Современные средства физической, аппаратной и программной защиты информации
Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одна из характеристик информационной системы.
Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль (например, банковские информационные системы).
Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на систему.
Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.
Среди угроз безопасности информации следует выделять как один из видов угрозы случайные, или непреднамеренные. Их источником могут быть выход из строя аппаратных средств, неправильные действия работников информационной системы или ее пользователей, непреднамеренные ошибки в программном обеспечении ит.д. Такие угрозы тоже следует держать во внимании, так как ущерб от них может быть значительным. Умышленные угрозы, которые в отличие от случайных преследуют цель нанесения ущерба управляемой системе или пользователям.
Защита от умышленных угроз -- это своего рода соревнование обороны и нападения: кто больше знает, предусматривает действенные меры, тот и выигрывает. Многочисленные публикации последних лет показывают, что злоупотребления информацией, циркулирующей в ИС или передаваемой по каналам связи, совершенствовались не менее интенсивно, чем меры защиты от них. В настоящее время для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, включающего комплекс взаимосвязанных мер (использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов, морально-этических мер противодействия и т. д.).
Средства защиты информации делятся на:
1. Физические — различные инженерные средства и сооружения, затрудняющие или исключающие физическое проникновение (или доступ) правонарушителей на объекты защиты и к материальным носителям конфиденциальной информации:
2. Аппаратные — механические, электрические, электронные и другие устройства, предназначенные для защиты информации от утечки, разглашения, модификации, уничтожения, а также противодействия средствам технической разведки:
3. Программные — специальные программы для ЭВМ, реализующие функции защиты информации от несанкционированного доступа, ознакомления, копирования, модификации, уничтожения и блокирования.
4. Криптографические — технические и программные средства шифрования данных, основанные на использовании разнообразных математических и алгоритмических методов.
5. Комбинированные — совокупная реализация аппаратных и программных средств и криптографических методов защиты информации.
Для осуществления защиты информации необходимо использование различных методов и средств.
Рассмотрим средства защиты информации.
Средства защиты информации -- это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:
· Аппаратные (технические) средства.
Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки.
Преимущества аппаратных средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны -- недостаточная гибкость, относительно большие объем и масса, высокая стоимость.
· Программные средства.
Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др.
Программные средства являются наиболее распространенными средствами защиты информации (особенно это касается корпоративных сетей).
Их можно классифицировать следующим образом:
· Встроенные средства защиты информации в сетевых ОС.
При современном развитии информационных технологий и растущем уровне угроз безопасности информации, обязательным элементом операционной системы является подсистема обеспечения безопасности, в зависимости от операционной системы, уровень сложности, надежности и
эффективности этих подсистем может сильно меняться, но, тем не менее, они почти всегда присутствуют.
Приведем несколько примеров таких средств:
В Linux системах стандартом де-факто является система межсетевого экранирования netfilter/iptables, дающая мощные возможности по управлению сетевым трафиком. Так же существует механизм chroot, который изменяет корневой каталог для программы или пользователя и позволяет запереть их там, таким образом, что остальная файловая система будет для них не доступна. Сhroot может использоваться как упреждающий способ защиты от бреши в безопасности, предотвращая возможного атакующего от нанесения любых повреждений или зондирования системы с помощью скомпрометированной программы.
В Windows системах, также имеются встроенные СЗИ, например межсетевой экран — Брандмауэр Windows, или Защитник Windows — программный продукт компании Microsoft, созданный для того, чтобы удалять, помещать в карантин или предотвращать появление
spyware-модулей в операционных системах Microsoft Windows.
· Специализированные программные средства защиты информации.
Специализированные программные средства защиты информации от
несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС.
Из наиболее распространенных решений следует отметить следующие средства защиты информации:
· Программы шифрования и криптографические системы защиты информации.
Шифрование представляет собой сокрытие информации от неавторизованных лиц с предоставлением в это же время авторизованным пользователям доступа к ней. Пользователи называются авторизованными, если у них есть соответствующий ключ для дешифрования информации.
Еще одной важной концепцией, является то, что цель любой системы шифрования максимальное усложнение получения доступа к информации неавторизованными лицами, даже если у них есть зашифрованный текст и известен алгоритм, использованный для шифрования. Пока неавторизованный пользователь не обладает ключом, секретность и целостность информации не нарушается.
· Firewalls — брандмауэры. Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода — это способ маскарада (masquerading),
когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.
· Proxy-servers (proxy — доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью — маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях — например, на уровне приложения (вирусы, код Javaи JavaScript).
· VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Виртуальные частные сети обладают несколькими характеристиками: трафик шифруется для обеспечения защиты от прослушивания, осуществляется аутентификация удаленного сайта, виртуальные частные сети обеспечивают поддержку множества протоколов (используемые технологии: PPTP, PPPoE, IPSec.), соединение обеспечивает связь только между двумя конкретными абонентами.
Системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS). Обнаружение вторжений — это активный процесс, при котором происходит обнаружение злоумышленника при его попытках проникнуть в систему. При обнаружении несанкционированных действий такая система выдаст сигнал тревоги о попытке проникновения. Обнаружение вторжений помогает при превентивной идентификации активных угроз посредством оповещений и предупреждений о том, что злоумышленник осуществляет сбор информации, необходимой для проведения атаки. Системы предотвращения вторжений помимо обнаружения запрещенных действий в сети могут также принимать активные меры по их предотвращению. Основными недостатками таких систем можно назвать невозможность обнаружить все атаки, осуществляемые на сеть и ложные срабатывания.
Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки -- ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).
· Физические средства.
Физические средства защиты информации — это различные устройства и сооружения, а также мероприятия, которые затрудняют или делают невозможным проникновение потенциальных нарушителей в места, в которых можно иметь доступ к защищаемой информации. Например:
— замки (механические, электромеханические, электронные);
— пломбы;
— замки разового пользования;
— защитные липкие ленты;
— защитные и голографические этикетки;
— специальные защитные упаковки;
— электрические датчики разных типов;
— телевизионные системы охраны и контроля;
— лазерные системы;
— оптические и инфракрасные системы;
— устройства идентификации;
— пластиковые идентификационные карточки;
— ограждения;
— средства обнаружения нарушителя или нарушающего воздействия;
— специальные средства для транспортировки и хранения физических носителей информации (кассеты стриммеров, магнитные и оптические диски и т. п.) множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.
Физическая безопасность помещения — важнейшая составляющая системы защиты информации. Определение мер физической безопасности включает управление физическим доступом к подразделениям, а также к секретным отделам и помещениям. Например, центр регистрации и обработки данных должен иметь собственную систему контроля физического доступа. Как минимум, этот доступ должен быть строго ограничен. При определении мер физической безопасности необходимо выявить следующее:
§ тип физической защиты здания, офисных помещений, документов на бумажных носителях и центра обработки данных;
§ наличие ключей у персонала;
§ засекреченные помещения здания или отдела (исключая центр обработки данных).
Чаще всего применяются такие меры:
-физическая изоляция сооружений, в которых устанавливается аппаратура автоматизированной системы, от других сооружений,
-ограждение территории вычислительных центров заборами на таких расстояниях, которые достаточны для исключения эффективной регистрации электромагнитных излучений, и организации систематического контроля этих территорий,
-организация контрольно-пропускных пунктов у входов в помещения вычислительных центров или оборудованных входных дверей специальными замками, позволяющими регулировать доступ в помещения,
-организация системы охранной сигнализации.
Объектами физической безопасности также являются источники энергии, системы контроля состояния окружающей среды и системы противопожарной безопасности, используемые в центре обработки данных.
· Смешанные аппаратно-программные средства.
Они реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства. Зачастую в программно-аппаратных средствах реализуется целый комплекс мер по защите информации например, это может быть крипто-маршрутизатор с функциями межсетевого экрана.
