реклама
ЭКСПЕРТИЗА САЙТОВ НА СЛИВ ИНФОРМАЦИИ

ВОССТАНОВЛЕНИЕ ИНФОРМАЦИИ С РАЗЛИЧНЫХ НАКОПИТЕЛЕЙ В КИЕВЕ
уход за растениями - озеленение - фитодизайн
реклама

proxy  статьи  библиотека  softice  free_юр.консультация  hard  iptv
рекламодателям  фирмы/add  расшифровка штрих-кодов  links/add

http://kiev-security.org.ua

Содержание

33. Комплексная защита информации в персональных звм

Появившиеся  в начале 80-х персональные ЭВМ / ПЭВМ / прочно вошли
во  многие  сферы  человеческой  деятельности.  Вместе  с  ними у
пользователей  ЭВМ,  как частных лиц, так и организаций, возникли
многочисленные  проблемы.  Одна  из  них  - защита информации. По
статистике  более 80% компаний и агентств несут финансовые убытки
из-за  нарушения  безопасности  данных  [1].  Трудно  переоценить
значимость  проблемы  защиты  информации.  Прежде  всего  следует
определиться  от  кого  (от чего) необходимо защищать информацию,
что   ей   угрожает?  В  данной  работе  мы  будем  рассматривать
существующие  и  применяемые  на сегодняшний день средства защиты
информации  в  ПЭВМ  от преднамеренных воздействий, которые могут
совершаться  злоумышленниками  с  целью  нанесения  материального
ущерба.  Многие  фирмы  сейчас  занимаются  разработкой различных
антивирусных  программ,  систем  разграничсния  доступа к данным,
защиты  от  копирования  и  т.д.  Объясняется  это  сравнительной
простотой  разработки подобных методов и в то же время достаточно
высокой   их   эффективностью.   Рзссмотрим   основные  механизмы
реализации      конкретных      программных      средств      ЗИ.
Программы-идентификаторы   служат   для  контроля  входа  в  ЭВМ,
аутентификации  пользователя  по  вводу  пароля  и  разграничения
доступа   к   ресчрсам   ЭВМ.  (Под  идентификацией  пользователя
понимается  процесс  распознавания  конкретного субъекта системы,
обычно  с  помощью  заранее  определенного идентификатора; каждый
субъект  системы  должен  быть  однозначно  идентифицируем. А под
аутентификацией понимается проверка идентификдции пользователя, а
также  проверка  целостности  данных при их хранении или передаче
для   предотвращения   несанкционированной   модификации   [11].)
Рассмотрим  механизм  такой  защиты. При загрузке с накопителя на
жестком  магнитном  диске  система  BIOS выполняет считывание 1го
сектора  0-го  цилиндра  0-ой  дорожки.  Этот  сектор  называется
"Главная  загрузочная  запись" - Master boot record /МВR/. Обычно
программа,  записанная  в  МВR, загрчжает запись BOOT RECORD /BR/
активного  раздела. Однако можно использовать МВR для организации
контроля  входа  в ПЭВМ. Так как размер программы МВК невелик, то
на  нее  можно  возложить  очень  ограниченные функции. Например,
можно  попробовать  "уложить"  в нее вместе с основной функцией и
программу  проверки  пароля,  Однако эффективней использовать МВR
для  загрузки другой, большей по объему программы. При применении
стандартной  разбивки  НЖМД  на разделы с помощью программы FDISK
сектора  с  номером,  больше  или  равным  3,  0-ой  дорожки 0-го
цилиндра не используются, поэтому их можно применить для хранения
большей по объему программы, выполняющей функции контроля. Помимо
этого   в   записи  МВR  хранится  первичная  таблица  описателей
логических дисков. Изменение этой таблицы позволяет предотвратить
доступ  к логическому диску ( разделу ) на уровне системы DOS при
загрузке  с  дискеты.  Первый  сектор  активного раздела содержит
загрузочную   запись  ВК,  осуществляющую  загрузку  операционной
системы.  В  начале  этой  записи  содержится  таблица параметров
логического  диска.  BR  может  использоваться  для  загрузки  не
операционной  системы,  а некоторой другой программы, реализующей
разграничения  доступа.  Эта  программа  в  свою очередь должна в
конце  своей  работы  загрузить  операционную  систему.  Объем ВR
достаточен   для   размещения   программы,  реализующей  загрузку
произвольного  файла  из  корневого  каталога  логического диска.
