Программно-техническая и физическая защита от несанкционированных воздействий
Антивирусные программно-технические средства
Рис. 8.1 HASP
В качестве технического средства защиты применяют различные электронные ключи, например, HASP (Hardware Against Software Piracy), представляющие аппаратно-программную систему защиты программ и данных от нелегального использования и пиратского тиражирования (рис. 8.1). Электронные ключи Hardlock используются для защиты программ и файлов данных. В состав системы входит собственно Hardlock, криптокарта для программирования ключей и программное обеспечение для создания защиты приложений и связанных с ними файлов данных.
К основным программно-техническим мерам, применение которых позволяет решать проблемы обеспечения безопасности ИР, относятся:
● аутентификация пользователя и установление его идентичности;
● управление доступом к БД;
● поддержание целостности данных;
● защита коммуникаций между клиентом и сервером;
● отражение угроз, специфичных для СУБД и др.
Поддержание целостности данных подразумевает наличие не только программно-аппаратных средств поддержки их в рабочем состоянии, но и мероприятия по защите и архивированию ИР, дублированию их и т.п. Наибольшую опасность для информационных ресурсов (ИР), особенно организаций, представляет несанкционированное воздействие на структурированные данные – БД. В целях защиты информации в БД важнейшими являются следующие аспекты информационной безопасности (европейские критерии):
● условия доступа (возможность получить некоторую требуемую информационную услугу);
● целостность (непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения);
● конфиденциальность (защита от несанкционированного прочтения).
Под доступностью понимают обеспечение возможности доступа авторизованных в системе пользователей к информации в соответствии с принятой технологией.
Конфиденциальность – обеспечение пользователям доступа только к данным, для которых они имеют разрешение на доступ (синонимы – секретность, защищённость).
Целостность – обеспечение защиты от преднамеренного или непреднамеренного изменения информации или процессов её обработки.
Эти аспекты являются основополагающими для любого программно-технического обеспечения, предназначенного для создания условий безопасного функционирования данных в компьютерах и компьютерных информационных сетях.
Контроль доступа – это процесс защиты данных и программ от их использования объектами, не имеющими на это права.
Рис. 8.2 Турникет
Управление доступом служит для контроля входа/выхода работников и посетителей организации через автоматические проходные (турникеты – рис. 8.2, арочные металлодетекторы – рис. 8.3). Контроль их перемещения осуществляется с помощью систем видеонаблюдения. В управление доступом входят устройства и (или) системы ограждения для ограничения входа на территорию (охрана периметров). Используются также методы визуализации (предъявление вахтёру соответствующих документов) и автоматической идентификации входящих/выходящих работников и посетителей.
Арочные металлодетекторы способствуют выявлению несанкционированного вноса/выноса металлизированных предметов и маркированных документов.
Рис. 8.3 Арочный металлодетектор
Автоматизированные системы управления доступом позволяют работникам и посетителям, пользуясь персональными или разовыми электронными пропусками, проходить через проходную здания организации, заходить в разрешённые помещения и подразделения. Они используют контактный или бесконтактный способ идентификации.
К мерам, обеспечивающим сохранность традиционных и нетрадиционных носителей информации и, как следствие, самой информации относят технологии штрихового кодирования. Эта известная технология широко используется при маркировке различных товаров, в том числе документов, книг и журналов.
В организациях применяют удостоверения, пропуска, читательские билеты и т.п., в том числе в виде пластиковых карт (рис. 8.4) или ламинированных карточек (Ламинирование - это плёночное покрытие документов, защищающее их от лёгких механических повреждений и загрязнения), содержащих идентифицирующие пользователей штрих-коды.
Рис. 8.4 Пластиковая карта
Для проверки штрих-кодов используют сканирующие устройства считывания бар-кодов – сканеры. Они преобразуют считанное графическое изображение штрихов в цифровой код. Кроме удобства, штрих-коды обладают и отрицательными качествами: дороговизна используемой технологии, расходных материалов и специальных программно-технических средств; отсутствие механизмов полной защиты документов от стирания, пропажи и др.
За рубежом вместо штрих-кодов и магнитных полос используют радиоидентификаторы RFID (англ. “Radiofrequency Identification”).
С целью предоставления возможности людям проходить в соответствующие здания и помещения, а также пользоваться информацией применяют контактные и бесконтактные пластиковые и иные магнитные и электронные карты памяти, а также биометрические системы.
Первые в мире пластиковые карточки со встроенными в них микросхемами появились в 1976 году. Они представляют персональное средство аутентификации и хранения данных, аппаратно поддерживают работу с цифровыми технологиями, включая электронную цифровую подпись. Стандартно карта имеет размер 84х54 мм. В неё можно встроить магнитную полосу, микросхему (чип), штрих-код, голограмму, необходимые для автоматизации процессов идентификации пользователей и контроля их доступа на объекты.
Пластиковые карточки используются как бэйджи, пропуска (рис. 8.4), удостоверения, клубные, банковские, дисконтные, телефонные карты, визитки, календари, сувенирные, презентационные карточки и др. На них можно нанести фотографию, текст, рисунок, фирменный знак (логотип), печать, штрих-код, схему (например, расположения организации), номер и другие данные.
Для работы с ними используют специальные устройства, позволяющие надёжно идентифицировать личность – считыватели смарт-карт. Считыватели обеспечивают проверку идентификационного кода и передачу его в контроллер. Они могут фиксировать время прохода или открывания дверей и др.
В качестве идентификаторов широко используются малогабаритные пульты-ключи типа Touch Memory. Эти простейшие контактные устройства обладают высокой надёжностью.
