МИНИСТЕРСТВО ОБРАЗОВАНИЯ РФ

???

КАФЕДРА ЭЛЕКТРОННЫХ ВЫЧИСЛИТЕЛЬНЫХ МАШИН

Пояснительная записка к выпускной квалификационной работе

на тему :

«Анализ возможностей межсетевых экранов.

Выбор наиболее приемлемого варианта в условиях предприятия.»

Автор работы:

группа????

Направление: 552800 «Информатика и вычислительная техника»

Руководитель проекта:

Рецензент:

Работа защищена оценка

Члены комиссии:

???? 2005
Содержание:


Аннотация

В связи с тем, что в последние годы начался общий подъем в промышленности по стране в целом и предприятий ВПК в частности, наметился рост числа внедряемых наукоемких технологий, вновь становится актуальной проблема защиты информации.

В последнее время на государственном уровне разработан и выпущен ряд нормативных актов, регулирующих проблемы защиты информации (ЗИ).

Под защитой информации понимается совокупность мероприятий, методов и средств, обеспечивающих целостность и достоверность информации, защиту от всех видов несанкционированного доступа ко всем ресурсам ПЭВМ, включая программы и данные, защиту от несанкционированного копирования.

("1") В связи с выходом предприятия на мировой рынок проблема ЗИ для предприятия стала особенно актуальной.

Данная работа посвящена одной из задач ЗИ – защита сетей от атак и несанкционированного доступа к сети, а так же получению полного контроля состояния сети и контроля данных, передаваемых через компьютерную сеть.

Целью данной работы является анализ межсетевых экранов и выбор среди них наиболее приемлемого в условиях предприятия.

НЕ нашли? Не то? Что вы ищете?


1. Основные аспекты защиты информации

1.1. Актуальность проблемы защиты информации

Появившиеся в начале 80-х годов персональные ЭВМ (ПЭВМ) прочно вошли во все сферы человеческой деятельности. Вместе с ними у эксплуатирующих ПЭВМ организаций и ведомств возникли и многочисленные проблемы. Согласно статистическим данным, 80% компаний и агентств несут финансовые убытки из-за нарушения безопасности данных и нелегального распространения программных продуктов. Так, например, по данным средств массовой информации, американская компания MicrosoftTM из-за нелегального использования только операционной системы MS DOS терпела убытки, соизмеримые с прибылью. Убытки того же порядка приходятся и на нелегальное использование MS Windows.

Характерная особенность использования ПЭВМ в нашей стране заключается в том, что доступ к ним имеют многие пользователи. В связи с таким “многопользовательским” режимом работы возникает целый набор взаимосвязанных вопросов по защите информации, хранящейся в ПЭВМ.

Проблема защиты информации представляет собой совокупность тесно связанных подпроблем в областях права, организации управления, разработки технических средств, программирования и математики.

Анализ отечественной и зарубежной литературы позволяет выделить следующие объективные причины, определяющие важность проблемы защиты информации:

    высокие темпы роста парка ПЭВМ, находящихся в эксплуатации;
    широкое применение ПЭВМ в самых различных сферах человеческой деятельности;
    усложнение вычислительного процесса в ПЭВМ;
    высокая степень концентрации информации в ПЭВМ;
    совершенствование способов доступа пользователей к ресурсам ПЭВМ.

Усложнение методов и средств организации машинной обработки информации приводит к тому, что информация становится все более уязвимой. Этому способствуют такие факторы, как постоянно возрастающие объемы обрабатываемых данных, накопление и хранение данных в ограниченных местах, постоянное расширение круга пользователей, имеющих доступ как к ресурсам ПЭВМ, так к программам и данным, хранящимся в них, усложнение режимов эксплуатации вычислительных систем и т. п.

Учитывая эти факторы, защита информации в процессе её сбора, хранения и обработки приобретает исключительно важное значение. Под защитой информации понимается совокупность мероприятий, методов и средств, обеспечивающих решение следующих основных задач:

    проверки целостности информации; исключения несанкционированного доступа к ресурсам ПЭВМ и хранящимся в ней программам и данным; исключения несанкционированного использования хранящихся в ПЭВМ программ (т. е. защиты программ от копирования).

Проблема обеспечения защиты информации является одной из важнейших при построении надежной информационной структуры учреждения на базе ЭВМ. Эта проблема охватывает как физическую защиту от разрушения данных, программ и базового программного обеспечения, так и защиту от несанкционированного доступа к информационным ресурсам, передаваемым по линиям связи или находящимся на различных носителях информации. Таким образом, в базовое понятие защиты информации включаются вопросы сохранения целостности данных и управления доступа к данным (санкционированность).

