Обзор некоторых программных и программно-техническихсредств защиты информации Текст научной статьи по специальности «Компьютерные и информационные науки»

РАЗДЕЛ V.

РОЛЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ В ИННОВАЦИОННОМ РАЗВИТИИ ОБЩЕСТВА

ОБЗОР НЕКОТОРЫХ ПРОГРАММНЫХ И ПРОГРАММНО-ТЕХНИЧЕСКИХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

SOME INFORMATION SECURITY PIECES OF SOFTWARE AND PROGRAM-TECHNICAL MEANS REVIEW

С.К. ДАНИЛЕНКО, аспирант

Государственный научно-исследовательский институт системного

анализа счетной палаты Российской Федерации

S.K. DANILENKO, postgraduate student

The State research institute of system analis of the account chamber

of the RussianFederation

Анотация

Характерными техническими и экономическими произнаками для оценки програмного обеспечения по защите информации предоставлены рекомендации для выбора ПО.

Abstract

Using technical and economical characteristic for information security software apprasing it gives recomedations for the software chose.

Ключевые слова: средство защиты информации (СЗИ), несанкционированный доступ (НСД).

Keywords: ISF - information security facilities, UA - unauthorized access.

Существующая ступень развития общества характеризуется возрастанием значимости роли информационной безопасности, являющейся совокупностью методов и средств защиты информации, информационной инфраструктуры, и приносящей огромный вклад в устойчивость развития различных предприятий.

Системы защиты информации от несанкционированного доступа принято подразделять на следующие группы:

• технические (или аппаратные) средства и системы, независящие от предмета защиты, иными словами, от помещения и места расположения, от рабочей станции и т.д.;

• программно-аппаратные средства и системы. Данные системы и средства реализованы как отдельное устройство, функционирующее совместно с предметом защиты в определенной последовательности в соответствии с выполнением заданного программного алгоритма;

• программные средства (или системы) - программы взаимодействия с BIOS (базовой системой ввода-вывода), программные файрволы (пакетные фильтры), антивирусные средства и т.д. Представляют собой установленные на рабочей станции и функционирующие в соответствии с выполнением собственных заданных алгоритмов приложения.

Системы защиты информации функционирующие, при установленном разграничении доступа при помощи средств администрирования можно разделить следующим образом:

• разграничение доступа к предмету защиты выполняется с применением идентификации, например - ввод имени пользователя, использования физического ключа доступа - дискеты, eToken-ключи и другие внешние аппаратных устройств;

• авторизация пользователя при запросе доступа к защищаемой информации;

• аудит доступа, ведение реестра пользователей, блокирование доступа;

• контроль целостности каталогов и файлов, секторов и дисков;

• аудит контроля целостности данных;

• ограничение доступа к Интернет-ресурсам, не имеющим отношения к работе;

• запрет и аудит загрузки с внешних или съемных носителей.

Средство безопасной аутентификации eToken.

Технология OTP (One Time Password) представляет собой использование одноразовых паролей, которые генерируются с помощью устройства - токена. Он представляет собой небольшое устройство, размера брелока, которое отображает временный цифровой код, полученный от сервера. Для этого служит секретный ключ пользователя, который размещается как внутри OTP-токена (в данном случае eToken), так и на аутентификацион-ном сервере. Для того чтобы получить доступ к необходимым объектам, пользователь должен ввести временный пароль, отображенный на экране OTP-токена. Значение этого пароля сравнивается со значением, сгенерированным на сервере аутентификации, после чего определяется возможность предоставления доступа. Одним из преимуществ такого подхода является

то, что пользователю токен не нуждается в непосредственном соединении с пользовательским компьютером. Данный продукт разработан компанией ALADDIN (ALADDIN Software Security R.D.).

Средство eToken обладает следующими возможностями:

• авторизация пользователей при доступе к базам данных, серверам, Web-ресурсам;

• защита электронной почты с помощью цифровой подписи и шифрования;

• защита при взаимодействии банк-клиент;

• электронная торговля;

• защита виртуальных частных сетей (VPN);

• защита рабочих станций;

• хранение паролей, ключей шифрования, цифровых сертификатов пользователей.

• В свою очередь, использование статических (перманентных) паролей имеет ряд существенных недостатков:

• пользователь может утерять/забыть пароль;

• пароль может быть перехвачен, подобран. Пароль может подсмотреть недоброжелательное лицо.

Естественно, использование данной технологии не лишено ряда недостатков:

• токен устройство на автономном питании (батарея), вследствие чего, его источник иссякнет через 2-3 года, в зависимости от модели;

• сам токен не освобожден от человеческого фактора - может быть утерян, украден, испорчен;

• самое главное - как сам токен, так и его серверная часть стоят определенную сумму. Также организации, использующие данную технологию, вынуждены платить периодическую комиссию за использовании и обновление ПО (программного обеспечения).

