CC BY
30
Computational nanotechnology Т. VII. № 1. 2020 ISSN 2313-223X Print
ISSN 2587-9693 Online
DOI: 10.33693/2313-223X-2020-7-1-63-71
Концептуальная модель выбора средств программно-аппаратной защиты
Я.Е. Прокушев1, a ©, Ю.В. Малий2, b ©
1 Российский экономический университет имени Г.В. Плеханова, г. Москва, Российская Федерация
2 Белгородский университет кооперации, экономики и права, г. Белгород, Российская Федерация
a E-mail: 1985nk@list.ru b E-mail: lazarevaipk@yandex.ru
Аннотация. Необходимость защиты информации в организациях любого уровня на сегодняшний день абсолютно очевидна. Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что обеспечение защиты информации становится одной из главных задач организации и важнейшим показателем эффективности ее информационной системы.
По мере развития и усложнения технических средств, методов и форм автоматизации процессов обработки информации повышается уязвимость защиты информации. Основными факторами, способствующими появлению угроз, являются: высокий рост объемов обрабатываемой информации с использованием различных средств автоматизации; расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и хранящимся в ней данных; усложнение режимов функционирования технических средств [Schneier, 2003].
Программно-аппаратные меры защиты основаны на использовании современных технических электронных устройств и специальных программ, являющихся частью автоматизированной системы организации и выполняемых самостоятельно или в комплексе с другими средствами функции защиты [Schneier, 2003; Mitnick, Simon, 2005; Konheim, 2007].
В данной статье рассматривается проблема выбора средств обеспечения информационной безопасности при разработке системы защиты информации и сформулированная модель может быть использована в большинстве систем программно-аппаратной защиты информации в локально-вычислительной системе.
Сравнительный анализ раскрывает некоторые существенные с точки зрения авторов эксплуатационные особенности двух систем защиты информации, каждая из которых имеет свои сильные стороны и при корректном применении способны обеспечить высокий уровень информационной безопасности.
Ключевые слова: защита информации, средства защиты, информационная безопасность, программно-аппаратная защита
f ^
ССЫЛКА НА СТАТЬЮ: Прокушев Я.Е., Малий Ю.В. Концептуальная модель выбора средств программно-аппаратной защиты // Computational nanotechnology. 2020. Т. 7. № 1. С. 63-71. DOI: 10.33693/2313-223X-2020-7-1-63-71
V
DOI: 10.33693/2313-223X-2020-7-1-63-71
Conceptual model of choice of hardware and software protection
Ya.E. Prokushev1 a ©, Ju.V. Maliy2' b ©
1 Plekhanov Russian University of Economics, Moscow, Russian Federation
2 Belgorod University of Cooperation, Economics and Law, Belgorod, Russian Federation
a E-mail: 1985nk@list.ru b E-mail: lazarevaipk@yandex.ru
Abstract. The need to protect information in organizations of any level is absolutely obvious today. The development of new information technologies and universal computerization have led to the fact that information protection and information security become one of the main tasks of the organization and characteristics of the information system.
МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ 05.13.19
With the development and complexity of technical means, methods and forms of automation of information processing processes, the vulnerability of information protection increases. The main factors contributing to this are: high growth in the volume of processed information using various automation tools; expansion of the circle of users who have direct access to the resources of the computer system and the data stored in it; complication of the modes of operation of technical means [Schneier, 2003].
Software and hardware protection measures are based on the use of modern technical electronic devices and special programs that are part of the organization's automated system and are performed independently or in conjunction with other security features [Schneier, 2003; Mitnick, Simon, 2005; Konheim, 2007].
This article deals with the problem of choosing information security tools when developing an information security system and the formulated model can be used in most systems of hardware and software protection of information in a local computer system.
The comparative analysis reveals some significant operational features from the authors point of view of the two information security systems, each of which has its own strengths and, if applied correctly, can provide a high level of information security.
Key words: information security, security tools, information security, hardware and software protection
f ^
FOR CITATION: Prokushev Ya.E., Maliy Ju.V. Conceptual model of choice of hardware and software protection. Computational nanotechnology. 2020. Vol. 7. No. 1. Pp. 63-71. (In Russ.) DOI: 10.33693/2313-223X-2020-7-1-63-71
V
ВВЕДЕНИЕ.
ПОСТАНОВКА ПРОБЛЕМЫ
Построению модели любого типа в обязательном порядке предшествует анализ предметной области. Модель выбора средств программно-аппаратной защиты информации не является исключением.
Решение проблем, связанных с защитой информации ограниченного доступа самого разного вида, в настоящее время является весьма актуально задачей для организаций любой формы собственности. И если проблема обеспечения защиты конфиденциальной информации (в случае если она не оформлена документально как конфиденциальная) может решаться или не решаться по усмотрению руководства организации, то к защите персональных данных и государственных информационных систем предъявляются вполне конкретные, обязательные для исполнения требования, вытекающие из положений федеральных законов «О персональных данных», «Об информации, информационных технологиях и о защите информации».
Существенную роль в регулировании процессов осуществления мероприятий по защите этих категорий информации играют приказы ФСТЭК России [1; 2], изданные с целью конкретизации и описания классификации защищаемых информационных систем и выполняемых защитных мероприятий.
