Назначение и характер аппаратных средств защиты информации
| Загрузить архив: | |
| Файл: ref-18832.zip (33kb [zip], Скачиваний: 210) скачать |
СТАВРОПОЛЬСКИЙГОСУДАРСТВЕННЫЙУНИВЕРСИТЕТ
Реферат на тему :
«Назначение и характер аппаратных средств защиты информации»
Студент Белевцев Д. В.
Физико-математический
Факультет “ОиТЗИ”
Преподаватель Лепешкин О. М.
Ставрополь
2004 г.
Содержание
TOC o "1-3" Содержание...................................................................................... PAGEREF _Toc420835684 h 2
Введение............................................................................................ 3
1. Защита информации........ ..............................................................4
2. Аппаратные средства защиты информации...........................5
2.1 програмные средства обеспечения защиты информации ..... 5
2.2 антивирусная защита...............................................................7
2.3аппаратные средства - основа построения систем защиты от несанкционированного доступа к информации............................ 9
2.4 оптимизация аппаратных средств криптографической защиты нформации (АСКЗИ)............................................................................................ . PAGEREF _Toc420835691 h 15
1. структура АСКЗИ.......................................................................15
2. модель АСКЗИ............................................................................15
2.5 задачи аппаратного обеспечения защиты информации...... PAGEREF _Toc420835692 h 17
2.6 дополнительные аппаратные средства обеспечивающий повышенный уровень защиты ............................................................................................... PAGEREF _Toc420835693 h 18
ЗАКЛЮЧЕНИЕ..............................................................................19
список используемой Литературы............................20
Введение
С конца 80-ых начала 90-ых годов проблемы связанные с защитой информации беспокоят как специалистов в области компьютерной безопасности так и многочисленных рядовых пользователей персональных компьютеров. Это связано с глубокими изменениями вносимыми компьютерной технологией в нашу жизнь. Изменился сам подход к понятию “информация”. Этот термин сейчас больше используется для обозначения специального товара который можно купить, продать, обменять на что-то другое и т.д. При этом стоимость подобного товара зачастую превосходит в десятки, а то и в сотни раз стоимость самой вычислительной техники, в рамках которой он функционирует. Естественно, возникает потребность защитить информацию от несанкционированного доступа, кражи, уничтожения и других преступных действий. Однако, большая часть пользователей не осознает, что постоянно рискует своей безопасностью и личными тайнами. И лишь немногие хоть каким либо образом защищают свои данные. Пользователи компьютеров регулярно оставляют полностью незащищенными даже такие данные как налоговая и банковская информация, деловая переписка и электронные таблицы. Проблемы значительно усложняются, когда вы начинаете работать или играть в сети так как хакеру намного легче в это время заполучить или уничтожить информацию, находящуюся на вашем компьютере.
1. Защита информации
Содержание проблемы защиты информации специалистами интерпретируются следующим образом. По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается ее уязвимость. Основными факторами, способствующими повышению этой уязвимости, являются:
-Резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭВМ и других средств автоматизации;
-Сосредоточение в единых базах данных информации различного назначения и различных принадлежностей;
-Резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и находящимся в ней данных;
-Усложнение режимов функционирования технических средств вычислительных систем: широкое внедрение многопрограммного режима, а также режимов разделения времени и реального времени;
-Автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях.
В этих условиях возникает уязвимость двух видов: с одной стороны, возможность уничтожения или искажения информации (т.е. нарушение ее физической целостности), а с другой - возможность несанкционированного использования информации (т.е. опасность утечки информации ограниченного пользования). Второй вид уязвимости вызывает особую озабоченность пользователей ЭВМ.
Основными потенциально возможными каналами утечки информации являются:
-Прямое хищение носителей и документов;
-Запоминание или копирование информации;
-Несанкционированное подключение к аппаратуре и линиям связи или незаконное использование "законной" (т.е. зарегистрированной) аппаратуры системы (чаще всего терминалов пользователей).
2. Аппаратные средства защиты информации
Аппаратные средства – это технические средства, используемые для обработки данных. Сюда относятся: Персональный компьютер (комплекс технических средств, предназначенных для автоматической обработки информации в процессе решения вычислительных и информационных задач).
