2589

графические, организационные, законодательные, мо- рально-этические меры);

- объект защиты (ограничения и контроля досту-

па на территорию, к автоматизированному рабочему месту, к электронной базе данных, к операционной сре-

де, к файловой системе, к трафику, к системному ресур-

су, к сетевому ресурсу, меры защиты операционной среды, базы данных, программного приложения, сетево-

го ресурса);

-топология возникновения угроз (защита от непосредственного и удаленного доступа);

-степень превентивности (меры предупреждения НСД; меры защиты в ходе НСД, меры ликвидации последствий НСД).

Меры и средства защиты от угроз, связанных с

НСД, могут быть классифицированы также по содержа-

нию угрозы безопасности информации, оперативности принятия мер защиты, стоимости и т.д. Но для понима-

ния содержания большинства этих мер и средств доста-

точно приведенных первичных признаков.

130

Рассмотрим более подробно меры и средства за-

щиты от угроз НСД в соответствии с формой или сре-

дой реализации и их направленностью.

1.Средства защиты от физического доступа

(рис.24) создают препятствия для нарушителей на путях к защищаемым данным, например, на территорию, на которой располагаются объекты информатизации, в помещения с аппаратурой, носителями данных и т.п., или обеспечивают контроль доступа.

Средства защиты от физического доступа выполняют следующие основные функции:

1)охрана территории и зданий;

2)охрана внутренних помещений;

3)охрана оборудования и наблюдение за ним;

4)контроль доступа в защищаемые зоны;

5)создание препятствий визуальному наблюдению

иподслушиванию;

6)противопожарная защита;

7)блокировка действий нарушителя и т.п.

Для предотвращения проникновения нарушителей на охраняемую территорию применяются следующие технические устройства:

-сверхвысокочастотные (СВЧ), ультразвуковые (УЗ) и инфракрасные (ИК) сигнализационные системы;

-сейсмические, виброакустические, магнитометрические сигнализационные системы;

-лазерные и оптические сигнализационные системы (по прерыванию луча);

-телевизионные (ТВ) системы наблюдения;

-кабельные системы;

131

-системы защиты окон и дверей;

-биометрические средства контроля доступа. Для технического контроля доступа к аппарату-

ре применяют:

-телевизионные системы наблюдения;

-биометрические средства контроля доступа;

-атрибутивные средства контроля доступа;

-средства контроля и сигнализации вскрытия аппа-

ратуры;

-физические средства ограничения доступа (замки, решетки и т.п.).

Кратко рассмотрим некоторые из систем физической защиты.

СВЧ, УЗ и ИК системы предназначены для обнаружения движущихся объектов, определения их размеров, скорости и направления перемещения. Принцип их действия основан на изменении частоты отраженного от движущегося объекта сигнала.

ИК системы бывают активными и пассивными.

Активные системы содержат источник излучения и его приемник. Функционирование пассивных систем осно-

вано на фиксации теплового излучения ИК-датчиками.

УЗ и ИК системы применяются, главным обра-

зом, внутри помещений. СВЧ системы могут приме-

132

няться как внутри помещений, так и для охраны зданий

и территории.

Лазерные и оптические системы, работающие в видимой части спектра, реагируют на пересечение нарушителями светового луча и применяются, в основном, внутри помещений.

Телевизионные системы применяются для наблю-

дения как за территорией охраняемого объекта, так и за обстановкой внутри помещений. При этом могут быть системы наблюдения как в видимом, так и в ИК диапазонах длин волн.

Кабельные системы используются для охраны небольших объектов, обычно временно находящихся на территории, а также оборудования внутри помещений.

Они состоят из заглубленного кабеля, окружающего защищаемый объект и излучающего радиоволны. Приемник излучения реагирует на изменение поля, создаваемого нарушителем.

Системы защиты окон и дверей предназначе-

ны не только для препятствия механическому проник-

новению, а, главным образом, для защиты от наблюде-

ния и подслушивания. Регулирование доступа на тер-

риторию и в помещения может осуществляться и с по-

мощью специальных замков, в том числе замков с

133

управлением от микропроцессоров и ЭВМ и с содержа-

нием микропроцессоров.

