Реферат «Захищені інформаційні технології в економіці»
Зміст
Введення .. 3
1. Захищені інформаційні технології в Internet 4
1.1. Захист архітектури «Клієнт - сервер». 4
1.2 Аналіз захищеності ОС .. 7
1.3. Захист каналів зв'язку в Internet. 11
1.4 Вітчизняні захищені системи .. 15
2. Інтегральні пристрої захисту інформації .. 16
Висновок .. 21
Список літератури ... 23
Коли говорять про інформаційну безпеку, то мають на увазі широкий спектр проблем: від стихійних лих і проблем з електроживленням до досвідчених зловмисників, які використовують обчислювальні системи для своєї вигоди, або шпигунів, які полюють за державними і комерційними таємницями [2].
Функціонування сучасної інформаційної системи визначається взаємодією різних додатків, що працюють в розподіленому середовищі з використанням механізмів різних операційних систем, які встановлені на серверах і робочих станціях. Щоб ефективно реалізувати переваги роботи з розподіленими ресурсами, використовуються мережеві рішення, найчастіше досить складні як структурно, так і функціонально. Забезпечення безпеки такої системи вимагає проведення цілого комплексу заходів відповідно до розробленої на підприємстві політикою інформаційної безпеки. [5]
Найважливішими на практиці є наступні три аспекти інформаційної безпеки:
· Доступність (можливість за розумний час отримати необхідну інформаційну послугу);
· Цілісність (актуальність і несуперечність інформації, її захищеність від руйнування і несанкціонованого зміни);
· Конфіденційність (захист від несанкціонованого ознайомлення).
Прийнято розділяти класичну і багатоланкову архітектуру клієнт / сервер. У першому випадку є виділений сервер, який повністю обробляє запити деякого числа клієнтів. Типовим прикладом такого сервера є сервер баз даних. Такий підхід вимагає високих апаратних витрат для обладнання сервера. Також повинна забезпечуватися безперебійна робота самого сервера, що вимагає дуже серйозного підходу до його адміністрування та розробки ПЗ для нього.
Програми управління безпекою в розподілених системах - монітори безпеки - використовують глобальні таблиці безпеки (ГТБ), в яких зберігаються призначені для користувача паролі для доступу до всіх вузлів системи. Якщо користувач правильно вводить перший код, від введення інших він звільняється. Всю роботу за неї виконує монітор, який стежить за тим, до якої підсистемі звертається користувач, вибирає потрібний пароль з таблиці і передає його на вхід відповідної підсистеми. У складних мережевих середовищах для реалізації процедур однократної реєстрації застосовуються також довірчі відносини між серверами різних доменів [2].
На російському ринку представлені, в основному, програмні засоби комп'ютерної захисту середовища «клієнт - сервер» [2].
AutoSecure фірми Platinum Technology. ПО AutoSecure (спочатку відому під ім'ям SeOS компанії Метс Software) являє собою набір засобів захисту обчислювальних систем з серверами під ОС Unix, HP-UX, AIX і SunOS / Solaris і клієнтськими станціями з інтерфейсом Motif.
До складу програми входять три незалежних модуля:
1) AutoSecure Access Control - контролює доступ користувачів до захищуваних програм та файлів, а в разі спроб несанкціонованого доступу сповіщає про них адміністратора системи;
2) AutoSecure Security Administrator - служить для ведення списків користувачів, груп користувачів, що захищаються ресурсів, налаштування прав доступу користувачів до ресурсів;
3) AutoSecure Single Sign On - відкриває користувачам доступ до даних, що зберігаються на мейнфреймах. У цьому випадку адміністратор і користувачі отримують такий же рівень безпеки та комфортності, як і на великих машинах, де використовуються системи RACF корпорації IBM або ACF2 від Computer Associates.
Нижче наведені основні особливості продукту фірми Platinum:
• захист корпоративних даних від НСД за рахунок ідентифікації користувачів та перевірки їх повноважень;
• запобігання випадків порушення системи захисту і повідомлення системного адміністратора при виявленні спроб "злому" і підозрілої поведінки користувачів (на кшталт спроб підбору пароля, запуску додатків із закритих каталогів тощо);
• фіксація користувача активності в системних журналах;
• можливість адміністрування системи захисту з локальних або віддалених комп'ютерів;
• масштабованість системи залежно від розміру комп'ютерної мережі;
• мінімізація мережевого графіка без зниження загальної продуктивності за рахунок обробки авторизованого запиту на тому комп'ютері, звідки він надійшов;
• можливість адаптації до промислових стандартів за рахунок підтримки технології захисту, прийнятої в розподіленої обчислювальної середовищі DCE;
• можливість обмеження прав суперкористувача (користувач Unix з максимальними правами доступу).
Guardian DataLynx. Guardian за короткий термін став стандартом де-факто для систем обліку і контролю доступу в середовищі Unix. Програма підтримує близько 20 версій цієї ОС і має загальний для всіх платформ графічний інтерфейс Motif. За допомогою ПО Guardian адміністратор системи може призначити тимчасові рамки, у межах яких користувачі можуть реєструватися в системі. Як тільки час роботи закінчується, Guardian змушує користувача закінчити роботу.
Велика увага система приділяє дисципліні ведення паролів. Так, програма регулярно нагадує користувачам про необхідність зміни паролів, змушує всіх або деяких користувачів змінювати паролі при черговій реєстрації, веде облік раніше вводяться паролів, автоматично генерує мільйони паролів з форматним контролем (FIPS-181). Коли користувач перевищує число допустимих спроб введення паролів, Guardian блокує його вхід в систему. Передбачено постійне ведення журналів, в яких фіксується історія роботи користувачів.
