И захисту інформації від несанкціонованого доступу

Несанкціонований доступ до інформації - це незаплановане ознайомлення, обробка, копірова-ня, застосування різних вірусів, в тому числі руйнуючої-шує програмні продукти, а також модифікація або знищення інформації в порушення встановлено-них правил розмежування доступу.

Тому, в свою чергу, захист інформації від не санкціонованого доступу покликана не допустити зло-умишленніка до носія інформації. У захисті інфор-мації комп'ютерів і мереж від несанкціонованого доступу можна виділити три основні напрямки:

- орієнтується на недопущення порушника до обчислюва-лительного середовищі і ґрунтується на спеціальних технічних засобах опоз-Навані користувача;

- пов'язане з захистом обчислювального середовища і ґрунтується на створенні спеці-ного програмного забезпечення;

- пов'язане з використанням спеціальних засобів захисту інформації компьюте-рів від несанкціонованого доступу.

Слід мати на увазі, що для вирішення кожного із завдань застосовуються як різні технології, так і різні засоби. Вимоги до засобів захисту, їх харак-теристики, функції ними виконуються і їх класифікація, а також терміни і визна-ділення по захисту від несанкціонованого доступу наведені в керівних документах Державної технічної комісії:

- «Автоматизовані системи. Захист від несанкціонованого доступу до ін-формації. Класифікація АС і вимоги щодо захисту інформації »;

- «Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації »;

- «Захист від несанкціонованого доступу до інформації. Терміни та визначення". Технічні засоби, що реалізують функції захисту можна розділити на:

И захисту інформації від несанкціонованого доступу

До вбудованих засобів захисту персонального комп'ютера і програмного забезпе-чення (рис. 3.12) відносяться кошти парольного захисту BIOS, операційної систе-ми, СУБД. Дані кошти можуть бути відверто слабкими - BIOS з паролем супервізора, парольний захист Win95 / 98, але можуть бути і значно більш стійкими - BIOS без паролів супервізора, парольний захист Windows NT, СУБД ORACLE. Іс-користування сильних сторін цих коштів дозволяє значно посилити систему захисту інформації від несанкціонованого доступу.

Зовнішні засоби покликані підмінити вбудовані засоби з метою посилення за-щити, або доповнити їх відсутніми функціями.

До них можна віднести:

- апаратні засоби довіреної завантаження;

- апаратно-програмні комплекси поділу повноважень користувачів на доступ;

- кошти посиленою аутентифікації мережевих з'єднань.

Апаратні засоби довіреної завантаження представляють собою вироби, іноді називаючи-ються «електронним замком», чиї функції полягають в надійної ідентифікації користу-Ватель, а також в перевірці цілісності програмного забезпечення комп'ютера. Зазвичай це плата розширення персонального комп'ютера, з необхідним програмним забезпе-ням, записаним або в Flash-пам'ять плати, або на жорсткий диск комп'ютера.

Принцип їх дії простий. У процесі завантаження стартує BIOS і плати захисту від несанкціонованого доступу. Він запитує ім'я користувача та порівнює його з збереженим у Flash-пам'яті карти. Ідентифікатор додатково можна захищати паролем. Потім стартує вбудована операційна система плати або комп'ютера (найчастіше це ва-риант MS-DOS), після чого стартує програма перевірки цілісності програмного забезпечення. Як правило, перевіряються системні області завантажувального диска, загру-зочний файли і файли, що задаються самим користувачем для перевірки. Перевірка осу-ється або на основі имитовставки алгоритму ГОСТ 28147-89, або на основі функції хешування алгоритму ГОСТ Р 34.11-34 чи іншого алгоритму. Результат про-перевірки порівнюється з збереженим у Flash-пам'яті карти. Якщо в результаті порівняння при перевірці ідентифікатора або цілісності системи виявиться відмінність з еталоном, то плата заблокує подальшу роботу, і видасть відповідне повідомлення на ек-ран. Якщо перевірки дали позитивний результат, то плата передає управління пер-сональному комп'ютера для подальшого завантаження операційної системи.

Всі процеси ідентифікації і перевірки цілісності фіксуються в журналі. Переваги пристроїв даного класу - їх висока надійність, простота і невисо-кая ціна. При відсутності роботи багатьох користувачів на комп'ютері функцій за-щити даного засобу зазвичай достатньо.

Апаратно-програмні комплекси поділу повноважень на доступ використовуються в разі роботи декількох користувачів на одному комп'ютері, якщо постає завдання поділу їх повноважень на доступ до даних один одного. Рішення даного завдання базується на: 01 заборону користувачам запусків певних програм і процесів; Q вирішенні користувачам і запускаються ними додатків лише визначений-ного типу дії з даними.