Периферийное оборудование (комплекс внешних устройств ЭВМ, не находящихся под непосредственным управлением центрального процессора).
Физические носители машинной информации.
К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:
-специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;
-генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;
-устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
-специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты;
-схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).
2.1 Программные средства обеспечения защиты
информации
Програмные средства - это объективные формы представления совокупности данных и команд, предназначенных для функционирования компьютеров и компьютерных устройств с целью получения определенного результата, а также подготовленные и зафиксированные на физическом носителе материалы, полученные в ходе их разработок, и порождаемые ими аудиовизуальные отображения. К ним относятся:
-Программное обеспечение (совокупность управляющих и обрабатывающих программ). Состав:
-Системные программы (операционные системы, программы технического обслуживания);
-Прикладные программы (программы, которые предназначены для решения задач определенного типа, например редакторы текстов, антивирусные программы, СУБД и т.п.);
-Инструментальные программы (системы программирования, состоящие из языков программирования: TurboC, MicrosoftBasic и т.д. и трансляторов – комплекса программ, обеспечивающих автоматический перевод с алгоритмических и символических языков в машинные коды);
-Машинная информация владельца, собственника, пользователя.
Подобную детализацию я провожу, чтобы потом более четко понять суть рассматриваемого вопроса, чтобы более четко выделить способы совершения компьютерных преступлений, предметов и орудий преступного посягательства, а также для устранения разногласий по поводу терминологии средств компьютерной техники. После детального рассмотрения основных компонентов, представляющих в совокупности содержание понятия компьютерного преступления, можно перейти к рассмотрению вопросов, касающихся основных элементов криминалистической характеристики компьютерных преступлений.
К программным средствам защиты относятся специальные программы, которые предназначены для выполнения функций защиты и включаются в состав программного обеспечения систем обработки данных. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:
-идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей;
-определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей;
-контроль работы технических средств и пользователей;
-регистрация работы технических средств и пользователей при обработки информации ограниченного использования;
-уничтожения информации в ЗУ после использования;
-сигнализации при несанкционированных действиях;
-вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.
2.2 Антивирусная защита
Безопасность информации - один из важнейших параметров любой компьютерной системы. Для ее обеспечения создано большое количество программных и аппаратных средств. Часть из них занимается шифрованием информации, часть - разграничением доступа к данным. Особую проблему представляют собой компьютерные вирусы. Это отдельный класс программ, направленных на нарушение работы системы и порчу данных. Среди вирусов выделяют ряд разновидностей. Некоторые из них постоянно находятся в памяти компьютера, некоторые производят деструктивные действия разовыми "ударами". Существует так же целый класс программ, внешне вполне благопристойных, но на самом деле портящих систему. Такие программы называют "троянскими конями". Одним из основных свойств компьютерных вирусов является способность к "размножению" - т.е. самораспространению внутри компьютера и компьютерной сети.
С тех пор, как различные офисные прикладные программные средства получили возможность работать со специально для них написанными программами (например, для Microsoft Office можно писать приложения на языке Visual Basic) появилась новая разновидность вредоносных программ - т.н. МакроВирусы. Вирусы этого типа распространяются вместе с обычными файлами документов, и содержатся внутри них в качестве обычных подпрограмм.
Не так давно (этой весной) прокатилась эпидемия вируса Win95.CIH и его многочисленных подвидов. Этот вирус разрушал содержимое BIOS компьютера, делая невозможной ее работу. Часто приходилось даже выбрасывать испорченные этим вирусом материнские платы.
С учетом мощного развития средств коммуникации и резко возросших объемов обмена данными проблема защиты от вирусов становится очень актуальной. Практически, с каждым полученным, например, по электронной почте документом может быть получен макровирус, а каждая запущенная программа может (теоретически) заразить компьютер и сделать систему неработоспособной.
Поэтому среди систем безопасности важнейшим направлением является борьба с вирусами. Существует целый ряд средств, специально предназначенных для решения этой задачи. Некоторые из них запускаются в режиме сканирования и просматривают содержимое жестких дисков и оперативной памяти компьютера на предмет наличия вирусов. Некоторые же должны быть постоянно запущены и находиться в памяти компьютера. При этом они стараются следить за всеми выполняющимися задачами.
