Захист від несанкціонованого доступу

При розгляді питань, пов'язаних з отриманням інформації, що зберігається і оброблюваної в комп'ютерних системах, під основними способами несанкціонованого доступу передбачалися такі:

• подолання програмних засобів захисту;

• перехоплення інформації в каналах зв'язку;

• використання програмних закладок;

• використання апаратних закладок;

• перехоплення побічних електромагнітних випромінювань і наведень (ПЕМВН).

При розгляді методів захисту ми не будемо розділяти їх з перерахованих вище способів, так як у багатьох випадках одні й ті ж методи виявляються ефективним засобом запобігання різних видів несанкціонованого доступу.

Основними способами захисту є наступні:

• аутентифікація користувачів на етапі реєстрації їх повноважень;

• фізичний захист комп'ютерних систем;

• виявлення програмних і апаратних закладок;

Ці (і інші) способи в тих чи інших поєднаннях реалізовані в програмних і програмно-апаратних системах захисту комп'ютерної інформації від несанкціонованого доступу. Деякі з цих систем будуть описані нижче.

Природно, що для захисту комп'ютерної інформації повинен застосовуватися весь комплекс організаційних і технічних заходів, включаючи фізичну охорону території, введення пропускного режиму, здійснення лінійного та просторового зашумлення, виявлення закладних пристроїв і т. Д. Але вони характерні для будь-яких інформаційних систем, тому тут окремо розглядатися не будуть.

Аутентифікація користувачів на етапі реєстрації їх повноважень. Розмежування доступу користувачів до ресурсів обчислювальних засобів пов'язане з використанням таких понять, як ідентифікація і аутентифікація.

Ідентифікація - це присвоєння суб'єкту (людині) або об'єкту (комп'ютера, диска і т. П.) Індивідуального образу, імені або числа, за яким він буде орієнтуватися в системі.

Аутентифікація - перевірка достовірності об'єкта або суб'єкта на основі його ідентифікаційних ознак.

Встановлення автентичності може проводитися людиною, апаратним пристроєм або програмою обчислювальної системи. В автоматизованих пристроях аутентифікації в якості ідентифікатора зазвичай використовуються:

індивідуальні фізіологічні ознаки: відбиток пальця (рис. 185), контур долоні (рис. 189), зображення сітківки ока та ін.

Захист від несанкціонованого доступу

Мал. 185. Зовнішній вигляд пристрою аутентифікації по відбитку пальця

Захист від несанкціонованого доступу

Мал. 186. Зовнішній вигляд пристрою аутентифікації по контур долоні паролі;

спеціальні пристрої-ідентифікатори (тоісь Метоген), виконані у вигляді брелків - «таблеток», пластикових магнітних карт і т.п. впізнаваних за допомогою спеціальних пристроїв зчитування інформації (див. рис. 187).

Захист від несанкціонованого доступу

Мал. 187. Пристрій зчитування встановлене на комп'ютері

Кожен з цих ознак має свої достоїнства і недоліками. Так, наприклад, паролі часто бувають тривіальними і легко вгадуються, крім того користувачі зазвичай їх записують в блокнотах; індивідуальні фізіологічні ознаки людини можуть змінюватися (наприклад, поріз пальця руки); пристрій-ідентифікатор може бути втрачено користувачем або вкрадено у нього. Тому в даний час в системах аутентифікації намагаються комплексірованние різні види ідентифікаційних ознак: пароль - відбиток руки, пароль -магнітна карта і т. Д.

В результаті аутентифікації відбувається визначення повноважень користувача по допуску до ресурсів обчислювальної системи (файлів, баз даних, сегментам пам'яті) і за видами вироблених операцій (читання, запис, виконання і т. Д.).

Проведення аутентифікації - принципово необхідний процес, притаманний усім системам захисту, інформації, роль її особливо зростає при віддаленому доступі в мережі.

Фізичний захист комп'ютерних систем передбачає застосування таких пристроїв, які б виключали доступ до інформації без порушення фізичної цілісності персонального комп'ютера.

У ряді випадків принциповим виявляється застосування заходів, що виключають негласний (в тому числі і регулярний) доступ до комп'ютера з метою копіювання або модифікування інформації. Для вирішення цього завдання як не можна краще підходять засоби фізичного захисту.

1. Опечатування системного блоку і інших елементів комп'ютерної системи спеціальними пломбами або печаткою керівника служби безпеки.

Опечатування системного блоку дозволяє виключити безконтрольне несанкціонований доступ до інформації на жорсткому диску (в обхід встановленої системи захисту) за допомогою вилучення диска і підключення його до іншого комп'ютера. Крім того, дана процедура дозволяє усунути небезпеку знаходження в вашому обчислювальному засобі апаратних закладок, природно, якщо ви подбали провести перевірку на їх відсутність до опечатування комп'ютера. Не полінуйтеся після перевірки провести опломбування та всіх інших компонентів, включаючи комутаційні кабелі, так як сучасні технології дозволяють встановити закладки і в них.

2. Встановлення спеціальних вставок в «кишеню» гнучкого дисковода, обладнаних замком з фіксацією на ключ.

Дана міра може застосовуватися як засіб захисту від негласного копіювання інформації, від зараження комп'ютера вірусами і програмними закладками.

3. Застосування спеціальних замків, які блокують клавіатуру комп'ютера. Це ефективний засіб захисту інформації від можливої ​​навмисної модифікації, а також від зараження комп'ютерними вірусами і установки програмних закладок.

Виявлення програмних і апаратних закладок. Усунення програмних закладок в персональному комп'ютері завдання близька за своєю суттю до задачі боротьби з комп'ютерними вірусами. Справа в тому, що в даний час не існує чіткої класифікації програм з потенційно небезпечними діями. Так, наприклад, зазвичай виділяють програми типу «троянський кінь», логічні бомби, віруси і деякі інші.

Під «троянським конем» при цьому розуміють програми, призначені для вирішення якихось таємних завдань, але замасковані під «благородні» програмні продукти. Класичним прикладом «троянців» можуть служити програми, виявлені в деяких програмах забезпечення фінансових операцій локальних банківських мереж. Програми ці здійснювали операцію зарахування на рахунок її власників сум, еквівалентних «півкопійки». Такі суми, що виникають в результаті банківських перерахункових операцій, повинні округлятися, тому зникнення їх залишалося непоміченим. Виявлено злодійство було тільки завдяки швидкому зростанню особистих рахунків співробітників, що відповідають за програмне забезпечення. Небувалий зростання відбувалося внаслідок величезного числа перерахункових операцій. До програм типу «троянський кінь» відносяться і програмні закладки, розглянуті вище.

Під вірусами, як зазначалося вище, розуміються програми здатні до «розмноження» і здійсненню негативних дій.

З вищесказаного випливає, що для захисту вашого комп'ютера від програмних закладок необхідно дотримуватися всіх вимог, викладені при розгляді питань боротьби з комп'ютерними вірусами. Крім того, необхідно виключити безконтрольний доступ до ваших обчислювальних засобів сторонніх осіб, що може бути забезпечено, в тому числі, завдяки застосуванню вже розглянутих засобів фізичного захисту.

Що ж стосується питань боротьби з програмними закладками - перехоплювачами паролів, то тут слід зазначити наступні заходи.

1. Вимоги щодо захисту від програм-імітаторів системи реєстрації:

• системний процес, який отримує від користувача його ім'я та пароль при реєстрації, повинен мати свій робочий стіл, недоступний іншим програмним продуктам;

• введення ідентифікаційних ознак користувача (наприклад, пароля) повинен здійснюватися з використанням комбінацій клавіш, недоступних іншим прикладним програмам;

• час на аутентифікацію має бути обмежена (приблизно 30 с), що дозволить виявляти програми-імітатори за фактом тривалого знаходження на екрані монітора реєстраційного вікна.

2. Умови, що забезпечують захист від програм-перехоплювачів паролів типу фільтр:

• заборонити перемикання розкладок клавіатур під час введення пароля;

• забезпечити доступ до можливостей конфігурації ланцюжків програмних модулів і до самих модулів, які беруть участь в роботі з паролем користувача, тільки системного адміністратора.

