Методы и средства защиты компьютерной информации
Методы и средства защиты ИС можно условно разделить на три больших группы
- организационно-технические;
- административно-правовые;
- программно-технические.
Методы и средства защиты ИС Организационно-технические подразумевают: создание на предприятии специальных помещений для размещения компьютеров с ценной информацией; выполнение работ по защите помещений от электромагнитного излучения с тем, чтобы исключить «съем» данных с мониторов и клавиатуры; организацию пропускного режима и видеонаблюдения; создание перечня объектов защиты и регламента доступа к ним; организацию контроля и регистрацию использования переносных носителей данных и мобильных телефонов и т.п. Создать эффективную систему безопасности только техническими средствами невозможно. Необходимо применять административно-правовые методы защиты информационных систем. Должен быть разработан набор внутрифирменных регламентирующих документов. Прежде всего — это положение о коммерческой тайне. В этом документе должны найти отражение следующие моменты:
- информация, являющаяся коммерческой тайной;
- технические носители, на которых размещаются данные, являющиеся коммерческой тайной;
- режим коммерческой тайны (порядок доступа, регистрация доступа, права доступа);
- ответственность за нарушение режима и разглашение коммерческой тайны;
- обязанности лиц, допущенных к коммерческой тайне и отвечающих за защиту коммерческой тайны.
Важно, чтобы в перечень конфиденциальной информации были включены сведения о структуре вычислительной сети, средствах защиты и их конфигурации. Должен быть разработан документ, регламентирующий работу пользователей информационной системы. Это может быть либо положение о защите информации (информационной безопасности), либо правила эксплуатации информационной системы предприятия. В этом документе должны быть изложены:
- порядок установки ПО на компьютеры;
- порядок подключения компьютеров к сети;
- правила доступа в Интернет;
- правила использования электронной почты;
- действия в случае нарушения режима информационной безопасности.
Отдельно или в составе этого документа необходимо разработать требования по безопасности к програ Программно-технические средства предназначены для предотвращения нарушения конфиденциальности и целостности данных, хранимых и обрабатываемых в информационной системе. Нарушение целостности – это несанкционированное внесение изменений в данные. Разрешение (санкционирование) доступа к данным осуществляется путем идентификации и аутентификации пользователя информационной системы. Идентификация пользователя – это присвоение ему уникального кода, аутентификация – установление подлинности субъекта. Каждый пользователь информационной системы должен иметь имя. Имя не является секретным. Секретной является информация, с помощью которой пользователь удостоверяет свою личность. Обычно это пароль, который пользователь хранит в голове или в своих секретных записях и вводит с клавиатуры. Для хранения пароля могут применяться специальные устройства: магнитные карты, чип карты, электронные ключи, брелки с USB- интерфейсом и т.д. Средства зашиты вычислительных сетей предназначены для борьбы с внешними и внутренними угрозами. Для отражения угроз такого рода используют межсетевые экраны или как их еще называют firewall или брандмауэр (brandmauer). Межсетевой экран – это программная или программно – аппаратная система защиты, обеспечивающая разделение сети на две части. Суть защиты – пропуск сетевых пакетов с данными из одной части сети в другую в соответствии с установленным набором правил. Межсетевые экраны могут устанавливаться внутри ЛВС предприятия для создания внутренних защищенных сегментов сети. Для защиты сети от внешних угроз межсетевой экран устанавливается на границе между ЛВС и глобальной сетью Интернет. Таким образом, с помощью брандмауэра можно запретить доступ из Интернет во внутреннюю сеть и разрешить доступ из внутренней сети в Интернет. Брандмауэр может быть установлен и на отдельный персональный компьютер или сервер с целью защиты их от несанкционированного доступа со стороны других компьютеров локальной сети или сети Интернет. В персональном брандмауэре устанавливаются параметры, регулирующие функционирование ПК в сети, например:
- какие программы имеют право на выход в сеть;
- правила пропуска пакетов из сети;
- список доверенных сетевых адресов.
В операционную систему Windows, начиная с ХР, встроен персональный брандмауэр, выполняющий вышеперечисленные функции. Будучи включенным брандмауэр блокирует доступ к компьютеру из сети. Но бывают ситуации, когда для некоторых программ необходимо предоставить возможность доступа к ним из сети, например, программа сетевого общения Skype. Как правило, межсетевые экраны включают в себя следующие компоненты: фильтрующий маршрутизатор, шлюз сетевого уровня, шлюз прикладного уровня. Фильтрующий маршрутизатор принимает решение о фильтрации пакетов с данными на основе сведений, содержащихся в IP-заголовке пакета: IP-адрес отправителя, IP-адрес получателя, порт отправителя, порт получателя. Тем самым можно запретить общение с нежелательными сервисами в Интернет. Так как кроме IP-заголовка маршрутизатор ничего не проверяет, то, изменив адрес в заголовке, злоумышленник может преодолеть этот барьер и проникнуть в сеть. Шлюз сетевого уровня выполняет преобразование внутренних IP-адресов в один внешний IP-адрес, через который и происходит обмен данными с внешней сетью. Внутренняя структура локальной сети, таким образом, скрыта от внешнего мира. При этом шлюз при установке связи проверяет допустимость связи клиента с запрашиваемым ресурсом во внешней сети. Однако, такой шлюз пропускает пакеты в обоих направлениях, не проверяя их содержимого. Шлюз прикладного уровня исключает прямое взаимодействие компьютера локальной сети и внешнего компьютера и дает возможность фильтрации протокола. Кроме этого шлюз предоставляет возможность регистрировать все попытки доступа извне в локальную сеть и предупреждать о возможных атаках на сеть. Внешний экран на основе специальных правил (списков доступа) не пропускает внешний трафик, приходящий с «запрещенных» адресов сети Интернет. В список «запрещенных» обычно включают адреса спамеров, порносайтов и т.п. В демилитаризованной зоне размещаются ресурсы, которые должны быть доступны из внешней сети, такие как WEB-сервер, почтовый сервер и т.п. Компьютеры, на которых расположены эти ресурсы имеют реальныеIP-адреса, т.е. они «видны» в сети Интернет и к ним может обратиться любой пользователь, но опасность входящего трафика значительно снижена. Схема взаимодействия внутренней и внешней сетей. Внутренний экран «маскирует» компьютеры ЛВС, используя механизм трансляции сетевых адресов. В ЛВС используются локальные IP- адреса, которые не могут применяться в глобальной сети Интернет. Эти адреса специально зарезервированы для локальных сетей. Экран осуществляет отображение пространства внутренних адресов на несколько реальных, имеющихся в распоряжении предприятия. Инициатором межсетевого обмена может выступать только компьютер ЛВС. Произвольный доступ из Интернет к любому компьютеру ЛВС невозможен. Дополнительно в межсетевом экране могут быть установлены правила, регулирующие права пользователей ЛВС на выход в Интернет.