Реалізація заборон і дозволів досягається різними способами. Як пра-вило, в процесі старту операційної системи запускається і програма захисту від несанкціонованого доступу. Вона присутня в пам'яті комп'ютера, як Резида-тний модуль і контролює дії користувачів на запуск додатків і обра-вання до даних. Всі дії користувачів фіксуються в журналі, який дост-пен тільки адміністратору безпеки. Під засобами цього класу зазвичай і розуміють засоби захисту від несанкціонованого доступу. Вони представляють со-бій апаратно-програмні комплекси, що складаються з апаратної частини - плати до-вірний завантаження комп'ютера, яка перевіряє тепер додатково і цілісність-ність програмного забезпечення самої системи захисту від несанкціонованого доступу на жорсткому диску, і програмної частини - програми адміністратора, резидентного модуля . Ці про-грами розташовуються в спеціальному каталозі і доступні лише адміністратору. Дан-ні системи можна використовувати і в одного користувача системі для обмеження користувача по установці і запуску програм, які йому не потрібні в роботі.

Засоби посиленою аутентифікації мережевих з'єднань застосовуються в тому слу-чаї, коли робота робочих станцій в складі мережі накладає вимоги для захисту ресурсів робочої станції від загрози несанкціонованого проникнення на робо-чую станцію з боку мережі і зміни якої інформації, або програмного забезпе-чення, а також запуску несанкціонованого процесу. Захист від несанкціонованого доступу з сторо-ни мережі досягається засобами посиленою аутентифікації мережевих з'єднань. Ця технологія отримала назву технології віртуальних приватних мереж.

Одна з основних завдань захисту від несанкціонованого доступу - забезпечення на-надійно ідентифікації користувача (рис. 3.13) і можливості перевірки автентичності лю-бого користувача мережі, якого можна однозначно ідентифікувати по тому, що він:

- з себе представляє.

И захисту інформації від несанкціонованого доступу

Що знає користувач? Своє ім'я і пароль. На цих знаннях засновані схеми па-рольної ідентифікації. Недолік цих схем - йому необхідно запам'ятовувати складність ні паролі, чого дуже часто не відбувається: або пароль вибирають слабким, або його просто записують в записну книжку, на листок паперу і т. П. У разі використан-ня тільки пральний захисту вживають належних заходів для забезпечення управ-ленням створення паролів, їх зберіганням, для стеження за закінченням терміну їх ис-користування та своєчасного видалення. За допомогою криптографічного закриття паролів можна в значній мірі вирішити цю проблему і утруднити злоумиш-ленниками подолання механізму аутентифікації.

Що ж являє собою користувач? Це ті ознаки, які притаманні тільки цьому користувачеві, тільки йому, що забезпечують біометричну ідентифікацію. Ідентифікатором може бути відбиток пальця, малюнок райдужної оболонки очей, відбиток долоні і т. П. В даний час - це найбільш перспективний напрямок розвитку засобів ідентифікації. Вони надійні і в той же час не вимагають від користування земельними діл-теля додаткового знання чого-небудь або постійного володіння чим-небудь. З розвитку третьому технологи і вартість цих коштів стає доступною кожної організації.

Гарантована перевірка особи користувача є завданням різних механізмів ідентифікації і аутентифікації.

Кожному користувачеві (групі користувачів) мережі призначається певний відмітний ознака - ідентифікатор і він порівнюється із затвердженим переч-ньому. Однак тільки заявлений ідентифікатор в мережі не може забезпечити захист від несанкціонованого підключення без перевірки особистості користувача.

Процес перевірки особистості користувача отримав назву - аутентифікації. Він відбувається за допомогою висунутого користувачем особливого характерного при-знака - аутентифікатора, властивого саме йому. Ефективність аутентифікації оп-ределяется, перш за все, відмітними особливостями кожного користувача.

Конкретні механізми ідентифікації і аутентифікації в мережі можуть бути реа-лізованних на основі наступних засобів і процедур захисту інформації:

- криптографія з унікальними ключами для кожного користувача.

Питання про можливість застосування того чи іншого засобу вирішується в залежності від виявив-ленних загроз, технічних характеристик об'єкта, що захищається. Не можна однозначно стверджувати, що застосування апаратного кошти, що використовує криптографію, додасть системі більшу надійність, ніж використання програмного.

Аналіз захищеності інформаційного об'єкта і виявлення загроз його безпека-ності - вкрай складна процедура. Не менш складна процедура - вибір техно-гий і засобів захисту для ліквідації виявлених загроз. Рішення даних завдань промінь-ше доручити фахівцям, що мають багатий досвід.