Технология защиты данных

- изоляция программ процесса, выполняемого в интересах конкретного субъекта, от других субъектов (обеспечение работы каждого пользователя в индивидуальной среде);

- управление потоками конфиденциальной информации с целью предотвращения записи на носители данных несоответствующего уровня (грифа) секретности;

- защита информации от компьютерных вирусов;

- стирание остаточной конфиденциальной информации в разблокированных после выполнения запросов полях оперативной памяти компьютера;

- стирание остаточной конфиденциальной информации на магнитных дисках, выдача протоколов о результатах стирания;

- обеспечение целостности информации путем введения избыточности данных;

- автоматический контроль над работой пользователей системы на базе результатов протоколирования и подготовка отчетов по данным записей в системном регистрационном журнале.

Аппаратные средства защиты данных при хранении. Несмотря на универсальность и удобство программных средств, бывают ситуации, в которых они неприменимы. Рассмотрим ряд таких ситуаций.

Нехватка производительности. Несмотря на то, что производители современных программных систем уделяют очень много внимания оптимизации критических участков кода, и средние потери производительности не превышают 10-15%, иногда и это бывает неприемлемым.

Устройства NAS. Типичные устройства NAS (network attached storage) представляют собой хранилище данных и сетевую ОС в одном устройстве. Таким образом, понятие «компьютер в роли файл-сервера», на который можно поставить какое-то дополнительное ПО, фактически ни к чему не относится.

Некоторые реализации архитектуры SAN. В некоторых случаях, когда для организации хранилища данных используется архитектура SAN, применение программных средств защиты также невозможно. Например, при процедуре serverless backup данные копируются по сети SAN непосредственно с дискового массива на ленточную библиотеку, без участия каких-то дополнительных устройств или ПО.

В этих, а также в ряде других ситуаций более уместно применение аппаратных средств защиты хранилищ данных.

Аппаратные средства защиты - это различные электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т. Д.

Основные функции аппаратных средств защиты:

- запрещение несанкционированного (неавторизованного) внешнего доступа (удаленного пользователя, злоумышленника) к работающей автоматизированной информационной системе;

- запрещение несанкционированного внутреннего доступа к отдельным файлам или базам данных информационной системы, возможного в результате случайных или умышленных действий обслуживающего персонала;

- защита активных и пассивных (архивных) файлов и баз данных, связанная с необслуживанием или отключением автоматизированной информационной системы;

- защита целостности программного обеспечения.

Эти задачи реализуются аппаратными средствами защиты информации с использованием метода управления доступом (идентификация, аутентификация и проверка полномочий субъектов системы, регистрация и реагирование).

Разработка и производство устройств защиты хранилищ данных - достаточно новая сфера информационной безопасности. Тем не менее разработчикам и производителям таких устройств удалось добиться впечатляющих результатов и продемонстрировать свое инженерное искусство.

Например, устройство защиты хранилищ данных DataFort, выпускаемое компанией Decru представляет собой устройство в стоечном формате 1U или 2U, которое может подключаться к сети Ethernet или Fibre Channel. Устройство может шифровать данные, которые хранятся на устройствах NAS или SAN и на магнитных лентах.

Основной компонент устройства - специально сконструированный криптопроцессор SEP (Storage Encryption Processor), который обеспечивает шифрование со скоростью несколько гигабит в секунду и надежное хранение ключей шифрования.

Для шифрования разделов данных, каталогов и даже отдельных файлов можно использовать различные ключи, которые называются рабочими. Рабочие ключи шифрования хранятся непосредственно в защищенном хранилище SEP и никогда не покидают его пределов в открытом виде.

Резервные копии рабочих ключей хранятся на выделенной рабочей станции под управлением Windows (рис. 2), на которой установлено ПО Lifetime Key Management (LKM). Резервное копирование осуществляется по протоколу TCP/IP, причем рабочие ключи зашифрованы мастер-ключом устройства DataFort. Мастер-ключ вводится в устройство при его инициализации, перед вводом в эксплуатацию, и хранится на смарт-картах с использованием схемы кворума ключей 2/3, 2/5 или 3/5. Мастер-ключ требуется только при инициализации нового устройства, для загрузки в него конфигурации и рабочих ключей из LKM. В остальное время смарт-карты с мастер-ключом не нужны и могут храниться у доверенных лиц в надежном месте.

Рис. 2 Пример развертывания устройства DataFort

Для защиты данных в сетях SAN используется оригинальная идея разбиения хранилища на криптографические разделы Cryptainer, информация на которых может шифроваться разными ключами для разных групп пользователей. Это позволяет решить одну из главных проблем защиты данных и разграничения доступа в хранилищах SAN, которая заключается в том, что информация для разных групп пользователей и разного уровня конфиденциальности хранится на одном устройстве.