3. Методы и средства защиты информации в компьютерных сетях
Накопленный опыт технологий защиты информации в компьютерных сетях показывает, что только комплексный подход к защите информации может обеспечить современные требования безопасности.
Комплексный подход подразумевает комплексное развитие всех методов и средств защиты.
Рассмотрим кратко основные методы и средства обеспечения безопасности информации в компьютерных сетях.
Методы защиты информации делятся:
- препятствия
- управление доступом
- маскировка
- регламентация
- принуждение
- побуждение
Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (компьютеру, сетевому оборудованию)
Управление доступом — метод защиты информации регулированием использования всех ресурсов системы. Управление доступом включает следующие функции защиты:
-идентификация пользователей, персонала и ресурсов системы, путем присвоения каждому объекту персонального идентификатора;
— опознавание объекта или субъекта по предъявляемому им идентификатору;
— проверка полномочий на запрашиваемые ресурсы;
— регистрация обращений к защищаемым ресурсам;
— реагирование при попытках несанкционированных действий
Маскировка — метод защиты информации с помощью ее криптографического закрытия (шифрования). В настоящее время этот метод является наиболее надежным.
Известны три основных алгоритма: алгоритм DES, современный алгоритм Clipper (Capston) и так называемая общественная инициатива — алгоритм PGP.
Алгоритм шифрования DES (Data Encryption Standard) был разработан в начале 70- х годов. Алгоритм шифрования был реализован в виде интегральной схемы с длиной ключа в 64 символа (56 символов используются непосредственно для алгоритма шифрования и 8 для обнаружения ошибок).
Расчет алгоритмов в то время показывал, что ключ шифрования может иметь 72 квадриллиона комбинаций. Алгоритм DES был принят в США в качестве федерального стандарта обработки информации в 1977 году, а в середине 80- х был утвержден как международный стандарт, который каждые пять лет проходит процедуру подтверждения. Для оценки уровня защиты информации аналитики приводят такие факт: современный компьютер стоимостью 1 млн долларов раскроет шифр за 7 часов, стоимостью 10 млн долларов — за 20 минут, 100 млн долларов — за 2 минуты. Агенство национальной безопасности США имеет такой компьютер.
Новый метод шифрования информации — технология Clipper — разработан агентсвом национальной безопасности США для защиты от прослушивания телефонных разговоров.
Для защиты данных этот метод носит название Capston. В основе метода положен принцип двух ключей- микросхем, обеспечивающие шифрование информации со скоростью до 1 гигабита в секунду. Пользователи получают ключи в двух пунктах, управляемых правительственными органами или частными концернами. Система ключей состоит из двух интегральных схем «Clipper chip» и «Capston chip» и алгоритма шифрования SKIPJACK. Алгоритм шифрования шифрует символьные блоки данных с помощью 80 — символьного ключа в 32 прохода. Он в 16 миллионов раз мощнее алгоритма DES и считается, только через несколько десятков лет компьютеры стоимостью 100 млн долларов смогут расшифровывать
информацию за 2 минуты. Для сети Интренет разработан специальный протокол шифрования SKIP (Simple Key management for Internet Protocol ), управляющий шифрованием потоков информации.
Отметим, что в настоящее время федеральные власти США запрещают экспорт протокола SKIP, поэтому во многих странах предпринимаются попытки создания его аналога.
Криптографические программные средства PGP (Pretty Good Privacy) были разработаны в 1991 году американским программистом Ф. Циммерманном для зашифровки сообщений электронной почты. Программа PGP свободна для доступа в Интернет и может быть установлена на любой компьютер. Принцип работы программы PGP основан на использовании двух программ- ключей: одной у отправителя, а другой у получателя. Программы- ключи защищены не паролями, а шифровальной фразой. Расшифровать сообщение можно, только используя два ключа. Программа PGP использует сложный математический алгоритм, что вместе с принципом использования двух ключей делает дешифрацию практически невозможной. Появление программ PGP вызвало скандал в правоохранительных кругах США, так они лишают возможности контроля за информацией.
Отметим, что криптографические алгоритмы широко используются для защиты электронной цифровой подписи.
Более полную информацию о криптографических методах можно получить на сайте www.cripto.com или www.confident.ru
Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного
доступа к ней сводился бы к мимнимуму.
Принуждение — такой метод защиты информации, пр котором пользователи и администраторы сети вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под
угрозой материальной, административной или уголовной ответственности.
Побуждение — метод защиты, который побуждает пользователей и администраторов сети не нарушать установленных за счет соблюдения моральных и этических норм.
Средства защиты информации делятся:
- технические средства
- программные средства
- организационные средства
- морально- этические
- законодательные