Программные средства защиты информации

Программные средства защиты информации — это специальные программы и программные комплексы, предназначенные для защиты информации в информационной системе.

Программные средства включают программы для идентификации пользователей, контроля доступа, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и другие. Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию.

Недостатки – использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

К программным средствам защиты программного обеспечения относятся:

· встроенные средства защиты информации – это средства, реализующие авторизацию и аутентификацию пользователей (вход в систему с использованием пароля), разграничение прав доступа, защиту ПО от копирования, корректность ввода данных в соответствии с заданным форматом и так далее.

Кроме того, к данной группе средств относятся встроенные средства операционной системы по защите от влияния работы одной программы на работу другой программы при работе компьютера в мультипрограммном режиме, когда в его памяти может одновременно находиться в стадии выполнения несколько программ, попеременно получающих управление в результате возникающих прерываний. В каждой из таких программ вероятны отказы (ошибки), которые могут повлиять на выполнение функций другими программами. Операционная система занимается обработкой прерываний и управлением мультипрограммным режимом. Поэтому операционная система должна обеспечить защиту себя и других программ от такого влияния, используя, например, механизм защиты памяти и распределение выполнения программ в привилегированном или пользовательском режиме;

· антивирусные программы – программы, предназначенные для обнаружения компьютерных вирусов, лечения или удаления инфицированных файлов, а также для профилактики – предотвращения заражения файлов или операционной системы вредоносным кодом. В качестве примера можно привести: ADINF, AIDSTEST, AVP, DrWeb;

· специализированные программные средства защиты информации от несанкционированного доступа – обладают в целом лучшими возможностями и характеристиками, чем встроенные средства. В настоящее время рынок программных средств предоставляет большой выбор специализированных программ, предназначенных для: защиты папок и файлов на компьютере; контроля за выполнением пользователями правил безопасности при работе с компьютером, а также выявления и пресечения попыток несанкционированного доступа к конфиденциальным данным, хранящимся на персональном компьютере; наблюдения за действиями, происходящими на контролируемом компьютере, работающем автономно или в локальной вычислительной сети;

· программные средства тестового контроля, предупреждающие и выявляющие дефекты, а также удостоверяющие надежность программ и оперативно защищающие функционирование программных средств при их проявлениях. Одним из основных путей повышения надежности программного обеспечения является использование современных инструментальных программных средств, позволяющих выполнять систематическое автоматизированное тестирование и испытание ПО для обнаружения и устранения ошибок проектирования, разработки и сопровождения;

· межсетевые экраны (также называемые брандмауэрами или файрволами). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет данную опасность полностью. Более защищенная разновидность метода – это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой;

· proxy-servers. Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью – маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Примером могут служить: 3proxy (BSD, многоплатформенный), CoolProxy (проприетарный, Windows), Ideco ICS (проприетарный, Linux);

· VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Например: IPSec (IP security), PPTP (point-to-point tunneling protocol), L2TPv3 (Layer 2 Tunnelling Protocol version 3).

Программные средства защиты информации являются одним из наиболее распространенных методов защиты информации в компьютерах и информационных сетях, а так же их важнейшей и непременной частью.

Программно - технические средства защиты информации

Программно-технические средства, это средства, направленные на контроль компьютерных сущностей – оборудования, программ и/или данных – образуют последний и самый важный рубеж информационной безопасности.

Центральным для программно-технического уровня является понятие сервиса безопасности, к которому относятся следующие основные и вспомогательные сервисы: идентификация и аутентификация, протоколирование и аудит, шифрование, контроль целостности, экранирование, обеспечение отказоустойчивости, туннелирование и управление, RFID – технологии, штрих – технологии.

Совокупность перечисленных выше сервисов безопасности называют полным набором. Считается, что его, в принципе, достаточно для построения надежной защиты на программно-техническом уровне, правда, при соблюдении целого ряда дополнительных условий (отсутствие уязвимых мест, безопасное администрирование и так далее).

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это первая линия обороны, «проходная» информационного пространства организации.

Идентификация - процесс, позволяющий установить имя пользователя. Примером идентификации может служить вручение визитной карточки, где указаны имя, должность и другая информация о конкретном лице. Аутентификация - процесс проверки подлинности введенного в систему имени пользователя. Например, проверка подлинности имени пользователя через сличение его внешнего вида с фотографией.

Сервер аутентификации Kerberos. Kerberos - это программный продукт, разработанный в середине 1980-х годов в Массачусетском технологическом институте и претерпевший с тех пор ряд принципиальных изменений. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем.

Система Kerberos представляет собой доверенную третью сторону (то есть сторону, которой доверяют все), владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности. В информационных технологиях способы идентификации и аутентификации являются средством обеспечения его доступа в информационное пространство организации в целом или отдельные разделы этого пространства.