Модификация таблицы параметров некоторого логического диска может
использоваться  и  для предотвращения доступа к этому логическому
диску  при  загрузке  ЭОБ с дискеты [1]. Примером программ такого
рода  является  система  SHIELD),  SHIELD  состоит из 2-х файлов:
sset.com  и sswith.com При первой установке систсмы файл sset.com
копирует  оригинальный  МВR  во 2-ой сектор 0-ой дорожки нулевого
цилиндра,  а  в первом секторе оставляет модифицированный вариант
МВR,  который перед загрузкой DOS запрашивает пароль. Если пароль
неверен,  то  жесткий  диск  оказывается  недоступен.  Для снятия
защиты используется файл sswitch.com, который возвращает на место
оригинальный  сектор  с  МВR. Программы такого рода целесообразно
использовать для защиты компьютера без НГМД, так как при загрузке
с  дискеты  можно  беспрепятственно  читать и копировать данные с
НЖМД.   Кроме   того,   для   профессионала  подобная  защита  не
представляет  серьезных  затруднений.  В  стандартной среде DOS в
качестве  командного  процессора используется COMMAND.СОМ. Однако
система  допускает  установку  другого  командного  процессора по
команде  SHELL  в  файле  СОМГ10.БУБ. С помощью нового командного
процессора  можно разрешить запуск только определенных программ и
запретить   запуск   других.   Вообще  говоря,  написание  нового
командного  процессора  -  задача  достаточно сложная и не всегда
оправданная,  так  как  возможно решение тех же самых задач более
простыми способами (написание драйвера или программы, запускаемой
из  файла  AUTOEXEC.  ВАТ).  Пример  командного процессора - файл
PWLOAD.СОМ,  разработанный  2В  Рrogrammers Groups. Эта программа
запрашивает  пароль  и,  если  он  набран  неверно, то работа ЭВМ
блокируется   [1].  Функции  разграничения  доступа  также  можно
реализовать  с помощью драйвера устройства, определяемого в файле
CONFIG.SYS.  Этот  драйвер  может контролировать доступ к файлам,
каталогам и нестандартно определенным логическим дискам. Для этой
цели  обычно  осуществляется  перехват  прерывания  DOS INT 2lh и
других  прерываний операционной системы, организуется посекторная
защита от чтения/ записи, защита от переименования и перемещения.
Это  связано  с  определенными  трудностями,  так  как необходимо
хранить   таблицы  большого  обьема,  описывающие  полномочия  по
доступу  к  каждому  сектору,  и  теневые  таблицы  FАТ и DIR для
проверки  корректности при их перезаписывании. В общем случае эта
проблема  представляется  трудноразрешимой  из-за большого обьема
данных,  подлежащих  хранению и обработке в системе разграничения
доступа, На драйвер можно также возложить запрос пароля на вход в
систему.  Существуют  драйверы для организации режима прозрачного
шифрования  данных на дисках. Такой драйвер осуществляет перехват
прерывания BIOS INT 13h, контролируя таким образом все операции с
диском  (  чтение,  запись и т.д. ) При этом данные на защищенном
диске ( или его разделе ) находятся в зашифрованном виде, а ключи
могут   храниться   на  нестандартно  отформатированной  ключевой
дискете для большей безопасности данных. Такая мера защиты удобна
для  предотвращения  чтения данных с НЖМД при загрузке с дискеты.
Но и здесь имеется ряд существенных недостатков. Во-первых, ключи
шифрования  хранятся  в  оперативной  памяти, а потому могут быть
считаны   злоумышленниками.   Во-вторых,  всегда  можно  получить
открытое  содержимое  файла,  переписав  его  в  некоторый  файл,
расположенный  не  в  группе  файлов  прозрачного шифрования [1].
Пример  драйвера  -  система  DISKREET из пакета NORTON UTILITES:
включает  в  себя файлы DISKREET.SYS и DISKREET.ЕХЕ. DISKREET.SYS
драйвер,   загружаемый  из  CONFIG.SYS  и  позволяющий  создавать
нестандартно  определенные  логические диски, защищенные паролем,
которые   к  тому  же  зашифрованы  по  оригинальному  алгоритму.
