Анализ угроз, использующих уязвимости защиты, и разработка методов повышения уровня защищенности системы автоматизированного проектиров

     Под системой защиты от несанкционированного использования и копирования (защиты авторских прав, или просто защиты, от копирования) понимается комплекс программных или программно-аппаратных средств,

предназначенных для  усложнения или запрещения нелегального распространения, использования и (или) изменения программных продуктов и иных информационных ресурсов. Термин «нелегальное» здесь понимается как производимое      без    согласия   правообладателя.   Нелегальное     изменение информационного ресурса может потребоваться нарушителю для того, чтобы измененный им продукт не подпадал под действие законодательства о защите авторских прав.

     Под    надежностью   системы  защиты   от несанкционированного копирования понимается ее способность противостоять попыткам изучения

алгоритма ее работы и обхода реализованных в нем методов защиты. Очевидно, что любая программная или программно-аппаратная система защиты от копирования может быть преодолена за конечное время, так как процессорные команды системы защиты в момент своего исполнения присутствуют в оперативной памяти компьютера в открытом виде. Также очевидно, что надежность системы защиты равна надежности наименее защищенного из ее модулей.

Для обеспечения  защиты от копирования может применяться  такой программный продукт, как:  

 

StarForce Corporative

Профессиональное решение для защиты бизнес приложений, предназначенных для корпоративного использования в локальных сетях компаний, где возможно централизованное управление работой приложения.

Защищенные StarForce Corporative продукты могут распространяться, как на любых физических носителях, так и через Интернет.

Основной принцип  работы продукта состоит в том, что  функции контроля использования защищенного приложения выполняет сервер в локальной сети.

Клиентская  часть защищенного приложения устанавливается  на клиентские компьютеры. На сервере  запускается сервер лицензий и активируется серверная часть защищённого  приложения. Активация серверной части происходит через интернет с помощью серийного номера, который определяет лицензию на данное приложение, На продукт дается одна лицензия, которая определяет логику работы защищенного приложения (количество одновременно запущенных клиентских приложений, срок работы и т.д.). При запуске клиентские приложения подключаются к серверу, запрашивая разрешение на запуск.

Лицензия активируется единожды системным администратором  на сервере. Тем самым рядовые  сотрудники компании, работающие с  клиентской частью, не тратят свое время на активацию.

 

3.2.3 Подсистема  криптографической защиты

 

В соответствии с Постановлением Правительства  РФ № 691 от 23.09.2002 к криптографическим средствам защиты относятся:

• средства шифрования (аппаратные, программные и аппаратно-программные);
• средства электронной цифровой подписи;
• средства кодирования;
• средства изготовления ключевых документов;
• ключевые документы.

Криптографические технологии защиты информации позволяют  решать следующие задачи:

• закрытие и контроль целостности данных, хранимых в автоматизированной системе или передаваемых по каналам связи;
• разграничение ответственности на основе аутентичности.

Криптографические методы традиционно используются для  шифрования информации ограниченного  доступа, представленной в любой  материальной форме в виде: письменных текстов, данных, хранящихся на дисках; сообщений, передаваемым по каналам связи, программного обеспечения, графики или речи.

Для шифрования информации на жестких дисках можно  использовать утилиты типа Drive Crypt Plus Pack.

В качестве примеров утилит шифрования для служб обмена мгновенными сообщениями можно  назвать Trillian, SpyShield, IIP (Invisible IRC Project).

Для безопасной передачи в незащищенной среде практически  любого сетевого протокола можно использовать протокол SSH (Secure SHell). SSH – это сетевой протокол сеансового уровня, позволяющий производить удаленное управление операционной системой и туннелирование TCP-соединений.

 

3.3 Методы организационно-администритивной защиты информации

Организационная  защита информации —  это  регламентация деятельности  и  взаимоотношений  исполнителей на  нормативно-правовой  основе,  исключающей  или  существенно затрудняющей  неправомерное  овладение  конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

• организацию  охраны,  режима,  работу  с  кадрами,  с документами;
• использование  технических  средств  безопасности  и информационно-аналитическую  деятельность  по выявлению  внутренних  и  внешних  угроз  предпринимательской деятельности.

