Технические средства защиты КС от НСД
К техническим направлениям ЗИ КС от НСД относятся:
-минимизация количества периферийных устройств на пользовательских ПК;
-специализация устройств обработки информации;
-использование специализированных сетевых устройств;
-применение ТС разграничения доступа к компонентам КС;
-применение средств гарантированного удаления информации с физических носителей;
-применение средств защиты информации от утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН).
Минимизация количества периферийных устройств на пользовательских ПК.
В рамках данного направления осуществляется:
-определение технологической необходимости присутствия тех или иных устройств в ПК пользователей;
-разумное ограничение наличия на пользовательских ПК устройств для копирования информации с/на внешние носители - флоппи-дисководов, боксов для сменных винчестеров, CD-RW, магнитооптических и ZIP приводов, принтеров;
-использование “тонких” и “сверхтонких” сетевых клиентов (бездисковых ПК с загрузкой по сети или с CD-ROM, Х-терминалов и т.д.);
-затруднение возможности неконтролируемого изменения конфигурации оборудования на пользовательских ПК (т.е. они должны запираться, опечатываться и т.п.).
В результате использования методов, присущих данному направлению, снижается вероятность:
-несанкционированного копирования информации;
-возможности внесения в КС нежелательной информации и программных средств;
-оставления всевозможного информационного “мусора”.
Специализация устройств обработки информации.
Данное направление заключается в выделении в рамках конкретной КС устройств (как правило, серверов) для выполнения ограниченного набора функций обработки и/или размещения определенных видов информационных ресурсов. Он позволяет:
- разделить саму информацию со средствами ее обработки;
-дополнительно разграничить использование различными группами пользователей подсистем КС с разной степенью важности и конфиденциальности;
- локализовать функцию вывода информации из КС;
- повысить общую надежность системы.
К специализированным ТС обработки информации относятся:
-серверы размещения информационных ресурсов (серверы баз данных, файл-серверы, web-серверы);
-серверы приложений (прокси-серверы, почтовые серверы, серверы защиты и т.д.);
-серверы резервирования данных (backup-серверы с набором устройств копирования данных);
-серверы печати (сетевой принтер, специализированный принт-сервер или выделенный ПК).
Использование специализированных сетевых устройств.
Данное направление заключается в создании защищенной технической инфраструктуры сети. Он позволяет на аппаратном уровне:
- сегментировать участки сети;
- управлять сетевым трафиком;
- регулировать процессы доступа в сеть;
-преобразовывать передаваемую информацию в защищенный вид.
К таким устройствам относятся управляемые коммутаторы, маршрутизаторы, серверы доступа, модемы, криптосистемы.
Коммутаторы (switch).
Используются на уровне локальных сетей (LAN). Основные защитные функции:
-возможность развертывания виртуальных локальных сетей (VLAN) на основе коммутации групп портов и перенаправления пакетов данных между компьютерами, входящими в состав VLAN;
-контроль доступа к портам, основанный на анализе MAC-адреса, защищающий коммутатор от доступа неавторизированных станций, с помощью которого можно задать ограничения на статические и динамические адреса, что обеспечит администраторам полный контроль над всем сетевым трафиком.
Маршрутизаторы (router) и серверы доступа .
Применяются для объединения локальных сетей в структурированную корпоративную сеть (WAN) и подключения локальных сетей к Интернет. В дополнение к классической IP-маршрутизации управляемые устройства данного класса могут иметь встроенные дополнительные защитные средства:
-брандмауэр (firewall) с фильтрацией трафика по IP-адресам, IP-сервисам и номерам физических портов;
-транслятор сетевых адресов (NAT);
-средства аутентификации и учета работы пользователей;
-средства туннелирования (VLAN) и шифрования пакетов.
Модемы с функцией фильтрации и обратного вызова.
Представляют собой средство создания безопасного соединения удаленного пользователя с узлом корпоративной сети по коммутируемой линии связи. Встроенный в модем АОН определяет телефонный номер инициатора соединения, сверяет его со списком номеров, записанных в ПЗУ модема, и при наличии совпадения устанавливает соединение. При наличии функции обратного вызова (call back) модем автоматически перезванивает на номер инициатора связи и устанавливает соединение после его ответа.
