Аппаратные и программные средства информационной защиты предприятия. Аппаратные меры защиты информации в локальном офисном компьютере Аппаратные средства защиты информационных систем

Инженерно-технические методы и средства защиты информации

Защита от несанкционированного доступа к информационной системе

Существуют следующие виды способов защиты информации от несанкционированного доступа к информационной системе:

1. Обеспечение системы разноуровневого доступа к информации в автоматизированных информационных системах;

2. Аутентификация пользователей КС.

· Аутентификация пользователей на основе паролей и модели «рукопожатия»

· Аутентификация пользователей по их биометрическим характеристикам

· Аутентификация пользователей по их клавиатурному почерку и росписи мышью

3. Программно-аппаратная защита информации от локального несанкционированного доступа;

4. Защита информации от несанкционированного доступа в операционных системах (ОС);

5. Криптографические методы и средства обеспечения информационной безопасности.

Мероприятия, проводимые по защите информации подразделяются на:

1. Организационные, к которым относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.

2. Инженерно-технические средства защиты информации

3. Программные и программно-аппаратные методы и средства обеспечения информационной безопасности

Под инженерно-техническими средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, обеспечивающие:

Защиту территории и помещений КС от проникновения нарушителей;

Защиту аппаратных средств КС и носителей информации от хищения;

Предотвращение возможности удаленного (из-за пределов охраняемой территории) видеонаблюдения (подслушивания) за работой персонала и функционированием технических средств КС;

Предотвращение возможности перехвата ПЭМИН, вызванных работающими техническими средствами КС и линиями передачи данных;

Организацию доступа в помещения КС сотрудников;

Контроль над режимом работы персонала КС;

Контроль над перемещением сотрудников КС в различных производственных зонах;

Противопожарную защиту помещений КС;

Минимизацию материального ущерба от потерь информации, возникших в результате стихийных бедствий и техногенных ава­рий.

Важнейшей составной частью инженерно-технических средств защиты информации являются технические средства охраны, которые образуют первый рубеж защиты КС и являются необходимым, но недостаточным условием сохранения конфиденциальности и целостности информации в КС.



К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств КС и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. Критерием отнесения устройства к аппаратным, а не к инженерно-техническим средствам защиты является обязательное включение в состав технических средств КС.

К основным аппаратным средствам защиты информации относятся:

Устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т.п.);

Устройства для шифрования информации;

Устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).

Примеры вспомогательных аппаратных средств защиты информации:

Устройства уничтожения информации на магнитных носителях;

Устройства сигнализации о попытках несанкционированных действий пользователей КС и др.

Аппаратные средства защиты информации – это набор средств для защиты безопасности информации и информационных систем, которые реализованы на аппаратном уровне. Эти компоненты являются незаменимыми в понятии безопасности информационных систем, но разработчики аппаратного обеспечения предпочитают оставлять вопрос безопасности программистам.

Средства защиты информации: история создания модели

Проблема защиты стала объектом рассмотрения большого количества мировых фирм. Вопрос не оставил без интереса и фирму Intel, которая разработала систему 432. Но возникшие обстоятельства привели этот проект к неудаче, поэтому система 432 не обрела популярности. Существует мнение, что эта причина стала основой того, что остальные фирмы не стали пытаться реализовывать этот проект.

Именно создание вычислительной базы «Эльбрус-1» разрешило вопрос аппаратной . Вычислительный проект «Эльбрус-1» был создан группой советских разработчиков. Они внесли в разработку основополагающую идею контроля над типами, которая используется на всех уровнях информационных систем. Разработка стала популярно использоваться и на аппаратном уровне. Вычислительная база «Эльбрус-1» была реализована планомерно. Многие считают, что именно такой подход обеспечил успех советских разработчиков.

На видео – интересные материалы о системах защиты информации:

Обобщенная модель системы защиты информации

Создатели «Эльбрус-1» внесли в разработку свою модель защиты информационной системы. Она выглядела следующим образом.

Сама информационная система может быть представлена как некое информационное пространство, которое способно обслуживать и обрабатывать устройство.

Система вычислений имеет модульный тип, то есть процесс разбит на несколько блоков (модулей), которые располагаются во всем пространстве информационной системы. Схема метода разработки очень сложна, но ее можно представить обобщенно: устройство, которое находится под обработкой программы, способно делать запросы к информационному пространству, проводя его чтение и редактирование.

