Захисні заходи в комп'ютерно-телекомунікаційній сфері

Методи і засоби захисних заходів у комп'ютерно-телекомунікаційній сфері розрізняються за функціональним призначенням на три основні групи: програмні, криптографічні та апаратні [6-Ю].

Заходи програмного захисту

Програмний захист реалізується за допомогою системи спеціальних програм, що входять до складу програмного забезпечення й виконують три функції - захист інформації від несанкціонованого доступу; захист інформації від копіювання; захист інформації і програм від руйнівних ві­русів. Для виконання цих функцій застосовуються спеціальні програмні засоби, що здійснюють:

- ідентифікацію технічних засобів, файлів та аутентифікацію користувачів;

- реєстрацію та контроль роботи технічних засобів і користувачів;

- обслуговування режимів обробки інформації з обмеженим доступом;

ності захисту ця система організується так, щоб імовірність розкриття секретного пароля та встановлення відповідності тому чи іншому іден­тифікатору файла або термінала була якомога меншою. Для цього періо­дично змінюється цей пароль, а число символів у ньому встановлюється достатньо великим.

Одержання дозволу на доступ до тих чи інших ресурсів можна здій­снювати не тільки за допомогою секретного пароля та наступних проце­дур аутентифікації та ідентифікації. Це можна зробити більш ефективним способом, який враховує різні особливості режимів роботи користува­чів, їхні повноваження, категорії даних і ресурсів, що запитуються. Цей спосіб реалізується спеціальними програмами, які аналізують відповідні характеристики користувачів, зміст завдань, параметри технічних і про­грамних засобів, пристроїв пам'яті та ін. Конкретні дані запиту, які по­ступають у систему, порівнюються у процесі роботи програми захисту з даними, які занесені в реєстраційні секретні таблиці (матриці). Ці табли­ці, а також програми для їхнього формування та обробки зберігаються в зашифрованому вигляді та знаходяться під контролем адміністратора безпеки інформаційної мережі.

Для розмежування доступу окремих користувачів до певної інформації застосовуються індивідуальні заходи секретності цих файлів та особливий контроль доступу до них користувачів. Гриф секретності може формуватися у вигляді певних кодових слів, які зберігаються у файлі або у спеціальній таблиці. У цій же таблиці записується ідентифікатор користувача, який створив цей файл, ідентифікатори терміналів, з яких може здійснюватися доступ до даного файлу, а також їхні права на користування файлом (зчи­тування, редагування, стирання, оновлення, виконання та ін.).

а) Захист від несанкціонованого доступу

Основні функції захисту від злочинного вторгнення здійснюють­ся програмними засобами, що виконують ідентифікацію суб'єктів та об'єктів; розмежування доступу до обчислювальних ресурсів та інформа­ції; контроль та реєстрація дій з інформацією та програмами. Процедура ідентифікації та підтвердження автентичності передбачає перевірку, чи є суб'єкт, якій здійснює доступ (або об'єкт, до якого здійснюється доступ) тим, за кого себе видає. Подібні перевірки можуть бути одноразовими або періодичними (особливо у випадках тривалих сеансів роботи). У процесі ідентифікації використовуються різноманітні методи і засоби:

- прості, складні або одноразові паролі;

- обмін питаннями та відповідями з адміністратором;

- ключі, магнітні картки, значки, жетони;

- засоби аналізу індивідуальних, біометричних характеристик (голосу, відбитків пальців, геометричних параметрів рук, обличчя);

- спеціальні ідентифікатори або контрольні суми для апаратури, про­грам, даних та ін.

Найбільш розповсюдженою є парольна ідентифікація. Проте, як по­казує практика, парольний захист є ненадійним, оскільки будь-який па­роль можна підслухати або підглянути, перехопити чи просто розгадати. Тому для ідентифікації програм і даних часто вдаються до підрахунку кон­трольних сум. При цьому, як і у випадку парольної ідентифікації, важливо виключити можливість підробки при збереженні правильної контрольної суми. Це досягається шляхом використання складних методів контроль­ного підсумовування на основі криптографічних алгоритмів. Забезпечити надійний захист даних від підробки (імітостійкість) можна, якщо застосо­вувати методи шифрування і цифрового підпису на основі криптографіч­них систем із відкритим ключем.

