Организационное обеспечение программно-аппаратной защиты информации

Размещено на http://www.allbest.ru/

СОДЕРЖАНИЕ

Введение

1. Программно-аппаратные методы защиты

1.1 Защита от несанкционированного доступа

1.2 Защита от несанкционированного использования

1.3 Защита от некорректного использования ресурсов

1.4 Устранение или сведение к минимуму последствий сбоев и отказов в работе ВС

2. Программно-аппаратные средства защиты информации

2.1 Программно-аппаратный комплекс «Аккорд - 1.95»

2.2 Программно-аппаратный комплекс Secret Net NT 4.0

Заключение

Список литературы

ВВЕДЕНИЕ

Актуальность и значимость проблемы защиты информации обуславливается бурным развитием средств вычислительной техники, автоматизированных информационных систем, появление новых информационных технологий сопровождается появлением таких малоприятных явлений, как промышленный шпионаж, компьютерная преступность и, прежде всего, несанкционированный доступ (НСД) к конфиденциальной информации.

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными.

Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя.

Несмотря на то, что современные ОС для персональных компьютеров, такие, как Windows XP и Windows 7, имеют собственные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большинство систем не способны защитить данные, находящиеся за их пределами. И в этих случаях для защиты данных используются аппаратно-программные средства защиты информации.

Целью является рассмотреть основные способы обеспечения программно-аппаратной защиты информации.

Задачами являются изучить способы и методы реализации программно-аппаратной защиты информации.

1. Программно-аппаратные методы защиты

С помощью программно-аппаратных средств можно в определенной мере решать как основные задачи защиты информационного ПО в вычислительных системах (от хищения, от потери, от сбоев и отказов оборудования), так и защиту от ошибок в программах.

Решение этих задач в системах защиты обеспечивается следующими способами:

1. защитой от несанкционированного доступа (НСД) к ресурсам со стороны пользователей и программ;

2. защитой от несанкционированного использования (НСИ) ресурсов при наличии доступа;

3. защитой от некорректного использования ресурсов;

4. устранения или сведения к минимуму последствий сбоев и отказов в работе ВС

5. высоким качеством разработки программно-аппаратных средств.

1.1 Защита от несанкционированного доступа

Для защиты от НСД прежде всего необходима эффективная система регистрации попыток доступа в систему со стороны пользователей и программ, а также мгновенная сигнализация о них отвечающим за безопасность вычислительных систем (ВС) лицам. Именно отсутствие надежной системы регистрации и сигнализации при НСД, а также наличие обходных путей или «дыр» в ВС, является причиной незаконного проникновения в систему. Чтобы регистрировать события подключения к системе, в ВС обычно ведется специальный журнал или база данных.

Защита от НСД со стороны пользователей в современных системах в основном реализуется двумя основными способами: парольной защитой, а также путем идентификации и аутентификации.

Простейшая парольная защита является достаточно слабым средством, особенно если пароль не шифруется. Основной ее недостаток состоит в том, что все пользователи, использующие одинаковый пароль, с точки зрения ВС неразличимы. Неудобство парольной защиты для пользователя состоит в том, что надо запоминать пароль. Если он простой и короткий, значит, его легко подобрать, если сложный - его нужно куда-нибудь записать. При небрежном отношении к записям пароль может стать достоянием других.

Для получения доступа к ВС достаточно знать некоторый пароль. После ввода этого пароля обычно разрешается все. Иногда в системе имеется несколько паролей, за каждым из которых закреплены соответствующие права доступа. сбой доступ информация защита

Более серьезный контроль доступа в систему получается, если каждого подключающегося пользователя сначала идентифицировать, затем убедиться, что это именно он, а не другой (аутентифицировать), и при запросе ресурсов контролировать полномочия (проверять право запрашивать ресурсы системы).

Идентификация пользователей может выполняться, например, с помощью паролей. Для аутентификации, или проверки подлинности пользователя, часто используют следующие способы:

- запрос секретного пароля;

- запрос какой-либо информации сугубо индивидуального характера;

- проверка наличия физического объекта, представляющего собой электронный аналог обычного ключа (электронный ключ);

- применение микропроцессорных карточек;

- активные средства опознавания;

- биометрические средства.