На российском рынке программного обеспечения наибольшую популярность завоевал пакет AVP, разработанный лабораторией антивирусных систем Касперского. Это универсальный продукт, имеющий версии под самые различные операционные системы.
Антивирус Касперского (AVP) использует все современные типы антивирусной защиты: антивирусные сканнеры, мониторы, поведенческие блокираторы и ревизоры изменений. Различные версии продукта поддерживают все популярные операционные системы, почтовые шлюзы, межсетевые экраны (firewalls), web-серверы. Система позволяет контролировать все возможные пути проникновения вирусов на компьютер пользователя, включая Интернет, электронную почту и мобильные носители информации. Средства управления Антивируса Касперского позволяют автоматизировать важнейшие операции по централизованной установке и управлению, как и на локальном компьютере, так и в случае комплексной защиты сети предприятия. Лаборатория Касперского предлагает три готовых решения антивирусной защиты, расчитанные на основные категории пользователей. Во-первых, антивирусная защита для домашних пользователей (одна лицензия для одного компьютера). Во-вторых, антивирусная защита для малого бизнеса (до 50 рабочих станций в сети). В третьих, антивирусная защита для корпоративных пользователей (свыше 50 рабочих станций в сети).Безвозвратно прошли времена, когда для полной уверенности в сохранности от "заразы" было достаточно не пользоваться "случайными" дискетами и раз-другой в неделю запускать на машине утилиту Aidstest R, проверяющую жесткий диск компьютера на наличие подозрительных объектов. Во-первых, расширился спектр областей, в которых эти объекты могут оказаться. Электронная почта с присоединенными "вредными" файлами, макровирусы в офисных (в основном речь идет о Microsoft Office) документах, "троянские кони" - все это появилось сравнительно недавно. Во-вторых, перестал оправдывать себя подход периодических ревизий жесткого диска и архивов - такие проверки приходилось бы проводить слишком часто, и они отнимали бы слишком много ресурсов системы.
На смену устаревшим системам защиты пришло новое поколение, способное отследить и нейтрализовать "угрозу" на всех ответственных участках - от электронной почты до копирования файлов между дисками. При этом современные антивирусы организовывают постоянную защиту - это означает, что они постоянно находятся в памяти и анализируют обрабатываемую информацию.
Одним из наиболее известных и повсеместно применяемых пакетов антивирусной защиты является AVP от Лаборатории Касперского. Этот пакет существует в большом количестве различных вариантов. Каждый из них предназначен для решения определенного круга задач обеспечения безопасности, и обладает рядом специфических свойств.
Системы защиты, распространяемые Лабораторией Касперского, разделяются на три основных категории, в зависимости от видов решаемых ими задач. Это защита для малого бизнеса, защита для домашних пользователей и защита для корпоративных клиентов.
В AntiViral Toolkit Pro входят программы, позволяющие защищать рабочие станции, управляемые различными ОС - сканеры AVP для DOS, Windows 95/98/NT, Linux, мониторы AVP для Windows 95/98/NT, Linux, файловые сервера - монитор и сканер AVP для Novell Netware, монитор и сканер для NT сервера, WEB-сервера - ревизор диска AVP Inspector для Windows, почтовые сервера Microsoft Exchange - AVP для Microsoft Exchange и шлюзы.
AntiViral Toolkit Pro включает в себя программы-сканеры и программы-мониторы. Мониторы позволяют организовать более полный контроль, необходимый на самых ответственных участках сети.
В сетях Windows 95/98/NT AntiViral Toolkit Pro позволяет проводить с помощью программного комплекса AVP Сетевой Центр Управления централизованное администрирование всей логической сети с рабочего места ее администратора.
Концепция AVP позволяет легко и регулярно обновлять антивирусные программы, путем замены антивирусных баз - набора файлов с расширением .AVC, которые на сегодняшний день позволяют обнаруживать и удалять более 50000 вирусов. Обновления к антивирусным базам выходят и доступны с сервера Лаборатории Касперского ежедневно. На данный момент пакет антивирусных программ AntiViral Toolkit Pro (AVP) имеет одну из самых больших в мире антивирусных баз.
