Защита данных от несанкционированного доступа. Защиты от несанкционированного доступа. Основные направления обеспечения защиты от НСД

Хакеры и вирусы на AS/400? Это невозможно. Они пиратствуют только на Unix и ПК.

Я вспоминаю фильм "Парк юрского периода", в конце которого девочка подходит к компьютеру, на котором была совершена диверсия, приведшая к выходу динозавров на свободу. "Это Unix!" - восклицает она, вскрывает его защиту и немедленно устраняет неполадки. Тут я сказал про себя: "Конечно, чего же Вы хотели от Unix". А в фильме "День независимости" вирус был запущен в компьютер космического корабля пришельцев. Большинство зрителей до этого и не подозревали, что инопланетяне используют компьютеры Apple Macintosh. Но, слава Богу, это оказалось именно так, вирус сработал, и наш мир был спасен.

Вообще, в фильмах часто злодеи проникают в чужие компьютеры, или недовольный сотрудник внедряет вирус в компьютерную сеть фирмы. Приятно сознавать, что ничего подобного на AS/400 произойти не может. Или всетаки может?

Как и многие другие функции, в AS/400, в отличие от большинства иных систем, защита была встроена с самого начала, а не добавлена уже после создания. Однако никакие средства защиты не помогут, если их не использовать, а многие пользователи AS/400 так и делают. Например, в среде клиент/ сервер необходимо принимать специальные меры для защиты данных AS/400 от незащищенных клиентов, таких как Windows 95 и Windows NT. Более того, в современном сетевом мире многие AS/400 подключены к Интернету, в этом случае также следует применять определенные средства защиты информационных ресурсов. По счастью, интегрированные средства защиты AS/400 обеспечивают крепкий фундамент безопасности всей системы. В этой лекции мы рассмотрим средства защиты AS/400 и обсудим, как лучше использовать их.

Интегрированная защита

В прошлом защитить вычислительную систему было относительно легко. Обычно, было достаточно вставить замок в дверь машинного зала и заставить конечных пользователей вводить при входе в систему пароль . Современный мир уже не так прост. Наибольшей степени опасности подвергаются AS/400, включенные в вычислительную сеть : во внутрифирменную ЛВС или в глобальную сеть , например в Интернет . В любом случае, AS/400 предоставляет средства для минимизации или полного устранения риска несанкционированного доступа. Проблемы защиты вычислительной системы очень похожи на те, что возникают при защите дома или автомобиля: Вы должны правильно рассчитать соотношение цены и допустимой степени риска.

Очевидно, что в разных ситуациях AS/400 нужен разный уровень защиты. У пользователя должна быть возможность самостоятельного выбрать этот уровень. Хорошая система защиты разработана так, чтобы компьютер мог работать вообще без защиты, с ограниченной защитой или с полной защитой, но во всех случаях система защиты должна быть активна.

И сейчас есть системы, запертые в помещениях, куда доступ строго ограничен. Понятно, что им не нужен такой уровень защиты, как компьютеру, подключенному к Интернету. Но с течением времени требования к защите и этих систем могут повыситься. Интегрированная защита AS/400 достаточно гибка, чтобы перестроиться по мере изменения требований к ней.

Защита AS/400 представляет собой комбинацию средств защиты в OS/400 и в SLIC . В OS/400 реализованы уровни общесистемной защиты, при этом OS/400 полагается на функции защиты объектов на уровне MI. Например, как упоминалось в "Объекты" , MI выполняет проверку прав доступа при каждом обращении к объекту. За действия MI по защите объектов ответственен SLIC . Реализуемый им тип защиты называется авторизацией и предназначен для предохранения объекта от несанкционированного доступа или изменения.

Некоторые компоненты защиты AS/400 расположены полностью поверх MI в OS/400, например, задание системных параметров защиты. Другие, такие как контроль за доступом к объектам, полностью реализованы ниже MI в SLIC . Третьи компоненты защиты реализованы частично над, а частично под MI. Пример - поддержка привилегированных команд и специальных прав доступа. Давайте подробнее рассмотрим компоненты, лежащие и выше и ниже MI.

Уровни защиты

AS/400 предназначены для широкого применения в различных областях человеческой деятельности. Соответственно, и требования к их защищенности варьируются от уровня ее полного отсутствия до уровня защиты, сертифицированной правительством. Задавая соответствующие системные параметры, можно выбрать одну из пяти степеней: отсутствие защиты, парольная защита, защита ресурсов, защита ОС и сертифицированная защита. При конфигурировании AS/400 должны быть заданы четыре системных параметра, относящихся к защите: QAUDJRL, QMAXSIGN, QRETSVRSEC и QSECURITY.

Системным параметром, определяющим уровень защиты, является QSECURITY. В System/38 и первых AS/400 было только три уровня системной защиты, в версии V1R3 OS/400 к ним добавился четвертый, а в V2R3 - пятый, высший уровень защиты. Допустимые значения QSECURITY - 10, 20, 30, 40 и 50.

AS/400 поддерживает также дополнительную функцию аудита. Если эта функция задействована, то определенные события, связанные с защитой, заносятся в журнал. То, какие конкретно события протоколировать в журнале аудита защиты, определяет значение системного параметра QAUDJRL и текущий уровень защиты. Могут протоколироваться такие события, как попытки несанкционированного доступа, удаление объектов, идентификация программ, использующих привилегированные команды и др. Содержимое журнала защиты анализирует администратор защиты.

Максимальное количество неудачных попыток входа в систему задает системный параметр QMAXSIGN. Если число таких попыток превысит значение этого параметра, то терминал или устройство, с которого они были предприняты, отключаются от системы и связь между ними и системой разрывается. Такой метод позволяет предотвратить попытки подобрать пароль для входа в систему. Значение параметра QMAXSIGN для каждого устройства сбрасывается после успешного входа в систему.

Системный параметр QRETSVRSEC (Retain Server Security Data ) определяет, может ли информация , необходимая AS/400 для аутентификации пользователя на другой системе через интерфейсы клиент/ сервер , запоминаться сервером. Если информация запоминается, то сервер ее использует. Если нет, то сервер будет запрашивать идентификатор и пароль пользователя для другой системы. Системный параметр FFQRETSVRSEC используется для клиент/серверных интерфейсов TCP/IP , Novell NetWare и Lotus Notes.

