Защита информационных систем

В системах с засекречиванием решаются не вопросы  ограничения доступа программ к  информации, а осуществляется контроль над дальнейшим использованием полученной информации. Например, в системе  использования грифов секретности на документах гриф служит уведомлением о мере контроля. В СОД эта схема защиты используется редко. Отличительная особенность рассмотренных схем защиты - их динамичность, т.е. возможность ввода и изменения правил доступа к данным в процессе работы системы. Однако, обеспечение динамичности схем защиты значительно усложняет их реализацию. Вопросы организации защиты информации должны решаться уже на предпроектной стадии разработки СОД. Следует учитывать, что инфильтрация в систему будет возрастать с ростом значения доступа к информации ограниченного доступа. Именно на этой стадии необходимо четко представлять возможности потенциального нарушителя с тем, чтобы излишне не "утяжелить" систему. Опыт проектирования систем защиты еще недостаточен. Однако уже можно сделать некоторые обобщения. Погрешности защиты могут быть в значительной мере снижены, если при проектировании учитывать следующие основные принципы построения системы защиты.

1. Простота  механизма защиты. Этот принцип  общеизвестен, но не всегда глубоко осознается. Действительно, некоторые ошибки, не выявленные в ходе проектирования и реализации, позволяют найти неучтенные пути доступа. Поэтому необходимо тщательное тестирование программного или схемного аппарата защиты, но на практике такая проверка возможна только для простых и компактных схем.

2. В  механизме защиты разрешения  должны преобладать над запретами.  А это означает, что в нормальных  условиях доступ должен отсутствовать  и для работы схемы защиты  необходимы условия, при которых доступ становится возможным. Кроме того считается, что запрет доступа при отсутствии особых указаний обеспечивает высокую степень надежности механизма защиты. Ошибка в схеме защиты, основанной на использовании разрешений, приводит к расширению сферы действия запретов. Эту ошибку легче обнаружить, и она не нарушит общего статуса защиты.

3. Контроль  должен быть всеобъемлющим. Этот  принцип предполагает необходимость  проверки полномочия любого обращения  к любому объекту и является  основой системы защиты. Задача управления доступом с учетом этого принципа должна решаться на общесистемном уровне и для таких режимов работы, как запуск, восстановление после сбоя, выключение и профилактическое обслуживание. При этом необходимо обеспечить надежное определение источника любого обращения к данным.

4. Механизм  защиты может не засекречиваться,  т.е. не имеет смысла засекречивать  детали реализации системы защиты, предназначенной для широкого  использования. Эффективность защиты  не должна зависеть от того, насколько опытны потенциальные нарушители, так как гораздо проще обеспечить защиту списка паролей (ключей). Отсутствие же связи между механизмом защиты и паролями позволяет сделать при необходимости схемы защиты предметом широкого обсуждения среди специалистов, не затрагивая при этом интересы пользователей.

5. Разделение  полномочий, т.е. применение нескольких  ключей защиты. В СОД наличие  нескольких ключей защиты удобно  в тех случаях, когда право  на доступ определяется выполнением  ряда условий. 

6. Минимальные  полномочия. Для любой программы и любого пользователя должен быть определен минимальный круг полномочий, необходимых для выполнения порученной работы. Благодаря этим действиям в значительной мере уменьшается ущерб, причиняемый при сбоях и случайных нарушениях. Кроме того, сокращение числа обменов данными между привилегированными программами до необходимого минимума уменьшает вероятность непреднамеренного, нежелательного или ошибочного применения полномочий. Таким образом, если схема защиты позволяет расставить "барьеры" в системе, то принцип минимальных полномочий обеспечивает наиболее рациональное расположение этих "барьеров".

