К.т.н. Черниш Л.Г., магистр  Хамдан Р.Ф.

Национальный авиационный университет, Украина

 

ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

 

Сегодня проблемы, связанные с защитой информации, беспокоят как специалистов в области компьютерной безопасности, так и всех остальных рядовых пользователей персональных компьютеров. По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается ее уязвимость – возможность уничтожения или искажения информации (т.е. нарушение ее физической целостности), и возможность несанкционированного использования информации (т.е. опасность утечки информации ограниченного пользования). Второй вид уязвимости вызывает особую озабоченность пользователей ЭВМ.

Не существует "абсолютно надежных" методов защиты информации, гарантирующих полную невозможность получения несанкционированного доступа (НСД). Можно утверждать, что достаточно квалифицированные системные программисты, пользующиеся современными средствами анализа работы программного обеспечения, располагающие достаточным временем, смогут преодолеть практически любую защиту от НСД.

Поэтому при защите от НСД следует исходить из предположения, что рано или поздно эта защита окажется снятой. Целью защиты должен быть выбор такого способа, который обеспечит невозможность получения НСД для заранее определенного круга лиц в течение ограниченного времени.

Например, если защитить от копирования коммерческую версию программы, необязательно защищать эту версию от копирования "навсегда" - стоимость такой защиты может превысить стоимость самой программы. Вполне достаточно, чтобы способ защиты было невозможно "разгадать" к моменту появления следующей версии программы, так как в новой версии можно  изменить этот способ.

Короче говоря, уровень защиты должен быть таким, чтобы было бы выгоднее купить программу, а не заниматься снятием защиты от копирования.

Иногда защищать программы от копирования вообще нецелесообразно. Фирма Microsoft в основном не защищает от копирования свои программные продукты. Для привлечения покупателей она устанавливает низкие цены на свои изделия и обеспечивает сопровождение на высоком уровне. Новые версии программ продаются зарегистрированным пользователям со значительными скидками. Эти версии появляются достаточно быстро, поэтому имеет смысл покупать новые версии, а не копировать старые.

Таким образом, для выбора способа организации защиты от НСД и от копирования необходим индивидуальный подход в каждом конкретном случае.

Все средства защиты от НСД можно разделить на аппаратные и программные.

 

Аппаратные средства защиты

Аппаратные средства – это технические средства, используемые для обработки данных. Сюда относятся:

-       персональный компьютер (комплекс технических средств, предназначенных для автоматической обработки информации в процессе решения вычислительных и информационных задач);

-       периферийное оборудование (комплекс внешних устройств ЭВМ, не находящихся под непосредственным управлением центрального процессора);

-       физические носители машинной информации.

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

-          специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

-          генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;

-          устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

-          схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.

Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

 

 Программные средства обеспечения защиты

Программные средства - это объективные формы представления совокупности данных и команд, предназначенных для функционирования компьютеров и компьютерных устройств с целью получения определенного результата, а также подготовленные и зафиксированные на физическом носителе материалы, полученные в ходе их разработок, и порождаемые ими аудиовизуальные отображения.

К программным средствам защиты относятся специальные программы, которые предназначены для выполнения функций защиты и включаются в состав программного обеспечения систем обработки данных. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п.

Встроенные средства защиты информации в сетевых ОС доступны, но не всегда могут полностью решить возникающие на практике проблемы. Например, сетевые ОС NetWare 3.x, 4.x позволяют осуществить надежную «эшелонированную» защиту данных от аппаратных сбоев и повреждений.

Однако полагаться на системы защиты информации в ОС NetWare можно не всегда. Свидетельством тому являются многочисленные инструкции в Internet и готовые доступные программы, позволяющие взломать те или иные элементы защиты от несанкционированного доступа. То же замечание справедливо по отношению к другим мощным сетевым ОС со встроенными средствами защиты информации (Windows NT, UNIX).