Програма функціонує на комп'ютерах HP, IBM і Sun Microsystems.
OmniGuard фірми Axent Technologies - комплект продуктів, призначений для вирішення проблем безпеки в системах клієнт / сервер. Пакет складається з шести компонентів, що дозволяють адмініструвати бази даних в розподілених мережах масштабу підприємства.
Функції продукту охоплюють всі аспекти проблеми безпеки в архітектурах клієнт / сервер, включаючи управління захистом даних, ідентифікацію та адміністрування користувачів, моніторинг графіка, контроль за вторгненням у систему ззовні, забезпечення безпечного обміну повідомленнями і файлами.
OmniGuard реалізований в архітектурі клієнт / сервер, підтримує декілька платформ і конструктивно складається з трьох частин: презентаційної частини, керуючого сервера та інтелектуального агента. За бажанням інтерфейс користувача може бути налаштований під X / Motif або Windows. Керуючий сервер працює на платформах NetWare, OpenVMS і різних варіантах Unix.
DBA - Xpert for Oracle фірми Compuware - засіб централізованого адміністрування та забезпечення захисту інформації в розподілених системах.
Продукт підтримує роботу з довільним числом баз даних. Є засоби аналізу та навігації для БД Oracle.
Складається з трьох компонентів: Secure-Xpert (централізоване управління системою безпеки для розподілених даних), Change-Xpert (функції синхронізації) і Reorg-Xpert (операції по завантаженню / вивантаженню даних).
SQL Secure 3.1 фірми BrainTree Technology - додаток класу клієнт / сервер для адміністрування засобів захисту інформації в базах даних Oracle. Програма фіксує спроби впровадження в систему ззовні, синхронізує паролі користувачів в кількох БД, дозволяє гнучко набудувати процес внутрішнього аудиту, регламентує доступ користувачів до таблиць бази даних на рівні рядків.
Завдяки компоненту Password Manager користувач може працювати з декількома базами даних на різних апаратних платформах, використовуючи єдиний пароль. Крім того, можлива настройка механізму управління паролями користувачів відповідно до прийнятих в конкретній організації стандартами: передбачено завдання мінімальної довжини пароля та терміну його дії, допустимого числа спроб підбору пароля при реєстрації в базі даних.
Адміністратор може запрограмувати ряд дій, які виконуються в разі виявлення в системі несанкціонованого користувача або спроб її "злому", до яких відносяться заборону подальшої роботи з БД і активізація аварійної процедури.
Програмний модуль Audit Manager призначений для перегляду аудиторських журналів. При цьому можливе накладання фільтра перегляду та визначення порядку сортування записів у журналах. Додатково можна описати критичні події та дії, які повинні виконуватися в разі їх виникнення.
Secure Network Services фірми Oracle - набір сервісних засобів, призначений для роботи з продуктом SQL * Net корпорації Oracle і підтримує стандарт шифрування інформації R4 компанії RSA Data Security. Апаратні платформи - DEC, Hewlett-Packard, Silicon Graphics та ін
Коротко розглянуто в [2] деякі засоби аналізу захищеності ОС.
ASET (Automated Security Tool) - це програмний засіб адміністратора ОС Solaris, що забезпечує автоматизоване виконання завдань моніторингу та контролю рівня безпеки зазначеної ОС.
ASET підтримує три рівні безпеки, які накладають певні вимоги до захищеності системи в цілому: низький, середній і високий. Низький рівень після послідовних перевірок гарантує, що атрибути всіх системних файлів відповідають стандартним установкам. ASET видає звіт про потенційних вразливості системи, але на даному рівні не виробляє будь-яких дій щодо усунення виявлених вразливостей. Середній рівень забезпечує контроль більшості об'єктів системного оточення. ASET модифікує деякі атрибути системних файлів і змінних оточення, а також обмежує доступ до системи, зменшуючи таким чином можливість успішного проведення атак. ASET видає звіт про виявлені вразливості, про зміни, атрибутів файлів і про введених обмежень доступу в систему. Зміни сервісних служб на даному рівні не проводяться. При високому рівні гарантується висока захищеність системи і модифікуються атрибути всіх системних файлів і змінних оточення. Більшість системних додатків і команд продовжує функціонувати в звичайному режим, але завдання забезпечення безпеки мають найвищим пріоритетом над системними і призначеними для користувача завданнями.
ASET виконує сім основних завдань з моніторингу та управління рівнем безпеки системи. Для кожної з задач виробляються свої специфічні перевірки і модифікації, а також генеруються звіти по виявлених вразливостей і виконаним змін в системних файлах. Перевірці піддаються:
• атрибути доступу та використання системних файлів;
• відповідність системних файлів їх описах в шаблонах безпеки:
• бюджети користувачів і груп;
• файли конфігурації системи;
• змінні оточення;
• рівень захисту низькорівневої конфігурації eeprom;
• рівень захищеності при використанні системи в якості МЕ.
ASET можна використовувати як в інтерактивному режимі з викликом з командного рядка, так і в автоматичному режимі з певною періодичністю.