2.3Аппаратные средства - основа построения систем защиты от несанкционированного доступа к информации
Разработке ипроизводству современных средств защиты отнесанкционированного доступа(НСД) кинформации вОКБСАПР предшествовало выполнение научно-исследовательских иопытно-конструкторских работ вэтой области. Большинство разработчиков напервоначальном этапе были сосредоточены насоздании только программного обеспечения, реализующего функции защиты вавтоматизированных системах, что неможет гарантировать надежной защищённости автоматизированных систем отНСД кинформации. Кпримеру, проверка целостности программной среды, осуществляемая какой-либо другой программой, находящейся наодном носителе спроверяемыми объектами, неможет гарантировать правильности проводимых процедур. Необходимо обеспечить достоверность самой программы проверки целостности, атолько затем выполнение ееконтрольных процедур. Таким образом, этопривело косознанию необходимости использования всистемах защиты информации отНСД аппаратных средств совстроенными процедурами контроля целостности программ иданных, идентификации иаутентификации, регистрации иучета.
В90-е годы сотрудниками ОКБСАПР была разработана методология применения аппаратной защиты, признанная необходимой основой построения систем защиты отНСД кинформации. Основные идеи этого подхода состоят вследующем:
-комплексный подход крешению вопросов защиты информации вавтоматизированных системах (АС) отНСД. Признание мультипликативной парадигмы защиты, и, какследствие, равное внимание надежности реализации контрольных процедур навсех этапах работы АС;
-«материалистическое» решение «основного вопроса» информационной безопасности: «что первично— hard илиsoft?»;
-последовательный отказ отпрограммных методов контроля какочевидно ненадежных иперенос наиболее критичных контрольных процедур нааппаратный уровень;
-максимально возможное разделение условно-постоянных иусловно-переменных элементов контрольных операций;
-построение средств защиты информации отнесанкционированного доступа (СЗИНСД), максимально независимых отоперационных ифайловых систем, применяемых вАС. Этовыполнение процедур идентификации/ аутентификации, контроля целостности аппаратных ипрограммных средствАС дозагрузки операционной системы, администрирования и т. д.
Вышеперечисленные принципы аппаратной защиты были реализованы впрограммно-аппаратном комплексе средств защиты информации отнесанкционированного доступа— аппаратном модуле доверенной загрузки— «Аккорд-АМДЗ». Этоткомплекс обеспечивает режим доверенной загрузки вразличных операционных средах: MSDOS, Windows3.x, Windows9.x, WindowsNT/2000/XP, OS/2, Unix, Linux.
Основным принципом работы «Аккорд-АМДЗ» является выполнение процедур, реализующих основные функции системы защиты информации дозагрузки операционной системы. Процедуры идентификации/ аутентификации пользователя, контроля целостности аппаратных ипрограммных средств, администрирование, блокировка загрузки операционной системы свнешних носителей информации размещены вовнутренней памяти микроконтроллера платы «Аккорд». Таким образом, пользователь неимеет возможности изменения процедур, которые влияют нафункциональность системы защиты информации. Вэнергонезависимой памяти контроллера «Аккорд» хранится информация оперсональных данных пользователей, данные дляконтроля целостности программных иаппаратных средств, журнал регистрации иучета системных событий идействий пользователя. Этиданные могутбыть изменены только авторизованным администратором безопасности информации, таккак доступ кэнергонезависимой памяти полностью определяется логикой работы программного обеспечения, размещенного вмикроконтроллере платы.
СЗИНСД семейства «Аккорд» реализованы набазе контроллера «Аккорд-4.5» (дляПЭВМ сшинным интерфейсомISA) иегофункционального аналога дляшинного интерфейсаРСI— «Аккорд-5».
PCI-устройства ОКБСАПР являются легальными иимеют свой идентификатор, предоставленный ассоциацией разработчиков данных устройств: Vendor ID 1795.
