Защита информации в вычислительных сетях

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ЗАЩИТА ИНФОРМАЦИИ В  ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ

 

 

 

 

 

 

 

 

 

 

 

 

 

СОДЕРЖАНИЕ

 

 

 

 

 

 

 

 

 

 

 

 

 

ВВЕДЕНИЕ

Интенсивное развитие новых информационных технологий стимулировало и такие негативные процессы, как промышленный шпионаж, компьютерные преступления и несанкционированный доступ (НСД) к секретной и конфиденциальной информации. Поэтому в последнее время чрезвычайно актуальной задачей государства и организаций является информационная защита. Необходимость в защите информации в России способствовала созданию Государственной системы защиты информации (ГСЗИ) и развитию правовой составляющей информационной безопасности.

Защита информации призвана предотвращать ущерб от хищения, утраты, искажения, подделки информации в любом её виде. Мероприятия по информационной защите требуется осуществлять в обязательном соответствии с действующими законами и нормативными документами по информационной безопасности, интересами конкретных пользователей. При этом для обеспечения высокого уровня защиты информации необходимо постоянно решать сложные научно-технические задачи разработки и совершенствования методов и инструментов защиты.

Большинство современных компаний независимо от рода деятельности и форм собственности не может успешно осуществлять хозяйственную и иную деятельность без использования системы защиты собственной информации, которая объединяет организационно-нормативные меры и технические средства контроля безопасности при обработке, хранении и передачи информации в различных системах.

Целью моей работы является рассмотрение основных методов и средств информационной защиты в вычислительных сетях, как аппаратных, так и программных.

1 Аппаратная защита информации в вычислительных сетях

В источниках по информационной безопасности приводится следующая классификация средств информационной защиты: средства защиты от несанкционированного доступа (НСД), которые представляют собой средства авторизации, мандатное и избирательное управление доступом, управление доступом на основе ролей, журналирование (Аудит); системы анализа и моделирования информационных потоков (CASE-системы); системы мониторинга сетей, в том числе системы обнаружения и предотвращения вторжений (IDS/IPS), системы предотвращения утечек конфиденциальной информации (DLP-системы); анализаторы протоколов; антивирусные средства; межсетевые экраны; криптографические средства, например, шифрование, цифровая подпись; системы резервного копирования; системы бесперебойного питания; генераторы напряжения; системы аутентификации такие как пароль, ключ доступа (физический или электронный), сертификат, биометрия; средства предотвращения взлома и краж оборудования; средства контроля доступа в помещения; инструментальные средства анализа систем защиты¹.

1.1 Экранирование

Экранирование электромагнитных волн является одним из наиболее существенных средств защиты от утечки информации по техническим каналам.

Экранирование представляет собой локализация электромагнитной энергии в рамках какого-либо пространства преграждением её распространения². Например, развязывающий фильтр – это устройство, которое ограничивает распространение помехи по общей для источника и приемника наводки линиям связи.

Использование качественных экранов даёт возможность решать многие проблемы, из которых можно  выделить проблемы защиты информации в помещениях и технических каналах, проблемы электромагнитной совместимости устройств при их одновременном применении, проблемы защиты людей от повышенного уровня электромагнитных полей и создание благоприятной экологической обстановки около работающих электроустановок и СВЧ-устройств.

В общем случае под  экранированием можно понимать и  защиту устройств от влияния внешних полей, и локализацию излучения каких-либо средств³. Во всяком случае, эффективность экранирования характеризуется степенью уменьшения силы составляющих поля (электрической или магнитной) при отсутствии и наличии экрана.

Экранироваться могут не только отдельные блоки аппаратуры и их соединительные линии, но и помещения в целом (рисунок 1)⁴.

Рисунок 1 – Схема экранированного  помещения

1.2 Безопасность оптоволоконных кабельных систем

Несмотря на многочисленные достоинства оптоволоконных кабелей и их высокую помехозащищённость, они также имеют недостатки, основным из которых является возможность утечки информации за счёт побочного электромагнитного излучения и наводок (ПЭМИН) в радиочастотном и в оптическом диапазонах.