Программа  DISKREET.ЕХЕ  позволяет зашифровывать и расшифровывать
любые  файлы  и  каталоги  на  дисках.  Программы,  резидентные в
памяти, могут выполнять те же функции, что и драйверы. Существует
разница  лишь  при  загрузке:  драйвер  загружается из CONFIG.SYS
командой  DEVICE,  а резидентные программы из файла AUTOEXEC.ВАТ.
Кроме  этого  такие  программы  часто используются для контроля и
предотвращения  заражения  компьютера  вирусами.  Примером  такой
программы  может  служить  ревизор -V.СОМ из антивирусного пакета
Е.Касперского.   Программы-шифровальщики  выполняют  только  одну
функцию - шифрование данных: файлов, каталогов и дисков по ключу,
вводимому    пользователем.   Применяются   самые   разнообразные
алгоритмы  шифрования:  от криптографически стойких DES и FEAL до
тривиальных  алгоритмов  побитового  сложения  с ключом. Примеров
таких  программ достаточно много [2]. К преимуществам программных
средств  защиты  можно  отнести  их невысокую стоимость, простоту
разработки.  Недостатком  таких систем является невысокая степень
защищенности  информации.  Для  усиления  защиты можно предложить
использование   нескольких   программных   средств  одновременно.
Например,  использовать  пароль  при входе, систему разграничения
доступа  и  режим  прозрачного  шифрования.  При  этом  возникнут
определенные  неудобства  в  работе,  но  вместе  с тем возрастет
надежность.   Рассмотрим   далее   основные   виды  программно  -
аппаратных   средств   ЗИ.   Они  характеризуются  более  высокой
стойкостью  и,  как  следствие,  более высокой стоимостью. Но при
применении  аппаратно-программных  комплексов  на  предприятиях с
повышенным  риском появления угроз (например, на военных обьектах
или  в  коммерческих  банках)  затраты  на установку такой защиты
окупаются  полностью.  Многие  фирмы  - производители компьютеров
предусматривают  защиту  их  от  несанкционированного  доступа на
уровне  микросхемы  ПЗУ  с BIOS. Так, при загрузке компьютера при
включении  питания  еще во время процедуры POST требуется указать
правильный   пароль,   чтобы  машина  продолжала  работу.  Иногда
возможность  установки пароля реализована в BIOS, но не описана в
документации.  Некоторые  вирусы  могут  записывать в поле пароля
случайную  информацию,  и  однажды пользователь обнаруживает, что
его  машина  неплохо  защищена  от  него.  Сам  пароль хранится в
области CMOS и при большом желании может быть стерт. Фирма Сompaq
пошла   дальше   и  включила  в  BIOS  программы,  поддерживающие
следующие   области   разделения   доступа:  возможность  быстром
запирания   компьютера,   защита  жесткого  диска,  гибкогодиска,
последовательного   и   параллельного   портов.  Запуск  защитных
программ из BIOS регулируется переключателями на плате компьютера
[4].   Следует   отметить,   что  эффективность  подобной  защиты
достигается  только в сочетании с организационными мерами защиты,
так   как   при  наличии  свободного  доступа  к  "внутренностям"
компьютера  злоумышленнику  не  составит  большого труда заменить
микросхемч  с  BIOS  или разрядить батарею питания, нейтрализовав
таким  образом  вышеперечисленные  защитные меры. Шифрующая плата
вставлястся  в  слот расширения на материнской плате компьютера и
выполняет   функцию   шифрования.  Режим  шифрования  может  быть
прозрачным  или  предварительным. Могут шифроваться как отдельные
файлы,  так и каталоги или целые диски. На плате находится датчик
псевдослучайных  чисел  для  генерации  ключей и узлы шифрования,
аппаратно   реализованные  в  специализированных  однокристальных
микроЭВМ.  Ключи  шифрования хранятся на специально созданной для
этого дискете. Программная часть комплекса содержит драйвер платы
для  взаимодействия  программ пользователя с платой шифрования. В
качестве    примера    рассмотрим   продукт   фирмы   "АНКАД"   -
программноаппаратный комплекс" Криптон " (версии 1,2,3,4). Данное
чстройство   обеспечивает  высокую  криптографическую  стойкость,
шифрование  производится  по  алгоритму ГОСТ 28174 - 89. Открытый
интерфейс   позволяет  разрабатывать  дополнительное  программное
обеспечение  специального  назначения.  Длина  ключа  -  256 бит.