Після виконання процедур ідентифікації та встановлення автентич­ності користувач одержує доступ до обчислювальних ресурсів і подальший захист інформації здійснюється на трьох рівнях - апаратури; програмного забезпечення; даних.

Захист на рівні апаратури та програмного забезпечення передбачає ке­рування доступом до обчислювальних ресурсів: окремих пристроїв, опера­тивної пам'яті, операційної системи, спеціальних службових та особистих програм користувача.

Захист на рівні даних спрямований на захист інформації при звертанні до неї у процесі роботи на ПЕОМ та виконання тільки дозволених опера­цій, а також на захист інформації при її передаванні каналами зв'язку між різними ПЕОМ.

Об'єктом, доступ до якого контролюється, може бути файл або запис у файлі, а фактором, що визначає порядок доступу, - певна подія, значення даних, стан обчислювальної системи, повноваження користувача, перед­історія звернення та ін.

Доступ, що керується подією, передбачає блокування звернення корис­тувача (наприклад, у певні інтервали часу або при зверненні з певного тер­міналу). Доступ, що залежить від стану обчислювальної системи, здійсню­ється залежно від її поточного стану, керуючих програм і системи захисту.

Інший підхід до побудови засобів контролю доступу заснований на ко­нтролі інформаційних потоків та розподілі суб'єктів і об'єктів доступу на класи конфіденційності.

У загальному випадку комплекс програмно-технічних заходів та орга­нізаційно-процедурних рішень із захисту інформації від несанкціонова­ного доступу реалізує наступні функції - керування доступом; реєстрацію та облік; застосування криптографічних засобів; забезпечення цілісності інформації.

Вирізняються наступні форми контролю та розмежування доступу, що знайшли широке застосування на практиці:

- попередження доступу до: жорсткого диска; окремих розділів; окремих файлів; каталогів; гнучких дисків; змінних носіїв інформації;

- установлення привілеїв доступу до групи файлів;

- захист від модифікації файлів і каталогів;

- захист від знищення файлів і каталогів;

- попередження копіювання файлів, каталогів та прикладних програм;

- затемнення екрану через певний час, встановлений користувачем.

б) Захист від копіювання

Цей захист дає змогу запобігати використанню викрадених копій про­грамного забезпечення і нині є єдиним ефективним інструментом, що захищає авторське право розробників-програмістів і стимулює розвиток ринку програмного забезпечення.

Під захистом від копіювання розуміють заходи, що забезпечують вико­нання програмою своїх функцій тільки при розпізнаванні деякого унікаль­ного елемента, що не піддається копіюванню. Таким ключовим елементом може бути дискета, певна частина ПЕОМ або спеціальний пристрій, який приєднується до комп'ютера. Захист від копіювання реалізується шляхом виконання ряду функцій, які є спільними для всіх систем захисту:

- ідентифікація середовища, в якому буде запускатися програма;

- аутентифікація середовища, з якого запущена програма;

- реакція на запуск із несанкціонованого середовища;

- реєстрація несанкціонованого керування;

- протидія розпізнаванню алгоритмів роботи обчислювальної системи.

Під середовищем, з якого запускатиметься програма, розуміють диске­ту або ПЕОМ (якщо установка здійснюється на накопичувач на жорстко­му магнітному диску). Ідентифікація середовища полягає в тому, що воно певним чином поіменовується з метою подальшого його розпізнавання. Ідентифікувати середовище - значить закріпити за ним деякі спеціальні характеристики, які рідко повторюються та важко підроблюються. Такі ха­рактеристики називаються ідентифікаторами.

в) Захист від руйнування

Руйнування інформації може відбутися при підготовці чи здійснен­ні різних відновлювальних заходів (резервуванні, створенні та оновленні страхувального фонду, веденні архівів інформації тощо). Причини руй­нування вельми різноманітні - несанкціоновані дії, помилки програм та обладнання, комп'ютерні віруси та ін. Тому здійснення страхувальних за­ходів є обов'язковими для всіх користувачів ПЕОМ.