Для того чтобы иметь четкое представление того, о чем идет речь, необходимо внести следующие определения:

  • Узел – это отдельная локация информации произвольного объема с приложенной к ней ссылкой, которая указывается из обрабатывающего устройства;
  • Адрес – путь, хранящий информацию и имеющий к ней доступ для редактирования. Задача системы заключается в том, чтобы обеспечивался контроль над используемыми ссылками, которые находятся под управлением операций. Должен осуществляться запрет на использование данных другого типа. Цель системы еще предусматривает такое условие, чтобы адрес поддерживал ограничение модификаций в операциях с аргументами иного типа;
  • Программный контекст – совокупность данных, которые доступны для вычислений в блочном режиме (модульный режим);
  • Базовые понятия и средства функциональности в моделях аппаратной защиты информации.

Сначала следует создать узел произвольного объема, который будет хранить данные. После появления узла произвольного объема новый узел должен быть подобен следующему описанию:

  • Узел должен быть пуст;
  • Узел должен предусматривать доступ только для одного обрабатывающего устройства через указанную ссылку.

Удаление узла:

  • При попытке получить доступ к удаленному узлу должно происходить прерывание.
  • Замена контекста или редактирование процедуры выполняемой обрабатывающим устройством.

Появившийся контекст имеет следующий состав:

  • В контексте содержатся глобальные переменные, которые были переданы с помощью ссылки из прошлого контекста;
  • Часть параметров, которые были переданы копированием;
  • Данные из локальной сети, появившиеся в созданном модуле.

Основные правила, согласно которым должны реализовываться методы переключения контекста:

  • Аутентификация добавленного контекста (к примеру, уникальный адрес, который позволяет перескакивать между контекстами);
  • Сам переход контекста (выполнение уже имеющегося кода после перехода контекста невозможно, соответственно, с правами защищенности);
  • Процессы формирования ссылки или иной схемы для аутентификации и перехода контекста.

Осуществить эти операции можно несколькими способами (даже без уникальных ссылок), однако принципы выполнения должны быть в обязательном виде:

  • Входная точка в контекст определяется непосредственно внутри данного контекста;
  • Подобная информация открыта для видимости другим контекстам;
  • Исходный код и сам контекст переключаются синхронно;
  • Средства защиты информации: изучение модели.

База характеризуется следующими особенностями:

  • Защита аппаратных средств основывается на принципиальных понятиях:
    • Модуль – это единственный компонент модели защиты информации, который имеет доступ к узлу, если его создателем он сам и есть (узел может быть доступен другим компонентам модели, если модуль подразумевает добровольную передачу информации);
    • Совокупность данных из информации, которые открыты для модуля, всегда находится под контролем контекста;
  • Действующая защита построена по довольно строгим принципам, однако она не мешает работе и возможностям программиста. Некоторые модули могут работать одновременно, если они не пересекаются между собой и не мешают друг другу. Такие модули способны передавать информацию между собой. Чтобы осуществить передачу данных, нужно, чтобы каждый модуль содержал в себе адрес переключения на другой контекст.
  • Разработанная концепция является универсальной, так как она облегчает работу в системе. Строгий контроль над типами способствует качественному исправлению ошибок. К примеру, любое старание изменить адрес подразумевает мгновенное аппаратное прерывание на месте допущения ошибки. Следовательно, ошибка легко находится и доступна к быстрому исправлению.
  • Гарантируется модульность в программировании. Неверно построенная программа не мешает работе другим. Негодный модуль способен выдать только найденные ошибки в результатах.
  • Для работы в системе программисту не требуется прилагать дополнительных стараний. Помимо этого, при составлении программы, которая основывается на подобной модели, уже не стоит предусматривать права доступа и методы их передачи.

Аппаратные средства защиты: изучение архитектуры «Эльбрус»

В концепции модели «Эльбрус» существенна реализация, при которой для каждого слова в памяти имеется соответствующий тег, что служит для качественного разграничения типов.

Работа с адресом происходит следующим образом. Адрес содержит подробное описание некоторой области, по которой он ссылается, а также имеет определенный набор прав для доступа. Иными словами, это дескриптор. Он хранит всю информацию об адресе и объеме данных.

