Установка и настройка программных средств защиты автоматизированных систем и информационно-коммуникационных сетей
Зависимость современного общества от информационных технологий настолько высока, что сбои в информационных системах способны привести к значительным инцидентам в «реальном» мире. Никому не надо объяснять, что программное обеспечение и данные, хранящиеся в компьютере, нуждаются в защите. Разгул компьютерного пиратства, вредоносные вирусы, атаки хакеров и изощренные средства коммерческого шпионажа заставляют производителей и пользователей программ искать способы и средства защиты.
Существует большое количество методов ограничения доступа к информации, хранящейся в компьютерах. Безопасность информационно-коммуникационных систем можно подразделить на технологическую, программную и физическую. С технологической точки зрения обеспечения безопасности, в информационных системах широко используются и «зеркальные» серверы, и двойные жесткие диски.
Обязательно следует использовать надежные системы бесперебойного питания. Скачки напряжения могут стереть память, внести изменения в программы и уничтожить микросхемы. Предохранить серверы и компьютеры от кратковременных бросков питания могут сетевые фильтры. Источники бесперебойного питания предоставляют возможность отключить компьютер без потери данных.
Для обеспечения программной безопасности активно применяются довольно развитые программные средства борьбы с вирусами, защиты от несанкционированного доступа, системы восстановления и резервирования информации, системы проактивной защиты ПК, системы идентификации и кодирования информации. В рамках раздела невозможно разобрать огромное разнообразие программных, аппаратно-программных комплексов, а также различных устройств доступа, так как это отдельная тема, заслуживающая конкретного, детального рассмотрения, и она является задачей службы информационной безопасности. Здесь рассматриваются лишь устройства, позволяющие осуществить защиту компьютерной аппаратуры техническими средствами.
Первым аспектом компьютерной безопасности является угроза хищения информации посторонними. Осуществляться это хищение может через физический доступ к носителям информации. Чтобы предупредить несанкционированный доступ к компьютеру других лиц в то время, когда в нем находится защищаемая информация, и обеспечить защиту данных на носителях от хищения, следует начать с того, чтобы обезопасить компьютер от банальной кражи.
Самый распространенный и примитивный вид защиты оргтехники – маленький замочек на корпусе системного блока (с поворотом ключа выключается компьютер). Другой элементарный способ защиты мониторов и системных блоков от кражи – сделать их стационарными. Этого можно достичь простым креплением элементов ПК к неким громоздким и тяжеловесным предметам или соединением элементов ПЭВМ между собой.
Комплект для защиты настольного компьютера должен обеспечивать осуществление широкого диапазона охранных методов, включая защиту внутренних деталей компьютера, так чтобы получить доступ во внутреннее пространство системного блока, не сняв универсальный крепеж, было бы невозможно. Должна обеспечиваться безопасность не только одного системного блока, но и части периферийных устройств. Охранный пакет должен быть настолько универсален, чтобы он мог быть использован для охраны не только компьютерной, но и другой офисной техники.
Устройство защиты CD-, DVD-приводов и дисководов похоже на дискету с замком на ее торцевой части. Вставьте его «дискетную» часть в дисковод, поверните ключ в замке, и дисковод невозможно использовать. Механические или электромеханические ключи довольно надежно защищают данные в компьютере от копирования и воровства носителей.
Для защиты от постороннего взгляда информации, показываемой на мониторе, выпускаются специальные фильтры . При помощи микрожалюзи данные, выводимые на экран, видны только сидящему непосредственно перед монитором, а под другим углом зрения виден только черный экран. Аналогичные функции выполняют фильтры, работающие по принципу размытия изображения. Такие фильтры состоят из нескольких пленок, за счет которых обеспечивается вышеуказанный эффект, а посторонний может увидеть лишь размытое, совершенно нечитаемое изображение.
На рынке представлены комплексы защиты , состоящие из датчика (электронного, датчика движения, удара, датчика-поводка) и блока сирены, устанавливаемого на защищаемом компьютере. Срабатывание сирены, мощность которой 120 дБ, произойдет только при отсоединении или срабатывании датчика. Установка такой защиты на корпусе, однако, не всегда гарантирует сохранность содержимого системного блока. Оснащение всех составляющих компьютера подобными датчиками поможет предотвратить их возможное хищение.
Большинство ноутбуков серийно оснащаются слотом безопасности (Security Slot ). В приемных офисов многих западных фирм есть даже специально выделенные столы, оснащенные механическими приспособлениями для возможности «пристегнуть» ноутбук на случай, если его нужно на время оставить. Владельцы ноутбуков активно используют охранные системы «датчик – сирена» в одном корпусе. Такие комплекты могут активироваться (деактивироваться) либо ключом, либо брелоком.
