ПО для защиты информации в вычислительных сетях

Третьей целью безопасности данных является их доступность. Бесполезно говорить о безопасности данных, если пользователь не может работать с  ними из-за их недоступности. Вот приблизительный  список ресурсов, которые обычно должны быть «доступны» в локальной сети:

• Принтеры.
• Серверы.
• Рабочие станции.
• Данные пользователей.

Любые критические данные, необходимые для работы.

1.3 Способы защиты  информации в вычислительных  сетях

На сегодняшний момент специалистами в отрасли защиты электронных массивов информации различаются  несколько способов защиты информации, каждый из которых уникален, однако обеспечивает защиту только от определённого  вида потенциальных угроз безопасности конфиденциальных данных. 
Так, под техническим способом защиты информации (данных и программного обеспечения) понимаются различные аппаратные методы и способы защиты информации, например, экранирование помещений, в которых находятся ЭВМ или дисплей, установка различных генераторов шума. Однако только техническим способом защитить информацию от несанкционированного доступа практически невозможно.

Под программным же способом защиты данных и программного обеспечения  понимается разработка специализированного  программного обеспечения, цель которого - не позволить постороннему человеку, не авторизированному в системе, получать информацию из системы. Примером такого вида защиты может быть система  различных паролей. 
Особую опасность в последние годы составляет так называемый компьютерный вирус, который намеренно (или неосторожно) вводится в автоматизированную систему и уничтожает данные и программное обеспечение. Для борьбы с вирусами создаются специальные антивирусные программы, которые помогают выявлять вирусы и очищать от них вычислительную систему. 
Криптографический способ защиты данных подразумевает предварительную их расшифровку до ввода в вычислительные системы.

В повседневной же практике зачастую используются только комбинированные  способы защиты массивов информации от несанкционированного использования  и доступа. 
Однако, все технические и программные методы защиты информации малоэффективны без правовой защиты информации - комплекса административно-правовых и уголовно-правовых норм, устанавливающих ответственность за несанкционированное использование данных или программных средств. 
По нынешним временам способы защиты информации не типизированные, разработчик автоматизированной системы решает вопрос о тех или иных способах защиты совместно с заказчиком. При этом многое зависит от квалификации разработчика и степени его осведомленности о способах защиты информации.

В наши дни все более  актуальным становится вопрос о проведении в государственном масштабе комплекса  организационно-правовых и технических  мер по защите автоматизированных систем от несанкционированного вмешательства человека в вычислительную систему с целью искажения обрабатываемой информации. 
В правовом государстве особое значение приобретает защита личных данных, обрабатываемых в автоматизированных системах, т.е. различных сведений о конкретных гражданах. В связи с этим, особенно актуальным вопрос сохранения конфиденциального статуса информации становится в правоохранительных органах.

Так, при обработке персональных сведений о гражданах применение электронных систем должно строго соответствовать  принципам защиты прав и безопасности граждан, признанных национальным и  международным законодательством. Особое внимание при этом должно быть уделено таким основным принципам: главная цель сбора персональных сведений о гражданах должна быть определена до создания баз данных, позволяющая в дальнейшем осуществлять контроль за соответствием собранных  и зарегистрированных данных для  этой цели; личные данные о человеке нельзя использовать с иной целью, чем  та, для которой они предназначены, без согласия соответствующих органов  или без согласия самого гражданина; срок хранения данных о человеке не должен превышать срок хранения, необходимый  для достижения той цели, для которой  они были собраны.

Способы защиты информации в ВС включают в себя следующие  элементы

1. Препятствие - физически  преграждает злоумышленнику путь  к защищаемой информации (на территорию  и в помещения с аппаратурой,  носителям информации).

2. Управление доступом - способ  защиты информации регулированием  использования всех ресурсов  системы (технических, программных  средств, элементов данных).

Управление доступом включает следующие функции защиты:

• идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального имени, кода, пароля и опознание субъекта или объекта по предъявленному им идентификатору;
• проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;
• разрешение и создание условий работы в пределах установленного регламента;
• регистрацию обращений к защищаемым ресурсам;
• реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.

К законодательным средствам  защиты относятся законодательные  акты страны, которыми регламентируются правила использования и обработки  информации ограниченного доступа  и устанавливаются меры ответственности  за нарушение этих правил.

К морально-этическим средствам  защиты относятся всевозможные нормы, которые сложились традиционно  или складываются по мере распространения  вычислительных средств в данной стране или обществе.

К аппаратным (техническим) средствам относятся различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, сторожа, защитная сигнализация и др. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

Виды аппаратных средств  защиты информации:

Специализированная сеть хранения SAN (Storage Area Network) обеспечивает данным гарантированную полосу пропускания, исключает возникновение единой точки отказа системы, допускает практически неограниченное масштабирование как со стороны серверов, так и со стороны информационных ресурсов.

Дисковые хранилища отличаются высочайшей скоростью доступа к данным за счет распределения запросов чтения/записи между несколькими дисковыми накопителями. Применение избыточных компонентов и алгоритмов в RAID массивах предотвращает остановку системы из-за выхода из строя любого элемента - так повышается доступность. Доступность, один из показателей качества информации, определяет долю времени, в течение которого информация готова к использованию, и выражается в процентном виде: например, 99,999% («пять девяток») означает, что в течение года допускается простой информационной системы по любой причине не более 5 минут. Удачным сочетанием большой емкости, высокой скорости и приемлемой стоимости в настоящее время являются решения с использованием накопителей Serial ATA и SATA 2.

