Средства защиты информации: физические, программные и аппаратные

Указанные выше методы обеспечения информационной безопасности организации (фирмы) реализуются на практике применением различных механизмов защиты, для создания которых используются следующие основные средства: физические, программные, аппаратные, аппаратно-программные, криптографические, организационные, законодательные и морально-этические.

Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.

Для нейтрализации утечки информации по электромагнитным каналам используют экранирующие и поглощающие материалы и изделия. При этом:

- экранирование рабочих помещений, где установлены компоненты автоматизированной информационной системы, осуществляется путем покрытия стен, пола и потолка металлизированными обоями, токопроводящей эмалью и штукатуркой, проволочными сетками или фольгой, установкой загородок из токопроводящего кирпича, многослойных стальных, алюминиевых или из специальной пластмассы листов;

- для защиты окон применяют металлизированные шторы и стекла с токопроводящим слоем;

- все отверстия закрывают металлической сеткой, соединяемой с шиной заземления или настенной экранировкой;

- на вентиляционных каналах монтируют предельные магнитные ловушки, препятствующие распространению радиоволн.

Для обнаружения внедренных «жучков» наиболее эффективным считается рентгеновское обследование. Однако реализация этого метода связана с большими организационными и техническими трудностями.

Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля.

Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Данное обстоятельство делает их одновременно и самыми уязвимыми элементами защиты информационной системы предприятия.

Программные средства защиты информации на дисках. Наиболее очевидный вариант реализации программной системы защиты информации при ее централизованном хранении предусматривает «прозрачное» шифрование данных, хранимых на жестких дисках. Это означает, что все данные при их записи на диск автоматически зашифровываются, а при чтении – расшифровываются.

Шифрование выполняется программным драйвером-фильтром, ключ находится в оперативной памяти. Такая система устанавливается на сервер, к которому непосредственно подсоединены носители с защищаемой информацией. Это могут быть обычные жесткие диски (IDE или SCSI), RAID-массивы, хранилища данных, подключаемые по Fibre Channel, и т. Д.

Обычно ядро системы состоит из двух драйверов (рис. 1). Один представляет собой фильтр ввода-вывода соответствующей подсистемы, а второй – криптоядро, реализует один или несколько алгоритмов шифрования и может быть как полноценным драйвером, так и динамической библиотекой нулевого кольца. Такая архитектура, во-первых, дает возможность использовать одно общее криптоядро для различных применений, а во-вторых, обеспечивает большую гибкость в нелегком деле преодоления законодательных ограничений в области регулирования оборота криптографических средств.

Отдельные модули реализуют пользовательский интерфейс с ядром системы, при этом возможно удаленное администрирование системы, с любой рабочей станции сети или через Интернет. Стоит также упомянуть особенность, без которой не обошелся никто из разработчиков подобных систем. Речь идет о возможности экстренного отключения ядра системы и стирания ключей шифрования из памяти сервера по специальному сигналу – «тревога». Такой сигнал также может подаваться удаленно, причем спектр устройств, обеспечивающих подачу сигнала, довольно высок – начиная от обычной кнопки, замыкающей две линии на порту RS-232, до радиобрелока, GSM-модема или датчика охранной сигнализации.

Существует ряд систем, работающих по вышеописанному принципу, причем подчеркнем, что именно российские разработчики достигли в этой области наибольших успехов. В качестве примера можно упомянуть такие продукты, как StrongDisk Server компании «Физтех-софт», «Индис-сервер» от «ЛАН Крипто» и Zserver компании SecurIT.

Генерация ключей шифрования – это наиболее тонкий момент любой системы шифрования данных. От того, как сгенерирован ключ шифрования, зависит стойкость системы: ведь любая ошибка или небрежность в реализации этого процесса может существенно упростить криптоанализ и снизить стойкость.

