Аппаратные средства защиты информационных систем - средства защиты информации и информационных систем, реализованных на аппаратном уровне. Данные средства являются необходимой частью безопасности информационной системы , хотя разработчики аппаратуры обычно оставляют решение проблемы информационной безопасности программистам.

Эта проблема привлекла внимание многих фирм, в том числе и такой как Intel . В 80-х годах была разработана система 432. Но проект постигла неудача. Возможно, именно после неудачи "гранда" другие фирмы отказались от этой идеи.

Задача аппаратной защиты вычислений была решена советскими разработчиками созданием вычислительного комплекса Эльбрус 1 . В основе лежит идея контроля типов на всех уровнях системы, в том числе и на аппаратном. И основная заслуга разработчиков в планомерной ее реализации.

Общая модель защищенной системы ==кк Разработчиками Эльбруса была предложена следующая модель защищённой информационной системы .

Информационную систему в общем случае можно представить, как информационное пространство и обслуживающее его обрабатывающее устройство. Вычисления разбиваются на отдельные вычислительные модули, расположенные в информационном пространстве. Схему реализации вычислений можно представить следующим образом: обрабатывающее устройство под руководством программы может обращаться к этому пространству, читая и редактируя его.

Для описания системы введем понятия

• ссылка
• контекст программы

Узел - ячейка данных произвольного объема вместе со cсылкой на нее из обрабатывающего устройства.

Cсылка не только описывает данные, но и содержит все права доступа к ним. Система должна обеспечивать контроль над тем, чтобы в операциях, использующих ссылки, не были использованы данные других типов а в операциях с аргументами других типов ссылка не могла быть модифицирована.

Контекст программы - множество всех данных доступных для вычислений в конкретном модуле.

Базовая функциональность модели защищенной информационной системы

Создание узла произвольного объема для хранения данных

После появления новый узел должен быть

• доступен только данному обрабатывающему устройству и только через данную ссылку

Удаление узла .

• попытка использования ссылок на удаленные узлы должна приводить к системным прерываниям

Cмена контекста или смена процедуры исполняемой обрабатывающим устройством.

Новый контекст состоит из трех частей:

• глобальные переменные, переданные по ссылке из старого контекста
• часть, переданная копированием значения (параметры)
• локальные данные, созданные в новом модуле

Общие методы и требования к переключению контекста:

• Идентификация нового контекста (например, особая ссылка на него, позволяющая лишь переключаться между контекстами)
• Непосредственно переключение контекста(исполнение старого кода после переключения контекста запрещено, исходя из принципов защищенности)
• Операции формирования ссылки или другой структуры для идентификации и переключения контекста

Реализации могут быть разными(в том числе и без особых ссылок), но должны быть выдержаны основные принципы:

• точки входа в контекст формируются внутри самого этого контекст
• эта информация делается доступной другим контекстам
• код и контекст переключаются одновременно

Анализ модели

1. Защищенность системы базируется на следующих принципах:
   • доступ к узлу имеет только модуль, создавший его, если только он добровольно не передаст ссылку кому-либо еще
   • множество данных, доступных модулю, в любой момент времени строго контролируется контекстом
2. Результирующая защита предельно строгая, но она не ограничивает возможности программиста. Различные не пересекающиеся модули могут работать в одной программе, вызывая друг друга и обмениваясь данными. Для этого достаточно, чтобы каждый из них содержал особую ссылку для переключения контекста на другой.
3. Построенная система значительно упрощает поиск и иcправление ошибок благодаря строгому контролю типов. Например, попытка изменить ссылку сразу приведет к аппаратному прерыванию в месте ошибки. После чего ее легко можно отследить и исправить.
4. Обеспечивается модульность программирования. Неправильная работа программы никак не повлияет на другие. «Испорченный» модуль может лишь выдать неверные результаты.
5. Для использования системы от программиста не требуется дополнительных усилий. Кроме того, при написании программы под такую модель уже нет необходимости дополнительно оговаривать права доступа, способы их передачи и т. д.

Архитектура Эльбрус

В архитектуре Эльбрус для разграничения типов данных вместе с каждым словом в памяти хранится его тег . По тегу можно определить является ли данное слово ссылкой или принадлежит к какому-либо специальному типу данных.

Ссылки и работа с ними

Возможны следующие форматы дескриптора:

• дескриптор объекта
• дескриптор массива

Дескриптор объекта служит для поддержания объектно-ориентированного программирования и содержит дополнительно описание приватной и публичной областей. Обращение в публичную область стандартно(сложение базового адреса и индекса вместе с последующим контролем размера. Если в командах обращения в память стоит признак приватных данных, то для разрешения обращения проверяется специальный регистр в процессоре, который хранит тип объекта, когда работают программы обработки данного типа. Таким образом, внутри программы становятся доступными приватные данные объектов этого типа.

При доступе к ячейке памяти проверяется корректность ссылки.

• индексация(выработка ссылки на элемент массива)
• операция CAST для дескрипторов объекта(преобразование к базовому классу)
• компактировка(уничтожает ссылки на удаленную память и плотно компактирует занятую память)

Контексты и и методы работы с ними

Контекст модуля состоит из данных хранящихся в оперативной памяти и в файлах, и подается в виде ссылки на регистры процессора.

Переключение контекста - это, по сути, вызов процедуры или возврат из нее. При запуске процедуры полный контекст исходного модуля сохраняется, а нового - создается. При выходе из процедуры ее контекст уничтожается.

Реализация защищенного стека

При реализации процедурного механизма в Эльбрусе, для повышения эффективности выделения памяти для локальных данных используется механизм стека .

Стековские данные подразделяются на три группы по своим функциональным характеристикам и уровню доступности для пользователя:

• параметры, локальные данные и промежуточные значения процедуры, размещенные в оперативных регистрах(стек процедур);
• параметры и локальные процедуры, размещенные в памяти(стек пользователя);
• «связующая информация», описывающая предыдущую (запустившую) процедуру в стеке процедур(стек связующей информации);

Стек процедур предназначен для данных, вынесенных на оперативные регистры. Каждая процедура работает только в своем окне, которое может пересекаться с предыдущим окном областью параметров (она же является областью возвращаемых значений). Обращение за данными (для пользователя) возможно только в текущее окно, всегда расположенное на оперативных регистрах.

Стек пользователя предназначен для данных, которые пользователь считает нужным разместить в памяти.

Стек связующей информации предназначен для размещения информации о предыдущей (вызвавшей) процедуре и используемой при возврате. При защищенном программировании пользователь не должен иметь возможность изменять эту информацию, поэтому для нее выделен специальный стек, доступный только операционной системе и аппаратуре. Стек связующей информации устроен так же, как стек процедур.

Поскольку в стеке виртуальная память переиспользуется, встает проблема защиты данных. Она имеет два аспекта:

• переиспользование памяти (выделение ранееосвобожденного пространства). В этой памяти могут, к примеру, оказаться ссылки, недоступные модулю при правильной работе
• «зависшие» указатели(ссылки старого владельца на переиспользуемую память)

Первая проблема решается автоматической чисткой переиспользуемой памяти. Принцип решения второй проблемы следующий. Указатели на текущий фрейм процедуры можно сохранять только в текущем фрейме, либо передавать в качестве параметра в вызываемую процедуру (передавать вверх по стеку). Соответственно, указатель не может быть ни записан в глобальные данные, ни передан в качестве возвращаемого значения, ни записан в глубину стека.

Примечания

Ссылки

• Микропроцессор «Эльбрус» на сайте МЦСТ
• Основные принципы архитектуры (2001) на сайте МЦСТ

Wikimedia Foundation . 2010 .