Для организаций, использующих промышленные компьютеры сшинным интерфейсомРС/104, может представлять интерес программно-аппаратный комплекс СЗИНСД «Аккорд-РС104». Данный комплекс прошел испытания вжестких условиях эксплуатации (повышенная вибрация, широкий диапазон температур, высокая влажность ит.д.). Онможет применяться вспециализированных компьютерах, используемых вбортовой аппаратуре (наземные, воздушные, морские ипромышленные системы), визмерительной аппаратуре, вустройствах связи, вмобильных системах, втомчисле ивоенного назначения.
Наиболее наукоёмкой разработкой ОКБСАПР является сопроцессор безопасности «Аккорд-СБ», вкотором интегрированы всенеобходимые средства дляреализации комплексной защиты информации отНСД. Контроллер сопроцессора безопасности «Аккорд-СБ/2» имеет высокопроизводительный микропроцессор иаппаратный ускоритель математических функций. Доступ кфункциям этого процессора определяется встроенным программным обеспечением контроллера.
Используя библиотеку программирования (SDK) контроллера сопроцессора безопасности «Аккорд-СБ/2», разработчик может применять данный комплекс какмногофункциональное устройство. Вчастности, кроме задач позащите информации отнесанкционированного доступа, онможетбыть использован дляпередачи конфиденциальной информации пооткрытым каналам связи взашифрованном виде свысокой скоростью обработки ипередачи данных, шифрования дисков, формирования ипроверкиЭЦП, защиты электронных документов сиспользованием защитных кодов аутентификации(ЗКА), атакже вкачестве межсетевого экрана.
Требования каппаратнымСЗИ ипринципы аппаратной защиты, реализованные вСЗИНСД семейства «Аккорд», ужестали фактическим стандартом иприменяются всеми крупными разработчиками средств защиты, действующими нароссийском рынкеСЗИ.
Применение сильной аппаратной поддержки вкомплексах СЗИНСД семейства «Аккорд» позволило выйти нановый уровень вразвитии средств защиты информации. Какизвестно, дляпостроения автоматизированных систем поклассам защищённости 1Д–1А требуется установка правил разграничения доступа кееинформационным ресурсам. Дляреализации функций разграничения доступа пользователей кинформационным ресурсам исоздания изолированной программной среды (ИПС) программистами ОКБСАПР разработано специальное программное обеспечение, поддерживающее всетипы контроллеров «Аккорд», включая работу сдатчиком случайных чисел. Этотакие комплексы СЗИНСД, как «Аккорд-1.95» (MSDOS, Windows9x), «Аккорд-1.95-00» (Windows9x), «Аккорд-NT/2000» (WindowsNT/2000/ХР).
Особенностью комплексов «Аккорд-1.95-00» и «Аккорд-NT/2000» являетсято, что вданных версиях, кроме дискреционного, реализован мандатный принцип доступа субъектов кинформационным ресурсам. Специальное программное обеспечение, реализующее функции разграничения доступа, позволяет администратору безопасности информации описать любую непротиворечивую политику безопасности наоснове наиболее полного набора атрибутов (более 15атрибутов подоступу кфайлам икаталогам) иметок конфиденциальности объектов (файлов) ипроцессов (программ), спомощью которых осуществляется их обработка.
Следующим этапом стала разработка основ защиты локальных вычислительных сетей сприменением программно-аппаратных средств защиты отНСД кинформации. Дляполноценной защиты локальной вычислительной сети ОКБСАПР предлагает комплексную технологию:
-установку нарабочих станциях СЗИ «Аккорд АМДЗ» с ПО «Аккорд-1.95», «Аккорд-1.95-00», «Аккорд-NT/2000»;
-установку подсистемы контроля целостности накаждом файл-сервере;
-установку подсистемы распределенного аудита иуправления;
-установку подсистемы усиленной аутентификации.