Лучший ключ шифрования – это совершенно случайная последовательность битов, а в цифровых устройствах фактор случайности, как правило, сведен к минимуму. Наиболее целесообразный способ генерации ключей – это измерение интервалов между нажатиями клавиш в процессе работы пользователя и формирование на их основе случайной последовательности.

Кворум ключей шифрования – это новая функция, присутствующая далеко не во всех системах. Она может быть полезна в том случае, когда требуется распределить ключ шифрования среди нескольких пользователей, для снижения риска «человеческого фактора». Например, ключ шифрования по специальной формуле разбивается на n частей одинакового размера, так, что для его восстановления достаточно любых k частей (k*n). В этом случае говорят о кворуме ключей k/n.

На практике распространены схемы кворума ключей 2/2, 2/3, 2/5 и 3/5. Например, в варианте 2/3 ключ разбивается на три части и по одной выдается системному администратору, офицеру безопасности и руководителю компании. Чтобы получить доступ к зашифрованным данным, необходимо загрузить на сервер любые две части. В этом случае сохраняется гибкость системы и существенно снижается риск – компрометация какой-либо одной части ключа не приведет к компрометации зашифрованных данных.

Первоначальное зашифровывание дисков. После установки системы и генерации ключей шифрования необходимо зашифровать те диски, на которых хранится конфиденциальная информация. Эта операция выполняется один раз, сразу после установки системы и генерации ключей шифрования. В зависимости от объема шифруемого раздела первоначальное зашифровывание может занять довольно много времени; кроме того, некоторые системы монопольно блокируют доступ к шифруемому разделу, не позволяя другим процессам обращаться к нему.

Это не всегда удобно, поскольку в современных условиях бизнеса простой сервера даже в ночное время не всегда приемлем. В более продвинутых продуктах реализован ряд функций, позволяющих свести время простоя сервера к минимуму. Во-первых, это так называемое фоновое шифрование раздела. В этом случае процесс шифрования раздела запускается в фоновом режиме, а доступ к разделу не блокируется. Драйвер-фильтр в каждый момент времени знает, где проходит граница между зашифрованной частью раздела и незашифрованной, и может корректно обработать операции чтения-записи.

Во-вторых, это быстрое форматирование раздела с шифрованием. Данная возможность предназначена для тех случаев, когда шифруемый раздел вообще не содержит никаких данных, например, когда система ставится на только что купленный сервер. Удивительно, но некоторые системы даже при том, что раздел пуст, все равно заставляют пользователя шифровать его.

В других системах можно просто «включить» режим прозрачного шифрования для выбранного раздела, а потом создать на нем файловую систему в процессе выполнения стандартной операции быстрого форматирования. Таким образом, получится новый зашифрованный раздел с файловой системой. Правда, такой метод подходит лишь для пустого, не содержащего полезной информации раздела.

Централизованное администрирование. Для удобства управления системой администраторская консоль должна обеспечивать одновременное управление несколькими серверами с любой рабочей станции сети или через Интернет. При этом весь трафик, передаваемый по сети, должен шифроваться, поскольку в процессе управления по открытым каналам связи могут передаваться ключи шифрования. Для взаимной аутентификации клиента и сервера и для обмена сессионными ключами, как правило, используется специальный алгоритм, например, Диффи-Хеллмана.

Программные средства защиты информации на лентах. Несмотря на кажущиеся различия, системы шифрования данных в процессе резервного копирования имеют много общего с системами защиты дисков. Тем не менее по каким-то причинам системы защиты информации на лентах не получили такого развития. Из существующих на сегодня подобных систем можно назвать только встроенную в последние версии ПО резервного копирования BrightStor ARCserve Backup от CA функциональность шифрования данных и универсальную систему Zbackup от SecurIT.