Организационная защита включает в себя регламентацию:

1) Формирования  и  организации  деятельности  службы  безопасности, обеспечения деятельности этих служб нормативно-методическими документами по организации защиты информации.

2) Составления  и  регулярного  обновления  состава  защищаемой  информации  компании,  составления  и  ведения  перечня защищаемых  бумажных  и  электронных документов.

3) Разрешительной  системы разграничения доступа  персонала к защищаемой информации.

4) Методов  отбора  персонала  для  работы  с  защищаемой информацией, методики обучения и инструктирования сотрудников.

5) Направлений  и  методов  воспитательной  работы  с  персоналом,  контроля  соблюдения  сотрудниками  порядка  защиты информации.

6) Технологии  защиты,  обработки  и  хранения  бумажных  и  электронных  документов.

7) Порядка  защиты  ценной  информации  компании  от  случайных или умышленных несанкционированных действий персонала.

8)  Ведения всех видов аналитической работы.

9)  Порядка  защиты  информации  при  проведении  совещаний, заседаний,  переговоров,  приеме  посетителей,  работе  с представителями СМИ.

10) Оборудования  и  аттестации  помещений  и  рабочих  зон,  выделенных для работы с конфиденциальной информацией.

11) Пропускного  режима на территории, в здании, помещениях,  идентификации транспорта и персонала компании.

12) Системы охраны  территории.

13) Действий  персонала в экстремальных ситуациях.

14) Организационных  вопросов  приобретения,  установки  и  эксплуатации технических средств защиты информации и охраны.

15) Работы по  управлению системой защиты информации.

16) Критериев  и  порядка  проведения  оценочных  мероприятий по  установлению  степени  эффективности  системы  защиты информации.

Система  организационных  мер  по  защите  информации представляют  собой  комплекс  мероприятий,  включающих четыре основных компонента:

—   изучение обстановки на объекте;

—   разработку программы защиты;

—   деятельность по проведению указанной программы в жизнь;

—  контроль за  ее  действенностью  и  выполнением  установленных правил.

Выделяют следующие  организационные мероприятия:

—   ознакомление  с  сотрудниками,  их  изучение,  обучение  правилам работы с конфиденциальной информацией, ознакомление с мерами  ответственности  за  нарушение  правил  защиты информации и др.;

—   организация  надежной  охраны  помещений  и  территории прохождения линии связи;

—   организация,  хранения  и  использования  документов  и носителей  конфиденциальной  информации,  включая  порядок учета, выдачи, исполнения и возвращения;

—   создание  штатных  организационных  структур  по  защите ценной  информации  или  назначение  ответственного  за  защиту информации на конкретных этапах её обработки и передачи;

—   создание  особого  порядка  взаимоотношений  со  сторонними организациями и партнерами;

—   организация конфиденциального делопроизводства.

Организационные мероприятия  играют  существенную  роль  в создании  надежного  механизма  защиты  информации,  так  как возможности  несанкционированного  использования конфиденциальных  сведений  в  значительной  мере обусловливаются  не  техническими  аспектами,  а  злоумышленными действиями,  нерадивостью,  небрежностью  и  халатностью пользователей  или  персонала  защиты.  Влияния  этих  аспектов практически  невозможно  избежать  с  помощью  технических средств.  Для  этого  необходима  совокупность  организационно-правовых  и  организационно-технических  мероприятий,  которые исключали  бы  (или,  по  крайней  мере,  сводили  бы  к  минимуму) возможность  возникновения  опасности  конфиденциальной информации.

Задача административной деятельности состоит в координации  действий подчиненных, которая обеспечивает четкость, дисциплинированность и порядок  работы коллектива, определив оптимальное сочетание, рациональное соотношение организационно-административных и экономических методов.