В связи с этим возникает вопрос о том, какие именно средства могут быть использованы для решения задачи обеспечения программно-аппаратной защиты информации.
МЕТОДЫ РЕШЕНИЯ
РАССМОТРЕННОЙ ЗАДАЧИ
Предметом исследования являются информационные системы как государственных, так и коммерческих организаций, использующие средства программно-аппаратной защиты информации, обеспечивая высокий уровень информационной безопасности.
Для государственных информационных систем одним из юридических требований является необходимость использования сертифицированных средств защиты информации.
Современный рынок средств программно-аппаратной защиты информации в Российской Федерации предлагает обширный перечень изделий разных производителей, отсюда возникает необходимость его исследования.
ЭТАПЫ ПОСТРОЕНИЯ
МОДЕЛИ ВЫБОРА СРЕДСТВ
ПРОГРАММНО-АППАРАТНОЙ ЗАЩИТЫ
Современные средства программно-аппаратной защиты информации условно можно разделить на несколько классов.
1. Программно-аппаратные комплексы защиты информации от несанкционированного доступа. В данном классе средств защиты можно выделить такие продукты, как Dallas Lock 8К, Secret Net Studio, Страж NT 4.0, Аккорд Win 32\64к и ряд других средств, которые могут функционировать как в виде локализованных, так и сетевых версий;
2. Антивирусные программы. Сертификацию во ФСТЭК в настоящее время прошли продукты:
• ЗАО «Лаборатория Касперского». В данном случае разработчик объединил несколько сертифицированных продуктов в антивирусные пакеты, среди которых потребитель может выбрать наиболее подходящий для нужд своей организации (например, Kaspersky Total Space Security);
• ООО «Доктор Веб». Здесь используется обратный прием. Сертифицирован один продукт - Dr. Web Security Suite 10. Потребитель самостоятельно выбирает функции дистрибутива, которые будут ему доступны для обеспечения защиты своей информационной системы.
В обоих случаях выбор защитных возможностей осуществляется на основе особенностей защищаемой сети.
• антивирусный модуль, входящий в программный продукт Secret Net Studio;
3. Межсетевые экраны. Данный класс программных продуктов можно разделить по области применения (персональные или сетевые), по наличию или отсутствию таких опций, как создание защищенного VPN канала связи, а также характеру исполнения (аппаратный или программный). Так, для защиты периметра всей сети или его сегмента и создания шифрованного защищенного канала связи может использоваться программный продукт VipNet Custom, а также аппаратные комплексы АПКШ Континент, ССПТ-2 и продукция компании S-Terra.
Как правило, VPN каналы необходимы, если защищаемая сеть имеет распределенную структуру и отделы организации расположены в разных зданиях или даже городах, а передача информации происходит по незащищенному каналу связи.
4. Системы обнаружения вторжений. Этот тип программно-аппаратного обеспечения выделился из межсетевых экранов. Отличием средств обнаружения вторжений
КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ ВЫБОРА СРЕДСТВ ПРОГРАММНО-АППАРАТНОЙ ЗАЩИТЫ Прокушев Я.Е., Малий Ю.В.
от межсетевых экранов является наличие у них интеллектуальных механизмов обнаружения атак. Межсетевой экран в классическом виде осуществляет только фильтрацию пакетов по установленным правилам;
5. Среди сертифицированных средств криптографической защиты информации, активно применяемых для защиты конфиденциальных сведений, а также персональных данных, можно указать такие, как VipNet Safe Disk, Crypto Pro, Верба OW. Кроме того, использование криптографии как метода защиты информации характерно и для ряда программно-аппаратных средств (Dallas Lock, Secret Net Studio), а также межсетевых экранов, способных создавать VPN каналы. Относительно средств криптографической защиты информации следует отметить, что перед применением того или иного продукта, использующего криптографию, следует проверить наличие у него действующих сертификатов ФСБ, разрешающих его использование для защиты конфиденциальной информации или персональных данных;
6. Вспомогательные утилиты, предназначенные для очистки остаточной информации, контроля целостности файлов, анализа защищенности сети и т.п.
На сайтах производителей средств защиты информации, как правило, можно найти типовые сценарии их применения
при решении задач защиты персональных данных или конфиденциальной информации. Выбор того или иного средства зависит от таких факторов, как:
• режим обработки данных;
• наличие или отсутствие выхода в сеть общего доступа;
• класс защищенности ГИС или уровень защищенности персональных данных;
• количество пользователей, рабочих станций и серверов;
• топология сети и ее пропускная способность;
• особенность технологии обработки информации в конкретной организации;
• форма собственности, род деятельности организации, наличие внутренних инструкций в ней, регламентирующих выбор конкретного сертифицированного средства защиты.
Рассмотрим ряд характерных проблемных ситуаций, возникающих при решении задачи обеспечения безопасности обработки конфиденциальной информации и персональных данных.
Одним из наиболее простых случаев является ситуация, при которой обработка информации ведется в локальной сети, не имеющей выхода в Интернет или другую сеть (рис. 1).
В данном случае средства антивирусной защиты должны быть инсталлированы на все компьютеры ЛВС.