Отметим, что встраивание функционала шифрования данных в ПО резервного копирования – вполне логичный и ожидаемый процесс, поскольку в отличие от дисков, с которыми может работать практически любое приложение, запись на магнитную ленту в процессе резервного копирования выполняется одним-единственным приложением, которое перед записью вполне может эти данные зашифровать. Тем не менее такая функциональность встроена только в один программный пакет для резервного копирования на ленту, да и сама реализация, по отзывам многих экспертов, способна удовлетворить далеко не самых взыскательных пользователей.

Поэтому остановимся подробнее на универсальной системе защиты информации при ее резервном копировании на ленту Zbackup. Подчеркнем, что это не система резервного копирования, она лишь обеспечивает защиту данных на магнитных лентах, записываемых в процессе штатной работы ПО резервного копирования (например, ARCserve Backup от CA или Veritas Backup Exec) на серверах, причем таких компонентов ПО резервного копирования, которые непосредственно взаимодействуют с устройствами резервного копирования – стримерами. Иначе говоря, Zbackup устанавливается на серверах, где работают сервисы поддержки ленты (Tape Engine Service); на рабочие станции с программами – агентами резервного копирования устанавливать ее не требуется.

Шифрование проводится на уровне физических секторов, при форматировании лент и записи на них непосредственно самим ПО резервного копирования. Для запуска шифрования достаточно загрузить в систему ключ шифрования и связать его с устройством резервного копирования (стримером).

После установки Zbackup в работе программ резервного копирования ничего не меняется, но данные, содержащиеся на зашифрованных лентах, становятся недоступными для простого считывания любыми программами, поскольку данные находятся на ленте в зашифрованном виде, расшифровываются при чтении и зашифровываются при записи. При попытке чтения зашифрованных лент в программах резервного копирования без ввода соответствующих ключей шифрования такие ленты будут распознаваться как ленты неизвестного формата или пустые.

В настоящее время создано большое количество операционных систем, систем управления базами данных, сетевых пакетов и пакетов прикладных программ, включающих разнообразные средства защиты информации.

С помощью программных средств защиты решаются следующие задачи информационной безопасности:

- контроль загрузки и входа в систему с помощью персональных идентификаторов (имя, код, пароль и т. П.);

- разграничение и контроль доступа субъектов к ресурсам и компонентам системы, внешним ресурсам;

- изоляция программ процесса, выполняемого в интересах конкретного субъекта, от других субъектов (обеспечение работы каждого пользователя в индивидуальной среде);

- управление потоками конфиденциальной информации с целью предотвращения записи на носители данных несоответствующего уровня (грифа) секретности;

- защита информации от компьютерных вирусов;

- стирание остаточной конфиденциальной информации в разблокированных после выполнения запросов полях оперативной памяти компьютера;

- стирание остаточной конфиденциальной информации на магнитных дисках, выдача протоколов о результатах стирания;

- обеспечение целостности информации путем введения избыточности данных;

- автоматический контроль над работой пользователей системы на базе результатов протоколирования и подготовка отчетов по данным записей в системном регистрационном журнале.

Аппаратные средства защиты данных при хранении. Несмотря на универсальность и удобство программных средств, бывают ситуации, в которых они неприменимы. Рассмотрим ряд таких ситуаций.

Нехватка производительности. Несмотря на то, что производители современных программных систем уделяют очень много внимания оптимизации критических участков кода, и средние потери производительности не превышают 10-15%, иногда и это бывает неприемлемым.

Устройства NAS. Типичные устройства NAS (network attached storage) представляют собой хранилище данных и сетевую ОС в одном устройстве. Таким образом, понятие «компьютер в роли файл-сервера», на который можно поставить какое-то дополнительное ПО, фактически ни к чему не относится.

Некоторые реализации архитектуры SAN. В некоторых случаях, когда для организации хранилища данных используется архитектура SAN, применение программных средств защиты также невозможно. Например, при процедуре serverless backup данные копируются по сети SAN непосредственно с дискового массива на ленточную библиотеку, без участия каких-то дополнительных устройств или ПО.

В этих, а также в ряде других ситуаций более уместно применение аппаратных средств защиты хранилищ данных.