Теперь давайте рассмотрим каждый из пяти уровней защиты, начиная с самого низкого.

Отсутствие защиты (уровень 10)

Уровень 10 означает самую низкую степень защищенности - отсутствие таковой. Для доступа к системе не требуется пароля и любому пользователю разрешен доступ ко всем системным ресурсам и объектам без ограничений. Единственное условие - нельзя влиять на задания других пользователей системы.

Системный уровень защиты 10 обычно применяется тогда, когда достаточно только физической защиты системы, например, замка на двери машинного зала. Любой пользователь, имеющий физический доступ к машине, может войти в систему. При этом он не обязан регистрироваться . Регистрация пользователя предполагает наличие где-либо в системе профиля пользователя. Такой профиль при использовании уровня защиты 10 создается автоматически, если еще не существует.

Парольная защита (уровень 20)

Если Вам нужна только защита при входе в систему, используйте уровень 20. При этой степени защиты требуется, чтобы пользователь AS/400 был зарегистрирован и знал правильный пароль. После того, как разрешение на вход в систему получено, пользователь имеет доступ ко всем ее ресурсам без ограничений. Как видите отличие от уровня 10 незначительно.

Только в одном особом случае доступ пользователя к системе при уровне 20 ограничивается: если в профиле пользователя это специально оговорено. Пользователь с ограниченными возможностями может только выбирать пункты меню. Большинство системных меню имеют строку ввода команд, и упомянутое средство ограничивает использование системных команд.

Предположим, что в организации есть группа работников, в чьи обязанности входит прием заказов на товары и ввод соответствующих данных в систему. Для таких пользователей целесообразно создать специальное меню и разрешить им действовать только в этих рамках, для чего их следует зарегистрировать как пользователей с ограниченными возможностями и задать в их профилях меню, доступ к которому им разрешен.

Но даже пользователю с ограниченными возможностями разрешено исполнять четыре необходимых команды: для отправки сообщений, для отображения сообщений, для отображения состояния задания и для выхода из системы. То, какие именно команды открыты для пользователя с ограниченными возможностями, можно задать индивидуально. Ограничение возможностей также определяет, какие поля пользователь может изменять при входе в систему.

Уровни 20 и 10, не обеспечивают системе защищенность, так как после регистрации пользователя в системе, он может производить там любые операции. Я бы не рекомендовал ограничиваться столь низкими степенями защиты за исключением особых случаев, когда сама система практически недоступна извне.

Защита ресурсов (уровень 30)

Минимальным рекомендуемым уровнем защиты является уровень 30. На этом уровне, так же как и на уровне 20, для входа в систему пользователь должен быть зарегистрирован и знать правильный пароль. После входа в систему проверяется, обладает ли пользователь правами доступа к системным ресурсам; несанкционированный доступ не разрешается. На уровне 30 пользователь также может быть зарегистрирован с ограниченными возможностями.

Отдельным пользователям могут быть предоставлены права доступа к системным объектам, таким как файлы, программы и устройства. Обеспечивают такую возможность профили пользователя, и вскоре мы поговорим подробнее о том, каким образом они это делают. Мы также рассмотрим другие варианты наделения пользователя правами доступа к системным объектам: с помощью групповых или общих прав.

Уровень защиты 30 был наивысшим в System/38. Но на нем не различаются пользовательские объекты и объекты, используемые только ОС. В связи с доступностью на System/38 ассемблера MI и наличия определенной информации о внутренней структуре объектов возникла серьезная проблема. ISV стали писать прикладные пакеты, зависящие от внутренней структуры объектов, что нарушало технологическую независимость MI.

В первых моделях AS/400 использовались те же самые уровни защиты. Хотя в AS/400 не было ассемблера MI, и мы не публиковали информацию о внутренних структурах, специалисты довольно скоро поняли, что AS/400 - это System/38. Поэтому программы, зависимые от внутренней структуры объектов, работали и на AS/400.

Мы понимали, что при переходе к клиент/серверным вычислениям, AS/400 нужна более надежная защита, блокирующая доступ к большинству внутренних объектов. В связи с переходом на RISC-процессоры изменениям подверглась и внутренняя структура. Но если бы мы просто реализовали новый, повышенный, уровень зашиты, то программы, зависимые от внутренней структуры объектов, перестали бы работать, что вызвало бы недовольство заказчиков.

Мы объявили о том, что собираемся встроить в V1R3 новый уровень защиты, и что на этом уровне доступа к внутренним объектам не будет. Мы также начали искать тех ISV , кто использовал внутренние объекты, чтобы предоставить им стандартные системные API, с информацией, необходимой для их программ.

Большая часть таких программ были утилитами, использовавшими информацию некоторых полей внутри системного объекта. Например, системе управления магнитной лентой могли понадобиться некоторые данные о заголовке ленты. Такую информацию можно было получить единственным способом - проникнув в системный объект. Мы создали сотни API для предоставления подобной информации через MI (по сути дела, эти API были новыми командами MI) и гарантировали, что они будут работать во всех последующих версиях ОС. Таким образом мы развязали себе руки и начали вносить изменения во внутренние структуры.

С защитой связана еще одна серьезная тема: тема открытости AS/400. Довольно долго многие ISV не только использовали внутренние объекты, но и настаивали, что бы IBM сделала внутреннее устройство ОС открытым и дала тем самым "зеленый свет" разработчикам ПО. В ответ IBM утверждала, что при неправильном использовании команд MI велика вероятность программных сбоев, за которые она не может нести ответственность. Компромисс (управляемая открытость через API) был достигнут, частично в результате серии заседаний группы COMMON, начатых по инициативе ISV и других пользователей. Работу с ISV и определение новых API возглавил Рон Фесс (Ron Fess) - один из основных разработчиков ПО с большим опытом работ по CPF и OS/400. Результат это работы - реализация на AS/400 Single UNIX Specification и других стандартных API. AS/400 стала более открытой для пользователей.