Контроллер домена
Р^ Антивирусное ПО Mi Средство ПАЗИ
Персональный межсетевой экран
Блокируемые сетевые пакеты
Обрабатываемые сетевые пакеты
Рабочие станции, не обрабатывающие ПД или конфиденциальную информацию
Рабочие станции, обрабатывающие ПД или конфиденциальную информацию
Рис. 1. Схема защищенной локальной сети
Средства программно-аппаратной защиты информации устанавливаются на объекты ЛВС, хранящие или обрабатывающие конфиденциальную информацию или персональные данные (на схеме это сегменты сети 1 и сервер баз данных 2).
Рабочие станции, на которых не ведется обработка защищаемой информации, должны быть изолированы от остальных компьютеров с помощью межсетевых экранов и систем обнаружения вторжений, которые устанавливаются на защищаемые объекты.
Если защищаемая сеть имеет сложную распределенную структуру, при которой выполняется передача данных по незащищенному каналу, необходима дополнительная установка межсетевого экрана, позволяющего создать за-
щищенный VPN канал (рис. 2), где VPN канал изображен пунктирной линией.
По данному принципу работают АПКШ Континент и VipNet Custom. Например, в случае использования продуктов фирмы «Код Безопасности» персональные межсетевые экраны АП Континент исполняют роль клиентов, подключаемых с помощью Центра управления сети к аппаратному межсетевому экрану АПКШ Континент. Если требуется создать защищенный канал связи между двумя большими сетями, то на их границах следует установить межсетевые экраны, например, АПКШ Континент, и затем настроить между ними связь. В этом случае на одном из них, в дополнение к криптографическим средствам защиты информации, устанавливается центр управления сетью, а второй используется как обычный криптошлюз.
ИНФОРМАЦИОННЫЕ СИСТЕМЫ СОЗДАНИЯ ФУНКЦИОНАЛЬНЫХ НАНОМАТЕРИАЛОВ МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
05.13.19
Антивирусное ПО Средство ПАЗИ
Персональный межсетевой экран
Блокируемые сетевые пакеты Разрешенные сетевые пакеты
Аппаратный межсетевой экран, создающий VPN-канал
Рабочие станции, не обрабатывающие ПД или конфиденциальную информацию
Рабочие станции, обрабатывающие ПД или конфиденциальную информацию
Рис. 2. Схема защищенной распределенной сети
Рассмотрение двух сценариев защиты информации показывает, что везде присутствуют три типа защитных систем: программно-аппаратные средства противодействия НСД, межсетевые экраны и антивирусные системы.
В общем случае в локальной вычислительной сети из N объектов без выхода в сети общего пользования будут присутствовать п защищаемых объектов, причем:
N > п. (1)
Пусть Г - функция, показывающая общее число использованных средств защиты информации в ЛВС без учета их типа, тогда:
Г = п х 5НСД + N х 5ав + п х Бкмэ, (2)
I ] к
где Бнсд - средство программно-аппаратной защиты информации; Бав - средство антивирусной защиты; Бмэ - средство межсетевого экранирования.
Следует иметь в виду, что в локальной вычислительной сети, где N = п, межсетевые экраны могут не применяться, если этого не требует модель угроз, поскольку вся сеть будет конфиденциальной.
Для ЛВС с большим числом защищаемых объектов (более 30), а также имеющей выход в сети международного пользования (Интернет) или в другую сеть, уравнение будет иметь вид:
(3)
F = n х Sнсд + a х Sсб нсд + N х Sав + n х S мэ + Sмэф,
i v j k о '
где Sм
межсетевой экран, устанавливаемый на границе
сети; Б^6 нсд - сервер безопасности СЗИ; а - число серверов безопасности.
Серверы безопасности являются координационным центром, обеспечивающим работу средств защиты информации, установленных на рабочих станциях и серверах в сети.
Например, СЗИ Secret Net Studio и Dallas Lock имеет в сетевой версии сервер безопасности. Уравнение (3) показывает количественный состав средств защиты информации в общем виде.
Выбор конкретного средства защиты предполагает учет ряда факторов. Так, например, неприятной особенностью средств защиты информации является их возможная несовместимость с другим программным обеспечением - как защитным, так и прикладным. Таким образом, в процессе выбора средств защиты информации следует в обязательном порядке учитывать совместимость используемых средств защиты информации и программного обеспечения.
С этой целью необходимо составить матрицу, учитывающую возможность совместного применения программных продуктов в защищаемой сети:
Pi
P2
Pt
S1 1 0
"m 1
0
(4)
где р: - программный продукт, для которого анализируется совместимость; sm - средство защиты информации.
Значение, равное 1, показывает совместимость, а 0 - невозможность совместного применения программ.
Кроме матрицы совместимости следует в обязательном порядке рассмотреть соответствие используемых средств защиты формальным требованиям, под которыми понимаются наличие сертификатов ФСТЭК или ФСБ, разрешающих применение того или иного средства защиты для определенных классов информационных систем.
1
Прокушев Я.Е., Малий Ю.В.
Дополнительные требования могут быть указаны в техническом задании для системы защиты, на основании которого и осуществляется окончательный выбор. Они могут носить обязательный или желательный характер. В случае, если предполагается оценить применимость средства защиты для какого-либо технического задания, можно использовать следующее уравнение, основанное на экспертных оценках:
H = hf х hf х ... х hf х (кд х hf + к2д х h* + ... + kn х hn), (5)
где H - результирующее значение функции, оценивающей применимость средства защиты в данной конкретной системе; кд - коэффициент, учитывающий такие факторы, как легкость настройки и удобство реализации защитного механизма; h^ - коэффициент, отражающий значение обязательного критерия или механизма, который может принимать два значения: 1 (обязательное требование выполняется) или 0 (не выполняется); h^ - коэффициент, отражающий значение дополнительного критерия или механизма, который может принимать два значения: 1 (дополнительное требование выполняется) или 0 (не выполняется).
