Программно-аппаратные средства обеспечения безопасности информационных сетей
Как указывалось выше, система защиты информации – это комплекс мер, а также соответствующих им мероприятий, сил, средств и методов. Программно-аппаратный компонент системы защиты информации предназначен для защиты данных, обрабатываемых и хранящихся в компьютерах и серверах локальных сетей в различных информационных системах. Как правило, он реализует тесно взаимосвязанные процессы:
- управление доступом и управление политикой безопасности,
- идентификацию и аутентификацию пользователей,
- регистрацию событий и аудит,
- криптографическую защиту,
- сетевую защиту,
- антивирусную защиту,
- обнаружение атак программными средствами (IDS – Intrusion Detection Systems).
Средства управления доступом позволяют разграничивать и контролировать выполняемые над информацией действия, которые совершаются пользователями (ограничение доступа на вход в систему, разграничение доступа авторизованных пользователей, запрет доступа неавторизованных пользователей и т.п.). То есть речь идет о логическом управлении доступом, который реализуется программными средствами. Контроль прав доступа осуществляется посредством различных компонентов программной среды – ядром сетевой операционной системы, системой управления базами данных, дополнительным программным обеспечением и т.д. Идентификация предназначена для того, чтобы пользователь мог идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в систему, действительно тот, за кого себя выдает. Регистрация событий (протоколирование, журналирование) – это процесс сбора и накопления информации о событиях, происходящих в информационной системе. Возможные события принято делить на две группы:
- внешние события, вызванные действиями как авторизованных, так и неавторизованных пользователей;
- внутренние события, вызванные действиями пользователей и администраторов. Аудитом называется процедура анализа накопленной в результате журналирования информации. Этот анализ может осуществляться оперативно, почти в реальном времени, или периодически.
Методы криптографии – одно из наиболее мощных средств обеспечения конфиденциальности и целостности информации. Как уже упоминалось, основной элемент криптографии – шифрование. Сетевая защита, как правило, обеспечивается установкой на границе сетей так называемых экранов. Экран – это средство разграничения доступа пользователей из одного сетевого множества к ресурсам, принадлежащим другому сетевому множеству. Функция экрана заключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны, устанавливаемые для защиты локальной сети организации, имеющей выход в публичную сеть (такую как Интернет). Помимо прочего, сегодня практически все производители программно-аппаратных средств обеспечения безопасности информации включают поддержку антивирусной защиты и систем обнаружения вторжений, обеспечивающих защиту от вредоносного ПО и атак. Для примера приведем аппаратные межсетевые экраны D—Link серии DFL, обладающие функцией проверки трафика на наличие вредоносных программ. В частности, даже «младшая» модель DFL-260/260E позволяет сканировать на наличие вредоносного ПО файлы любого размера, используя технологию потокового сканирования. Данный метод сканирования увеличивает производительность проверки, сокращая так называемые «узкие места» в сети. Межсетевые экраны серии DFL используют сигнатуры вирусов от антивирусной компании «Лаборатории Касперского» (Kaspersky Labs). При этом существует возможность обновления сигнатур. В результате вирусы и вредоносные программы могут быть эффективно заблокированы до того, как они достигнут устройств локальной сети. Кроме того, для эффективной борьбы с вредоносным трафиком и для того, чтобы минимизировать влияние аварийной ситуации на всю сеть, межсетевые экраны компании D-Link (DFL-800/860/860E/1600/1660/2500/2560) поддерживают специальную функцию – ZoneDefense, представляющую собой механизм, позволяющий им работать с коммутаторами локальных сетей D-Link и обеспечивающий активную сетевую безопасность. Функция ZoneDefense автоматически изолирует инфицированные компьютеры локальной сети и предотвращает распространение ими вредоносного трафика. Более подробно аппаратные межсетевые экраны компании D-Link и о технологии ZoneDefense мы рассмотрим в следующих главах. Рис. 2.11. DFL-260E – межсетевой экран NetDefend для сетей SOHO
Аппаратная защита — что это. Где применяют аппаратные СЗИ
Аппаратные, или технические, средства защиты информации (АСЗИ) отвечают за целостность и сохранность ценных сведений и информационных систем. Как следует из названия, эти инструменты применяются для защиты на аппаратном уровне. АСЗИ представляют собой различные устройства, главное назначение которых состоит в создании препятствий, запрещающих лицам без специального разрешения получать доступ к информации (в т. ч. при помощи маскировки). В основном организации применяют следующие устройства:
- модули доверенного запуска ПК;
- особые регистры, позволяющие максимально обезопасить защитные реквизиты (уровни секретности, пин-коды, пароли и т. д.);
- сканирующие радиоприемники;
- источники шума;
- генераторы кодов, обеспечивающие автосоздание паролей и кодов;
- сетевые фильтры;
- устройства, распознающие биометрические данные пользователей.
Также к АСЗИ относятся криптографические средства, производящие шифровку и дешифровку данных.
Когда и где нужна аппаратная защита
Назначение аппаратных СЗИ состоит в поиске потенциальных утечек данных и выявлении каналов, по которым сведения перетекают к посторонним лицам. Средства защиты определяют местоположение опасных точек, вовремя пресекают неразрешенные действия и ограничивают доступ к источникам секретных сведений. Также АСЗИ регулярно сканируют систему на предмет наличия следов промышленного шпионажа.
Виды аппаратных средств защиты информации
Ориентируясь на функционал аппаратных СЗИ, их подразделяют на средства, которые:
- обнаруживают опасность;
- тщательно сканируют и измеряют найденное средство шпионажа;
- противодействуют деятельности злоумышленников в активном и пассивном режимах.