Защита ОС (уровень 40)

Уровень 40 появился в версии V1R3 OS/400. Сегодня все новые AS/400 поставляют ся именно с этим уровнем защиты, а не 10, как ранее. Но старые версии OS/400 и при модернизации сохраняют текущий уровень, установленный заказчиком. Теперь пароль начальника защиты (пользователь, обладающий правами доступа наивысшего уровня) становится недействительным после первого ввода в систему и он должен его изменить. Ранее заказчики AS/400 часто не утруждали себя изменением пароля, установленного в системе по умолчанию, что создавало явную "дыру" в защите.

При уровне 40 пользователь AS/400 также должен быть зарегистрирован, должен знать правильный пароль для входа в систему и иметь права на доступ к системным ресурсам. Впрочем, пользователи с ограниченными возможностями при этом уровне защиты тоже поддерживаются.

В отличие от уровней 10–30, при уровне защиты 40 доступ к нестандартным интерфейсам блокирован. Пользователю теперь доступны далеко не все команды MI, а лишь их разрешенный набор, включая сотни API, разработанных для ISV . Остальные же команды блокированы, то есть система не будет исполнять их в пользовательской программе.

Тем не менее, команды из блокированного набора попрежнему доступны OS/400. Для различия программ OS/400 и пользовательских, были введены понятия системного и пользовательского состояния , к которым можно отнести любой процесс на AS/400. Использование заблокированных команд и доступ, таким образом, к некоторым объектам системы разрешены только в системном состоянии.

Для большей надежности защиты в V1R3 была также устранена адресация на базе возможностей, а из системных указателей, предоставляемых пользователям, убраны все права доступа.

Защита C2 (уровень 50)

Уровень 40 обеспечивает системе достаточную степень защищенности в большинстве случаев. Однако, некоторым фирмам, выполняющим государственные заказы, необходим уровень защиты, сертифицированный правительством США. Таких сертификатов несколько, включая, так называемый, уровень С2. Они включают такие положения, как защита ресурсов пользователя от других пользователей и предотвращение захвата одним пользователем всех системных ресурсов, например, памяти. Кстати, подобные требования сейчас применяются и во многих неправительственных организациях.

Для заказчиков, нуждающихся в правительственных сертификатах, мы дополнили уровень защиты 40 на AS/400 до соответствия упомянутому уровню С2. Так в версии V2R3 появилась защита уровня 50.

Но прежде чем система будет признана соответствующей стандарту С2, она должна пройти всеобъемлющую проверку. В настоящее время такая проверка идет.

Правительством США определены уровни защиты от А до D, где А - наивысший уровень защиты, а D – самый низкий. Классы B и С имеют несколько подуровней. Уровень защиты С2 - уровень, наивысший из обычно используемых в бизнесе. В будущем, если возникнет такая необходимость, мы сможем включить в AS/400 поддержку и более высоких уровней защиты.

При рассмотрении вопросов, связанных с получением информации, хранящейся и обрабатываемой в компьютерных системах, под основными способами несанкционированного доступа предполагались следующие:

Преодоление программных средств защиты;

Несанкционированное копирование информации;

Перехват информации в каналах связи;

Использование программных закладок;

Использование аппаратных закладок;

Перехват побочных электромагнитных излучений и наводок (ПЭМИН).

При рассмотрении методов защиты мы не будем разделять их по вышеперечисленным способам, так как во многих случаях одни и те же методы оказываются эффективным средством предотвращения различных видов несанкционированного доступа.

Основными способами защиты являются следующие:

Аутентификация пользователей на этапе регистрации их полномочий;

Физическая защита компьютерных систем;

Выявление программных и аппаратных закладок;

Кодирование информации.

Эти (и другие) способы в тех или иных сочетаниях реализованы в программных и программно-аппаратных системах защиты компьютерной информации от несанкционированного доступа. Некоторые из этих систем будут описаны ниже.

Естественно, что для защиты компьютерной информации должен применяться весь комплекс организационных и технических мероприятий, включая физическую охрану территории, введение пропускного режима, осуществление линейного и пространственного зашумления, выявление закладных устройств и т. д. Но они характерны для любых информационных систем, поэтому здесь отдельно рассматриваться не будут.

Аутентификация пользователей на этапе регистрации их полномочий. Разграничение доступа пользователей к ресурсам вычислительных средств сопряжено с использованием таких понятий, как идентификация и аутентификация.

Идентификация - это присвоение субъекту (человеку) или объекту (компьютеру, диску и т. п.) индивидуального образа, имени или числа, по которому он будет опознаваться в системе.

Аутентификация - проверка подлинности объекта или субъекта на основе его идентификационных признаков.

Установление подлинности может производиться человеком, аппаратным устройством или программой вычислительной системы. В автоматизированных устройствах аутентификации в качестве идентификатора обычно используются:

индивидуальные физиологические признаки: отпечаток пальца (рис. 185), контур ладони (рис. 189), изображение сетчатки глаза и др.

Рис. 185. Внешний вид устройства аутентификации по отпечатку пальца

Рис. 186. Внешний вид устройства аутентификации по контур ладони пароли;

специальные устройства-идентификаторы (ТоисЬ Метогу), выполненные в виде брелков - «таблеток», пластиковых магнитных карт и т.п., опознаваемых с помощью специальных устройств считывания информации (см. рис. 187).

Рис. 187. Устройство считывания установленное на компьютере

Каждый из этих признаков обладает своими достоинствами и недостатками. Так, например, пароли часто бывают тривиальными и легко угадываются, кроме того пользователи обычно их записывают в блокнотах; индивидуальные физиологические признаки человека могут изменяться (например, порез пальца руки); устройство-идентификатор может быть утеряно пользователем или украдено у него. Поэтому в настоящее время в системах аутентификации стараются комплексировать разные виды идентификационных признаков: пароль - отпечаток руки, пароль -магнитная карта и т. д.

В результате аутентификации происходит определение полномочий пользователя по допуску к ресурсам вычислительной системы (файлам, базам данных, сегментам памяти) и по видам производимых операций (чтение, запись, выполнение и т. д.).