Например, если будет присутствовать обязательный критерий, требующий наличия возможности создания криптографически защищенных контейнеров, то СЗИ Secret Net версии получит итоговую оценку ноль. Точно так же, если будет требоваться обязательная аппаратная поддержка в виде платы программной части средства защиты, то средства защиты информации без аппаратной поддержки (Страж NT 4.0. или Аккорд Win64-K) будут отвергнуты;
Пояснить смысл этого коэффициента можно на следующих примерах: настроить замкнутую программную среду в СЗИ Dallas Lock легче, чем СЗИ семейства Аккорд за счет режима обучения. В то же время настройка мандатной модели разграничения доступа в СЗИ семейства Secret Net Studio выполняется проще, чем в других защитных системах.
В обязательные коэффициенты может быть включено и такое понятие, как ведомственные инструкции, которые, не противореча положениям руководящих и нормативных документов, могут заранее определять перечень предпочтительных к применению средств.
В случае же если данные предписания отсутствуют, то важнейшим фактором, влияющим на выбор средств защиты, становится ценовой.
Оценка затрат как фактора выбора актуальна в том случае, если в результате сравнения итогов, полученных в ходе расчетов по выше приведенным уравнениям, были получены примерно одинаковые значения для конкурирующих между собой межсетевых экранов или средств защиты от НСД, а сравнение по матрице совместимости (4) показало возможность их альтернативного применения.
СРАВНЕНИЕ ВОЗМОЖНОСТЕЙ СРЕДСТВ
ПРОГРАММНО-АППАРАТНОЙ ЗАЩИТЫ
ИНФОРМАЦИИ
В большинстве как коммерческих, так и государственных организаций обработка информации ограниченного доступа ведется на рабочих станциях, где установлены ОС Windows 7 или Windows 10, а в качестве серверных операционных систем используются ОС Windows Server 2012 или 2016. Анализ защищенности этих операционных систем показывает, что встроенные в них средства в большинстве случаев не могут полностью обеспечить защиты от актуальных угроз, типичных для большинства корпоративных сетей.
Не выполняются несколько важных требований по защите информации: невозможно разграничить между пользователями доступ к устройствам и невозможно ограничить несанкционированное использование съемных носителей информации, нет учета печати, отсутствует затирание остаточной информации.
Кроме того, провести полноценный анализ программного кода Windows в силу его закрытости хотя бы по четвертому уровню контроля отсутствия недекларированных возможностей, невозможно.
По этим и ряду других причин возникает необходимость в применении добавочных средств программно-аппаратной защиты информации от НСД.
В данной статье выполнен сравнительный анализ особенностей практической реализации и использования двух распространенных систем защиты информации от НСД - Dallas Lock (производитель ООО «Конфидент», г. Санкт-Петербург) [3] и Secret Net Studio (производитель ООО «Код Безопасности», г. Москва) [Прокушев, 2014; Малий, 2018]. При сравнении будут рассматриваться следующие аспекты [4]:
1) наличие сертификатов ФСТЭК;
2) состав защитных механизмов СЗИ;
3) особенности установки и удаления СЗИ;
4) принципы реализации защиты от несанкционированной загрузки;
5) возможность шифрования данных средствами СЗИ;
6) интерфейс администрирования параметров работы средств защиты информации;
7) реализация дискреционной политики разграничения доступа;
8) особенности настройки замкнутой программной среды;
9) особенности ведения журнала аудита пользователей;
10) реализация мандатной политики разграничения доступа;
11) работа механизма контроля целостности;
12) контроль доступа к устройствам;
13) особенности работы сетевых версий СЗИ;
14) удаление остаточной информации;
15) копирование настроек СЗИ;
16) ценовой фактор и работа службы технической поддержки.
Рассмотрим подробней возможности средств защиты.
1. Наличие сертификатов ФСТЭК
Оба средства защиты выпускаются в двух различных модификациях. Одна из модификаций может быть использована для защиты только несекретной информации (любые классы ГИС или ИСПДн, конфиденциальных автоматизированных систем). Расширенные версии продуктов имеют сертификаты ФСТЭК, позволяющие использовать их для защиты информации в АС класса до 1Б включительно.
Dallas Lock и Secret Net Studio могут использоваться в самых разных версиях операционных систем семейства Windows. Интересной особенностью последних редакций Dallas Lock является заявленная возможность установки на ОС Windows редакции Home. Однако, по нашему мнению, использовать такого рода «разновидности» операционных систем для защиты сведений ограниченного доступа весьма нежелательно. Допустимы редакции Professional или выше. Использование редакций Home Basic, Home Premium может создать проблемы в обеспечении безопасной обработки данных.
МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ 05.13.19
2. Состав защитных механизмов СЗИ
Средства программно-аппаратной защиты информации разрабатываются с учетом существующих угроз и нормативных требований к обеспечению информационной безопасности. Изменение этих параметров неизбежно влечет за собой корректировку состава защитных механизмов.