Смотреть что такое "Аппаратные средства защиты информационных систем" в других словарях:

В информационных сетях Одним из направлений защиты информации в информационных системах является техническая защита информации (ТЗИ). В свою очередь, вопросы ТЗИ разбиваются на два больших класса задач: защита информации от несанкционированного… … Википедия

средства - 3.17 средства [индивидуальной, коллективной] защиты работников: Технические средства, используемые для предотвращения или уменьшения воздействия на работников вредных или опасных производственных факторов, а также для защиты от загрязнения .… …

Средства имитозащиты - б) средства имитозащиты аппаратные, программные и программно аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания … Официальная терминология

Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей. Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria … Википедия

Технические средства - 3.2 Технические средства систем автоматизации, комплекс технических средств (КТС) совокупность устройств (изделий), обеспечивающих получение, ввод, подготовку, преобразование, обработку, хранение, регистрацию, вывод, отображение, использование и… … Словарь-справочник терминов нормативно-технической документации

Стандарт Министерства обороны США (англ. Department of Defense Trusted Computer System Evaliation Criteria, TCSEC, DoD 5200.28 STD, December 26, 1985), более известный под именем Оранжевая книга (англ. Orange Book) из за цвета обложки. Данный… … Википедия

В этой статье не хватает ссылок на источники информации. Информация должна быть проверяема, иначе она может быть поставлена под сомнение и удалена. Вы можете … Википедия

Defense Advanced Research Projects Agency … Википедия

IBM System z9 модель 2004 Мейнфрейм (также мэйнфрейм, от англ. mainframe) данный термин имеет три основных значения. Большая универсальная ЭВМ вы … Википедия

Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

• Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую - генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость.
• Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).
• Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.
• Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки - высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

По степени распространения и доступности выделяются программные средства, другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации.

Программные средства защиты информации

• Встроенные средства защиты информации
• Антивирусная программа (антивирус) - программа для обнаружения компьютерных вирусов и лечения инфицированных файлов, а также для профилактики - предотвращения заражения файлов или операционной системы вредоносным кодом.

• AhnLab - Южная Корея
• ALWIL Software (avast!) - Чехия (бесплатная и платная версии)
• AOL Virus Protection в составе AOL Safety and Security Center
• ArcaVir - Польша
• Authentium - Великобритания
• AVG (GriSoft) - Чехия (бесплатная и платная версии, включая файрвол)
• Avira - Германия (есть бесплатная версия Classic)
• AVZ - Россия (бесплатная); отсутствует real-time monitor
• BitDefender - Румыния
• BullGuard - Дания
• ClamAV - Лицензия GPL (бесплатный, с открытым исходным кодом); отсутствует real-time monitor
• Computer Associates - США
• Dr.Web - Россия
• Eset NOD32 - Словакия
• Fortinet - США
• Frisk Software - Исландия
• F-PROT - Исландия
• F-Secure - Финляндия (многодвижковый продукт)
• G-DATA - Германия (многодвижковый продукт)
• GeCAD - Румыния (компания куплена Microsoft в 2003 году)
• IKARUS - Австрия
• H+BEDV - Германия
• Hauri - Южная Корея
• Microsoft Security Essentials - бесплатный антивирус от Microsoft
• MicroWorld Technologies - Индия
• MKS - Польша
• MoonSecure - Лицензия GPL (бесплатный, с открытым исходным кодом), основан на коде ClamAV , но обладает real-time монитором
• Norman - Норвегия
• NuWave Software - Украина (используют движки от AVG, Frisk, Lavasoft, Norman, Sunbelt)
• Outpost - Россия (используются два antimalware движка: антивирусный от компании VirusBuster и антишпионский, бывший Tauscan, собственной разработки)
• Panda Software - Испания
• Quick Heal AntiVirus - Индия
• Rising - Китай
• ROSE SWE - Германия
• Safe`n`Sec - Россия
• Simple Antivirus - Украина
• Sophos - Великобритания
• Spyware Doctor - антивирусная утилита
• Stiller Research
• Sybari Software (компания куплена Microsoft в начале 2005 года)
• Trend Micro - Япония (номинально Тайвань/США)
• Trojan Hunter - антивирусная утилита
• Universal Anti Virus - Украина (бесплатный)
• VirusBuster - Венгрия
• ZoneAlarm AntiVirus - США
• Zillya! - Украина (бесплатный)
• Антивирус Касперского - Россия
• ВирусБлокАда (VBA32) - Беларусь
• Украинский Национальный Антивирус - Украина

• Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства. Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых решений следует отметить следующие две системы, позволяющие ограничить и контролировать информационные потоки.
• Межсетевые экраны (также называемые брандмауэрами или файрволами - от нем. Brandmauer , англ. firewall - «противопожарная стена»). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

Межсетевые экраны
Бесплатные	Ashampoo FireWall Free Comodo Core Force (англ.) Online Armor PC Tools PeerGuardian (англ.) Sygate (англ.) ZoneAlarm
Проприетарные	Ashampoo FireWall Pro AVG Internet Security CA Personal Firewall Jetico (англ.) Kaspersky Microsoft ISA Server Norton Outpost Trend Micro (англ.) Windows Firewall Sunbelt (англ.) WinRoute (англ.)
Аппаратные	Fortinet Cisco Juniper Check Point (англ.)
FreeBSD	Ipfw IPFilter
Mac OS	NetBarrier X4 (англ.)
Linux	Netfilter (Iptables Firestarter Iplist NuFW Shorewall)

• Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java и JavaScript).
• VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Используемые технологии: PPTP , PPPoE , IPSec .

Аппаратные средства защиты информации

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

• специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;
• устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
• схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.
• устройства для шифрования информации (криптографические методы).

Технические средства защиты информации

Для защиты периметра информационной системы создаются: системы охранной и пожарной сигнализации; системы цифрового видео наблюдения; системы контроля и управления доступом (СКУД). Защита информации от ее утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями: использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях; установкой на линиях связи высокочастотных фильтров; построение экранированных помещений («капсул»); использование экранированного оборудования; установка активных систем зашумления; создание контролируемых зон.

Финансовый словарь

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. EdwART.… … Словарь черезвычайных ситуаций

Средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации...

К аппаратным методам защиты относят разные устройства по принципу работы, по техническим конструкциям которые реализуют защиту от разглашения, утечки и НСД доступу к источникам информации. Такие средства применяют для следующих задач:

• Выявление линий утечки данных на разных помещения и объектах
• Реализация специальных статистических исследований технических методов обеспечения деятельности на факт наличия линий утечки
• Локализация линий утечки данных
• Противодействие по НСД к источникам данных
• поиск и обнаружение следов шпионажа

Аппаратные средства можно классифицировать по функциональному назначению на действия обнаружения, измерений, поиска, пассивного и активного противодействия. Также средства можно делить на простоту использования. Разработчики устройств пытаются все больше упростить принцип работы с устройством для обычных пользователей. К примеру группа индикаторов электромагнитных излучений вида ИП, которые обладают большим спектром входящих сигналов и низкой чувствительностью. Или же комплекс для выявления и нахождения радиозакладок, которые предназначены для обнаружения и определения местонахождения радиопередатчиков, телефонных закладок или сетевых передатчиков. Или же комплекс Дельта реализовывает:

• автоматическое нахождение места нахождение микрофонов в пространстве определенного помещения
• Точное обнаружение любых радиомикрофонов которые есть в продаже, и других излучающих передатчиков.

Поисковые аппаратные средства можно поделить на методы съем данных и ее исследование линий утечки. Устройства первого вида настроены на локализацию и поиск уже внедренных средств НСД, а второго типа для выявления линий утечки данных. Для использования профессиональной поисковой аппаратуры нужно большой квалификации пользователя. Как в другой любой сфере техники, универсальность устройства приводит к снижению его отдельных параметров. С другой точки зрения, есть очень много разных линий утечки данных по своей физической природе. Но большие предприятия могут себе позволить и профессиональную дорогую аппаратуру и квалифицированных сотрудников по этим вопросам. И естественно такие аппаратные средства будут лучше работать в реальных условиях, то бишь выявлять каналы утечек. Но это не значит, что не нужно использовать простые дешевые средства поиска. Такие средства просты в использовании и в ускоспециализированных задачах будут проявлять себя не хуже.

