2354
.pdfШифрование файлов, дисковых областей и сетевого трафика
Криптосистемы для сетевого трафика используются для защиты информации, передаваемой по открытым IP-сетям. Существуют две основные разновидности сетевых криптосистем:
криптошлюзы (криптомаршрутизаторы) – используются, как правило, между сегментами локальных сетей, объединяемых по открытым каналам; сетевые криптоплаты – осуществляют шифрование
трафика в локальных сетях.
Криптосистемы для объектов ОС обеспечивают дифференцированный доступ разных пользователей к объектам файловой системы (файлам, папкам, логическим дискам). При этом, как правило, с помощью данных средств пользователи защищают собственные конфиденциальные информационные ресурсы. Основным методом, используемым в них, является шифрование. К данным средствам относятся: Secret Disc, Dallas Lock, Norton Your Eays Only и т.п.
Аутентификация
Применение считывающих устройств.
Смарт-карты – пластиковые карты со встроенным чипом (микросхемой). Смарт-карты обеспечивают защищенные запись и хранение личной информации, состояния электронного кошелька, финансовых транзакций, паролей доступа и данных для аутентификации.
Виды смарт-карт:
карты с магнитной полосой (хранение малых объемов данных, низкая безопасность);
карты памяти (хранение средних объемов данных, средняя безопасность, нет криптопроцессора);
микропроцессорные карты и криптокарты.
81
Электронные идентификаторы iButton (старое название Touch Memory).
iButton представляют собой микросхему и миниатюрную литиевую батарейку, размещенную в корпусе. Для считывания данных из приборов iButton используется контактное устройство Touch Probe, которое представляет собой механический узел, форма которого сделана такой, чтобы он точно сопрягался с круглым корпусом прибора. Малые размеры Touch Probe позволяют встраивать его непосредственно в контроллер, прикреплять на любую поверхность или использовать в виде отдельного устройства. Взаимодействие с прибором обеспечивается моментальным касанием с корпусом iButton
Электронные ключи.
Альтернативой смарт-картам являются USB-токены (ключи), которые, в большинстве своем, используют те же самые процессоры, изготовляются в соответствии со стандартом, который разрабатывался для смарт-карт и очень близки к ним функционально. Для использования смарт-карт необходимо специальное считывающее устройство, стоящее несколько десятков или даже сотен долларов, то есть обходится дороже USB-интерфейса, которым снабжаются сейчас все современные компьютеры. Сами же смарт-карты дешевле USBключа. Поэтому в том случае, когда одно считывающее устройство предназначено для нескольких пользователей, смарт-карты могут быть более выгодны.
Биометрические средства
Процедуры идентификации и аутентификации пользователя могут базироваться не только на секретной информации, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.). В последнее время все большее распространение получает биометрическая идентификация и аутентификация, основанная на уникальности физиологических параметров и характеристик
82
человека, особенностей его поведения. Основные достоинства биометрических методов идентификации и аутентификации:
высокая степень достоверности идентификации по биометрических признакам из-за их уникальности;
неотделимость биометрических признаков от дееспособной личности; трудность фальсификации биометрических признаков.
В качестве биометрических признаков, которые могут быть использованы для идентификации потенциального пользователя, используются:
узор радужной оболочки и сетчатки глаз;
отпечатки пальцев;
геометрическая форма руки;
форма и размеры лица;
особенности голоса;
биомеханические характеристики рукописной подписи; биомеханические характеристики «клавиатурного почерка».
Первоначально биометрические признаки пользователя регистрируются системой как его контрольный «образ». Этот образ хранится в электронной форме и используется для сравнения с предъявляемыми признаками каждого, кто выдает себя за пользователя.
3) Управление структурой и трафиком сети |
|
|
||
Данное |
направление |
заключается |
в |
создании |
защищенной инфраструктуры сети и реализуется преимущественно с помощью: управляемых коммутаторов, маршрутизаторов, серверы доступа, брандмауэров.
Локальные сети с точки зрения информационной
безопасности |
характеризуются |
ограниченностью |
в |
|
83 |
|
|
пространстве (как правило, в пределах контролируемой зоны внутри одного здания), отсутствием прямых соединений с другими ЛС, единой транспортной средой (кабель, протоколы, интерфейсы).
Корпоративные сети характеризуются, наоборот, наличием переходов между различными физическими сетями и линиями связи, а также значительной территориальной распределенностью.