Проведение аутентификации - принципиально необходимый процесс, присущий всем системам защиты, информации, роль ее особенно возрастает при удаленном доступе в сети.

Физическая защита компьютерных систем предполагает применение таких устройств, которые бы исключали доступ к информации без нарушения физической целостности персонального компьютера.

В ряде случаев принципиальным оказывается применение мер, исключающих негласный (в том числе и регулярный) доступ к компьютеру с целью копирования или модифицирования информации. Для решения этой задачи как нельзя лучше подходят средства физической защиты.

1. Опечатывание системного блока и других элементов компьютерной системы специальными пломбами или печатью руководителя службы безопасности.

Опечатывание системного блока позволяет исключить бесконтрольный несанкционированный доступ к информации на жестком диске (в обход установленной системы защиты) посредством извлечения диска и подключения его к другому компьютеру. Кроме того, данная процедура позволяет устранить опасность нахождения в вашем вычислительном средстве аппаратных закладок, естественно, если вы позаботились провести проверку на их отсутствие до опечатывания компьютера. Не поленитесь после проверки провести опломбирование и всех других компонентов, включая коммутационные кабели, так как современные технологии позволяют установить закладки и в них.

2. Установка специальных вставок в «карман» гибкого дисковода, оборудованных замком с фиксацией на ключ.

Данная мера может применяться как средство защиты от негласного копирования информации, от заражения компьютера вирусами и программными закладками.

3. Применение специальных замков, блокирующих клавиатуру компьютера. Это эффективное средство защиты информации от возможной преднамеренной модификации, а также от заражения компьютерными вирусами и установки программных закладок.

4. Организация хранения магнитных и оптических носителей информации в сейфах либо в запирающихся на замок специальных дискетницах. Позволяет исключить негласное копирование информации с этих носителей, модификацию ее, заражение компьютерными вирусами, внедрение программных закладок.

Выявление программных и аппаратных закладок. Устранение программных закладок в персональном компьютере задача близкая по своей сути к задаче борьбы с компьютерными вирусами. Дело в том, что в настоящее время не существует четкой классификации программ с потенциально опасными воздействиями. Так, например, обычно выделяют программы типа «троянский конь», логические бомбы, вирусы и некоторые другие.

Под «троянским конем» при этом понимают программы, предназначенные для решения каких-то тайных задач, но замаскированные под «благородные» программные продукты. Классическим примером «троянцев» могут служить программы, выявленные в некоторых программах обеспечения финансовых операций локальных банковских сетей. Программы эти совершали операцию зачисления на счет ее владельцев сумм, эквивалентных «полкопейке». Такие суммы, возникающие в результате банковских пересчетных операций, должны округляться, поэтому исчезновение их оставалось незамеченным. Выявлено воровство было только благодаря быстрому росту личных счетов сотрудников, отвечающих за программное обеспечение. Небывалый рост происходил вследствие огромного числа пересчетных операций. К программам типа «троянский конь» относятся и программные закладки, рассмотренные выше.

К логическим бомбам относят, как правило, программы, совершающие свои деструктивные действия при выполнении каких-то условий например, если тринадцатый день месяца приходится на пятницу, наступает 26 апреля и т. д.

Под вирусами, как отмечалось выше, понимаются программы способные к «размножению» и совершению негативных действий.

Об условности такой классификации можно говорить на том основании, что пример с программой-закладкой в финансовой системе банка может быть отнесен и к логической бомбе, так как событие зачисления «пол-копейки» на личный счет наступало в результате выполнения условия - дробного остатка в результате операции над денежной суммой. Логическая бомба «пятница, тринадцатое» есть ничто иное как вирус, так как обладает способностью к заражению других программ. Да и вообще, программы-закладки могут внедряться в компьютер не только в результате их прямого внесения в текст конкретных программных продуктов, а и подобно вирусу благодаря указанию им конкретного адреса для будущего размещения и точек входа.

Из вышесказанного следует, что для защиты вашего компьютера от программных закладок необходимо соблюдать все требования, изложенные при рассмотрении вопросов борьбы с компьютерными вирусами. Кроме того, необходимо исключить бесконтрольный доступ к вашим вычислительным средствам посторонних лиц, что может быть обеспечено, в том числе, благодаря применению уже рассмотренных средств физической защиты.

Что же касается вопросов борьбы с программными закладками - перехватчиками паролей, то здесь следует отметить следующие меры.

1. Требования по защите от программ-имитаторов системы регистрации:

Системный процесс, который получает от пользователя его имя и пароль при регистрации, должен иметь свой рабочий стол, недоступный другим программным продуктам;

Ввод идентификационных признаков пользователя (например, пароля) должен осуществляться с использованием комбинаций клавиш, недоступных другим прикладным программам;

Время на аутентификацию должно быть ограничено (примерно 30 с), что позволит выявлять программы-имитаторы по факту длительного нахождения на экране монитора регистрационного окна.

2. Условия, обеспечивающие защиту от программ-перехватчиков паролей типа фильтр:

Запретить переключение раскладок клавиатур во время ввода пароля;

Обеспечить доступ к возможностям конфигурации цепочек программных модулей и к самим модулям, участвующим в работе с паролем пользователя, только системному администратору.

3. Защита от проникновения заместителей программных модулей системы аутентификации не предусматривает каких-то определенных рекомендаций, а может быть реализована только на основе проведения перманентной продуманной политики руководителя службы безопасности и системного администратора; некоторым утешением здесь может служить малая вероятность применения вашими конкурентами программ-заместителей ввиду сложности их практической реализации.

Наиболее полно всем изложенным требованиям по защите от программных закладок -перехватчиков паролей отвечает операционная система Windows NT и отчасти UNIX.

Выявлением аппаратных закладок профессионально могут заниматься только организации, имеющие лицензию от Федерального агентства правительственной связи и информации на этот вид деятельности. Эти организации обладают соответствующей аппаратурой, методиками и подготовленным персоналом. Кустарно можно выявить только самке примитивные аппаратные закладки. Если же вы испытываете определенные финансовые трудности и не можете себе позволить заключить соответствующий договор, то предпримите хотя бы меры физической защиты вашего компьютера.