("2") Чтобы наиболее эффективно использовать отработанные на практике средства защиты данных, их включение необходимо предусматривать уже на ранних стадиях проектирования учрежденческих систем.

1.2. Задачи организации безопасности информационных систем

1.2.1. Основные понятия

Под угрозой информационной безопасности (ИБ) понимается потенциально возможное воздействие на информационную систему (ИС), которое может прямо или косвенно нанести урон пользователям или владельцам ИС.

Реализованная угроза называется атакой.

Конфиденциальность (confidentiality) – гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).

Доступность (availability) – гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность (integrity) – гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Для каждой системы свойства целостности и доступности являются приоритетными, а свойство конфиденциальности не всегда является обязательным.

Несанкционированным доступом (НСД) к информации понимается такой доступ, который нарушает правила использования информационных ресурсов компьютерной системы, установленные для ее пользователей. Несанкционированный доступ является реализацией преднамеренной угрозы информационно-компьютерной безопасности и часто называется еще атакой или нападением на компьютерную систему.

Риск – это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки. Значение риска тем выше, чем более уязвимой является существующая система безопасности и чем выше вероятность реализации атаки.

Анализ рисков - первый и необходимый этап в решении задачи ИБ, проводится в целях выявления потенциально возможных угроз интересам предприятия, возможного ущерба, которые могут возникнуть в результате таких рисков.

По результатам анализа рисков разрабатывается политика безопасности – документ, содержащий принципы деятельности предприятия по обеспечению ИБ. Политика безопасности содержит перечень угроз, классификацию защищаемых информационных ресурсов, определяет желаемый уровень защищенности, описывает организационные решения, необходимые для ИБ. На основе утвержденной политики безопасности разрабатываются план обеспечения ИБ, содержащий конкретные организационно-технические решения, и план работ по их внедрению и реализации.

Таким образом, обеспечение информационной безопасности (ИБ) представляет собой сложный комплекс технических, юридических и организационных проблем.

Цель мер по обеспечению информационной безопасности - сократить возможный экономический и моральный ущерб предприятия, связанный с повреждением или неправомерным использованием информационных ресурсов.


1.2.2. Основные виды и источники угроз в информационных системах

Безопасная информационная система – это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, всегда готова предоставить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности.

При рассмотрении безопасности информационных систем выделяют две группы проблем: безопасность компьютера и сетевая безопасность. К безопасности компьютера относят все проблемы защиты данных, хранящихся и обрабатывающихся компьютером, который рассматривается как автономная система. Под сетевой безопасностью понимают все вопросы, связанные с взаимодействием устройств в сети. Это прежде всего защита данных в момент их передачи по линиям связи и защита от несанкционированного удаленного доступа в сеть.

Автономно работающий компьютер можно эффективно защитить от внешних покушений разнообразными способами, например, просто запереть на замок клавиатуру или снять жесткий накопитель и поместить его в сейф. Компьютер, работающий в сети, по определению не может полностью отгородиться от мира, он должен общаться с другими компьютерами, возможно, даже удаленными от него на большое расстояние, поэтому обеспечение безопасности в сети является задачей значительно более сложной. При работе в сети логический вход пользователя в компьютер является штатной ситуацией. Обеспечение безопасности в такой ситуации сводится к тому, чтобы сделать это проникновение контролируемым – каждому пользователю сети должны быть четко определены его права по доступу к информации, внешним устройствам и выполнению системных действий на каждом из компьютеров сети.

Помимо проблем, порождаемых возможностью удаленного входа в сетевые компьютеры, сети по своей природе подвержены еще одному виду опасности – перехвату и анализу сообщении, передаваемых по сети, а также созданию “ложного” трафика. Большая часть средств обеспечения сетевой безопасности направлена на предотвращение именно этого типа нарушений.

("3") 1.2.2.1. Виды угроз информационной безопасности

Угрозы могут быть разделены на умышленные и неумышленные. Неумышленные угрозы вызываются ошибочными действиями лояльных сотрудников, становятся следствием их низкой квалификации или безответственности. К такому роду угроз относятся последствия ненадежной работы программных и аппаратных средств системы. Угрозы безопасности, которые вытекают из ненадежности работы программно-аппаратных средств, предотвращаются путем их совершенствования, использования резервирования на уровне аппаратуры (RAID-массивы, многопроцессорные компьютеры, источники бесперебойного питания, кластерные архитектуры) или на уровне массивов данных (тиражирование файлов, резервное копирование).