Выделяют следующие способы идентификации и аутентификации:

· парольные методы;

· методы с применением специализированных аппаратных средств;

· методы, основанные на анализе биометрических характеристик пользователя.

Наиболее перспективным в настоящее время считается использование средств идентификации пользователя по биометрическим признакам: отпечатку пальца, рисунку радужной оболочки глаз, отпечатку ладони. Эти методы обладают достаточно высокой надежностью и не требуют от пользователя запоминания сложных паролей или заботы о сохранности аппаратного идентификатора.

В процессе обеспечения информационной безопасности особое внимание уделяется протоколированию и аудиту информации.

Протоколирование - это сбор и накопление информации о событиях, происходящих в информационно-вычислительной системе.

У каждой программы есть свой набор возможных событий, которые можно классифицировать на внешние (вызванные действиями других программ или оборудования), внутренние (вызванные действиями самой программы) и клиентские (вызванные действиями пользователей и администраторов). Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.

При осуществлении протоколирования и аудита преследуются следующие цели:

· обеспечить подотчетность пользователей и администраторов;

· обеспечить возможность реконструкции последовательности событий;

· обнаружить попытки нарушений информационной безопасности;

· предоставить информацию для выявления и анализа проблем.

Обеспечение подобной подотчетности считается одним из средств сдерживания попыток нарушения информационной безопасности, поскольку реконструкция событий позволяет выявить слабости в защите, найти виновника, определить способ устранения проблемы и вернуться к нормальной работе.

Криптография, или шифрование. Эта область информационной безопасности занимает центральное место среди программно - технических средств безопасности.

В современной криптографии используются два основных метода шифрования - симметричное и асимметричное.

В симметричном шифровании один и тот же ключ используется и для шифровки, и для расшифровки сообщений. Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит проблему безопасной пересылки ключей при обмене сообщениями. С другой - получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.

В асимметричных методах применяются два ключа. Один из них, несекретный, используется для шифровки и может без всяких опасений передаваться по открытым каналам, другой - секретный - применяется для расшифровки и известен только получателю.

Асимметричные методы шифрования позволяют реализовать электронную подпись, или электронное заверение сообщения. Существенным недостатком асимметричных методов является их низкое быстродействие, поэтому их приходится сочетать с симметричными.

Контроль целостности. Механизм контроля целостности осуществляет слежение за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.

Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование.

В системе предусмотрена возможность выбора времени контроля. В частности, контроль может быть выполнен при загрузке ОС, при входе пользователя в систему или после входа пользователя, по заранее составленному расписанию.

При обнаружении несоответствия могут применяться различные варианты реакции на возникающие ситуации нарушения целостности, например, регистрация события в журнале Secret Net, блокировка компьютера.

Вся информация об объектах, методах, расписаниях контроля сосредоточена в модели данных. Модель данных хранится в локальной базе данных системы Secret Net 6 и представляет собой иерархический список объектов и описание связей между ними. В модели используются 5 категорий объектов: ресурсы, группы ресурсов, задачи, задания и субъекты активности (компьютеры, пользователи и группы пользователей). Модель, включающая в себя объекты всех категорий, между которыми установлены связи, — это подробная инструкция системе Secret Net 6, определяющая, что и как должно контролироваться. Модель данных является общей для механизмов контроля целостности и замкнутой программной среды.

Каждая из централизованных моделей данных является общей для всех защищаемых компьютеров под управлением версий ОС Windows соответствующей разрядности (32- или 64-разрядные версии). При изменении параметров централизованной модели, которые должны применяться на защищаемом компьютере, выполняется локальная синхронизация этих изменений. Новые параметры из централизованного хранилища передаются на компьютер, помещаются в локальную модель данных и затем используются защитными механизмами.

Редактирование централизованных моделей данных осуществляется со следующими особенностями: для редактирования доступна та модель данных, которая соответствует разрядности ОС Windows на рабочем месте администратора. Модель данных другой разрядности доступна только для чтения (при этом можно экспортировать данные из этой модели в другую). Таким образом, если в системе имеются защищаемые компьютеры с версиями ОС различной разрядности, для централизованного управления моделями данных администратору следует организовать два рабочих места — на компьютере с 32-разрядной версией ОС Windows и на компьютере с 64-разрядной версией ОС.

Экранирование. С развитием сетевых технологий все большую актуальность приобретает защита от случайных или намеренных воздействий из внешних сетей (например, Интернет), с которыми взаимодействует сеть предприятия. Для этой цели используются различные разновидности межсетевых экранов, а сам процесс защиты получил название экранирования. Межсетевой экран - это специализированная программная система, ограничивающая возможность передачи информации как из внешней сети в сеть предприятия, так и из сети предприятия во внешнюю среду. Имеются следующие типы межсетевых экранов: Fortinet, Cisco, Juniper, Check Point и другие. Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов.