Для предотвращения атак злоумышленников, которые снабжены специальной техникой, можно применять внутренние силовые металлические конструкции оптоволоконных кабелей в роли сигнальных проводов. При этом без нарушения целостности силовых конструкций будет невозможен доступ к оптоволоконному кабелю. А нарушение целостности вызовет срабатывание в центре контроля за оптоволоконной системой сигнализирующих устройств. Для реализации подобной охранной системы практически не требуется дополнительного оборудования.

Также к проблемам  оптоволоконного кабеля можно отнести небольшую механическую прочность и долговечность в сопоставлении, например, с электрическим кабелем и уменьшение чувствительности при влиянии ионизирующих излучений. Однако при хорошем заземлении экранирование не только снижает на несколько порядков собственные излучения кабелей, но и уменьшает электрический потенциал корпусов активных устройств⁵.

1.3 Фильтрация сигналов

Одним из методов устранения опасных сигналов, которые циркулируют в аппаратных средствах и системах обработки информации, служит фильтрация сигналов. Фильтрация в источниках электромагнитных полей и наводок производится для создания препятствия к распространению нежелательных электромагнитных колебаний за пределы источника опасного сигнала.

В цепях питания для фильтрации сигналов применяют разделительные трансформаторы и помехоподавляющие фильтры.

Разделительные трансформаторы предназначены для:

• разделения по цепям питания источников и приёмников наводки, если они подсоединены к одним и тем же цепям переменного тока;

• устранение ассиметричных наводок;

• ослабление симметричных наводок на вторичную обмотку.

Помехоподавляющие фильтры  вызывают уменьшение воздействия нелинейных сигналов в разных участках частотного диапазона. Их основное значение заключается в пропускании без ослабления сигналов с частотами в рабочей полосе, и подавлять сигналы за пределами рабочей полосы.

Некоторые образцы и  их характеристики сетевых помехоподавляющих  фильтров отечественного производства⁶ представлены на рисунке 2.

Рисунок 2 – Примеры сетевых фильтров

1.4 Системы линейного зашумления

Для маскировки наведённых опасных сигналов в посторонних  проводниках и соединительных линиях, которые выходят за рамки зоны контроля, используются системы линейного зашумления.

В самом простом виде в качестве системы линейного зашумления применяется генератор шумового сигнала, который создаёт с заданными спектральными, временными и энергетическими характеристиками шумовое маскирующее напряжение. В практическом смысле подобные системы наиболее часто применяются для зашумления линий электропитания (осветительной и розеточной сети).

Например, генератор шума по сети электропитания IMPULSE (рисунок 3)⁷ предназначен для блокирования каналов несанкционированного съёма информации из помещений по сети 220 В/50 Гц и линиям заземления. Он предназначен для нейтрализации аппаратуры, которая в роли канала передачи сигналов использует сеть электропитания.

Рисунок 3 – Сетевые  генераторы шума

1.5 Способы предотвращения утечки информации через побочные электромагнитные излучения и наводки персонального компьютера

В качестве технических  мер исключения возможностей перехвата  информации за счёт ПЭМИН ПК можно назвать следующие способы:

• доработка средств вычислительной техники для снижения уровня излучений;
• электромагнитное экранирование помещений, где  установлена вычислительная техника;
• активная радиотехническая маскировка (зашумление).

Доработка средств вычислительной техники производится организациями, которые имеют лицензии Гостехкомиссии России. При применении разнообразных радиопоглощающих материалов и схемотехнических решений уровень излучений вычислительной техники значительно уменьшается.

Посредством активной радиотехнической маскировки создаётся и  непосредственно вблизи от вычислительной техники излучается маскирующий сигнал.