Запрашиваемая для аутентификации дополнительная информация может представлять собой любые данные, связанные с некоторыми сведениями, явлениями или событиями из личной жизни пользователя или его родственников. Например, номер счета в банке, номер технического паспорта автомобиля, девичья фамилия матери или жены и т. д.

Примером электронного ключа является пластиковая карточка с магнитной полоской. На запоминающем слое хранится код, выполняющий роль невидимого пароля. Более сложный вариант электронного ключа - специальный прибор, называемый жетоном и позволяющий генерировать псевдослучайные пароли.

Существуют различные варианты реализации жетонов. Одним из первых довольно удачных решений является жетон SecnrlD американской фирмы Security Dynamics, появившийся в 1987 году. В нем генерируемая случайным образом буквенно-цифровая последовательность (пароль) меняется примерно раз в минуту синхронно с паролем в центральной части системы защиты. Это значит, что каждый новый пароль имеет ограниченное время действия. Сами пароли постоянно изменяются, усложняя подбор со стороны злоумышленников. Каждый пароль при этом пригоден для однократного входа в систему. Жетоны SecurlD популярны и в настоящее время как средства аутентификации пользователей.

Недавно появившиеся на рынке микропроцессорные карточки, разработанные Национальным институтом стандартов и технологии США, позволяют формировать цифровые подписи. Алгоритм шифрования обеспечивает невозможность подделки электронных подписей.

Более перспективными средствами аутентификации являются так называемые активные средства распознавания. Примером такого средства является система, состоящая из миниатюрного слабосигнального радиопередатчика и соответствующего радиоприемника. При подключении к системе пользователь должен приблизить на небольшое расстояние (порядка нескольких дециметров) к приемнику передатчик и включить его. Если принятый сигнал опознается, пользователь получает доступ к системе. Достоинство такой системы - отсутствие физического контакта.

Из множества существующих средств аутентификации наиболее надежными (но и дорогими) считаются биометрические средства. В них опознание личности осуществляется по отпечаткам пальцев, форме ладони, сетчатке глаза, подписи, голосу и другим физиологическим параметрам человека. Некоторые системы идентифицируют человека по манере работы на клавиатуре. Основным достоинством систем такого класса является высокая надежность аутентификации.

Уверенность в том, что подключающийся к системе пользователь или программа, не являются злоумышленными, не дает гарантии безопасности последующего поведения во время работы, поэтому во многих системах защиты предусматривается разграничение доступа к ресурсам в течение сеанса.

По завершении сеанса работы информация о параметрах подключения, в том числе пароли, в вычислительной системе должна удаляться, чтобы ею не могли воспользоваться несанкционированные программы и пользователи. Если же «прощание с системой после реального прекращения работы затянулось» (это может быть забывчивость пользователя выполнить процедуру отключения или некорректное завершение работы программы), система защиты должна предусматривать механизмы принудительного завершения работы и закрытия каналов доступа от посторонних пользователей и программ. Отключение объектов от ВС можно выполнять, например, после анализа их активности в течение некоторого времени, отсутствия ответов на предупреждения об отключении пользователей, либо по истечении продолжительности сеанса работы.

Одной из разновидностей несанкционированных программ являются компьютерные вирусы. Количество известных компьютерных вирусов постоянно возрастает. Появилась даже новая инженерная дисциплина - компьютерная вирусология. Последствия воздействия компьютерных вирусов могут быть разнообразными: от внешне необычных эффектов на мониторе компьютера и простого замедления работы ЭВМ до краха вычислительной системы или сети. Отсюда возникает необходимость защиты от компьютерных вирусов на всех стадиях их развития и, в особенности на стадиях их проникновения в систему и размножения. Для этого в систему защиты включают средства диагностирования состояния программно-аппаратных средств, локализации и удаления вирусов, устранения последствий их воздействия.