Скорость  шифрования  - до 200 Кбайт/ сек. Аппаратные требования:
IBM  PC ХТ/АТ, MS-DOS 3,0 и выше. Программная поддержка позволяет
осуществлять:  шифрование файлов, разделов, дисков; разграничение
и  контроль доступа к компьютеру; электронную подпись юридических
и  финансовых  документов; прозрачное шифрование жестких и гибких
дисков  [7], Шифровальные платы обладают высокой гарантией защиты
информации,  но  их  применение  вносит определенные неудобства в
работу  ПЭВМ,  прежде  всего - это значительное снижение скорости
обрабогки  данных,  а  также необходимость инициализировать плату
при  каждом  включении  компьютера.  В  последнее  время  широкое
распространение   получили   электронные  ключи.  Это  устройство
подключается  к  компьютеру через порт LPT ( есть модели, которые
используют  СОМ  порт).  При  этом  электронный  ключ  не  мешает
нормальной работе параллельного порта и полностью "прозрачен" для
принтера  и  других  устройств. Ключи могут соединяться каскадно,
как  правило, до 8 штук подряд. При этом в цепочке могут работать
совершенно  разнотипные  ключи,  выпущенные  разными фирмами [3].
Электронные  ключи  могут  выполнять различные функции. Например,
защиту  программ  от  несанкционированном копирования, при этом в
исполняемый модуль -СОМ или -ЕХЕ файл встраиваются фрагменты кода
для  обмена  с  электронным  ключом и управления им ( размер кода
обычно  не  превышает  2  Кбайт  ).  Электронные  ключи позволяют
защищать  не  только  -СОМ  и  -ЕХЕ  программы,  но  и работать с
неисполняемыми  приложениями,  например: AUTOCAD LISP , макросами
электронных   таблиц   типа   LOTUS   ,   RUNTIME   -   модулями,
интерпретаторами,   базами   данных,  кодированными  графическими
файлами и т.п. Помимо основных защитных функций ключи многих фирм
способны   обнаруживать   факт   заражения  защищенной  программы
различными  видами  файловых вирусов. Очень эффективно применение
электронных ключей для хранения и передачи шифровальном ключа при
применении  различных  методов  шифрования  (DES,DSS,RSA,  ГОСТ и
т.д.),  поскольку хранение и передача ключей - самое слабое место
в   большинстве  существующих  алгоритмов.  А  при  использовании
электронных  ключей  для  генерации  шифровальных ключей отпадает
необходимость  их  запоминать  или  записывать, а затем вводить с
клавиатуры.   Ключ  не  имеет  встроенных  источников  питания  и
сохраняет   записанную   в  него  информацию  при  отключении  от
компьютера.   В   нашей   стране  наиболее  распространены  ключи
американской  фирмы  "Software Security Inc". Эта фирма выпускает
ключи  для  DOS, WINDOWS, UNIX, OS/2, Macintosh. Ключи могут быть
как  с  одноразовой  записью,  так  и  перепрограммируемые; могут
содержать  энергонезависимую память или не содержать. Электронные
ключи  представляют  собой  одно  из  самых эффективных и удобных
средств  защиты от копирования. Поэтому можно предположить, что в
будущем  производство  и  применение  электронных  ключей  примет
массовый  характер  [3]. Пластиковые идентификационные карты (ИК)
внедряются  во многие сферы нашей жизни. Маленькие размеры карты,
удобство  хранения,  достаточно  высокий  объем  памяти делают ИК
незаменимыми   во   многих  областях  человеческой  деятельности.