Умышленные угрозы могут ограничиваться либо пассивным чтением данных или мониторингом системы, либо включать в себя активные действия, например нарушение целостности и доступности информации, приведение в нерабочее состояние приложений и устройств. Так, умышленные угрозы возникают в результате деятельности хакеров и явно направлены на нанесение ущерба предприятию.

В вычислительных сетях можно выделить следующие способы умышленных угроз: незаконное проникновение в один из компьютеров сети под видом легального пользователя; разрушение системы с помощью программ-вирусов; нелегальные действия легального пользователя; “подслушивание” внутрисетевого трафика.

Методика реализации НСД в значительной степени зависит от организации обработки информации, политики безопасности, возможностей установленных средств безопасности, а также добросовестности администраторов и операторов.

Незаконное проникновение может быть реализовано через уязвимые места в системе безопасности с использованием недокументированных возможностей операционной системы. Эти возможности могут позволить злоумышленнику обойти стандартную процедуру, контролирующую вход в сеть.

Другим способом незаконного проникновения в сеть является использование “чужих” паролей, полученных путем подсмотра, расшифровки файла паролей, подбора паролей или получения пароля путем анализа сетевого трафика. Особенно опасно проникновение злоумышленника под именем пользователя, наделенного большими полномочиями, например администратора сети. Поэтому очень важно, чтобы все пользователи сети сохраняли свои пароли в тайне, а также выбирали их так, чтобы максимально затруднить угадывание.

Подбор паролей злоумышленник выполняет с использованием специальных программ, которые работают путем перебора слов из некоторого файла, содержащего большое количество слов. Содержимое файла-словаря формируется с учетом психологических особенностей человека, которые выражаются в том, что человек выбирает в качестве пароля легко запоминаемые слова или буквенные сочетания.

Еще один способ получения пароля – это внедрение в чужой компьютер “троянского коня” – резидентную программу, работающую без ведома хозяина данного компьютера и выполняющую действия, заданные злоумышленником. В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему. “Троянский конь” маскируется под какую-нибудь полезную утилиту или игру, а производит действия, разрушающие систему.

Нелегальные действия легального пользователя – этот тип угроз исходит от легальных пользователей ОС, которые, используя свои полномочия, пытаются выполнять действия, выходящие за рамки их должностных обязанностей.

“Подслушивание” внутрисетевого трафика – это незаконный мониторинг сети, захват и анализ сетевых сообщений.

1.2.2.2. Классификация видов НСД в информационных системах

Существует множество классификаций угроз информационной безопасности (по способу воздействия, по результату атаки, по типу атакующего, по происхождению атаки).

Основными видами несанкционированного доступа (НСД) к информации являются:

незаконное копирование данных и программ незаконное уничтожение информации нарушение адресности и оперативности информационного обмена нарушение технологии обработки данных и информационного обмена внедрение программных вирусов внедрение программных закладок, позволяющих осуществить несанкционированный доступ или действия по отношению к информации и системам ее защиты, приводящее к компрометации системы защиты.

("4") Все возможные способы НСД в защищаемых компьютерных системах можно классифицировать по следующим признакам.

1. По принципу несанкционированного доступа:

    физический несанкционированный доступ; логический несанкционированный доступ.

Логический несанкционированный доступ предполагает преодоление системы защиты ресурсов активной компьютерной сети.

2. По положению источника несанкционированного доступа:

    несанкционированный доступ, источник которого расположен в локальной сети; несанкционированный доступ, источник которого расположен вне локальной сети.

В первом случае атака проводится непосредственно из любой точки локальной сети. Инициатором такой атаки чаще всего выступает санкционированный пользователь.

Второй случай характерен для ситуации, когда объединяются отдельные сети, ориентированные на обработку конфиденциальной информации совершенно разного уровня секретности или разных категорий или при подключении любой закрытой компьютерной сети к открытым сетям, например к Интернет.

3. По режиму выполнения несанкционированного доступа:

• атаки, выполняемые при постоянном участии человека;

• атаки, выполняемые специально разработанными программами без непосредственного участия человека.

В первом случае для воздействия на компьютерную систему может использоваться и стандартное программное обеспечение. Во втором случае всегда применяются специально разработанные программы, в основу функционирования которых положена вирусная технология.