Управление вышеперечисленными подсистемами влокальных вычислительных сетях обеспечивается спомощью автоматизированного рабочего места администратора безопасности (АРМАБИ). Данная технология позволяет администратору безопасности информации однозначно опознавать авторизованных пользователей изарегистрированные рабочие станции всети; врежиме реального времени контролировать задачи, выполняемые пользователями; вслучае несанкционированных действий блокировать рабочие станции, скоторых такие действия осуществлялись; удаленно вести администрирование. Особый интерес представляет подсистема усиленной аутентификации, суть которой заключается вдополнительном механизме проверки подлинности рабочих станций. Процедура проверки подлинности выполняется нетолько вмомент подключения станции, но и сустановленной администратором периодичностью. Подсистема предотвращает какподмену локальной станции илисервера, так иподключение вЛВС нелегальных станций/ серверов. Усиленная аутентификация вЛВС основана наприменении математических методов, позволяющих однозначно опознать участников диалога.
Какизвестно, невозможно решить всевопросы обработки информации вАС только средствами защиты отНСД кзащищаемой информации. Поэтому необходимо также обеспечить юридическую доказательность подлинности электронных документов. Специалистами ОКБСАПР предложен иреализован новый путь— разработка контролируемой технологии обработки электронных документов ввычислительных системах— технология защиты электронных документов сиспользованием защитных кодов аутентификации (ЗКА). Данная технология ужеиспользуется вбанковских платежных системах сцелью предотвращения попыток злоумышленников ввести фиктивные илимодифицировать обрабатываемые электронные банковские документы, атакже сцелью организации сквозного контроля припрохождении электронных документов всех предписанных этапов ихсуществования (создание, обработка, передача, хранение, окончательный зачет). Этообеспечивается установкой надокументЗКА. Врезультате электронный документ накаждом этапе обработки имеет дваЗКА, первый изкоторых позволяет авторизовать ипроконтролировать егоцелостность напредыдущем этапе обработки, авторой является егоиндивидуальным признаком натекущем.
Технологическая защита электронного документооборота реализуется всеми типами контроллеров семейства «Аккорд». Крометого, дляреализации данной технологии прииспользовании других СЗИНСД вОКБСАПР разработаны эффективные устройства: блок установки кодов аутентификации(БУКА), изделие «ШИПКА» (Шифрование, Аутентификация, Подпись, Коды Аутентификации).
“ШИПКА” содержит микропроцессор свстроенным программным обеспечением, аппаратный датчик случайных чисел, подключается через имеющийся интерфейс— шинуUSB— иможет выполнять операции:
-шифрование по ГОСТ 28147-89;
-хеширование по ГОСТ Р 34.11-94;
-формирование ипроверка электронной цифровой подписи по ГОСТ Р 34.10-94;
-выработка ипроверка защитных кодов аутентификации.
Впоследней модификации изделия имеется защищенный электронный диск объемом 16Мбайт, 32, 64 или 128 Мбайт длязаписи пользовательской информации.
Любая система защиты информации— этокомплекс организационно-технических мероприятий, который включает всебя совокупность правовых норм, организационных мер ипрограммно-технических средств защиты, направленных напротиводействие угрозам объекту информатизации сцелью сведения доминимума возможного ущерба пользователям ивладельцам системы. Безорганизационных мер, наличия четкой организационно-распорядительной системы наобъекте информатизации эффективность любых техническихСЗИ снижается.
Поэтому ОКБСАПР большое внимание уделяет вопросам разработки нормативно-технической иметодической документации, комплектов организационно-распорядительных документов пополитике защиты объектов информатизации всоответствии сдействующим законодательствомРФ. Совместно сФедеральным государственным унитарным предприятием «Всероссийский научно-исследовательский институт проблем вычислительной техники иинформатизации» () активно участвует внаучных работах вобласти защиты информации, прежде всего вразработке:
-концептуальных итеоретических основ защиты электронных документов;
-теории применения программно-технических средств защиты отНСД кинформации;
-управления защитой информации влокальных икорпоративных вычислительных сетях различного назначения.
Внастоящее время ОКБСАПР является признанным разработчиком ипроизводителем программно-аппаратных средств защиты информации отнесанкционированного доступа, передовых методов управления защитой информации итехнологий защищенного электронного документооборота наихоснове.
ОКБСАПР является лицензиатомФСБ, Гостехкомиссии России иФАПСИ, имеет аттестованное Гостехкомиссией России производство средств защиты информации отнесанкционированного доступа иширокую дилерскую сеть вбольшинстве субъектов Российской Федерации, ведет активную работу поподготовке специалистов вобласти защиты информации.