Кодирование информации обеспечивает самый высокий уровень защиты от несанкционированного доступа. В качестве простейшего вида кодирования может рассматриваться обычная компрессия данных с помощью программ-архиваторов, но так как защитить она может лишь от неквалифицированного пользователя, то и рассматриваться архивирование как самостоятельный способ защиты не должно. Однако такое кодирование позволяет повысить криптостойкость других методов при их совместном использовании.

Не касаясь основных методов кодирования рассмотрим только примеры программно-аппаратных и программных систем защиты информации, в которых кодирование выступает одним из равноправных элементов наряду с другими методами защиты.

Программно-аппаратный комплекс «Аккорд». В его состав входит одноплатовый контроллер, вставляемый в свободный слот компьютера, контактное устройство аутентификации, программное обеспечение и персональные идентификаторы DS199x Touch Memory в виде таблетки. Контактное устройство (съемник информации) устанавливается на передней панели компьютера, а аутентификация осуществляется путем прикосновения «таблетки» (идентификатора) к съемнику. Процесс аутентификации осуществляется до загрузки операционной системы. Ко-

дирование информации предусмотрено как дополнительная функция и осуществляется с помощью дополнительного программного обеспечения.

Программно-аппаратный комплекс «Dallas LockЗ.1». Предоставляет широкие возможности по защите информации, в том числе: обеспечивает регистрацию пользователей до загрузки операционной системы и только по предъявлению личной электронной карты Touch Memory и вводе пароля; реализует автоматическую и принудительную блокировку компьютера с гашением экрана монитора на время отсутствия зарегистрированного пользователя; осуществляет гарантированное стирание файлов при их удалении; выполняет помехоустойчивое кодирование файлов.

Программная система защиты информации «Кобра». Осуществляет аутентификацию пользователей по паролю и разграничение их полномочий. Позволяет работать в режиме прозрачного шифрования. Обеспечивает высокую степень защиты информации в персональных ЭВМ.

Программная система защиты «Снег-1.0». Предназначена для контроля и разграничения доступа к информации, хранящейся в персональном компьютере, а также защиту информационных ресурсов рабочей станции локальной вычислительной сети. «Снег-1.0» включает в себя сертифицированную систему кодирования информации «Иней», построенную с использованием стандартного алгоритма криптографического преобразования данных ГОСТ 28147-89.

В качестве примера системы, выполняющей только кодирование информации, можно привести устройство «Криптон-ЗМ».

Напоминаем, что в данном подразделе рассматривались методы защиты, характерные исключительно для компьютерных сетей. Однако полноценная защита информации в вычислительных средствах невозможна без комплексного применения всех вышеописанных организационных и технических мер.

Если работа вашей фирмы связана с выполнением государственного заказа, то скорее всего вам не обойтись без получения лицензии на работу с государственной тайной, а следовательно и проверки аппаратуры на наличие возможно внедренных «закладок» и на наличие и опасность технических каналов утечки информации. Однако если такой необходимости нет, то в ряде случаев можно обойтись и своими силами, так как стоимость подобных работ все же достаточно высока.

Несанкционированный доступ к информации - это незапланированное ознакомление, обработка, копирова­ние, применение различных вирусов, в том числе разру­шающих программные продукты, а также модификация или уничтожение информации в нарушение установлен­ных правил разграничения доступа.

Поэтому, в свою очередь, защита информации от не­санкционированного доступа призвана не допустить зло­умышленника к носителю информации. В защите инфор­мации компьютеров и сетей от НСД можно выделить три основных направления:

– ориентируется на недопущение нарушителя к вычис­лительной среде и основывается на специальных технических средствах опоз­навания пользователя;

– связано с защитой вычислительной среды и основывается на создании специаль­ного программного обеспечения;

– связано с использованием специальных средств защиты информации компьюте­ров от несанкционированного доступа.

Следует иметь в виду, что для решения каждой из задач применяются как различ­ные технологии, так и различные средства. Требования к средствам защиты, их харак­теристики, функции ими выполняемые и их классификация, а также термины и опре­деления по защите от несанкционированного доступа приведены в руководящих документах Государственной технической комиссии:

– «Автоматизированные системы. Защита от несанкционированного доступа к ин­формации. Классификация АС и требования по защите информации»;

– «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

– «Защита от несанкционированного доступа к информации. Термины и определения». Технические средства, реализующие функции защиты можно разделить на:

o встроенные;

o внешние.

К встроенным средствам защиты персонального компьютера и программного обес­печения (рис. 3.12) относятся средства парольной защиты BIOS, операционной систе­мы, СУБД. Данные средства могут быть откровенно слабыми - BIOS с паролем су­первизора, парольная защита Win95/98, но могут быть и значительно более стойкими - BIOS без паролей супервизора, парольная защита Windows NT, СУБД ORACLE. Ис­пользование сильных сторон этих средств позволяет значительно усилить систему защиты информации от НСД.

Внешние средства призваны подменить встроенные средства с целью усиления за­щиты, либо дополнить их недостающими функциями.

К ним можно отнести:

– аппаратные средства доверенной загрузки;

– аппаратно-программные комплексы разделения полномочий пользователей на доступ;

– средства усиленной аутентификации сетевых соединений.

Аппаратные средства доверенной загрузки представляют собой изделия, иногда называ­емые «электронным замком», чьи функции заключаются в надежной идентификации пользо­вателя, а также в проверке целостности программного обеспечения компьютера. Обычно это плата расширения персонального компьютера, с необходимым программным обеспече­нием, записанным либо во Flash-память платы, либо на жесткий диск компьютера.

