3 Опознание пользователя и разграничение доступа в лвс можно также организовать с помощью шифровального устройства.
Лучше всего для этой цели использовать аппаратное устройство, так как его подмена или отключение нарушителю не помогут.
Такое устройство устанавливается в каждой ПЭВМ и тогда ЗАКОННЫЙ ПОЛЬЗОВАТЕЛЬ ОБРАЩАЕТСЯ в сеть с помощью ключа-пароля, ОТВЕТНЫЕ ЗНАЧЕНИЯ которого ХРАНЯТСЯ НА ТЕХ рабочих СТАНЦИЯХ, к обмену с КОТОРЫМИ ОН ДОПУЩЕН.
В свою очередь на файл-сервере по этому паролю ему могут предоставляться персональные массивы данных.
Ещё одно достоинство этого метода в том, что КЛЮЧ-ПАРОЛЬ ДАННОГО ПОЛЬЗОВАТЕЛЯ НЕ ХРАНИТСЯ НА ДАННОЙ ПЭВМ, а ЗАПОМИНАЕТСЯ ПОЛЬЗОВАТЕЛЕМ или ХРАНИТСЯ НА специальном носителе типа КАРТОЧКИ.
Все ДАННЫЕ, включая коды паролей, которые ПОСТУПАЮТ В СЕТЬ, и все данные, которые ХРАНЯТСЯ НА ЖЕСТКОМ ДИСКЕ, ДОЛЖНЫ БЫТЬ ЗАШИФРОВАНЫ.
При передаче данных в сеть, ДО НАЧАЛА ШИФРОВАНИЯ (с целью привязки к передаваемой информации) идентификатор и (или) адрес получателя и отправителя (передаваемые в открытом виде) совместно с информацией ДОЛЖНЫ ПОДВЕРГАТЬСЯ ОБРАБОТКЕ ОБЫЧНЫМИ СРЕДСТВАМИ ПОВЫШЕНИЯ ДОСТОВЕРНОСТИ, результат которой одновременно с зашифрованной информацией поступает на ПЭВМ-получатель, где после дешифрации принятая информация проверяется на совпадение.
Данная процедура позволит обнаружить подмену идентификатора и (или) адреса, т. е. попытку навязывания ложной информации при несанкционированном подключении к сети.
Шифрованию НЕ ДОЛЖНЫ подвергаться ВСЕМ ИЗВЕСТНЫЕ формализованные запросы и сообщения, так как, ЗНАЯ ЗАКОН ПРЕОБРАЗОВАНИЯ, нарушитель путём перебора известных формализованных сообщений может вычислить действительное значение ключа, с помощью которого одно из них закрыто, а знание последнего позволит нарушителю ознакомиться с остальной зашифрованной информацией.
Поступающая в сеть зашифрованная ключом отправителя информация дешифруется на ПЭВМ-получателе с помощью ключа, значение которого соответствует идентификатору и (или) адресу отправителя.
(Ключи шифрования отправителей хранятся в ПЭВМ-получателе в зашифрованном виде, они зашифрованы ключом-паролем получателя информации.)
4 В менее ответственных лвс для защиты от модификации информации при её передаче по телефонным каналам используется система «обратный вызов».
Если нужно подключиться к ПЭВМ, где имеется система защиты «обратный вызов», следует сообщить об этом системе, и тогда её устройство защиты подготавливается для «обратного вызова» на ваше местонахождение.
Другими словами, система имеет в памяти полный листинг на каждого допущенного пользователя. В этот файл включены:
– семизначный идентификационный номер, который вы должны набрать, когда хотите обратиться к файлу;
– телефонный номер, по которому вас можно найти;
– главные ЭВМ, к которым вам разрешен доступ.
То есть, ПОДЛИННОСТЬ обращения обеспечивается обратным вызовом: соединение с вами устанавливается вашим адресатом по вашему вызову. Данный метод, однако, не защищает от утечки информации.
5 Для защиты данных, передающихся по кабелю, существует несколько способов.
Первый способ – уборка кабеля из поля зрения – должен быть предпринят для защиты кабеля от повреждения и удовлетворения правил электробезопасности, т. е. если кабель проложить в труднодоступном скрытом месте, это будет способствовать его защите от НСД.
Кабель, по которому передаются данные, ИЗЛУЧАЕТ РАДИОСИГНАЛЫ подобно передающей антенне.
Простое оборудование для перехвата, установленное рядом с кабелем, может собирать и записывать эти передачи. Если величина излучаемого сигнала превышает сигналы шумов на расстоянии за пределами охраняемой территории, следует принять определённые меры защиты.
Величину излучаемого сигнала на кабеле МОЖНО УМЕНЬШИТЬ при помощи ЭКРАНА в виде заземлённой оплётки из медных проводов, охватывающих провода, несущие информацию.
Другой способ решить эту проблему заключается в ПРИМЕНЕНИИ ВОЛОКОННО-ОПТИЧЕСКОГО КАБЕЛЯ, использующего тонкий стеклянный световод, но которому передача информации осуществляется путём модуляции света.
Однако появились сообщения о возможности съёма информации и с этих кабелей. Поэтому наилучшим средством защиты от вышеуказанных угроз СЛУЖИТ ШИФРОВАНИЕ передаваемой информации, о котором сообщалось выше.