В последних версиях Dallas Lock, наряду со средством защиты от НСД, присутствуют такие компоненты, как персональный межсетевой экран, система обнаружения вторжений уровня узла, однако в отличие от Secret Net Studio он все еще не располагает встроенным модулем антивирусной защиты.
3. Особенности установки и удаления СЗИ
Штатное удаление СЗИ Secret Net выполняется несколько легче, чем Dallas Lock. В Dallas Lock технические сложности могут возникнуть, если применялось шифрование дисков. В этом случае необходимо следовать инструкциям, изложенным в руководстве по эксплуатации, так как при «обычном» удалении СЗИ и наличии предварительно зашифрованных дисков информацию, хранимую на них, можно безвозвратно потерять или же компьютер после удаления СЗИ будет неработоспособным.
На наш взгляд, если возникает необходимость, то предпочтительнее шифровать не системный раздел, а только разделы с данными, поскольку снять шифрование штатным образом с несистемного раздела гораздо легче. Или же создавать шифрованные файл-контейнеры.
Оба средства поддерживают временную деактивацию системы защиты, которая нужна, если в процессе функционирования объекта защиты возникла необходимость установки дополнительного программного обеспечения.
4. Принципы реализации защиты
от несанкционированной загрузки
Одним из способов осуществления доверенной загрузки является применение плат аппаратной поддержки.
В СЗИ Secret Net Studio в качестве аппаратного средства защиты от несанкционированной загрузки используется аппаратный модуль доверенной загрузки ПАК «Соболь». От платы Secret Net Touch Memory Card он отличается тем, что выполняет проверку целостности системы и авторизацию пользователей до загрузки операционной системы.
В настоящее время СЗИ от НСД Dallas Lock 8 может использоваться совместно с аппаратным модулем доверенной загрузки СДЗ Dallas Lock. Это средство использует платы типа PCI-E и PCI-E mini.
Наличие аппаратных плат повышает устойчивость этих средств к атаке от реализации атак, связанных с несанкционированной загрузкой системы.
И в Dallas Lock, и в Secret Net Studio есть возможность использования идентификаторов для аутентификации пользователей. В случае применения идентификаторов iButton серии DS199X необходимо наличие считывателей.
Если аппаратные модули не применяются, то можно применить разновидности считывателей, подключаемых к COM-порту.
Также возможно использование считывателей типа eTo-ken или ruToken, аутентификация осуществляется при этом через USB порт.
Эти же типы идентификаторов можно применять и в ситуации, когда используются аппаратные платы поддержки.
В случае, если платы не используются, защита от несанкционированной загрузки обеспечивается следующим образом. Во-первых, устанавливаются соответствующие настройки BIOS, обеспечивающие приоритет загрузки с жесткого диска. Во-вторых, их изменение блокируется паролем.
В-третьих, в Secret Net Studio используется компонент доверенной загрузки, выполняющий модификацию загрузочных секторов жестких дисков. В этом случае после несанкционированной загрузки со съемных носителей ознакомление с защищаемой информацией невозможно - разделы распознаются как поврежденные или неформатированные. Однако перед использованием этого компонента на объекте защиты рекомендуются опробовать его демонстрационный вариант в силу возможных несовместимостей данного средства защиты с некоторыми моделями UEFI.
В СЗИ Dallas Lock в случае отсутствия аппаратной части применяется несколько иной принцип защиты от несанкционированной загрузки. Dallas Lock модифицирует загрузчик ОС (это одна из причин неполадок в работе компьютера после некорректного удаления СЗИ), и пользователь проходит сначала аутентификацию в Dallas Lock.
При этом данные пользователей, зарегистрированных в Dallas Lock, хранятся на жестком диске в зашифрованном виде. Систему защиты можно настроить таким образом, чтобы пользователь вводил пароль один раз при прохождении аутентификации в Dallas Lock, а затем введенный пароль использовался и в Windows. Если возникает необходимость ввода дополнительного пароля для входа в ОС Windows, то пароли для Dallas Lock и Windows должны быть разными.
Следует отметить, что в случае отсутствия плат аппаратной поддержки важное значение имеют установка загрузки только через жесткий диск и пароля в BIOS или UEFI. Если пароля нет, то можно установить приоритет загрузки с CD\DVD-ROM или USB порт.
Если же защита реализована с помощью платы аппаратной поддержки, то нарушитель может вытащить из PCI разъема плату физически. По этой причине в помещении, где размещены защищаемые компьютеры, должны обеспечиваться хотя бы минимальные меры контроля за доступом туда посторонних лиц.
5. Возможность шифрования данных средствами СЗИ
В настоящее время СЗИ Secret Net Studio реализована возможность создания криптографически защищенных контейнеров с пользовательскими данными.
Что касается СЗИ Dallas Lock, то шифрование может быть применено по отношению к:
1) дискам (так называемый механизм прозрачного шифрования). При несанкционированном доступе шифрованные диски будут видны как неразмеченные области, доступ к информации на них будет невозможен;
2) отдельным файлам и папкам (создание шифрованных файл-архивов). При этом для возобновления обработки хранимой в них информации в штатном режиме архив должен быть предварительно расшифрован;
3) областям жесткого диска - файл-контейнерам. В зашифрованном режиме этот объект виден как обычный файл. После ввода авторизационной информации его можно увидеть в проводнике в качестве отдельного раздела жесткого диска.