Дескриптор имеет следующие форматы:

  • Дескриптор объекта;
  • Дескриптор массива.

Дескриптор объекта незаменим в работе ООП (объектно-ориентированное программирование). В дескрипторе имеются модификаторы доступа, которые бывают приватными, публичными и защищенными. По стандарту всегда будет стоять публичная область, она доступна для видимости и использования всех компонентов исходного кода. Приватная область данных доступна для видимости в том случае, если проверяемый реестр дал на это разрешение.

При получении доступа к определенной ячейке памяти проходит проверка на определение корректности адреса.

Основные операции при работе с адресом:

  • Индексация (определение адреса на компонент массива);
  • Процесс операции CAST для дескрипторов объекта (модуляция к основному классу);
  • Компактировка (процесс ликвидации адреса, который содержал путь на удаленную память).

Средства защиты информации: методы работы с контекстами

Модульный контекст структурирован из данных, хранение которых осуществляется в памяти ОЗУ (оперативная память, или оперативное запоминающее устройство), и выдается в виде адреса на регистр определенного процесса.

Переход между контекстами – это процесс вызова или возврата процедуры. При старте процесса исходного контекстного модуля происходит его сохранение, а при запуске нового – его создание. На выходе из процедуры контекст удаляется.

Что представляет собой процесс работы защищенного стека?

В модели «Эльбрус» применим особый механизм стека, который служит для повышения производительности при распределении памяти для локальных данных. Такая реализация разделяет три основные категории стековых данных, которые классифицируют по функционалу и модификации доступа, по отношению к пользователю.

  • Форматы, данные из локального представления, а также посредствующие значения процесса, которые размещаются в процедуре стека;
  • Форматы и локальные процессы, хранящиеся в стеке, который служит памятью пользователя;
  • Соединяющая информация, которая имеет описание к прошлому (запустившемуся) процессу в стеке процедур.

Стек процедур имеет предназначение для работы с данными, которые вынесены на оперативные регистры. Для каждой процедуры характерно работать в собственном окне. Такие окна могут пересекаться с ранее установленными параметрами. Пользователь способен запросить данные только в используемом окне, которые находятся в оперативном реестре.

Стек пользователя служит для работы с данными, которые по нужде пользователя можно переместить в память.

Стек, соединяющий информацию, рассчитан на размещение информации о прошлой процедуре (вызванной ранее) и применимой при возврате. При выполнении условия безопасного программирования пользователь ограничен в доступе по отношению к изменению информации. Поэтому существует особый стек, которым могут манипулировать аппаратные средства и сама операционная система. Стек соединяющей информации построен по такому же принципу, как и стек процедур.

В стеке существует виртуальная память, и ей свойственно менять предназначение, именно поэтому возникает проблема безопасности данных. Этот вопрос имеет 2 аспекта:

  • Перепредназначение памяти (выделение памяти под освобожденное пространство): здесь чаще всего оказываются адреса, которые уже недоступны для модуля;
  • Зависшие указатели (адреса старого пользователя).

Первый аспект проблемы исправляется с помощью автоматической очистки перепредназначенной памяти. Концепция нахождения правильного пути во втором случае такова: указатели текущего фрейма можно сохранить только в используемом фрейме либо отправлять в виде параметра в вызываемый процесс (то есть происходит передача в верхний стек). Следовательно, указатели нельзя записать в глобальную область данных, передать как возвращаемое значение, а также нельзя записать в саму глубину стека.

На видео описаны современные средства защиты информации:

Средства защиты информации - это вся линейка инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных изделий, применяемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

В целом средства защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

Технические (аппаратные) средства защиты информации. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые на уровне оборудования решают задачи информационной защиты, например, такую задачу, как защита помещения от прослушивания. Они или предотвращают физическое проникновение, или, если проникновение все же случилось, препятствуют доступу к данным, в том числе с помощью маскировки данных. Первую часть задачи обеспечивают замки, решетки на окнах, защитная сигнализация и др. Вторую - генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации (защита помещения от прослушивания) или позволяющих их обнаружить.

Программные и технические средства защиты информации включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др.