Аппаратные средства могут применяться и к отдельным частям ЭВМ, к процессору, оперативной памяти, внешних ЗУ, контроллерах ввода-вывода, терминалах и тд. Для защиты процессоров реализуют кодовое резервирование — это создание дополнительных битов в машинных командах и резервных в регистрах процессора. Для защиты ОЗУ реализуют ограничение доступа к границам и полям. Для обозначения уровня конфиденциальности программ или информации, применяются дополнительные биты конфиденциальности с помощью которых реализуется кодирование программ и информации. Данные в ОЗУ требуют защиты от НСД. От считывания остатков информация после обработки их в ОЗУ используется схема стирания. Эта схема записывает другую последовательность символов по весь блок памяти. Для идентификации терминала используют некий генератор кода, который зашит в аппаратуру терминала, и при подключении он проверяется.

Аппаратные методы защиты данных — это разные технические приспособления и сооружения, которые реализуют защиту информации от утечки, разглашения и НСД.

Программные механизмы защиты

Системы защиты рабочей станции от вторжения злоумышленником очень разнятся, и классифицируются:

• Методы защиты в самой вычислительной системы
• Методы личной защиты, которые описаны программным обеспечением
• Методы защиты с запросом данных
• Методы активной/пассивной защиты

Подробно про такую классификацию можно посмотреть на рис.1.

Рисунок — 1

Направления реализации программной защиты информации

Направления которые используют для реализации безопасности информации:

• защита от копирования
• защита от НСД
• защита от вирусов
• защита линий связи

ПО каждому из направлений можно применять множество качественных программных продуктов которые есть на рынке. Также Программные средства могут иметь разновидности по функционалу:

• Контроль работы и регистрации пользователей и технических средств
• Идентификация имеющихся технических средств, пользователей и файлов
• Защита операционных ресурсов ЭВМ и пользовательских программ
• Обслуживания различных режимов обработки данных
• Уничтожение данных после ее использования в элементах системы
• Сигнализирование при нарушениях
• Дополнительные программы другого назначения

Сферы программной защиты делятся на Защиты данных (сохранение целостности/конфиденциальности) и Защиты программ (реализация качество обработки информации, есть коммерческой тайной, наиболее уязвимая для злоумышленника). Идентификация файлов и технических средств реализуется программно, в основе алгоритма лежит осмотр регистрационных номеров разных компонентов системы. Отличным методов идентификации адресуемых элементов есть алгоритм запросно-ответного типа. Для разграничения запросов различных пользователей к разным категориям информации применяют индивидуальные средства секретности ресурсов и личный контроль доступа к ним пользователями. Если к примеру одну и тот же файл могут редактировать разные пользователи, то сохраняется несколько вариантов, для дальнейшего анализа.

Защита информации от НСД

Для реализации защиты от вторжения нужно реализовать основные программные функции:

• Идентификация объектов и субъектов
• Регистрация и контроль действия с программами и действиями
• Разграничения доступа к ресурсам системы

Процедуры идентификации подразумевают проверки есть ли субъект, который пытается получить доступ к ресурсам, тем за кого выдает себя. Такие проверки могут быть периодическими или одноразовыми. Для идентификации часто в таких процедурах используются методы:

• сложные,простые или одноразовые пароли;
• значки,ключи,жетоны;
• специальные идентификаторы для апаратур, данных, программ;
• методы анализа индивидуальных характеристик (голос, пальцы, руки, лица).

Практика показывает что пароли для защиты есть слабым звеном, так как его на практике можно подслушать или подсмотреть или же разгадать. Для создания сложного пароля, можно прочитать эти рекомендации . Объектом, доступ к которому тщательно контролируется, может быть запись в файле, или сам файл или же отдельное поле в записи файла. Обычно множество средств контроля доступа черпает данные с матрицы доступа. Можно также подойти к контролю доступа на основе контроле информационных каналов и разделении объектов и субъектов доступа на классы. Комплекс программно-технических методов решений в безопасности данных от НСД реализуется действиями:

• учет и регистрация
• управление доступом
• реализация средств

Также можно отметить формы разграничения доступа:

• Предотвращение доступа:
  • к отдельным разделам
  • к винчестеру
  • к каталогам
  • к отдельным файлам

  к сменным носителям данных

• защита от модификации:
  • каталогов
  • файлов
• Установка привилегий доступа к группе файлов
• Предотвращение копирования:
  • каталогов
  • файлов
  • пользовательских программ
• Защита от уничтожения:
  • файлов
  • каталогов
• Затемнение экрана спустя некоторое время.

Общие средства защиты от НСД показаны на рис.2.

Рисунок — 2

Защита от копирования

Методы защиты от копирования предотвращают реализацию ворованных копий программ. Под методами защиты от копирования подразумевается средства, которые реализуют выполнения функций программы только при наличия уникального некопируемого элемента. Это может быть часть ЭВМ или прикладные программы. Защита реализуется такими функциями:

• идентификация среды, где запускается программа
• аутентификация среды, где запускается программа
• Реакция на старт программы из несанкционированной среды
• Регистрация санкционированного копирования

Защита информации от удаления

Удаление данных может реализовываться при ряда мероприятий таких как, восстановление, резервирование, обновления и тд. Так как мероприятия очень разнообразны, подогнать их под они правила тяжело. Также это может быть и вирус, и человеческий фактор. И хоть от вируса есть противодействие, это антивирусы. А вот от действий человека мало противодействий. Для уменьшения рисков от такой есть ряд действий:

• Информировать всех пользователей про ущерб предприятия при реализации такой угрозы.
• Запретить получать/открывать программные продукты, которые есть посторонние относительно информационной системы.
• Также запускать игры на тех ПК где есть обработка конфиденциальной информации.
• Реализовать архивирование копий данных и программ.
• Проводить проверку контрольных сумм данных и программ.
• Реализовать СЗИ.

Для предотвращения вышеперечисленных угроз существуют различные способы защиты информации. Помимо естественных способов выявления и своевременного устранения причин, используют следующие специальные способы защиты информации от нарушений работоспособности компьютерных систем:

внесение структурной, временной информации и функциональной избыточности компьютерных ресурсов;

защита от некорректного использования ресурсов компьютерной системы;

выявление и своевременное устранение ошибок на этапе разработки программно-аппаратных средств .

Структурная избыточность компьютерных ресурсов достигается за счет резервирования аппаратных компонентов и машинных носителей. Организация замены отказавших и своевременного пополнения резервных компонентов. Структурная избыточность составляет основу. Внесение информационной избыточности выполняется путем периодического или постоянного фонового резервирования данных. На основных и резервных носителях. Резервирование данных обеспечивает восстановление случайного или преднамеренного уничтожения или искажения информации. Для восстановления работоспособности компьютерной сети после появления устойчивого отказа кроме резервирования обычных данных, следовательно, заблаговременно резервировать и системную информацию. Функциональная избыточность компьютерных ресурсов достигается дублированием функции или внесением дополнительных функций в программно-аппаратные ресурсы. Например, периодическое тестирование и восстановление самотестирование и самовосстановление компонентов систем.

Защита от некорректного использования ресурсов компьютерных систем, заключенных в корректном функционировании программного обеспечения с позиции использования ресурсов вычислительных систем программа может четко и своевременно выполнять свои функции, но не корректно использовать компьютерные ресурсы. Например, изолирование участков оперативной памяти для операционной системы прикладных программ защита системных областей на внешних носителях.

Выявление и устранение ошибок при разработке программно-аппаратных средств достигается путем качественного выполнения базовых стадий разработки на основе системного анализа концепции проектирования и реализации проекта. Однако, основным видом угроз целостности и конфиденциальности информации является преднамеренные угрозы. Их можно разделить на 2 группы:

угрозы, которые реализуются с постоянным участием человека;

после разработки злоумышленником соответствующих компьютерных программ выполняется этими программами без участия человека.