Пакет програм COPS (Computer Oracle and Password System) Д. Фармера - вільно розповсюджуване засіб адміністратора безпеки Unix-систем для виявлення вразливостей в підсистемі безпеки ОС SunOS, FreeBSD, IRIX, AIX, 4.3BSD, Ultrix, HP-Unix, NeXT та деяких інших . Ядро системи - це зібрання приблизно десятка програм, кожна з яких знаходить різні проблеми в Unix-безпеки. Ці програми перевіряють:
• файли, директорії й пристрої за дозволеним доступу;
• надійність паролів методом перебору з використанням словника;
• зміст, формат і безпека паролів і груп паролів;
• файли з атрибутом зміни ідентифікатора користувача;
• програми та файли, що запускаються в / etc / rc / *;
• наявність root - SUID файлів, можливість їх запису, і чи є вони справжніми;
• контрольні суми ключових файлів, щоб виявляти будь-які зміни;
• цілісність виконані коду системних програм;
• можливість запису файлів користувачів і файлів запуску (. Profile, cshrc і т.д.);
• анонімну установку ftp;
• необмежений ftp, вигадане ім'я в sendmail;
• конфігурації протоколу NFS;
• проводить різні перевірки root;
• наявність відносин довіри з віддаленими системами;
• права доступу до домашніх каталогів і стартовим файлів користувачів;
• конфігурації поштової служби;
• наявність сервісних служб;
• дати ознайомлення з матеріалами CERT з безпеки;
• містить набір правил і спроб для визначення того, як може бути скомпрометована система.
Результатом роботи COPS є звіт, який може бути представлений у вигляді текстового файлу або автоматично відправлений заданому адресату по електронній пошті. Усунення виявлених вразливостей даним продуктом не виробляються. Замість цього за результатами сканування створюється командний файл, що містить послідовність команд з ліквідації виявлених вразливостей.
COPS може бути запущено від імені користувача, який не володіє привілейованими правами, проте в даному випадку тестування системи буде неповним.
Серед недоліків можна відзначити наступне. Робота COPS призводить до зменшення продуктивності системи. При проведенні оцінки стійкості паролів значно збільшуються обчислювальні та часові витрати, тому запуск COPS рекомендується проводити в години найменшої завантаження системи.
Система System Security Scanner (SSS) фірми Internet Security Systems Inc. - Засіб разового або регулярного аналізу ступеня безпеки ОС Solaris 2.x, SunOS 4.1.x, Linux 1.2/1.3, AIX 3.2.5, HP-UX 9.05, 10.Х (beta) та управління захищеністю цих систем відповідно до політикою безпеки організації. SSS здійснює контроль прав доступу до файлів, перевірку власників файлів, аналіз конфігурації мережевих служб, налаштування користувача і системних бюджетів. Крім цього, досліджується можливість наявності закладок та інших слідів проникнення зловмисників. Звіти про результати аналізу містять деталізований опис знайдених вразливостей і послідовностей дій адміністратора щодо їх усунення. SSS не виробляє запуск коригуючого сценарію самостійно, а лише пропонує можливість його застосування. Зберігання результатів тестування проводиться в спеціальній базі даних, яка містить інформацію про відомих вразливостей (їх понад 250) і способи їх усунення.
Система SSS дозволять виробляти розподілене сканування кількох віддалених систем з однієї керуючої робочої станції. При цьому, конфігурація механізмів сканування віддалених систем і обробка результатів здійснюється на керуючому ПК, а на віддалених системах запускається тільки скануючий агент. Результати сканування віддалених систем передаються по протоколу TCP в закодованому вигляді. Зміст
Введення .. 3
1. Захищені інформаційні технології в Internet 4
1.1. Захист архітектури «Клієнт - сервер». 4
1.2 Аналіз захищеності ОС .. 7
1.3. Захист каналів зв'язку в Internet. 11
1.4 Вітчизняні захищені системи .. 15
2. Інтегральні пристрої захисту інформації .. 16
Висновок .. 21
Список літератури ... 23
Введення
Під терміном "інформаційна безпека", згідно з визначенням Гостехкомиссии при Президентові РФ, розуміють стан захищеності інформації, що обробляється засобами обчислювальної техніки або автоматизованої системи, від внутрішніх або зовнішніх загроз: від небажаного її розголошення (порушення конфіденційності), спотворення (порушення цілісності), втрати або зниження ступеня доступності інформації, а також її незаконного тиражування, які призводять до матеріального або морального збитку власника або користувача інформації. Відповідно, під захистом інформації мається на увазі комплекс заходів, що проводяться з метою запобігання від дій загроз безпеки інформації, де загроза є потенційною можливістю порушення безпеки інформації.Коли говорять про інформаційну безпеку, то мають на увазі широкий спектр проблем: від стихійних лих і проблем з електроживленням до досвідчених зловмисників, які використовують обчислювальні системи для своєї вигоди, або шпигунів, які полюють за державними і комерційними таємницями [2].
Функціонування сучасної інформаційної системи визначається взаємодією різних додатків, що працюють в розподіленому середовищі з використанням механізмів різних операційних систем, які встановлені на серверах і робочих станціях. Щоб ефективно реалізувати переваги роботи з розподіленими ресурсами, використовуються мережеві рішення, найчастіше досить складні як структурно, так і функціонально. Забезпечення безпеки такої системи вимагає проведення цілого комплексу заходів відповідно до розробленої на підприємстві політикою інформаційної безпеки. [5]
Найважливішими на практиці є наступні три аспекти інформаційної безпеки:
· Доступність (можливість за розумний час отримати необхідну інформаційну послугу);
· Цілісність (актуальність і несуперечність інформації, її захищеність від руйнування і несанкціонованого зміни);
· Конфіденційність (захист від несанкціонованого ознайомлення).
