2. Механизмы защиты, устраняющие уязвимости сервера резервного копирования сетевой файловой системы

2.1 Организационные меры по защите сервера резервного копирования

Прежде чем начать рассматривать непосредственно программно-технические методы защиты необходимо упомянуть об организации безопасного хранения резервных копий и организации процесса резервного копирования, поскольку многие механизмы становятся абсолютно бесполезными при не выполнении нескольких простых правил. Список этих правил может быть представлен следующим образом:

1. Хранение носителей с резервной информацией должно осуществляться отдельно от основного места, где находится оборудование, предназначенное для обработки информации, желательно за пределами здания. Это необходимо для защиты носителей в случае возникновения аварии на основном рабочем месте.

2. Доступ в помещение, в котором находится сервер резервного копирования должен контролироваться, кроме того необходимо наличие видеонаблюдения.

3. Необходимо создать, по крайней мере, три поколения резервных копий данных для важных производственных приложений.

4. Сервер резервного копирования должен быть надлежащим образом защищен физически от воздействия окружающей в соответствии со стандартами, принятыми на основном рабочем месте. Средства защиты которые приняты на основном рабочем месте, следует распространить на место в котором находится сервер резервного копирования. К средствам относятся: источники бесперебойного питания, система охлаждения, пожарная сигнализация и т.д.

5. Резервные данные необходимо регулярно тестировать, чтобы быть уверенным, что на них можно будет положиться в случае аварии.

6. Место, предназначенное для хранения резервных копий, должно быть блокировано от несанкционированного доступа. Для этого могут использоваться сейфы и системы видеонаблюдения.

7. Должен быть разработан и введен соответствующий регламент резервного копирования данных.

8. Программное обеспечение, используемое в системе резервного копирования и в системе защиты резервного копирования должно иметь сертификат ФСТЭК или ФСБ, в зависимости от обрабатываемых в системе данных.

9. Технический персонал, отвечающий за функционирование сервера резервного копирования, должен быть обучен и проинструктирован должным образом.

2.2 Средства криптографической защиты и контроля целостности

Криптографическими средствами защиты называются специальные средства и методы преобразования информации, в результате которых маскируется ее содержание. Используются для защиты ДЗУ сервера резервного копирования сетевой файловой системы. В случае даже если злоумышленник получит доступ к носителям информации, он не сможет прочесть их содержимое и изменить их содержание для навязывания информации.

В нашей стране сертифицированным алгоритмом шифрования является «ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования». Его структурная схема приведена на рисунке 2.1. Алгоритм шифрует данные 64-битными блоками с использованием 256-битного ключа шифрования. Выполняется 32 раунда преобразований, в каждом из которых предусмотрены следующие операции :

1. Один из 32-битных субблоков данных складывается с 32-битным значением ключа раунда Ki по модулю 232.

2. Результат предыдущей операции разбивается на 8 фрагментов по 4 бита, которые параллельно «прогоняются» через 8 таблиц замен S1…S8. Таблицы замен в стандарте не определены.

3. 4-битные фрагменты (после замен) объединяются обратно в 32-битный субблок, значение которого циклически сдвигается влево на 11 бит.

4. Обработанный предыдущими операциями субблок накладывается на необработанный с помощью побитовой логической операции «исключающее или» (XOR).

5. Субблоки меняются местами.

Процедура расширения ключа в алгоритме ГОСТ 28147-89, фактически, отсутствует: в раундах шифрования последовательно используются 32-битные фрагменты K1…K8 исходного 256-битного ключа шифрования в следующем порядке: K1, K2, K3, K4, K5, K6, K7, K8, – за исключением последних 8 раундов – в раундах с 25-го по 31-й фрагменты используются в обратном порядке.

Расшифрование полностью аналогично зашифрованию, но с другим порядком использования фрагментов ключа: в прямом порядке – в первых 8 раундах; в остальных раундах – в обратном порядке.

Стандарт также предусматривает и описывает различные режимы применения алгоритма:

• описанный выше режим простой замены;

• режимы гаммирования и гаммирования с обратной связью, предусматривающие вычисление с помощью описанных выше преобразований псевдослучайной последовательности – гаммы шифра – и ее наложение на шифруемый текст;

• режим вычисления имитовставки – криптографической контрольной суммы, используемой для подтверждения целостности данных; в данном режиме выполняется 16 раундов преобразований вместо 32-х.

Рисунок 2.1 – Структурная схема алгоритма ГОСТ

В ГОСТе используется 256-битовый ключ и объем ключевого пространства составляет . Ни на одном из существующих в настоящее время или предполагаемых к реализации в недалеком будущем электронном устройстве нельзя подобрать ключ за время, меньшее многих сотен лет. Эта величина стала фактическим стандартом размера ключа для симметричных криптоалгоритмов в наши дни, – так, новый стандарт шифрования США также его поддерживает. Прежний же американский стандарт, DES с его реальным размером ключа в 56 бит и объемом ключевого пространства всего уже не является достаточно стойким в свете возможностей современных вычислительных средств.