Задачи по защите от угроз каждого вида одинаковы:

запрещение несанкционированного доступа к ресурсам;

невозможность несанкционированного использования ресурсов при осуществлении доступа;

своевременное обнаружение факта несанкционированного доступа. Устранение их причин и последствий .

2.2 Аппаратные средства защиты информации

Средства защиты информации - совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации .

Средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

аппаратные средства;

программные средства;

смешанные аппаратно-программные средства;

организационные средства;

шифрование данных;

конфиденциальность.

Рассмотрим более подробно аппаратные средства защиты информации.

Аппаратные средства – технические средства, используемые для обработки данных.

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;

устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты.

Схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных. Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы). В самом простом случае для работы сети достаточно сетевых карт и кабеля. Если же необходимо создать достаточно сложную сеть, то понадобится специальное сетевое оборудование.

Под аппаратным обеспечением средств защиты операционной системы традиционно понимается совокупность средств и методов, используемых для решения следующих задач:

управление оперативной и виртуальной памятью компьютера;

распределение процессорного времени между задачами в многозадачной операционной системе;

синхронизация выполнения параллельных задач в многозадачной операционной системе;

обеспечение совместного доступа задач к ресурсам операционной системы.

Перечисленные задачи в значительной степени решаются с помощью аппаратно реализованных функций процессоров и других узлов компьютера. Однако, как правило, для решения этих задач принимаются и программные средства, и поэтому термины “аппаратное обеспечение защиты ” и “аппаратная защита” не вполне корректны. Тем не менее, поскольку эти термины фактически общеприняты, мы будем их использовать .

Аппаратные устройства криптографической защиты – это, по сути, та же PGP, только реализованная на уровне «железа». Обычно такие устройства представляют собой платы, модули и даже отдельные системы, выполняющие различные алгоритмы шифрования «на лету». Ключи в данном случае тоже «железные»: чаще всего это смарт-карты или идентификаторы TouchMemory (iButton). Ключи загружаются в устройства напрямую, минуя память и системную шину компьютера (ридервмонтирован в само устройство), что исключает возможность их перехвата. Используются эти самодостаточные шифраторы как для кодирования данных внутри закрытых систем, так и для передачи информации по открытым каналам связи. По такому принципу работает, в частности, система защиты КРИПТОН-ЗАМОК, выпускаемая зеленоградской фирмой АНКАД. Эта плата, устанавливаемая в слот PCI, позволяет на низком уровне распределять ресурсы компьютера в зависимости от значения ключа, вводимого еще до загрузки BIOS материнской платой. Именно тем, какой ключ введен, определяется вся конфигурация системы – какие диски или разделы диска будут доступны, какая загрузится ОС, какие в нашем распоряжении будут каналы связи и так далее. Еще один пример криптографического «железа» - система ГРИМ-ДИСК, защищающая информацию, хранимую на жестком диске с IDE-интерфейсом. Плата шифратора вместе с приводом помещена в съемный контейнер (на отдельной плате, устанавливаемой в слот PCI, собраны лишь интерфейсные цепи). Это позволяет снизить вероятность перехвата информации через эфир или каким-либо иным образом. Кроме того, при необходимости защищенное устройство может легко выниматься из машины и убираться в сейф. Ридер ключей типа iButton вмонтирован в контейнер с устройством. После включения компьютера доступ к диску или какому-либо разделу диска можно получить, лишь загрузив ключ в устройство шифрования .

Защита информации от утечки по каналам электромагнитных излучений. Даже грамотная настройка и применение дополнительных программных и аппаратных средств, включая средства идентификации и упомянутые выше системы шифрования, не способны полностью защитить нас от несанкционированного распространения важной информации. Есть канал утечки данных, о котором многие даже не догадываются. Работа любых электронных устройств сопровождается электромагнитными излучениями. И средства вычислительной техники не являются исключением: даже на весьма значительном удалении от электроники хорошо подготовленному специалисту с помощью современных технических средств не составит большого труда перехватить создаваемые вашей аппаратурой наводки и выделить из них полезный сигнал. Источником электромагнитных излучений (ЭМИ), как правило, являются сами компьютеры, активные элементы локальных сетей и кабели. Из этого следует, что грамотно выполненное заземление вполне можно считать разновидностью «железной» системы защиты информации. Следующий шаг - экранирование помещений, установка активного сетевого оборудования в экранированные шкафы и использование специальных, полностью радиогерметизированных компьютеров (с корпусами из специальных материалов, поглощающих электромагнитные излучения, и дополнительными защитными экранами). Кроме того, в подобных комплексах обязательно применение сетевых фильтров и использование кабелей с двойным экранированием. Разумеется, о радиокомплектах клавиатура-мышь, беспроводных сетевых адаптерах и прочих радиоинтерфейсах в данном случае придется забыть. Если же обрабатываемые данные сверхсекретны, в дополнение к полной радиогерметизации применяют еще и генераторы шума. Эти электронные устройства маскируют побочные излучения компьютеров и периферийного оборудования, создавая радиопомехи в широком диапазоне частот. Существуют генераторы, способные не только излучать такой шум в эфир, но и добавлять его в сеть электропитания, чтобы исключить утечку информации через обычные сетевые розетки, иногда используемые в качестве канала связи .

Выйдя в интернет и организовав доступ к своим серверам, учреждение фактически открывает всему миру некоторые ресурсы своей собственной сети, тем самым делая ее доступной для несанкционированного проникновения. Для защиты от этой угрозы между внутренней сетью организации и интернетом обычно устанавливают специальные комплексы - программно-аппаратные брандмауэры (межсетевые экраны). В простейшем случае брандмауэром может служить фильтрующий маршрутизатор. Однако для создания высоконадежных сетей этой меры бывает недостаточно, и тогда приходится использовать метод физического разделения сетей на открытую (для доступа в интернет) и закрытую (корпоративную). У этого решения есть два серьезных недостатка. Во-первых, сотрудникам, которым по долгу службы необходим доступ в обе сети, приходится ставить на рабочее место второй ПК. В результате рабочий стол превращается в пульт оператора центра управления полетом или авиадиспетчера. Во-вторых, и это главное, приходится строить две сети, а это немалые дополнительные финансовые затраты и сложности с обеспечением защиты от ЭМИ (ведь кабели обеих сетей приходится проводить по общим коммуникациям). Если со второй проблемой приходится мириться, то устранить первый недостаток довольно просто: поскольку человек не в состоянии работать за двумя отдельными компьютерами одновременно, необходимо организовать специальное автоматизированное рабочее место (АРМ), предполагающее сеансовый характер работы в обеих сетях. Такое рабочее место - обычный компьютер, снабженный устройством управления доступом (УУД), в котором имеется переключатель сетей, выведенный на лицевую панель системного блока. Именно к устройству доступа и подключены жесткие диски компьютера. Каждый сеанс работы осуществляется под управлением своей операционной системы, загружаемой с отдельного жесткого диска. Доступ к накопителям, не участвующим в текущем сеансе работы, при переключении между сетями полностью блокируется .

Нет более надежной защиты данных, чем их полное уничтожение. Но уничтожить цифровую информацию не так-то просто. Кроме того, бывают случаи, когда от нее нужно избавиться мгновенно. Первую проблему можно решить, если основательно разрушить носитель. Именно для этого придуманы различные утилизаторы. Одни из них работают в точности как офисные шредеры (уничтожители бумаг), механически измельчая дискеты, магнитные и электронные карты, CD- и DVD-диски. Другие представляют собой специальные печи, в которых под воздействием высоких температур или ионизирующего излучения разрушаются любые носители, включая жесткие диски. Так, электродуговые и электроиндукционные установки могут разогреть носитель до температуры 1000-1200 К (примерно 730-930°C), а в комбинации с химическим воздействием, например с использованием самораспространяющегося высокотемпературного синтеза (СВС), обеспечивается быстрый разогрев вплоть до 3000 К. После воздействия на носитель таких температур восстановить имевшуюся на нем информацию невозможно. Для автоматического уничтожения данных используются специальные модули, которые могут встраиваться в системный блок или исполняться как внешнее устройство с установленными в нем накопителями информации. Команда на полное уничтожение данных для таких аппаратов подается обычно дистанционно со специального брелока или с любых датчиков, которые вполне могут отслеживать как вторжение в помещение, так и несанкционированный доступ к устройству, его перемещение или попытку отключения питания. Информация в таких случаях уничтожается одним из двух способов:

физическое разрушение накопителя (обычно химическими средствами)

стирание информации в служебных областях дисков.