Существуют три формы  проявления административных методов: обязательное предписание (приказ, запрет и т.п.); согласительные (консультация, компромисс); рекомендации, пожелания (совет, разъяснения, предложение, общение и т.п.).

Как правило, это прямые задания и распоряжения вышестоящих  органов управления (волевое воздействие  руководителя на подчиненных), которые  направлены на соблюдение законов и  постановлений, приказов и распоряжений руководителей в целях оптимизации производственных процессов. Административные методы отличают четкая адресность директив, обязательность выполнения распоряжений и указаний, невыполнение которых рассматривается как прямое нарушение исполнительской дисциплины и влечет за собой определенные взыскания. Директивные команды обязательны для выполнения, причем в установленные сроки, даже если это невыгодно исполнителю. По существу, административные методы — это методы принуждения, которые сохраняют свою силу до тех пор, пока труд не превратится в первую жизненную потребность. Экономическим методам управления отводится центральное место, так как отношения управления определяются в первую очередь экономическими отношениями и лежащими в их основе объективными потребностями и интересами людей.

    

3. Основы политики безопасности в организации

 

     Политика безопасности - набор    законов,   правил       и практических

рекомендаций,       на    основе    которых       строится управление, защита     и распределение критичной информации в системе. Она должна охватывать все   особенности        процесса обработки информации, определяя поведение системы в различных ситуациях.

      Политика безопасности представляет  собой некоторый набор требований, прошедших       соответствующую       проверку, реализуемых  при    помощи организационных мер и программно-технических средств, и определяющих архитектуру      системы           защиты.

 

Основными пунктами политики безопасности можно считать:

1. Объект, должен иметь несколько рубежей защиты:

• контролируемая территория;

• здание;
• помещение;
• устройство, носитель информации;
• программа;
• информационные ресурсы.

С целью предотвращения несанкционированного проникновения  на территорию и с помещения объекта посторонних лиц необходимо создать систему охраны объекта, которая включает в себя следующие компоненты:

• инженерные конструкции;
• охранная сигнализация;
• средства наблюдения;
• подсистема управления доступом на объект;
• дежурная смена охраны.

 

2. Для защиты информации от несанкционированного доступа необходимо создать систему разграничения доступа к информации. Целесообразно использование таких комплексов и систем, как программно-аппаратный комплекс «Аккорд-NT/2000» и электронный замок «Соболь».
3. Одним из главных условий обеспечения целостности и доступности информации в компьютерной системе является ее дублирование. Стратегия дублирования выбирается с учетом важности информации, требований к непрерывности работы компьютерной системы, трудоемкости восстановления данных. Дублирование информации обеспечивается дежурным администратором компьютерной системы.
4. Наиболее приемлемым  методом контроля     целостности информации является использование хэш-функции. Значение хэш-функции практически невозможно подделать без знания ключа. Поэтому следует хранить в зашифрованном виде или в памяти, недоступной злоумышленнику, только ключ хеширования (стартовый вектор хеширования).
5. Необходимо применение системы защиты от несанкционированного использования и копирования. В качестве таковой рекомендуется использовать программный продукт StarForce Corporative.
6. Использование криптографической защиты информации является неотъемлемым условием функционирования системы защиты. Для шифрования информации на жестких дисках можно использовать утилиты типа Drive Crypt Plus Pack. В качестве примеров утилит шифрования для служб обмена мгновенными сообщениями можно назвать Trillian, SpyShield, IIP (Invisible IRC Project). Для безопасной передачи в незащищенной среде практически любого сетевого протокола можно использовать протокол SSH (Secure SHell).
7. Организационные мероприятия  играют  существенную  роль  в создании  надежного  механизма  защиты  информации,  так  как возможности  несанкционированного  использования конфиденциальных  сведений  в  значительной  мере обусловливаются  не  техническими  аспектами,  а  злоумышленными действиями,  нерадивостью,  небрежностью  и  халатностью пользователей  или  персонала  защиты. Выделяют следующие организационные мероприятия: