтвердження автентичності (наприклад, пароль);
  • • обмеження на використовувану еталонну інформацію (наприклад, час дії пароля);
  • • повноваження користувача з доступу до комп'ютерних ресурсів.

Встановлення дійсності (аутентифікація) полягає в перевірці істинності повноважень користувача.

Загальна схема ідентифікації та встановлення автентичності користувача представлена на рис. 5.6 [17].

Для особливо надійного впізнання при ідентифікації використовуються технічні засоби, що визначають індивідуальні характеристики людини (голос, відбитки пальців, структура зрач-

Загальна схема ідентифікації та встановлення автентичності користувача

Мал. 5.6. Загальна схема ідентифікації та встановлення автентичності користувача

ка). Однак такі методи вимагають значних витрат і тому використовуються рідко. Найбільш масово використовуваними є парольні методи перевірки автентичності користувачів. Паролі можна розділити на дві групи: прості і динамічно змінюються.

Простий пароль не змінюється від сеансу до сеансу протягом встановленого періоду його існування.

У другому випадку пароль змінюється за правилами, що визначаються використовуваним методом. Виділяють наступні методи реалізації динамічно змінюються паролів:

  • • методи модифікації простих паролів. Наприклад, випадкова вибірка символів пароля і одноразове використання паролів;
  • • метод "запит-відповідь", заснований на пред'явленні користувачеві випадково обирають запитів з наявного масиву;
  • • функціональні методи, засновані на використанні деякої функції F з динамічно змінюються параметрами (дата, час, день тижня і ін.), За допомогою якої визначається пароль.

Для захисту від несанкціонованого входу в комп'ютерну систему використовуються як загальносистемні, так і спеціалізовані програмні засоби захисту.

Після ідентифікації і аутентифікації користувача система захисту повинна визначити його повноваження для подальшого контролю санкціонованого доступу до комп'ютерних ресурсів (розмежування доступу). Як комп'ютерних ресурсів розглядаються:

  • • програми;
  • • зовнішня пам'ять (файли, каталоги, логічні диски);
  • • інформація, розмежована за категоріями в базах даних;
  • • оперативна пам'ять;
  • • час (пріоритет) використання процесора;
  • • порти введення-виведення;
  • • зовнішні пристрої.

Розрізняють такі види прав користувачів щодо доступу до ресурсів:

  • • загальне (повне надання ресурсу);
  • • функціональне або часткове;
  • • тимчасове.

Найбільш поширеними способами розмежування доступу є:

  • • розмежування за списками (користувачів або ресурсів);
  • • використання матриці встановлення повноважень (рядки матриці - ідентифікатори користувачів, стовпці - ресурси комп'ютерної системи);
  • • розмежування за рівнями таємності і категоріями (наприклад, загальний доступ, конфіденційно, таємно);
  • • парольне розмежування.

Захист інформації від дослідження і копіювання передбачає криптографічне закриття захищаються від розкрадання даних. Завданням криптографії є оборотне перетворення деякого зрозумілого вихідного тексту (відкритого тексту) в уявну випадкової послідовність деяких знаків, що їх називають шіфротекста, або криптограмою. У шифрі виділяють два основних елементи - алгоритм і ключ. Алгоритм шифрування є послідовність перетворень оброблюваних даних, залежних від ключа шифрування. Ключ задає значення деяких параметрів алгоритму шифрування, що забезпечують шифрування і дешифрування інформації. У кріптогра-

процес шифрування

Мал. 5.7. Процес шифрування

фіческой системі інформація / і ключ До є вхідними даними для шифрування (рис. 5.7) і дешифрування (рис. 5.8) інформації. При викраденні інформації необхідно знати ключ і алгоритм шифрування.

За способом використання ключів розрізняють два типи криптографічних систем: симетричні і асиметричні.

У симетричних (одноключевие) криптографічних системах ключі шифрування і дешифрування або однакові, або легко виводяться один з іншого.

В асиметричних (двохключового або системах з відкритим ключем) криптографічних системах ключі шифрування і дешифрування розрізняються таким чином, що за допомогою обчислень можна вивести один ключ з іншого.