Особливу небезпеку становлять комп'ютерні віруси, які можуть переда­ватися інформаційними мережами, переноситися на диски, самостійно розмножуватися. Основну масу вірусів створюють програмісти-хулігани, щоб задовольнити свої амбіції або грошові інтереси через продаж антивірусних програм (антивірусів). Такі програми бувають спеціалізованими або універ­сальними. Спеціалізовані здатні боротися з уже написаними, працюючими вірусами, а універсальні - із ненаписаними. До спеціалізованих відноситься більшість антивірусних програм. Кожна з них розпізнає один або декілька конкретних вірусів, ніяк не реагуючи на присутність інших. Універсальні призначені для боротьби з цілими класами вірусів. При значній різноманіт­ності вірусів потрібна така ж різноманітність антивірусів.

Окрім використання антивірусних програм, широко застосувуються організаційні заходи захисту. Для зменшення небезпеки вірусних атак здійснюються певні дії, які у кожному конкретному випадку можуть бути доповнені або скорочені, а саме:

- інформування співробітників про небезпеку та можливі збитки від вірусних атак;

- заборона співробітникам установлювати сторонні програми в системі обробки інформації;

- виділення окремого спеціального місця для виходу на сторонні інформаційні мережі;

- створення архіву копій програм і даних та ін.

Заходи криптографічного захисту

Криптографічний захист здійснюється за допомогою спеціальних ма­тематичних та алгоритмічних методів і засобів шифрування інформації, що передається системами та мережами зв'язку, зберігається та обробля­ється в ПЕОМ.

Для криптографічного перетворення інформації використовуються різноманітні шифрувальні засоби, включаючи засоби шифрування до­кументів, шифрування мови, шифрування телеграфних повідомлень та передачі даних. Ці засоби дають змогу передавати інформацію (мовну, числову, візуальну та ін.) незахищеними каналами зв'язку шляхом шиф­рування вихідного повідомлення та його дешифрування для відновлення на приймальній стороні. Унікальний параметр, який застосовується для таких перетворень, називається ключем.

У сучасній криптографії розрізняються два типи криптографічних алгоритмів, що засновані на використанні відповідно двох типів ключів: закритого (секретного) та відкритого (несекретного). У другому випадку, як правило, застосовуються два ключі, один з яких неможливо визначити з іншого.

Якщо ключ розшифровування неможливо за допомогою обчис­лювальних методів одержати із ключа зашифровування, то секретність інформації, зашифрованої за допомогою несекретного (відкритого) ключа, буде забезпечена. Проте цей ключ повинен бути захищеним від підміни або модифікації. Ключ розшифровування також має бути секретним і за­хищеним від підміни або модифікації.

Навпаки, якщо обчислювальними методами неможливо одержати ключ зашифровування із ключа розшифровування, то ключ розшифровування може бути несекретним.

Розділення функцій шифрування та розшифровування на основі роз­поділу на дві частини додаткової інформації, необхідної для виконання криптографічних операцій, є найбільш ефективним засобом криптогра­фічного захисту на сучасному етапі.

Заходи апаратного захисту

Основне призначення апаратних методів і засобів захисту — запобіган­ня і припинення розголошення, витоку й несанкціонованому доступу до конфіденційної інформації через технічні пристрої та прилади.

Заходи апаратного захисту інформації спрямовані на виконання на­ступних завдань:

—проведення спеціальних досліджень технічних засобів забезпечення
виробничої діяльності на наявність можливих каналів витоку інформації;

—виявлення каналів витоку інформації на різних об'єктах;

—локалізація каналів витоку інформації;

—пошук і виявлення засобів промислового шпигунства;

—протидія несанкціонованому доступу до джерел конфіденційної інформації та ін.

За функціональним призначенням апаратні засоби поділяються на за­соби виявлення, пошуку та детальних вимірювань, а також засоби активної та пасивної протидії. Ці засоби можуть бути загального застосування для непрофесіоналів, що надають попередні узагальнені оцінки, і професійні комплекси, які здійснюють ретельний пошук, виявлення та прецизійне ви­мірювання всіх характеристик засобів промислового шпигунства. До першої групи відносяться індикатори електромагнітних випромінювань, які мо­жуть приймати широкий спектр сигналів із достатньо низькою чутливістю. До другої групи - комплекси для виявлення та пеленгування радіозакладок, а також для автоматичного виявлення місць знаходження радіопередавачів, радіомікрофонів, телефонних закладок і мережних радіопередавачів.

