Список литературы
1. Хьюбел Д. Глаз, мозг, зрение. М.: Изд-во «Мир», 2003. 240 с.
2. Шашлов А.Б., Уарова Р.М., Чуркин А.В. Основы светотехники: учебник для вузов. М.: МГУП, 2002. 280с.
A. Ageeva
ТИе minimum sufficient resolution of imagery information processing and output estimation
The minimum image’s resolution estimation reasoning from human vision and imagery information perception specificity is carried out.
Keywords: physical dimension, pixel dimension, resolution, viewing angle, liminal angle of spatial contradistinction, stimulus.
Получено 07.04.10
УДК 004.056.52:004.056.53
В.М. Леонов, канд. техн. наук, доц., (4872) 47-63-69, jh-ps@yandex.ru (Россия, Тула, ТулГУ),
Ю.М. Гольцев, (4872) 35-24-93, tppzi@tsu.tula.ru (Россия, Тула, ТулГУ)
РАЗРАБОТКА ПОДХОДОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА РЕЖИМНЫХ ПРЕДПРИЯТИЯХ
Рассмотрены вопросы теории и практики защиты информации программноаппаратными средствами. Значительное внимание уделено организации разграничения доступа к помещениям c применением передовых технологий, разграничению доступа к ресурсам локальной вычислительной сети предприятия, построению защищенной сети внутри локальной сети предприятия
Ключевые слова: информационная безопасность, защита информации, доступ
Противодействие утечке конфиденциальных данных - актуальная задача для служб информационной безопасности российских компаний. Важными приоритетами в этой работе являются обязательный контроль действий сотрудников, связанных с применением различных внешних носителей, а также обеспечение защиты доступа к конфиденциальной информации предприятия. Совместное применение технологий магнитных карт и смарт-карт демонстрирует комплексный подход к решению этих задач и позволяет эффективно противодействовать угрозе утечки данных в компаниях любого масштаба [1].
Информацию внутри предприятия можно разделить на общедоступную и конфиденциальную. К конфиденциальной информации следует отнести материалы о проводимых научных исследованиях, информациэ о проектных разработках, научные и технические решения, расчеты цен,
обоснования сделок, условия платежа, методы решения прикладных задач и т.д.
Для защиты конфиденциальной информации от возможных угроз, исходящих со стороны сотрудников организации, следует строить защиту в соответствии со структурой организации. Наиболее часто распространенная структура - иерархия. Доступ к конфиденциальной информации должен соответствовать положению сотрудника в иерархии предприятия и решаемым им задачам. Задача номер один отдела информационной безопасности - ограничить доступ посторонних лиц в служебные помещения. В качестве решения используется технология электронных замков и ключей для них - магнитных карт. Двери служебных помещений оборудуются электронными замками, открытие которых производится бесконтактным методом. Электронные замки подключаются к серверу посредством сети Ethemet, хранящему информацию обо всех выпущенных внутри организации ключах. На рис. 1 представлена схема установки и управления электронными замками на примере замков iSecure.
Лпгрь С огрзммчсмиен! доступ* мл ОХОД
Рис. 1. Схема управления электронными замками
Персоналом отдела информационной безопасности (ОИБ) для каждого электронного ключа разрабатываются правила в зависимости от того, какому сотруднику он принадлежит. Каждый ключ ассоциируется с персональными данными сотрудника, графиком его рабочего дня и доступными ему служебными помещениями. Электронные замки настраиваются таким образом, что ключ сотрудника действителен только в его рабочее время.
Попытки доступа в помещение сотрудником вне его рабочего времени посредством личной магнитной карты-ключа - протоколируется в базу данных сервера как потенциальная попытка неправомерного доступа, требующая разбирательств персоналом ОИБ. Каждый вход и выход сотрудника в помещение протоколируется в базу данных. При увольнении сотрудника запись на сервере управления электронными замками об его электронном ключе аннулируется, магнитная карта уничтожается. Сейчас применяются различные виды карт, причем всем соответствует свой тип считывателя: Touch Memory (iButton), Proximity, магнитные, менее распространенные - штриховые, Wiegan d, биометр шеские и другие. Для повышения надежности идентификации, кроме использования связки «электронный замок - магнитная карта», может быть использована клавиатура для набора персонального идентификационного номера (PIN-кода), информация о котором также хранится в базе данных сервера управления доступом персонала к служебным помещениям. Клавиатура для ввода идентификационного номера встраивается непосредственно рядом с электронным замком. При вводе сотрудником неверного PIN-кода несколько раз подряд его доступ ко всем служебным помещениям блокируется и может быть разблокирован лишь после обращения в службу информационной безопасности предприятия (возможно привлечение постоянно действующей комиссии технического контроля) и объяснения причин сложившейся ситуации. Использование магнитных карт достаточно практично и удобно как для сотрудников (унифицированный ключ для всех помещений) так и для персонала ОИБ (удобство управления доступом, протоколир ов ание).
