Метод шифрования данных и сведений
Этот метод является одним из наиболее эффективных методов защиты. Он сильно усложняет процедуры несанкционированного доступа, даже если обычные средства защиты удалось обойти. Для этого источник информации кодирует ее при помощи некоторого алгоритма и ключа шифрования. Зашифрованные выходные данные не может прочесть никто, кроме владельца ключа.
Особенно высокой надежностью обладает механизм защиты по методу шифрования данных с аппаратной поддержкой. Разработчиками фирмы Intel создано программируемое ПЗУ с доступом по ключу на базе БИС 27916. При использовании двух подобных ПЗУ с доступом по ключу, один из которых устанавливается в ЭВМ пользователя (терминальной), а другой в ЭВМ с коллективной базой данных, для доступа не нужно никаких паролей. ПЗУ выполняет функцию «замка» и «ключа», предотвращая доступ к базе данных со стороны любой удаленной ЭВМ, не содержащей одного из упомянутых ПЗУ с ключом, совпадающим с соответствующим ключом ЭВМ базы данных. При попытке обращения со стороны терминальной ЭВМ к ЭВМ с центральной базой данных оба ПЗУ проверяют, совпадают ли «замок» и «ключ», и если совпадают, то доступ к базе данных разрешается. Параметры ключа никогда не передаются по линии связи, поэтому ключ определить невозможно, даже если несанкционированно подключиться к линии связи.
Алгоритм взаимодействия терминальной ЭВМ с ЭВМ базы данных распадается на два последовательных этапа.
Сначала терминальная ЭВМ генерирует случайное число и посылает его по линии связи в ЭВМ базы данных. Обе машины обрабатывают это число по алгоритму шифрования с использованием собственных 64-разрядных ключей. Затем ЭВМ базы данных возвращает свой зашифрованный результат терминальной ЭВМ, которая сравнивает его с собственным зашифрованным результатом. Если они совпадают, то вновь производится обмен, только теперь инициатором выступает ЭВМ базы данных. Таким образом, практически исключается несанкционированный доступ к системе, для которого необходимо провести соответствующие модификации с обеих сторон.
Выбор 64-разрядной длины ключа означает, что существует более 18 1018 возможных уникальных значений ключа и его подбор займет достаточно много лет процессорного времени.
В ряде компьютерных сетей используется «ключ», который представляет собой пластиковую карту или устройство для идентификации личности по биометрической информации (по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т. д.).
Серверы и сетевые рабочие станции, оснащенные устройствами чтения магнитных или содержащих встроенную микросхему (смарт-карт) пластиковых карт и специальным программным обеспечением, значительно повышают степень защиты от несанкционированного доступа.
Смарт-карты управления доступом позволяют реализовать такие функции, как контроль входа, доступ к устройствам компьютера, к программам, файлам и командам. Удачный пример комплексного контроля доступа в открытых системах, использующего программные и аппаратные средства защиты, представляет система Kerberos, основу которой составляют три компонента:
база данных, которая содержит информацию по всем сетевым ресурсам, пользователям, паролям, информационным ключам и т. д.;
аутентификационный сервер, задачей которого является обработка запросов пользователей на предоставление того или иного вида сетевых услуг. Получая запрос, он обращается к базе данных и определяет полномочия пользователя на совершение определенной операции. Пароли пользователей по сети не передаются, тем самым, повышая степень защиты информации;
сервер выдачи разрешений (Ticket-granting server), который получает от аутентификационного сервера «пропуск» с именем пользователя и его сетевым адресом, временем запроса, а также уникальный «ключ». Пакет, содержащий «пропуск», передается в зашифрованном виде. Сервер выдачи разрешений после получения и расшифровки «пропуска» проверяет запрос, сравнивает «ключи» и при их совпадении разрешает использование сетевой аппаратуры или программ.
Защита от компьютерных вирусов
Это особая и важная статья защиты информации, методы которой мы рассмотрим при изучении темы «Программное обеспечение. Базовое программное обеспечение».
Резервное копирование
Прямое отношение к организационным мерам безопасности имеет стратегия архивирования и дублирования информации. Обычно эти ответственные операции выполняются в нерабочее время в пакетном режиме. В крупных корпоративных сетях предпочтение отдается выделенному специализированному архивационному серверу, который автоматически архивирует информацию с жестких дисков серверов и рабочих станций в определенное время, установленное администратором сети, выдавая отчет о проведенном резервном копировании.
Существует программы, в которых сжатие данных реализовано на уровне драйверов. Вместо того чтобы сжимать файлы по отдельности или группами, программа сжимает целиком весь диск. Программа «на лету» упаковывает данные, записываемые на диск, и автоматически распаковывает считываемые с диска. При этом наблюдается небольшое, практически незаметное, замедление работы при чтении и записи данных на сжатый диск.
Существуют две известные программы, выполняющие данный способ упаковки, это DoubleSpace и Stacker. DoubleSpace входит в поставку MS DOS, начиная с шестой версии, а Stacker поставляется отдельно.
Независимо от того, насколько хорошо разработаны программные методы защиты, их эффективность во многих случаях зависит от правильности действий пользователя, действий, в которых возможны ошибки и даже злой умысел. Опыт показывает, что чем меньше сотрудник знаком с компьютерами, тем большую опасность он представляет с точки зрения возможности заражения ЭВМ компьютерными вирусами. Следовательно, главным условием безопасности следует признать соответствующий уровень обучения сотрудников. Следует отметить, что регулирования доступа само по себе не является панацеей.