1.2 Защита от несанкционированного использования

Обеспечение защиты от НСИ ресурсов, как и от НСД, требует применения средств регистрации запросов защищаемых ресурсов ВС и сигнализации в случаях попыток незаконного их использования. Заметим, что речь ведется о важнейших с точки зрения защиты ресурсах. Если постоянно регистрировать все события обо всех запросах на ресурсы в ВС, на остальную работу не хватит процессорного времени.

Для защиты информационно-программных ресурсов ВС от несанкционированного использования применяются следующие варианты защиты: от копирования, исследования (программ), просмотра (данных), модификации и удаления.

Для защиты программы от несанкционированного копирования можно в исполняемом коде выполнить привязку к оборудованию. Тогда копия программы не будет работать на другом компьютере.

Под защитой от исследования программ понимаются такие средства, которые не позволяют или затрудняют изучение системы защиты программы. Например, после нескольких неудачных попыток подключения к программе, имеющей парольную защиту, целесообразно блокировать дальнейшие попытки подключения к ней либо предусмотреть средства самоликвидации.

Защиту файлов с исполняемыми программами или данными от модификации можно сделать путем сверки некоторой характеристики файла (контрольной суммы) с эталоном. Тогда, если кто-нибудь изменит содержимое файла, изменится его контрольная сумма, что сразу же обнаружится. Средства проверки контрольной суммы можно вставить в программу (для программных файлов) либо поместить в программную систему контроля модификации файлов (программ и данных).

Защитить от удаления программы или данные можно путем предотвращения несанкционированных операций удаления файлов в вычислительной системе. К сожалению, широко распространенные операционные системы MS DOS и MS Windows стандартных эффективных средств такого рода не имеют. С этой целью можно разработать или подобрать из имеющихся резидентную программу контроля функции удаления файла с диска.

Достаточно мощным средством защиты данных от просмотра является их шифрование. Расшифровка информации требует знания ключа шифрования. Подбор последнего даже при современном уровне компьютерной техники представляет трудоемкую задачу.

Шифрование незаменимо для защиты информации от раскрытия ее содержания при хранении информации в файлах или базах данных, а также при передаче по линиям связи: проводным, кабельным и радиоканалам.

Шифрование данных осуществляется в темпе поступления информации (On-Line) и в автономном режиме (Off-Line). Первый способ применяется в основном в системах приема-передачи информации, а второй - для засекречивания хранимой информации.

В современных системах защиты в основном применяется два алгоритма: DES и RSA. Стандарт шифрования данных - Data Encryption Standard (DES) разработан фирмой IBM в начале 70-х годов, рекомендован Ассоциацией Американских Банкиров и является правительственным стандартом цифрового шифрования.

В алгоритме DES используется ключ длиной 56 бит и 8 бит проверки на четность. Он обеспечивает высокую степень защиты при небольших расходах на шифрование, требуя для подбора ключевой комбинации перебора 72 квадриллионов вариантов.

Алгоритм DES является симметричным в том смысле, что для шифрования и дешифрования некоторой информации он использует один и тот же ключ. Если в процессе функционирования вычислительной сети между корреспондентами необходимо передать полномочия по шифрованию, то передаваемые для этого ключи шифрования необходимо засекречивать (шифровать). Длина ключа и контрольных битов для алгоритма фиксированы.

Другой алгоритм - RSA (сокращение по фамилиям авторов) предложен Ривестом, Шамиром и Альдеманом в 1976 году. Алгоритм является более совершенным и принят в качестве стандарта Национальным Бюро Стандартов.

В алгоритме RSA используются различные ключи для шифрования и дешифрования, т. е. он является асимметричным. Поскольку ключ для шифрования не годится для дешифрации, его можно смело передавать по сети, а поэтому ключ шифрования часто называют открытым ключом.

Достоинством алгоритма RSA является также то, что он работает при разной длине ключа. Чем длиннее ключ, тем большее время требуется на выполнение операции преобразования информации и тем выше уровень безопасности.