Восстановить работоспособность накопителей после уничтожения служебных областей можно с помощью специальной аппаратуры, но данные будут потеряны безвозвратно. Подобные устройства исполняются в различных вариантах - для серверов, настольных систем и ноутбуков. Существуют также специальные модификации, разработанные для Министерства обороны: это полностью автономные комплексы с повышенной защитой и абсолютной гарантией срабатывания. Самый большой недостаток подобных систем – невозможность абсолютной страховки от случайного срабатывания. Можно себе представить, каким будет эффект, если, например, гражданин, осуществляющий техническое обслуживание, вскроет системный блок или отключит кабель монитора, забыв при этом заблокировать устройство защиты.

Реферат

Студент Белевцев Д. В. Физико-математический Факультет “ОиТЗИ”

Ставропольский государственный университет

Ставрополь 2004 г.

С конца 80-ых начала 90-ых годов проблемы связанные с защитой информации беспокоят как специалистов в области компьютерной безопасности так и многочисленных рядовых пользователей персональных компьютеров. Это связано с глубокими изменениями вносимыми компьютерной технологией в нашу жизнь. Изменился сам подход к понятию “информация”. Этот термин сейчас больше используется для обозначения специального товара который можно купить, продать, обменять на что-то другое и т.д. При этом стоимость подобного товара зачастую превосходит в десятки, а то и в сотни раз стоимость самой вычислительной техники, в рамках которой он функционирует. Естественно, возникает потребность защитить информацию от несанкционированного доступа, кражи, уничтожения и других преступных действий. Однако, большая часть пользователей не осознает, что постоянно рискует своей безопасностью и личными тайнами. И лишь немногие хоть каким либо образом защищают свои данные. Пользователи компьютеров регулярно оставляют полностью незащищенными даже такие данные как налоговая и банковская информация, деловая переписка и электронные таблицы. Проблемы значительно усложняются, когда вы начинаете работать или играть в сети так как хакеру намного легче в это время заполучить или уничтожить информацию, находящуюся на вашем компьютере.

Защита информации

Резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭВМ и других средств автоматизации;

Сосредоточение в единых базах данных информации различного назначения и различных принадлежностей;

Резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и находящимся в ней данных;

Усложнение режимов функционирования технических средств вычислительных систем: широкое внедрение многопрограммного режима, а также режимов разделения времени и реального времени;

Автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях.

В этих условиях возникает уязвимость двух видов: с одной стороны, возможность уничтожения или искажения информации (т.е. нарушение ее физической целостности), а с другой - возможность несанкционированного использования информации (т.е. опасность утечки информации ограниченного пользования). Второй вид уязвимости вызывает особую озабоченность пользователей ЭВМ.

Основными потенциально возможными каналами утечки информации являются:

Прямое хищение носителей и документов;

Запоминание или копирование информации;

Несанкционированное подключение к аппаратуре и линиям связи или незаконное использование "законной" (т.е. зарегистрированной) аппаратуры системы (чаще всего терминалов пользователей).

Аппаратные средства – это технические средства, используемые для обработки данных. Сюда относятся: Персональный компьютер (комплекс технических средств, предназначенных для автоматической обработки информации в процессе решения вычислительных и информационных задач).

Периферийное оборудование (комплекс внешних устройств ЭВМ, не находящихся под непосредственным управлением центрального процессора).

Физические носители машинной информации.

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

Специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

Генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;

Устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

Специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты;

Схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

2.1 Программные средства обеспечения защиты информации

Програмные средства - это объективные формы представления совокупности данных и команд, предназначенных для функционирования компьютеров и компьютерных устройств с целью получения определенного результата, а также подготовленные и зафиксированные на физическом носителе материалы, полученные в ходе их разработок, и порождаемые ими аудиовизуальные отображения. К ним относятся:

Программное обеспечение (совокупность управляющих и обрабатывающих программ). Состав:

Системные программы (операционные системы, программы технического обслуживания);

Прикладные программы (программы, которые предназначены для решения задач определенного типа, например редакторы текстов, антивирусные программы, СУБД и т.п.);

Инструментальные программы (системы программирования, состоящие из языков программирования: Turbo C, Microsoft Basic и т.д. и трансляторов – комплекса программ, обеспечивающих автоматический перевод с алгоритмических и символических языков в машинные коды);

Машинная информация владельца, собственника, пользователя.

Подобную детализацию я провожу, чтобы потом более четко понять суть рассматриваемого вопроса, чтобы более четко выделить способы совершения компьютерных преступлений, предметов и орудий преступного посягательства, а также для устранения разногласий по поводу терминологии средств компьютерной техники. После детального рассмотрения основных компонентов, представляющих в совокупности содержание понятия компьютерного преступления, можно перейти к рассмотрению вопросов, касающихся основных элементов криминалистической характеристики компьютерных преступлений.

К программным средствам защиты относятся специальные программы, которые предназначены для выполнения функций защиты и включаются в состав программного обеспечения систем обработки данных. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:

Идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей;

Определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей;

Контроль работы технических средств и пользователей;

Регистрация работы технических средств и пользователей при обработки информации ограниченного использования;

Уничтожения информации в ЗУ после использования;

Сигнализации при несанкционированных действиях;

Вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.

2.2 Антивирусная защита

Безопасность информации - один из важнейших параметров любой компьютерной системы. Для ее обеспечения создано большое количество программных и аппаратных средств. Часть из них занимается шифрованием информации, часть - разграничением доступа к данным. Особую проблему представляют собой компьютерные вирусы. Это отдельный класс программ, направленных на нарушение работы системы и порчу данных. Среди вирусов выделяют ряд разновидностей. Некоторые из них постоянно находятся в памяти компьютера, некоторые производят деструктивные действия разовыми "ударами". Существует так же целый класс программ, внешне вполне благопристойных, но на самом деле портящих систему. Такие программы называют "троянскими конями". Одним из основных свойств компьютерных вирусов является способность к "размножению" - т.е. самораспространению внутри компьютера и компьютерной сети.

С тех пор, как различные офисные прикладные программные средства получили возможность работать со специально для них написанными программами (например, для Microsoft Office можно писать приложения на языке Visual Basic) появилась новая разновидность вредоносных программ - т.н. МакроВирусы. Вирусы этого типа распространяются вместе с обычными файлами документов, и содержатся внутри них в качестве обычных подпрограмм.

Не так давно (этой весной) прокатилась эпидемия вируса Win95.CIH и его многочисленных подвидов. Этот вирус разрушал содержимое BIOS компьютера, делая невозможной ее работу. Часто приходилось даже выбрасывать испорченные этим вирусом материнские платы.

С учетом мощного развития средств коммуникации и резко возросших объемов обмена данными проблема защиты от вирусов становится очень актуальной. Практически, с каждым полученным, например, по электронной почте документом может быть получен макровирус, а каждая запущенная программа может (теоретически) заразить компьютер и сделать систему неработоспособной.

Поэтому среди систем безопасности важнейшим направлением является борьба с вирусами. Существует целый ряд средств, специально предназначенных для решения этой задачи. Некоторые из них запускаются в режиме сканирования и просматривают содержимое жестких дисков и оперативной памяти компьютера на предмет наличия вирусов. Некоторые же должны быть постоянно запущены и находиться в памяти компьютера. При этом они стараются следить за всеми выполняющимися задачами.