2.4 Оптимизация аппаратных средств криптографической защиты нформации (АСКЗИ).
В последнее время возрос интерес к современным аппаратным средствам криптографической защиты информации (АСКЗИ). Это обусловлено, прежде всего, простотой оперативностью их внедрения. Для этого достаточно у абонентов на передающей и приемной сторонах иметь аппаратуру АСКЗИ и комплект ключевых документов, чтобы гарантировать конфиденциальность циркулирующей в автоматизированных системах управления (АСУ) информации.
Современные АСКЗИ строятся на модульном принципе, что дает возможность комплектовать структуру АСКЗИ по выбору заказчика.
1. Структура АСКЗИ
При разработке современных АСКЗИ приходится учитывать большое количества факторов, влияющих на эффективность их развития, что усложняет нахождение аналитических оценок по выбору обобщенного критерия оптимальности их структуры.
К современным АСКЗИ как элементу АСУ предъявляют повышенные требования по безопасности , надежности и быстродействию обработки циркулирующей в системе информации.
Безопасность обеспечивается гарантированной стойкостью шифрования и выполнением специальных требований , выбор которых обусловлен криптографическими стандартами.
Надежность и быстродействие обработки информации зависят от состава выбранной структуры АСКЗИ включает в себя ряд функционально завешенных узлов и блоков, обеспечивающих заданную надежность и быстродействие. К ним относятся:
-входные устройства, предназначенные для ввода информации;
-устройства преобразования информации, предназначенные для передачи информации от входных устройств на устройства вывода в зашифрованном, расшифрованном или открытом виде;
-устройства вывода, предназначенные для вывода информации на соответствующие носители.
2. Модель АСКЗИ
Для нахождения обобщенного критерия оценки оптимальности структуры современной АСКЗИ достаточно рассмотреть основную цепь прохождения информации: адаптеры ввода, входные устройства, состоящие из клавиатуры, трансмиттера или фотосчитывателя, шифратора, устройства преобразования и устройство вывода. Остальные узлы и блоки не оказывают существенного влияния на прохождение информации.
Из методологии системного подхода известно, что математическое описание сложной системы, к которой относится АСКЗИ, осуществляется путем иерархического разбиения её на элементарные составляющие. При это в математические модели вышестоящих уровней в качестве частных уровней в качестве частных критериев всегда должны включатся обобщенные критерии нижестоящих уровней. Следовательно, одно и то же понятие по отношению к низшему уровню может выступать в качестве обобщенно критерия, а по отношению к высшему- в качестве частного критерия.
Подсистема вывода является оконечным устройством АСКЗИ, то есть находится на высшей ступени иерархии и включает в себя устройства отображения, печати и перфорации. Следовательно, на этом уровне в качестве целевой установки будет выступать быстрота обработки входящих криптограмм. Тогда в качестве обобщенного критерия целесообразно выбрать время обработки потока криптограмм за один цикл функционирования современных АСКЗИ, не превышающего заданного интервала времени и обусловленного необходимостью принятия управленческих решений.
Подсистема обработки информации находится на втором уровне иерархии и включает в себя тракты печати и перфорации шифратор и систему управления и распределения потоком информации.
Основные направления работ по рассматриваемому аспекту защиты можно сформулировать таким образом:
-выбор рациональных систем шифрования для надежного закрытия информации;
-обоснование путей реализации систем шифрования в автоматизированных системах;
-разработка правил использования криптографических методов защиты в процессе функционирования автоматизированных систем;
-оценка эффективности криптографической защиты.
К шифрам, предназначенным для закрытия информации в ЭВМ и автоматизированных системах, предъявляется ряд требований, в том числе: достаточная стойкость (надежность закрытия), простота шифрования и расшифрования от способа внутримашинного представления информации, нечувствительность к небольшим ошибкам шифрования, возможность внутримашинной обработки зашифрованной информации, незначительная избыточность информации за счет шифрования и ряд других. В той или иной степени этим требованиям отвечают некоторые виды шифров замены, перестановки, гаммирования, а также шифры, основанные на аналитических преобразованиях шифруемых данных.
