Для организации комплексной защиты информации в ВС в общем случае может быть предусмотрено 4 защитных уровня.
1. Внешний уровень, охватывающий всю территорию расположения ВС.
2. Уровень отдельных сооружений или помещений расположения устройств ВС и
линий связи с ними.
3. Уровень компонентов ВС и внешних носителей информации.
4. Уровень технологических процессов хранения, обработки и передачи информации.
3. Методы и средства защиты информации в ИС.
Существующие методы защиты можно разделить на четыре основных класса:
• физические;
• аппаратные;
• программные;
• организационные.
Физическая защита используется в основном на верхних уровнях защиты и состоит в физическом преграждении доступа посторонних лиц в помещения ВС на пути к данным и процессу их обработки. Для физической защиты применяются следующие средства:
Ø сверхвысокочастотные, ультразвуковые и инфракрасные системы обнаружения движущихся объектов, определения их размеров, скорости и направления перемещения;
Ø лазерные и оптические системы, реагирующие на пересечение нарушителями световых лучей;
Ø телевизионные системы наблюдения за охраняемыми объектами;
Ø кабельные системы, в которых небольшие объекты окружают кабелем, чувствительным к приближению нарушителя;
Ø системы защиты окон и дверей от несанкционированного проникновения, а также наблюдения и подслушивания;
Ø механические и электронные замки на двери и ворота;
Ø системы нейтрализации излучений.
Аппаратная защита реализуется аппаратурой в составе ЭВМ или с помощью специализированных устройств. К аппаратным средствам защиты устройств ввода-вывода относятся различные схемы блокировки от несанкционированного использования. Средства защиты передачи данных по каналам связи представляют собой схемы засекречивания (шифрования) информации.
Программная защита реализуется с помощью различных программ: операционных систем, программ обслуживания, антивирусных пакетов, инструментальных систем (СУБД, электронных таблиц, текстовых процессоров, систем программирования и т. д.), специализированных программ защиты и готовых прикладных •грамм.
Организационная защита реализуется совокупностью направленных на обеспечение зашиты информации организационно-технических мероприятий, разработкой и принятием законодательных актов по вопросам защиты информации и т. д.
4.Программно-аппаратные методы защиты
Решение этих задач в системах обеспечивается следующими способами:
- защитой от несанкционированного доступа (НСД) к ресурсам со стороны пользователей и программ;
- защитой от несанкционированного использования (НСИ) ресурсов при наличии доступа;
3. защитой от некорректного использования ресурсов;
4. внесением структурной, функциональной и информационной избыточности;
5. высоким качеством разработки программно-аппаратных средств.
Рассмотрим перечисленные способы более подробно и укажем методы их реализации.
1. Для защиты от НСД прежде всего необходима эффективная система регистра ции попыток доступа в систему со стороны пользователей и программ, а также мгновенная сигнализация о них отвечающим за безопасность ВС лицам. Именно отсутствие надежной системы регистрации и сигнализации при НСД, а также наличие обходных путей или «дыр» в ВС, является причиной незаконного проникновения в систему. Чтобы регистрировать события подключения к системе, в ВС обычно ведется специальный журнал или база данных.
Защита от НСД со стороны пользователей в современных системах в основном реализуется двумя основными способами: парольной защитой, а также путем идентификации и аутентификации.
Простейшая парольная защита является достаточно слабым средством, особенно если пароль не шифруется. Основной ее недостаток состоит в том, что все пользователи, использующие одинаковый пароль, с точки зрения ВС неразличимы. Неудобство парольной защиты для пользователя состоит в том, что надо запоминать пароль. Если он простой и короткий, значит, его легко подобрать, если сложный - его нужно куда-нибудь записать. При небрежном отношении к записям пароль может стать достоянием других.
Для получения доступа к ВС достаточно знать некоторый пароль. После ввода этого пароля обычно разрешается все. Иногда в системе имеется несколько паролей, за каждым из которых закреплены соответствующие права доступа.
Более серьезный контроль доступа в систему получается, если каждого подключающегося пользователя сначала идентифицировать, затем убедиться, что это именно он, а не другой (аутентифицировать), и при запросе ресурсов контролировать полномочия (проверять право запрашивать ресурсы системы).