На российском рынке программного обеспечения наибольшую популярность завоевал пакет AVP, разработанный лабораторией антивирусных систем Касперского. Это универсальный продукт, имеющий версии под самые различные операционные системы.

Антивирус Касперского (AVP) использует все современные типы антивирусной защиты: антивирусные сканнеры, мониторы, поведенческие блокираторы и ревизоры изменений. Различные версии продукта поддерживают все популярные операционные системы, почтовые шлюзы, межсетевые экраны (firewalls), web-серверы. Система позволяет контролировать все возможные пути проникновения вирусов на компьютер пользователя, включая Интернет, электронную почту и мобильные носители информации. Средства управления Антивируса Касперского позволяют автоматизировать важнейшие операции по централизованной установке и управлению, как и на локальном компьютере, так и в случае комплексной защиты сети предприятия. Лаборатория Касперского предлагает три готовых решения антивирусной защиты, расчитанные на основные категории пользователей. Во-первых, антивирусная защита для домашних пользователей (одна лицензия для одного компьютера). Во-вторых, антивирусная защита для малого бизнеса (до 50 рабочих станций в сети). В третьих, антивирусная защита для корпоративных пользователей (свыше 50 рабочих станций в сети).Безвозвратно прошли времена, когда для полной уверенности в сохранности от "заразы" было достаточно не пользоваться "случайными" дискетами и раз-другой в неделю запускать на машине утилиту Aidstest R, проверяющую жесткий диск компьютера на наличие подозрительных объектов. Во-первых, расширился спектр областей, в которых эти объекты могут оказаться. Электронная почта с присоединенными "вредными" файлами, макровирусы в офисных (в основном речь идет о Microsoft Office) документах, "троянские кони" - все это появилось сравнительно недавно. Во-вторых, перестал оправдывать себя подход периодических ревизий жесткого диска и архивов - такие проверки приходилось бы проводить слишком часто, и они отнимали бы слишком много ресурсов системы.

На смену устаревшим системам защиты пришло новое поколение, способное отследить и нейтрализовать "угрозу" на всех ответственных участках - от электронной почты до копирования файлов между дисками. При этом современные антивирусы организовывают постоянную защиту - это означает, что они постоянно находятся в памяти и анализируют обрабатываемую информацию.

Одним из наиболее известных и повсеместно применяемых пакетов антивирусной защиты является AVP от Лаборатории Касперского. Этот пакет существует в большом количестве различных вариантов. Каждый из них предназначен для решения определенного круга задач обеспечения безопасности, и обладает рядом специфических свойств.

Системы защиты, распространяемые Лабораторией Касперского, разделяются на три основных категории, в зависимости от видов решаемых ими задач. Это защита для малого бизнеса, защита для домашних пользователей и защита для корпоративных клиентов.

В AntiViral Toolkit Pro входят программы, позволяющие защищать рабочие станции, управляемые различными ОС - сканеры AVP для DOS, Windows 95/98/NT, Linux, мониторы AVP для Windows 95/98/NT, Linux, файловые сервера - монитор и сканер AVP для Novell Netware, монитор и сканер для NT сервера, WEB-сервера - ревизор диска AVP Inspector для Windows, почтовые сервера Microsoft Exchange - AVP для Microsoft Exchange и шлюзы.

AntiViral Toolkit Pro включает в себя программы-сканеры и программы-мониторы. Мониторы позволяют организовать более полный контроль, необходимый на самых ответственных участках сети.

В сетях Windows 95/98/NT AntiViral Toolkit Pro позволяет проводить с помощью программного комплекса AVP Сетевой Центр Управления централизованное администрирование всей логической сети с рабочего места ее администратора.

Концепция AVP позволяет легко и регулярно обновлять антивирусные программы, путем замены антивирусных баз - набора файлов с расширением.AVC, которые на сегодняшний день позволяют обнаруживать и удалять более 50000 вирусов. Обновления к антивирусным базам выходят и доступны с сервера Лаборатории Касперского ежедневно. На данный момент пакет антивирусных программ AntiViral Toolkit Pro (AVP) имеет одну из самых больших в мире антивирусных баз.

2.3 Аппаратные средства - основа построения систем защиты от несанкционированного доступа к информации

Разработке и производству современных средств защиты от несанкционированного доступа (НСД) к информации в ОКБ САПР предшествовало выполнение научно-исследовательских и опытно-конструкторских работ в этой области. Большинство разработчиков на первоначальном этапе были сосредоточены на создании только программного обеспечения, реализующего функции защиты в автоматизированных системах, что не может гарантировать надежной защищённости автоматизированных систем от НСД к информации. К примеру, проверка целостности программной среды, осуществляемая какой-либо другой программой, находящейся на одном носителе с проверяемыми объектами, не может гарантировать правильности проводимых процедур. Необходимо обеспечить достоверность самой программы проверки целостности, а только затем выполнение ее контрольных процедур. Таким образом, это привело к осознанию необходимости использования в системах защиты информации от НСД аппаратных средств со встроенными процедурами контроля целостности программ и данных, идентификации и аутентификации, регистрации и учета.

В 90-е годы сотрудниками ОКБ САПР была разработана методология применения аппаратной защиты, признанная необходимой основой построения систем защиты от НСД к информации. Основные идеи этого подхода состоят в следующем:

Комплексный подход к решению вопросов защиты информации в автоматизированных системах (АС) от НСД. Признание мультипликативной парадигмы защиты, и, как следствие, равное внимание надежности реализации контрольных процедур на всех этапах работы АС;

-«материалистическое» решение «основного вопроса» информационной безопасности: «что первично - hard или soft?»;

Последовательный отказ от программных методов контроля как очевидно ненадежных и перенос наиболее критичных контрольных процедур на аппаратный уровень;

Максимально возможное разделение условно-постоянных и условно-переменных элементов контрольных операций;

Построение средств защиты информации от несанкционированного доступа (СЗИ НСД), максимально независимых от операционных и файловых систем, применяемых в АС. Это выполнение процедур идентификации / аутентификации, контроля целостности аппаратных и программных средств АС до загрузки операционной системы, администрирования и т. д.

Вышеперечисленные принципы аппаратной защиты были реализованы в программно-аппаратном комплексе средств защиты информации от несанкционированного доступа - аппаратном модуле доверенной загрузки - «Аккорд-АМДЗ». Этот комплекс обеспечивает режим доверенной загрузки в различных операционных средах: MS DOS, Windows 3.x, Windows 9.x, Windows NT/2000/XP, OS/2, Unix, Linux .

Основным принципом работы «Аккорд-АМДЗ» является выполнение процедур, реализующих основные функции системы защиты информации до загрузки операционной системы. Процедуры идентификации / аутентификации пользователя, контроля целостности аппаратных и программных средств, администрирование, блокировка загрузки операционной системы с внешних носителей информации размещены во внутренней памяти микроконтроллера платы «Аккорд». Таким образом, пользователь не имеет возможности изменения процедур, которые влияют на функциональность системы защиты информации. В энергонезависимой памяти контроллера «Аккорд» хранится информация о персональных данных пользователей, данные для контроля целостности программных и аппаратных средств, журнал регистрации и учета системных событий и действий пользователя. Эти данные могут быть изменены только авторизованным администратором безопасности информации, так как доступ к энергонезависимой памяти полностью определяется логикой работы программного обеспечения, размещенного в микроконтроллере платы.

СЗИ НСД семейства «Аккорд» реализованы на базе контроллера «Аккорд-4.5» (для ПЭВМ с шинным интерфейсом ISA) и его функционального аналога для шинного интерфейса РСI - «Аккорд-5».

PCI-устройства ОКБ САПР являются легальными и имеют свой идентификатор, предоставленный ассоциацией разработчиков данных устройств: Vendor ID 1795.