Швидкість шифрування в двохключового криптографічних системах набагато нижче, ніж в одноключевие. Тому асиметричні системи використовують в двох випадках:

  • • для шифрування секретних ключів, розподілених між користувачами обчислювальної мережі;
  • • для формування цифрового підпису.

Одним із стримуючих факторів масового застосування методів шифрування є споживання значних часових ресурсів при програмної реалізації більшості добре відомих шифрів (DES, FEAL, REDOC, IDEA, ГОСТ).

Однією з основних загроз розкрадання інформації є загроза доступу до залишковим даними в оперативній і зовнішньої пам'яті комп'ютера. Під залишкової інформацією розуміють дані, що залишилися в звільнилися ділянках оперативної і зовнішньої пам'яті після видалення файлів користувача, видалення тимчасових файлів без відома користувача, що знаходяться в невикористовуваних

процес дешифрування

Мал. 5.8. Процес дешифрування

хвостових частинах останніх кластерів, займаних файлами, а також в кластерах, звільнених після зменшення розмірів файлів і після форматування дисків.

Основним способом захисту від доступу до конфіденційних залишковим даними є своєчасне знищення даних в наступних областях пам'яті комп'ютера:

  • • в робочих областях оперативної і зовнішньої пам'яті, виділених користувачу, після закінчення їм сеансу роботи;
  • • в місцях розташування файлів після видачі запитів на їх видалення.

Знищення залишкових даних може бути реалізовано або засобами операційних середовищ, або за допомогою спеціалізованих програм. Використання спеціалізованих програм (автономних або в складі системи захисту) забезпечує гарантоване знищення інформації.

Підсистема захисту від комп'ютерних вірусів (спеціально розроблених програм для виконання несанкціонованих дій) є одним з основних компонентів системи захисту інформації та процесу її обробки в обчислювальних системах.

Виділяють три рівні захисту від комп'ютерних вірусів (20]:

  • • захист від проникнення в обчислювальну систему вірусів відомих типів;
  • • поглиблений аналіз на наявність вірусів відомих і невідомих типів, що подолали перший рівень захисту;
  • • зашита від деструктивних дій і розмноження вірусів, що подолали перші два рівня.

Пошук та знешкодження вірусів здійснюються як автономними антивірусними програмними засобами (сканери), так і в рамках комплексних систем захисту інформації.

Серед транзитних сканерів, які завантажуються в оперативну пам'ять, найбільшою популярністю в нашій країні користуються антивірусні програми Aidstest Дмитра Лозинського і DrWeb Ігоря Данилова. Ці програми прості у використанні і для детального ознайомлення з керівництвом по кожній з них слід прочитати файл, що поставляється разом з антивірусним засобом.

Широке впровадження в повсякденну практику комп'ютерних мереж, їх відкритість, масштабність роблять проблему захисту інформації виключно складною. Виділяють дві базові підзадачі:

  • • забезпечення безпеки обробки і зберігання інформації в кожному з комп'ютерів, що входять в мережу;
  • • захист інформації, що передається між комп'ютерами мережі.

Вирішення першого завдання засноване на багаторівневої захисту автономних комп'ютерних ресурсів від несанкціонованих і некоректних дій користувачів і програм, розглянутих вище.

Безпека інформації при мережевому обміні даними вимагає також забезпечення їх конфіденційності і автентичності. Захист інформації в процесі передачі досягається на основі захисту каналів передачі даних, а також криптографічного закриття переданих повідомлень. В ідеальному випадку зашита каналів передачі даних повинна забезпечувати їх захист як від порушень працездатності, так і несанкціонованих дій (наприклад, підключення до ліній зв'язку). Унаслідок великої протяжності каналів зв'язку, а також можливої доступності їх окремих ділянок (наприклад, при бездротового зв'язку) захист каналів передачі даних від несанкціонованих дій економічно неефективна, а в ряді випадків неможлива. Тому реально захист каналів передачі даних будується на основі захисту порушень їх працездатності. На рис. 5.9 представлені цілі та способи захисту переданих даних [18].