Биометрические средства контроля доступа ос-

нованы на регистрации или измерении характеристик субъекта как биологического существа. Различают квазистатические и квазидинамические характеристики, используемые в биометрии.

Кквазистатическим характеристикам относятся: отпечатки пальцев; строение лица; строение сетчатки глаза; геометрия рук; строение кровеносных сосудов. К квазидинамическим характеристикам относят: пульс; речь; почерк; кардиограмма.

Катрибутивным средствам контроля доступа относят специальные карты, документы, ключи и жетоны. Специальные карты – это фотографии, смарт-карты (пластиковые карты, магнитные карты, карты памяти, собственно смарт-карты (карты с процессором и памятью), су- персмарт-карты (смарт-карты с дисплеем)(smart - интеллектуальный).

Кдокументам в данном случае относятся: пропуска, удостоверения личности, идентификационные карты.

134

Рис.24. Классификация мер и средств защиты информации от физического доступа

129

2. Средства ограничения и разграничения доступа к программно-аппаратной среде и данным (защиты от НСД с применением программных и программно-

аппаратных средств) включают в себя следующие основные классы средств:

программные и программно-аппаратные средства идентификации и аутентификации;

программные средства администрирования (разграничения полномочий, регистрации и контроля);

программные средства защиты от несанкционированного выполнения стандартных функций (чтения, записи, удаления, копирования, переименования, выполнения); программные средства защиты от программно-

математического воздействия; программные и программно-аппаратные средства

криптографической защиты; программно-аппаратные средства защиты от сете-

вых атак.

На рис.25 эти средства приведены в несколько иной классификации. Это подчеркивает возможность различных классификационных схем для мер и средств защиты информации.

Рассмотрим подробнее каждый из этих классов, кроме защиты информации от сетевых атак и программноматематического воздействия, которые будут рассматриваться в отдельных лекциях.

Программные и программно-аппаратные средства идентификации и аутентификации – это специ-

альные программы или аппаратура с программным обеспечением, предназначенная для идентификации и (или) аутентификации пользователя. Идентификация – это проверка соответствия метки пользователя, технического средства, документа, носителя эталонной метке. Простей-

141

шая идентификация основана на проверке условного имени пользователя. Для этого имеется соответствующая программа проверки имен. Метка может вводиться пользователем или наносится на носитель. В последнем случае применяется специальная программа ввода метки и считывания при попытке работы с носителем. Если нужная метка отсутствует, то система сигнализирует о попытке НСД. В настоящее время такие программы идентификации активно разрабатываются.

Аутентификация – это установление подлинно-

сти пользователя. Одним из первых и на сегодня основ-

ных приемов программной аутентификации является

проверка пользователя по паролю. Соответственно для

этого используются программные и программно-

аппаратные средства паролирования и сверки паролей,

их шифрования и дешифровки. Однако аутентификации

– это и проверка подлинности пакета в трафике обмена

данными в локальных, корпоративных или глобальных

сетях. В сетевых структурах такая проверка особенно

важна и ей уделяют особое внимание. Поэтому средства

защиты информации в информационно - телекоммуни-

142

кационных сетях будут рассматриваться в отдельной

лекции.

Программные средства администрирования – это средства разграничения полномочий, регистрации и контроля, а также оптимизации настройки операционных систем и систем управления базами данных.

Разграничение полномочий – это предоставление субъектам доступа различных прав пользования программными или техническими ресурсами системы, хранимыми или обрабатываемыми данными.

Существует четыре основных способа программного разделения доступа субъектов к совместно используемым объектам:

разграничение по физической среде доступа, когда субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т.д.).

разграничение по времени доступа, когда субъекты с различными правами доступа к объекту получают его в различные промежутки времени;

разграничение в рамках виртуальной среды, когда субъекты получают доступ к совместно используемому объекту под контролем программных средств разграничения доступа, которые моделируют виртуальную операционную среду "один субъект - все объекты", при этом разделение реализуется такими способами как: разделение оригинала объекта, разделение с копированием объекта и т.д.

разделение на основе криптографии, когда все объекты хранятся в зашифрованном виде, права доступа определяются наличием ключа для расшифровки объекта.

143