· Организационные средства.
Эти средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия).
Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки -- высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.
Проектная часть
2. 1 Выбор модели защиты информации в локальном офисном компьютере
Модели защиты информации исторически возникли из работ по теории защиты ОС. Первая попытка использования модели защиты была предпринята при разработке защищенной ОС ADEPT-50 по заказу МО США. Эта модель состоит из множества объектов защиты: пользователи, задания, терминалы и файлы, которым задаются такие характеристики, как уровень конфиденциальности, категория прикладной области (из дискретного набора рубрик, описывающих прикладную область), полномочия и режим (вид) доступа.
Существует множество моделей защиты информации. Но все они являются модификациями трёх основных: дискреционной, мандатной и ролевой.
Дискреционная модель обеспечивает произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа.
В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей — субъектов, которые осуществляют доступ к информации, пассивных сущностей — объектов, содержащих защищаемую информацию и конечного множества прав доступа, означающих полномочия на выполнение соответствующих действий. Принято считать, что все субъекты одновременно являются и объектами (обратное неверно). Поведение системы характеризуется текущим состоянием, текущее состояние характеризуется тройкой множеств: субъектов, объектов и матрицы прав доступа, описывающей текущие права доступа субъектов к объектам.
Требования к дискреционной модели управления доступом.
Следуя формализованным требованиям к системе защиты информации, основой реализации разграничительной политики доступа к ресурсам при обработке сведений конфиденциального характера является дискреционный механизм управления доступом. При этом к нему предъявляются следующие требования:
1. Система защиты должна контролировать доступ наименованных субъектов (пользователей) к наименованным объектам файлам, программам, томам и т. д.
1. Для каждой пары (субъект - объект) в средстве вычислительной техники должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), т. е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту);
2. Система защиты должна содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа;
3. Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов);
4. Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения правил или прав разграничения доступа, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов;
5. Право изменять право разграничения доступа должно предоставляться выделенным субъектам (администрации, службе безопасности и т. д.);
6. Должны быть предусмотрены средства управления, ограничивающие распространения прав на доступ.
Мандатная модель управления доступом основана на правилах секретного документооборота, принятых в государственных учреждениях многих стран. Всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, назначается специальная метка, получившая название уровень безопасности. Все уровни безопасности упорядочиваются по доминированию. Контроль доступа основывается на двух правилах:
1. Субъект имеет право читать только те документы, уровень безопасности которых ниже или равен уровню субъекта.
2. Субъект имеет право заносить информацию только в документы, уровень которых выше или равен уровню субъекта.
Ролевая модель представляет собой существенно усовершенствованную дискреционную модель, однако её нельзя отнести ни к дискреционным, ни к мандатным моделям, потому что управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователям и их активацию во время сеансов. В ролевой модели классическое понятие субъект замещается понятиями пользователь и роль.
Дискреционная модель защиты более гибкая, но не надежная. Мандатная модель более надежная, пресекает всякий волюнтаризм со стороны пользователей, но для описания с помощью этой модели нестационарной системы потребуется много ресурсов. Зачастую такая модель используется в военных системах.
Наибольшее распространение получила многоуровневая модель защиты, разработанная Бэллом и Ла Падулом (Bell, La Padula) в фирме Mitre. В этой модели вводятся понятия уровня и категории. Каждому субъекту приписывается уровень допуска (форма допуска), а каждому объекту — уровень конфиденциальности (гриф секретности). В военной области известны такие уровни под грифами «сов. секретно», «секретно», «конфиденциально» (для служебного пользования) и «несекретно». Субъект обычно представляет процесс, выполняющийся по запросу пользователя и имеющий тот же уровень допуска, что и пользователь. Объектами могут быть области памяти, переменные программ, файлы, устройства ввода-вывода, пользователи и другие элементы системы, содержащие информацию. Каждому субъекту и объекту приписывается также множество категорий в виде прикладных областей, например «Ядерное вооружение» или «НАТО». Тогда уровень безопасности представляется в виде сочетания: уровень конфиденциальности, множество категорий.