Устройства Touch Memory – специальная малогабаритная (размером с батарейку в виде таблетки) электронная карта в корпусе из нержавеющей стали. Внутри неё расположена микросхема с электронной памятью для установления уникального номера длиной в 48 бит, а также хранения Ф.И.О. пользователя и другой дополнительной информации. Такую карту можно носить на брелке с ключами (рис. 8.5) или разместить на пластиковой карточке сотрудника. Подобные устройства используются в домофонах для осуществления беспрепятственного открытия двери подъезда или помещения. В качестве бесконтактных идентификаторов используют устройства “Proximity”.
Рис. 8.5 Устройство Touch Memory
Биометрические методы защиты
Наиболее чётко обеспечивают защиту средства идентификации личности, использующие биометрические системы. Понятие “биометрия” определяет раздел биологии, занимающийся количественными биологическими экспериментами с привлечением методов математической статистики. Это научное направление появилось в конце XIX века.
Биометрия - это совокупность автоматизированных методов и средств идентификации человека, основанных на его физиологических или поведенческих характеристиках. |
Биометрические системы позволяют идентифицировать человека по присущим ему специфическим признакам, то есть по его статическим (отпечаткам пальцев, роговице глаза, форме руки и лица, генетическому коду, запаху и др.) и динамическим (голосу, почерку, поведению и др.) характеристикам. Уникальные биологические, физиологические и поведенческие характеристики индивидуальны для каждого человека. Они называются биологическим кодом человека.
Первые биометрические системы использовали рисунок (отпечаток) пальца. Примерно одну тысячу лет до н.э. в Китае и Вавилоне знали об уникальности отпечатков пальцев. Их ставили под юридическими документами. Однако дактилоскопию стали применять в Англии с 1897 года, а в США – с 1903 года. Пример современного устройства, считывающего отпечатки пальцев, представлен на рис. 8.6.
Рис. 8.6 Современное считывающее устройство
Преимущество биологических систем идентификации, по сравнению с традиционными (например, PIN-кодовыми, доступом по паролю), заключается в идентификации не внешних предметов, принадлежащих человеку, а самого человека. Анализируемые характеристики человека невозможно утерять, передать, забыть и крайне сложно подделать. Они практически не подвержены износу и не требуют замены или восстановления. Поэтому в различных странах (в том числе России) включают биометрические признаки в загранпаспорта и другие идентифицирующие личности документы.
С помощью биометрических систем осуществляются:
1) ограничение доступа к информации и обеспечение персональной ответственности за её сохранность;
2) обеспечение допуска сертифицированных специалистов;
3) предотвращение проникновения злоумышленников на охраняемые территории и в помещения вследствие подделки и (или) кражи документов (карт, паролей);
4) организация учёта доступа и посещаемости сотрудников, а также решается ряд других проблем.
Одним из наиболее надёжных способов считается идентификация глаз человека (рис. 8.7): идентификация рисунка радужной оболочки глаза или сканирование глазного дна (сетчатки глаза). Это связано с отличным соотношением точности идентификации и простотой использования оборудования. Изображение радужной оболочки оцифровывается и сохраняется в системе в виде кода. Код, полученный в результате считывания биометрических параметров человека, сравнивается с зарегистрированным в системе. При их совпадении система снимает блокировку доступа. Время сканирования не превышает двух секунд.
Рис. 8.7 Идентификация глаз человека
К новым биометрическим технологиям следует отнести трёхмерную идентификацию личности, использующую трёхмерные сканеры идентификации личности с параллаксным методом регистрации образов объектов и телевизионные системы регистрации изображений со сверхбольшим угловым полем зрения. Предполагается, что подобные системы будут использоваться для идентификации личностей, трёхмерные образы которых войдут в состав удостоверений личности и других документов.
Сетевые методы защиты
Для защиты информации в информационных компьютерных сетях используют специальные программные, технические и программно-технические средства. С целью защиты сетей и контроля доступа в них используют:
● фильтры пакетов, запрещающие установление соединений, пересекающих границы защищаемой сети;
● фильтрующие маршрутизаторы, реализующие алгоритмы анализа адресов отправления и назначения пакетов в сети;
● шлюзы прикладных программ, проверяющие права доступа к программам.
В качестве устройства,препятствующего получению злоумышленником доступа к информации, используютFirewalls (англ. “огненная стена” или “защитный барьер” – брандмауэр). Такое устройство располагают между внутренней локальной сетью организации и Интернетом. Оно ограничивает трафик, пресекает попытки несанкционированного доступа к внутренним ресурсам организации. Это внешняя защита. Современные брандмауэры могут “отсекать” от пользователей корпоративных сетей незаконную и нежелательную для них корреспонденцию, передаваемую по электронной почте. При этом ограничивается возможность получения избыточной информации и так называемого “мусора” (спама).
Другим техническим устройством эффективной защиты в компьютерных сетях является маршрутизатор.Он осуществляет фильтрацию пакетов передаваемых данных. В результате появляется возможность запретить доступ некоторым пользователям к определённому “хосту”, программно осуществлять детальный контроль адресов отправителей и получателей. Так же можно ограничить доступ всем или определённым категориям пользователей к различным серверам, например, ведущим распространение противоправной или антисоциальной информации (пропаганда секса, насилия и т.п.).
Защита может осуществляться не только в глобальной сети или локальной сети организации, но и отдельных компьютеров. Для этой цели создаются специальные программно-аппаратные комплексы.
Для комплексной защиты информации, объектов и людей на различных предприятиях рекомендуется разрабатывать и внедрять соответствующие мероприятия.