К средствам защиты информации при ее передаче относятся:
-аппаратно-программные криптосистемы;
-устройства формирования специальных сигналов и пакетов.
Применение ТС разграничения доступа к компонентам КС.
Средства ограничения возможности вскрытия компонентов КС и линий связи:
-создание физически защищенных линий связи (с использованием методов и средств затруднения доступа и подключения к линии, волоконнооптических);
-различные замки на корпуса устройств;
-сигнализация на вскрытие устройств.
Технические средства контроля доступа к компонентам КС.
Считывающие устройства .
К ним относятся: смарт-карты; электронные идентификаторы и электронные ключи.
Смарт-карты – пластиковые карты со встроенным чипом (микросхемой). Смарт-карты обеспечивают защищенные запись и хранение личной информации, состояния электронного кошелька, финансовых транзакций, паролей доступа и данных для аутентификации.
Виды смарт-карт:
-карты с магнитной полосой (хранение малых объемов данных, низкая безопасность);
-карты памяти (хранение средних объемов данных, средняя безопасность, нет криптопроцессора);
-микропроцессорные карты и криптокарты.
Электронные идентификаторы iButton (старое название Touch Memory).
iButton представляют собой микросхему и миниатюрную литиевую батарейку, размещенную в корпусе. Для считывания данных из приборов iButton используется контактное устройство Touch Probe, которое представляет собой механический узел, форма которого сделана такой, чтобы он точно сопрягался с круглым корпусом прибора. Малые размеры Touch Probe позволяют встраивать его непосредственно в контроллер, прикреплять на любую поверхность или использовать в виде отдельного устройства. Взаимодействие с прибором обеспечивается моментальным касанием с корпусом iButton.
Электронные ключи.
Альтернативой смарт-картам являются USB-токены (ключи), которые, в большинстве своем, используют те же самые процессоры, изготовляются в соответствии со стандартом, который разрабатывался для смарт-карт и очень близки к ним функционально. Для использования смарт-карт необходимо специальное считывающее устройство, стоящее несколько десятков или даже сотен долларов, то есть обходится дороже USB-интерфейса, которым снабжаются сейчас все современные компьютеры. Сами же смарт-карты дешевле USB-ключа. Поэтому в том случае, когда одно считывающее устройство предназначено для нескольких пользователей, смарт-карты могут быть более выгодны.
Биометрические системы контроля доступа.
Процедуры идентификации и аутентификации пользователя могут базироваться не только на секретной информации, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.). В последнее время все большее распространение получает биометрическая идентификация и аутентификация, основанная на уникальности физиологических параметров и характеристик человека, особенностей его поведения. Основные достоинства биометрических методов идентификации и аутентификации:
-высокая степень достоверности идентификации по биометрических признакам из-за их уникальности;
-неотделимость биометрических признаков от дееспособной личности;
-трудность фальсификации биометрических признаков.
В качестве биометрических признаков, которые могут быть использованы для идентификации потенциального пользователя, используются:
-узор радужной оболочки и сетчатки глаз;
-отпечатки пальцев;
-геометрическая форма руки;
-форма и размеры лица;
-особенности голоса;
-биомеханические характеристики рукописной подписи;
-биомеханические характеристики "клавиатурного почерка".
Первоначально биометрические признаки пользователя регистрируются системой как его контрольный "образ". Этот образ хранится в электронной форме и используется для сравнения с предъявляемыми признаками каждого, кто выдает себя за пользователя.
Применение средств гарантированного удаления информации с физических носителей.
Метод основан на физических свойствах магнитных носителей информации и применяется в полном объеме для быстрого и эффективного удаления с них информации, не составляющей государственную тайну.
Применение средств защиты информации от утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН).
Метод заключается в локализации паразитных излучений и наводок от средств обработки информации или в создании помех, препятствующих перехвату паразитных информативных сигналов. На практике применяются пассивные и активные методы и средства ЗИ от ПЭМИН.
К пассивным относятся:
-инженерно-конструкторские методы;
-экранирование устройств и кабелей;
-установка фильтров на сигнальные и силовые цепи;
-заземление устройств.
К активным средствам относятся:
-средства обнаружения и измерения ПЭМИН;
-генераторы шума;
-устройства гальванической развязки цепей (медиа-конверторы), как правило, представляющие собой преобразователи “Ethernet-оптоволокно- Ethernet”.