Сегодня  уже  есть  примеры использования ИК в СЗИ, например, для
реализации  защиты  ПЭВМ  от  несанкционированного доступа, Такой
аппаратно  -  программный  комплекс  состоит из аппаратной части:
специальной  платы,  которая  вставляется  в  слот расширения ПК,
устройства  считывания  информации с ИК и самих ИК; также имеется
программная  часть:  драйвер  для управления платой и устройством
считывания  с  ИК.  В  программную  часть комплекса может входить
также      программное      обеспечение      для      организации
разграничениядоступа  к  частям  и разделам жесткого диска. Кроме
того система защиты запрашивает пароль. Таким образом исключается
вход  в  систему  по  украденной карточке [5]. Пример аппаратно -
программного  комплекса защиты - разработка фирмы Datamedia.Серия
ее   компьютеров   Netmate  оборудована  специальным  устройством
Securecard   reader   -   считыватель  карт  безопасности.  Карты
безопасности  по  исполнению  -  вариант кредитных карт; на на их
магнитном  носителе  с  помощью  специальной  аппаратуры, которая
имеется  только  в распоряжении администратора, делается запись о
пользователе:  его  имя,  пароль  и  описываются  все полномочия,
которые  он  получает  при входе в систему. В частности, на карте
записано,  сколько раз пользователь может пытаться указать пароль
при входе. Таким образом, случайная потеря карты безопасности или
ее   кража   не   позволяет   злоумышленнику  получить  доступ  к
компьютеру:  если имя пользователя еще можно узнать, не привлекая
внимания,  то пароль ему неизвестен. Только сознательная передача
карты  безопасности  кому-то  одновременно  с разглашением пароля
может    открыть   доступ   к   компьютеру   постороннему   лицу.
Администратор  системы  создает  карту безопасности для легальных
пользователей.  На этой карте помимо уже перечисленной информации
описывается  профиль  пользователя.  В  нем включаются, например:
возможность  доступа к программе SETUP, то есть фиксируются такие
характеристики  компьютера,  как экран, количество и типы дисков;
также  определяется, какие из локальных устройств ( гибкие диски,
жесткие  диски,  последовательные и параллельные порты ) доступны
этому  пользователю,  с  каких локальных или сетевых устройств он
может  загружаться. Предусмотрена трансляция паролей: тот пароль,
который    назначается    пользователю,    как   правило,   легко
запоминающийся,  но вовсе не тот, с которым работает система. При
попытке  просто  выдернуть  карту  безопасности  из считывателя -
доступ  к  компьютеру намертво блокируется, пока в считыватель не
будет  вставлена  та  же  карта  безопасности.  При  неправильном
указании  пароля  (если превышено количество попыток, разрешенное
для   данного   пользователя)  -  машина  блокируется,  и  только
администратор   сможет   "оживить"   ее,  то  есть  стимулируется
необходимость   довести  до  сведения  администрации  все  случаи
нарушения  режима  секретности.  С точки зрения защиты от вирусов
перечисленные   системы,   тоже   важны,   поскольку  они,  кроме
идентификации  пользователя  определенным  образом организуют его
работу  на  компьютере,  запрещая отдельные опасные действия типа
запуска  программ  с  дискеты,  загрузки с дискет. Ограничения на
использование  определенных  ресурсов  системы типа сетевых карт,
последовательных  портов  также  полезны с точки зрения защиты от
вирусов,  поскольку  ограничивают  возможность  или даже отсекают
некоторые  пути  распространения  или  получения заразы, Наконец,
повышенный  уровень  тревоги,  характерный для этой системы очень
полезен   и  с  антивирусной  точки  зрения:  любые  неполадки  и
странности  в  работе  компьютеров  немедленно должны становиться
достоянисм   администрации   и  также  немедленно  доводиться  до
сведения  специалистов,  что  резко  уменьшает  размеры ущерба от
проникновения вирусов [4]. ИК могут использоваться и для хранения
ключей    шифрования   в   системах   криптографической   защиты.
