СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ В ЗАЩИЩЕННОМ ВАРИАНТЕ, КАК ЧАСТЬ РЕШЕНИЯ ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИСимоньян Тигран Аркадьевич СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ В ЗАЩИЩЕННОМ ВАРИАНТЕ, КАК ЧАСТЬ РЕШЕНИЯ ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Отличительной особенностью современного производства, как в России, так и в других странах является все возрастающая зависимость от информационных ресурсов и технологий и, как следствие этого, увеличение проблем в области информационной безопасности. Деятельность любого учреждения нельзя представить без процесса получения самой разнообразной информации, ее обработки вручную или с использованием средств вычислительной техники (СВТ), принятия на основе анализа данной информации каких-либо конкретных решений и передачи их по каналам связи. Но следует понимать, что компьютеризация, кроме очевидных и широко рекламируемых выгод, несет с собой, во-первых, значительные затраты усилий и ресурсов, а во-вторых, многочисленные проблемы. Информация только тогда становиться полезной, когда представлена в форме, доступной для восприятия и обработки. Искажение информации, блокирование процесса ее получения или внедрение ложных сведений способствует принятию ошибочных решений. Одной из проблем – и притом одной из наиболее сложных проблем – является проблема обеспечения безопасной обработки критичной информации в автоматизированных системах. Именно последнее десятилетие ознаменовалось значительным усилением внимания к проблемам защиты информации. Этот интерес имеет под собой объективную основу. С одной стороны в стране появилась коммерческая тайна, скорректированы сущность и подходы к защите государственной тайны, появилась необходимость в уточнении понятий и определении границ других видов тайны. С другой стороны резко возросло значение информации, в том числе и в первую очередь требующей защиты. Сущность защиты информации неразрывно связана с целями защиты, так как содержательная часть защиты зависит от ответа на вопрос: зачем, ради чего должна защищаться информация. Центральной проблемой защиты информации в последнее десятилетие практически повсеместно является предупреждение несанкционированного получения информации в системах обработки, построенных на базе современных средств электронно-вычислительной техники. Нарушение безопасности данных возможно, как вследствие различных возмущающих воздействий, в результате которых происходит уничтожение (модификация) данных или создаются каналы утечки, так и вследствие использования нарушителем каналов утечки данных. Классификация угроз безопасности данных приведена на рис. 1.
Воздействия, в результате которых может быть нарушена безопасность данных, включают в себя:
Все каналы утечки информации (данных) можно разделить на косвенные и прямые. Косвенными называются такие каналы утечки, использование которых для несанкционированного доступа к информации не требует непосредственного доступа к техническим устройствам автоматизированных систем. Косвенные каналы утечки возникают, например, вследствие недостаточной изоляции помещений, просчетов в организации работы с информацией и предоставляют нарушителю возможность применения подслушивающих устройств, дистанционного фотографирования, перехвата электромагнитных излучений, хищения носителей информации и производственных отходов (дискет, жестких дисков, листингов машинных программ и т.п.). Прямые каналы утечки данных требуют непосредственного доступа к техническим средствам автоматизированных систем и данным. Наличие прямых каналов утечки обусловлено недостатками технических и программных средств защиты, операционных систем, систем управления баз данных, математического и программного обеспечения, а также просчетами в организации технологического процесса работы с данными. Прямые каналы утечки данных позволяют нарушителю подключаться к аппаратуре автоматизированных систем, получать доступ к данным и выполнять действия по анализу, модификации и уничтожению информации. При использовании прямых каналов утечки нарушитель может осуществить следующие действия:
В соответствии с существующими угрозами разрабатывались методы и средства защиты данных. Классификация методов и средств защиты данных представлена на рис. 2 [1].