При этом возможности  энергетической активной маскировки могут  быть в полной мере реализованы лишь тогда, когда уровень излучений  персонального компьютера значительно меньше норм на допускаемые радиопомехи от вычислительной техники. В ином случае средство активной энергетической маскировки создаёт помехи разным радиоустройствам, которые находятся вблизи от защищаемого компьютера. При этом необходимо согласование его установки со службой радиоконтроля.

Генераторы шума, приведённые  на рисунке 4, реализуются в виде отдельной платы, которая встраивается в свободный слот системного блока компьютера, и питается от его системной шины⁸.

Рисунок 4 – Генераторы шума Ш-К-1000

 

 

 

2 Программно-техническая защита информации

2.1 Идентификация и аутентификация

Идентификацию и аутентификацию называют основой программно-технических средств безопасности, так как другие сервисы безопасности предназначены для обслуживания уже именованных субъектов. Идентификация и аутентификация представляют собой первый эшелон обороны, так называемую «проходную» пространства вычислительной сети.

Идентификация даёт возможность субъекту, например, пользователю или процессу, который действует от имени пользователя, назвать себя, то  есть сообщить своё имя. При помощи аутентификации противоположная сторона получает сведения, что субъект действительно является тем, за кого себя выдаёт. Аутентификация нередко называется «проверкой подлинности».

Однако в вычислительных сетях  надёжная идентификация и аутентификация по некоторым принципиальным причинам затруднена.

Во-первых, вычислительная сеть базируется на информации в том виде, в каком она получена, иными словами, источник информации является неизвестным. К примеру, злоумышленник мог применить чужие перехваченные данные. Таким образом, важно принимать меры для безопасного ввода и передачи идентификационных и аутентификационных данных, а в сетях это сопряжено с определёнными специфическими трудностями.

Во-вторых, практически все аутентификационные данные можно узнать, украсть или подделать.

В-третьих, существует некоторое противоречие между надёжностью аутентификации и удобствами пользователя и системного администратора. Например, с точки зрения безопасности нужно с определённой частотой получать от пользователя повторно аутентификационные данные, поскольку его местом мог воспользоваться другой человек, а это повышает риск подглядывания за вводом.

В-четвёртых, чем надёжнее средство защиты, тем оно дороже.

Поэтому нужно находить компромисс между надёжностью, доступностью по стоимости и удобством применения и администрирования средств идентификации и аутентификации. Компромисс, как правило, достигается при сочетании двух первых из перечисленных основных механизмов проверки подлинности.

Самым распространённым инструментом аутентификации служат пароли⁹. Система сопоставляет введённый и заданный для конкретного пользователя пароль. Когда они совпадают, подлинность пользователя является доказанной. Другим постепенно набирающим популярность и обеспечивающим большую эффективность инструментом являются секретные криптографические ключи пользователей.

Основным достоинством парольной аутентификации является простота и привычность. Пароли встроены в операционные системы и другие сервисы. Пароли при правильном применении могут обеспечить достаточную для большинства пользователей степень безопасности. Однако по набору характеристик их можно назвать и наиболее слабым средством проверки подлинности¹⁰. Надёжность паролей обеспечивается способностью хранить их в тайне. Но ввод пароля можно подсмотреть, пароль можно угадать методом подбора. Зашифрованный файл паролей, доступный на чтение, можно скопировать и запрограммировать полный перебор.

Пароли являются уязвимыми и к электронному перехвату. Эта уязвимость является наиболее существенным недостатком, который невозможно устранить улучшением администрирования или обучением пользователей. Практически единственный выход состоит в применении криптографии для шифрования паролей перед передачей по линиям связи или в отсутствии их передачи.

Но есть меры, которые позволяют существенно повысить надёжность парольной защиты:

• технические ограничения, например, пароль не должен быть коротким, должен включать буквы, цифры, знаки пунктуации и т.д.;
• управление сроком действия паролей и периодическая их замена;
• ограничение доступа к файлу паролей;
• ограничение количества неудачных попыток ввода пароля, что затруднит использование метода подбора;
• обучение пользователей;
• применение программных генераторов паролей.