Ленточные накопители (стримеры, автозагрузчики и библиотеки) по-прежнему считаются самым экономичным и популярным решением создания резервной копии. Они изначально созданы для хранения данных, предоставляют практически неограниченную емкость (за счет добавления картриджей), обеспечивают высокую надежность, имеют низкую стоимость хранения, позволяют организовать ротацию любой сложности и глубины, архивацию данных, эвакуацию носителей в защищенное место за пределами основного офиса. С момента своего появления магнитные ленты прошли пять поколений развития, на практике доказали свое преимущество и по праву являются основополагающим элементом практики backup (резервного копирования).

Помимо рассмотренных  технологий следует также упомянуть  обеспечение физической защиты данных (разграничение и контроль доступа  в помещения, видеонаблюдение, охранная и пожарная сигнализация), организация  бесперебойного электроснабженияоборудования.

Рассмотрим примеры аппаратных средств.

1) eToken - Электронный ключ eToken - персональное средство авторизации, аутентификации и защищённого хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронной цифровой подписью (ЭЦП). eToken выпускается в форм-факторах USB-ключа, смарт-карты или брелока. Модель eToken NG-OTP имеет встроенный генератор одноразовых паролей. Модель eToken NG-FLASH имеет встроенный модуль flash-памяти объемом до 4 ГБ. Модель eToken PASS содержит только генератор одноразовых паролей. Модель eToken PRO (Java) аппаратно реализует генерацию ключей ЭЦП и формирование ЭЦП. Дополнительно eToken могут иметь встроенные бесконтактные радио-метки (RFID-метки), что позволяет использовать eToken также и для доступа в помещения.

Модели eToken следует использовать для аутентификации пользователей  и хранения ключевой информации в  автоматизированных системах, обрабатывающих конфиденциальную информацию, до класса защищенности 1Г включительно. Они  являются рекомендуемыми носителями ключевой информации для сертифицированных  СКЗИ (КриптоПро CSP, Крипто-КОМ, Домен-К, Верба-OW и др.)

2) Комбинированный USB-ключ eToken NG-FLASH - одно из решений в области информационной безопасности от компании Aladdin. Он сочетает функционал смарт-карты с возможностью хранения больших объёмов пользовательских данных во встроенном модуле . Он сочетает функционал смарт-карты с возможностью хранения больших пользовательских данных во встроенном модуле flash-памяти. eToken NG-FLASH также обеспечивает возможность загрузки операционной системы компьютера и запуска пользовательских приложений из flash-памяти.

1.)Программы идентификации  и аутентификации пользователей  сети. Идентификацию и аутентификацию  можно считать основой программно-технических  средств безопасности, поскольку  остальные сервисы рассчитаны  на обслуживание именованных  субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная"  информационного пространства организации. локальный вычислительный сеть сервер

Идентификация позволяет  субъекту - пользователю или процессу, действующему от имени определенного  пользователя, назвать себя, сообщив  свое имя. Посредством аутентификации вторая сторона убеждается, что субъект  действительно тот, за кого себя выдает. В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности". Субъект может подтвердить  свою подлинность, если предъявит, по крайней  мере, одну из следующих сущностей:

• нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.;
• нечто, чем он владеет: личную карточку или иное устройство аналогичного назначения;
• нечто, что является частью его самого: голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики.

Примером таких программ является Система «Zlogin» - аутентификация с использованием электронных ключей

Система Zlogin предназначена  для двухфакторной аутентификации пользователей сети с использованием электронных ключей или смарт-карт. Вместо пароля пользователь должен предъявить смарт-карту или электронный USB-ключ и ввести PIN-код.

Zlogin предоставляет пользователям  возможность аутентификации пользователей  с использованием электроннызх  ключей или смарт-карт в следующие  системы: 

• Домен NT (сервер Windows NT);
• Active Directory (сервер Windows 2000/2003);
• NDS/eDirectory (сервер Novell NetWare 4.x-6.x);
• SAMBA (сервер Linux);
• Локальные рабочие станции Windows NT/2000/XP.

Кроме этого, Zlogin обеспечивает аутентификацию пользователей, использующих для доступа к сетевым ресурсам терминальные службы:

• Microsoft Windows Terminal Services;
• Citrix MetaFrame.

Программно-аппаратный комплекс «Соболь» – это средство защиты компьютера от несанкционированного доступа, обеспечивающее доверенную загрузку. ПАК «Соболь» обеспечивает контроль и регистрацию доступа пользователей к компьютерам, осуществляет контроль целостности программной среды и доверенную загрузку установленных операционных систем.

2.)Программы разграничения  доступа пользователей к ресурсам  сети.

Средства управления доступом позволяют специфицировать и  контролировать действия, которые субъекты - пользователи и процессы могут  выполнять над объектами - информацией  и другими компьютерными ресурсами. Речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских  систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой  степени, их доступность путем запрещения обслуживания неавторизованных пользователей. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект - объект) определить множество допустимых операций, зависящее от некоторых дополнительных условий, и контролировать выполнение установленного порядка.