Смешанные аппаратно-программные средства защиты информации реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства, такие как защита помещения от прослушивания.

Организационные средства защиты информации складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия).

Техническая защита информации как часть комплексной системы безопасности во многом определяет успешность ведения бизнеса. Основная задача технической защиты информации -- выявить и блокировать каналы утечки информации (радиоканал, ПЭМИН, акустические каналы, оптические каналы и др.). Решение задач технической защиты информации предполагает наличие специалистов в области защиты информации и оснащение подразделений специальной техникой обнаружения и блокирования каналов утечки. Выбор спецтехники для решения задач технической защиты информации определяется на основе анализа вероятныхугроз и степени защищенности объекта.

Блокираторы сотовой связи(подавители сотовых телефонов), в просторечье называемые глушителями сотовых - эффективное средство борьбы с утечкой информации по каналу сотовой связи. Глушители сотовых работают по принципу подавления радиоканала между трубкой и базой. Технический блокиратор утечки информации работает в диапазоне подавляемого канала. Глушители сотовых телефонов классифицируют по стандарту подавляемой связи (AMPS/N-AMPS, NMT, TACS, GSM900/1800, CDMA, IDEN, TDMA, UMTS, DECT, 3G, универсальные), мощности излучения, габаритам. Как правило, при определении излучаемой мощности глушителей сотовых телефонов учитывается безопасность находящихся в защищаемом помещении людей, поэтому радиус эффективного подавления составляет от нескольких метров до нескольких десятков метров. Применение блокираторов сотовой связи должно быть строго регламентировано, так как может создать неудобства для третьих лиц.

Для предотвращения вышеперечисленных угроз существуют различные способы защиты информации. Помимо естественных способов выявления и своевременного устранения причин, используют следующие специальные способы защиты информации от нарушений работоспособности компьютерных систем:

    внесение структурной, временной информации и функциональной избыточности компьютерных ресурсов;

    защита от некорректного использования ресурсов компьютерной системы;

    выявление и своевременное устранение ошибок на этапе разработки программно-аппаратных средств .

Структурная избыточность компьютерных ресурсов достигается за счет резервирования аппаратных компонентов и машинных носителей. Организация замены отказавших и своевременного пополнения резервных компонентов. Структурная избыточность составляет основу. Внесение информационной избыточности выполняется путем периодического или постоянного фонового резервирования данных. На основных и резервных носителях. Резервирование данных обеспечивает восстановление случайного или преднамеренного уничтожения или искажения информации. Для восстановления работоспособности компьютерной сети после появления устойчивого отказа кроме резервирования обычных данных, следовательно, заблаговременно резервировать и системную информацию. Функциональная избыточность компьютерных ресурсов достигается дублированием функции или внесением дополнительных функций в программно-аппаратные ресурсы. Например, периодическое тестирование и восстановление самотестирование и самовосстановление компонентов систем.

Защита от некорректного использования ресурсов компьютерных систем, заключенных в корректном функционировании программного обеспечения с позиции использования ресурсов вычислительных систем программа может четко и своевременно выполнять свои функции, но не корректно использовать компьютерные ресурсы. Например, изолирование участков оперативной памяти для операционной системы прикладных программ защита системных областей на внешних носителях.

Выявление и устранение ошибок при разработке программно-аппаратных средств достигается путем качественного выполнения базовых стадий разработки на основе системного анализа концепции проектирования и реализации проекта. Однако, основным видом угроз целостности и конфиденциальности информации является преднамеренные угрозы. Их можно разделить на 2 группы:

    угрозы, которые реализуются с постоянным участием человека;

    после разработки злоумышленником соответствующих компьютерных программ выполняется этими программами без участия человека.

Задачи по защите от угроз каждого вида одинаковы:

    запрещение несанкционированного доступа к ресурсам;

    невозможность несанкционированного использования ресурсов при осуществлении доступа;

    своевременное обнаружение факта несанкционированного доступа. Устранение их причин и последствий .

2.2 Аппаратные средства защиты информации

Средства защиты информации - совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации .

Средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

    аппаратные средства;

    программные средства;

    смешанные аппаратно-программные средства;

    организационные средства;

    шифрование данных;

    конфиденциальность.

Рассмотрим более подробно аппаратные средства защиты информации.