Как правило, достигается определенное уменьшение расходов на сопровождение информационных продуктов вследствие автоматизации типовых операций, таких как выпуск и персонализация USB-ключей, смарт-карт, разблокировка PIN-кода, обновление сертификатов, и т.д. Ввод в эксплуатацию системы eToken позволяет снизить совокупную стоимость владения информационной системой (Total Cost Obtaining) и увеличить возврат на инвестиции (Return Of Investments).

Система защиты информации Secret Net представляет собой автономный и сетевой вариант. Автономный вариант состоит из клиентского ПО SecretNet и предназначен для обеспечения защиты автономных компьютеров, а так же пользовательских станций и серверов сети.

Сетевой вариант представляет собой клиентскую часть, а так же системы нижнего уровня управления и сервера безопасности. Данное реше-

ние позволяет реализовать защиту, как всех компьютеров сети, так и пользовательских станций, отвечающих за обработку и хранение информации ограниченной доступа. В этой связи наличие сервера безопасности и подсистемы управления делает возможным обеспечения централизованного управления пользовательскими станциями и контроль их работы. СЗИ Secret Net спроектирована на архитектуре клиент-сервер, что является обеспечением централизованного хранения и обработки настроек системы защиты и распределяет работу сегментов информационной системы, отвечающих за информационную безопасность.

Использование СЗИ Secret Net позволяют обеспечить:

• идентификацию пользователей при помощи аппаратных средств (Proximity Card, Touch Memory);

• разграниченный доступ пользователей к данным;

• раздельное управление доступом к определенным файлам (на локальных и сетевых дисках) в соответствии со степенью конфиденциальности данных и уровнем доступа пользователя;

• ресурс для подключения и применения криптографических средств защиты, а так же возможность обеспечения обмена данными между пользовательскими станциями в защищенном виде, при помощи криптографии;

• централизованное управление доступом пользователей к общим объектам локальной сети;

• осуществление контроля работы пользователей, журналирование изменения данных;

• уведомление администратора безопасности о попытках НСД;

• централизованную обработку лог - записей аудита - сбор и анализ;

• проверку целостности прикладных программ.

К достоинствам системы можно отнести:

• эффективная защита от НСД - контроль обращения с защищаемой информацией, контроль использования внешних носителей, использование политик безопасности в совокупности с возможностью детального разбора инцидентов позволяют создать эффективную систему противодействия внутренним нарушителям;

• централизованное и оперативное управление - наличие единого централизованного управления и мониторинга безопасности в режиме реального времени позволяют оперативно выявлять любые инциденты безопасности;

• масштабируемая система - необходимый уровень управления в организациях различного размера;

• гибкая ценовая политика - цена и комплектность поставки зависят от количества защищаемых серверов и рабочих станций;

• сертифицированное решение, позволяющее упростить процесс аттестации автоматизированных систем.

Недостатки:

• возможно возникновение проблемы синхронизации данных между контроллером домена и сервером безопасности. Необходимо указать, что компания-разработчик занимается исправлением данной ситуации;

• достаточно высокие требования к аппаратной части сервера безопасности. Данный факт значительно затрудняет централизованное управление безопасностью информационной системы. Как и в предыдущем пункте, разработчик занимается разгрузкой ресурсоемкости продукта;

• продукт, помимо затрат на приобретение, также нуждается в лицензировании и периодическом обновлении, что является в некоторой степени затратным.

Экономический эффект в целом, не отличается от эффекта, полученного от применения технологии eToken, при условии рационального использования. Сравнивать данные СЗИ между собой не вполне уместно только по стоимости, т.к. это разные технологии.

СЗИ от НСД «Аккорд» - это программно-аппаратный комплекс для ЭВМ, реализованный в следующих модификациях:

«Аккорд-АМДЗ» - аппаратный модуль доверенной загрузки;

«Аккорд^т32(^Е)» и ПАК «Аккорд^т64 (TSE)» - программно-аппаратные комплексы средств защиты информации.

Возможности данных средств позволяют проводить идентификацию и авторизацию пользователей, регистрацию действий (электронное журна-лирование), осуществлять контроль целостности файлов общего пользования и прикладного ПО, а так же обеспечивать режим доверенной загрузки.

СЗИ НСД Аккорд - АМДЗ - это аппаратный модуль доверенной загрузки ПК - серверов и пользовательских станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.