1. Захищені інформаційні технології в Internet
1.1. Захист архітектури «Клієнт - сервер»
В основі спілкування з мережею Internet лежить технологія клієнт / сервер. Визначень архітектури клієнт / сервер дуже багато. У загальному випадку це такий спосіб проектування інформаційної системи, при якому вона може бути розглянута як сукупність певної кількості підсистем двох видів - клієнтської і серверної. Клієнтська частина системи ініціює запити, а серверна обробляє запити і при необхідності генерує відповіді клієнту.Прийнято розділяти класичну і багатоланкову архітектуру клієнт / сервер. У першому випадку є виділений сервер, який повністю обробляє запити деякого числа клієнтів. Типовим прикладом такого сервера є сервер баз даних. Такий підхід вимагає високих апаратних витрат для обладнання сервера. Також повинна забезпечуватися безперебійна робота самого сервера, що вимагає дуже серйозного підходу до його адміністрування та розробки ПЗ для нього.
Програми управління безпекою в розподілених системах - монітори безпеки - використовують глобальні таблиці безпеки (ГТБ), в яких зберігаються призначені для користувача паролі для доступу до всіх вузлів системи. Якщо користувач правильно вводить перший код, від введення інших він звільняється. Всю роботу за неї виконує монітор, який стежить за тим, до якої підсистемі звертається користувач, вибирає потрібний пароль з таблиці і передає його на вхід відповідної підсистеми. У складних мережевих середовищах для реалізації процедур однократної реєстрації застосовуються також довірчі відносини між серверами різних доменів [2].
На російському ринку представлені, в основному, програмні засоби комп'ютерної захисту середовища «клієнт - сервер» [2].
AutoSecure фірми Platinum Technology. ПО AutoSecure (спочатку відому під ім'ям SeOS компанії Метс Software) являє собою набір засобів захисту обчислювальних систем з серверами під ОС Unix, HP-UX, AIX і SunOS / Solaris і клієнтськими станціями з інтерфейсом Motif.
До складу програми входять три незалежних модуля:
1) AutoSecure Access Control - контролює доступ користувачів до захищуваних програм та файлів, а в разі спроб несанкціонованого доступу сповіщає про них адміністратора системи;
2) AutoSecure Security Administrator - служить для ведення списків користувачів, груп користувачів, що захищаються ресурсів, налаштування прав доступу користувачів до ресурсів;
3) AutoSecure Single Sign On - відкриває користувачам доступ до даних, що зберігаються на мейнфреймах. У цьому випадку адміністратор і користувачі отримують такий же рівень безпеки та комфортності, як і на великих машинах, де використовуються системи RACF корпорації IBM або ACF2 від Computer Associates.
Нижче наведені основні особливості продукту фірми Platinum:
• захист корпоративних даних від НСД за рахунок ідентифікації користувачів та перевірки їх повноважень;
• запобігання випадків порушення системи захисту і повідомлення системного адміністратора при виявленні спроб "злому" і підозрілої поведінки користувачів (на кшталт спроб підбору пароля, запуску додатків із закритих каталогів тощо);
• фіксація користувача активності в системних журналах;
• можливість адміністрування системи захисту з локальних або віддалених комп'ютерів;
• масштабованість системи залежно від розміру комп'ютерної мережі;
• мінімізація мережевого графіка без зниження загальної продуктивності за рахунок обробки авторизованого запиту на тому комп'ютері, звідки він надійшов;
• можливість адаптації до промислових стандартів за рахунок підтримки технології захисту, прийнятої в розподіленої обчислювальної середовищі DCE;
• можливість обмеження прав суперкористувача (користувач Unix з максимальними правами доступу).
Guardian DataLynx. Guardian за короткий термін став стандартом де-факто для систем обліку і контролю доступу в середовищі Unix. Програма підтримує близько 20 версій цієї ОС і має загальний для всіх платформ графічний інтерфейс Motif. За допомогою ПО Guardian адміністратор системи може призначити тимчасові рамки, у межах яких користувачі можуть реєструватися в системі. Як тільки час роботи закінчується, Guardian змушує користувача закінчити роботу.
Велика увага система приділяє дисципліні ведення паролів. Так, програма регулярно нагадує користувачам про необхідність зміни паролів, змушує всіх або деяких користувачів змінювати паролі при черговій реєстрації, веде облік раніше вводяться паролів, автоматично генерує мільйони паролів з форматним контролем (FIPS-181). Коли користувач перевищує число допустимих спроб введення паролів, Guardian блокує його вхід в систему. Передбачено постійне ведення журналів, в яких фіксується історія роботи користувачів.
Програма функціонує на комп'ютерах HP, IBM і Sun Microsystems.
OmniGuard фірми Axent Technologies - комплект продуктів, призначений для вирішення проблем безпеки в системах клієнт / сервер. Пакет складається з шести компонентів, що дозволяють адмініструвати бази даних в розподілених мережах масштабу підприємства.
Функції продукту охоплюють всі аспекти проблеми безпеки в архітектурах клієнт / сервер, включаючи управління захистом даних, ідентифікацію та адміністрування користувачів, моніторинг графіка, контроль за вторгненням у систему ззовні, забезпечення безпечного обміну повідомленнями і файлами.
OmniGuard реалізований в архітектурі клієнт / сервер, підтримує декілька платформ і конструктивно складається з трьох частин: презентаційної частини, керуючого сервера та інтелектуального агента. За бажанням інтерфейс користувача може бути налаштований під X / Motif або Windows. Керуючий сервер працює на платформах NetWare, OpenVMS і різних варіантах Unix.
DBA - Xpert for Oracle фірми Compuware - засіб централізованого адміністрування та забезпечення захисту інформації в розподілених системах.
Продукт підтримує роботу з довільним числом баз даних. Є засоби аналізу та навігації для БД Oracle.
Складається з трьох компонентів: Secure-Xpert (централізоване управління системою безпеки для розподілених даних), Change-Xpert (функції синхронізації) і Reorg-Xpert (операції по завантаженню / вивантаженню даних).