Для организаций, использующих промышленные компьютеры с шинным интерфейсом РС/104, может представлять интерес программно-аппаратный комплекс СЗИ НСД «Аккорд-РС104». Данный комплекс прошел испытания в жестких условиях эксплуатации (повышенная вибрация, широкий диапазон температур, высокая влажность и т. д.). Он может применяться в специализированных компьютерах, используемых в бортовой аппаратуре (наземные, воздушные, морские и промышленные системы), в измерительной аппаратуре, в устройствах связи, в мобильных системах, в том числе и военного назначения.

Наиболее наукоёмкой разработкой ОКБ САПР является сопроцессор безопасности «Аккорд-СБ», в котором интегрированы все необходимые средства для реализации комплексной защиты информации от НСД. Контроллер сопроцессора безопасности «Аккорд-СБ/2» имеет высокопроизводительный микропроцессор и аппаратный ускоритель математических функций. Доступ к функциям этого процессора определяется встроенным программным обеспечением контроллера.

Используя библиотеку программирования (SDK) контроллера сопроцессора безопасности «Аккорд-СБ/2», разработчик может применять данный комплекс как многофункциональное устройство. В частности, кроме задач по защите информации от несанкционированного доступа, он может быть использован для передачи конфиденциальной информации по открытым каналам связи в зашифрованном виде с высокой скоростью обработки и передачи данных, шифрования дисков, формирования и проверки ЭЦП, защиты электронных документов с использованием защитных кодов аутентификации (ЗКА), а также в качестве межсетевого экрана.

Требования к аппаратным СЗИ и принципы аппаратной защиты, реализованные в СЗИ НСД семейства «Аккорд», уже стали фактическим стандартом и применяются всеми крупными разработчиками средств защиты, действующими на российском рынке СЗИ.

Применение сильной аппаратной поддержки в комплексах СЗИ НСД семейства «Аккорд» позволило выйти на новый уровень в развитии средств защиты информации. Как известно, для построения автоматизированных систем по классам защищённости 1Д–1А требуется установка правил разграничения доступа к ее информационным ресурсам. Для реализации функций разграничения доступа пользователей к информационным ресурсам и создания изолированной программной среды (ИПС) программистами ОКБ САПР разработано специальное программное обеспечение, поддерживающее все типы контроллеров «Аккорд», включая работу с датчиком случайных чисел. Это такие комплексы СЗИ НСД, как «Аккорд-1.95» (MS DOS, Windows 9x), «Аккорд-1.95-00» (Windows 9x), «Аккорд-NT/2000» (Windows NT/2000/ХР).

Особенностью комплексов «Аккорд-1.95-00» и «Аккорд-NT/2000» является то, что в данных версиях, кроме дискреционного, реализован мандатный принцип доступа субъектов к информационным ресурсам. Специальное программное обеспечение, реализующее функции разграничения доступа, позволяет администратору безопасности информации описать любую не противоречивую политику безопасности на основе наиболее полного набора атрибутов (более 15 атрибутов по доступу к файлам и каталогам) и меток конфиденциальности объектов (файлов) и процессов (программ), с помощью которых осуществляется их обработка.

Следующим этапом стала разработка основ защиты локальных вычислительных сетей с применением программно-аппаратных средств защиты от НСД к информации. Для полноценной защиты локальной вычислительной сети ОКБ САПР предлагает комплексную технологию:

Установку на рабочих станциях СЗИ «Аккорд АМДЗ» с ПО «Аккорд-1.95», «Аккорд-1.95-00», «Аккорд-NT/2000»;

Установку подсистемы контроля целостности на каждом файл-сервере;

Установку подсистемы распределенного аудита и управления;

Установку подсистемы усиленной аутентификации.

Управление вышеперечисленными подсистемами в локальных вычислительных сетях обеспечивается с помощью автоматизированного рабочего места администратора безопасности (АРМ АБИ). Данная технология позволяет администратору безопасности информации однозначно опознавать авторизованных пользователей и зарегистрированные рабочие станции в сети; в режиме реального времени контролировать задачи, выполняемые пользователями; в случае несанкционированных действий блокировать рабочие станции, с которых такие действия осуществлялись; удаленно вести администрирование. Особый интерес представляет подсистема усиленной аутентификации, суть которой заключается в дополнительном механизме проверки подлинности рабочих станций. Процедура проверки подлинности выполняется не только в момент подключения станции, но и с установленной администратором периодичностью. Подсистема предотвращает как подмену локальной станции или сервера, так и подключение в ЛВС нелегальных станций / серверов. Усиленная аутентификация в ЛВС основана на применении математических методов, позволяющих однозначно опознать участников диалога.

Как известно, невозможно решить все вопросы обработки информации в АС только средствами защиты от НСД к защищаемой информации. Поэтому необходимо также обеспечить юридическую доказательность подлинности электронных документов. Специалистами ОКБ САПР предложен и реализован новый путь - разработка контролируемой технологии обработки электронных документов в вычислительных системах - технология защиты электронных документов с использованием защитных кодов аутентификации (ЗКА). Данная технология уже используется в банковских платежных системах с целью предотвращения попыток злоумышленников ввести фиктивные или модифицировать обрабатываемые электронные банковские документы, а также с целью организации сквозного контроля при прохождении электронных документов всех предписанных этапов их существования (создание, обработка, передача, хранение, окончательный зачет). Это обеспечивается установкой на документ ЗКА. В результате электронный документ на каждом этапе обработки имеет два ЗКА, первый из которых позволяет авторизовать и проконтролировать его целостность на предыдущем этапе обработки, а второй является его индивидуальным признаком на текущем.

Технологическая защита электронного документооборота реализуется всеми типами контроллеров семейства «Аккорд». Кроме того, для реализации данной технологии при использовании других СЗИ НСД в ОКБ САПР разработаны эффективные устройства: блок установки кодов аутентификации (БУКА), изделие «ШИПКА» (Шифрование, Аутентификация, Подпись, Коды Аутентификации).

“ШИПКА” содержит микропроцессор с встроенным программным обеспечением, аппаратный датчик случайных чисел, подключается через имеющийся интерфейс - шину USB - и может выполнять операции:

Шифрование по ГОСТ 28147-89;

Хеширование по ГОСТ Р 34.11-94;

Формирование и проверка электронной цифровой подписи по ГОСТ Р 34.10-94;

Выработка и проверка защитных кодов аутентификации.

В последней модификации изделия имеется защищенный электронный диск объемом 16 Мбайт, 32, 64 или 128 Мбайт для записи пользовательской информации.

Любая система защиты информации - это комплекс организационно-технических мероприятий, который включает в себя совокупность правовых норм, организационных мер и программно-технических средств защиты, направленных на противодействие угрозам объекту информатизации с целью сведения до минимума возможного ущерба пользователям и владельцам системы. Без организационных мер, наличия четкой организационно-распорядительной системы на объекте информатизации эффективность любых технических СЗИ снижается.

Поэтому ОКБ САПР большое внимание уделяет вопросам разработки нормативно-технической и методической документации, комплектов организационно-распорядительных документов по политике защиты объектов информатизации в соответствии с действующим законодательством РФ. Совместно с Федеральным государственным унитарным предприятием «Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации» (ВНИИПВТИ) активно участвует в научных работах в области защиты информации, прежде всего в разработке:

Концептуальных и теоретических основ защиты электронных документов;

Теории применения программно-технических средств защиты от НСД к информации;

Управления защитой информации в локальных и корпоративных вычислительных сетях различного назначения.

В настоящее время ОКБ САПР является признанным разработчиком и производителем программно-аппаратных средств защиты информации от несанкционированного доступа, передовых методов управления защитой информации и технологий защищенного электронного документооборота на их основе.

ОКБ САПР является лицензиатом ФСБ, Гостехкомиссии России и ФАПСИ, имеет аттестованное Гостехкомиссией России производство средств защиты информации от несанкционированного доступа и широкую дилерскую сеть в большинстве субъектов Российской Федерации, ведет активную работу по подготовке специалистов в области защиты информации.