7. Максимальная  обособленность механизма защиты. В целях исключения обменов  информацией между пользователями  при проектировании схемы защиты  рекомендуется сводить к минимуму число общих для нескольких пользователей параметров и характеристик механизма защиты. Несмотря на то, что функции операционной системы разрешения доступа перекрываются, система разрешения доступа должна конструироваться как изолированный программный модуль, т.е. защита должна быть отделена от функций управления данными. Выполнение этого принципа позволяет программировать систему разрешения доступа как автономный пакет программ с последующей независимой отладкой и проверкой. Пакет программ должен размещаться для работы в защищенном поле памяти, чтобы обеспечить системную локализацию попыток проникновения извне. Даже попытка проникновения со стороны программ операционной системы должна автоматически фиксироваться, документироваться и отвергаться, если вызов выполнен некорректно. Естественно, что в результате реализации обособленного механизма защиты могут возрасти объемы программы и сроки на ее разработку, возникнуть дублирование управляющих и вспомогательных программ, а также необходимость в разработке самостоятельных вызываемых функций.

8. Психологическая  привлекательность. Схема защиты  должна быть в реализации простой.  Естественно, чем точнее совпадает  представление пользователя о  схеме защиты с ее фактическими  возможностями, тем меньше ошибок возникает в процессе применения. Использование некоторых искусственных языков при обращении к схеме защиты обычно служит источником дополнительных ошибок. 

5. Анализ сохранности информационных систем.

Анализ  сохранности информационных систем основывается на постоянном изучении протоколов (как машинных, так и ручных), проверке аварийных сигнализаторов и других устройств. Важным фактором является также и то, что такой обзор поддерживает интерес к вопросам обеспечения сохранности.

За проведение анализа отвечает сотрудник, занимающийся вопросами обеспечения сохранности. Приборы аварийной сигнализации должны проверяться достаточно часто, но в случайные моменты времени. К их числу относятся детекторы огня и дыма, датчики влажности и температуры, аппаратура сигнализации при попытках проникновения в помещение, устройства физического контроля доступа, дверная сигнализация и другие аналогичные приборы. проводится также проверка состояния противопожарного оборудования, доступа к аварийным выходам и системам отключения электро-, водо- и теплоснабжения. Еженедельно проверяется исправность устройств и линий связи. Осматривается также пространство под технологическим полом и другие полости, в которых могут накапливаться отходы, создающие опасность самовозгорания, или вода при ее утечках. По проводимым работам ведется протокол проверки, каждая запись которого сопровождается замечаниями об отклонениях. Зарубежные специалисты считают, что этой работе должно отводиться около одного часа в неделю.

Другая  важная и регулярная работа связана с изучением ручных и машинных протокольных записей. результаты регулярных проверок протоколов должны оформляться по определенному образцу с тем, чтобы не пропустить какой-либо вид проверки. Рекомендуется тщательно исследовать любые подозрительные тенденции и отклонения от принятых стандартов в работе.

Более того, описанные операции сами по себе являются объектом, сохранность которого необходимо обеспечить, поэтому должно быть выделено специальное помещение  с терминалом, на котором выполняются только работы по обеспечению сохранности.

Побочным  продуктом анализа сохранности  может оказаться статистическая оценка эффективности использования  оборудования организации и оценка эффективности работы пользователей. На основе результатов проверки проводятся еженедельные совещания руководителей организации, на котором заслушивается сообщение сотрудника, ответственного за обеспечение сохранности. Такие совещания позволяют оценить усилия по защите и выработать дополнительные рекомендации по совершенствованию принятых методов обеспечения сохранности.

Следует анализировать все возможности  нарушения сохранности и отыскивать средства борьбы с ними. Если стандартные  процедуры не выполняются, то повторяют  инструктаж с целью выполнения этих процедур. Кроме обычных регулярных проверок, описанных выше, сотрудник, ответственный за обеспечение сохранности, обязан выполнять тестовый контроль проверки аппаратуры и программного обеспечения. Результаты тестирования фиксируются в специальном журнале. Это требует некоторых затрат ручного труда и машинного времени. В СОД, в которых уровень обеспечения сохранности высок, тестирование должно проводиться более часто и по возможности автоматически. Результаты тестирования также анализируются сотрудником, ответственным за обеспечение сохранности. 

6. Комплексная защита информации в персональных ЭВМ.