SQL Secure 3.1 фірми BrainTree Technology - додаток класу клієнт / сервер для адміністрування засобів захисту інформації в базах даних Oracle. Програма фіксує спроби впровадження в систему ззовні, синхронізує паролі користувачів в кількох БД, дозволяє гнучко набудувати процес внутрішнього аудиту, регламентує доступ користувачів до таблиць бази даних на рівні рядків.
Завдяки компоненту Password Manager користувач може працювати з декількома базами даних на різних апаратних платформах, використовуючи єдиний пароль. Крім того, можлива настройка механізму управління паролями користувачів відповідно до прийнятих в конкретній організації стандартами: передбачено завдання мінімальної довжини пароля та терміну його дії, допустимого числа спроб підбору пароля при реєстрації в базі даних.
Адміністратор може запрограмувати ряд дій, які виконуються в разі виявлення в системі несанкціонованого користувача або спроб її "злому", до яких відносяться заборону подальшої роботи з БД і активізація аварійної процедури.
Програмний модуль Audit Manager призначений для перегляду аудиторських журналів. При цьому можливе накладання фільтра перегляду та визначення порядку сортування записів у журналах. Додатково можна описати критичні події та дії, які повинні виконуватися в разі їх виникнення.
Secure Network Services фірми Oracle - набір сервісних засобів, призначений для роботи з продуктом SQL * Net корпорації Oracle і підтримує стандарт шифрування інформації R4 компанії RSA Data Security. Апаратні платформи - DEC, Hewlett-Packard, Silicon Graphics та ін
1.2 Аналіз захищеності ОС
Для аналізу захищеності ОС розробляються спеціалізовані засоби. Кошти даного класу дозволяють виробляти ревізію перерахованих вище механізмів захисту ОС: підсистеми розмежування доступу, механізмів ідентифікації і аутентифікації, засобів моніторингу, аудиту та інших компонент з точки зору відповідності їх конфігурації необхідному рівню захищеності системи. Крім цього, проводиться контроль цілісності ПЗ (включаючи незмінність програмного коду і системних установок з моменту попереднього аналізу) та перевірка наявності вразливостей системних і прикладних служб. Така перевірка проводиться з використанням бази даних про уразливість сервісних служб або певних версій програмного забезпечення, яка входить до складу засобів аналізу.Коротко розглянуто в [2] деякі засоби аналізу захищеності ОС.
ASET (Automated Security Tool) - це програмний засіб адміністратора ОС Solaris, що забезпечує автоматизоване виконання завдань моніторингу та контролю рівня безпеки зазначеної ОС.
ASET підтримує три рівні безпеки, які накладають певні вимоги до захищеності системи в цілому: низький, середній і високий. Низький рівень після послідовних перевірок гарантує, що атрибути всіх системних файлів відповідають стандартним установкам. ASET видає звіт про потенційних вразливості системи, але на даному рівні не виробляє будь-яких дій щодо усунення виявлених вразливостей. Середній рівень забезпечує контроль більшості об'єктів системного оточення. ASET модифікує деякі атрибути системних файлів і змінних оточення, а також обмежує доступ до системи, зменшуючи таким чином можливість успішного проведення атак. ASET видає звіт про виявлені вразливості, про зміни, атрибутів файлів і про введених обмежень доступу в систему. Зміни сервісних служб на даному рівні не проводяться. При високому рівні гарантується висока захищеність системи і модифікуються атрибути всіх системних файлів і змінних оточення. Більшість системних додатків і команд продовжує функціонувати в звичайному режим, але завдання забезпечення безпеки мають найвищим пріоритетом над системними і призначеними для користувача завданнями.
ASET виконує сім основних завдань з моніторингу та управління рівнем безпеки системи. Для кожної з задач виробляються свої специфічні перевірки і модифікації, а також генеруються звіти по виявлених вразливостей і виконаним змін в системних файлах. Перевірці піддаються:
• атрибути доступу та використання системних файлів;
• відповідність системних файлів їх описах в шаблонах безпеки:
• бюджети користувачів і груп;
• файли конфігурації системи;
• змінні оточення;
• рівень захисту низькорівневої конфігурації eeprom;
• рівень захищеності при використанні системи в якості МЕ.
ASET можна використовувати як в інтерактивному режимі з викликом з командного рядка, так і в автоматичному режимі з певною періодичністю.
Пакет програм COPS (Computer Oracle and Password System) Д. Фармера - вільно розповсюджуване засіб адміністратора безпеки Unix-систем для виявлення вразливостей в підсистемі безпеки ОС SunOS, FreeBSD, IRIX, AIX, 4.3BSD, Ultrix, HP-Unix, NeXT та деяких інших . Ядро системи - це зібрання приблизно десятка програм, кожна з яких знаходить різні проблеми в Unix-безпеки. Ці програми перевіряють:
• файли, директорії й пристрої за дозволеним доступу;
• надійність паролів методом перебору з використанням словника;
• зміст, формат і безпека паролів і груп паролів;
• файли з атрибутом зміни ідентифікатора користувача;
• програми та файли, що запускаються в / etc / rc / *;
• наявність root - SUID файлів, можливість їх запису, і чи є вони справжніми;
• контрольні суми ключових файлів, щоб виявляти будь-які зміни;
• цілісність виконані коду системних програм;
• можливість запису файлів користувачів і файлів запуску (. Profile, cshrc і т.д.);
• анонімну установку ftp;
• необмежений ftp, вигадане ім'я в sendmail;
• конфігурації протоколу NFS;
• проводить різні перевірки root;
• наявність відносин довіри з віддаленими системами;
• права доступу до домашніх каталогів і стартовим файлів користувачів;
• конфігурації поштової служби;
• наявність сервісних служб;
• дати ознайомлення з матеріалами CERT з безпеки;
• містить набір правил і спроб для визначення того, як може бути скомпрометована система.