У табл. 5.2 наведені короткі відомості про вітчизняні комплексних засобах захисту інформації, що мають сертифікати і відповідають державним стандартам.

Цілі і способи захисту переданих даних

Мал. 5.9. Цілі і способи захисту переданих даних

Міжнародне визнання для захисту переданих повідомлень отримала програмна система PGP (Pretty Good Privacy - дуже висока секретність), розроблена в США і об'єднує асиметричні і симетричні шифри. Будучи найпопулярнішою програмної криптосистемою в світі, PGP реалізована для безлічі операційних середовищ - MS DOS, Windows 95, Windows NT, OS / 2, UNIX, Linux, Mac OS, Amiga, Atari і ін.

T абліцa 5.2

№ п / п

засіб

Призначення засобу (область застосування)

Тип засобу

1

Сніг (версія 1.0)

Система захисту інформації від несанкціонованого доступу для ПЕОМ IBM PC ΧΤ / ΛΤ. У неї входить СКЗД "Іній"

ПА

2

Сніг-ЛВС

Система захисту інформації від несанкціонованого доступу в локальних обчислювальних мережах. У ніс входить СКЗД "Іній *

ПА

3

Кобра

Система захисту інформації від несанкціонованого доступу для ПЕОМ по четвертому класу захищеності засобів обчислювальної техніки

П

4

Страж (версія 1.1)

Програмний комплекс захисту інформації від несанкціонованого доступу для ПЕОМ за другим класом захищеності засобів обчислювальної техніки

П

5

Марс

Комплекс програмних засобів захисту від несанкціонованого доступу для персонального комп'ютера по третьому класу захищеності засобів обчислювальної техніки

П

6

Кютак-С

Автоматизований програмно-апаратний комплекс з управління і розрахунків автозаправних підприємств

ПА

7

Сизам

Система захисту інформації від несанкціонованого доступу в локальних обчислювальних мережах по класу захищеності 1Д (локальні обчислювальні мережі) і шостого класу захищеності від несанкціонованого доступу

П

8

DALLAS LOCK (версія 3.1)

Програмно-апаратний комплекс захисту від несанкціонованого доступу і обробки конфіденційної інформації

ПА

9

SECRET NET (версія 1.10)

Система захисту (включаючи її локальну версію) по шостого класу захищеності для засобів обчислювальної техніки

ПА

10

СНЕГ2.0

Програмний засіб захисту інформації від несанкціонованого доступу в автоматизованих системах на базі автономної ПЕОМ з ОС MS DOS версій 5.0 та 6.22 по класу захищеності 1Б; по класу захищеності 2 - в сертифікованих засобах обчислювальної техніки

П

11

акорд

Програмно-апаратний комплекс (версія ПО і БІОС 1.31 / 1.10) але класу 1Д (для довільної програмної середовища ПЕОМ) і за класом 1В (для функціонально-замкнутої програмного середовища ПЕОМ) - для АСУ

ПА

12

SVET & Q

Програмно-апаратний комплекс захисту інформації від несанкціонованого доступу в автоматизованих системах але класу захищеності 1В; по класу захищеності 4 - для сертифікованих засобів обчислювальної техніки

ПА

13

ДДЗ (версія 1.0)

Програмно-апаратний засіб захисту інформації від несанкціонованого доступу в локальних обчислювальних мережах Novel Netware (версія 3.11) і на автономних АРМ на базі ПЕОМ IBM PS / ΛΤ з ОС MS DOS версій 3.30 і вище за класом захищеності 2 для засобів обчислювальної техніки

ПА

14

SECRET NET (версія 2.1)

Програмно-апаратний комплекс захисту інформації від несанкціонованого доступу в локальних обчислювальних мережах Novel Netware (версія 3.11), Windows for Workgroups (версія 3.11) з використанням ОС MS DOS (версії 3.3-7.0), PS DOS (версії 3.30-6.30) за класами захищеності ЗА, 2Б, 1В для автоматизованих систем і класу захищеності 3 для сертифікованих засобів обчислювальної техніки

ПА

15

SKIP (версія 1.0)

