BC/NW 2015 № 2 (27):13.3
ОБЗОР СРЕДСТВ АППАРАТНОЙ ЗАЩИТЫ ИНФОРМАЦИИ
Мизинов С.В. Русинов С.Г. Добряков П.С. Нефедов Е.Ю.
В последние десятилетия в связи с развитием, усложнением и появлением новых средств автоматизации процессов обработки информации появляются новые виды уязвимостей в защите информации. Основными факторами, приводящие к увеличению рисков, являются:
· повальное увеличение обрабатываемой с помощью ВС информации;
· собрание в базах данных информации не ограниченной узкими областями применения;
· расширение круга пользователей, имеющих доступ к хранимой информации;
· усложнение алгоритмов работы ВС, хранящих и обрабатывающих информацию, в т.ч. распределённых на больших территориях ВС.
В этих условиях возникает два общих класса уязвимостей информации: информация может быть искажена в силу несовершенства программного обеспечения ВС и ошибок в нём, а также, помимо этого, возможно несанкционированное получение той или иной хранимой информации. Основными способами несанкционированного получения информации являются прямое получение доступа к носителям информации, её копирование и подключение к каналам передачи информации, как с использованием законной аппаратуры, так и с применением специально изготовленных средств.
В целом аппаратные либо технические СЗИ это различные устройства, которые аппаратными средствами решают задачи защиты информации. К ним можно отнести как и классические организационные средства, такие как различные меры противодействия проникновению на объекты, так и специализированные средства противодействия конкретным способам получения доступа к информации в процессе хранения либо передачи.
К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:
· специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;
· устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
· схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных;
· устройства для шифрования информации (криптографические методы).
Для защиты периметра информационной системы создаются:
· системы охранной и пожарной сигнализации;
· системы цифрового видеонаблюдения;
· системы контроля и управления доступом.
Защита информации от ее утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями:
· использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях;
· установкой на линиях связи высокочастотных фильтров;
· построение экранированных помещений («капсул»);
· использование экранированного оборудования;
· установка активных систем зашумления;
· создание контролируемых зон.
Задачи аппаратного обеспечения защиты информации
Использование аппаратных средств защиты информации позволяет решать следующие задачи:
· проведение специальных исследований технических средств на наличие возможных каналов утечки информации;
· выявление каналов утечки информации на разных объектах и в помещениях;
· локализация каналов утечки информации;
· поиск и обнаружение средств промышленного шпионажа;
· противодействие НСД к источникам конфиденциальной информации и другим действиям.
По назначению аппаратные средства классифицируют на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. При этом по техническим возможностям средства защиты информации могут быть общего назначения, рассчитанные на использование непрофессионалами с целью получения общих оценок, и профессиональные комплексы, позволяющие проводить тщательный поиск, обнаружение и измерения все характеристик средств промышленного шпионажа.
Поисковую аппаратуру можно подразделить на аппаратуру поиска средств съема информации и исследования каналов ее утечки.
Аппаратура первого типа направлена на поиск и локализацию уже внедренных злоумышленниками средств НСД. Аппаратура второго типа предназначается для выявления каналов утечки информации. Определяющими для такого рода систем являются оперативность исследования и надежность полученных результатов.
Профессиональная поисковая аппаратура, как правило, очень дорога, и требует высокой квалификации работающего с ней специалиста. В связи с этим, позволить ее могут себе организации, постоянно проводящие соответствующие обследования. Так что если Вам нужно провести полноценное обследование – прямая дорога к ним.
Конечно, это не значит, что нужно отказаться от использования средств поиска самостоятельно. Но доступные поисковые средства достаточно просты и позволяют проводить профилактические мероприятия в промежутке между серьезными поисковыми обследованиями.