Следующей задачей отдела информационной безопасности является разграничение прав доступа сотрудников к информационным ресурсам предприятия. Разграничение доступа происходит следующим образом: сотрудник имеет доступ только к тем информационным ресурсам предприятия, работа с которыми непосредственно связана с его прямыми обязанностями. Для эффективного разграничения прав доступа и контроля действий пользователей в организации создается «домен», куда заносятся данные сетевой идентификации всех компьютеров. Для организации «домена» наиболее часто используется технология Active Directory (AD). «Домен» в Active Directory представляет собой защищенную область, содержащая секционированную БД, хранящую информацию о пользователя, группах пользователей, компьютерах и ресурсах. Для каждого сотрудника создается учетная запись для доступа к компьютеру, находящемуся в «домене». К каждой учетной записи привязывается список доступных для сотрудника ресурсов. На рис. 2 представлена схема организации «домена» на основе Active Directory по каналам связи локальной сети организации.
Рис. 2. Общая схема ЛВС
На рис. 2 представлена ЛВС организации. Компьютеры 4 соединены между собой посредством Ethernet через коммутатор 3. Цифрой 1 обозначено пространство «домена». После того, как компьютеры введены в «домен», все маршруты для информации, передаваемой ими, определяет сервер управления «доменом» 2, а не физические каналы связи. Цифрой 5 обозначен межсетевой экран, 6 - глобальная сеть. Использование «домена» в организации значительно повышает уровень безопасности в сети. Во-первых, это единое и защищенное хранилище учетных записей пользователей. В одноранговой сети учетные данные пользователей хранятся в локальной базе данных учетных записей (SAM), которую теоретически, даже скорее практически, можно взломать, завладев компьютером. В доменной среде все пароли доменных пользователей хранятся на выделенных серверах-контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых, при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах. Кроме того, для входа пользователей в систему можно использовать двухфакторную аутентификацию при помощи смарт-карт, т.е. чтобы сотрудник получил доступ к компьютеру, ему понадобится ввести свой логин и пароль, а так-
же вставить свою смарт-карту. Обязательным также является шифрование локально размещенных данных на ПК пользователей в файловой системе NTFS.
Для работы с наиболее важной информацией имеет смысл использовать внутри ЛВС организации виртуальную частную сеть - VPN, авторизация в которой проходит с помощью смарт-карт. В организации устанавливается сервер, отвечающий за организацию защищенного сегмента в ЛВС, т.е. за шифрование данных, передаваемых между компьютерами находящимися в VPN. Технология VPN обеспечивает защиту (конфиденциальность, подлинность и целостность) передаваемой по сети информации, контроль доступа в защищаемый сектор сети, безопасный доступ пользователей VPN к ресурсам сетей общего пользования, централизованное управление политикой корпоративной сетевой безопасностью. Информация, которой обмениваются компьютеры, находящиеся в виртуальной частной сети, становится недоступной для любых других компьютеров. На рис. 3 представлена схема организации VPN в локальной сети таким образом, чтобы наиболее важные информационные ресурсы не были доступны извне.
Рис. 3. Общая схема VPN
Компьютеры 4 соединены между собой посредством Ethernet через коммутатор 3. Цифрой 1 обозначено пространство «домена». После того, как компьютеры введены в «домен», все маршруты для информации, передаваемой ими, определяет сервер управления «доменом» 2, а не физические каналы связи. Для доступа к важным ресурсам, находящимся в VPN, компьютер 4 проходит авторизацию на сервере управления VPN 6, после чего устанавливается защищенный канал связи 5 между компьютером 4 и элементами защищенной сети 7. При взаимодействии между компьютерами, включенными виртуальную частную сеть, обеспечивается установле-
ние между такими компьютерами защищенных соединений. При этом осуществляется преобразование всего №-трафика между двумя компьютерами в нечитаемые форматы по алгоритму, рекомендованному ГОСТ 28147-89. Одновременно производится инкапсуляция всех типов №-пакетов в единый тип, что полностью скрывает структуру информационного обмена.
Таким образом, наиболее важные информационные ресурсы организации должны находиться в виртуальной частной сети.
Для того чтобы получить к ним доступ, сотруднику необходимо иметь доступ не только к компьютеру, но и уникальный электронный ключ. Данный ключ создается отделом информационной безопасности индивидуально для каждого сотрудника, которому он необходим непосредственно для выполнения его прямых рабочих обязанностей. Ключ представляет собой смарт-карту/USB-карту, содержащую информацию о сотруднике, его «сертификате доверия» и уникальную цифровую подпись. При авторизации в виртуальной приватной сети проверяются не только «сертификат доверия» и уникальная подпись, но и переменные среды окружения пользователя, запустившего программу авторизации, и только после проверки всех этих параметров сотрудник получает доступ в защищенный сегмент. Использование смарт-карт - эффективный метод защиты от НСД, так как компрометация ключа в отличие от учетной записи выявляется практически моментально. Использование смарт-карт для авторизации - удобство разграничения доступа, никаких лишних учетных записей для сотрудников, которые могут быть переданы третьему лицу без каких-либо видимых следов.