Прокушев Я.Е., Малий Ю.В.
Если же была осуществлена несанкционированная загрузка, а на компьютере не использовались средства криптографической защиты информации, то нарушитель сможет получить полный доступ к данным. Угроза несанкционированного ознакомления с защищаемой информацией справедлива и для ситуации, когда нарушителю удалось вынести жесткий диск с объекта защиты. С этой точки зрения применение криптографии необходимо, поскольку нарушитель сможет только уничтожить защищаемые шифрованные ресурсы, но не ознакомиться с их содержанием.
6. Интерфейс администрирования параметров работы
средств защиты информации
Несомненным достоинством СЗИ Dallas Lock является то, что консоль администрирования позволяет не только настраивать все параметры работы этого продукта, но контролировать работу пользователя с помощью просмотра журнала аудита.
В Secret Net Studio настройка системы выполняется несколькими программами. Главные параметры работы системы настраиваются в основной консоли приложения. Просмотр журнала аудита работы пользователей осуществляется в другом окне.
В настоящее время оба СЗИ - как Dallas Lock, так и Secret Net Studio дублируют все защитные механизмы Windows, а также добавляют свои. Настроить политики парольной защиты, аудита, доступа к компьютеру можно в обоих продуктах. При этом следует помнить, что их защитные механизмы работают независимо от механизмов Windows.
7. Дискреционное разграничение доступа к объектам и устройствам
Этот механизм разграничения прав доступа используется в качестве основного при защите информации, не отнесенной к государственной тайне.
СЗИ Dallas Lock и Secret Net Studio имеют собственные механизмы настройки дискреционной модели доступа. При этом использование средств разграничения Windows не исключается.
Однако совместное применение дискреционных механизмов средств защиты информации и операционной системы не рекомендуется. В случае противоречия настроек доступа к файлам и папкам найти причину ошибки гораздо сложней.
Кроме того, в Windows привилегии «просмотр папки» и «выполнение» совмещены. Поэтому предоставление возможности открытия папки означает увеличение зон несанкционированного запуска пользователем программ, что представляет угрозу информационной безопасности защищаемого объекта.
В связи с этим возникает задача ограничения возможности несанкционированного запуска программ пользователем.
8. Особенности настройки замкнутой программной среды
Возможность организации замкнутой программной среды (ЗПС) есть и в Dallas Lock, и в Secret Net Studio. Однако настройку ЗПС несколько проще выполнить в Dallas Lock. Это средство защиты имеет режим обучения, позволяющий быстро настроить ЗПС. Режим мягкого доступа, имеющийся и в Dallas Lock, и в Secret Net Studio, предполагает изучение событий НСД в журналах доступа к процессам и ресурсам.
Время и трудоемкость настройки ЗПС при этом могут незначительно увеличиться.
При использовании режима обучения администратор безопасности выполняет за пользователя все действия, которые он будет осуществлять в процессе работы. При этом автоматически выставляются разрешения на запуск только тех процессов, к которым был осуществлен доступ. Затем режим обучения отключается.
За счет отсутствия необходимости изучения журналов настройка ЗПС выполняется значительно быстрее.
9. Особенности ведения
журнала аудита действий пользователей
Работа администратора безопасности зачастую связана с анализом действий пользователей, аудит работы которых ведется с помощью СЗИ. Организация журналов в Dallas Lock и Secret Net Studio выполнена по-разному.
В Dallas Lock предусмотрено несколько типов журналов: учета печати, входов, доступа к ресурсам, запуска процессов, изменения политик и управления учетными записями. В Secret Net Studio предусмотрен один журнал для всех событий системы безопасности.
И в том и другом случае имеются свои недостатки и достоинства. В случае с Dallas Lock гораздо легче искать определенный тип событий - например печати или входов пользователей в систему. Однако при анализе цепочки взаимосвязанных событий необходимо переключаться между журналами. В Secret Net Studio журнал СЗИ один - цепочку последовательных событий просмотреть легче, но анализ отдельного типа событий осуществлять труднее. Оба СЗИ поддерживают возможность фильтрации событий в журналах по разным критериям.
При переполнении журнала в Dallas Lock происходит его копирование в папку Logs и последующая очистка. Таким образом, данные о предыдущей работе сохраняются автоматически, а при необходимости их можно извлечь для анализа. В случае с автономной версией Secret Net Studio журнал СЗИ автоматически не архивируется. При переполнении происходит либо блокировка компьютера, либо перезапись новыми ранее свершившихся событий. Автоматическая отправка журналов в Secret Net Studio предусмотрена в его сетевом варианте. При использовании локализованной версии администратору безопасности желательно установить достаточно большой размер журнала и периодически вручную выполнять резервное копирование, что бывает не всегда удобно.
10. Реализация мандатной политики разграничения доступа
Мандатная модель разграничения доступа не является обязательной при настройке СЗИ для защиты персональных данных. Тем не менее, учитывая дополнительные возможности, которые предоставляет механизм управления потоками, рассмотрим особенности его реализации в Dallas Lock и Secret Net Studio. Как правило, бывает достаточно три-четыре уровня конфиденциальности. Оба средства защиты обеспечивают эти возможности.