Для защиты локальных сетей существуют единые охранные комплексы. Каждый охраняемый компьютер снабжается датчиками, которые подсоединяются к центральной охранной панели через специальные гнезда или беспроводным способом. После установки всех датчиков на охраняемые объекты (на системные блоки такие датчики рекомендуется устанавливать на стыке кожуха и корпуса) нужно просто подсоединить провода от датчика к датчику. При срабатывании любого из датчиков сигнал тревоги поступает на центральную панель, которая в автоматическом режиме оповестит соответствующие службы.
Следует упомянуть, что мощный электромагнитный импульс способен на расстоянии уничтожить информацию, содержащуюся на магнитных носителях, а пожар, случившийся даже в соседнем помещении, с большой вероятностью приведет к выводу из строя имеющейся оргтехники. Для защиты существуют высокотехнологичные средства, позволяющие при температуре внешней среды в 1100 °C сохранять жизнеспособность компьютерной системы в течение двух часов и противостоять физическому разрушению и взломам, а также мощным электромагнитным импульсам и иным перегрузкам.
Но защита информации, хранимой в компьютере, не сводится лишь к установке надежного замка в серверной, приобретению сейфа для хранения информационных носителей и установке противопожарной системы. Для защиты передаваемой и хранимой информации ее необходимо зашифровать с помощью аппаратных средств, обычно подключая к компьютеру дополнительную электронную плату.
2. Применять системы анализа защищенности с целью обнаружения уязвимости в сетевой инфраструктуре, выдавать рекомендации по их устранению.
Источник
ОСНОВНЫЕ ПОДСИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА И ОСОБЕННОСТИ ИХ НАСТРОЙКИ Текст научной статьи по специальности « Компьютерные и информационные науки»
Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Герасимов Антон Андреевич, Кузнецов Виктор Александрович, Мозговой Андрей Валериевич, Пугачев Кирилл Александрович
Представлен обзор существующих типов обеспечения защиты информации от несанкционированного доступа на объектах информатизации . Рассмотрены основные требования, предъявляемые к средствам защиты информации от несанкционированного доступа (СЗИ от НСД). Описаны основные подсистемы работы СЗИ от НСД, а также рекомендации по настройке этих подсистем. Сделан вывод о корректности и адекватности применения правильно настроенного комплекса СЗИ от НСД.
Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Герасимов Антон Андреевич, Кузнецов Виктор Александрович, Мозговой Андрей Валериевич, Пугачев Кирилл Александрович
The main subsystems of ISM from UA and feature of their control on the AS
The review of existing types of providing IS from US on OI is presented in the article. The main requirements for ISM from UA are considered. Subsystems of work of ISM from UA, and also recommendations on control of these subsystems are described. The conclusion is drawn on a correctness and adequacy of application of correctly adjusted ISM complex from UA.
Текст научной работы на тему «ОСНОВНЫЕ ПОДСИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА И ОСОБЕННОСТИ ИХ НАСТРОЙКИ»
Основные подсистемы защиты информации от несанкционированного доступа и особенности
© А.А. Герасимов, В.А. Кузнецов, А.В. Мозговой, К.А. Пугачев МГТУ им. Н.Э. Баумана, Москва, 105005, Россия
Представлен обзор существующих типов обеспечения защиты информации от несанкционированного доступа на объектах информатизации. Рассмотрены основные требования, предъявляемые к средствам защиты информации от несанкционированного доступа (СЗИ от НСД). Описаны основные подсистемы работы СЗИ от НСД, а также рекомендации по настройке этих подсистем. Сделан вывод о корректности и адекватности применения правильно настроенного комплекса СЗИ от НСД.
Ключевые слова: защита информации, несанкционированный доступ, объект информатизации, автоматизированная система, средство защиты информации.
Защита информации от несанкционированного доступа (ЗИ от НСД) на объектах информатизации (ОИ) представляет собой важную составляющую обеспечения безопасности информации на ОИ. Несмотря на то что требования к защите информации определенного уровня конфиденциальности от НСД закреплены законодательно, при ЗИ от НСД, в отличие от других факторов обеспечения безопасности информации (например, таких, как ЗИ от утечки по техническим каналам), применяется более творческий подход к построению системы защиты.
В настоящее время в зависимости от типа ОИ и его структуры для обеспечения ЗИ от НСД могут применяться следующие классы средств защиты:
1) средства аппаратной идентификации;
2) средства антивирусной защиты;
3) средства обнаружения вторжений;
4) межсетевые экраны;
5) программные и программно-аппаратные средства защиты информации от несанкционированного доступа (СЗИ от НСД);
6) средства шифрования.
Построение комплекса по ЗИ от НСД на каждом конкретном ОИ начинается с построения модели информационного документооборота ОИ. Проводится изучение информационных потоков на ОИ, определяются риски и основные угрозы информации на всех этапах ее
хранения, обработки и передачи на ОИ. На основании полученной информации строится матрица доступа к информации, обрабатываемой на ОИ, а также схема информационных потоков. Затем на основании собранных об ОИ сведений строится модель комплекса СЗИ от НСД для исследуемого ОИ.