Все значимые действия пользователей внутри локальной и виртуальной частной сетей организации протоколируются на специальном сервере.
Если сеть организации имеет выход в Интернет, целесообразно защитить ее межсетевым экраном. Межсетевой экран - это комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Межсетевой экран представляет собой устройство, устанавливаемое непосредственно между локальной сетью организации и Интернет. Наиболее эффективное расположение МЭ в сети организации представлено на рис. 2, где МЭ показан цифрой 5, глобальная сеть - 6. Контроль данных, проходящий через межсетевой экран, осуществляется с помощью набора правил, разработанных персоналом ОИБ. Наиболее часто правила для МЭ создаются по принципу «все, что не разрешено - запрещено». Информация о всех «сомнительных» потоках данных протоколируется в лог-файлах межсетевого экрана. Дан-
ный вид защиты очень эффективен для организаций, в локальной сети которых находятся ресурсы, к которым пользователи могут получить доступ из Интернет, например веб-сайт организации. Межсетевые экраны в таком случае способны эффективно отразить возможные атаки типа «отказ в обслуживании», направленные на ресурсы, находящиеся внутри локальной сети организации.
Стоит отметить то, что персоналу ОИБ не следует терять бдительность в защите данных от угроз, исходящих из локальной сети организации, и принимать во внимание только угрозы более глобального масштаба. Серьезно следует отнестись к защите данных при работе пользователя непосредственно с ними. Для обеспечения такой защиты необходимо использовать специализированное программное обеспечение.
Защита компьютера от сетевых атак обеспечивается с помощью установки на компьютер сотрудника персонального брандмауэра (Firewall). Firewall - приложение, исполняющее роль межсетевого экрана для отдельного компьютера, запущенное на этом же самом компьютере. Большая часть функций персонального файервола дублирует функции межсетевого экрана, однако персональный файервол также может обеспечивать дополнительные возможности. К таким возможностям относится контроль за приложениями, использующими порты. В отличие от межсетевых экранов, персональный файервол способен определять не только используемый протокол и адреса, но и точное название приложения, запрашивающего соединение, в частности, возможен контроль за неизменностью приложения (в случае изменения приложения вирусами, устанавливающимися в качестве плагинов, сетевая активность блокируется).
Для защиты от различных вредоносных программ рекомендуется использовать лицензионное и своевременно обновляемое в автоматическом режиме антивирусное программное обеспечение, что должно обеспечить комплекс превентивных мер по предотвращению заражения файлов или операционной системы вредоносным кодом.
Главная проблема электронного документооборота - возможные сложности в определении подлинности документа, что может привести к серьезным последствиям. Современные технологии аутентификации и контроля целостности основываются на формировании «цифровой подписи» (ЭЦП) основного сообщения, которая с ним связана и, кроме того, уникальна для каждого автора. В общем случае для подтверждения авторства сообщения необходимо сформировать пару «открытый и секретный ключ», вычислить значение цифровой подписи на секретном ключе и сообщить всем участникам документооборота, проверяющим данную цифровую подпись, ее открытый ключ. На такой схеме основаны современные
алгоритмы формирования ЭЦП, которые обеспечивают невозможность подделки цифровой подписи на современных компьютерах. Отечественные алгоритмы формирования цифровой подписи обусловлены ГОСТ Р34.10/34.11-94. Технологии цифровой подписи применяются в построении систем корпоративного и межкорпоративного документооборота. Таким образом, для подтверждения подлинности документа в электронном документообороте внутри организации следует использовать технологию электронной цифровой подписи - ЭЦП. Существует специальное программное обеспечение, предназначенное специально для подписи электронных документов. Такое программное обеспечение устанавливается на персональный компьютер каждого сотрудника, участвующего в процессе документооборота организации, и отвечает за изготовление подписей и проверку подлинности подписей получаемых сотрудником документов.
Основа данного решения по защите конфиденциальной информации от утечки программно-аппаратная. Рекомендуется установить систему дублирующего видеонаблюдения в наиболее подверженные риску со стороны человеческого фактора участки организации, например, на проходную, посты охраны. Необходимо регламентировать использование сотрудниками фото-, видеоаппаратуры на территории предприятия. Для сведения риска к минимуму каждый сотрудник организации должен понимать меру своей ответственности.
Совершенство защитного комплекса будет определено не только качеством реализации составных звеньев, но и полнотой их интеграции в общую систему безопасности. В данном случае понимается соответствие номинальных и декларируемых принципов их прикладной реализации как на программно-аппаратном уровне, так и на уровне организационнораспорядительных документов.
Список литературы
1. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Изд-во «Питер», 2008.
V. Leonov, U. Goltsev
Investigation of information security methods of secure facilities
A review of facilities access distribution by means of latest technologies, internal connection line access and protected business network is proposed.
Keywords: information security, distribution of access, internal connection line.
Получено 07.04.10