6 Средства защиты будут выполнять свою задачу, если они составляют ЗАМКНУТЫЙ КОНТУР ЗАЩИТЫ и имеют СРЕДСТВА СИГНАЛИЗАЦИИ И БЛОКИРОВКИ ДОСТУПА, а в случаях невозможности создание последних обладают такой прочностью, время на преодоление которой больше времени жизни защищаемой информации или финансовые затраты на преодоление которой превышают стоимость защищаемой информации.
Задачи ОБЪЕДИНЕНИЯ РАЗЛИЧНЫХ СРЕДСТВ ЗАЩИТЫ (создания замкнутого контура) и обеспечения их функционирования выполняют СРЕДСТВА ЦЕНТРАЛИЗОВАННОГО УПРАВЛЕНИЯ И КОНТРОЛЯ ЗАЩИТОЙ. Схема распределения средств защиты по ВКНСД приведена в таблице 11.1.
Таблица 11.1 – Распределение средств зашиты по ВКНСД ЛВС
|
Наименование ВКНСД |
Средства защиты |
Прочность |
Класс защиты | ||
|
I |
II |
II I | |||
|
ВКНСД элемента сети (ПЭВМ) |
Система безопасности информации элемента сети (ПЭВМ) |
GPC |
+ |
+ |
+ |
|
ВКНСД сервера |
Средства контроля доступа на территорию объекта |
P1 |
+ |
+ |
+ |
|
Средства контроля доступа в помещение сервера |
P2 |
+ |
+ |
- | |
|
Программа контроля и разграничения доступа к информации ЛВС |
P3 |
+ |
+ |
+ | |
|
Средства шифрования |
P4 |
+ |
- |
- | |
|
Организационные мероприятия |
P5 |
+ |
+ |
+ | |
|
НСД со стороны средств контроля и управления конфигурацией, адресными таблицами и функциональным контролем ЛВС |
Средства контроля доступа на территорию объекта |
P1 |
+ |
+ |
+ |
|
Средства контроля доступа в помещение администратора |
P2 |
+ |
+ |
| |
|
Программа опознания и контроля доступа к информации ПЭВМ |
P6 |
+ |
+ |
+ | |
|
Программа контроля и разграничения доступа к информации ЛВС |
P3 |
+ |
+ |
+ | |
|
Средства контроля целостности ЛВС |
P7 |
+ |
+ |
- | |
|
НСД со стороны линии связи ЛВС |
Средства контроля доступа на территорию объекта |
P1 |
+ |
+ |
+ |
|
Организационные мероприятия |
P5 |
+ |
+ |
- | |
|
Система шифрования |
P4 |
+ |
- |
- | |
|
НСД со стороны аппаратуры передачи данных в каналы связи, концентраторов, мостов, коммутаторов и т.д. |
Средства контроля доступа на территорию объекта |
P1 |
+ |
+ |
+ |
|
Средства контроля доступа в помещение Средства контроля вскрытия аппаратуры |
P2 P8 |
+ + |
- |
- | |
|
Оргмероприятия |
P5 |
+ |
+ |
+ | |
|
НСД к информации за счёт ПЭМИН |
Средства контроля доступа на территорию объекта |
P1 |
+ |
- |
- |
|
Средства уменьшения и зашумления сигналов, несущих секретную информацию |
P9 |
+ |
- |
- | |
|
НСД со стороны средств контроля и управления безопасностью информации в Л ВС |
Средства контроля доступа на территорию объекта |
P1 |
+ |
+ |
+ |
|
Средства контроля доступа в помещение Программа опознания и контроля доступа к информации ПЭВМ |
P2 P6 |
+ + |
+ + |
+ | |
|
Программа контроля и разграничения доступа к информации ЛВС |
P3 |
+ |
+ |
+ | |
|
Средства контроля целостности ЛВС |
P7 |
+ |
+ |
| |
|
Средства шифрования информации в ПЭВМ |
P10 |
+ |
|
| |
|
Средства шифрования информации ЛВС |
P4 |
+ |
|
- | |
|
Оргмероприятия |
P5 |
+ |
+ |
+ | |
Примечания: 1) знак «+» означает наличие средства защиты, знак «–» – отсутствие средства защиты. 2) Считается, что все помещения оборудованы системой контроля одного типа.
Для РАСЧЁТА И ОЦЕНКИ УРОВНЯ БЕЗОПАСНОСТИ информации в ЛВС предлагается В ЗАВИСИМОСТИ от заданной модели нарушителя, ценности и важности обрабатываемой информации использовать ТРИ КЛАССА ЗАЩИТЫ.
Значение ПРОЧНОСТИ КАЖДОГО СРЕДСТВА ЗАЩИТЫ определяется по формуле (10.1), и условие прочности преграды с обнаружением и блокировкой НСД по (10.2) – с использованием операции «ИЛИ», так как злоумышленник реализует несанкционированное действие только в одном месте из многих.
(11.1)
где РНР – вероятность преодоления за время меньшее, чем время жизни информации; k – число путей обхода преграды.
где TД – период опроса датчиков; tСР – время срабатывания тревожной сигнализации; tОМ – время определения места доступа; tБЛ – время блокировки доступа; tН – время, за которое нарушитель преодолеет защиту.
Итоговая оценка уровня прочности защиты информации в ЛВС определяется в следующем подразделе.