К техническим средствам защиты относятся все устройства, которые предназначены для защиты данных. В свою очередь, технические средства защиты можно разделить на физические и аппаратные.
Физическими называются средства защиты, которые создают физические препятствия на пути к защищаемым данным и не входят в состав аппаратуры ИВС, а аппаратными - средства защиты данных, непосредственно входящие в состав аппаратуры ИВС.
Программными называются средства защиты данных, функционирующие в составе программного обеспечения ИВС.
Отдельную группу средств защиты информации составляют криптографические средства, которые реализуются в виде программных, аппаратных и программно-аппаратных средств защиты.
Физические средства защиты выполняют следующие основные функции:
1) охрана территории и зданий;
2) охрана внутренних помещений;
3) охрана оборудования и наблюдение за ним;
4) контроль доступа в защищаемые зоны;
5) нейтрализация излучений и наводок;
6) создание препятствий визуальному наблюдению и подслушиванию;
7) противопожарная защита;
8) блокировка действий нарушителя и т.п.
Для предотвращения проникновения нарушителей на охраняемые объекты применяются следующие технические устройства:
- охранные системы (извещатели различного принципа действия (ударно-контактные, магнитно-контактные, радиоволновые, ультразвуковые, акустические, оптические, комбинированные и др.), тревожные кнопки, приёмно-контрольные приборы, выносные звуковые и световые оповещатели, системы передачи извещений);
- системы видеонаблюдения;
- системы контроля и управления доступом;
- инженерно-технические средства защиты (ограждения, заборы, решётки, бронированные стёкла и двери и т.д.).
Аппаратные средства защиты.
Согласно исследованиям, проведённым фирмой Intel наименее надёжными компонентами ПК являются жёсткий диск и источник питания.
Отказоустойчивые дисковые массивы.
Проблема повышения отказоустойчивости систем чаще всего решается с помощью массивов RAID. RAID (Redundant Array of Inexpensive Disks) - массив избыточных недорогих дисков.
Технология RAID может быть построена на аппаратной или программной реализации.
По определению RAID имеет три признака:
1. Набор дисков, доступных пользователям как один или несколько логических дисков.
2. Данные распределяются по набору дисков определённым способом.
3. Добавляется избыточная ёмкость или возможность восстановления данных в случае дисковых отказов.
Т.е. RAID - это дисковая архитектура, которая объединяет два или более стандартных физических устройств в одно для того, чтобы достичь устойчивости данных против сбоев путём резервирования. Основные причины использования RAID-систем - улучшение производительности и повышение надёжности.
Небольшие недорогие диски, используемые в персональных компьютерах и микроЭВМ, ниже по эффективности и ёмкости в сравнении с большими дорогими дисками универсальных ЭВМ и суперЭВМ.
Однако они превосходят их по четырём важнейшим показателям:
• возможность ввода/вывода (I/O);
• стоимость за мегабайт;
• среднее время безотказной работы (MTBF);
• соотношение «стоимость/эффективность» SCSI-контроллера на диск.
Совместное использование недорогих дисков в массиве даёт очевидные преимущества:
• высокую скорость пересылки;
• увеличение дисковой емкости;
• высокую скорость I/O.
Однако практические результаты и, следовательно, преимущества полученных решений в большой степени зависят от используемых уровней RAID, определяющих различные степени быстродействия, надёжности и стоимости массивов. Выделяют восемь уровней RAID (0-7) [10], наибольшее распространение получили уровни 1, 3 и 5.
Общим недостатком для программных реализаций RAID является существенная загрузка процессора компьютера.
Источники бесперебойного питания.
С возрастанием мощности и быстродействия компьютеров повышается их чувствительность к качеству питания. Многие современные операционные системы (ОС) кэшируют данные в памяти перед записью на диск - для ускорения работы и экономии ресурсов. Из-за сбоя в электроснабжении возможна потеря кэшированных данных, особенно это важно для компьютеров, выполняющих функции серверов.
Для защиты компьютера от помех в электросети используются сетевые фильтры, стабилизаторы и источники бесперебойного питания (ИБП).
ИБП можно разделить на три группы:
· Standby (Off-Line);
· Line-interactive;
· On-Line.
ИБП типа Standby (Off-Line) имеют самое простое устройство и часто называются резервными, поскольку компьютер переключается на питание от батареи лишь при выходе напряжения питания сети за заранее определённые рамки. В нормальном режиме работы такого ИБП напряжение подается через подавитель импульсов и радиочастотный фильтр в ПК. При этом оно может изменяться в некоторых допустимых пределах. В случае электрических помех или полного пропадания входного напряжения специальные ключи переводят подключаемую к ИБП нагрузку в режим работы от батареи. Недостатком таких приборов является время переключения на резервный источник.