Принцип настройки работы механизма мандатного доступа к объектам в настоящее время разный в обоих программах похожий. Для каждого уровня конфиденциальности при настройке работы сложных программных продуктов создаются каталоги-двойники. Такой способ традиционно использовался сначала в Secret Net, а затем в продукте, пришедшем ему на смену - Secret Net Studio.
МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ 05.13.19
В предыдущих версиях Dallas Lock использовался другой принцип - там указывались каталоги и процессы, исключенные из механизма управления потоками. В восьмой версии Dallas Lock разработчики изменили принцип настройки на тот, который используется в Secret Net Studio. Настройка работы программ для корректного функционирования при включенном механизме контроля потоков имеет свою специфику как в Dallas Lock, так и в Secret Net. Сложность реализации настроек примерно одинаковая.
11. Работа механизма контроля целостности
Механизм контроля целостности файловой среды является средством, следящим за неизменностью программной среды. Обе защитные системы реализуют контроль целостности файловых объектов, включая возможность установки расписания его выполнения. Кроме того, в СЗИ Dallas Lock дополнительно реализована интересная возможность контроля целостности целого ряда глобальных параметров, характеризующих программно-аппаратную среду защищаемого объекта.
Открыв консоль управления Dallas Lock и выбрав пункт «Контроль целостности ПЭВМ», можно установить тот или иной контролируемый параметр. Однако выбирать все параметры подряд не следует ввиду значительного увеличения времени загрузки компьютера при осуществлении подобных проверок. Рекомендуется, ознакомившись с руководством по эксплуатации, выбрать только наиболее важные для защищаемого объекта опции. В каждом отдельном случае набор параметров определяется индивидуально.
12. Контроль доступа к устройствам
Одним из существенных недостатков встроенных защитных механизмов Windows является невозможность настройки прав доступа к подключаемым устройствам. В этой связи одной из задач добавочных средств защиты информации, которыми являются Secret Net Studio и Dallas Lock, является блокировка угроз, связанных с их применением.
Как в Secret Net Studio, так и в Dallas Lock возможно осуществить администрирование доступа к отдельно взятым накопителям данных различных типов, разграничив на них права между пользователями. Можно выполнить администрирование доступа к COM-портам, LPT-портам, дисководу гибких дисков, CD\DVD-ROM, USB-портам и другим, менее распространенным типам устройств. В случае применения модификаций «С» средств защиты есть возможность настройки не только дискреционного доступа к объектам, но и мандатного.
В целом, в последних версиях обоих программных продуктов возможности средств защиты по настройке доступа к устройствам были существенно расширены. Интерфейс администрирования позволяет детализировать разновидности подключаемых устройств.
На данный момент задача контроля доступа к подключаемым устройствам компьютера при корректном использовании имеющихся защитных механизмов полностью решена в обеих защитных системах.
13. Особенности работы сетевых версий СЗИ
Оба средства защиты поддерживают работу с доменными пользователями. Кроме того, имеется возможность применения сетевого режима работы, в котором появляется допол-
нительный элемент - консоль управления администратора безопасности. В случае с СЗИ Dallas Lock для реализации такого режима наличие домена не обязательно. А для Secret Net, наоборот, требуется наличие домена и предварительная установка в нестандартной конфигурации бесплатной редакции СУБД Oracle, предназначенной для хранения и обработки журналов аудита. Учитывая нестандартный характер установки СУБД, необходимо ознакомление с соответствующим разделом технической документации.
14. Удаление остаточной информации
Затирание остаточной информации реализовано в обеих системах, однако, по мнению авторов, эта опция в Secret Net реализована несколько лучше.
Как свидетельствует практика, при двукратном затирании данных и отключении кэширования записи на диск (рекомендуется как подготовительное мероприятие перед установкой СЗИ Dallas Lock) время выключения компьютера значительно увеличивается. Если кэширование записи на диск включить, то время отключения уменьшается. Настройку «разрешить кэширование записи на диск» можно оставить, если подачу электроэнергии контролирует источник бесперебойного питания. В противном случае при сбое в подаче электроэнергии в работе СЗИ возможны неполадки и ошибки при последующей загрузке, связанные с нарушением целостности контролируемых объектов. Особенно следует быть внимательным к данной проблеме при использовании механизма прозрачного шифрования дисков и включенном кэшировании записи на диск. СЗИ Secret Net относительно «равнодушен» к внезапным отключениям электропитания, хотя и у него после нештатной остановки иногда отмечаются нарушения в работе подсистемы контроля целостности объектов.
15. Копирование настроек СЗИ
В организациях при осуществлении защитных мероприятий иногда возникает задача переноса конфигурации СЗИ одного компьютера на другой. В обеих защитных системах данная возможность предусмотрена, но в СЗИ Dallas Lock возможно полное копирование защитной конфигурации и перенос ее на другой компьютер в одном файле. В случае применения локальной версии Secret Net будут скопированы не все необходимые настройки. Тем не менее, процесс переноса конфигурации для СЗИ Dallas Lock имеет свои особенности. Исходя из опыта реализации таких операций на компьютерах, работающих под управлением OC Windows 7 Professional, желательно выполнять следующие действия:
1) при создании конфигурации копировать все настройки системы защиты, кроме списка пользователей и групп. Их на защищаемом компьютере следует создать вручную перед применением конфигурации;
2) для антивирусных программ следует выполнить мероприятия по обеспечению их совместной работы с Dallas Lock. Для этого файлы СЗИ необходимо добавить в исключения из обработки;
3) применение новой конфигурации СЗИ осуществлять при отключенном антивирусе;
4) после применения конфигурации компьютер желательно перезагрузить.