Таким образом, устройство DataFort полностью прозрачно как для хранилищ данных, так и для клиентов, и не требует никаких изменений в ПО на клиентских и серверных местах. По сути, DataFort выступает в роли своеобразного прокси, представляясь хранилищем данных для клиентов и клиентом - для хранилищ данных. С целью повышения надежности и производительности системы несколько устройств DataFort (до 32) можно объединить в кластер.

Увы, у аппаратных средств защиты хранилищ данных есть один, но очень серьезный недостаток - довольно высокая стоимость. В сравнении с программными средствами стоимость аппаратных устройств выше в 10-20 раз, а если учитывать дополнительные расходы на приобретение и внедрение таких устройств - то и больше. Таким образом, позволить себе подобную роскошь могут лишь довольно крупные компании, для которых затраты свыше 100 тыс. долл. Только на защиту хранилищ данных будут оправданны.

Выводы:

1. Информационная безопасность - защита конфиденциальности, целостности и доступности информации.

Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.

Целостность: неизменность информации в процессе ее передачи или хранения.

Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

2. Методами обеспечения защиты информации являются следующие: препятствие, управление доступом, маскировка, регламентация, принуждение и побуждение.

В настоящее время ряд операционных систем изначально содержит встроенные средства блокировки «повторного использования». Для других типов операционных систем существует достаточно много коммерческих программ, не говоря уже о специальных пакетах безопасности, реализующих аналогичные функции. Применение избыточных данных направлено на предотвращение появления в данных случайных ошибок и выявление неавторизованных модификаций. Это может быть применение контрольных сумм, контроль данных на чет-нечет, помехоустойчивое кодирование и т. Д.

3. Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.

4. Часто практикуется хранение в некотором защищенном месте системы сигнатур важных объектов системы. Например, для файла в качестве сигнатуры может быть использовано сочетание байта защиты файла с его именем, длиной и датой последней модификации. При каждом обращении к файлу или в случае возникновения подозрений текущие характеристики файла сравниваются с эталоном.

Свойство ревизуемости системы контроля доступа означает возможность реконструкции событий или процедур. Средства обеспечения ревизуемости должны выяснить, что же фактически случилось. Здесь речь идет о документировании исполняемых процедур, ведении журналов регистрации, а также о применении четких и недвусмысленных методов идентификации и проверки.

5. Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля.

6. Следует отметить, что задачу контроля доступа при одновременном обеспечении целостности ресурсов надежно решает только шифрование информации. Если информация зашифрована, даже попадание носителя информации в руки злоумышленнику не приведет к утечке информации, если у него нет ключа шифрования.

Использование шифрования, как ни странно это может показаться, весьма эффективно для уничтожения информации. Если зашифровать информацию, а ключ шифрования уничтожить, то при должной длине и качестве ключа и надежном алгоритме шифрования восстановить данные будет невозможно, поскольку зашифрованные данные без ключа - просто мусор. Таким образом, в некоторых приложениях, требующих специального регламента по уничтожению информации на носителях, часто бывает достаточно зашифровать данные и уничтожить в случае чего ключ шифрования, тем более что несколько десятков байт уничтожить существенно проще, чем несколько сотен гигабайт. Это может быть «мягкой» альтернативой или дополнением к специальным устройствам для уничтожения информации, после срабатывания которых носитель информации, как правило, приходит в негодность.

Заключение

Ценность любой информационной сети, прежде всего, определяется ее информационными ресурсами, то есть знаниями, программами, данными, которые сеть предоставляет пользователям. Эти ресурсы должны как можно шире охватывать те области, в которых работают пользователи сети. Вся современная обработка информации рассчитана на использование информационных банков, поэтому пользователи должны иметь в информационной сети доступ к ним.

Также в последнее время стала проблема защиты информации при передаче её по сетям и хранении. Эту проблему пытается решить криптография. Криптография - наука о защите информации от прочтения ее посторонними. Защита достигается шифрованием, т.е. преобразованием, которые делают защищенные входные данные труднораскрываемыми по входным данным без знания специальной ключевой информации - ключа. Выбор методов криптографической защиты информации для конкретных информационных систем должен быть основан на глубоком анализе слабых и сильных сторон тех или иных методов защиты. Обоснованный выбор той или иной системы защиты должен опираться на какие-то критерии эффективности. К сожалению, до сих пор не разработаны подходящие методики оценки эффективности криптографических систем.

Наиболее простой критерий такой эффективности - вероятность раскрытия ключа или мощность множества ключей. По сути это то же самое, что и криптостойкость. Для ее численной оценки можно использовать также и сложность раскрытия шифра путем перебора всех ключей.