Шифрование заменой (иногда употребляется термин "подстановка") заключается в том, что символы шифруемого текста заменяются символами другого или того же алфавита в соответствии с заранее обусловленной схемой замены.
Шифрование перестановкой заключается в том, что символы шифруемого текста переставляются по какому-то правилу в пределах какого-то блока этого текста. При достаточной длине блока, в пределах которого осуществляется перестановка, и сложном и неповторяющемся порядке перестановке можно достигнуть достаточной для практических приложений в автоматизированных системах стойкости шифрования.
Шифрование гаммированием заключается в том, что символы шифруемого текста складываются с символами некоторой случайной последовательности, именуемой гаммой. Стойкость шифрования определяется главным образом размером (длиной) неповторяющейся части гаммы. Поскольку с помощью ЭВМ можно генерировать практически бесконечную гамму, то данный способ считается одним из основных для шифрования информации в автоматизированных системах. Правда, при этом возникает ряд организационно-технических трудностей, которые, однако, не являются не преодолимыми.
Шифрование аналитическим преобразованием заключается в том, что шифруемый текст преобразуется по некоторому аналитическому правилу (формуле). Можно, например, использовать правило умножения матрицы на вектор, причем умножаемая матрица является ключом шифрования (поэтому ее размер и содержание должны сохранятся в тайне), а символы умножаемого вектора последовательно служат символы шифруемого текста.
Особенно эффективными являются комбинированные шифры, когда текст последовательно шифруется двумя или большим числом систем шифрования (например, замена и гаммирование, перестановка и гаммирование). Считается, что при этом стойкость шифрования превышает суммарную стойкость в составных шифрах.
Каждую из рассмотренных систем шифрования можно реализовать в автоматизированной системе либо программным путем, либо с помощью специальной аппаратуры. Программная реализация по сравнению с аппаратной является более гибкой и обходится дешевле. Однако аппаратное шифрование в общем случае в несколько раз производительнее. Это обстоятельство при больших объемах закрываемой информации имеет решающее значение.
2.5Задачи аппаратного обеспячения защиты информации.
Под аппаратным обеспечением средств защиты операционной системы традиционно понимается совокупность средств и методов, используемых для решения следующих задач:
-управление оперативной и виртуальной памятью компьютера;
-распределение процессорного времени между задачами в многозадачной операционной системе;
-синхронизация выполнения параллельных задач в многозадачной операционной системе;
-обеспечение совместного доступа задач к ресурсам операционной системы.
Перечисленные задачи в значительной степени решаются с помощью аппаратно реализованных функций процессоров и других узлов компьютера. Однако, как правило, для решения этих задач принимаются и программные средства, и по этому термины “аппаратное обеспечение защиты ” и “аппаратная защита” не вполне корректны. Тем не менее, поскольку эти термины фактически общеприняты, мы будем их использовать.
2.6 Дополнительные аппаратные средства обеспечивающий повышенный уровень защиты.
Отсутствие штатных средств защиты в первых операционных системах для защиты персональных компьютеров (ПК) породило проблему создания дополнительных средств. Актуальность этой проблемы не уменьшилась с появлением более мощных ОС с развитыми подсистемами защиты. Дело в том, что большинство систем до сих пор не способны защитить данные, “вышедшие за ее пределы”, например в случае использования сетевого информационного обмена или при попытке доступа к дисковым накопителям путем загрузки альтернативной незащищенной ОС.
Заключение
Основные выводы о способах использования рассмотренных выше средств, методов и мероприятий защиты, сводится к следующему:
1. Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации.
2. Механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы.
3. Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации.
4. Необходимо осуществлять постоянный контроль функционирования механизма защиты.
Список используемой литературы
1.Интернет :
2.
3.
4.
5.Проскурин В.Г. и др. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах. –М.: Радио и связь, 2000.
6.Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных /П.Ю.Белкин, О.О.Михальский, А.С. Першаков и др.- М.: Радио и связь, 1999.
7.Хисамов Ф.Г. Макаров Ю.П. Оптимизация аппаратных средств криптографической защиты информации //Системы безопасности. -2004. – февраль-март №1 (55). –стр.108.