Комплексная защита информации

Комплексная защита информации

© Панасенко Сергей, 2001.

Хранение и  обработка на персональном компьютере любой конфиденциальной информации делает актуальной задачу ее защиты от несанкционированного доступа со стороны  третьих лиц. В большинстве операционных систем, систем электронного документооборота и СУБД данная задача так или иначе решена различными встроенными средствами разграничения доступа. Однако, большое количество сообщений о взломах встроенных в ОС/СУБД подсистем безопасности доказывает необходимость использования специальных средств криптографической защиты информации. О принципах построения и использования таких средств и пойдет речь в данной статье.

Простейший способ защиты электронных документов-файлов – их шифрование. Шифрование - это  процесс преобразования открытых данных в закрытые (зашифрованные) по определенному криптографическому алгоритму с использованием секретного ключевого элемента – ключа шифрования (см. рис. 1). Соответственно, для последующего расшифрования зашифрованного файла к нему необходимо применить обратную криптографическую процедуру – расшифрование.

Таким образом, необходимо хранить электронный  документ в зашифрованном виде, а  перед каждым использованием расшифровывать его (и снова зашифровывать по окончании сеанса работы, если документ был изменен). Существует целый ряд программных продуктов, позволяющих выполнять данные операции над выбранными файлами. Однако, стоит признать, что вручную делать это, во-первых, неудобно, а во-вторых, опасно тем, что многократно повторямые операции существенно повышают риск ошибки – результатом может явиться, например, появление важного документа в открытом виде. Намного удобнее и безопаснее системы, позволяющие выполнять данные операции автоматически – системы прозрачного шифрования данных. Термин “прозрачное шифрование” означает, что операции зашифрования и расшифрования данных выполняются автоматически, не требуя какого-либо вмешательства пользователя. Единственное, что нужно сделать пользователю, - это предъявить в нужный момент свой ключ шифрования (это может быть специальная ключевая дискета или смарт-карта, а также просто набираемый на кливиатуре пароль), без которого система не сможет расшифровать его данные. Такие системы могут шифровать, например, логические диски или каталоги, на которых хранится конфиденциальная информация. Пользователю достаточно один раз указать системе область шифрования (т.е., набор логических дисков и/или каталогов), после чего вся записываемая в указанную область информация будет автоматически зашифровываться.

На первый взгляд, система прозрачного шифрования полностью решает проблему обеспечения  конфиденциальности информации. Однако, стоит рассмотреть следующую  последовательность действий злоумышленника:

1. Некий злоумышленник имеет доступ к компьютеру, на котором обрабатывается конфиденциальная информация.
2. Злоумышленник создает небольшой программный модуль, который отслеживает обращения к ключевой дискете, перехватывает и фиксирует (записывает) где-либо ключевую информацию.
3. При следующем своем визите на чужой компьютер злоумышленник, используя полученные ключи, получает доступ ко всей конфиденциальной информации.

Защита ключевой информации паролем в этом случае не спасает, поскольку пароль можно  аналогичным образом перехватить при его вводе. 
Отсюда следует, что решение задачи защиты конфиденциальности информации с помощью систем прозрачного шифрования не является абсолютно надежным. Использование системы прозрачного шифрования должно сопровождаться одной из следующих мер:

1. Организационные мероприятия по разграничению доступа на компьютер, например, ограничение доступа посторонних лиц в помещения, в которых стоят компьютеры, содержащие важную информацию.
2. Использование системы ограничения доступа к компьютеру.
3. Использование аппаратного шифратора вместо программного, обеспечивающего прямой ввод ключей в устройство.

Использование организационных мер лежит за рамками данной статьи, поэтому рассмотрим подробно только два последних пункта.

Системы ограничения  доступа позволяют гарантированно блокировать загрузку операционной системы компьютера в случае, если пользователь при входе не предъявил определенный набор ключевых элементов. Наиболее надежную систему ограничения доступа можно построить только с использованием какого-либо аппаратного средства, которое содержит некую программную среду, гарантированно свободную от навязанного злоумышленником программного обеспечения для перехвата ключевой информации (так называемых “закладок”). В этом случае при загрузке компьютера, до загрузки непосредственно операционной системы, аппаратное средство ограничения доступа (СОД) перехватывает управление и выполняет, например, следующую последовательность действий:

1. Анализ наличия ключей и их проверка на корректность (т.е., СОД содержит, например, список пользователей, которым разрешен вход на данный компьютер).
2. Отказ пользователю в загрузке компьютера или загрузка ОС компьютера в зависимости от результатов выполнения п.1.

Обычно СОД  также выполняют ряд дополнительных действий, усиливающих защиту компьютера, например, следующие:

1. Контроль целостности важных файлов операционной системы компьютера. Пользователь может создать список файлов, которые подлежат контролю (например, файлы io.sys, msdos.sys, autoexec.bat, normal.dot, winword.exe и многие другие, которые находятся в постоянном использовании и возможность наличия закладок в которых наиболее опасна), данный список заносится в СОД вместе с эталонными контрольными суммами для каждого файла.
2. Регистрация в аппаратном журнале всех попыток несанкционированного доступа на компьютер.

Естественно, что  как анализ ключей, так и контроль целостности файлов должны производиться  в абсолютно доверенной среде  – т. е., среде, свободной от закладок. Это реализуется, например, предварительной  загрузкой операционной системы, хранящейся непосредственно в СОД; в этой ОС и производится последующий контроль целостности.