В столь важной задаче, как обеспечение безопасности информационной системы, нет и не может быть полностью готового решения. Это связано с тем, что структура каждой организации, функциональные связи между ее подразделениями и отдельными сотрудниками практически никогда полностью не повторяются. Только руководство организации может определить, насколько критично нарушение безопасности для компонент информационной системы, кто, когда и для решения каких задачах может использовать те или иные информационные сервисы.

Несмотря на свою специфику, система защиты организации должна быть продолжением общего комплекса усилий, направленных на обеспечение безопасности информационных ресурсов. Защита информации, опознание и ограничение к ней доступа - это комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если необходимо, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных. Комплексный характер проблемы защиты говорит о том, что для ее решения необходимо сочетание законодательных, организационных и программно-технических мер.

Основными функциями системы защиты по преграждению несанкционированного доступа людей к ресурсам вычислительных систем являются, прежде всего, идентификация и подтверждение подлинности пользователей при доступе в вычислительную систему, а также разграничение их доступа к компьютерным ресурсам. Важную роль играет также функция корректного завершения сеанса работы пользователей, предотвращающая возможность реализации угрозы маскировки под санкционированного пользователя вычислительной системы.

Системой защиты по отношению к любому пользователю с целью обеспечения безопасности обработки и хранения информации должны быть предусмотрены следующие этапы допуска в вычислительную систему:

1. идентификация;

2. установление подлинности (аутентификация);

3. определение полномочий для последующего контроля и разграничения доступа к компьютерным ресурсам (авторизация).

Данные этапы должны выполняться и при подключении к компьютерной системе (КС) таких устройств, как удаленные рабочие станции и терминалы.

Список литературы

1. Белов Е.Б., Лось В.П., Мещеряков Р.В. Основы информационной безопасности: Учебное пособие. М.: Изд-во Горячая линия - Телеком, 2006.

2. Белозеров О.И. Информационные технологии управления: Учебное пособие. - Хабаровск: РИЦ ХГАЭП, 2005. - 178 с.

3. Григорьев В.В., Острина И.А., Руднев А.В. Управление муниципальной недвижимостью: Учебн.-практ. Пособие. - М.:Дело, 2005.

4. Громов Р.Г. Национальные информационные ресурсы. Проблемы промышленного использования - М.: Наука, 2002 - 364 с. - ISBN 5 - 64037 - 836 - 7.

5. Мельников В.П. Информационная безопасность. Учебное пособие. М.: Издательский центр, «Академия», 2005. 336.

6. Мелюхин И.С. Информационное общество: истоки, проблемы, тенденции развития. - М.: МГУ, 2006 - 530 с. - ISBN 5 - 62056 - 648 - 7.

7. Меняев М.Ф. Информационные технологии управления. / М.Ф. Меняев. - М.: Омега-Л, 2007.

8. Могилев А.В. Информатика - М.: Издательский центр «Академия», 2005, 438 с. - ISBN 5 - 64896 - 936 - 6.

9. Петросян Е. Р. Информационные технологии и менеджмент. Практика и перспективы стандартизации : информ.-справ. Издание для ИТ-менеджеров / - М., 2006. - 171 с.

10. Рябко Б.Я., Фионов А.Н. Криптографические методы защиты информации: Учебное пособие. М.: Изд-во Горячая линия - Телеком, 2005. 229 с.

11. Саак А.Э., Пахомов Е.В., Тюшняков В.Н. Информационные технологии управления: Учебник для вузов. - СПб.: Питер, 2005. - 320 с. - (Серия «Учебник для вузов»)

12. Титоренко Г.А. Информационные технологии управления: Учеб. Пособие для вузов /Под ред. Проф. Г.А. Титоренко. -- 2-е изд., доп. - М.: ЮНИТИ-ДАНА, 2005. - 439 с.

13. Угринович Н.Д. Информатика и информационные технологии. / Н. Д. Угринович. - М.: Бином, 2007.

14. Уткин В.Б. Информационные системы в экономике. - М.: Издательский центр «Академия», 2006, 645 с.

15. Хорев А.А. Способы и средства зашиты информации. - М.: МО РФ, 2007. - 316 с.

16. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации. Украина: Изд-во Юниор, 2003. 504 с.

17. Яковлев А.В., Безбогов А.А., Родин В.В., В.Н. Шамкин. Криптографическая защита информации : учебное пособие / - Тамбов : Изд-во Тамб. Гос. Техн. Ун-та, 2006. - 140 с.

Приложение 1

Схема идентификации и аутентификации пользователя

Приложение 2

Использование симметричного метода шифрования

Приложение 3

Использование ассиметричного метода шифрования

Размещено на Allbest.ru