Коммутаторы (switch)
Используются на уровне локальных сетей (LAN). Основные защитные функции:
возможность развертывания виртуальных локальных сетей (VLAN) на основе коммутации групп портов и перенаправления пакетов данных между компьютерами, входящими в состав VLAN;
контроль доступа к портам, основанный на анализе MAC-адреса, защищающий коммутатор от доступа неавторизированных станций, с помощью которого можно задать ограничения на статические и динамические адреса, что обеспечит администраторам полный контроль над всем сетевым трафиком.
Маршрутизаторы (router) и серверы доступа Применяются для объединения локальных сетей в
структурированную корпоративную сеть (WAN) и подключения локальных сетей к Интернет. В дополнение к классической IPмаршрутизации управляемые устройства данного класса могут имеют встроенные дополнительные защитные средства: VLAN, брандмауэры, трансляторы сетевых адресов (NAT); средства аутентификации и учета работы пользователей.
84
DSL-модемы
Служат для преобразования информационного сигнала в вид, оптимальный св смысле его передачи по медным линиям связи. Дополнительно оснащаются средствами защиты информации, аналогичными применяемым в маршрутизаторах
Брандмауэры Средство межсетевого экранирования - брандмауэр
(межсетевой экран, firewall) - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Обычно эта граница проводится между локальной сетью и INTERNET, либо между различными сегментами корпоративной сети.
Средства обнаружения и блокирования сетевых атак Средства обнаружения вторжений дополняют защитные
функции межсетевых экранов. Если межсетевые экраны стараются отсечь потенциально опасный трафик и не пропустить его в защищаемые сегменты, то средства обнаружения вторжений анализируют результирующий (то есть прошедший через межсетевой экран или созданный внутренними источниками) трафик в защищаемых сегментах и выявляют атаки на ресурсы сети или действия, которые могут классифицироваться как потенциально опасные (подозрительные).
Средства организации виртуальных частных сетей Технологии VPN (virtual private network – виртуальная
частная сеть) обеспечивает связь между сетями, а также между удаленным пользователем и корпоративной сетью с помощью защищенного канала (тоннеля), «проложенного» в общедоступной сети типа Интернет.
Средства обнаружения и блокирования нежелательного контента
Средства контент-анализа трафика.
ПСБ стандартных броузеров (IE Explorer, Mozilla,
Opera...).
85
4) Защита от утечки информации по побочным каналам Гарантированное удаление информации с физических
носителей.
Применение данных средств основано на физических свойствах носителей информации. Существует несколько основных методов, лежащих в основе действия этих средств:
1)Методы уничтожения информации без разрушения носителя:
программные, реализующие различные алгоритмы многократной перезаписи данных;
физические, реализующие перестройку магнитной структуры носителя
2)Методы уничтожения информации с разрушением носителя: механические, термические, химические.
Применение средств защиты информации от утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН).
Метод заключается в локализации паразитных излучений и наводок от средств обработки информации или в создании помех, препятствующих перехвату паразитных информативных сигналов. На практике применяются пассивные и активные методы и средства ЗИ от ПЭМИН.
К пассивным относятся:
инженерно-конструкторские методы;
экранирование устройств и кабелей;
установка фильтров на сигнальные и силовые цепи; заземление устройств.
К активным средствам относятся:
средства обнаружения и измерения ПЭМИН;
генераторы шума;
устройства гальванической развязки цепей (медиаконверторы), как правило, представляющие собой преобразователи «Ethernet-оптоволокно- Ethernet».
86
5) Защита работоспособности технических средств КС Обеспечение бесперебойного и безопасного
электропитания КС Метод заключается в искусственном поддержании
электропитания КС при исчезновении внешнего питающего напряжения, а также в обеспечении его номинального значения в условиях перепадов напряжения и внешних воздействий.
На практике используются:
резервные линии электропитания;
трансформаторные развязки;
стабилизаторы переменного тока;
устройства бесперебойного электропитания (UPS);
генераторы переменного тока (дизельные или бензиновые);
надежное заземление компонентов КС; средства защиты от НСВ по сети электропитания.
Под НСВ понимается преднамеренное создание резкого всплеска напряжения в сети питания с амплитудой, длительностью и энергией всплеска, способными привести к сбоям в работе оборудования или к его деградации. Для НСВ используют специальные технические средства (ТС), которые подключаются к сети непосредственно с помощью гальванической связи, через конденсатор или трансформатор.
Устройства защиты для 1 рубежа должны быть рассчитаны на НСВ от ТС с большим запасом энергии, так как эти ТС располагаются за пределами объекта и их массогабаритные показатели имеют второстепенное значение. Устройство защиты должно быть рассчитано на воздействие индуцированных напряжений от близких разрядов молнии с возможным импульсным током на входе устройства защиты 15..40 кА. Наиболее подходящими являются специально разработанные для защиты от НСВ помехозащищенные трансформаторные подстанции и фильтры.
