лекции 2022 / Lecture3

ЛЕКЦИЯ 3 Аппаратно-программная защита информация

3.1. Инженерно-техническое обеспечение безопасности информации

3.2. Технические средства защиты информации

1. Инженерно-техническое обеспечение безопасности информации

В настоящее время для получения конфиденциальной информации злоумыш­ленниками, в том числе и промышленными шпионами, используются самые разно­образные средства и способы проникновения на объекты, разработанные на осно­ве последних достижений науки и техники, с использованием новейших технологий в области миниатюризации в интересах скрытного их использования. Для противо­действия этому натиску службы безопасно­сти оснащаются необходимой аппаратурой, не уступающей по надежности и функцио­нальным возможностям аппаратуре злоумышленников.

Инженерно-техническое обеспечение безопасности информации пу­тем осуществления необходимых техничес­ких и организационных мероприятий долж­но исключать:

неправомочный доступ к аппаратуре обработки информации путем контроля доступа в производственные помещения;

неправомочный вынос носителей информации персоналом, занимающимся об­работкой данных, посредством выходного контроля в соответствующих произ­водственных помещениях;

несанкционированное введение данных в память, изменение или стирание ин­формации, хранящейся в памяти;

неправомочное пользование системами обработки информации и незаконное по­лучение в результате этого данных;

доступ в системы обработки информации посредством специальных устройств и незаконное получение данных;

возможность неправомочной передачи данных через компьютерную сеть;

обработку данных заказчика без соответствующего указания последнего.

Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях (рисунок 3.1). Инженерно-техническая защита – это сово­купность специальных органов, технических средств и мероприятий, функционирую­щих совместно для выполнения определенной задачи по защите информации.

Рисунок 3.1 Основные инженерные и технические мероприятия по защите информации

Физические средства включают в себя различные инженерные средства и сооруже­ния, препятствующие физическому проникновению злоумышленников на объекты за­щиты и защищающие персонал (личные средства безопасности), материальные, сред­ства и финансы, информацию от противоправных действий.

По уровню физической защиты все зоны и помещения подразделяются на три группы:

тщательно контролируемые зоны с защитой высокого уровня;

защищенные зоны;

слабо защищенные зоны.

К первой группе относятся, как правило, серверные комнаты, помещения с сете­вым и связным оборудованием, архив программ и данных.

Ко второй группе относятся помещения, где расположены рабочие места админис­траторов, контролирующих работу сети, а также периферийное оборудование ограни­ченного пользования.

В третью группу входят помещения, в которых оборудованы рабочие места пользо­вателей и установлено периферийное оборудование общего пользования.

К аппаратным средствам относятся приборы, устройства, приспособления и дру­гие технические решения, используемые в интересах обеспечения безопасности. В практике деятельности любой организации находит широкое применение самая раз­личная аппаратура: от телефонного аппарата до совершенных автоматизированных информационных систем, обеспечивающих ее производственную деятельность. Ос­новная задача аппаратных средств – стойкая безопасность коммерческой деятельно­сти.

Программные средства – это специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки данных.

Криптографические средства – это специальные математические и алгоритмичес­кие средства защиты информации, передаваемой по сетям связи, хранимой и обраба­тываемой на компьютерах с использованием методов шифрования.

Очевидно, что такое деление средств безопасности информационных систем дос­таточно условно, так как на практике очень часто они и взаимодействуют и реализу­ются в комплексе в виде программно-аппаратной реализации с широким использова­нием алгоритмов закрытия информации. Например, в настоящее время для обеспечения безопасности передачи данных в компьютерных сетях применяются следующие меха­низмы защиты информации:

идентификация и аутентификация;

управление доступом;

обеспечение конфиденциальности данных и сообщений;

обеспечение целостности данных и сообщений;

контроль субъектов взаимодействия;

регистрация и наблюдение.

2. Технические средства защиты информации

Технические средства защиты разделяются на встроенные и внешние (рисунок 3.2).

Рисунок 3.2 Технические средства защиты информации

К встроенным средствам защиты персонального компьютера и программного обес­печения относятся средства парольной защиты BIOS, операционной систе­мы, СУБД. Данные средства могут быть откровенно слабыми – BIOS с паролем су­первизора, парольная защита Windows, но могут быть и значительно более стойкими – BIOS без паролей супервизора, парольная защита iOS. Ис­пользование сильных сторон этих средств позволяет значительно усилить систему защиты информации от несанкционированного доступа (НСД).