Алгоритмы шифрования реализуются программно или аппаратно. Одним из примеров аппаратной реализации является сравнительно недорогая микросхема шифрования Clipper. Система, разработанная на базе этой микросхемы, предназначена для защиты речевой информации. Внедрение ее поддержано Агентством национальной безопасности США.

По завершению работы программы необходимо позаботиться об уничтожении данных из оперативной и внешней памяти. При возникновении серьезной угрозы использования конфиденциальных данных желательно в системе защиты иметь возможность аварийного их удаления.

1.3 Защита от некорректного использования ресурсов

Функции защиты от некорректного использования ресурсов ВС предусматривают, по крайней мере, следующие действия: изолирование друг от друга участков оперативной памяти, выделенных различным программам, защиту системных областей внешней памяти и контроль допустимости команд ЦП.

В программном обеспечении на более высоком, чем ОС, уровне необходимо обеспечить корректность использования прикладных ресурсов: документов, изображений, баз данных, сообщений и т. п. На практике возможны ситуации, когда корректные с точки зрения операционной системы файлы содержат не совсем верную или противоречивую информацию из предметной области. Другими словами, прикладное программное обеспечение тоже должно обеспечивать целостность и непротиворечивость данных.

1.4 Устранение или сведение к минимуму последствий сбоев и отказов в работе ВС

Основными методами являются внесение структурной, функциональной и информационной избыточности (резервирования).

Структурная избыточность означает резервирование аппаратных компонентов ВС на различных уровнях: ЭВМ (дублирование серверов обработки); отдельных устройств (дублирование процессоров или накопителей на магнитных дисках - зеркальные диски) и схем устройств (мажоритарные схемы выполнения операций). При резервировании следует обеспечить прежде всего стабильное и бесперебойное питание, к примеру, с помощью источников бесперебойного питания.

Функциональное резервирование означает организацию вычислительного процесса, при которой функции управления, хранения и обработки информации реализуются несколькими элементами системы. При отказе функционального элемента его заменяет другой элемент. Примером функциональной избыточности может служить запуск нескольких одинаковых программ в многозадачной операционной системе.

Информационное резервирование используется для предотвращения полной потери информации и реализуется путем одноразового или периодического копирования и архивирования наиболее ценной информации. К ней прежде всего можно отнести прикладные программы пользователя, а также данные различных видов: документы, БД, файлы и т. д., а также основные программы ОС, типовое ПО (СУБД, текстовые, табличные и графические процессоры и т. п.).

Резервирование информации можно выполнять путем копирования ценной информации на вспомогательные носители информации: жесткие диски, дискеты, накопители на оптических дисках, магнитные ленты. Более эффективным по расходованию внешней памяти является создание сжатых архивов исходной информации. Получение исходной информации из сжатой выполняется с помощью соответствующего разархиватора или путем запуска на выполнение саморазархивирующегося файла. Иногда при сжатии информации используют парольную защиту, позволяющую восстановить исходную информацию при задании пароля.

Своевременное выявление сбоев и отказов оборудования, а также физических и логических дефектов на носителях информации невозможно без организации тестирования аппаратно-программных средств. Тестирование может выполняться в специально отведенное время и в процессе работы (например, в интервалы простоя оборудования).

При выявлении в системе ошибок, требуется проведение восстановительных операций. Восстановление искаженных или потерянных данных и программ обычно выполняется после тестирования. В ответственных случаях применяют самотестирование и самовосстановление программ, при котором перед началом вычислений программа проверяет наличие и корректность исходных данных и при обнаружении ошибок производит восстановление данных.

2. Программно-аппаратные средства защиты информации

Многие причины потери информации в процессе обычного функционирования системы, а также в результате происходящих в системе сбоев и отказов, кроются в наличии ошибок или неточностей, заложенных на этапах проектирования ВС.

Для устранения или сведения к минимуму ошибок, которые существенно снижают общую защищенность ВС, следует использовать современные методы защиты на всех этапах жизненного цикла аппаратно-программного обеспечения ВС: системного анализа, проектирования, эксплуатации и сопровождения.

Из существующих программных систем защиты достаточно популярными являются системы «Аккорд» и «Secret Net NT».