Один уровень безопасности доминирует над другим тогда и только тогда, когда его уровень конфиденциальности или уровень допуска больше или равен второму, и его множество категорий включает соответствующее множество второго. Уровни допуска и конфиденциальности являются упорядоченными, в то время как уровни безопасности упорядочены частично, так что некоторые субъекты и объекты могут быть несравнимы.
Доступ к объекту может рассматриваться либо как чтение (получение из него информации), либо как изменение (запись в него информации). Тогда виды доступа определяются любыми возможными сочетаниями таких операций, т. е.
-ни чтение, ни изменение;
-только чтение;
-только изменение;
-чтение и изменение.
Модель рассматривает состояния системы безопасности, которые определяются:
-текущим множеством доступов, представляемых в виде триад (субъект, объект, вид доступа);
-матрицей доступа;
-уровнем безопасности каждого объекта;
-максимальным и текущим уровнями безопасности каждого субъекта.
Любой запрос вызывает изменение состояния системы. Запросы могут быть: на доступ к объектам, на изменение уровня безопасности или матрицы доступа, на создание или удаление объектов. Реакция системы на запросы называется решением. При данном запросе и текущем состоянии решение и новое состояние определяются правилами. (Здесь правила рассматриваются не как правила доступа в дискретной модели, а как правила оценки) Эти правила поведения системы предписывают, как будет обрабатываться каждый вид запроса. Доказательство безопасности системы включает доказательство того, что каждое правило выполняется безопасным образом. Тогда, если состояние системы безопасно, то любой новый запрос вызывает переход системы в новое безопасное состояние.
В отличие от дискретной модели безопасности модель Белла-ЛаПадула не определяет прав доступа для каждого пользователя. Это означает, что разные субъекты могут иметь один уровень полномочий. Данная модель служит основой для мандатной (полномочной) системы безопасности. При строгой реализации модели Белла-ЛаПадула возникает ряд проблем.
-Завышение уровня секретности -- вытекает из одноуровневой природы объектов. Это означает, что некоторой информации может быть дан уровень секретности выше того, что она заслуживает. Пример -- несекретный параграф в секретном сообщении.
-Запись вслепую -- это проблема вытекает из правила NRU. Рассмотрим ситуацию, когда субъект производит запись объекта с более высоким уровнем безопасности (эта операция не нарушает правила NWD). Однако после завершения операции субъект не может проверить правильность выполнения записи объекта с помощью контрольного чтения, так как это нарушает правило NRU.
-Удаленная запись -- это проблема вытекает из правила NWD. Рассмотрим ситуацию, когда некоторый субъект осуществляет операцию чтения в распределенной системе. Такая операция возможна при выполнении правила NRU, так что уровень безопасности субъекта больше уровня безопасности объекта. Однако в распределенных системах операция чтения инициируется запросом с одной компоненты на другую, что можно рассматривать в данном случае как посылку сообщения от субъекта с более высоким уровнем безопасности к объекту с более низким уровнем, что является нарушением правила NWD.
-Привилегированные субъекты -- эта проблема связана с работой системного администратора. Функционирование системного администратора подразумевает выполнение в системе таких критических операций, как добавление и удаление пользователей, восстановление системы после аварий, установка программного обеспечения, устранение ошибок и т. п. Очевидно, что такие операции не вписываются в модель, что означает невозможность осуществления правильного администрирования без нарушения правил данной модели. Поэтому правила модели Белла-ЛаПадула нужно рассматривать для множества всех субъектов, исключая привилегированные.
Для защиты информации в локальном офисном компьютере наиболее подходящей является модель безопасности с полным перекрытием, так как основное преимущество состоит в возможности численного получения оценки степени надежности системы защиты информации. Данный метод не специфицирует непосредственно модель системы защиты информации, а может использоваться только в сочетании с другими типами моделей систем защиты информации. данный подход полезен тем, что позволяет минимизировать накладные расходы (ресурсы вычислительной системы) для реализации заданного уровня безопасности.