Аппаратные средства – технические средства, используемые для обработки данных.

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

    специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

    генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;

    устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

    специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты.

Схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных. Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы). В самом простом случае для работы сети достаточно сетевых карт и кабеля. Если же необходимо создать достаточно сложную сеть, то понадобится специальное сетевое оборудование.

Под аппаратным обеспечением средств защиты операционной системы традиционно понимается совокупность средств и методов, используемых для решения следующих задач:

    управление оперативной и виртуальной памятью компьютера;

    распределение процессорного времени между задачами в многозадачной операционной системе;

    синхронизация выполнения параллельных задач в многозадачной операционной системе;

    обеспечение совместного доступа задач к ресурсам операционной системы.

Перечисленные задачи в значительной степени решаются с помощью аппаратно реализованных функций процессоров и других узлов компьютера. Однако, как правило, для решения этих задач принимаются и программные средства, и поэтому термины “аппаратное обеспечение защиты ” и “аппаратная защита” не вполне корректны. Тем не менее, поскольку эти термины фактически общеприняты, мы будем их использовать .

Аппаратные устройства криптографической защиты – это, по сути, та же PGP, только реализованная на уровне «железа». Обычно такие устройства представляют собой платы, модули и даже отдельные системы, выполняющие различные алгоритмы шифрования «на лету». Ключи в данном случае тоже «железные»: чаще всего это смарт-карты или идентификаторы TouchMemory (iButton). Ключи загружаются в устройства напрямую, минуя память и системную шину компьютера (ридервмонтирован в само устройство), что исключает возможность их перехвата. Используются эти самодостаточные шифраторы как для кодирования данных внутри закрытых систем, так и для передачи информации по открытым каналам связи. По такому принципу работает, в частности, система защиты КРИПТОН-ЗАМОК, выпускаемая зеленоградской фирмой АНКАД. Эта плата, устанавливаемая в слот PCI, позволяет на низком уровне распределять ресурсы компьютера в зависимости от значения ключа, вводимого еще до загрузки BIOS материнской платой. Именно тем, какой ключ введен, определяется вся конфигурация системы – какие диски или разделы диска будут доступны, какая загрузится ОС, какие в нашем распоряжении будут каналы связи и так далее. Еще один пример криптографического «железа» - система ГРИМ-ДИСК, защищающая информацию, хранимую на жестком диске с IDE-интерфейсом. Плата шифратора вместе с приводом помещена в съемный контейнер (на отдельной плате, устанавливаемой в слот PCI, собраны лишь интерфейсные цепи). Это позволяет снизить вероятность перехвата информации через эфир или каким-либо иным образом. Кроме того, при необходимости защищенное устройство может легко выниматься из машины и убираться в сейф. Ридер ключей типа iButton вмонтирован в контейнер с устройством. После включения компьютера доступ к диску или какому-либо разделу диска можно получить, лишь загрузив ключ в устройство шифрования .

Защита информации от утечки по каналам электромагнитных излучений. Даже грамотная настройка и применение дополнительных программных и аппаратных средств, включая средства идентификации и упомянутые выше системы шифрования, не способны полностью защитить нас от несанкционированного распространения важной информации. Есть канал утечки данных, о котором многие даже не догадываются. Работа любых электронных устройств сопровождается электромагнитными излучениями. И средства вычислительной техники не являются исключением: даже на весьма значительном удалении от электроники хорошо подготовленному специалисту с помощью современных технических средств не составит большого труда перехватить создаваемые вашей аппаратурой наводки и выделить из них полезный сигнал. Источником электромагнитных излучений (ЭМИ), как правило, являются сами компьютеры, активные элементы локальных сетей и кабели. Из этого следует, что грамотно выполненное заземление вполне можно считать разновидностью «железной» системы защиты информации. Следующий шаг - экранирование помещений, установка активного сетевого оборудования в экранированные шкафы и использование специальных, полностью радиогерметизированных компьютеров (с корпусами из специальных материалов, поглощающих электромагнитные излучения, и дополнительными защитными экранами). Кроме того, в подобных комплексах обязательно применение сетевых фильтров и использование кабелей с двойным экранированием. Разумеется, о радиокомплектах клавиатура-мышь, беспроводных сетевых адаптерах и прочих радиоинтерфейсах в данном случае придется забыть. Если же обрабатываемые данные сверхсекретны, в дополнение к полной радиогерметизации применяют еще и генераторы шума. Эти электронные устройства маскируют побочные излучения компьютеров и периферийного оборудования, создавая радиопомехи в широком диапазоне частот. Существуют генераторы, способные не только излучать такой шум в эфир, но и добавлять его в сеть электропитания, чтобы исключить утечку информации через обычные сетевые розетки, иногда используемые в качестве канала связи .