Для 2 рубежа защиты лучшими в техническом
87
отношении и по цене являются помехоподавляющие трансформаторы (трансфильтры) или сочетание корректора напряжения, ограничителя и фильтра. Существуют конструкции трансфильтров, которые обеспечивают работоспособность компьютера без сбоев и повреждений при воздействии мощной импульсной помехи с амплитудой до 10 кВ.
Дублирование критически важных компонентов КС. Метод заключается в создании так называемого
«горячего» резерва наиболее критичных с точки зрения жизнеспособности КС устройств и компонентов с целью его мгновенного включения в работу при выходе из строя основного. На практике встречаются следующие варианты метода:
•Дублирование серверов (создание кластерных структур)
•Резервирование физических носителей информации:
зеркалирование «винчестеров»;
использование дисковых RAID-систем;
установка в серверах дисков с возможностью «горячей» замены.
•Резервирование блоков питания серверов.
•Дублирование датчиков рабочих параметров серверов (температуры, вращения вентиляторов).
6) Обнаружение и удаление вредоносных программ Антивирусные средства (AVP, Doctor WEB...) Обнаруживают компьютерные вирусы
(саморазмножающиеся вредоносные программы) в памяти, на носителях, в файлах и удаляют их. Обнаружение производится в основном по базам сигнатур и с помощью эвристического анализа.
88
Средства поиска шпионских закладок (AD-Aware). Обнаруживают и удаляют неразмножающиеся
вредоносные программы. Защищают от таких угроз безопасности, как кража личных данных, агрессивная реклама, сайты-паразиты, мошеннические программы, номеронабиратели. Методы те же, что и у АВС. Комплексные решения выполняют обе задачи.
7) Комплексные системы защиты Подсистемы безопасности операционных систем.
Наиболее распространенными в России ОС на данный момент являются продукты фирмы Microsoft. В классе домашних, офисных, клиентских – это повсеместно ОС группы Windows XP. В классе серверных платформ преобладают ОС
Windows 2000/2003, затем следуют ОС Nowell Netware и на третьем месте – различные релизы LINUX, удельный вес которых постоянно растет.
Типовыми функциями подсистемы безопасности ОС (ПСБ) являются:
защита жизненно важных компонентов самой ОС;
аутентификация пользователей;
управление доступом пользователей к ресурсам и функциям; аудит работы ОС и пользователей.
ОС группы Windows 2003/2000/ХР являются многопользовательскими, как при использовании в качестве рабочей станции, так и в качестве сервера. При инициации эти ОС создают по умолчанию суперпользователя «АДМИНИСТРАТОР» с полным набором прав доступа, от имени которого можно создавать затем других пользователей, имеющих собственные идентификаторы, пароли, а также различные (ограниченные) права доступа к ресурсам и функциям, даже если они работают на одном и том же компьютере. Сетевой доступ к серверам на базе этих ОС также
89
является более безопасным и гибко настраиваемым. Многопользовательская ОС LINUX может
использоваться в качестве пользовательской и серверной платформы. Полным набором прав доступа к этой ОС обладает суперпользователь ROOT, только от имени которого могут запускаться почти все сервисы администрирования системы. ПСБ LINUX имеет несколько степеней защиты – от упрощенного до «параноидального». Кроме стандартных средств аутентификации, управления доступом и аудита, в нее встроены программные маршрутизаторы и межсетевые экраны. Следует также отметить, что для ОС LINUX имеются средсва эмуляции серверов Windows NT 4.0 (SAMBA) и Nowell Netware 3.12 (MARS), поддерживающие все функции ПСБ этих ОС.
Средства ЗИ в СУБД.
В настоящее время существует большое количество классов СУБД, позволяющих создавать базы данных различных масштабов и уровней защищенности – от однопользовательских «настольных» БД до мощных корпоративных хранилищ данных, используемых сотнями и тысячами пользователей посредством удаленного доступа по различным каналам.
Однопользовательские («настольные») СУБД практически не имеют собственных средств ЗИ. Основная проблема заключается в том, что пользователь, получивший доступ к работе с данными, накопленными в БД, через некий стандартный интерфейс (приложение) одновременно получает права на уровне ОС на чтение/модификацию файлов БД. Как правило, эти файлы можно прочитать каким-либо внешним средством просмотра:
Многопользовательские СУБД, поддерживающие технологию «файл-сервер» являются, как правило, расширениями «настольных» СУБД и наследуют их недостатки в сфере информационной безопасности. Так, например, удаленные пользователи имеют те же права на файлы данных, что и локальные пользователи.
90