4. По типу используемых слабостей системы информационно-компьютерной безопасности:

    атаки, основанные на недостатках установленной политики безопасности; атаки, основанные на ошибках административного управления компьютерной сетью; атаки, основанные на недостатках алгоритмов защиты, реализованных в средствах информационно-компьютерной безопасности; атаки, основанные на ошибках реализации проекта системы защиты.

Недостатки политики безопасности означают, что разработанная для конкретной компьютерной сети политика безопасности настолько не отражает реальные аспекты обработки информации, что становится возможным использование этого несоответствия для выполнения несанкционированных действий. Под ошибками административного управления понимается некорректная организационная реализация или недостаточная административная поддержка принятой в компьютерной сети политики безопасности.

("5") 1.2.2.3. Вирусные атаки

Особое внимание при рассмотрении безопасности ИС следует уделить проблеме компьютерных вирусов. Опасность вирусных атак основана на повсеместном распространения этого вида информационной угрозы, высокой скорости распространения вирусов и относительной простоте доступа к данным. Наиболее вредоносным действием вирусов является способность некоторых из них искажать или полностью разрушать информацию на жестких дисках.

Прежде всего вирус - это программа, обладающая способностью к самовоспроизведению.

В настоящее время известно более 50000 программных вирусов, их можно классифицировать по следующим признакам:

    среде обитания;
    способу заражения среды обитания;
    воздействию;
    особенностям алгоритма;

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

    неопасные, не мешающие работе компьютера, но уменьшающие

объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;

    опасные вирусы, которые могут привести к различным нарушениям

в работе компьютера;

    очень опасные, воздействие которых может привести к потере

программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями; вирусы-невидимки, называемые стелс-вирусами; вирусы-мутанты; квазивирусные или «троянские» программы.

1.3. Функции системы обеспечения информационной безопасности

Задачами обеспечения информационной безопасности и соответственно функциями системы обеспечения информационной безопасности (СОИБ) являются:

    ("6") пресечение и выявление попыток уничтожения или подмены (фальсификации) информации; пресечение и выявление попыток несанкционированной модификации информации; пресечение и выявление попыток несанкционированного получения информации; пресечение и выявление попыток несанкционированного распространения или размножения информации; ликвидация последствий успешной реализации перечисленных угроз; выявление и нейтрализация проявившихся и потенциально возможных дестабилизирующих факторов и каналов утечки информации; выявление и нейтрализация причин проявления дестабилизирующих факторов и возникновения каналов утечки информации; определение лиц, виновных в проявлении дестабилизирующих факторов и возникновении каналов утечки информации и привлечение их к определенного вида ответственности.

2. Методы и средства защиты ИС

2.1. Базовые принципы политики безопасности

Основным принципом является предоставление каждому сотруднику предприятия того минимального уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей.

Следующий принцип – использование комплексного подхода к обеспечению безопасности. В этом случае необходимо предусмотреть самые разные средства безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппаратуры. Многократное резервирование средств безопасности увеличивает вероятность сохранности данных.

Используя многоуровневую систему защиты, важно обеспечивать баланс надежности защиты всех уровней. Например, если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Или если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уровне отдельных файлов, но имеется возможность получить жесткий диск и установить его на другой машине, то все достоинства средств защиты файловой системы сводятся на нет.

Следующим универсальным принципом является использование средств, которые при отказе переходят в состояние максимальной защиты. Это касается самых различных средств безопасности. Если, например, в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть.

Принцип единого контрольно-пропускного пункта – весь входящий во внутреннюю сеть и выходящий во внешнюю сеть трафик должен проходить через единственный узел сети, например через межсетевой экран (firewall). Только это позволяет в достаточной степени контролировать трафик.

Принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение. Ни одна система безопасности не гарантирует защиту данных на уровне 100%, поскольку является результатом компромисса между возможными рисками и возможными затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной затрат, требуемых на обеспечение безопасности этих данных.

2.2. Системный подход к обеспечению безопасности

Построение и поддержка безопасной системы требует системного подхода. В соответствии с этим подходом прежде всего необходимо определить весь спектр возможных угроз для конкретной сети и для каждой из этих угроз продумать тактику ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы – морально-этические и законодательные, административные и психологические, защитные возможности программных и аппаратных средств сети.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране.

Законодательные средства защиты – это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил. Правовая регламентация деятельности в области защиты информации имеет целью защиту информации, составляющей государственную тайну, обеспечение прав потребителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.