В модели точно определяется каждая область, требующая защиты, оцениваются средства обеспечения безопасности с точки зрения их эффективности и их вклад в обеспечение безопасности во всей вычислительной системе. Считается, что несанкционированный доступ к каждому из набора защищаемых объектов О сопряжен с некоторой величиной ущерба для своего ущерба, и этот ущерб может (или не может) быть определен количественно.
С каждым объектом, требующим защиты связывается некоторое множество действий, к которым может прибегнуть злоумышленник для получения несанкционированного доступа к объекту. Можно попытаться перечислить все потенциальные злоумышленные действия по отношению ко всем объектам безопасности для формирования набора угроз Т, направленных на нарушение безопасности. Основной характеристикой набора угроз является вероятность проявления каждого из злоумышленных действий. В любой реальной системе эти вероятности можно вычислить с ограниченной степенью точности.
При анализе систем защиты информации модели данного типа позволяют оценить вероятность преодоления системы защиты и степень ущерба системе в случае преодоления системы защиты.
Физические меры защиты обеспечивают содержание компьютера и информации в нем в безопасности от физических опасностей, таких как: стихийные бедствия (пожар, наводнение, и землетрясение), порча источников напряжения, порча и кража физических носителей информации (жесткий диск и пр.), кража компьютера и многое другое. Меры физической безопасности определяют, каким будет окружение компьютера, вводимые данные, и результаты обработки информации.
Наряду с возможностью удалённого НСД, необходимо рассматривать ещё и физический доступ к определённым компьютерам сети. Во многих случаях эта задача решается системами аудио- и видеонаблюдения, сигнализациями в помещениях, а также правилами допуска посторонних лиц, за соблюдением которых строго следит служба безопасности и сами сотрудники.
Чтобы избежать вышеперечисленных угроз существуют организационные и организационно-технические меры защиты информации в системах обработки данных офисного компьютера.
Организационные меры предусматривают:
· Ограничение доступа в помещения, в которых происходит обработка конфиденциальной информации.
· Допуск к решению задач на ЭВМ по обработке секретной,
конфиденциальной информации проверенных должностных лиц, определение порядка проведения работ на ЭВМ.
· Хранение магнитных носителей в тщательно закрытых прочных шкафах, сейфах.
· Назначение одной или нескольких ЭВМ для обработки ценной информации и дальнейшая работа только на этих ЭВМ.
· Установка дисплея, клавиатуры и принтера таким образом, чтобы
исключить просмотр посторонними лицами содержания обрабатываемой информации.
· Постоянное наблюдение за работой принтера и других устройств вывода на материальных носителях ценной информации.
· Уничтожение красящих лент или иных материалов, содержащих фрагменты ценной информации.
· Запрещение ведения переговоров о непосредственном содержании
конфиденциальной информации лицам, занятым ее обработкой.
Организационно-технические меры предполагают:
· Ограничение доступа внутрь корпуса ЭВМ путем установления
механических запорных устройств.
· Уничтожение всей информации на винчестере ЭВМ при ее отправке в ремонт с использованием средств низкоуровневого форматирования.
· Организацию питания ЭВМ от отдельного источника питания или от общей (городской) электросети через стабилизатор напряжения (сетевой фильтр) или мотор-генератор.
· Использование для отображения информации жидкокристаллических или плазменных дисплеев, а для печати — струйных или лазерных принтеров.
· Размещение дисплея, системного блока, клавиатуры и принтера на
расстоянии не менее 2,5−3,0 метров от устройств освещения, кондиционирования воздуха, связи (телефона), металлических труб, телевизионной и радиоаппаратуры, а также других ЭВМ, не использующихся для обработки конфиденциальной информации.
· Отключение ЭВМ от локальной сети или сети удаленного доступа при обработке на ней конфиденциальной информации, кроме случая передачи этой информации по сети.