Внешние средства призваны подменить встроенные средства с целью усиления за­щиты, либо дополнить их недостающими функциями.

К ним можно отнести:

аппаратные средства доверенной загрузки;

аппаратно-программные комплексы разделения полномочий пользователей на доступ;

средства усиленной аутентификации сетевых соединений (защищенная аппаратура передачи данных – АПД).

Аппаратные средства доверенной загрузки представляют собой изделия, иногда называ­емые «электронным замком», чьи функции заключаются в надежной идентификации пользо­вателя, а также в проверке целостности программного обеспечения компьютера. Обычно это плата расширения персонального компьютера, с необходимым программным обеспече­нием, записанным либо во Flash-память платы, либо на жесткий диск компьютера.

Принцип их действия простой. В процессе загрузки стартует BIOS платы защиты от НСД. Он запрашивает идентификатор пользователя и сравнивает его с идентификатором, хранимым во Flash-памяти карты. Идентификатор дополнительно можно защищать паролем. Затем стартует встроенная операционная система платы или компьютера, после чего стартует программа проверки целостности программного обеспечения. Как правило, проверяются системные области загрузочного диска, загру­зочные файлы и файлы, задаваемые самим пользователем для проверки. Проверка осу­ществляется либо на основе имитовставки алгоритма ГОСТ 28147-89, либо на основе функции хэширования алгоритма ГОСТ Р 34.11-34 или иного алгоритма. Результат про­верки сравнивается с хранимым эталоном во Flash-памяти карты. Если в результате сравнения при проверке идентификатора или целостности системы выявится различие с эталоном, то плата заблокирует дальнейшую работу, и выдаст соответствующее сообщение на эк­ран. Если проверки дали положительный результат, то плата передает управление пер­сональному компьютеру для дальнейшей загрузки операционной системы. Все процессы идентификации и проверки целостности фиксируются в журнале. Достоинства устройств данного класса – их высокая надежность, простота и невысо­кая цена. При отсутствии многопользовательской работы на компьютере функций за­щиты данного средства обычно достаточно.

Аппаратно-программные комплексы разделения полномочий на доступ используются в случае работы нескольких пользователей на одном компьютере, если встает задача разделе­ния их полномочий на доступ к данным друг друга. Решение данной задачи основано на следующих функциях, реализуемых программным образом:

на запрете пользователям запусков определенных приложений и процессов;

на разрешении пользователям и запускаемым ими приложениям лишь определен­ного типа действия с данными.

Реализация запретов и разрешений достигается различными способами. Как пра­вило, в процессе старта операционной системы запускается и программа защиты от несанкционированного доступа. Она присутствует в памяти компьютера, как резиден­тный модуль и контролирует действия пользователей на запуск приложений и обра­щения к данным. Все действия пользователей фиксируются в журнале, который досту­пен только администратору безопасности. Аппаратно-программные комплексы состоят из аппаратной части – платы доверенной загрузки компьютера, которая проверяет дополнительно и целост­ность программного обеспечения самой системы защиты от НСД на жестком диске, и программной части – программы администратора, резидентного модуля. Эти про­граммы располагаются в специальном каталоге и доступны лишь администратору. Дан­ные системы можно использовать и в однопользовательской системе для ограничения пользователя по установке и запуску программ, которые ему не нужны в работе.

Средства усиленной аутентификации сетевых соединений (блоки защиты в АПД) применяются в том слу­чае, когда работа рабочих станций в составе сети накладывает требования для защиты ресурсов рабочей станции от угрозы несанкционированного проникновения на рабочую станцию со стороны сети и изменения либо информации, либо программного обеспечения, а также запуска несанкционированного процесса. Эта технология получила название технологии частных виртуальных сетей (VPN).

Анализ защищенности информационного объекта и выявление угроз его безопас­ности – крайне сложная процедура. Не менее сложная процедура – выбор техноло­гий и средств защиты для ликвидации выявленных угроз. Решение данных задач луч­ше поручить специалистам, имеющим богатый опыт.