Принцип их действия простой. В процессе загрузки стартует BIOS и платы защиты от НСД. Он запрашивает идентификатор пользователя и сравнивает его с хранимым во Flash-памяти карты. Идентификатор дополнительно можно защищать паролем. Затем стартует встроенная операционная система платы или компьютера (чаще всего это ва­риант MS-DOS), после чего стартует программа проверки целостности программного обеспечения. Как правило, проверяются системные области загрузочного диска, загру­зочные файлы и файлы, задаваемые самим пользователем для проверки. Проверка осу­ществляется либо на основе имитовставки алгоритма ГОСТ 28147-89, либо на основе функции хэширования алгоритма ГОСТ Р 34.11-34 или иного алгоритма. Результат про­верки сравнивается с хранимым во Flash-памяти карты. Если в результате сравнения при проверке идентификатора или целостности системы выявится различие с эталоном, то плата заблокирует дальнейшую работу, и выдаст соответствующее сообщение на эк­ран. Если проверки дали положительный результат, то плата передает управление пер­сональному компьютеру для дальнейшей загрузки операционной системы.

Все процессы идентификации и проверки целостности фиксируются в журнале. Достоинства устройств данного класса - их высокая надежность, простота и невысо­кая цена. При отсутствии многопользовательской работы на компьютере функций за­щиты данного средства обычно достаточно.

Аппаратно-программные комплексы разделения полномочий на доступ используются в случае работы нескольких пользователей на одном компьютере, если встает задача разделе­ния их полномочий на доступ к данным друг друга. Решение данной задачи основано на: 01 запрете пользователям запусков определенных приложений и процессов; Q разрешении пользователям и запускаемым ими приложениям лишь определен­ного типа действия с данными.

Реализация запретов и разрешений достигается различными способами. Как пра­вило, в процессе старта операционной системы запускается и программа защиты от несанкционированного доступа. Она присутствует в памяти компьютера, как резиден­тный модуль и контролирует действия пользователей на запуск приложений и обра­щения к данным. Все действия пользователей фиксируются в журнале, который досту­пен только администратору безопасности. Под средствами этого класса обычно и понимают средства защиты от несанкционированного доступа. Они представляют со­бой аппаратно-программные комплексы, состоящие из аппаратной части - платы до­веренной загрузки компьютера, которая проверяет теперь дополнительно и целост­ность программного обеспечения самой системы защиты от НСД на жестком диске, и программной части - программы администратора, резидентного модуля. Эти про­граммы располагаются в специальном каталоге и доступны лишь администратору. Дан­ные системы можно использовать и в однопользовательской системе для ограничения пользователя по установке и запуску программ, которые ему не нужны в работе.

Средства усиленной аутентификации сетевых соединений применяются в том слу­чае, когда работа рабочих станций в составе сети накладывает требования для защиты ресурсов рабочей станции от угрозы несанкционированного проникновения на рабо­чую станцию со стороны сети и изменения либо информации, либо программного обес­печения, а также запуска несанкционированного процесса. Защита от НСД со сторо­ны сети достигается средствами усиленной аутентификации сетевых соединений. Эта технология получила название технологии виртуальных частных сетей.

Одна из основных задач защиты от несанкционированного доступа - обеспечение на­дежной идентификации пользователя (рис. 3.13) и возможности проверки подлинности лю­бого пользователя сети, которого можно однозначно идентифицировать по тому, что он:

– из себя представляет.

Что знает пользователь? Свое имя и пароль. На этих знаниях основаны схемы па­рольной идентификации. Недостаток этих схем - ему необходимо запоминать слож­ные пароли, чего очень часто не происходит: либо пароль выбирают слабым, либо его просто записывают в записную книжку, на листок бумаги и т. п. В случае использова­ния только парольной защиты принимают надлежащие меры для обеспечения управ­лением создания паролей, их хранением, для слежения за истечением срока их ис­пользования и своевременного удаления. С помощью криптографического закрытия паролей можно в значительной степени решить эту проблему и затруднить злоумыш­леннику преодоление механизма аутентификации.

Что может иметь пользователь? Конечно же, специальный ключ - уникальный идентификатор, такой, например, как таблетка touch memory (I-button), e-token, смарт-карта, или криптографический ключ, на котором зашифрована его запись в базе дан­ных пользователей. Такая система наиболее стойкая, однако, требует, чтобы у пользо­вателя постоянно был при себе идентификатор, который чаще всего присоединяют к брелку с ключами и либо часто забывают дома, либо теряют. Будет правильно, если утром администратор выдаст идентификаторы и запишет об этом в журнале и примет их обратно на хранение вечером, опять же сделав запись в журнале.

Что же представляет собой пользователь? Это те признаки, которые присущи толь­ко этому пользователю, только ему, обеспечивающие биометрическую идентификацию. Идентификатором может быть отпечаток пальца, рисунок радужной оболочки глаз, от­печаток ладони и т. п. В настоящее время - это наиболее перспективное направление развития средств идентификации. Они надежны и в то же время не требуют от пользова­теля дополнительного знания чего-либо или постоянного владения чем-либо. С развити­ем технологи и стоимость этих средств становится доступной каждой организации.

Гарантированная проверка личности пользователя является задачей различных механизмов идентификации и аутентификации.

Каждому пользователю (группе пользователей) сети назначается определенный отличительный признак - идентификатор и он сравнивается с утвержденным переч­нем. Однако только заявленный идентификатор в сети не может обеспечить защиту от несанкционированного подключения без проверки личности пользователя.

Процесс проверки личности пользователя получил название - аутентификации. Он происходит с помощью предъявляемого пользователем особого отличительного при­знака - аутентификатора, присущего именно ему. Эффективность аутентификации оп­ределяется, прежде всего, отличительными особенностями каждого пользователя.

Конкретные механизмы идентификации и аутентификации в сети могут быть реа­лизованы на основе следующих средств и процедур защиты информации:

– пароли;

– технические средства;

– средства биометрии;

– криптография с уникальными ключами для каждого пользователя.

Вопрос о применимости того или иного средства решается в зависимости от выяв­ленных угроз, технических характеристик защищаемого объекта. Нельзя однозначно утверждать, что применение аппаратного средства, использующего криптографию, придаст системе большую надежность, чем использование программного.

Анализ защищенности информационного объекта и выявление угроз его безопас­ности - крайне сложная процедура. Не менее сложная процедура - выбор техноло­гий и средств защиты для ликвидации выявленных угроз. Решение данных задач луч­ше поручить специалистам, имеющим богатый опыт.