Аппаратные средства защиты – это различные электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т. Д.

Основные функции аппаратных средств защиты:

- запрещение несанкционированного (неавторизованного) внешнего доступа (удаленного пользователя, злоумышленника) к работающей автоматизированной информационной системе;

- запрещение несанкционированного внутреннего доступа к отдельным файлам или базам данных информационной системы, возможного в результате случайных или умышленных действий обслуживающего персонала;

- защита активных и пассивных (архивных) файлов и баз данных, связанная с необслуживанием или отключением автоматизированной информационной системы;

- защита целостности программного обеспечения.

Эти задачи реализуются аппаратными средствами защиты информации с использованием метода управления доступом (идентификация, аутентификация и проверка полномочий субъектов системы, регистрация и реагирование).

Разработка и производство устройств защиты хранилищ данных – достаточно новая сфера информационной безопасности. Тем не менее разработчикам и производителям таких устройств удалось добиться впечатляющих результатов и продемонстрировать свое инженерное искусство.

Например, устройство защиты хранилищ данных DataFort, выпускаемое компанией Decru представляет собой устройство в стоечном формате 1U или 2U, которое может подключаться к сети Ethernet или Fibre Channel. Устройство может шифровать данные, которые хранятся на устройствах NAS или SAN и на магнитных лентах.

Основной компонент устройства – специально сконструированный криптопроцессор SEP (Storage Encryption Processor), который обеспечивает шифрование со скоростью несколько гигабит в секунду и надежное хранение ключей шифрования.

Для шифрования разделов данных, каталогов и даже отдельных файлов можно использовать различные ключи, которые называются рабочими. Рабочие ключи шифрования хранятся непосредственно в защищенном хранилище SEP и никогда не покидают его пределов в открытом виде.

Резервные копии рабочих ключей хранятся на выделенной рабочей станции под управлением Windows (рис. 2), на которой установлено ПО Lifetime Key Management (LKM). Резервное копирование осуществляется по протоколу TCP/IP, причем рабочие ключи зашифрованы мастер-ключом устройства DataFort. Мастер-ключ вводится в устройство при его инициализации, перед вводом в эксплуатацию, и хранится на смарт-картах с использованием схемы кворума ключей 2/3, 2/5 или 3/5. Мастер-ключ требуется только при инициализации нового устройства, для загрузки в него конфигурации и рабочих ключей из LKM. В остальное время смарт-карты с мастер-ключом не нужны и могут храниться у доверенных лиц в надежном месте. Для защиты данных в сетях SAN используется оригинальная идея разбиения хранилища на криптографические разделы Cryptainer, информация на которых может шифроваться разными ключами для разных групп пользователей. Это позволяет решить одну из главных проблем защиты данных и разграничения доступа в хранилищах SAN, которая заключается в том, что информация для разных групп пользователей и разного уровня конфиденциальности хранится на одном устройстве.

Таким образом, устройство DataFort полностью прозрачно как для хранилищ данных, так и для клиентов, и не требует никаких изменений в ПО на клиентских и серверных местах. По сути, DataFort выступает в роли своеобразного прокси, представляясь хранилищем данных для клиентов и клиентом – для хранилищ данных. С целью повышения надежности и производительности системы несколько устройств DataFort (до 32) можно объединить в кластер.

Увы, у аппаратных средств защиты хранилищ данных есть один, но очень серьезный недостаток – довольно высокая стоимость. В сравнении с программными средствами стоимость аппаратных устройств выше в 10-20 раз, а если учитывать дополнительные расходы на приобретение и внедрение таких устройств – то и больше. Таким образом, позволить себе подобную роскошь могут лишь довольно крупные компании, для которых затраты свыше 100 тыс. долл. Только на защиту хранилищ данных будут оправданны.