Результатом роботи COPS є звіт, який може бути представлений у вигляді текстового файлу або автоматично відправлений заданому адресату по електронній пошті. Усунення виявлених вразливостей даним продуктом не виробляються. Замість цього за результатами сканування створюється командний файл, що містить послідовність команд з ліквідації виявлених вразливостей.
COPS може бути запущено від імені користувача, який не володіє привілейованими правами, проте в даному випадку тестування системи буде неповним.
Серед недоліків можна відзначити наступне. Робота COPS призводить до зменшення продуктивності системи. При проведенні оцінки стійкості паролів значно збільшуються обчислювальні та часові витрати, тому запуск COPS рекомендується проводити в години найменшої завантаження системи.
Система System Security Scanner (SSS) фірми Internet Security Systems Inc. - Засіб разового або регулярного аналізу ступеня безпеки ОС Solaris 2.x, SunOS 4.1.x, Linux 1.2/1.3, AIX 3.2.5, HP-UX 9.05, 10.Х (beta) та управління захищеністю цих систем відповідно до політикою безпеки організації. SSS здійснює контроль прав доступу до файлів, перевірку власників файлів, аналіз конфігурації мережевих служб, налаштування користувача і системних бюджетів. Крім цього, досліджується можливість наявності закладок та інших слідів проникнення зловмисників. Звіти про результати аналізу містять деталізований опис знайдених вразливостей і послідовностей дій адміністратора щодо їх усунення. SSS не виробляє запуск коригуючого сценарію самостійно, а лише пропонує можливість його застосування. Зберігання результатів тестування проводиться в спеціальній базі даних, яка містить інформацію про відомих вразливостей (їх понад 250) і способи їх усунення.
Можливості тестування системи визначаються вибраними для сканування уразливими. SSS дозволяє проводити сканування системи з різними спеціально створеними конфігураціями сканування, що дозволяє заздалегідь настроювати через декілька файлів конфігурації разноуровневое сканування для періодичного тестування системи. Всі виявлені вразливості розсортовані за типами, відповідних галузей системи, та виділено певним кольором, що позначає рівень важливості. [1]
Пакет програм Internet Scanner SAFEsuite (ISS) призначений для проведення комплексної оцінки ефективності політики безпеки на рівні мережевих сервісів. Він надає можливості для ідентифікації та корекції понад 140 відомих слабких місць і постійного спостереження за станом безпеки для широкого діапазону мережевих пристроїв - від Web-вузлів і брандмауерів до серверів і робочих станцій, що працюють у середовищах UNIX, Windows 95, Windows NT, і всіх інших пристроїв, що працюють з протоколом TCP / IP.
Пакет ISS складається з трьох програм: Web Security Scanner, Firewall Scanner, Intranet Scanner. Відзначимо деякі загальні характеристики пакета ISS.
1. Автоматизоване і конфігурується сканування:
· Автоматична ідентифікація та створення звітів по слабких місцях;
· Планове періодичне сканування або сканування після певних подій;
· Конфігурація сканування за адресами IP, типами слабких місць, ризиків і іншим встановлюються користувачами критеріями;
· Автоматична корекція ключових слабких місць;
· Надійність і повторюваність.
2. Забезпечення безпеки:
· Можливість управління ризиками;
· Інвентаризація всіх мережевих пристроїв та ідентифікація існуючих базових слабких місць;
· Розподіл пріоритетів за ступенями ризику (високий, середній, низький);
· Аналіз і порівняння базових звітів для використання в майбутніх оцінках;
· Створення ланцюга зворотного зв'язку при реалізації політики безпеки.
3. Простота користування:
· Графічні інтерфейси користувача Windows NT і Motif UNIX;
· Створення звітів у форматі HTML з упорядкуванням за типами слабких місць, класам ризиків, host-іменах і адресами IP;
· Двомірна мережева карта, що полегшує пошук слабких місць;
· Централізація процедур сканування, управління і моніторингу. [5]
Програма Web Secure Scanner призначена для пошуку слабких місць безпеки на Web-серверах. Забезпечує аудит ОС, під керуванням якої працює Web-сервер, програм додатків, встановлених на Web-сервері, і сценаріїв CSI в Web-додатках. Проводить тестування конфігурації Web-сервера, оцінює рівень безпеки основний файлової системи і переглядає сценарії CSI на наявність слабких місць. За підсумками тестування створюється звіт з описом виявлених слабких місць і рекомендаціями по коригувальних дій.
Програма Firewall Scanner забезпечує пошук слабких місць в брандмауерах, перш за все в їх конфігурації, і надає рекомендації щодо їх корекції. Проводить тестування реакції брандмауерів на різні типи спроб порушення безпеки. Виконує сканування сервісів - ідентифікацію всіх мережевих сервісів, доступ до яких здійснюється через брандмауер. Програму Firewall Scanner рекомендується зробити частиною установки брандмауера і складовою частиною програми забезпечення безпеки.
Програма Intranet Scanner призначена для автоматичного виявлення потенційних слабких місць усередині мереж з використанням різних тестів для перевірки реакції на несанкціоновані проникнення. Забезпечує перевірку різних мережевих пристроїв, включаючи UNIX-комп'ютери, системи, що працюють під управлінням ОС Windows NT/95 фірми Microsoft, маршрутизатори, Web-серверs і X-термінали.