Использование аппаратного шифратора позволяет, в отличие от программного, загружать  ключи шифрования с какого-либо нестандартного ключевого носителя (смарт-карты, электронной таблетки Touch Memory, USB-ключа eToken …) непосредственно в устройство шифрования, где они в дальнейшем используются для шифрования данных (см. рис. 2). В этом случае ключи шифрования не появляются ни на шине данных, ни в оперативной памяти компьютера, соответственно, возможность их перехвата принципиально отсутствует.

Однако, этот путь также не дает стопроцентной защищенности, поскольку целью внедрения закладки злоумышленника в этом случае могут являться непосредственно обрабатываемые на компьютере документы. Это несколько сложнее перехвата ключей лишь тем, что увеличивается объем перехватываемой и анализируемой информации, что несущественно. Максимальной защищенности данных можно добиться путем одновременного использования СОД и аппаратного шифратора. Производители аппаратных средств защиты информации обычно объединяют возможности аппаратного шифрования и ограничения доступа в одном устройстве криптографической защиты данных (УКЗД).

Таким образом, для обеспечения максимальной степени  защиты информации на компьютере пользователя должны быть установлены компоненты, показанные на рис. 3.

Показанные на рис. 3 компоненты обеспечивают стопроцентную защиту данных (естественно, при корректном и безошибочном использовании системы защиты информации) в том случае, если компьютер не подключен к какой-либо сети. При подключении данного компьютера к сети возникает опасность проникновения на него злоумышленника через сеть и внедрения закладок. Следует учесть, что производить контроль целостности всех файлов ОС Windows с помощью СОД исключительно сложно, поскольку в процессе загрузки ОС Windows участвуют сотни файлов операционной системы, динимических библиотек, драйверов и т. д. Более разумный способ – ограничение доступа на компьютер через сеть.  
Организовать защиту данных при подключении компьютера к сети можно с помощью двух методов: туннелирования и фильтрации. Алгоритм их применения может быть, например, следующим (см. рис. 4):

1. При отправке по сети информационного пакета производится автоматическое (“прозрачное”) зашифрование области данных пакета.
2. Пакет отправляется в зашифрованном виде.
3. При получении зашифрованного пакета адресатом производится анализ заголовка, если пакет пришел от несанкционированного отправителя, то он не обрабатывается.
4. В противном случае производится расшифрование области данных пакета.

Данный алгоритм решает две основные задачи:

1. Недопущение несанкционированного входа на компьютер путем фильтрации приходящих информационных пакетов и отбрасывания тех из них, которые пришли из несанкционированных источников.
2. Передача по сети только зашифрованных данных путем прозрачного шифрования всех передаваемых в сеть пакетов (и, соответственно, расшифрования). Создается “туннель” между общающимися по сети легальными пользователями.

Шифрование в данном применении может производиться на ключах парной связи, являющихся уникальными для каждой пары абонентов (в данном случае, компьютеров) такой криптографической сети. Это приводит к тому, что даже легальный абонент криптографической сети не сможет расшифровать данные пакета, предназначенного не ему. Кроме того, это усложняет задачу навязывания ложных данных, поскольку в этом случае злоумышленник должен знать также ключ парной связи между получателем и отправителем, от имени которого он посылает информационный пакет (что при надлежащем хранении ключей просто невозможно).

Туннелирование  и фильтрация информационных пакетов  используются, в частности, для построения виртуальных защищенных сетей (VPN). VPN необходимы везде, где требуется  организация защищенного электронного документооборота между различными организациями или внутри одной территориально распределенной организации. В этом случае более удобно использовать для защиты внутренней локальной сети (ЛВС) и для защиты передаваемых данных компьютер, используемый для выхода в сеть общего пользования (например, Internet). Такой компьютер оснащается средством туннелирования и фильтрации и защищает всю находящуюся за ним ЛВС от возможных атак из Internet. 
Уместно вспомнить и о том, что везде, где есть электронный документооброт, существует проблема установления и подтверждения авторства того или иного документа-файла (что особенно важно, например, для платежных документов). Данная проблема решается применением электронной цифровой подписи (ЭЦП). ЭЦП позволяет с помощью криптографических методов надежно установить авторство и целостность электронного документа. При формировании ЭЦП также используется секретный ключевой элемент, являющийся уникальным для каждого из абонентов, участвующих в электронном документообороте. С помощью данного ключа и текста подписывамого документа вычисляется уникальная последовательность данных, посылаемая вместе с документом для последующей проверки при получении. Результат проверки: информация о лице, поставившем ЭЦП и точное определение факта, был ли модифицирован документ в процессе его передачи.

Таким образом, полный набор средств, защищающих информацию на компьютере от несакционированного  доступа и модификации, можно  представить с помощью схемы, приведенной на рис. 5.

Во многих случаях  приведенная выше схема может  оказаться избыточной. Указанные  средства защиты информации могут быть применены и частично. При выборе конкретной структуры системы защиты информации следует принимать во внимание следующие исходные данные:

1. Степень конфиденциальности хранимых, обрабатываемых и передаваемых по сети электронных документов.
2. Наличие или отсутствие подключения к ЛВС, степень защищенности ЛВС.
3. Наличие или отсутствие подключения к сетям общего пользования; необходимо ли передавать конфиденциальные электронные документы по сетям общего пользования.

Кроме того, следует  учесть, что все средства защиты информации обеспечивают полную защиту только в случае их грамотного использования  и совокупности организационных мер, направленных на обеспечение недоступности несанкционированным лицам ключевой информации, контроля всех попыток несанкционированного доступа к защищаемой информации и оперативного реагирования на них.