Комплексный подход по защите информации в автоматизированных системах

ВВЕДЕНИЕ 

    Защита  информации в современных условиях становится все более сложной  проблемой, что обусловлено рядом  обстоятельств, основными из которых  являются: массовое распространение  средств электронной вычислительной техники (ЭВТ); усложнение шифровальных технологий; необходимость защиты не только государственной и военной  тайны, но и промышленной, коммерческой и финансовой тайн; расширяющиеся  возможности несанкционированных  действий над информацией.

    Кроме того, в настоящее время получили широкое распространение средства и методы несанкционированного и  негласного добывания информации.

    Необходимо  помнить, что естественные каналы утечки, информации образуются спонтанно, в  силу специфических обстоятельств, сложившихся на объекте защиты.

    Что касается искусственных каналов  утечки информации, то они создаются  преднамеренно с применением  активных методов и способов получения  информации. Активные способы предполагают намеренное создание технического канала утечки информации с использованием специальных технических средств. К ним можно отнести незаконное подключение к каналам, проводам и линиям связи, высокочастотное  навязывание и облучение, установка  в технических средствах и  помещениях микрофонов и телефонных закладных устройств, а также  несанкционированный доступ к информации, обрабатываемой в автоматизированных системах (АС) и т.д.

    Поэтому особую роль и место в деятельности по защите информации занимают мероприятия  по созданию комплексной защиты, учитывающие  угрозы национальной и международной  безопасности и стабильности, в том  числе обществу, личности, государству, демократическим ценностям и  общественным институтам, суверенитету, экономике, финансовым учреждениям  и развитию государства.

    Казалось  бы, на первый взгляд, ничего нового в  этом нет. Требуются лишь известные  усилия соответствующих органов, сил  и средств, а также их соответствующее  обеспечение всем необходимым.

    Вместе  с тем, проблемных вопросов по защите информации множество, их решение зависит  от объективных и субъективных факторов, в том числе и дефицит возможностей.

    Таким образом, проблема зашиты информации и обеспечения конфиденциальности приобретает актуальность. 
 
 
 
 
 
 

Способы защиты от утечки конфиденциальной информации 

    Организационные средства защиты

    К организационным средствам защиты можно отнести организационно-технические  и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации АСОД с целью обеспечения  защиты информации. Организационные  мероприятия охватывают все структурные  элементы АСОД и системы защиты на всех этапах их жизненного цикла: строительство  помещений, проектирование системы, монтаж и наладка оборудования, испытания  и проверка в эксплуатации АСОД. При этом организационные мероприятия  играют двоякую роль в механизме  защиты: с одной стороны, позволяют  полностью или частично перекрывать  значительную часть каналов утечки информации, а с другой обеспечивают объединение всех используемых в  АСОД средств в целостный механизм защиты. Организационные меры защиты базируются на законодательных и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных ресурсов и включать: ограничение физического доступа к объектам АСОД и реализацию режимных мер; ограничение возможности перехвата информации вследствие существования физических полей; ограничение доступа к информационным ресурсам и другим элементам АСОД путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение "закладок"; создание твердых копий важных с точки зрения утраты массивов данных; проведение профилактических и других мер от внедрения "вирусов". По содержанию все множество организационных мероприятий можно условно разделить на следующие группы.

    Мероприятия, осуществляемые при создании АСОД: учет требований защиты при разработке общего проекта системы и ее структурных  элементов, при строительстве или  переоборудовании помещений, при разработке математического, программного, информационного  или лингвистического обеспечений, монтаже и наладке оборудования, испытаниях и приемке системы. Мероприятия, осуществляемые в процессе эксплуатации АСОД: организация пропускного режима, организация технологии автоматизированной обработки информации, организация  работы в сменах ВЦ, распределение  реквизитов разграничения доступа (паролей, полномочий и т.д.), организация  ведения протоколов, контроль выполнения требований служебных инструкций и  т.п.

    Мероприятия общего характера: учет требований защиты при подборе и подготовке кадров, организация плановых и превентивных проверок механизма защиты, планирование всех мероприятий по защите информации, обучение персонала, проведение занятий  с привлечением ведущих организаций  страны, участие в семинарах и  конференциях по проблемам безопасности информации и т.п. 

    Аппаратные  средства защиты

    Аппаратными средствами защиты называются различные  электронные и электронно-механические устройства, которые включаются в  состав технических средств АСОД и выполняют самостоятельно или  в комплексе с другими средствами некоторые функции защиты. К настоящему времени применяется значительное число различных аппаратных средств, причем они могут включаться практически  во все устройства АСОД: терминалы  пользователей, устройства группового ввода-вывода данных, центральные процессоры, внешние запоминающие устройства, другое периферийное оборудование.

    Так, например, в терминалах пользователей  наибольшее распространение получили устройства предназначенные для предупреждения несанкционированного включения терминала в работу (различного рода замки и блокираторы), обеспечения идентификации терминала (схемы генерирования идентифицирующего кода) и идентификации пользователя (магнитные индивидуальные карточки, дактилоскопические и акустические устройства опознавания и т.п.).

    Самостоятельную группу составляют аппаратные средства шифрования данных, которые к настоящему времени получили весьма широкое  распространение за рубежом и, в  настоящее время, внедряются в нашей  стране.

    Современные устройства шифрования могут сопрягаться  с помощью стандартных интерфейсов  практически с любым устройством  АСОД, обеспечивая как шифрование, так и дешифрование данных. Кроме  того в больших АСОД находит применение целый ряд вспомогательных аппаратных средств защиты: устройства уничтожения  информации на магнитных носителях, устройства сигнализации о несанкционированных  действиях и ряд других.  