Пошукова апаратура розподіляється на апаратуру для пошуку засо­бів знімання інформації та для дослідження каналів її витоку. Апарату­ра першого типу спрямована на пошук і локалізацію вже впроваджених зловмисниками засобів несанкціонованого доступу. Апаратура другого типу призначена для виявлення каналів витоку інформації.

Апаратні засоби захисту застосовуються як в окремих ПЕОМ, так і на різних рівнях і ділянках інформаційної мережі: в центральних процесорах (ЦП), в оперативних запам'ятовуючих пристроях (ОЗП), контролерах вво­ду/виводу, зовнішніх запам'ятовуючих пристроях, терміналах та ін.

Для захисту ЦП використовують кодове резервування - створюють до­даткові біти у форматах машинних команд (розряди секретності) та резерв­ні регістри (у пристроях ЦП). Одночасно забезпечують роботу процесора у двох можливих режимах, які відділяють допоміжні операції від операцій безпосереднього розв'язання задач користувача. Для цього застосовують спеціальну програму переривань, яка реалізується апаратними засобами. Одним із заходів апаратного захисту ПЕОМ та інформаційних мереж є об­меження доступу до ОЗП шляхом встановлення певних меж між полями да­них. Для цього створюють регістри контролю і захисту даних, а також засто­совують додаткові біти парності (різновид методів кодового резервування).

Для позначення ступеню конфіденційності даних і програм та кате­горій користувачів використовують біти конфіденційності. Це кілька до­даткових розрядів, за допомогою яких кодуються категорії секретності ко­ристувачів, програм і даних.

Програми та дані, які завантажуються в ОЗП, потребують захисту, який має гарантувати їх від несанкціонованого доступу. Для цього використову­ють біти парності, ключі, постійну спеціальну пам'ять. При зчитуванні з ОЗП необхідно, щоб програми не були знищені несанкціонованими діями користувачів або внаслідок виходу з ладу апаратури. Тому відмови повинні своєчасно виявлятися та усуватися, щоб запобігти виконанню спотвореної команди ЦП та втрати інформації.

Для запобігання зчитування даних з ОЗП, які залишилися після об­робки, застосовують спеціальну програму стирання. У цьому випадку фо­рмується команда на стирання ОЗП та вказується адреса блоку пам'яті, який повинен бути звільнений від інформації. Програма записує нулі або будь-яку іншу послідовність символів у всі комірки даного блоку пам'яті, забезпечуючи надійне стирання раніше завантажених даних.

Апаратні засоби захисту застосовуються й у терміналах користува­чів. Для попередження витоку інформації при приєднанні незареєстро-ваного терміналу необхідно перед видачею запитуваних даних здійснити ідентифікацію (автоматичне визначення коду або номера) терміналу, з якого надійшов запит. У режимі колективного використання терміна­лу його ідентифікації недостатньо. Необхідно здійснити аутентифікацію кожного користувача, тобто встановити його дійсність і повноваження. Це необхідно й тому, що різні користувачі, зареєстровані в системі, можуть мати доступ тільки до окремих файлів і суворо обмежені повноваження їхнього використання.

Для ідентифікації терміналу найчастіше застосовуєть генератор коду, включений до апаратури терміналу, а для аутентифікації користувача - такі апаратні засоби, як ключі, персональні кодові картки, персональний іден­тифікатор, пристрої розпізнавання голосу користувача або форми його па­льців. Проте найбільш розповсюдженими засобами аутентифікації є паро­лі, перевірені не апаратними, а програмними засобами впізнавання.

Апаратні методи і засоби знайшли широке розповсюдження, проте вони не мають достатньої гнучкості, часто втрачають захисні властивості при роз­критті принципу їхньої дії і в подальшому не можуть бути ефективними.

Програмні методи та засоби більш надійні, період їхнього гарантовано­го використання більший, ніж в апаратних методів і засобів.

Криптографічні методи та засоби є найбільш надійним інструментом для захисту інформації на тривалий період.

Розглянуті методи і засоби захисту інформації на практиці часто поєд­нуються і взаємодіють у вигляді програмно-апаратних засобів із викорис­танням алгоритмів шифрування інформації.