Заключение

В заключении хотелось бы отметить, что ключевым моментом развития информационного сектора является процессы глобализации и информатизации экономики. Информатизация общества существенно ускоряет развитие экономики, и все большая часть производства базируется на использовании идей, а не на материальных объектах, т.е. экономика теряет свой материальный облик. В курсовой работе обосновано, что именно переход от материальных товаров к интенсивному росту доли нематериальных продуктов также является принципиальной особенностью информационной экономики. Предполагается, что в перспективе процесс информатизации экономики уже не будет иметь вещественную ориентацию, а перейдет на информационную стратегию. При этом перспектива роста информатизации пока туманна, так как информационные ресурсы практически ни в одной стране не используются в их полной мере.

С помощью возможностей Интернета и процесса информатизации экономики глобализация охватывает весь мир, преобразуя мировую цивилизацию, объединяющую несколько разрозненных частей, в целостную общность на основе единой системы отношений. Сам процесс глобализации поражает своими темпами и размером. Материя, из которой сооружается новый «монолитный» глобализированный мир - это более 210 стран с населением свыше шести миллиардов человек.

Глобализация стала набирать значительные обороты благодаря постепенной ликвидации барьеров, препятствовавших торговле и движению капитала, а также благодаря фундаментальным техническим достижениям и неизменному снижению стоимости услуг транспорта, связи и компьютерного обеспечения. В настоящее время глобализация обусловлена в значительной мере снижением стоимости ИКТ, поддерживающих ее протекание (например, средства связи).

В курсовой работе приведены отрицательные черты процесса глобализации. Прежде всего, многие специалисты выражают протест против процесса глобализации из-за того, что она порождает неравенство среди множества аспектов: групп людей, компаний, правительств. То есть выгоды и возможности, являющиеся результатом глобализации, в основном сконцентрированы в относительно небольшом числе стран и неравномерно распределяются в самих этих странах. В последние десятилетия в мире наблюдается несоответствие между удачными усилиями по разработке строгих и неукоснительно соблюдаемых правил, способствующих развитию и расширению глобальных рынков, и очень пассивными действиями в поддержку столь же важных социально - экономических целей, как то условия труда, окружающая среда, права человека или борьба с нищетой.

Но в ходе исследования установлено, что наблюдается больше плюсов, чем минусов глобализации. В последние время границы между странами стали еще более прозрачными для потоков товаров, услуг, капиталов и рабочей силы, а также для передачи информации, идей и культурных ценностей. Глобализация мысленно увеличивает любой рынок, что дает огромные возможности для развития, тем самым делает толчок для развития различных секторов экономики. Благодаря процессу глобализации информационный сектор экономики раскрыл свои границы для притока и оттока информации, новых технологий и знаний.

Список литературы

1. Интернет решения [электронный ресурс].– Режим доступа: http://chechenkin.narod.ru/information_resources.html

2. Структура информационных ресурсов России: доклад / ГСНТИ [электронный ресурс].– Режим доступа: http://www.gsnti.ru/inf_res/part2.html

3. Словарь терминов и жаргонизмов поисковой оптимизации [электронный ресурс].–Режимдоступа:http://www.web-exclusive.ru/glossary.htm

4. Информационный спортивный ресурс [электронный ресурс].– Режим доступа: http://www.abcsport.ru/about/

5. Спорт Красноярск [электронный ресурс].– Режим доступа: http://www.redyarsk.ru/about/

6. Википедия [электронный ресурс].– Режим доступа: http://ru.wikipedia.org/wiki/Sportbox.ru

7. Википедия [электронный ресурс].– Режим доступа: http://ru.wikipedia.org/wiki/Чемпионат.ру

8. Информационный портал своё [электронный ресурс].– Режим доступа: http://svoyo.ru/articles/sport-ekspress

9. Компьютерные системы бронирования [электронный ресурс].– Режим доступа: http://medunivers.h1.ru/imit/2.htmзмещено на Allbest.ru

Наши рекомендации