Идентификация пользователей может выполняться, например, с помощью паролей. Для аутентификации, или проверки подлинности пользователя, часто используют следующие способы:
• запрос секретного пароля;
• запрос какой-либо информации сугубо индивидуального;
• проверка наличия физического объекта, представляющего собой электронный
аналог обычного ключа (электронный ключ);
• применение микропроцессорных карточек;
• активные средства опознавания;
• биометрические средства.
Запрашиваемая для аутентификации дополнительная информация может представлять собой любые данные, связанные с некоторыми сведениями, явлениями или событиями из личной жизни пользователя или его родственников. Например, номер счета в банке, номер технического паспорта автомобиля, девичья фамилия матери или жены и т. д.
Примером электронного ключа является пластиковая карточка с магнитной полоской. На запоминающем слое хранится код, выполняющий роль невидимого пароля. Более сложный вариант электронного ключа - специальный прибор, называемый жетоном и позволяющий генерировать псевдослучайные пароли.
Недавно появившиеся на рынке микропроцессорные карточки, разработанные Национальным институтом стандартов и технологии США, позволяют формировать цифровые подписи. Алгоритм шифрования обеспечивает невозможность подделки электронных подписей.
Из множества существующих средств аутентификации наиболее падежными (но и дорогими) считаются биометрические средства. В них опознание личности осуществляется по отпечаткам пальцев, форме ладони, сетчатке глаза, подписи, голосу и . другим физиологическим параметрам человека. Некоторые системы идентифицируют человека по манере работы на клавиатуре. Основным достоинством систем такого . класса является высокая надежность аутентификации.
Одной из разновидностей несанкционированных программ являются компьютерные вирусы. Количество известных компьютерных вирусов постоянно возрастает. Появилась даже новая инженерная дисциплина - компьютерная вирусология. Возникает необходимость защи ты от компьютерных вирусов на всех стадиях их развития и в особенности на стадиях их проникновения в систему и размножения. Для этого в систему защиты включают средства диагностирования состояния программно-аппаратных средств, локализации и удаления вирусов, устранения последствий их воздействия.
2. Обеспечение защиты от НСИ ресурсов, как и от НСД, требует применения средств регистрации запросов защищаемых ресурсов ВС и сигнализации в случаях попыток незаконного их использования.
Для защиты информационно-программных ресурсов ВС от несанкционированного использования применяются следующие варианты защиты: от копирования, исследования (программ), просмотра (данных), модификации и удаления. Приведем приме ры их применения.
Для защиты программы от несанкционированного копирования можно в исполняемом коде выполнить привязку к оборудованию. Тогда копия программы не будет работать на другом компьютере.
Под защитой от исследования программ понимаются такие средства, которые не позволяют или затрудняют изучение системы защиты программы. Например, после нескольких неудачных попыток подключения к программе, имеющей парольную защиту, целесообразно блокировать дальнейшие попытки подключения к ней либо предусмотреть средства самоликвидации.
Защиту файлов с исполняемыми программами или данными от модификации можно сделать путем сверки некоторой характеристики файла (контрольной суммы) с эталоном. Тогда, если кто-нибудь изменит содержимое файла, изменится его контрольная сумма, что сразу же обнаружится. Средства проверки контрольной суммы можно вставить в программу (для программных файлов), либо поместить в программную систему контроля модификации файлов (программ и данных).
Защитить от удаления программы или данные можно путем предотвращения несанкционированных операций удаления файлов в вычислительной системе. К сожалению, широко распространенные операционные системы MS DOS и MS Windows стандартных эффективных средств такого рода не имеют. С этой целью можно разработать или подобрать из имеющихся резидентную программу контроля функции удаления файла с диска.
Достаточно мощным средством защиты данных от просмотра является их шиф рование. Расшифровка информации требует знания ключа шифрования. Подбор последнего даже при современном уровне компьютерной техники представляет трудоемкую задачу.
Шифрование незаменимо для защиты информации от раскрытия ее содержания при хранении информации в файлах или базах данных, а также при передаче по линиям связи: проводным, кабельным и радиоканалам.
Шифрование данных осуществляется в темпе поступления информации (On-Line) в неавтономном режиме (Off-Line). Первый способ применяется в основном в системах приема-передачи информации, а второй - для засекречивания хранимой информации.