Несанкционированный доступ – чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий.

Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов устройств, использованием информации, оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи.

Для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкционированного доступа . Перечислим основные типовые пути несанкционированного получения информации:

· хищение носителей информации и производственных отходов;

· копирование носителей информации с преодолением мер защиты;

· маскировка под зарегистрированного пользователя;

· мистификация (маскировка под запросы системы);

· использование недостатков операционных систем и языков программирования;

· использование программных закладок и программных блоков типа "троянский конь";

· перехват электронных излучений;

· перехват акустических излучений;

· дистанционное фотографирование;

· применение подслушивающих устройств;

· злоумышленный вывод из строя механизмов защиты и т.д..

Для защиты информации от несанкционированного доступа применяются:

1) организационные мероприятия;

2) технические средства;

3) программные средства;

4) щифрование.

Организационные мероприятия включают в себя:

· пропускной режим;

· хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.);

· ограничение доступа лиц в компьютерные помещения и т.д..

Технические средства включают в себя:

· фильтры, экраны на аппаратуру;

· ключ для блокировки клавиатуры;

· устройства аутентификации – для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.;

· электронные ключи на микросхемах и т.д.

Программные средства включают в себя:

· парольный доступ – задание полномочий пользователя;

· блокировка экрана и клавиатуры с помощью комбинации клавиш в утилите Diskreet из пакета Norton Utilites;

· использование средств парольной защиты BIOS – на сам BIOS и на ПК в целом и т.д.

Шифрование – это преобразование (кодирование) открытой информации в зашифрованную, не доступную для понимания посторонних. Шифрование применяется в первую очередь для передачи секретной информации по незащищенным каналам связи. Шифровать можно любую информацию - тексты, рисунки, звук, базы данных и т.д. Человечество применяет шифрование с того момента, как появилась секретная информация, которую нужно было скрыть от врагов. Первое известное науке шифрованное сообщение - египетский текст, в котором вместо принятых тогда иероглифов были использованы другие знаки. Методы шифрования и расшифровывания сообщения изучает наука криптология , история которой насчитывает около четырех тысяч лет. Она состоит двух ветвей: криптографии и криптоанализа.

Криптография - это наука о способах шифрования информации. Криптоанализ - это наука о методах и способах вскрытия шифров.

Обычно предполагается, что сам алгоритм шифрования известен всем, но неизвестен его ключ, без которого сообщение невозможно расшифровать. В этом заключается отличие шифрования от простого кодирования, при котором для восстановления сообщения достаточно знать только алгоритм кодирования.

Ключ - это параметр алгоритма шифрования (шифра), позволяющий выбрать одно конкретное преобразование из всех вариантов, предусмотренных алгоритмом. Знание ключа позволяет свободно зашифровывать и расшифровывать сообщения.

Все шифры (системы шифрования) делятся на две группы - симметричные и несимметричные (с открытым ключом). Симметричный шифр означает, что и для шифрования, и для расшифровывания сообщений используется один и тот же ключ. В системах с открытым ключом используются два ключа - открытый и закрытый, которые связаны друг с другом с помощью некоторых математических зависимостей. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.

Криптостойкость шифра - это устойчивость шифра к расшифровке без знания ключа. Стойким считается алгоритм, который для успешного раскрытия требует от противника недостижимых вычислительных ресурсов, недостижимого объема перехваченных сообщений или такого времени, что по его истечении защищенная информация будет уже неактуальна.

Один из самых известных и самых древних шифров – шифр Цезаря . В этом шифре каждая буква заменяется на другую, расположенную в алфавите на заданное число позиций k вправо от нее. Алфавит замыкается в кольцо, так что последние символы заменяются на первые. Шифр Цезаря относится к шифрам простой подстановки , так как каждый символ исходного сообщения заменяется на другой символ из того же алфавита. Такие шифры легко раскрываются с помощью частотного анализа, потому что в каждом языке частоты встречаемости букв примерно постоянны для любого достаточно большого текста.

Значительно сложнее сломать шифр Виженера , который стал естественным развитием шифра Цезаря. Для использования шифра Виженера используется ключевое слово, которое задает переменную величину сдвига. Шифр Виженера обладает значительно более высокой криптостойкостью, чем шифр Цезаря. Это значит, что его труднее раскрыть - подобрать нужное ключевое слово. Теоретически, если длина ключа равна длине сообщения, и каждый ключ используется только один раз, шифр Виженера взломать невозможно.

Защита от несанкционированного доступа (защита от НСД) - это предотвращение или существенное затруднение несанкционированного доступа .

Средство защиты информации от несанкционированного доступа (СЗИ от НСД) - это программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа .

Назначение и общая классификация СЗИ.

СЗИ от НСД можно разделить на универсальные и специализированные (по области применения), на частные и комплексные решения (по совокупности решаемых задач), на встроенные системные средства и добавочные (по способу реализации).

Классификация крайне важна, так как при построении СЗИ каждого типа разработчики формулируют и решают совершенно разные задачи (подчас противоречащие друг другу). Так, в основу концепции защиты универсальных системных средств закладываются принципы «полного доверия к пользователю», их защита во многом бесполезна в корпоративных системах, например, при решении задач противодействия внутренним ИТ-угрозам. В подавляющей части сегодня СЗИ создаются для усиления встроенных в универсальные ОС механизмов защиты, применительно к использованию в корпоративной среде. Если речь заходит о совокупности решаемых задач, то здесь следует говорить о комплексировании механизмов как в части эффективного решения конкретной задачи защиты, так и в части решения комплекса задач.

Потребительские свойства (назначение) добавочного СЗИ от НСД определяются тем, в какой мере добавочным средством устраняются архитектурные недостатки встроенных в ОС механизмов защиты, применительно к решению требуемых задач в корпоративных приложениях, и насколько комплексно (эффективно) им решается эта совокупность задач защиты информации .

Вопросы оценки эффективности СЗИ от НСД

Эффективность СЗИ от НСД можно оценить, исследовав вопросы корректности реализации механизмов защиты и достаточности набора механизмов защиты применительно к практическим условиям использования.