Обеспечение отказоустойчивости. Меры по обеспечению отказоустойчивости можно разделить на локальные и распределенные. Локальные меры направлены на достижение "живучести" отдельных компьютерных систем или их аппаратных и программных компонентов (в первую очередь с целью нейтрализации внутренних отказов ИС). Типичные примеры подобных мер - использование кластерных конфигураций в качестве платформы критичных серверов или "горячее" резервирование активного сетевого оборудования с автоматическим переключением на резерв. Если в число рассматриваемых рисков входят серьезные аварии поддерживающей инфраструктуры, приводящие к выходу из строя производственной площадки организации, следует предусмотреть распределенные меры обеспечения живучести, такие как создание или аренда резервного вычислительного центра. При этом, помимо дублирования и/или тиражирования ресурсов, необходимо предусмотреть средства автоматического или быстрого ручного переконфигурирования компонентов ИС, чтобы обеспечить переключение с основной площадки на резервную.

Туннелирование и управление. Туннелирование — процесс, в ходе которого создается защищенное логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов. Туннелирование представляет собой метод построения сетей, при котором один сетевой протокол инкапсулируется в другой. Суть туннелирования состоит в том, чтобы «упаковать» передаваемую порцию данных, вместе со служебными полями, в новый «конверт» для обеспечения конфиденциальности и целостности всей передаваемой порции, включая служебные поля. Туннелирование может применяться на сетевом и на прикладном уровнях. Комбинация туннелирования и шифрования позволяет реализовать закрытые виртуальные частные сети (VPN). Туннелирование обычно применяется для согласования транспортных протоколов либо для создания защищённого соединения между узлами сети.

Управление можно отнести к числу инфраструктурных сервисов, обеспечивающих нормальную работу компонентов и средств безопасности. Управление подразделяется на: мониторинг компонентов, контроль, координацию работы компонентов системы.

Выделяется пять функциональных областей управления:

· управление конфигурацией (установка параметров для нормального функционирования, запуск и остановка компонентов, сбор информации о текущем состоянии системы, прием извещений о существенных изменениях в условиях функционирования, изменение конфигурации системы);

· управление отказами (выявление отказов, их изоляция и восстановление работоспособности системы);

· управление производительностью (сбор и анализ статистической информации, определение производительности системы в штатных и нештатных условиях, изменение режима работы системы);

· управление безопасностью (реализация политики безопасности путем создания, удаления и изменения сервисов и механизмов безопасности, распространения соответствующей информации и реагирования на инциденты);управление учетной информацией (т.е. взимание платы за пользование ресурсами).

RFID – технология. RFID (Radio Frequency IDentification, радиочастотная идентификация) — метод автоматической идентификации объектов, в котором посредством радиосигналов считываются или записываются данные, хранящиеся в так называемых транспондерах, или RFID-метках.

Любая RFID-система состоит из считывающего устройства (считыватель, ридер или интеррогатор) и транспондера (он же RFID-метка, иногда также применяется термин RFID-тег).

Существует несколько показателей классификации RFID-меток: по источнику питания, по типу памяти, по рабочей частоте.

По типу источника питания RFID-метки делятся на пассивные, полупассивные и активные.

· Пассивные RFID-метки не имеют встроенного источника энергии. Электрический ток, индуцированный в антенне электромагнитным сигналом от считывателя, обеспечивает достаточную мощность для функционирования кремниевого CMOS-чипа, размещённого в метке, и передачи ответного сигнала.

· Полупассивные RFID-метки, также называемые полуактивными, очень похожи на пассивные метки, но оснащены батарей, которая обеспечивает чип энергопитанием. При этом дальность действия этих меток зависит только от чувствительности приёмника считывателя и они могут функционировать на большем расстоянии и с лучшими характеристиками.

· Активные RFID-метки обладают собственным источником питания и не зависят от энергии считывателя, вследствие чего они читаются на дальнем расстоянии, имеют большие размеры и могут быть оснащены дополнительной электроникой. Однако, такие метки являются наиболее дорогими, а имеет ограниченное время работы батарей.

По типу используемой памяти RFID-метки классифицируют на следующие типы:

· RO (Read Only) — данные записываются только один раз, сразу при изготовлении. Такие метки пригодны только для идентификации. Никакую новую информацию в них записать нельзя, и их практически невозможно подделать.

· WORM (Write Once Read Many) — кроме уникального идентификатора такие метки содержат блок однократно записываемой памяти, которую в дальнейшем можно многократно читать.

· RW (Read and Write) — такие метки содержат идентификатор и блок памяти для чтения/записи информации. Данные в них могут быть перезаписаны многократно.

По рабочей частоте RFID-метки выделяют следующих диапазонов:

· Метки диапазона LF 125-134 кГц. Пассивные системы данного диапазона имеют низкую стоимость и по своим физическим характеристикам используются для вживления подкожных меток животным, людям и рыбам. Имеют существенные ограничения по радиусу действия и точности (коллизии при считывании).