("7") Административные меры – это действия, предпринимаемые руководством предприятия или организации для обеспечения информационной безопасности. К таким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго определяющие порядок работы с конфиденциальной информацией на компьютере.

Психологические меры безопасности могут играть значительную роль в укреплении безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к нарушениям защиты.

К физическим средствам защиты относятся экранирование помещений для защиты от излучения, проверка поставляемой аппаратуры на соответствие ее спецификациям и отсутствие аппаратных “жучков”, средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находятся носители информации, от незаконного проникновения и т. д. и т. п.

Технические средства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных комплексов. Такие средства, решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутентификации и авторизации, аудит, шифрование информации, антивирусную защиту, контроль сетевого трафика и много других задач. Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

2.3. Краткий обзор средств защиты информации

2.3.1. Управление безопасностью на уровне операционных систем

Основы стандартов в области безопасности были определены “Критериями оценки надежных компьютерных систем”, разработанными национальным центром компьютерной безопасности (NCSC – National Computer Security Center) США в 1983 в году.

В соответствии с этими требованиями безопасной считается такая система, которая “посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации”.

Иерархия уровней безопасности определяет низший уровень безопасности как D, а высший – как А.

Следует учесть, что с повышением уровня безопасности увеличивается стоимость и накладные расходы на работу системы и прикладных средств. Кроме того, число прикладных пакетов, аттестованных для работы по высшей категории, весьма ограничено. Поэтому при выборе средств защиты информации следует руководствоваться оптимальным соотношением цена-качество.

Модель безопасности большинства ОС (Windows NT/2000XP) строится в соответствии с требованиями класса С2. Наиболее существенными требованиями уровня защиты С2 являются:

1. Владелец объекта должен иметь возможность управлять доступом к объекту.

2. Операционная система должна защищать объекты, с тем, чтобы они не могли быть повторно использованы другими процессами. Например, система защищает память, для того чтобы ее содержимое не могло быть прочитано, после того как память освобождена процессом. После того как файл удален, пользователи не должны иметь доступа к данным этого файла.

3. Каждый пользователь должен идентифицировать себя в системе. Для этого он вводит уникальное имя и пароль, прежде чем ему будет разрешен доступ. Система должна иметь возможность использовать эту идентификацию, для того чтобы отслеживать действия пользователя.

4. Системные администраторы должны иметь возможность проводить аудит событий в системе, относящихся к информационной безопасности. Доступ к данным аудита должен быть ограничен только авторизованными администраторами.

5. Система должна защищать себя от изменений, таких как, например, изменения работающей системы или изменения системных файлов, хранящихся на диске.

2.3.2. Аппаратный контроль доступа к ПК

К аппаратным средствам контроля доступа относятся

аппаратные модули доверенной загрузки ПЭВМ и контроля целостности файлов
    электронный замок «Соболь-PCI», ("8") «Аккорд 5»

имеющие сертификаты Федерального агентства правительственной связи и информации при Президенте Российской Федерации и Гостехкомиссии России, что позволяет применять их для защиты информации, составляющей коммерческую или государственную тайну (вплоть до первой категории).

Конструктивно представляют собой аппаратный ISA - или PCI-контроллер, с установленным аппаратным датчиком случайных чисел, соответствующим требованиям ФАПСИ.

2. Продукты eToken - ключ XXI века - полнофункциональный аналог смарткарты, выполненный в виде брелка. Он напрямую подключается к компьютеру через USB порт и не требует наличия дорогостоящих карт-ридеров и других дополнительный устройств.

3. Биометрические устройства позволяют ограничить или запретить доступ к компьютеру использованием дактилоскопических сканеров - сканеров отпечатка пальца.

Сканер может быть выполнен в виде отдельного устройства или совмещен с обычной или инфракрасной мышкой.

Наибольшее распространение получили разработки фирм SecuGen, BioLink.

4. Универсальные замки для защиты корпуса ПЭВМ от несанкционированного вскрытия. Позволяют исключить доступ посторонних лиц или злоумышленников к аппаратным ресурсам ПЭВМ. Замок имеет запирающий механизм повышенной надежности и легко устанавливается на типовые корпуса системных блоков ПЭВМ. Примером такого замка может служить CaseLock; габаритные размеры корпуса: 030x31 мм.


2.3.3. Криптография (шифрование)

Шифрование – это основная технология всех служб информационной безопасности, будь то система аутентификации или авторизации, средства создания защищенного канала или способ безопасного хранения данных.