Доверенная загрузка - это загрузка различных операционных систем только с заранее указанных постоянных носителей - например, только с жесткого диска, после успешного завершения специальных процедур, таких как проверки целостности технических и программных средств ПК, включая использование механизма пошагового контроля целостности и идентификации/авторизации пользователя.

Программно-аппаратные комплексы средств защиты информации (ПАК СЗИ) Аккорд^т32 и Аккорд^т64 предназначены для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам.

Возможности:

• защита от несанкционированного доступа к ЭВМ;

• идентификация/авторизация пользователей до загрузки операционной системы с последующей передачей результатов успешной идентификации/авторизации операционной системе;

• аппаратный контроль целостности системных файлов и важнейших разделов реестра;

• доверенная загрузка ОС;

• контроль целостности данных и программ, их защита от несанкционированных изменений;

• создание индивидуальной изолированной рабочей программной среды для каждого пользователя;

• контроль запуска только разрешенных программ;

• разграничение доступа пользователей к данным и программам с помощью мандатного контроля доступа, т.е. когда, например, субъект «Пользователь № 1» имеет право доступа только к объекту доступа «№ 3», а его запрос к объекту доступа «№ 2» отклоняется;

• разграничение доступа пользователей и процессов к данным с помощью мандатного контроля доступа, т.е., например, субъект «Пользователь № 2», имеющий допуск уровня «не секретно», не может получить доступ к объекту, имеющего метку «для служебного пользования». В то же время, субъект «Пользователь № 1» с допуском уровня «секретно» право доступа к объекту с меткой «для служебного пользования» имеет;

• автоматическое протоколирование регистрируемых событий в энергонезависимом памяти аппаратном модуле комплекса;

• подключаемая автоматическая идентификация в ОС и на терминальном сервере пользователей, авторизованных защитными механизмами контроллера АМДЗ. При такой реализации, делая невозможным повторную идентификации пользователей, можно предоставить гарантию, что ОС будет загружена именно под тем же пользователем, который был авторизован в контроллере АМДЗ, и к терминальному серверу подключится этот же пользователь;

• управление терминальными сессиями;

• контроль печати на принтерах, подключенных как к терминальным серверам, так и к пользовательским терминалам, который позволяет отслеживать и вносить в протокол вывод документов на печать и помечать эти документы (в качестве пометки может выступать гриф секретности документа, имя принтера, имя пользователя, имя документа и другая информация);

• осуществление контроля доступа к ШВ-устройствам.

Однако две указанные выше системы «Аккорд» не могут сравниваться между собой, т.к. относятся к разным типам СЗИ. Система Аккорд-Win32 и Аккорд^т64 представляют собой значительно расширенную версию Аккорд-АМДЗ.

Данные системы используются, как правило, в крупных организациях, в виду достаточно высокой стоимости оборудования, специфической настройкой и обслуживанием, которое в силу своей специфики трудноосуществимо со стороны сотрудников ИТ-отделов небольших предприятий. Как привило, для установки и обслуживания данных комплексов необходимо прибегать к услугам узкоспециализированных специалистов. Этим же, в том числе, СЗИ серии Аккорд отличаются от рассмотренных выше СЗИ.

Преимуществами систем Аккорд^т32 и Аккорд^т64\Аккорд-АМДЗ являются:

• беспрецедентно высокая степень защиты информации за счет алгоритмов аппаратной части;

• высокая надежность программного комплекса;

• невозможность применения авторотационных данных в случая их кражи, т.к. аппаратная часть не позволит выполнить подключение к пользовательской станции физически.

Основными недостатками данных СЗИ являются:

• относительно высокая стоимость комплексов «Аккорд»;

• из-за специфики работы комплексов установку и облуживание должен осуществлять, как правило, узкий специалист;

• из-за габаритов нет возможности установки на портативные ПК, такие как ноутбуки и т.п.

Выбирая ту или иную систему защиты информации, важно учитывать целый ряд факторов, основными из которых являются стоимость приобретения, стоимость обслуживания и периодического лицензирования, возможность установки и обслуживания системы силами собственного штата сотрудников ИТ. Так же при выборе необходимо определиться какие цели организация преследует в рамках защиты информации; как именно и насколько надежно должна быть защищена та или иная информация. Естественно, все рассмотренные СЗИ, не являются статьями дохода, скорее наоборот, с точки зрения бухгалтерского учета. Но, обращаясь к учету экономическому, можно подсчитать неявные доходы и расходы, т.е. к статьям, которые отсутствуют в бухгалтерском учете. С их помощью можно оценить убытки, полученные в результате возможности потери или кражи информации и использовании ее злоумышленниками. С другой стороны, можно оценить прибыль, полученную в результате ее сохранения.

Контактная информация

danilenko_stas@mail. т