Кратко рассмотрим основные методы защиты данных. Управление представляет собой регулирование использования всех ресурсов системы в рамках установленного технологического цикла обработки и передачи данных, где в качестве ресурсов рассматриваются технические средства, операционные системы, программы, базы данных, элементы данных и т.п. Управление защитой данных реализует процесс целенаправленного воздействия подсистемы управления, системы обеспечения безопасности данных на средства и механизмы защиты данных и компоненты автоматизированных систем с целью обеспечения безопасности данных. Препятствия физически преграждают нарушителю путь к защищаемым данным. Маскировка представляет собой метод защиты данных путем их криптографического закрытия. Регламентация как метод защиты заключается в разработке и реализации в процессе функционирования автоматизированных систем комплексов мероприятий, создающих такие условия технологического цикла обработки данных, при которых минимизируется риск несанкционированного доступа к данным. Регламентация охватывает как структурное построение информационных вычислительных систем, так и технологию обработки данных, организацию работы пользователей и персонала сети. Побуждение состоит в создании такой обстановки и условий, при которых правила обращения с защищенными данными регулируются моральными и нравственными нормами. Принуждение включает угрозу материальной, административной и уголовной ответственности за нарушение правил обращения с защищенными данными. На основе перечисленных методов создаются средства защиты данных. На первых этапах развития концепций обеспечения безопасности данных преимущество отдавалось программным средствам защиты. Однако практика показала, что для обеспечения безопасности данных этого недостаточно. Поэтому в последующем интенсивное развитие получили всевозможные устройства и системы. Постепенно, по мере формирования системного подхода к проблеме обеспечения безопасности данных, возникла необходимость комплексного применения методов защиты и, созданных на их основе средств и механизмов защиты. Структурно схему защиты любой организации можно представить в виде следующей пирамиды, изображенной на рис. 3.
1. PKI (Public Key Infrastructure) – инфраструктура открытых ключей. Все требования безопасности могут реализовываться различными способами, имеющими различную стойкость, эффективность, цену. Различные меры используются исходя из конкретной задачи, специфики обработки информации и множества других факторов. Но наиболее сильно отражает все требования политики безопасности криптография. Шифрование применяется для сокрытия непосредственно информации, в тоже время сертификаты гарантируют подлинность связывающихся сторон, электронные подписи гарантируют целостность информации и неотказуемость от транзакций. Криптография с открытым ключом обеспечивает требования по безопасности, но для большего числа пользователей требуется автоматизированный, подстроенный под конкретные системы подход, основанный на PKI:
2. ВЧС (виртуальные частные сети) – это совокупность программных и аппаратных средств, которые позволяют организовать прозрачное для прикладных программ соединение некоторых локальных сегментов глобальной коммуникационной сети через открытую общедоступную сеть при условии сохранения защищенности (секретности, аутентичности, целостности) передаваемых данных без физического выделения каналов передачи и узлов обработки данных. Угрозы, которым противостоят виртуальные частные сети:
Основные преимущества ВЧС: 3. На третьей ступени стоят средства разграничения доступа и защиты ЛВС. Сюда входят межсетевые экраны и программно-аппаратные комплексы защиты информации в сетевом варианте. Среди межсетевых экранов выделяют следующие классы:
Здесь следует обратить внимание на отечественных изготовителей межсетевых экранов, среди которых выделяются межсетевые экраны фирм OOO "Элко Технологии СПБ" и "Инфосистемы Джет". Особенностью межсетевых экранов этих фирм является ориентация на отечественных покупателей. Межсетевой экран "Цитадель МЭ", версии 2.0 фирмы "Элко" представляет собой аппаратно-программный комплекс, основанный на платформе Intel Pentium II/III и управляемый специально разработанной операционной системой. В типовой конфигурации экран "Цитадель МЭ" имеет четыре интерфейса 10/100BaseTx Ethernet. Возможна поддержка до 16 интерфейсов Ethernet в одном устройстве. Опциальной возможностью является установка интерфейсного модуля WAN (V.35 или X.21), поддерживающего SLIP, PPP, HDLC и Frame Relay. Комплекс "Цитадель МЭ" обеспечивает безопасное, надежное и экономичное взаимодействие сетей Internet и Intranet благодаря мощному и гибкому механизму IP-маршрутизации со встроенными функциями пакетной фильтрации, механизмом адресной трансляции (NAT) и прикладными шлюзами. Основными подсистемами комплекса "Цитадель МЭ" являются:
Аппаратно-программный комплекс МЭ "Застава-Джет" фирмы "Инфосистемы Джет" функционирует как на сетевом и транспортном уровнях модели информационного обмена OSI/ISO, так и на уровне приложений, обеспечивая, таким образом, необходимую степень защиты внутреннего информационного пространства. Данный межсетевой экран обладает следующими характеристиками:
Среди программно-аппаратных комплексов выделяют конкретные модели, разработанные в сетевом варианте. Среди таких комплексов заслуживает внимание продукция фирмы Aladdin Software Security R.D., а в частности системы защиты конфиденциальной информации Secret Disc и Secret Disc Server. Но следует учитывать необходимость обязательной сертификации систем защиты. В табл. 1 представлены сертифицированные программно-аппаратные комплексы защиты. Таблица 1. Сертифицированные программно-аппаратные комплексы защиты
4. Под защитой СВТ от технических разведок понимается предотвращение перехвата охраняемой информации за пределами контролируемой зоны объекта ВТ и исключение возможности бесконтрольного перехвата, регистрации этой информации в пределах зоны. Особое место занимает защита информации от утечки по техническим каналам за счет побочных электромагнитных излучений и наводок (ПЭМИН). Этот канал утечки информации предоставляет нарушителям ряд преимуществ:
Один из широко известных каналов утечки информации остается актуальным и по сей день. Именно сейчас этот канал наиболее интересен с точки зрения защиты информации. Основной проблемой является то, что кодовые комбинации шифров, программно-аппаратных комплексов защиты информации, а также всех остальных устройств, стоящих в вышеописанной пирамидальной структуре переводятся тем или иным способом в электрические сигналы, которые могут быть корректно расшифрованы. Это, прежде всего, касается дешифрования сигналов монитора. Профессиональная аппаратура для перехвата излучений монитора и отображения информации, довольно дорога, но ценность информации полностью окупает все затраты. Перехват информации за счет излучений принтеров, клавиатуры иногда возможен даже с меньшими затратами, ввиду передачи информации последовательным кодом, все параметры которого известны. Из средств защиты используются: экранирование помещений, устройства энергетической маскировки, приобретение и установка на объекте защищенных СВТ (СВТ, имеющих малый уровень излучений). Активный метод предполагает применение специальных широкополосных передатчиков помех. Но этот метод имеет свои недостатки. Во-первых, проблема электромагнитной совместимости не описана должным образом, во-вторых, генераторы являются небезопасными для здоровья устройствами. Пассивный метод обеспечения защиты конфиденциальной информации в значительной степени повышает экологическую безопасность рабочего места пользователя, не нарушает норм электронной совместимости, обеспечивает штатные условия работы комплектующих в структуре СВТ. Сущность этого метода заключается подборе соответствующих материалов для экранирования источника излучений – СВТ. Само экранирование состоит в нанесении специальных материалов на внутреннюю поверхность существующего корпуса. СВТ в защищенном варианте включает в себя соответствующий подбор комплектующих, сборку без лишних проводников, являющихся антеннами. Здесь следует обратить внимание на продукцию ЗАО "Ниеншанц-защита", осуществляющего производство и поставку СВТ, защищенных от утечки информации по техническим каналам. Разработанная технология на основе пассивных методов позволила обеспечить в компьютере Flagman-Z без дополнительных технических средств защиту информации по техническим каналам. Изложенные принципы построения распределенных систем позволяют решать задачу безопасной обработки данных. Стоит отметить, что только комплексный подход позволяет решать данную задачу в реальных условиях функционирования предприятий, а в частности делает защиту информации наиболее прочной и надежной. Литература 1. Герасименко В.А. Проблемы защиты данных в системах их обработки//Зарубежная радиоэлектроника, 1989, № 12, стр. 5 – 21 |