Выйдя в интернет и организовав доступ к своим серверам, учреждение фактически открывает всему миру некоторые ресурсы своей собственной сети, тем самым делая ее доступной для несанкционированного проникновения. Для защиты от этой угрозы между внутренней сетью организации и интернетом обычно устанавливают специальные комплексы - программно-аппаратные брандмауэры (межсетевые экраны). В простейшем случае брандмауэром может служить фильтрующий маршрутизатор. Однако для создания высоконадежных сетей этой меры бывает недостаточно, и тогда приходится использовать метод физического разделения сетей на открытую (для доступа в интернет) и закрытую (корпоративную). У этого решения есть два серьезных недостатка. Во-первых, сотрудникам, которым по долгу службы необходим доступ в обе сети, приходится ставить на рабочее место второй ПК. В результате рабочий стол превращается в пульт оператора центра управления полетом или авиадиспетчера. Во-вторых, и это главное, приходится строить две сети, а это немалые дополнительные финансовые затраты и сложности с обеспечением защиты от ЭМИ (ведь кабели обеих сетей приходится проводить по общим коммуникациям). Если со второй проблемой приходится мириться, то устранить первый недостаток довольно просто: поскольку человек не в состоянии работать за двумя отдельными компьютерами одновременно, необходимо организовать специальное автоматизированное рабочее место (АРМ), предполагающее сеансовый характер работы в обеих сетях. Такое рабочее место - обычный компьютер, снабженный устройством управления доступом (УУД), в котором имеется переключатель сетей, выведенный на лицевую панель системного блока. Именно к устройству доступа и подключены жесткие диски компьютера. Каждый сеанс работы осуществляется под управлением своей операционной системы, загружаемой с отдельного жесткого диска. Доступ к накопителям, не участвующим в текущем сеансе работы, при переключении между сетями полностью блокируется .

Нет более надежной защиты данных, чем их полное уничтожение. Но уничтожить цифровую информацию не так-то просто. Кроме того, бывают случаи, когда от нее нужно избавиться мгновенно. Первую проблему можно решить, если основательно разрушить носитель. Именно для этого придуманы различные утилизаторы. Одни из них работают в точности как офисные шредеры (уничтожители бумаг), механически измельчая дискеты, магнитные и электронные карты, CD- и DVD-диски. Другие представляют собой специальные печи, в которых под воздействием высоких температур или ионизирующего излучения разрушаются любые носители, включая жесткие диски. Так, электродуговые и электроиндукционные установки могут разогреть носитель до температуры 1000-1200 К (примерно 730-930°C), а в комбинации с химическим воздействием, например с использованием самораспространяющегося высокотемпературного синтеза (СВС), обеспечивается быстрый разогрев вплоть до 3000 К. После воздействия на носитель таких температур восстановить имевшуюся на нем информацию невозможно. Для автоматического уничтожения данных используются специальные модули, которые могут встраиваться в системный блок или исполняться как внешнее устройство с установленными в нем накопителями информации. Команда на полное уничтожение данных для таких аппаратов подается обычно дистанционно со специального брелока или с любых датчиков, которые вполне могут отслеживать как вторжение в помещение, так и несанкционированный доступ к устройству, его перемещение или попытку отключения питания. Информация в таких случаях уничтожается одним из двух способов:

    физическое разрушение накопителя (обычно химическими средствами)

    стирание информации в служебных областях дисков.

Восстановить работоспособность накопителей после уничтожения служебных областей можно с помощью специальной аппаратуры, но данные будут потеряны безвозвратно. Подобные устройства исполняются в различных вариантах - для серверов, настольных систем и ноутбуков. Существуют также специальные модификации, разработанные для Министерства обороны: это полностью автономные комплексы с повышенной защитой и абсолютной гарантией срабатывания. Самый большой недостаток подобных систем – невозможность абсолютной страховки от случайного срабатывания. Можно себе представить, каким будет эффект, если, например, гражданин, осуществляющий техническое обслуживание, вскроет системный блок или отключит кабель монитора, забыв при этом заблокировать устройство защиты.