Недостатком  такой  системы  является  низкая  защищенность  ИК с
магнитной  полосой.  Как  показывает опыт, информация с них может
быть  беспрепятственно  считана.  А  применение  ИК со встроенным
чипом  из-за  высокой  стоимости  таких  ИК ведет к значительному
увеличению затрат на установку системы защиты, Кроме того, дорого
обходится  и  оборудование  для  считывания  информации с ИК, Но,
несмотря  на высокую стоимость, системы защиты на базе ИК находят
широкое   применение  там,  где  необходима  высокая  надежность,
например,   в   коммерческих   структурах,   Ряд   зарубежных   и
отечественных  фирм  представили  подобные  системы на Российский
рынок:   АО  "СканТек",  АйТи,  Идис  и  др.  В  настоящее  время
становится  все  более  известным семейство приборов Touch memory
(ТМ),  производимое  фирмой Dallas Semiconductods. Чем этот выбор
был определен? Первое - это высокая надежность, поскольку вывести
touch-memory  из  строя  достаточно  трудно.  Одним  из  основных
отличий  приборов  Touch  Memory  от  других компактных носителей
информации  является  конструкция корпуса. Помимо защиты стальной
корпус  выполняет также роль электрических контактов. Приемлемы и
массо-габаритные    характеристики   -   таблетка   диаметром   с
двухкопеечную  монету  и  толщиной  5 мм очень подходит для таких
применений.  Каждый прибор семейства является уникальным, так как
имеет  свой  собственный  серийный  номер, который записывается в
прибор  с  помощью лазерной установки во время его изготовления и
не  может  быть  изменен  в течение всего срока службы прибора. В
процессе  записи  и  тестирования на заводе гарантируется, что не
будет изготовлено двух приборов с одинаковыми серийными номерами.
Таким  образом,  исключается возможность подделки приборов.Вполне
приемлемой  при  использовании  Touch-memory является и цена: она
более  чем  в  4  раза  ниже,  чем  при использовании пластиковых
карточек   [6].   Приборы   Toich   Memory   представляют   собой
энергонезависимую     статическую     память    с    многократной
записью/чтением,   которая   размещается   внутри  металлического
корпуса.  В  отличие  от  обычной  памяти  с  параллельным портом
адреса/данных,     память    приборов    Toich    Mempry    имеет
последовательный интерфейс. Данные записываются/читаются в память
по одной двунаправленной сигнальной линии. По этой линии в прибор
передаются   команды  и  данные,  считываются  данные.  При  этом
используется  широтно-импульсный  метод  кодирования.  Логические
сигналы  "1"  и  "0" с уровнем от +5В до ОВ передаются импульсами
различной   длительности.   Такой  цифровой  интерфейс  позволяет
подключать  приборы  Touch  Memory непосредственно к персональным
ЭВМ  или  через микропроцессорный контроллер. Важной особенностью
приборов  является  низкая  потребляемая  мощность, что позволяет
использовать  встроенную  в  корпусе прибора миниатюрную литиевую
батарейку  для  сохранения  информации  в памяти в течении 10 лет
[10].  Существуют  конкретные  разработки аппаратно - программных
комплексов  защиты  информации  на  базе  ТМ.  В качестве примера
рассмотрим систему QPDOS, разработанную специалистами из АО " РНТ
".   QPDOS   является   функциональным   расширением   MS-DOS   и
предназначена  для  использования в составе ПК на базе IBM РС/АТ.
QPDOS   полностью   контролирует   и   управляет   доступом  всех
пользователей  к  ресурсам и данным ПК. В качестве функциональных
частей  СЗИ  QPDOS  могут  быть  включены следующие подсистемы: *
регистрации   и   учета,   предназначенную  для  протоколирования
событий, происходящих в системе, контроля за возможными попытками
НСД,   учета   сеансов   пользователей  и  генерации  отчетов;  *
оперативного  контроля,  позволяющую  оперативно  наблюдать  с ПК
администратора  системы  за событиями и действиями пользователей,
которые  происходят  на  любом  ПК  в  составе  сети;  * контроля
целостности  и  защиты от копирования программного обеспечения; *
запрещения  начальной загрузки с ГМД, предотвращающую возможность
обхода  системы защиты нарушителем с помощью загрузки ПК со своей
системной  дискеты;  *  криптографическую,  которая  представляет
собой драйвер MS-DOS, осуществляющий зашифрование и расшифрование
информации  на  отдельных  логических  дисках ПК в прозрачном для
прикладных  программ  режиме.  Кроме  этого  подсистема  включает
средства   для   генерации  ключей  шифрования  и  перешифрования
информации  на новом ключе, и ввода ключей шифрования в систему с
электронных ключей Touch Memory. Система криптографической защиты
может  использоваться  как  в чисто программном варианте, так и с
аппаратной  поддержкой  в  виде  криптоплаты  "Криптон  - 3", что
повышает производительность системы [8]. Программные и программно
- аппаратные средства защиты не ограничиваются перечисленным выше
списком.   Здесь   приведены   только  наиболее  распространенные
средства,  однако существуют новые разработки, которые по тем или
иным причинам ( высокая стоимость, недостаточная реклама и т.д. )
не   получили   широкого  распространения  на  сегодняшний  день.
