Тема 5. Методы и средства защиты информации от несанкционированного доступа
Цели и задачи изучения темы
Целью данной темы является рассмотрение вопросов защиты от несанкционированного доступа к информации.
Основные понятия концепции защиты от несанкционированного доступа
Одним из основных способов обеспечения информационной безопасности является разграничение доступа к информационным ресурсам.
Первым барьером на пути доступа к информации являются физические препятствия, к которым относятся:
· естественные и искусственные барьеры;
· средства защиты окон и дверей;
· особые конструкции периметров, проходов, оконных и дверных переплетов, помещений, сейфов, хранилищ и др.;
· зоны безопасности.
Естественные и искусственные барьеры служат для противодействия незаконному проникновению на территорию объекта. Однако основная защитная нагрузка ложится все-таки на искусственные барьеры – такие, как заборы и другие виды ограждений. На сегодня насчитывается значительный арсенал таких средств: от простых сетчатых до сложных комбинированных ограждений, оказывающих определенное отпугивающее воздействие на нарушителя.
Следующим видом физической защиты является защита элементов знаний и помещений – окон и дверей. Хорошую физическую защиту оконных проемов помещений обеспечивают традиционные металлические решетки и ставни, а также специальное остекление на основе пластических масс, армированных стальной проволокой. Дверные проемы защищаются установкой стальных дверей со сложной конструкцией запирающих устройств. Обычно, двери и окна охраняемого помещения оборудуются датчиками, срабатывающими при разрушении стекол, дверей, но не реагирующими на их колебания, вызванные другими причинами.
Особые конструкции периметров, проходов, оконных переплетов, помещений, сейфов и хранилищ являются обязательными с точки зрения безопасности для любых организаций и предприятий. Эти конструкции должны противостоять любым способам физического воздействия со стороны злоумышленников: механическим деформациям, разрушению сверлением, термическому и механическому резанию, взрыву и др.; несанкционированному доступу путем подделки ключей, угадывания кода и др.
Запирающие устройства и специальные шкафы занимают особое место в системах разграничения доступа, поскольку они несут в себе признаки как систем физической защиты, так и устройств контроля доступа. Они отличаются большим разнообразием и предназначены для защиты документов, материалов, магнитных и фотоносителей. Выпускаются специальные металлические шкафы для хранения персональных ЭВМ, калькуляторов, принтеров, ксероксов и другой техники. Такие шкафы снабжаются надежной двойной системой запирания: замком ключевого типа и трех – пятизначным комбинированным замком. Фирмы утверждают, что такие шкафы обладают прочностью и надежностью, достаточными для защиты от промышленного шпионажа.
Важнейшим средством физической защиты является планировка объекта, его зданий и помещений по зонам безопасности, которые учитывают степень важности различных частей объекта с точки зрения нанесения ущерба от различного вида угроз. Оптимальное расположение зон безопасности и размещение в них эффективных технических средств обнаружения, отражения и ликвидации последствий противоправных действий составляет основу концепции инженерно-технической защиты объекта.
Зоны безопасности должны располагаться на объекте последовательно, от забора вокруг территории объекта до хранилищ ценностей, создавая цепь чередующихся друг за другом препятствий (рубежей), которые придется преодолевать злоумышленнику. Чем сложнее и надежнее препятствие на его пути, тем больше времени потребуется на преодоление каждой зоны и тем больше вероятность того, что расположенные в каждой зоне средства обнаружения (охранные посты, охранная сигнализация и охранное телевидение) выявят наличие нарушителя и подадут сигнал тревоги.
Основу планировки и оборудования зон безопасности объекта составляет принцип равнопрочности границ зон безопасности. Суммарная прочность зон безопасности будет оцениваться наименьшей из них.
Перечисленные выше средства физической защиты в совокупности с организационными мерами (например, организацией охраны и контрольно пропускного режима) могут надежно оградить АСОИ от злоумышленников являющихся посторонними для организации лицами. Если злоумышленник входит в состав пользователей или обслуживающего персонала системы, он по роду своих служебных обязанностей должен иметь доступ к АСОИ и ее информационным ресурсам и, следовательно, для надежной защиты информации необходимо применять иные меры и средства.
В связи с этим, получила развитие концепция защиты информации от несанкционированного доступа. В руководящих документах Гостехкомиссии России приведены следующие определения.
Доступ к информации – ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.
Субъект доступа – лицо или процесс, действия которых регламентируются правилами разграничения доступа.
Объект доступа – единица информационного ресурса АСОИ, доступ к которой регламентируется правилами разграничения доступа.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Санкционированный доступ к информации – доступ к информации, не нарушающий правила разграничения доступа.
Несанкционированный доступ к информации (НСД) – доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.
Защита от несанкционированного доступа – предотвращение или существенное затруднение несанкционированного доступа.
Система разграничения доступа – совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах.
Средство защиты от несанкционированного доступа – программное, аппаратное или программно-аппаратное средство, направленное на предотвращение или существенное затруднение несанкционированного доступа.
Идентификатор доступа – уникальный признак субъекта или объекта доступа.
Пароль – идентификатор субъекта доступа, который является его (субъекта) секретом.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.
Авторизация (санкционирование доступа) – предоставление субъекту прав на доступ, а также предоставление доступа в соответствии с установленными правами на доступ.
В соответствии с руководящими документами Гостехкомиссии России основными направлениями обеспечения защиты АСОИ от несанкционированного доступа являются создание системы разграничения доступа субъектов к объектам доступа и создание для этого обеспечивающих средств.
К основным функциям системы разграничения доступа относятся:
· реализация правил разграничения доступа субъектов и их процессов к информации и устройствам создания ее твердых копий;
· изоляция процессов, выполняемых в интересах субъекта доступа, от других субъектов;
· управление потоками информации в целях предотвращения ее записи на носители несоответствующего уровня конфиденциальности;
· реализация правил обмена информацией между субъектами в компьютерных сетях.
К функциям обеспечивающих средств для системы разграничения доступа относятся:
· идентификация и аутентификация субъектов и поддержание привязки субъекта к процессу, выполняемому для него;
· управление доступом авторизированных субъектов в соответствии с их правами к объектам АСОИ;
· регистрация действий субъекта и активизированного им процесса;
· исключение и включение новых субъектов и объектов доступа, изменение полномочий субъектов;
· реакция на попытки несанкционированного доступа (сигнализация, блокировка, восстановление объекта после несанкционированного доступа);
· учет выходных печатных форм в АСОИ;
· контроль целостности программной и информационной части системы разграничения доступа и обеспечивающих ее средств.