Для обеспечения сохранности данных разработаны специализированные аппаратные решения, способные обеспечивать как быстры доступ к данным, так и их надёжное компактное хранение. Базово их можно классифицировать на следующие виды:
Специализированная сеть хранения SAN (Storage Area Network) обеспечивает данным гарантированную полосу пропускания, исключает возникновение единой точки отказа системы, допускает практически неограниченное масштабирование как со стороны серверов, так и со стороны информационных ресурсов. Для реализации сетей хранения наряду с популярной технологией Fiber Channel в последнее время все чаще используются устройства iSCSI.
Дисковые хранилища отличаются высочайшей скоростью доступа к данным за счет распределения запросов чтения/записи между несколькими дисковыми накопителями. Применение избыточных компонентов и алгоритмов в RAID массивах предотвращает остановку системы из-за выхода из строя любого элемента – так повышается доступность. Доступность, один из показателей качества информации, определяет долю времени, в течение которого информация готова к использованию, и выражается в процентном виде: например, 99,999% («пять девяток») означает, что в течение года допускается простой информационной системы по любой причине не более 5 минут.
Ленточные накопители (стримеры, автозагрузчики и библиотеки) по-прежнему считаются самым экономичным и популярным решением создания резервных копий. Они изначально созданы для хранения данных, предоставляют практически неограниченную емкость за счет добавления ленточных картриджей, обеспечивают высокую надежность, имеют низкую стоимость хранения, позволяют организовать ротацию любой сложности и глубины, архивацию данных, эвакуацию носителей в защищенное место за пределами основного офиса. С момента своего появления магнитные ленты прошли пять поколений развития, на практике доказали свое преимущество и по праву являются основополагающим элементом практики backup (резервного копирования).
Помимо рассмотренных технологий следует также упомянуть обеспечение физической защиты данных (разграничение и контроль доступа в помещения, видеонаблюдение, охранная и пожарная сигнализация), организация бесперебойного электроснабжения оборудования.
Рассмотрим примеры аппаратных средств.
1) eToken - Электронный ключ eToken - персональное средство авторизации, аутентификации и защищённого хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронной цифровой подписью (ЭЦП). eToken выпускается в форм-факторах USB-ключа, смарт-карты или брелока. Модель eToken NG-OTP имеет встроенный генератор одноразовых паролей. Модель eToken NG-FLASH имеет встроенный модуль flash-памяти объемом до 4 ГБ. Модель eToken PASS содержит только генератор одноразовых паролей. Модель eToken PRO (Java) аппаратно реализует генерацию ключей ЭЦП и формирование ЭЦП. Дополнительно eToken могут иметь встроенные бесконтактные радио-метки (RFID-метки), что позволяет использовать eToken также и для доступа в помещения.
Модели eToken следует использовать для аутентификации пользователей и хранения ключевой информации в автоматизированных системах, обрабатывающих конфиденциальную информацию, до класса защищенности 1Г включительно. Они являются рекомендуемыми носителями ключевой информации для сертифицированных СКЗИ (КриптоПро CSP, Крипто-КОМ, Домен-К, Верба-OW и др.)
2) Смарт-карты доступа – аппаратный декодер, применяемый для генерирования ключей декодирования на основе публично доступных данных. Чип смарт-карты (либо иного аппаратного форм-фактора) содержит в себе специализированную микропрограмму и, опционально, микроаппаратное обеспечение, задачей которого является вычисление ключа декодирования зашифрованных данных на основе предоставляемых в открытый доступ зашифрованных версий ключа. Область применения не ограничена, на сегодняшний день применяется в основном для организации условного доступа к потоковым данным, таким как системы цифрового телевидения. Данный способ сокрытия данных не несёт в себе задачи полной невозможности получения данных в случае компроментирования одного ключа: за счёт того, что ключ кодирования-декодирования меняется случайным образом каждые несколько секунд, обладание одним экземпляром ключа приведёт к получению доступа к незначительно малой части данных. Включение дополнительных мер ограничения, таких как программная привязка декодирующей смарт-карты к конкретному экземпляру подключённого аппаратного обеспечения, повышает стойкость системы шифрования т.к. получение доступа к небольшой по размерам смарт-карты не даст доступа к данным, принимаемым иным приёмником, не приведём к декодированию данных.