Перечислим   некоторые  "  оригинальные  "  методы  идентификации
пользователя.   Фирма   Electronic   Signature  Lock  из  Орегона
поставляет   пакет   программ  ESL,  который  анализирует  манеру
пользователя  работать на клавиатуре во время набора своего имени
и  пароля  (парольная  защита не исключается полностью). Конечно,
эта  манера  изменяется  со  временем  или  зависит  от состояния
здоровья  и  т.д.  Утверждается,  что используемые статистические
алгоритмы  столь изощрены, что позволяют учитывать эти неизбежные
вариации.    Фирма    утверждает,    что   вероятность   неверной
идентификации  пользователя,  если  он  знает  правильный пароль,
менее  10.  Существует  более  совершенный  вариант  пакета CESL,
который  непрерывно  отслеживает  манеру пользователя работать на
клавиатуре  и  может определить, когда за клавиатурой оказался не
тот человек, что предъявлял полномочия на доступ [4]. Кроме этого
существуют  очень  сложные  и дорогостоящие системы идентификации
пользователя     по     его     индивидуальным     биометрическим
характеристикам:  подпись,  узор линий на пальце, узор сосудов на
глазном  дне.  Эти  системы  очень  дорогие, но это не главный их
недостаток. Исследование и испытание как биометрических устройств
идентификации    пользователя,   так   и   систем   распознавания
(идентификации)   диктора   показали,   что   частота  ошибочного
отрицания  несколько  превышает  частоу  ошибочного  признания. В
связи  с  этим  возникает  вывод  о нецелесообразности применения
таких  устройств  [9].  Справедливости  ради  стоит отметить, что
подобные  системы  защиты  на  сегодняшний  день  -  экзотика. На
практике  они  применяются  довольно  редко из-за астрономической
цены  и  сложности. Поэтому не будем останавливаться на них более
подробно. Следует отметить, что меры компьютерной безопасности не
ограничиваются  только  средствами защиты, расположенными в самом
компьютере - внутри компьютера, или в виде внешних устройств. Все
перечисленные  выше  программные и аппаратно-программные средства
ЗИ  становятся  эффективными  лишь  при строгом соблюдении целого
ряда    административных    и    организационных   мер.   Поясним
вышесказанное на простом примере. Допустим, необходимо обеспечить
защиту  очень  важной  информации,  расположенной на небольшом по
габаритным  размерам  компьютере.  И  пусть  информация  на  этом
компьютере  "  надежно  защищена  ":  встроенный  пароль  в CMOS,
разграничение доступа к жесткому диску и т.д. Все эти меры защиты
окажутся  совершенно  бесполезны в том случае, если злоумышленник
имеет   возможность   прихватить  с  собой  весь  системный  блок
компьютера,  и  в  спокойной обстановке вскрыть одну за одной все
хитроумные  системы  защиты.  Шифрование  данных на диске тоже не
дает   стопроцентной   гарантии  безопасности  данных,  поскольку
злоумышленник  может  воспользоваться  халатностью пользователя и
прихватить  заодно  и  дискету  с  ключами.  Чтобы  предотвратить
подобные ситуации, необходимо предпринять целый комплекс защитных
мер   таких   как:   установка  надежных  замков  на  компьютеры,
организация    контрольно-пропускной    системы   с   достоверной
подсистемой  идентификации  личности,  контроль  режима доступа в
помещение,  где  находятся  компьютеры  с  секретной информацией,
телевизионные  системы  охраны,  контроль состояния дверей и т.д.
Таких  мер довольно много, и их детальное рассмотрение не входило
в  цель работы, это отдельная, не менее важная тема исследования.