К аппаратным методам защиты относят разные устройства по принципу работы, по техническим конструкциям которые реализуют защиту от разглашения, утечки и НСД доступу к источникам информации. Такие средства применяют для следующих задач:

  • Выявление линий утечки данных на разных помещения и объектах
  • Реализация специальных статистических исследований технических методов обеспечения деятельности на факт наличия линий утечки
  • Локализация линий утечки данных
  • Противодействие по НСД к источникам данных
  • поиск и обнаружение следов шпионажа

Аппаратные средства можно классифицировать по функциональному назначению на действия обнаружения, измерений, поиска, пассивного и активного противодействия. Также средства можно делить на простоту использования. Разработчики устройств пытаются все больше упростить принцип работы с устройством для обычных пользователей. К примеру группа индикаторов электромагнитных излучений вида ИП, которые обладают большим спектром входящих сигналов и низкой чувствительностью. Или же комплекс для выявления и нахождения радиозакладок, которые предназначены для обнаружения и определения местонахождения радиопередатчиков, телефонных закладок или сетевых передатчиков. Или же комплекс Дельта реализовывает:

  • автоматическое нахождение места нахождение микрофонов в пространстве определенного помещения
  • Точное обнаружение любых радиомикрофонов которые есть в продаже, и других излучающих передатчиков.

Поисковые аппаратные средства можно поделить на методы съем данных и ее исследование линий утечки. Устройства первого вида настроены на локализацию и поиск уже внедренных средств НСД, а второго типа для выявления линий утечки данных. Для использования профессиональной поисковой аппаратуры нужно большой квалификации пользователя. Как в другой любой сфере техники, универсальность устройства приводит к снижению его отдельных параметров. С другой точки зрения, есть очень много разных линий утечки данных по своей физической природе. Но большие предприятия могут себе позволить и профессиональную дорогую аппаратуру и квалифицированных сотрудников по этим вопросам. И естественно такие аппаратные средства будут лучше работать в реальных условиях, то бишь выявлять каналы утечек. Но это не значит, что не нужно использовать простые дешевые средства поиска. Такие средства просты в использовании и в ускоспециализированных задачах будут проявлять себя не хуже.

Аппаратные средства могут применяться и к отдельным частям ЭВМ, к процессору, оперативной памяти, внешних ЗУ, контроллерах ввода-вывода, терминалах и тд. Для защиты процессоров реализуют кодовое резервирование — это создание дополнительных битов в машинных командах и резервных в регистрах процессора. Для защиты ОЗУ реализуют ограничение доступа к границам и полям. Для обозначения уровня конфиденциальности программ или информации, применяются дополнительные биты конфиденциальности с помощью которых реализуется кодирование программ и информации. Данные в ОЗУ требуют защиты от НСД. От считывания остатков информация после обработки их в ОЗУ используется схема стирания. Эта схема записывает другую последовательность символов по весь блок памяти. Для идентификации терминала используют некий генератор кода, который зашит в аппаратуру терминала, и при подключении он проверяется.

Аппаратные методы защиты данных — это разные технические приспособления и сооружения, которые реализуют защиту информации от утечки, разглашения и НСД.

Программные механизмы защиты

Системы защиты рабочей станции от вторжения злоумышленником очень разнятся, и классифицируются:

  • Методы защиты в самой вычислительной системы
  • Методы личной защиты, которые описаны программным обеспечением
  • Методы защиты с запросом данных
  • Методы активной/пассивной защиты

Подробно про такую классификацию можно посмотреть на рис.1.

Рисунок — 1

Направления реализации программной защиты информации

Направления которые используют для реализации безопасности информации:

  • защита от копирования
  • защита от НСД
  • защита от вирусов
  • защита линий связи

ПО каждому из направлений можно применять множество качественных программных продуктов которые есть на рынке. Также Программные средства могут иметь разновидности по функционалу:

  • Контроль работы и регистрации пользователей и технических средств
  • Идентификация имеющихся технических средств, пользователей и файлов
  • Защита операционных ресурсов ЭВМ и пользовательских программ
  • Обслуживания различных режимов обработки данных
  • Уничтожение данных после ее использования в элементах системы
  • Сигнализирование при нарушениях
  • Дополнительные программы другого назначения

Сферы программной защиты делятся на Защиты данных (сохранение целостности/конфиденциальности) и Защиты программ (реализация качество обработки информации, есть коммерческой тайной, наиболее уязвимая для злоумышленника). Идентификация файлов и технических средств реализуется программно, в основе алгоритма лежит осмотр регистрационных номеров разных компонентов системы. Отличным методов идентификации адресуемых элементов есть алгоритм запросно-ответного типа. Для разграничения запросов различных пользователей к разным категориям информации применяют индивидуальные средства секретности ресурсов и личный контроль доступа к ним пользователями. Если к примеру одну и тот же файл могут редактировать разные пользователи, то сохраняется несколько вариантов, для дальнейшего анализа.

Защита информации от НСД

Для реализации защиты от вторжения нужно реализовать основные программные функции:

  • Идентификация объектов и субъектов
  • Регистрация и контроль действия с программами и действиями
  • Разграничения доступа к ресурсам системы

Процедуры идентификации подразумевают проверки есть ли субъект, который пытается получить доступ к ресурсам, тем за кого выдает себя. Такие проверки могут быть периодическими или одноразовыми. Для идентификации часто в таких процедурах используются методы:

  • сложные,простые или одноразовые пароли;
  • значки,ключи,жетоны;
  • специальные идентификаторы для апаратур, данных, программ;
  • методы анализа индивидуальных характеристик (голос, пальцы, руки, лица).

Практика показывает что пароли для защиты есть слабым звеном, так как его на практике можно подслушать или подсмотреть или же разгадать. Для создания сложного пароля, можно прочитать эти рекомендации . Объектом, доступ к которому тщательно контролируется, может быть запись в файле, или сам файл или же отдельное поле в записи файла. Обычно множество средств контроля доступа черпает данные с матрицы доступа. Можно также подойти к контролю доступа на основе контроле информационных каналов и разделении объектов и субъектов доступа на классы. Комплекс программно-технических методов решений в безопасности данных от НСД реализуется действиями:

  • учет и регистрация
  • управление доступом
  • реализация средств

Также можно отметить формы разграничения доступа:

  • Предотвращение доступа:
      • к отдельным разделам
      • к винчестеру
      • к каталогам
      • к отдельным файлам

    к сменным носителям данных

  • защита от модификации:
    • каталогов
    • файлов
  • Установка привилегий доступа к группе файлов
  • Предотвращение копирования:
    • каталогов
    • файлов
    • пользовательских программ
  • Защита от уничтожения:
    • файлов
    • каталогов
  • Затемнение экрана спустя некоторое время.

Общие средства защиты от НСД показаны на рис.2.

Рисунок — 2

Защита от копирования

Методы защиты от копирования предотвращают реализацию ворованных копий программ. Под методами защиты от копирования подразумевается средства, которые реализуют выполнения функций программы только при наличия уникального некопируемого элемента. Это может быть часть ЭВМ или прикладные программы. Защита реализуется такими функциями:

  • идентификация среды, где запускается программа
  • аутентификация среды, где запускается программа
  • Реакция на старт программы из несанкционированной среды
  • Регистрация санкционированного копирования

Защита информации от удаления

Удаление данных может реализовываться при ряда мероприятий таких как, восстановление, резервирование, обновления и тд. Так как мероприятия очень разнообразны, подогнать их под они правила тяжело. Также это может быть и вирус, и человеческий фактор. И хоть от вируса есть противодействие, это антивирусы. А вот от действий человека мало противодействий. Для уменьшения рисков от такой есть ряд действий:

  • Информировать всех пользователей про ущерб предприятия при реализации такой угрозы.
  • Запретить получать/открывать программные продукты, которые есть посторонние относительно информационной системы.
  • Также запускать игры на тех ПК где есть обработка конфиденциальной информации.
  • Реализовать архивирование копий данных и программ.
  • Проводить проверку контрольных сумм данных и программ.
  • Реализовать СЗИ.