2.1 Программно-аппаратный комплекс «Аккорд - 1.95»

Комплекс «Аккорд» - это простой, но чрезвычайно эффективный комплекс технических средств, используя который можно надежно защитить информацию на компьютере без переделки ранее приобретенных программных средств.

Защитные функции комплекса реализуются применением:

1. защиты от НСД, включая идентификацию пользователя по уникальному ТМ-идентификатору и аутентификацию с учетом необходимой длины пароля и времени его жизни, ограничением времени доступа субъекта к компьютеру;

2. процедур блокирования экрана и клавиатуры в случаях, в которых могут реализовываться угрозы информационной безопасности;

3. разграничения доступа к ресурсам АС, определяемой атрибутами доступа, которые устанавливаются администратором при регистрации пользователей;

4. применения специальных процедур печати, управления стандартными процедурами печати, процедурами ввода/вывода на отчуждаемые носители информации;

5. контроля целостности критичных с точки зрения информационной безопасности программ и данных;

6. средств функционального замыкания информационных систем за счет использования средств защиты комплекса;

7. других механизмов защиты в соответствии с требованиями нормативных документов по безопасности информации.

Отметим, что в комплексе «Аккорд» используются и некоторые дополнительные механизмы защиты от НСД к АС. Так, в частности, для пользователя администратор может установить:

- время жизни пароля и его минимальную длину, практически, исключая тем самым возможность быстрого его подбора;

- временные ограничения использования ПЭВМ установкой интервала времени по дням недели (с дискретностью 30 мин), в котором разрешена работа для данного пользователя;

- параметры управления экраном - гашение экрана через заранее определенный интервал времени (в случае, если в течение указанного интервала действия оператором не выполнялись). Возможность продолжения работы предоставляется только после проведения повторной идентификации по персональному ТМ-идентификатору пользователя;

- подачу соответствующих звуковых и визуальных сигналов при попытках несанкционированного доступа к АС и ее ресурсам.

2.2 Программно-аппаратный комплекс Secret Net NT 4.0

Автономный вариант системы защиты информации Secret Net NT 4.0 предназначен для защиты ресурсов рабочей станции локальной сети или неподключенного к сети компьютера и разработан научно-инженерным предприятием «ИНФОРМЗАЩИТА».

Система Secret Net NT 4.0 дополняет стандартные защитные механизмы ОС Windows NT функциями, обеспечивающими:

- идентификацию пользователей при помощи специальных аппаратных средств (Touch Memory, Smart Card, Smarty);

- дополнительно к избирательному (дискреционному) управлению доступом, реализованному в ОС Windows NT, полномочное (мандатное) управление доступом пользователей к конфиденциальной информации на локальных и подключенных сетевых дисках;

- оперативный контроль работы пользователей компьютера путем регистрации событий, связанных с безопасностью ИС, удобные средства просмотра и представления зарегистрированной информации;

- контроль целостности программ, используемых пользователями и операционной системой;

- возможность создания для любого пользователя замкнутой программной среды (списка разрешенных для запуска программ);

- простоту управления объектами благодаря использованию механизма шаблонов настроек.

Заключение

Основные выводы о способах использования рассмотренных выше средств, методов и мероприятий защиты, сводится к следующему:

1. Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации.

2. Механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы.

3. Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации.

4. Необходимо осуществлять постоянный контроль функционирования механизма защиты.

Список литературы

1. Информационная безопасность и защита информации: учеб. пособие для студ. ВУЗов / под ред. С.А. Клейменов. - 3-е изд., стер. - М.: «Академия», 2008, - 336 стр.

2. Программно-аппаратные средства обеспечения информационной безопасности: Учеб. пособие. Зайцев А.П., Голубятников И.В. - 2-е изд., М.: «Машиностроение-1», 2006. ? 260 с.

3. Программно-аппаратная защита информации: учеб. пособие/ С.К. Варлатая, М.В. Шаханова. - Владивосток: Изд-во ДВГТУ, 2007.

4. http://ru.wikipedia.org/Информационная безопасность

Размещено на Allbest.ru