Технические методы защиты информации

Как указывалось выше,технические средствазащиты информации делятся на два класса: физические и аппаратные.

Защита информации в сетях и вычислительных средствах с помощью физических средств реализуется на основе организации доступа к памяти с помощью:

1. Контроля доступа к различным уровням памяти компьютеров.

2. Блокировки данных и ввода ключей.

3. Выделения контрольных битов для записей с целью идентификации.

Архитектура программных средств защиты информации включает:

1. Реакцию (в том числе звуковую) на нарушение системы защиты контроля доступа к ресурсам сети.

2. Контроль мандатов доступа.

3. Формальный контроль защищенности операционных систем.

4. Контроль алгоритмов защиты.

5. Проверку и подтверждение правильности функционирования технического и программного обеспечения.

Для надежной защиты информации и выявления случаев неправомочных действий проводится регистрация работы системы: создаются специальные дневники и протоколы, в которых фиксируются все действия, имеющие отношение к защите информации в системе. Фиксируются время поступления заявки, ее тип, имя пользователя и терминала, с которого инициируется заявка. Однако, с ростом количества регистрируемых событий затрудняется просмотр дневника и обнаружение попыток преодоления защиты. В этом случае применяется программный анализ и фиксирование сомнительных событий.

Электронные ключиотносятся к аппаратным средствам защиты программ и данных. Электронный ключ представляет собой специализированную заказную микросхему (чип), площадью со спичечный коробок. Ключ имеет два разъема; одним он подключается к параллельному порту компьютера, а другой служит для подключения принтера. При этом ключ не мешает нормальной работе принтера. Ключ сохраняет записанную в него информацию при отключении его от компьютера. Если электронный ключ защищает программу, то последняя при ее запуске проверяет наличие «своего» ключа. Если такой ключ найден, программа выполняется, иначе она выдает сообщение об ошибке и прерывает свою работу. В защитном механизме электронного ключа может быть реализована защита файлов баз данных [10].

В качестве компьютера, изготовленных в специальном защищенном исполнении, можно привести семейство компьютеров «БАГЕТ». Эти машины обеспечивают излучение информационных сигналов на уровне естественного шума. Такая мера защиты противодействует попыткам получить дистанционный доступ к конфиденциальной информации при помощи специальной подслушивающей аппаратуры.

Для организации доступа удаленных пользователей к вычислительным или информационным ресурсам используются кабельные линии и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода. В мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов – их разделение и передача параллельно по двум линиям, – что делает невозможным «перехват» данных при незаконном подключении «хакера» к одной из линий. Используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки «перехваченных» данных. Мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленным пользователям не все ресурсы центра компании будут доступны.

При пользовании Internet снижается уровень информационной безопасности, т. к. Internet в настоящее время с помощью единого стека протоколов TCP/IP и единого адресного пространства объединяет не только корпоративные и ведомственные сети (образовательные, государственные, коммерческие, военные и т. д.), но и рядовых пользователей, которые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров.

Поэтому для предотвращения несанкционированного доступа к своим компьютерам все корпоративные и ведомственные сети, использующие технологию Intranet, ставят фильтры между внутренней сетью и Internet, что означает выход из единого адресного пространства.

Брандмауэр можно определить как набор аппаратно-программных средств, пред­назначенных для предотвращения доступа в сеть извне и за контролем над дан­ными, поступающими в сеть или выходящими из нее. Брандмауэры получили всеобщее признание с начала 1990-х годов, что связано, в основном, с быстрым развитием сети Internet. Брандмауэры могут защищать корпоративную сеть от несанкционированного доступа из Internet или из другой корпоративной сети. Брандмауэр устанав­ливается на границе защищаемой сети и фильтрует все входящие и выходные данные, пропуская только разрешенные пакеты и предотвращая попытки про­никновения в сеть. Правильно настроенный брандмауэр пропустит (или не пропустит) конкретный пакет и позволит (или не позволит) организовать конк­ретный сеанс связи в соответствии с установленными правилами. Для эффек­тивной работы брандмауэров важно соблюдение трех условий:

- весь трафик должен проходить через одну точку;

- брандмауэр должен контролировать и регистрировать весь проходящий трафик;

- сам брандмауэр должен быть «неприступен» для внешних атак.

Наибольшее распространение получили брандмауэры с фильтрацией паке­тов, реализованные на маршрутизаторах и сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты.

Наши рекомендации