3. Захист від проникнення заступників програмних модулів системи аутентифікації не передбачає якихось певних рекомендацій, а може бути реалізована тільки на основі проведення перманентної продуманої політики керівника служби безпеки і системного адміністратора; деяким розрадою тут може служити мала ймовірність застосування вашими конкурентами програм-заступників зважаючи на складність їх практичної реалізації.

Найбільш повно всім викладеним вимогам щодо захисту від програмних закладок -перехватчіков паролів відповідає операційна система Windows NT і частково UNIX.

Виявленням апаратних закладок професійно можуть займатися тільки організації, що мають ліцензію від Федерального агентства урядового зв'язку та інформації на цей вид діяльності. Ці організації мають відповідною апаратурою, методиками і підготовленим персоналом. Кустарно можна виявити тільки самці примітивні апаратні закладки. Якщо ж ви відчуваєте певні фінансові труднощі і не можете собі дозволити укласти відповідний договір, то зробите хоча б заходи фізичного захисту вашого комп'ютера.

Кодування інформації забезпечує найвищий рівень захисту від несанкціонованого доступу. В якості найпростішого виду кодування може розглядатися звичайна компресія даних за допомогою програм-архіваторів, але так як захистити вона може лише від некваліфікованого користувача, то і розглядатися архівування як самостійний спосіб захисту не повинно. Однак таке кодування дозволяє підвищити криптостойкость інших методів при їх спільному використанні.

Чи не торкаючись основних методів кодування розглянемо тільки приклади програмно-апаратних і програмних систем захисту інформації, в яких кодування виступає одним з рівноправних елементів поряд з іншими методами захисту.

Програмно-апаратний комплекс «Акорд». У його склад входить одноплатовий контроллер, що вставляється у вільний слот комп'ютера, контактний пристрій аутентифікації, програмне забезпечення та персональні ідентифікатори DS199x Touch Memory у вигляді таблетки. Контактний пристрій (знімач інформації) встановлюється на передній панелі комп'ютера, а аутентифікація здійснюється шляхом дотику «таблетки» (ідентифікатора) до знімачами. Процес аутентифікації здійснюється до завантаження операційної системи. ко-

дирования інформації передбачено як додаткова функція і здійснюється за допомогою додаткового програмного забезпечення.

Програмно-апаратний комплекс «Dallas LockЗ.1». Надає широкі можливості щодо захисту інформації, в тому числі: забезпечує реєстрацію користувачів до завантаження операційної системи і тільки по пред'явленню особистої електронної карти Touch Memory і введенні пароля; реалізує автоматичну і примусове блокування комп'ютера з гасінням екрану монітора на час відсутності зареєстрованого користувача; здійснює гарантоване стирання файлів при їх видаленні; виконує завадостійке кодування файлів.

Програмна система захисту інформації «Кобра». Здійснює аутентифікацію користувачів за паролем і розмежування їх повноважень. Дозволяє працювати в режимі прозорого шифрування. Забезпечує високий ступінь захисту інформації в персональних ЕОМ.

Програмна система захисту «Сніг-1.0». Призначена для контролю та розмежування доступу до інформації, що зберігається в персональному комп'ютері, а також захист інформаційних ресурсів робочої станції локальної обчислювальної мережі. «Сніг-1.0» включає в себе сертифіковану систему кодування інформації «Іній», побудовану з використанням стандартного алгоритму криптографічного перетворення даних ГОСТ 28147-89.

Як приклад системи, яка виконує тільки кодування інформації, можна привести пристрій «Криптон-ЗМ».

Нагадуємо, що в даному підрозділі розглядалися методи захисту, характерні виключно для комп'ютерних мереж. Однак повноцінний захист інформації в обчислювальних засобах неможлива без комплексного застосування всіх вищеописаних організаційних і технічних заходів.

Якщо робота вашої фірми пов'язана з виконанням державного замовлення, то швидше за все вам не обійтися без отримання ліцензії на роботу з державною таємницею, а отже і перевірки апаратури на наявність можливо впроваджених «закладок» і на наявність і небезпека технічних каналів витоку інформації. Однак якщо такої необхідності немає, то в ряді випадків можна обійтися і своїми силами, так як вартість подібних робіт все ж досить висока.