Програмний продукт для регулювання доступу на інтерфейсі локальна / глобальна мережа підлогу управлінням ОС Windows 3.11 і Windows 95. Відповідає технічним умовам і класу захищеності ЗБ для АСУ

П

16

SKIP (версія 2.0)

Програмний продукт для регулювання доступу па інтерфейсі локальна / глобальна мережа під управлінням ОС Solaris 2.4. Відповідає технічним умовам і класу захищеності ЗБ для АСУ

П

17

Інфотекс

Програмне забезпечення корпоративної накладеної мережі для віддаленої захищеного зв'язку, відповідає класу захищеності 1В для АСУ

П

18

Шериф

Програмний засіб захисту інформації від несанкціонованого доступу

П

19

Банк-Клі

ент

Засоби захисту інформації від несанкціонованого доступу автоматизованої системи пересилання документів

П

20

Линтер

Система управління базами даних версії 4.3, відповідає класу захищеності 5 для СВТ

П

21

лабіринт

Апаратно-програмний комплекс "Система захисту інформації на ПЕОМ *

ПА

22

Пандора

Система захисту інформації від несанкціонованого доступу в мережах передачі даних по протоколу TCP / IP - міжмережевий екран "Пандора". Відповідає класу захищеності ЗБ для АСУ

ПА

23

редут

Програмно-апаратний комплекс захисту ПЕОМ від несанкціонованого доступу, відповідає класу захищеності 5 для засобів обчислювальної техніки

ПА

24

Secret Net (версія 3.0)

Система захисту інформації від несанкціонованого доступу для ОС Windows 95 на робочих станціях і мережева ОС Novel Net Ware версії 3.11-4.1. Відповідає класу захищеності 3 для засобів обчислювальної техніки

П

25

ELITE

Програмний засіб захисту інформації від несанкціонованого доступу в складі системи обробки, зберігання та передачі електронних документів. Відповідає класу захищеності 5 для засобів обчислювальної техніки

п

26

СГУ-1

Система гарантованого знищення файлів і затирання залишкової інформації на магнітних носіях і в пам'яті ЕОМ. Відповідає класу захищеності 3 для засобів обчислювальної техніки

п

27

SVINKA-U

Система захисту інформації для ОС UNIX "SVINKA-U" версії 1.20. Відповідає класу захищеності 4 для СВТ

п

28

Линтер ВС (версія 5.1)

Захищена "Мобільна мережева система управління базами даних" Линтер ВС "версії 5.1. Відповідає класу захищеності 3 для СВТ

п

29

DALLAS LOCK (версія 4.0

Програмно-апаратний комплекс захисту від несанкціонованого доступу і обробки конфіденційної інформації

ПА

30

Акорд (версія 1.35)

Програмно-апаратний комплекс захисту від несанкціонованого доступу і обробки конфіденційної інформації

ПА

31

МСВС

Засоби захисту інформації від несанкціонованого доступу операційної системи "Мобільна система збройних сил". Відповідає класу захищеності 5 для засобів обчислювальної техніки

П

32

Optima (версія 1.6)

Система автоматизації технологічних процесів електронного документообігу "OPTIMA-Work-Flow-SN" по класу 1В

П

33

Secret Net N1 '(версії 1.0)

Система розмежування доступу

ПА

34

TN-MS

EC-TN-1

Автоматизована система управління "Менеджер елементів системи управління" за класом 1В для автоматизованих систем

П

35

IMACS EMS (версія 3.0)

Автоматизована система управління "Менеджер елементів системи управління" за класом 1В для автоматизованих систем

П

36

TAMS

Система захисту інформації від несанкціонованого доступу по класу 1Г для автоматизованих систем

П

37

рубіж

Комплекс засобів захисту інформації та розмежування доступу до ПЕОМ по класу 1Д для автоматизованих систем

ПА

38

Спектр-2

Система захисту інформації від несанкціонованого доступу для різного класу ПЕОМ (автономних і включених в мережу), що працюють під управлінням ОС Windows 95, 98, відповідає класу захищеності 1В для засобів обчислювальної техніки

П

Примітка: П - програмний засіб; ПА - програмно-апаратний засіб.

 
< Попер   ЗМІСТ   Наст >