Технические средства защиты КС от НСД

К техническим направлениям ЗИ КС от НСД относятся:

-минимизация количества периферийных устройств на пользовательских ПК;

-специализация устройств обработки информации;

-использование специализированных сетевых устройств;

-применение ТС разграничения доступа к компонентам КС;

-применение средств гарантированного удаления информации с физических носителей;

-применение средств защиты информации от утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН).

Минимизация количества периферийных устройств на пользовательских ПК.

В рамках данного направления осуществляется:

-определение технологической необходимости присутствия тех или иных устройств в ПК пользователей;

-разумное ограничение наличия на пользовательских ПК устройств для копирования информации с/на внешние носители - флоппи-дисководов, боксов для сменных винчестеров, CD-RW, магнитооптических и ZIP приводов, принтеров;

-использование “тонких” и “сверхтонких” сетевых клиентов (бездисковых ПК с загрузкой по сети или с CD-ROM, Х-терминалов и т.д.);

-затруднение возможности неконтролируемого изменения конфигурации оборудования на пользовательских ПК (т.е. они должны запираться, опечатываться и т.п.).

В результате использования методов, присущих данному направлению, снижается вероятность:

-несанкционированного копирования информации;

-возможности внесения в КС нежелательной информации и программных средств;

-оставления всевозможного информационного “мусора”.

Специализация устройств обработки информации.

Данное направление заключается в выделении в рамках конкретной КС устройств (как правило, серверов) для выполнения ограниченного набора функций обработки и/или размещения определенных видов информационных ресурсов. Он позволяет:

- разделить саму информацию со средствами ее обработки;

-дополнительно разграничить использование различными группами пользователей подсистем КС с разной степенью важности и конфиденциальности;

- локализовать функцию вывода информации из КС;

- повысить общую надежность системы.

К специализированным ТС обработки информации относятся:

-серверы размещения информационных ресурсов (серверы баз данных, файл-серверы, web-серверы);

-серверы приложений (прокси-серверы, почтовые серверы, серверы защиты и т.д.);

-серверы резервирования данных (backup-серверы с набором устройств копирования данных);

-серверы печати (сетевой принтер, специализированный принт-сервер или выделенный ПК).

Использование специализированных сетевых устройств.

Данное направление заключается в создании защищенной технической инфраструктуры сети. Он позволяет на аппаратном уровне:

- сегментировать участки сети;

- управлять сетевым трафиком;

- регулировать процессы доступа в сеть;

-преобразовывать передаваемую информацию в защищенный вид.

К таким устройствам относятся управляемые коммутаторы, маршрутизаторы, серверы доступа, модемы, криптосистемы.

Коммутаторы (switch).

Используются на уровне локальных сетей (LAN). Основные защитные функции:

-возможность развертывания виртуальных локальных сетей (VLAN) на основе коммутации групп портов и перенаправления пакетов данных между компьютерами, входящими в состав VLAN;

-контроль доступа к портам, основанный на анализе MAC-адреса, защищающий коммутатор от доступа неавторизированных станций, с помощью которого можно задать ограничения на статические и динамические адреса, что обеспечит администраторам полный контроль над всем сетевым трафиком.

Маршрутизаторы (router) и серверы доступа .

Применяются для объединения локальных сетей в структурированную корпоративную сеть (WAN) и подключения локальных сетей к Интернет. В дополнение к классической IP-маршрутизации управляемые устройства данного класса могут иметь встроенные дополнительные защитные средства:

-брандмауэр (firewall) с фильтрацией трафика по IP-адресам, IP-сервисам и номерам физических портов;

-транслятор сетевых адресов (NAT);

-средства аутентификации и учета работы пользователей;

-средства туннелирования (VLAN) и шифрования пакетов.

Модемы с функцией фильтрации и обратного вызова.

Представляют собой средство создания безопасного соединения удаленного пользователя с узлом корпоративной сети по коммутируемой линии связи. Встроенный в модем АОН определяет телефонный номер инициатора соединения, сверяет его со списком номеров, записанных в ПЗУ модема, и при наличии совпадения устанавливает соединение. При наличии функции обратного вызова (call back) модем автоматически перезванивает на номер инициатора связи и устанавливает соединение после его ответа.

К средствам защиты информации при ее передаче относятся:

-аппаратно-программные криптосистемы;

-устройства формирования специальных сигналов и пакетов.