1.3. Захист каналів зв'язку в Internet
У липні 1997 р. вийшов керівний документ "Засоби обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу" Гостехкомиссии при Президентові РФ (повний текст можна знайти в інформаційному бюлетені "Jet Info" № 17-18 тисячі дев'ятсот дев'яносто сім р. і на сайті http://www.infotecs.ru/gtc/RD_ekran.htm). У цьому документі дано класифікацію МЕ в залежності від ступеня забезпечувана ними захисту від несанкціонованого доступу. Визначення самого МЕ таке: МЕ - це локальне (однокомпонентні) або функціонально-розподілене засіб (комплекс), що реалізує контроль за інформацією, що надходить в автоматизовану систему (АС) та / або виходить з АС, і забезпечує захист АС за допомогою фільтрації інформації, т. е. її аналізу за сукупністю критеріїв та прийняття рішення про її поширення в (з) АС.Встановлюється п'ять класів захищеності МЕ: 5 (найнижчий) - застосовується для безпечної взаємодії АС класу 1 Д з зовнішнім середовищем, 4 - для 1 Г, 3 - 1 В, 2 - 1 Б, 1 (найвищий) - для 1А. (Нагадаємо, що Гостехкомиссией РФ встановлено дев'ять класів захищеності АС від НСД, кожен з яких характеризується певною сукупністю вимог до засобів захисту. Класи поділяються на три групи, що відрізняються специфікою обробки інформації. Клас з цифрою "1" включає багатокористувацькі АС, в яких одночасно обробляється і / або зберігається інформація різних рівнів конфіденційності, і не всі користувачі мають рівні права доступу.)
В [2] наведена деяка довідкова інформація, де дані описи декількох систем МЕ. Список сертифікованих Гостехкомиссией РФ МЕ на червень 1999 р. складався з десяти найменувань:
1) автоматизована система розмежування доступу Black Hole (Milkyway Networks) версії BSDI-OS;
2) засіб захисту від НСД в мережах передачі даних за протоколом TCP / IP "ПАНДОРА" на базі Gauntlet 3.1.Н (Trusted Information Systems) і комп'ютера 02 (Silicon Graphics) під управлінням IRIX 6.3;
3) апаратно-програмний комплекс "Застава-Джет" компанії Jet Infosystems і ЦНДІ-27 Міністерства оборони РФ;
4) МЕ "Застава" FortE + фірми Елвіс +;
5) партія засобів програмного забезпечення міжмережевого екрану FireWall-1 фірми Checkpoint Software Technologies;
6) комплекс захисту інформації від НСД "Data Guard/24S";
7) програмний продукт SKIP для регулювання доступу на інтерфейсі локальна / глобальна мережа під управлінням ОС Windows 3.11 та Solaris 2.4;
8) поодинокі зразки програмного забезпечення МЕ AltaVista Firewall 97 фірми AltaVista Internet Software;
9) партія з 20 екземплярів МЕ "Cyber Guard" версія 4.0, що дозволяє створювати захищені корпоративні мережі на базі протоколу Х.25 і Frame Relay;
10) Firewall / Plus фірми Network-1 Software and Technologies.
Список МЕ, сертифікованих Міжнародною асоціацією комп'ютерної безпеки, можна знайти за адресою http://www.icsa.net. Нижче більш докладно описані функції одного з них.
Міжмережевий екран захисту інтрамережі ПАНДОРА на базі Gauntlet 3.1.1i фірми Trusted Information Systems і комп'ютера 02 фірми Silicon Graphics під управлінням IRIX 6.3 надійно вирішує проблему безпеки мережі і дозволяє:
• приховати від користувачів глобальної мережі структуру інтрамережі (IP-адреси, доменні імена і т.д.);
• визначити, яким користувачам, з яких хостів, в напрямку яких хостів, в який час, якими сервісами можна користуватись;
• описати для кожного користувача, яким чином він повинен аутентифицироваться при доступі до сервісу;
• отримати повну статистику по використанню сервісів, спробам НСД, графіку через Пандори і т.д.
ПАНДОРА встановлюється на комп'ютер з двома Ethernet-інтерфейсами на виході між інтраеетью і мережею загального користування.
ПАНДОРА побудована на серверах протоколів прикладного рівня (proxy), яка підтримує такі сервіси: TELNET, Riogin (термінали); FTP (передача даних); SMTP, POP3 (пошта);
HTTP (WWW); Gopher; XI 1 (X Window System); LP (мережевий друк); Rsh (віддалене виконання завдань); Finger; NNTP (новини Usenet); Whois; RealAudio. Крім того, до складу ПАНДОРА входить сервер загального призначення TCP-рівня, який дозволяє безпечно транслювати через ПАНДОРА запити від базуються на TCP протоколів, для яких немає proxy-серверів, а також сервер мережевого доступу, який дозволяє запускати різні програми в залежності від того, звідки прийшов запит.
Для аутентифікації користувачів ПАНДОРА дозволяє застосовувати такі схеми аутентифікації:
· Звичайний Unix-пароль;
· S / Key, MDauth (одноразові паролі).
· РОРЗ-ргоху дає можливість використовувати Арора-авторизацію і тим самим уникнути передачі по мережі відкритого пароля.
· FTP-proxy дозволяє обмежити застосування користувачами окремих команд (наприклад RETR, STOR і т.д.)
· HTTP-proxy дозволяє контролювати передачу через ПАНДОРА фреймів; описів на мові Java; описів на мові JavaScript; html-конструкцій, що не підпадають під стандарт HTML версії 2 і т.д.