    Криптографические средства защиты

    Криптографическими  средствами защиты называются специальные  средства и методы преобразования информации, в результате которых маскируется  ее содержание. Основными видами криптографического закрытия являются шифрование и кодирование  защищаемых данных. При этом шифрование есть такой вид закрытия, при котором  самостоятельному преобразованию подвергается каждый символ закрываемых данных; при кодировании защищаемые данные делятся на блоки, имеющие смысловое  значение, и каждый такой блок заменяется цифровым, буквенным или комбинированным  кодом.

    Для криптографического закрытия информации в АСОД наибольшее распространение  получило шифрование. При этом используется несколько различных систем шифрования: заменой, перестановкой, гаммированием, аналитическим преобразованием шифруемых данных. Широкое распространение получили комбинированные шифры, когда исходный текст последовательно преобразуется с использованием двух или даже трех различных шифров.

    Основной  характеристикой меры защищенности информации криптографическим закрытием  является стойкость шифра, причем под  стойкостью понимается тот минимальный  объем зашифрованного текста, статистическим анализом которого можно вскрыть  исходный текст. Таким образом, по значению стойкости системы шифра можно  определить допустимый объем шифрования информации при одних и тех  же ключевых установках.

    Простые системы шифрования (простая замена, простая перестановка) обладают незначительной стойкостью, вследствие чего они могут  использоваться лишь для шифрования коротких сообщений. Усложненные виды замены и перестановки имеют значительно большую стойкость, стойкость же гаммирования определяется лишь размером гаммы (случайной последовательности, используемой для шифрования). Если для шифрования используется бесконечная случайная последовательность, то такой шифр теоретически является абсолютно стойким, т.е. теоретически не раскрываемым.

    Однако  практическая реализация такого шифра  сопряжена с большими трудностями, поэтому в реальных системах этот вид шифрования не встречается. Большое  распространение получили комбинированные  шифры, их стойкость теоретически равна  произведению стойкости используемых простых шифров. Так принятый в  США национальный стандарт криптографической  защиты основан на комбинированной  системе шифрования. Важной характеристикой  системы шифрования является ее производительность. Производительность шифрования зависит  как от используемой системы шифра, так и от способа реализации шифрования в АСОД - аппаратного или программного. С точки зрения трудоемкости шифрования наименьших затрат требуют шифры  замены, а наибольших - шифры, основанные на аналитическом преобразовании данных. С точки зрения способа реализации, аппаратное шифрование в несколько  раз производительней программного шифрования, поэтому первому уделяется  повышенное внимание.

    В тоже время, программное шифрование обладает большими возможностями по использованию различных методов  и при современных средствах  вычислительной техники (высокая тактовая частота) применение программных методов  также достаточно эффективно и очень  часто применяется в средствах  вычислительной техники наряду с  другими программными средствами защиты информации.

    Применение  криптографических методов в  рамках сетевых протоколов позволяет  также решать отдельные задачи других направлений обеспечения безопасности. При этом, эти средства могут не только обнаруживать несанкционированные изменения сообщений, отказ в обслуживании, попытки установления несанкционированных соединений, но и автоматически проводить восстановление от таких угроз. 

    Физические  средства защиты

    Физические  объекты, механические, электрические  и электронные устройства, элементы конструкции зданий, средства пожаротушения  и целый ряд других средств, обеспечивающих выполнение следующих задач: защита территории и помещений вычислительного  центра или центра автоматизированной системы электронной обработки данных (АСОД) от проникновения злоумышленников; защита аппаратуры и носителей информации от повреждения или хищения; предотвращение возможности наблюдения за работой персонала и функционированием оборудования из-за пределов территории или через окна; предотвращение возможности перехвата электромагнитных излучений работающего оборудования и линий передачи данных; контроль за режимом работы персонала; организация доступа в помещения ВЦ сотрудников; контроль за перемещением в различных рабочих зонах; противопожарная защита помещений ВЦ; минимизация материального ущерба и потерь информации, которые могут возникнуть в результате стихийного бедствия.

    Физические  средства защиты являются наиболее традиционными  средствами охраны АСОД. В принципе, они ничем не отличаются от давно  используемых средств охраны банков, музеев, магазинов и других объектов, которые потенциально могут привлечь злоумышленников. Однако, как правило, для физической защиты АСОД в настоящее  время используются более совершенные  и сложные системы. Физические средства защиты представляют собой первый рубеж  защиты жизненно важных элементов вычислительной системы.

    Следует четко представлять себе, что обеспечение  физической безопасности системы является необходимым, но недостаточным условием сохранения целостности и конфиденциальности циркулирующей или хранящейся в  ней информации. Для реализации систем физической защиты могут быть использованы самые разнообразные средства и  методы.

    Например, организация вооруженной охраны; ведение наблюдения за всеми принципиально  возможными путями проникновения в  помещения АСОД; организация пропускной системы (с использованием паролей, опознавательных значков, специальных  магнитных карточек, сложных систем опознавания сотрудников по голосу или по дина- мике подписей, рентгеновские и ультразвуковые системы и т.п.); создание системы внешнего и внутреннего освещения; применение фотографических и телевизионных систем наблюдения; установка оград, барьеров и защитных экранов; применение датчиков для обнаружения нарушителей или для установления факта повреждения или похищения аппаратуры; использование датчиков дыма, открытого пламени и т.д. Физическим мерам защиты традиционно придается большое значение.