В последнее время возрос интерес к современным аппаратным средствам криптографической защиты информации (АСКЗИ). Это обусловлено, прежде всего, простотой оперативностью их внедрения. Для этого достаточно у абонентов на передающей и приемной сторонах иметь аппаратуру АСКЗИ и комплект ключевых документов, чтобы гарантировать конфиденциальность циркулирующей в автоматизированных системах управления (АСУ) информации.

Современные АСКЗИ строятся на модульном принципе, что дает возможность комплектовать структуру АСКЗИ по выбору заказчика.

1. Структура АСКЗИ

При разработке современных АСКЗИ приходится учитывать большое количества факторов, влияющих на эффективность их развития, что усложняет нахождение аналитических оценок по выбору обобщенного критерия оптимальности их структуры.

К современным АСКЗИ как элементу АСУ предъявляют повышенные требования по безопасности, надежности и быстродействию обработки циркулирующей в системе информации.

Безопасность обеспечивается гарантированной стойкостью шифрования и выполнением специальных требований, выбор которых обусловлен криптографическими стандартами.

Надежность и быстродействие обработки информации зависят от состава выбранной структуры АСКЗИ включает в себя ряд функционально завешенных узлов и блоков, обеспечивающих заданную надежность и быстродействие. К ним относятся:

Входные устройства, предназначенные для ввода информации;

Устройства преобразования информации, предназначенные для передачи информации от входных устройств на устройства вывода в зашифрованном, расшифрованном или открытом виде;

Устройства вывода, предназначенные для вывода информации на соответствующие носители.

2. Модель АСКЗИ

Для нахождения обобщенного критерия оценки оптимальности структуры современной АСКЗИ достаточно рассмотреть основную цепь прохождения информации: адаптеры ввода, входные устройства, состоящие из клавиатуры, трансмиттера или фотосчитывателя, шифратора, устройства преобразования и устройство вывода. Остальные узлы и блоки не оказывают существенного влияния на прохождение информации.

Из методологии системного подхода известно, что математическое описание сложной системы, к которой относится АСКЗИ, осуществляется путем иерархического разбиения её на элементарные составляющие. При это в математические модели вышестоящих уровней в качестве частных уровней в качестве частных критериев всегда должны включатся обобщенные критерии нижестоящих уровней. Следовательно, одно и то же понятие по отношению к низшему уровню может выступать в качестве обобщенно критерия, а по отношению к высшему- в качестве частного критерия.

Подсистема вывода является оконечным устройством АСКЗИ, то есть находится на высшей ступени иерархии и включает в себя устройства отображения, печати и перфорации. Следовательно, на этом уровне в качестве целевой установки будет выступать быстрота обработки входящих криптограмм. Тогда в качестве обобщенного критерия целесообразно выбрать время обработки потока криптограмм за один цикл функционирования современных АСКЗИ, не превышающего заданного интервала времени и обусловленного необходимостью принятия управленческих решений.

Подсистема обработки информации находится на втором уровне иерархии и включает в себя тракты печати и перфорации шифратор и систему управления и распределения потоком информации.

Основные направления работ по рассматриваемому аспекту защиты можно сформулировать таким образом:

Выбор рациональных систем шифрования для надежного закрытия информации;

Обоснование путей реализации систем шифрования в автоматизированных системах;

Разработка правил использования криптографических методов защиты в процессе функционирования автоматизированных систем;

Оценка эффективности криптографической защиты.

К шифрам, предназначенным для закрытия информации в ЭВМ и автоматизированных системах, предъявляется ряд требований, в том числе: достаточная стойкость (надежность закрытия), простота шифрования и расшифрования от способа внутримашинного представления информации, нечувствительность к небольшим ошибкам шифрования, возможность внутримашинной обработки зашифрованной информации, незначительная избыточность информации за счет шифрования и ряд других. В той или иной степени этим требованиям отвечают некоторые виды шифров замены, перестановки, гаммирования, а также шифры, основанные на аналитических преобразованиях шифруемых данных.

Шифрование заменой (иногда употребляется термин "подстановка") заключается в том, что символы шифруемого текста заменяются символами другого или того же алфавита в соответствии с заранее обусловленной схемой замены.

Шифрование перестановкой заключается в том, что символы шифруемого текста переставляются по какому-то правилу в пределах какого-то блока этого текста. При достаточной длине блока, в пределах которого осуществляется перестановка, и сложном и неповторяющемся порядке перестановке можно достигнуть достаточной для практических приложений в автоматизированных системах стойкости шифрования.

Шифрование гаммированием заключается в том, что символы шифруемого текста складываются с символами некоторой случайной последовательности, именуемой гаммой. Стойкость шифрования определяется главным образом размером (длиной) неповторяющейся части гаммы. Поскольку с помощью ЭВМ можно генерировать практически бесконечную гамму, то данный способ считается одним из основных для шифрования информации в автоматизированных системах. Правда, при этом возникает ряд организационно-технических трудностей, которые, однако, не являются не преодолимыми.

Шифрование аналитическим преобразованием заключается в том, что шифруемый текст преобразуется по некоторому аналитическому правилу (формуле). Можно, например, использовать правило умножения матрицы на вектор, причем умножаемая матрица является ключом шифрования (поэтому ее размер и содержание должны сохранятся в тайне), а символы умножаемого вектора последовательно служат символы шифруемого текста.

Особенно эффективными являются комбинированные шифры, когда текст последовательно шифруется двумя или большим числом систем шифрования (например, замена и гаммирование, перестановка и гаммирование). Считается, что при этом стойкость шифрования превышает суммарную стойкость в составных шифрах.

Каждую из рассмотренных систем шифрования можно реализовать в автоматизированной системе либо программным путем, либо с помощью специальной аппаратуры. Программная реализация по сравнению с аппаратной является более гибкой и обходится дешевле. Однако аппаратное шифрование в общем случае в несколько раз производительнее. Это обстоятельство при больших объемах закрываемой информации имеет решающее значение.

Под аппаратным обеспечением средств защиты операционной системы традиционно понимается совокупность средств и методов, используемых для решения следующих задач:

Управление оперативной и виртуальной памятью компьютера;

Распределение процессорного времени между задачами в многозадачной операционной системе;

Синхронизация выполнения параллельных задач в многозадачной операционной системе;

Обеспечение совместного доступа задач к ресурсам операционной системы.

Перечисленные задачи в значительной степени решаются с помощью аппаратно реализованных функций процессоров и других узлов компьютера. Однако, как правило, для решения этих задач принимаются и программные средства, и по этому термины “аппаратное обеспечение защиты ” и “аппаратная защита” не вполне корректны. Тем не менее, поскольку эти термины фактически общеприняты, мы будем их использовать.

Отсутствие штатных средств защиты в первых операционных системах для защиты персональных компьютеров (ПК) породило проблему создания дополнительных средств. Актуальность этой проблемы не уменьшилась с появлением более мощных ОС с развитыми подсистемами защиты. Дело в том, что большинство систем до сих пор не способны защитить данные, “вышедшие за ее пределы”, например в случае использования сетевого информационного обмена или при попытке доступа к дисковым накопителям путем загрузки альтернативной незащищенной ОС.

Основные выводы о способах использования рассмотренных выше средств, методов и мероприятий защиты, сводится к следующему:

Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации.

Механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы.

Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации.

Необходимо осуществлять постоянный контроль функционирования механизма защиты.

Список литературы

Интернет: www.legaladvise.ru

www.confident.ru

www.kasperski.ru

Проскурин В.Г. и др. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах. –М.: Радио и связь, 2000.

Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных /П.Ю.Белкин, О.О.Михальский, А.С. Першаков и др.- М.: Радио и связь, 1999.

Хисамов Ф.Г. Макаров Ю.П. Оптимизация аппаратных средств криптографической защиты информации //Системы безопасности. - 2004. – февраль-март №1 (55). –стр.108.