Применение ТС разграничения доступа к компонентам КС.

Средства ограничения возможности вскрытия компонентов КС и линий связи:

-создание физически защищенных линий связи (с использованием методов и средств затруднения доступа и подключения к линии, волоконнооптических);

-различные замки на корпуса устройств;

-сигнализация на вскрытие устройств.

Технические средства контроля доступа к компонентам КС.

Считывающие устройства .

К ним относятся: смарт-карты; электронные идентификаторы и электронные ключи.

Смарт-карты – пластиковые карты со встроенным чипом (микросхемой). Смарт-карты обеспечивают защищенные запись и хранение личной информации, состояния электронного кошелька, финансовых транзакций, паролей доступа и данных для аутентификации.

Виды смарт-карт:

-карты с магнитной полосой (хранение малых объемов данных, низкая безопасность);

-карты памяти (хранение средних объемов данных, средняя безопасность, нет криптопроцессора);

-микропроцессорные карты и криптокарты.

Электронные идентификаторы iButton (старое название Touch Memory).

iButton представляют собой микросхему и миниатюрную литиевую батарейку, размещенную в корпусе. Для считывания данных из приборов iButton используется контактное устройство Touch Probe, которое представляет собой механический узел, форма которого сделана такой, чтобы он точно сопрягался с круглым корпусом прибора. Малые размеры Touch Probe позволяют встраивать его непосредственно в контроллер, прикреплять на любую поверхность или использовать в виде отдельного устройства. Взаимодействие с прибором обеспечивается моментальным касанием с корпусом iButton.

Электронные ключи.

Альтернативой смарт-картам являются USB-токены (ключи), которые, в большинстве своем, используют те же самые процессоры, изготовляются в соответствии со стандартом, который разрабатывался для смарт-карт и очень близки к ним функционально. Для использования смарт-карт необходимо специальное считывающее устройство, стоящее несколько десятков или даже сотен долларов, то есть обходится дороже USB-интерфейса, которым снабжаются сейчас все современные компьютеры. Сами же смарт-карты дешевле USB-ключа. Поэтому в том случае, когда одно считывающее устройство предназначено для нескольких пользователей, смарт-карты могут быть более выгодны.

Биометрические системы контроля доступа.

Процедуры идентификации и аутентификации пользователя могут базироваться не только на секретной информации, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.). В последнее время все большее распространение получает биометрическая идентификация и аутентификация, основанная на уникальности физиологических параметров и характеристик человека, особенностей его поведения. Основные достоинства биометрических методов идентификации и аутентификации:

-высокая степень достоверности идентификации по биометрических признакам из-за их уникальности;

-неотделимость биометрических признаков от дееспособной личности;

-трудность фальсификации биометрических признаков.

В качестве биометрических признаков, которые могут быть использованы для идентификации потенциального пользователя, используются:

-узор радужной оболочки и сетчатки глаз;

-отпечатки пальцев;

-геометрическая форма руки;

-форма и размеры лица;

-особенности голоса;

-биомеханические характеристики рукописной подписи;

-биомеханические характеристики "клавиатурного почерка".

Первоначально биометрические признаки пользователя регистрируются системой как его контрольный "образ". Этот образ хранится в электронной форме и используется для сравнения с предъявляемыми признаками каждого, кто выдает себя за пользователя.

Применение средств гарантированного удаления информации с физических носителей.

Метод основан на физических свойствах магнитных носителей информации и применяется в полном объеме для быстрого и эффективного удаления с них информации, не составляющей государственную тайну.

Применение средств защиты информации от утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН).

Метод заключается в локализации паразитных излучений и наводок от средств обработки информации или в создании помех, препятствующих перехвату паразитных информативных сигналов. На практике применяются пассивные и активные методы и средства ЗИ от ПЭМИН.

К пассивным относятся:

-инженерно-конструкторские методы;

-экранирование устройств и кабелей;

-установка фильтров на сигнальные и силовые цепи;

-заземление устройств.

К активным средствам относятся:

-средства обнаружения и измерения ПЭМИН;

-генераторы шума;

-устройства гальванической развязки цепей (медиа-конверторы), как правило, представляющие собой преобразователи “Ethernet-оптоволокно- Ethernet”.

Наши рекомендации