Чаще всего на автоматизированных рабочих местах (АРМ) в составе ОИ применяются программные или программно-аппаратные СЗИ от НСД. В зависимости от того, имеются ли у АРМ в составе ОИ сетевые подключения, принимается решение о применении средств межсетевого экранирования, а также средств обнаружения вторжений.
Основную же роль в обеспечении безопасности на ОИ играют СЗИ от НСД. В данный момент на рынке средств защиты предлагается обширный выбор СЗИ от НСД, основными из которых являются «Аккорд», «Страж», Secret net и Dallas lock.
Каждое из приведенных средств отличается своими особенностями в работе. В связи с тем что все эти средства имеют действующие сертификаты соответствия Федеральной службы технического и экспортного контроля (ФСТЭК) России по защите информации на автоматизированных системах (АС) до класса 1Б включительно, положительно или отрицательно оценивать их можно по двум критериям: удобство в работе для пользователя; удобство и прозрачность настройки.
Согласно руководящему документу «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» СЗИ от НСД должно обеспечивать безопасность информации с помощью следующих четырех основных подсистем:
1) идентификации и аутентификации;
2) регистрации и учета;
3) криптографической защиты;
4) контроля целостности.
Подсистема идентификации и аутентификации предоставляет и контролирует доступ к работе на АРМ ОИ пользователей. В зависимости от уровня конфиденциальности информации и от класса АС, на которой эта информация обрабатывается, могут применяться разные методы идентификации и аутентификации. Однако стоит отметить, что одним из самых надежных методов является аппаратная идентификация с последующей аутентификацией по паролю определенной длины и сложности в зависимости от класса АС.
К основным задачам подсистемы регистрации и учета относятся: ведение журнала всех действий пользователя на АРМ АС; фиксация в журнале попыток НСД пользователя к ресурсам, доступ к которым ему запрещен; учет всех носителей информации и гарантиро-
Основные подсистемы защиты информации от несанкционированного доступа.
ванное уничтожение затираемой информации. Самым уязвимым местом работы АС являются съемные носители. Связано это в первую очередь с тем, что для удобной работы пользователи часто пренебрегают некоторыми принципами защиты информации и начинают применять съемные носители разного рода и происхождения. Естественно, при этом возникает риск заражения АРМ АС компьютерными вирусами, а также риск утечки информации с использованием незарегистрированных носителей. На устранение данной угрозы и направлена работа подсистемы регистрации и учета СЗИ от НСД. Чаще всего в СЗИ жестко фиксируются набор носителей по их заводским номерам, определяемым при подключении к АРМ, и список атрибутов по доступу к ним. Это позволяет избежать несанкционированного копирования информации и, как результат, утечки ее с использованием сторонних носителей. Кроме того, удается избежать заражения АРМ АС компьютерными вирусами. Однако при настройке данной подсистемы необходимо тщательно изучить процесс работы пользователей АС, так как жесткая настройка без учета тонкостей циркуляции информации может привести к значительному ухудшению удобства применения СЗИ от НСД конечными пользователями и, как результат, к новым попыткам НСД.
Подсистема криптографической защиты преобразовывает информацию, обрабатываемую в АС, с помощью известных надежных криптографических алгоритмов. Применение данной подсистемы определяется не только классом АС, но и тем, как циркулирует информация на АС. Чаще всего информация зашифровывается при передаче по сети, реже — при ее сохранении на съемные носители.
Основной задачей подсистемы контроля целостности является сохранение работоспособности как программной, так и аппаратной части АС. Причем все требования, предъявляемые к АС в руководящем документе «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», СЗИ от НСД реализовать не в состоянии. В частности, они не могут реализовать требования физической охраны средств АС и наличия администратора безопасности. В обязанности СЗИ от НСД входят подсчет контрольных сумм программного обеспечения АС и контроль аппаратной конфигурации АС. В случае несовпадения контрольных сумм и (или) изменения аппаратной конфигурации компьютера работа текущего пользователя блокируется. Контроль проводится в два этапа:
1) по завершении работы пользователя СЗИ от НСД вычисляет контрольные суммы программ и сохраняет аппаратную конфигурацию АС;
2) при следующем включении АРМ АС на этапе загрузки операционной системы и СЗИ от НСД контрольные суммы и аппаратная конфи-
гурация сравниваются с эталонными значениями. По результатам сравнения принимается решение о возможности дальнейшей работы пользователя на АС.
Из вышесказанного можно сделать следующий вывод: настройка СЗИ от НСД зависит от многих факторов, и только грамотный учет всех тонкостей работы с информацией на АС, а также анализ угроз безопасности информации и соблюдение требований руководящих документов [1, 2] обеспечивают ЗИ от НСД в АС и, что немаловажно, удобную, комфортную работу пользователей.
[1] Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Российская газета, 2012, 7 ноября.
[2] Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Российская газета, 2013, 22 мая.
Статья поступила в редакцию 28.06.2013
Ссылку на эту статью просим оформлять следующим образом:
Источник