Инжинерная защита информации. Доклад Инженернотехническая защита объектов
 Скачать 240.19 Kb.
|
|
Персональные методы — это методы определения лица по его независимым показателям: отпечаткам пальцев, геометрии рук, особенностям глаз. Персональные характеристики бывают статические и динамические. К последним относятся пульс, давление, кардиограммы, речь, почерк и другие. Персональные способы наиболее привлекательные. Во-первых, они полно описывают каждого отдельного человека. Во -вторых, невозможно или крайне трудно подделать индивидуальные характеристики. Статические способы включают анализ физических характеристик — таких, как отпечатки пальцев, особенности геометрии рук и другие. Они достаточно достоверны и обладают малой вероятностью ошибок. Динамические же способы используют изменяющиеся во времени опознавательные характеристики. Характеристики, зависящие от привычек и навыков, являются не только наиболее простыми для подделок, но и наиболее дешевыми с точки зрения практической реализации. Способы опознавания, основанные на чем -либо запоминаемом (код, пароль), могут применяться в случаях наиболее низких требований к безопасности, так как часто эта информация записывается пользователями на различных бумажках, в записных книжках и других носителях, что при их доступности другим может свести на нет все усилия по безопасности. Кроме того, имеется реальная возможность подсмотреть, подслушать или получить эту информацию другим путем (насилие, кража и т. д.). Способ опознавания человеком (вахтер, часовой) не всегда надежен из-за так называемого «человеческого фактора», заключающегося в том, что человек подвержен влиянию многих внешних условий (усталость, плохое самочувствие, эмоциональный стресс, подкуп). В противовес этому находят широкое применение технические средства опознавания, такие, например, как идентификационные карты, опознавание по голосу, почерку, пальцам и др. Простейший и наиболее распространенный метод идентификации использует различные карты и карточки, на которых помещается кодированная или открытая информация о владельце, его полномочиях и другое. Обычно это пластиковые карты типа пропусков или жетонов. Карты вводятся в читающее устройство каждый раз, когда требуется войти или выйти из охраняемого помещения или получить доступ к чему-нибудь (сейфу, камере, терминалу). Существует много разновидностей устройств опознавания и идентификации личности, использующих подобные карты. Одни из них оптическим путем сличают фотографии и другие идентификационные элементы, другие — магнитные поля. Системы опознавания по отпечаткам пальцев. В основу идентификации положено сравнение относительного положения окончаний и разветвлений линий отпечатка. Поисковая система ищет на текущем изображении контрольные элементы, определенные при исследовании эталонного образца. Для идентификации одного человека считается достаточным определение координат 12 точек. Эти системы, естественно, весьма сложны и рекомендуются к использованию на объектах, требующих надежной защиты. Системы опознавания по голосу. Существует несколько способов выделения характерных признаков речи человека: анализ кратковременных сегментов, контрольный анализ, выделение статистических характеристик. Следует отметить, что теоретически вопросы идентификации по голосу разработаны достаточно полно, но промышленное производство пока налажено слабо. Системы опознавания по почерку считаются наиболее удобными для пользователя. Основным принципом идентификации по почерку является постоянство подписи каждого индивидуума, хотя абсолютного совпадения не бывает. Система опознавания по геометрии рук. Для идентификации применяют анализ комбинации линий сгибов пальцев и ладони, линий складок, длины и толщины пальцев и других. Технически это реализуется путем наложения руки на матрицу фотоячеек. Рука освещается мощной лампой, производится регистрация сигналов с ячеек, несущих информацию о геометрии. Все устройства идентификации человека могут работать как отдельно, так и в комплексе. Комплекс может быть узкоспециальным или многоцелевым, при котором система выполняет функции охраны, контроля, регистрации и сигнализации. Такие системы являются уже комплексными. Комплексные системы обеспечивают: допуск на территорию предприятия по карточке (пропуску), содержащей индивидуальный машинный код; блокирование прохода при попытках несанкционированного прохода (проход без пропуска, проход в спецподразделения сотрудников, не имеющих допуска); возможность блокирования прохода для нарушителей графика работы (опоздание, преждевременный уход и т.д.); открытие зоны прохода для свободного выхода по команде вахтера; проверку кодов пропусков на задержание их предъявителей на КПП по указанию оператора системы; регистрацию времени пересечения проходной и сохранение его в базе данных персональной ЭВМ; обработку полученных данных и формирование различных документов (табель рабочего времени, суточный рапорт, ведомость нарушителей трудовой дисциплины и т. д.), что позволяет иметь оперативную информацию о нарушителях трудовой дисциплины, отработанном времени; оперативную корректировку информации базы данных с доступом по паролю; распечатку табелей рабочего времени по произвольной группе сотрудников (предприятие в целом, структурное подразделение, отдельно выбранные сотрудники); распечатку списков нарушителей графика рабочего времени с конкретными данными о нарушении; текущий и ретроспективный анализ посещения сотрудниками подразделений, передвижения сотрудников через КПП, выдачу списочного состава присутствовавших или отсутствовавших в подразделении или на предприятии для произвольно выбранного момента времени (при условии хранения баз данных за прошлые периоды); ■ получение оперативной информации абонентами локальной сети в случае сетевой реализации системы. Физические средства являются первой преградой для злоумышленника при реализации имзаходовых методов доступа. 