Прокушев Я.Е., Малий Ю.В.
16. Ценовой фактор и работа
службы технической поддержки
Ценовой фактор оказывает значительное влияние на выбор средства защиты информации.
В настоящее время для определения стоимости используемого средства защиты информации на сайте Secret Net Studio предусмотрена возможность использования калькуляторов.
ВЫВОДЫ
Следует отметить, что проблема выбора средств обеспечения информационной безопасности при разработке системы защиты конфиденциальной информации или персональных данных не исчерпывается теми критериями, которые
указаны выше. Тем не менее, приведенная модель может быть использована при разработке большинства систем программно-аппаратной защиты информации в ЛВС.
ЗАКЛЮЧЕНИЕ
В приведенном сравнительном анализе были освещены только некоторые существенные, с точки зрения авторов, эксплуатационные особенности двух СЗИ, каждое из которых имеет свои сильные стороны. Тем не менее, оба средства при корректном применении обеспечивают высокий уровень информационной безопасности. Выбор в пользу той или иной защитной программы зачастую зависит от особенностей объекта, на котором ведется обработка информации и персонала, обеспечивающего его защиту.
Литература
1. Приказ № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Утв. ФСТЭК России 18.02.2013.
2. Приказ № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Утв. ФСТЭК России 11.02.2013.
3. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации (утв. Банком России, АРБ, Ассоциацией региональных банков России (Ассоциация «Россия»).
ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования».
5. Прокушев Я.Е. Программно-аппаратные средства защиты информации. Средства антивирусной защиты: учеб. пособие. Белгород: Изд-во БУКЭП, 2014. 110 с.
6. Малий Ю.В., Шатохин Р.А., Прокушев Я.Е. Актуальные проблемы обеспечения информационной безопасности в банковской сфере: монография. Белгород: Изд-во БУКЭП, 2018. 185 с.
7. Schneier B. Beyond fear: Thinking sensibly about security in an uncertain world. 2003. P. 263.
8. Mitnick K., Simon W.L. The art of deception: Controlling the human element of security. 2003. P. 330.
9. Mitnick K., Simon W.L. The art of intrusion. 2005. P. 288.
10. Konheim A.G. Computer security and cryptography. USA: Wiley, 2007. P. 544.
References
1. Order No. 21 "On approval of the composition and content of organizational and technical measures to ensure the security of personal data during their processing in personal data information systems". Approved by FSTEC of Russia of 18.02.2013.
2. Order No. 17 "On approval of requirements for the protection of information that does not constitute a state secret contained in state information systems". Approved by FSTEC of Russia of 11.02.2013.
3. Methodological recommendations for the implementation of legal requirements for the processing of personal data in organizations of the banking system of the Russian Federation (Approved by Bank of Russia, ARB, Association of regional banks of Russia (Association "Russia").
4. GOST R 51624-2000 "Information protection. Automated systems in a protected version. General requirements".
5. Prokushev Ya.E. Software and hardware means of information protection. Anti-virus protection tools: studies guide. Belgorod: Publishing House of BUCAP, 2014. P. 110.
6. Maliy Yu.V. Shatokhin R.A., Prokushev Ya.E. Actual problems of information security in the banking sector: monograph. Belgorod: Publishing House of BUCAP, 2018. P. 185.
7. Schneier B. Beyond fear: Thinking sensibly about security in an uncertain world. 2003. P. 263.
8. Mitnick K., Simon W.L. The art of deception: Controlling the human element of security. 2003. P. 330.
9. Mitnick K., Simon W.L. The art of intrusion. 2005. P. 288.
10. Konheim A.G. Computer security and cryptography. USA: Wiley, 2007. P. 544.
Статья поступила в редакцию 11.03.2020, принята к публикации 23.03.2020 The article was received on 11.03.2020, accepted for publication 23.03.2020
СВЕДЕНИЯ ОБ АВТОРАХ
Прокушев Ярослав Евгеньевич, кандидат экономических наук, доцент; доцент кафедры прикладной информатики и информационной безопасности Российского экономического университета им. Г.В. Плеханова. Москва, Российская Федерация. E-mail: 1985nk@list.ru Малий Юлия Васильевна, кандидат экономических наук; доцент кафедры организации и технологии защиты информации Белгородского университета кооперации, экономики и права. Белгород, Российская Федерация. E-mail: lazarevaipk@yandex.ru
ABOUT THE AUTHORS
Yaroslav E. Prokushev, PhD in economics, Associate Professor; associate professor of the Department of Applied Information Technology and Information Security, Plekha-nov Russian University of Economics Academic. Moscow, Russian Federation. E-mail: 1985nk@list.ru Julia V. Maliy, , PhD in economics; associate professor of the Department of Organization and Technology of Information Security, Belgorod University of Cooperation, Economics and Law. Belgorod, Russian Federation. E-mail: lazarevaipk@yandex.ru