ИБП типа Line-Interactive имеют усовершенствованный механизм фильтрации входного напряжения и улучшенную форму выходного напряжения. Встроенный стабилизатор позволяет избежать скачков напряжения на выходе, а усовершенствованная схема прибора поддерживает почти идеальную форму напряжения при переходе на питание от батареи.
Эти ИБП пользуются наибольшей популярностью как устройства с наилучшим соотношением между ценой и набором характеристик.
ИБП On-Line наиболее сложные приборы. Обладают идеальной формой выходного напряжения и нулевым временем переключения на батарею. Применяются для наиболее ответственных электронных и компьютерных систем: файл-серверов, офисных АТС, медицинских приборов, охранных систем, измерительных датчиков и т. д.
Программные!
Программные средства защиты информации.
Программными называются средства защиты данных, функционирующие в составе программного обеспечения. Среди них можно выделить и подробнее рассмотреть следующие:
· средства архивации данных;
· антивирусные программы;
· встроенные средства защиты информации операционных систем (средства идентификации и аутентификации пользователей, средства управления доступом, протоколирование и аудит (InfoWatch Traffic Monitor и InfoWatch Net Monitor);
· криптографические средства.
Средства архивации информации.
Иногда резервные копии информации приходится выполнять при общей ограниченности ресурсов размещения данных, например владельцам ПК. В этих случаях используют программную архивацию [50]. Архивация это слияние нескольких файлов и даже каталогов в единый файл - архив, одновременно с сокращением общего объёма исходных файлов путём устранения избыточности, но без потерь информации, т.е. с возможностью точного восстановления исходных файлов. Действие большинства средств архивации основано на использовании алгоритмов сжатия, предложенных в 80-х гг. Абрахамом Лемпелем и Якобом Зивом. Наиболее известны и популярны следующие архивные форматы:
· ZIP, ARJ для операционных систем DOS и Windows;
· TAR для операционной системы Unix;
· межплатформный формат JAR (Java ARchive);
· RAR (всё время растёт популярность этого нового формата, так как разработаны программы позволяющие использовать его в операционных системах DOS, Windows и Unix).
Пользователю следует лишь выбрать для себя подходящую программу, обеспечивающую работу с выбранным форматом, путём оценки её характеристик – быстродействия, степени сжатия, совместимости с большим количеством форматов, удобности интерфейса, выбора операционной системы и т.д.. Список таких программ очень велик – PKZIP, PKUNZIP, ARJ, RAR, WinZip, WinArj, ZipMagic, WinRar и много других.
Кроме архивации современнее программы-архиваторы, например, WinRar, позволяют выполнять процедуру шифрования данных в архиве.
Антивирусные программы - это программы разработанные для защиты информации от вирусов.
Методы обнаружения и удаления компьютерных вирусов.
Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса:
· профилактика заражения компьютера;
· восстановление поражённых объектов;
· антивирусные программы.
Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика предполагает соблюдение небольшого числа правил, которое позволяет значительно снизить вероятность заражения вирусом и потери каких-либо данных.
Для того чтобы определить основные правила компьютерной гигиены, необходимо выяснить основные пути проникновения вируса в компьютер и компьютерные сети.
Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Наибольшее число заражений вирусом происходит при обмене письмами в форматах Word. Пользователь заражённого макро-вирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые заражённые письма и т.д. Выводы – следует избегать контактов с подозрительными источниками информации и пользоваться только законными (лицензионными) программными продуктами. К сожалению в нашей стране это не всегда возможно.
В большинстве случаев заражения вирусом процедура восстановления заражённых файлов и дисков сводится к запуску подходящего антивируса, способного обезвредить систему. Если же вирус неизвестен ни одному антивирусу, то достаточно отослать заражённый файл фирмам-производителям антивирусов и через некоторое время (обычно - несколько дней или недель) получить лекарство-«апдейт» против вируса. Если же время не ждёт, то обезвреживание вируса придётся произвести самостоятельно. Для большинства пользователей необходимо иметь резервные копии своей информации.
Классификация антивирусных программ.
Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако следует отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное тоже верно: на любой алгоритм вируса всегда можно создать антивирус).
Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: фаг, полифаг, программа-доктор). Следом за ними по эффективности и популярности следуют CRC-сканеры (также: ревизор, checksumer, integrity checker). Часто оба приведённых метода объединяются в одну универсальную антивирусную программу, что значительно повышает её мощность. Применяются также различного типа блокировщики и иммунизаторы [11].
Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски ». Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов. Сканеры также можно разделить на две категории - «универсальные» и «специализированные». Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от ОС, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.
Сканеры также делятся на «резидентные» (мониторы, сторожа), производящие сканирование «на-лету», и «нерезидентные», обеспечивающие проверку системы только по запросу. Как правило, «резидентные» сканеры обеспечивают более надёжную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как «нерезидентный» сканер способен опознать вирус только во время своего очередного запуска. С другой стороны резидентный сканер может несколько замедлить работу компьютера в том числе и из-за возможных ложных срабатываний.