3. Аппаратные средства защиты К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации. Аппаратные средства защиты: информации применяются для решения следующих задач: проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации; выявление каналов утечки информации на разных объектах и в помещениях; локализация каналов утечки информации; поиск и обнаружение средств промышленного шпионажа; противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям. По функциональному назначению аппаратные средства могут быть классифицированы на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. При этом по своим техническим возможностям средства защиты информация могут быть общего назначения, рассчитанные на использование непрофессионалами с целью получения предварительных (общих) оценок, и профессиональные комплексы, позволяющие проводить тщательный поиск, обнаружение и прецизионные измерения все характеристик средств промышленного шпионажа. В качестве примера первых можно рассмотреть группу индикаторов электромагнитных излучений типа ИП, обладающих широким спектром принимаемых сигналов и довольно низкой чувствительностью. В качестве второго примера — комплекс для обнаружения и пеленгования радиозакладок, предназначенный для автоматического обнаружения и определения местонахождения радиопередатчиков, радиомикрофонов, телефонных закладок и сетевых радиопередатчиков. Это уже сложный современный поисков –обнаружительный профессиональный комплекс. Таким является, например, комплекс «Дельта», который обеспечивает: достоверное обнаружение практически любых из имеющихся в продаже радиомикрофонов, радиостетоскопов, сетевых и телефонных передатчиков, в том числе и с инверсией спектра; автоматическое определение места расположения микрофонов в объеме контролируемого помещения. В состав комплекса входит радиоприемное устройство AR-3000 и ПЭВМ. Поисковую аппаратуру можно подразделить на аппаратуру поиска средств съема информации и исследования: каналов ее утечки. Аппаратура первого типа направлена на поиск и локализацию уже внедренных злоумышленниками средств несанкционированного доступа Аппаратура второго типа предназначается для выявления каналов утечки информации. Примером такого комплекса может служить комплекс «Зарница», обеспечивающий измерение параметров побочных электромагнитных излучений в диапазоне частот от 10 Кгц до 1 Ггц. Обработка результатов измерений осуществляется на ПЭВМ в соответствии с действующими нормативно-методическими Документами Гостехкомиссии при Президенте РФ. Определяющими для такого рода систем являются оперативность исследования и надежность полученных результатов. Использование профессиональной поисковой аппаратуры требует высокой квалификации оператора. Как в любой области техники, универсальность той или иной аппаратуры приводит к снижению ее пара метров по каждой отдельной характеристике. С другой стороны, существует огромное количество различных по физической природе каналов утечки информации, а также физических принципов, на основе которых работают системы несанкционированного доступа. Эти факторы обусловливают многообразие поисковой аппаратуры, а ее сложность определяет высокую стоимость каждого прибора. В связи с этим достаточный комплекс поискового оборудования могут позволить себе иметь структуры, постоянно проводящие соответствующие обследования. Это либо крупные службы безопасности, либо специализированные фирмы, оказывающие услуги сторонним организациям. Конечно, описанное выше не является аргументом для отказа от использования средств поиска самостоятельно. Но эти средства в большинстве случаев достаточно просты и позволяют проводить профилактические мероприятия в промежутке между серьезными поисковыми обследованиями. В особую группу выделяются аппаратные средства защиты: ЭВМ и коммуникационных систем на их базе. Аппаратные средства защиты: применяются как в отдельных ПЭВМ, так и на различных уровнях и участках сети: в центральных процессорах ЭВМ, в их оперативных ЗУ (ОЗУ), контроллерах ввода-вывода, внешних ЗУ, терминалах и т. д. Для защиты центральных процессоров (ЦП) применяется кодовое резервирование — создание дополнительных битов в форматах машинных команд (разрядов секретности) и резервных регистров (в устройствах ЦП). Одновременно предусматриваются два возможных режима работы процессора, которые отделяют вспомогательные операции от операций непосредственного решения задач пользователя. Для этого служит специальная система прерывания, реализуемая аппаратными средствами. Одной из мер аппаратной защиты: ЭВМ и информационных сетей является ограничение доступа к оперативной памяти с помощью установления границ или полей. Для этого создаются регистры контроля и регистры защиты данных. Применяются также дополнительные биты четности — разновидность метода кодового резервирования. Для обозначения степени конфиденциальности программ и данных, категорий пользователей используются биты, называемые битами конфиденциальности (это два-три дополнительных разряда, с помощью которых кодируются категории секретности пользователей, программ и данных). Программы и данные, загружаемые в ОЗУ, нуждаются в защите, гарантирующей их от несанкционированного доступа. Часто используются биты четности, ключи, постоянная специальная память. При считывании из ОЗУ необходимо, чтобы программы не могли быть уничтожены несанкционированными действиями пользователей или вследствие выхода аппаратуры из строя. Отказы должны своевременно выявляться и устраняться, чтобы предотвратить исполнение искаженной команды ЦП и потери информации. Для предотвращения считывания оставшихся после обработки данных в ОЗУ применяется специальная схема стирания. В этом случае формируется команда на стирание ОЗУ и указывается адрес блока памяти, который должен быть освобожден от информации. Эта схема записывает нули или какую-нибудь другую последовательность символов во все ячейки данного блока памяти, обеспечивая надежное стирание ранее загруженных данных. Аппаратные средства защиты: применяются и в терминалах пользователей. Для предотвращения утечки информации при подключении незарегистрированного терминала необходимо перед выдачей запрашиваемых данных осуществить идентификацию (автоматическое определение кода или номера) терминала, с которого поступил запрос. В многопользовательском режиме этого терминала идентификации его недостаточно. Необходимо осуществить аутентификацию пользователя, то есть установить его подлинность и полномочия. Это необходимо и потому, что разные пользователи, зарегистрированные в системе, могут иметь доступ только к отдельным файлам и строго ограниченные полномочия их использования. Для идентификации терминала чаще всего применяется генератор кода, включенный в аппаратуру терминала, а для аутентификации пользователя — такие аппаратные средства, как ключи, персональные кодовые карты, персональный идентификатор, устройства распознавания голоса пользователя или формы его пальцев. Но наиболее распространенными средствами аутентификации являются пароли, проверяемые не аппаратными, а программными средствами опознавания. Аппаратные средства защиты информации — это различные те хнические устройства, системы и сооружения, предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа. 4. Программные средства защиты Системы защиты компьютера от чужого вторжения весьма разнообразны и классифицируются, как: средства собственной защиты, предусмотренные общим программным обеспечением; средства защиты в составе вычислительной системы; средства защиты с запросом информации; средства активной защиты; средства пассивной защиты и другие. Основные направления использования программной защиты информации. Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации, в частности такие: защита информации от несанкционированного доступа; защита информации от копирования; защита программ от копирования; защита программ от вирусов; защита информации от вирусов; программная защита каналов связи. По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов. Программные средства защиты: имеют следующие разновидности специальных программ: идентификации технических средств, файлов и аутентификации пользователей; регистрации и контроля работы технических средств и пользователей; обслуживания режимов обработки информации ограниченного пользования; защиты: операционных средств ЭВМ и прикладных программ пользователей; уничтожения информации в защитные устройства после использования; сигнализирующих нарушения использования ре -сурсов; вспомогательных программ защиты: различного на -значения (рис. 22). Идентификация технических средств и файлов, осуществляемая программно, делается на основе анализа регистрационных номеров различных компонентов и объектов информационной системы и сопоставления их со значениями адресов и паролей, хранящихся в защитном устройстве системы управления. Для обеспечения надежности защиты с помощью паролей работа системы защиты организуется таким образом, чтобы вероятность раскрытия секретного пароля и установления соответствия тому или иному идентификатору файла или терминала была как можно меньше. Для этого надо периодически менять па роль, а число символов в нем установить достаточно большим. Эффективным способом идентификации адресуемых элементов и аутентификации пользователей является алгоритм запросно-ответного типа, в соответствии с которым система защиты выдает пользователю запрос на пароль, после чего он должен дать на него определенный ответ. Так как моменты ввода запроса и ответа на него непредсказуемы, это затрудняет процесс отгадывания пароля, обеспечивая тем самым более высокую надежность защиты. Получение разрешения на доступ к тем или иным ресурсам можно осуществить не только на основе использования секретного пароля и последующих процедур аутентификации и идентификации. Это можно сделать более детальным способом, учитывающим различные особенности режимов работы пользователей, их полномочия, категории запрашиваемых данных и ресурсов. Этот способ реализуется специальными программами, анализирующими соответствующие характеристики пользователей, содержание заданий, параметры технических и программных средств, устройств памяти. Поступающие в систему защиты конкретные данные, относящиеся к запросу, сравниваются в процессе работы программ защиты с данными, занесенными в регистрационные секретные таблицы (матрицы). Эти таблицы, а также программы их формирования и обработки хранятся в зашифрованном виде и находятся под особым контролем администратора (администра -торов) безопасности информационной сети. Для разграничения обращения отдельных пользователей к вполне определенной категории информации применяются индивидуальные меры секретности этих файлов и особый контроль доступа к ним пользо вателей. Гриф секретности может формироваться в виде трехразрядных кодовых слов, которые хранятся в самом файле или в специальной таблице. В этой же таблице записываются идентификатор пользователя, создавшего данный файл, идентификаторы терминалов, с которых может быть осуществлен доступ к файлу, идентификаторы пользователей, которым разрешен доступ к данному файлу, а также их права на пользование файлом (считывание, редактирование, стирание, обновление, исполнение и т. д.). Важно не допустить взаимовлияния пользователей в процессе обращения к файлам. Если, например, одну и ту же запись имеют право редактировать несколько пользователей, то каждому из них необходимо сохранить именно его вариант редакции (делается несколько копий записей с целью возможного анализа и установления полномочий). |