Очень  важно  понимать,  что  никакое одно, даже самое надежное и
продуманное средство защиты не может решить проблемы безопасности
в  целом.  Полноценная,  надежная  защита не может ограничиваться
каким-то  одним  средством. Эта проблема может быть решена только
комплексно  с применением нескольких систем защиты, которые будут
взаимодополнять  друг  друга  и  создавать  реальное  препятствие
возможному злоумышленнику. Подводя итоги вышеизложенному, следует
отметить,  что  создание  действительно  надежной  системы защиты
возможно     лишь     при    использовании    целого    комплекса
взаимодополняющих  друг  друга  мер  по организации защиты, таких
как: * обеспечение замкнутости программной среды; * идентификация
и  аутентификация  пользователей;  *  защита парольных наборов; *
разграничение    доступа;    *    контроль   паузы   неактивности
пользователей;   *   учет  обращений  и  выданной  информации;  *
регистрация  выходных  документов;  *  регистрация попыток НСД; *
предотвращение    проникновения    программ-вирусов;   *   защита
информации    на    магнитных   носителях   от   копирования;   *
криптографическая   защита  информации;  *  обеспечение  контроля
целостности  программ;  *  защита программ от утечки через ПЭМИН.
Тем  не  менее  важно  помнить, что построение абсолютно надежной
системы невозможно в принципе, даже если объединить для этой цели
все  сущсствующие  меры  и средства. Целесообразно также обратить
внимание  на объективную комплексную оценку эффективности системы
обеспечения безопасности в целом на этапе разработки. В настоящее
время  такая  оценка  осуществляется  преимущественно  экспертным
путем  при  отсутствии  строго  обоснованных критериев (например,
стоимости).  Следовательно,  прежде  чем  строить систему защиты,
необходимо  оценить затраты на ее создание и возможные затраты на
ликвидацию  последствий в случае потери защищаемых данных. Защита
будет  экономически  целесообразна  только  в  том  случае,  если
затраты  на ее создание будут меньше возможных потерь. Литература
1.  Спесивцев  А.В.  идр. "Защита информации в персональных ЭВМ."
М.:  Радио  и связь, 1993. 2. Мафтик С. "Механизмы защиты в сетях
ЭВМ"  /пер.  с  англ.  М.:  МИР, 1993. 3. Груздев С. "Электронные
ключи"  М. 1993. 4. Карасик И. "Программные и аппаратные средства
защиты  информации для персональных компьютеров" / КомпьютерПресс
Х   3'92/   5.   Груздев  С.  "16  вариантов  русской  защиты"  /
КомпьютерПресс  М  3'92  /  6.  Е.Злотник  "Touch  Memory - новый
электронный   идентификатор"   /   Монитор  Э6'94.  7.  Рекламные
материалы  фирмы "Анкад" /Россия/ 1994. 8. Рекламные материалы АО
открытого  типа "РНТ" /Россия/ 1994. 9. В.А.Петров, С.А.Пискарев,
А.В.Шеин,  "Информационная  безопасность.  Защита  информации  от
несанкционированного доступа в автоматизированных системах."/ М.:
МИ-  ФИ,  1993.  10.  Е.Злотник,  Совместное  предприятие Софтвэа
Секюрити   Беларусь,  Доклад  на  втором  семинаре  "Компьютерная
Безопасность"  на  тему  "  Семейство приборов Touch Memory фирмы
"Dallas  Semiconuctor" для систем автоматической идентификации ",
Москва,  15-  17  декабря  1992  г.  11.  В.Гайкович,  А. Першин"
Безопасность  электронных  банковских  систем.  " / М.: Компания"
Единая Европа ",1994.

Содержание

HOME


Если у вас есть сайт или домашняя страничка - поддержите пожайлуста наш ресурс, поставьте себе кнопочку, скопировав этот код:

<a href="http://kiev-security.org.ua" title="Самый большой объем в сети онлайн инф-ции по безопасности на rus" target="_blank"><img src="http://kiev-security.org.ua/88x31.gif" width="88" height="31" border="0" alt="security,безопасность,библиотека"></a>

Идея проекта(C)Anton Morozov, Kiev, Ukraine, 1999-2020, security2001@mail.ru