Для непрофессионалов подойдут общераспространенные средства защиты информации. Они позволяют получить предварительную оценку состояния ИТ-системы. А с помощью профессиональных комплексов возможно обнаружить и измерить все параметры средств промышленного шпионажа. Из-за огромного количества каналов-проводников секретных данных приходится разрабатывать многофункциональные СЗИ. Но, т. к. разнообразные аппаратные средства сложны и дороги, не все организации могут их купить и обслуживать. Поэтому обычно подобные комплексы находятся в «арсенале» соответствующих ИТ-компаний и служб безопасности. Но бизнес-предприятия должны самостоятельно и своевременно проводить профилактику и обнаруживать слабые места в инфраструктуре, а также время от времени (или при обнаружении потенциальных опасностей) заказывать масштабную проверку.
Отдельно стоит сказать об аппаратных средствах защиты ПК и компонентах коммуникационных систем (ЦПУ, пользовательских терминалах, ОЗУ, внешних носителях информации). Они предотвращают утечку информации, запрашивая идентификационные данные устройства, которое выполняет подключение. Конечно, этого недостаточно, поэтому в связке с идентификацией терминала идет аутентификация пользователя, исполняемая различными средствами.
Примеры аппаратных СЗИ
Аппаратные СЗИ применяются для защиты:
- От несанкционированного доступа. Электронные smart-карты позволяют юзеру пройти аутентификацию внутри сети без использования пароля. USB-идентификаторы дают юзерам возможность авторизоваться, организовать удаленный доступ, защитить почту, сохранить личные данные. Электронные замки не допускают посторонних лиц к информации.
- От утечки сведений, спровоцированной ПЭМИН — побочным электромагнитным излучением и наводкой на каналы связи. Чаще других такие действия применяются к проводным каналам, например, кабелям VGA, ведущих от системного блока к монитору. От них идет сильное электромагнитное излучение, что позволяет злоумышленникам считывать данные — картинку, идущую на экран. Как средство аппаратной защиты применяют генераторы белого шума.
- От утечки речевой информации. Применяют пассивные и активные АСЗИ. Первые выявляют и локализуют опасные места. Вторые всеми способами препятствуют утечке речевой информации.
- Телефонных линий. Используются средства, искажающие и шифрующие сигнал.
- Одиночного компьютера. Для защиты отдельных рабочих мест применяют встраиваемые модули для шифрования данных и средства, с помощью которых можно уничтожить файлы на носителях различными способами (от механических и физических до химических и радиационных).
Еще один метод, позволяющий избежать утечки ценных сведений — использование специальных устройств, которые моментально уничтожают информацию на физических носителях в ту же секунду, когда злоумышленники попытаются похитить ее. Ликвидировать можно все либо выборочные данные. Этот способ высокоэффективен, но информация ликвидируется полностью и без возможности восстановления. Поэтому организации необходимо подстраховаться и наладить резервное копирование.
Программно-аппаратная защита 1С
В заключение несколько слов о защите продукта 1С. По умолчанию каждое приобретенное пользователем прикладное решение сопровождается программной защитой — лицензией (конверт с кодами). Ее можно купить как у фирм-партнеров, так и на официальном сайте. Аппаратная защита представлена в виде мини-флешки. Главное отличие этих двух СЗИ в том, что программное решение предназначено для соединения, а аппаратное — для рабочего места. Поясним на примере. Организация купила аппаратное СЗИ в виде USB-ключа на 10 рабочих мест. Необходимо на одном ПК войти сразу в 2 продукта: «1С: Зарплата и управление персоналом» и «1С: Бухгалтерия». Аппаратная защита позволяет использовать только 1 лицензию, а 9 останется для иных случаев. Если же применить программное СЗИ, то истратится 2 лицензии — по одной на каждый открытый продукт, и останется 8.
При этом у программной защиты 1С по сравнению с аппаратными СЗИ есть свои преимущества:
- Стоимость снижена на 10—20%.
- Более низкий расход ресурсов ПК.
- При увеличении количества рабочих мест докупается еще конверт с достаточным набором кодов.
- Остаются свободными USB-порты.
- Легкое распределение лицензий между отдаленными офисами. USB-ключи так разделить не получится.
- Программные средства всегда можно обменять на аппаратные, доплатив определенную сумму, а наоборот сделать нельзя.
Но программная лицензия может «слететь» из-за смены конфигурации на ПК или смены динамических параметров виртуальных серверов. Для предотвращения ситуации необходимо использовать сервер с фиксированными настройками. При открытии нескольких прикладных решений используется большее количество программных лицензий (пример приведен выше), которые, к тому же, сложно переносить на другой компьютер. Аппаратная защита в этом плане более удобна — достаточно переставить ключ на другой ПК и дальше использовать его. Если поменять компоненты компьютера, то лицензия не «слетит». С USB-ключом возможно работать сразу в нескольких базах данных.
Заключение
Если вы не знаете, какие средства аппаратной защиты необходимы для безопасности вашей инфраструктуры, обратитесь в компанию «АйТи Спектр». Специалисты проведут полное обследуют и посоветуют, какие СЗИ можно установить в организации. Также дадут рекомендации по проведению регулярных проверок по выявлению и устранению потенциальных опасных и слабых мест инфраструктуры и окажут исчерпывающие меры ИТ-поддержки.
Насколько публикация полезна?
Нажмите на звезду, чтобы оценить!