Оценка корректности реализации механизмов защиты

На первый взгляд, такую оценку провести несложно, но на практике это не всегда так. Один пример: в NTFS файловый объект может быть идентифицирован различными способами: к файловым объектам, задаваемым длинными именами, можно обращаться по короткому имени (так, к каталогу «Program files» можно обратиться по короткому имени «Progra~1»), а некоторые программы обращаются к файловым объектам не по имени, а по ID. Если установленное в информационной системе СЗИ не перехватывает и не анализирует лишь один подобный способ обращения к файловому объекту, то, по большому счету, оно становится полностью бесполезным (рано или поздно злоумышленник выявит данный недостаток средства защиты и воспользуется им). Упомянем и о том, что файловые объекты, не разделяемые между пользователями системой и приложениями, могут служить «каналом» понижения категории документа, что сводит на нет защиту конфиденциальной информации. Подобных примеров можно привести много.

Требования к корректности реализации механизмов защиты определены в нормативном документе «Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» ; он используется при сертификации СЗИ от НСД.

Эти требования присутствуют в документе в необходимом объеме, они корректны, но сформулированы в общем виде (а как иначе, в противном случае потребовалось бы создавать свой нормативный документ под каждое семейство ОС, а возможно, и под каждую реализацию ОС одного семейства), и для выполнения одного требования может понадобиться реализация нескольких механизмов защиты. Следствием этого становится неоднозначность толкования данных требований (в части подходов к их реализации) и возможность принципиально разных подходов к реализации механизмов защиты в СЗИ от НСД разработчиками. Результат - разная эффективность СЗИ от НСД у производителей, реализующих одни и те же формализованные требования. А ведь невыполнение любого из этих требований может свести на нет все усилия по обеспечению информационной безопасности.

Оценка достаточности (полноты) набора механизмов защиты

Требования к достаточности (полноте, применительно к условиям использования) набора механизмов защиты определены документом «Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» , который используется при аттестации объектов информатизации, в том числе и при использовании в АС СЗИ от НСД. Однако и здесь ситуация во многом схожа с описанной выше.

Так, формулировку требования к достаточности механизмов в СЗИ от НСД для защиты конфиденциальных данных в нормативных документах, при которой возникает неоднозначность определения того, что отнести к защищаемым ресурсам, целесообразно было бы расширить, например, следующим образом: «Должен осуществляться контроль подключения ресурсов, в частности устройств, в соответствии с условиями практического использования защищаемого вычислительного средства, и контроль доступа субъектов к защищаемым ресурсам, в частности к разрешенным для подключения устройствам» .

Заметим, что механизмы контроля доступа к ресурсам, всегда присутствующим в системе, - файловые объекты, объекты реестра ОС и т.д. - априори защищаемые, и они должны присутствовать в СЗИ от НСД в любом случае, а что касается внешних ресурсов, то с учетом назначения СЗИ. Если предназначение СЗИ - защита компьютеров в сети, то оно должно иметь механизмы контроля доступа к сетевым ресурсам; если оно служит для защиты автономных компьютеров, то должно обеспечивать контроль (запрет) подключения к компьютеру сетевых ресурсов. Это правило, на наш взгляд, подходит без исключения ко всем ресурсам и может быть использовано в качестве базового требования к набору механизмов защиты при аттестации объектов информатизации.

Вопросы достаточности механизмов защиты должны рассматриваться не только применительно к набору ресурсов, но и применительно к решаемым задачам защиты информации. Подобных задач при обеспечении компьютерной безопасности всего две - противодействие внутренним и внешним ИТ-угрозам.

Общая задача противодействия внутренним ИТ-угрозам - обеспечение разграничения доступа к ресурсам в соответствии с требованиями к обработке данных различных категорий конфиденциальности. Возможны разные подходы к заданию разграничений: по учетным записям, по процессам, на основе категории прочтенного документа. Каждый из них задает свои требования к достаточности. Так, в первом случае надо изолировать буфер обмена между пользователями; во втором - между процессами; для третьего случая вообще необходимо кардинально пересмотреть всю разграничительную политику доступа ко всем ресурсам, так как один и тот же пользователь одним и тем же приложением может обрабатывать данные различных категорий конфиденциальности.

Существуют десятки способов межпроцессного обмена (поименованные каналы, сектора памяти и т.д.), поэтому необходимо обеспечить замкнутость программной среды - предотвратить возможность запуска программы, реализующей подобный канал обмена. Встают и вопросы неразделяемых системой и приложениями ресурсов, контроля корректности идентификации субъекта доступа, защиты собственно СЗИ от НСД (список необходимых механизмов защиты для эффективного решения данной задачи весьма внушительный). Большая их часть в явном виде не прописана в нормативных документах.

Задача эффективного противодействия внешним ИТ-угрозам, на наш взгляд, может быть решена только при условии задания разграничительной политики для субъекта «процесс» (т.е. «процесс» следует рассматривать как самостоятельный субъект доступа к ресурсам). Это обусловлено тем, что именно он несет в себе угрозу внешней атаки. Подобного требования в явном виде нет в нормативных документах, но в этом случае решение задачи защиты информации требует кардинального пересмотра базовых принципов реализации разграничительной политики доступа к ресурсам.

Если вопросы достаточности механизмов защиты применительно к набору защищаемых ресурсов еще как-то поддаются формализации, то применительно к задачам защиты информации формализовать подобные требования не представляется возможным.

В данном случае СЗИ от НСД разных производителей, выполняющих формализованные требования нормативных документов, также могут иметь кардинальные отличия как в реализуемых подходах и технических решениях, так и в эффективности этих средств в целом.

В заключение отметим, что нельзя недооценивать важность задачи выбора СЗИ от НСД, так как это особый класс технических средств, эффективность которых не может быть высокой или низкой. С учетом сложности оценки реальной эффективности СЗИ от НСД рекомендуем потребителю привлекать специалистов (желательно из числа разработчиков, практически сталкивающихся с этими проблемами) на стадии выбора СЗИ от НСД.