К достоинствам сканеров всех типов относится их универсальность, к недостаткам - относительно небольшую скорость поиска вирусов. Наиболее распространены в России следующие программы: AVP - Касперского, Dr.Weber – Данилова, Norton Antivirus фирмы Semantic.
По данным сайта TopTenReviews, опубликовавшем обзор антивирусного программного обеспечения (https://anti-virus-software-review.toptenreviews.com) на начало 2007 года, места между антивирусными программами распределились как показано в табл. 1.
Таблица 1
| Название антивирусной программы | BitDefender | Kaspersky | F-Secure Anti-Virus | PC-cillin | ESET Nod32 | McAfee VirusScan | Norton AntiVirus | AVG AntiVirus | eTrust EZ AntiVirus | Norman Virus Control |
| Место | ||||||||||
| Общий рейтинг | 
|
| 
|
|
|
|
|
|
|
|
| Простота использования | 
|
|
|
| 
|
|
| 
|
| 
|
| Эффективность |
|
|
|
|
|
|
|
|
|
|
| Обновления |
|
|
|
|
|
| 
|
|
|
|
| Функциональные возможности |
|
|
|
|
|
|
|
|
|
|
| Простота установки |
|
|
|
|
|
|
|
|
|
|
| Помощь/Тех. поддержка |
|
|
|
|
|
|
|
|
|
|
| Ориентировочная цена | $25 | $50 | $64 | $50 | $39 | $40 | $40 | $39 | $50 | $40 |
CRC-сканеры.
Принцип работы CRC-сканеров основан на подсчёте CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов [37]. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменён или заражён вирусом. CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врождённый недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошёлся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них. Наиболее используемые в России программы подобного рода - ADINF и AVP Inspector.
Блокировщики.
Антивирусные блокировщики - это резидентные программы, перехватывающие «вирусо-опасные» ситуации и сообщающие об этом пользователю. К «вирусо-опасным» относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. Иногда некоторые функции блокировщиков реализованы в резидентных сканерах.
К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ.
Иммунизаторы.
Иммунизаторы - это программы записывающие в другие программы коды, сообщающие о заражении. Они обычно записывают эти коды в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у них всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время. Кроме того многие программы, разработанные в последнее время, сами проверяют себя на целостность и могут принять внедренные в них коды за вирусы и отказаться работать.
Встроенные средства защиты информации в ОС можно разделить на следующие уровни:
· уровень начального доступа (включает имя и пароль пользователя, систему учётных ограничений типа явного разрешения или запрещения работы, допустимого времени работы в сети, места на жёстком диске, занимаемого личными файлами данного пользователя и т.д.);
· уровень прав пользователей («персональные» ограничения на выполнение отдельных операций и/или ограничения на работу данного пользователя как члена определённого подразделения, в отдельных частях файловой системы сети);
· уровень атрибутов каталогов и файлов (ограничения на выполнение отдельных операций типа удаления, редактирования или создания, идущие со стороны файловой системы и касающиеся всех пользователей, пытающихся работать с данными каталогами или файлами);
· уровень консоли файл-сервера (блокирование клавиатуры файл-сервера на время отсутствия сетевого администратора до ввода им специального пароля).
Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства ОС. Кроме программ шифрования, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых следует отметить Firewalls, позволяющие ограничить информационные потоки.
Firewalls - брандмауэры или межсетевые экраны (дословно firewall - огненная стена) [110]. Между локальной и глобальной сетями создаются специальные промежуточные сервера, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/ транспортного уровней (рис. 4). Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем.
Рис. 4. Соединение сетей с помощью межсетевого экрана
Межсетевой экран реализует четыре функции:
1) фильтрация данных (входного и выходного трафика);
2) использование экранирующих агентов (proxy-серверы), которые являются программами посредниками и обеспечивают установление соединения между субъектом и объектом доступа, а затем пересылают информацию, осуществляя контроль и регистрацию. Дополнительной функцией экранирующего агента является сокрытие от субъекта доступа истинного объекта.
3) трансляция адресов - предназначена для скрытия от внешних абонентов истинных внутренних адресов. Это позволяет сркыть топологию сети и использовать большее число адресов, если их выделено недостаточно для защищённой сети;
4) регистрация событий (запись происходит в специальные журналы, анализ записей которых позволяет зафиксировать попытку нарушения установленных правил обмена информацией в сети и выявить злоумышленника).
В заключении следует отметить, что программные средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
Организация сертификации средств защиты информации возлагается на федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области обороны, в соответствии с функциями, возложенными на них законодательством Российской Федерации.
Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством Российской Федерации.