· Метки диапазона HF 13.56 МГц. Системы 13МГц являются достаточно дешевыми, не имеют экологических проблем, хорошо стандартизованы и имеют широкую линейку решений. Применяются в платежных системах, логистике, идентификации личности.

· Метки диапазона UHF (860-960 МГц). Метки диапазона UHF обладают наибольшей дальностью действия. Многими стандартами меток данного диапазона разработаны антиколизионные механизмы.

В настоящее время частотный диапазон UHF (СВЧ) открыт для свободного использования в Российской Федерации в так называемом «европейском» диапазоне — 863—868 МГЦ.

Приборы для считывания данных с меток также бывают нескольких типов. По исполнению считыватели делятся на стационарные и переносные (мобильные).

· Стационарные считыватели. Стационарные считыватели крепятся неподвижно на стенах, порталах и в других подходящих местах. Они могут быть выполнены в виде ворот, вмонтированы в стол или закреплены рядом с конвейером на пути следования изделий.
Стационарные считыватели обычно напрямую подключены к компьютеру, на котором установлена программа контроля и учета. Задача таких считывателей — поэтапно фиксировать перемещение маркированных объектов в реальном времени.

· Мобильные считыватели. Обладают сравнительно меньшей дальностью действия и зачастую не имеют постоянной связи с программой контроля и учета. Мобильные считыватели имеют внутреннюю память, в которую записываются данные с прочитанных меток (потом эту информацию можно загрузить в компьютер) и, так же как и стационарные считыватели, способны записывать данные в метку.

Технология штрих – кодирования. Штриховой код - графическая информация, наносимая на поверхность изделий, представляющая возможность считывания её техническими средствами - последовательность чёрных и белых полос либо других геометрических фигур. Штриховой код состоит из прямоугольных штрихов и пробелов переменной ширины. Его назначение - уникальная связь с информацией, сохраненной внутри компьютерной системы, которая может быть автоматически быстро, легко и точно извлечена из базы данных.

Существует два способа кодирования информации:

· Линейные – штрих - коды, читаемые в одном направлении (по горизонтали). Наиболее распространённые линейные символики: EAN (EAN-8 состоит из 8 цифр, EAN-13 — используются 13 цифр), UPC (UPC-A, UPC-E), Code56, Code128 (UPC/EAN-128), Codabar, «Interleaved 2 of 5». Линейные символики позволяют кодировать небольшой объём информации.

· Двухмерные - были разработаны для кодирования большого объёма информации. Расшифровка такого кода проводится в двух измерениях (по горизонтали и по вертикали). Двухмерные коды подразделяются на многоуровневые (stacked) и матричные (matrix). Примерами таких штрих - кодов являются: PDF 417, MaxiCode, Data Matrix, Aztec Code.

На данный момент имеются три разновидности кода:

· EAN-8 (сокращённый) - кодируется 8 цифр.

· EAN-13 (полный) - кодируется 13 цифр.

· EAN-128 - кодируется любое количество букв и цифр, объединенных в регламентированные группы.

Коды EAN-8 и EAN-13 содержат только цифры и никаких букв или других символов, такие коды могут выглядеть следующим образом: 2400000032639. Кодом EAN-128 кодируется любое количество букв и цифр по алфавиту Code-128, и имеют следующий вид: (00)353912345678(01)053987(15)051230, где (15) группа обозначает срок годности 30 декабря 2005.

Программно-технические средства защиты являются технической основой системы защиты информации. Применение таких средств осуществляется структурными органами в соответствии с принятой политикой информационной безопасности, описанной в нормативно – методических документах.

Программно-технические средства используются в системе защиты информации по следующим направлениям:

· защита объектов корпоративных систем;

· защита процессов, процедур и программ обработки информации;

· защита каналов связи;

· подавление побочных электромагнитных излучений;

· управление системой защиты.

Для того чтобы сформировать оптимальный комплекс программно-технических средств защиты информации, необходимо пройти следующие этапы:

· определение информационных и технических ресурсов, подлежащих защите;

· выявление полного множества потенциально возможных угроз и каналов утечки информации;

· проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

· определение требований к системе защиты;

· осуществление выбора средств защиты информации и их характеристик;

· внедрение и организация использования выбранных мер, способов и средств защиты;

· осуществление контроля целостности и управление системой защиты.

Информация сегодня стоит дорого и её необходимо охранять. Информацией владеют и используют все люди без исключения. Каждый человек решает для себя, какую информацию ему необходимо получить, какая информация не должна быть доступна другим. Для предотвращения потери информации и разрабатываются различные способы ее технической защиты, которые используются на всех этапах работы с ней, защищая от повреждений и внешних воздействий.