Любая процедура шифрования, превращающая информацию из обычного “понятного” вида в “нечитабельный” зашифрованный вид, должна быть дополнена процедурой дешифрирования, которая, будучи примененной к зашифрованному тексту, снова приводит его в понятный вид. Пара процедур – шифрование и дешифрирование – называется криптосистемой.

В алгоритмах шифрования предусматривается наличие параметра – секретного ключа. В криптографии принято правило Керкхоффа: “Стойкость шифра должна определяться только секретностью ключа”.

Сложность алгоритма раскрытия является одной из важных характеристик криптосистемы и называется криптостойкостъю.

Примерами криптосистем являются

1. СКЗИ КриптоПро CSP. Разработан ООО "Крипто-Про" и ГУП НТЦ "Атлас" по техническому заданию, согласованному с ФАПСИ в соответствии с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP).

КриптоПРО CSP предназначен для:

    авторизации и обеспечения контроля подлинности электронных документов при обмене ими между пользователями с применением электронной цифровой подписи; обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты; защиты программного обеспечения от несанкционированного доступа; управления ключевыми элементами системы в соответствии с регламентом средств защиты.
("9") Криптомаршрутизатор «Континент» - аппаратно-программный шифратор протокола TCP/IP, предназначенный для обеспечения криптографической защиты информации, передаваемой по открытым каналам связи. Продукты фирмы АНКАД – КРИПТОН, КРИПТОНОН®Шифрование,
КРИПТОН®Подпись, Crypton ArcMail, КРИПТОН-IP, Crypton Sigma.

Основой построения систем криптографической защиты информации служит шифратор серии КРИПТОН - аппаратное устройство КРИПТОН или программный драйвер-шифратор Crypton Emulator.

С шифратором работает прикладное программное обеспечение, рассчитанное на конечного пользователя и/или средства разработки - библиотеки, предназначенные для встраивания в продукты независимых разработчиков функции шифрования и/или электронной цифровой подписи (ЭЦП).

Ключи шифрования и ЭЦП могут храниться на дискетах, смарт-картах с открытой и защищенной памятью, микропроцессорных смарт-картах, идентификаторах Touch Memory, брелках eToken для шины USB.

4. Разработанная компанией ПНИЭИ» серия программных продуктов УЦ «Верба-Сертификат», реализующая в полном объеме все возможности технологии цифровых сертификатов, представляет собой законченную платформу для создания гибких, надежных и высокоэффективных корпоративных решений в сфере обеспечения безопасности информационного обмена в системах электронной коммерции и автоматизированного документооборота.

СКЗИ «Верба-OW» 6.1 реализует как старый стандарт ЭЦП ГОСТ Р 34.10-94, с открытыми ключами длиной 1024 бита, так и новый ГОСТ Р 34.10-2001, позволяющий использовать более короткие (512 бит) ключи с улучшенными криптографическими свойствами. Второе, гораздо более существенное, отличие заключается в поддержке работы с цифровыми сертификатами.

5. ОРТИС — простая прикладная программа, которая надежно защищает важную информацию в выделенных файлах и директориях от любых попыток постороннего доступа.

Надежный и эффективный фирменный алгоритм кодирования ЛАН Крипто позволяет работать с защищенными данными практически со скоростью обращения к жесткому диску.

Пользователь сам выбирает свой персональный идентификатор, который хранится в секрете и используется для доступа к данным.

Защищенные данные фактически находятся в отдельном файле в кодированном виде. Без персонального идентификатора и пароля они недоступны. Получить доступ к защищенным данным можно только с помощью персонального идентификатора, а доступ к нему - предъявив пароль.

6. Семейство программ ИНДИС - не вскрываемый цифровой сейф - гарантированно защищает информацию на жестком диске от любых попыток постороннего доступа.

ИНДИС автоматически защищает данные специальным кодированием «на лету» при записи в выделенную область жесткого диска — цифровой сейф.

Защищенные данные физически находятся на одном из жестких дисков компьютера в кодированном виде.

2.3.4. Технология защищенного канала

Задачу защиты данных можно разделить на две подзадачи: защиту данных внутри компьютера и защиту данных в процессе их передачи из одного компьютера в другой. Для обеспечения безопасности данных при их передаче по публичным сетям используются различные технологии защищенного канала.

Технология защищенного канала призвана обеспечивать безопасность передачи данных по открытой транспортной сети, например по Интернету. Защищенный канал подразумевает выполнение трех основных функций:

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5