По статистике более 80% компаний и агентств несут  финансовые убытки из-за нарушения  безопасности данных.

Многие  фирмы сейчас занимаются разработкой  различных антивирусных программ, систем разграничения доступа к данным, защиты от копирования и т.д. Объясняется это сравнительной простотой разработки подобных методов и в то же время достаточно высокой их эффективностью.

Рассмотрим  основные механизмы реализации конкретных программных средств защиты информации.

Программы-идентификаторы служат для контроля входа в ЭВМ, аутентификации пользователя по вводу  пароля и разграничения доступа  к ресурсам ЭВМ. Под идентификацией пользователя понимается процесс распознавания конкретного субъекта системы, обычно с помощью заранее определенного идентификатора; каждый субъект системы должен быть однозначно идентифицируем. А под аутентификацией понимается проверка идентификации пользователя, а также проверка целостности данных при их хранении или передаче для предотвращения несанкционированной модификации.

При загрузке с накопителя на жестком магнитном  диске система BIOS выполняет считывание 1го сектора 0-го цилиндра 0-ой дорожки. Этот сектор называется "Главная загрузочная запись" - Master boot record /МВR/. Обычно программа, записанная в МВR, загружает запись BOOT RECORD /BR/ активного раздела. Однако можно использовать МВR для организации контроля входа в ПЭВМ. Так как размер программы МВК невелик, то на нее можно возложить очень ограниченные функции. Например, можно попробовать "уложить" в нее вместе с основной функцией и программу проверки пароля.

Однако  эффективней использовать МВR для  загрузки другой, большей по объему программы. При применении стандартной разбивки НЖМД на разделы с помощью программы FDISK сектора с номером, больше или равным 3, 0-ой дорожки 0-го цилиндра не используются, поэтому их можно применить для хранения большей по объему программы, выполняющей функции контроля. Помимо этого в записи МВR хранится первичная таблица описателей логических дисков. Изменение этой таблицы позволяет предотвратить доступ к логическому диску (разделу) на уровне системы DOS при загрузке с дискеты. Первый сектор активного раздела содержит загрузочную запись ВК, осуществляющую загрузку операционной системы. В начале этой записи содержится таблица параметров логического диска. BR может использоваться для загрузки не операционной системы, а некоторой другой программы, реализующей разграничения доступа. Эта программа в свою очередь должна в конце своей работы загрузить операционную систему. Объем ВR достаточен для размещения программы, реализующей загрузку произвольного файла из корневого каталога логического диска. Модификация таблицы параметров некоторого логического диска может использоваться и для предотвращения доступа к этому логическому диску при загрузке ЭОБ с дискеты.

Примером  программ такого рода является система SHIELD, которая состоит из 2-х файлов: sset.com и sswith.com При первой установке системы файл sset.com копирует оригинальный МВR во 2-ой сектор 0-ой дорожки нулевого цилиндра, а в первом секторе оставляет модифицированный вариант МВR, который перед загрузкой DOS запрашивает пароль. Если пароль неверен, то жесткий диск оказывается недоступен. Для снятия защиты используется файл sswitch.com, который возвращает на место оригинальный сектор с МВR. Программы такого рода целесообразно использовать для защиты компьютера без НГМД, так как при загрузке с дискеты можно беспрепятственно читать и копировать данные с НЖМД.

Кроме того, для профессионала подобная защита не представляет серьезных затруднений. В стандартной среде DOS в качестве командного процессора используется COMMAND.СОМ. Однако система допускает установку другого командного процессора по команде SHELL в файле СОМГ10.БУБ. С помощью нового командного процессора можно разрешить запуск только определенных программ и запретить запуск других.

Написание нового командного процессора - задача достаточно сложная и не всегда оправданная, так как возможно решение тех же самых задач более простыми способами (написание драйвера или программы, запускаемой из файла AUTOEXEC. ВАТ). Пример командного процессора - файл PWLOAD.СОМ, разработанный 2В Рrogrammers Groups. Эта программа запрашивает пароль и, если он набран неверно, то работа ЭВМ блокируется.