В то же время, в связи с остротой проблемы защиты информации,  наблюдается тенденция интеграции (встраивания) отдельных, хорошо зарекомендовавших себя и ставших стандартными средств в сетевые ОС или разработка собственных «фирменных» аналогов известным программам защиты информации. Так, в сетевой ОС NetWare 4.1 предусмотрена возможность кодирования данных по принципу «открытого ключа» (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов.

Специализированные программные средства защиты информации от НСД обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Кроме программ шифрования, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых следует отметить следующие две системы, позволяющие ограничить информационные потоки.

1.   Firewalls - брандмауэры (дословно firewall — огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные сервера, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/ транспортного уровней. Это позволяет резко снизить угрозу НСД извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

2.   Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью — попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java и JavaScript).

           В целях повышения эффективности защиты информационных ресурсов от НСД, предлагается использовать разработанный авторами программный продукт Device Access Сontrol. Он обеспечивает разграничение доступа к устройствам хранения данных, использующим съемные носители информации, таким как Floppy - дисководы, СD/DVD - дисководы и накопители на флэш-памяти.

           Как уже было отмечено ранее в этой статье, стандартное программное обеспечение не всегда делает систему защиты достаточно надёжной, если учесть, что около 70% атак на информационные ресурсы производится изнутри системы. Поэтому  программный продукт Device Access Сontrol в таких ситуациях просто спасение для системы защиты.

           Основные функции продукта:

-          возможность ограничения доступа к съемным запоминающим устройствам на уровне пользователей или групп;

-          запрет доступа к дискетным дисководам и CD-ROM;

-          блокирование съемных устройств, подключаемых к шине USB;

-возможность использования только авторизованных администратором устройств;

-           централизованное администрирование, осуществляемое по сети;

-           возможность работы программного обеспечения в автономном режиме (когда нет подключения к сети);

-           возможность разграничения доступа с использованием групповой политики Active Directory;

-           невозможность обхода системы разграничения доступа при запуске операционной системы в безопасном режиме.

             Device Access Сontrol  работает на любом компьютере под управлением операционной системы Windows 2000/XP и Windows Server 2003.

Программный продукт Device Access Сontrol состоит из двух модулей:

Агента и  модуля администрирования.

Агент – модуль, который должен быть запущен на каждой рабочей станции сети. Представляет собой системный сервис, запускаемый автоматически при загрузке системы и управляющий доступом к сменным носителям.

Модуль администрирования является графическим интерфейсом для удаленного администрирования комплекса. Он может быть установлен на любом компьютере сети. Модуль администрирования используется системными администраторами для управления агентами.

При установке агента Device Access Сontrol программа установки автоматически создаст специальные локальные группы DevMan_Floppy, DevMan_CD, DevMan_USB. По умолчанию члены группы DevMan_Floppy будут иметь доступ к дискетным дисководам, члены группы DevMan_CD будут иметь доступ к дисководам CD/DVD и члены группы DevMan_USB соответственно получат доступ к устройствам USB/FireWire. Доступность каждого компьютера в сети проверяется командой Ping. После завершения установки агентов на все компьютеры сети необходимо с помощью модуля администрирования задать необходимые права доступа к съемным носителям информации для пользователей или групп.

 

 

 

 

 

 

 

Литература

1.     Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы защиты информации. Владивосток: Изд-во ДВГТУ, 2007. - 318с.

2.     П.Б.Хорев. Методы и средства защиты информации в компьютерных системах. М.: Академия, 2005. 256 с.

3.     Семененко, Федоров. Программно-аппаратная защита информации. Изд-во МГИУ, 2007.-340c

4.     http://www.msdn.microsoft.com/en-us/library/

5.     http://www.infosecuritylab.com/

6.     Katel, P. (2005). Identity Theft. The CQ Researcher Online, 15(22), 517-540 .
Retrieved 7/1/2005, from http://library.cqpress.com/