Система збору статистики і генерації звітів дозволяє зібрати й опрацювати інформацію про всі з'єднання, включаючи час, кількість байт, адресу джерела, адреса призначення, ID користувача (якщо є), а також аномалії в самій системі.
ПАНДОРА не вимагає ні внесення змін до клієнтське ПЗ, ні використання спеціального ПЗ.
Прозорий режим роботи proxy-серверів дозволяє внутрішнім користувачам з'єднуватися з потрібним хостом за один крок (тобто без проміжного з'єднання з Пандори).
Система контролю цілісності дозволяє контролювати безпеку модулів самої системи.
Графічний інтерфейс управління служить для налаштування, адміністрування та перегляду статистики Пандори.
ПАНДОРА поставляється разом з вихідними текстами основних програм, для того щоб можна було переконатися у відсутності закладок і розібратися, як він працює.
ПАНДОРА сертифікована Державною Технічною Комісією при Президентові Росії. Сертифікат N 73 видано 16 січня 1997 р. і дійсний до 16 січня 2000 р: "... система захисту інформації від НСД в мережах передачі даних за протоколом TCP / IP - міжмережевий екран" ПАНДОРА "(ТУ N 1-97) на базі міжмережевого екрану "Gauntlet" версії 3.1.Н. .., що функціонує на платформі операційної системи IRIX v.6.3 фірми Silicon Graphics, є засобом захисту інформації та забезпечує захист ділянки інтрамережі від доступу ззовні, не знижуючи рівня захищеності ділянки інтрамережі, відповідає технічним умовам № 1-97 і вимогам Керівного документа Гостехко-місії Росії "Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем і вимоги щодо захисту інформації "у частині адміністрування для класу ЗБ".
Завдання вибору МЕ для кожного конкретного застосування - це, головним чином, питання вірного співвідношення вимог користувачів до доступу та ймовірності несанкціонованого доступу. В ідеалі система повинна запобігати будь-яке несанкціоноване вторгнення. Проте, враховуючи широкий спектр необхідних користувачам сервісів (Web, ftp, telnet, SNMP, NFS, телефонія та відео в Internet, електронна пошта та інші), поряд з початковою відкритістю комплекту протоколів TCP / IP, - цього ідеалу досягти дуже важко. У дійсності, мірою ефективності МЕ служить зовсім не його здатність до відмови у наданні сервісів, але його здатність надавати сервіси користувачам в ефективній, структурованої і надійної середовищі. МЕ повинні вміти аналізувати вхідний та вихідний мережевий трафік і правильно визначати, які дії санкціоновані без непотрібного уповільнення роботи системи. [2]
І на закінчення даного розділу наведемо деякі рекомендації з вибору МЕ, які виробила Асоціація "Конфідент".
1). Ціна. Вона коливається істотно - від 1000 до 15000 дол при покупці безпосередньо у фірм-виробників, більшість яких знаходиться в США; в російських дилерів ці цифри значно вище з-за митних і податкових зборів. Цікава й така цифра - ціна МЕ для Windows NT в середньому становить 6000 дол До цієї ціни треба додати витрати на апаратну платформу і ОС, які можуть бути досить значними і порівнянними з вартістю самого МЕ - наприклад, як у випадку використання комп'ютерів Sun під управлінням ОС Solaris. Тому з точки зору економії розумно застосовувати МЕ, орієнтовані на Intel-платформу і ОС DOS, Windows NT, Novel 1 NetWare.
2). Фільтрація. Більшість МЕ працює тільки з сімейством протоколів TCP / IP, що пов'язано з орієнтацією розробників на потреби західного ринку. Цього достатньо, якщо МЕ застосовується в класичному варіанті - для контролю графіка між інтрамережа і Internet. Але в Росії, згідно з наявною статистикою, 90% ринку мережевих ОС складає Novell Netware і тому важлива фільтрація IPX-трафіку. Крім того, абсолютно необхідною для внутрішнього МЕ є здатність фільтрації на рівні з'єднання - наприклад, фільтрації Ethernet-фреймів. На жаль, ця можливість реалізована в дуже небагатьох продуктах (наприклад. Firewall Plus і Eiron Firewall).
3). Побудова інтрамережі - при об'єднанні мережі організації з Internet в якості транспортної магістралі потрібно виходити з наявної інфраструктури. З цієї точки зору багато можливостей, мається на Netware: служби каталогів, управління, друку, захисту та роботи з файлами; GroupWise і ManageWise управляють електронним документообігом і мережею; що входить до складу IntranetWare шлюз IPX / IP організовує прозорий доступ з IPX-станцій до сервісів TCP / IP за допомогою Winsock-сумісного клієнтського ПЗ. Тоді IPX-сервер і IPX-станція не мають IP-адрес і з Internet в принципі не видно. Тому організація атаки на їх інформаційні ресурси практично неможлива і захист IP-хостов гетерогенної мережі IP-IPX вирішується простіше, так як шлюз виконує по відношенню до них функції МЕ. Приклади таких МЕ: BorderManager фірми Novell і NetRoad FireWALL фірми UkiahSoft.
4). Простота експлуатації. Щоб знизити поточні експлуатаційні витрати, краще віддати перевагу простим в експлуатації продуктам з інтуїтивно зрозумілим графічним інтерфейсом, інакше багаті можливості по налаштуванню МЕ можуть виявитися незатребуваними. Цьому критерію добре відповідають два продукти - Firewall Plus фірми Network-1 і NetRoad FireWALL фірми UkiahSoft.
1.4 Вітчизняні захищені системи
Російський стандарт шифрування даних ГОСТ 28147-89Єдиний в даний час комерційний російський алгоритм ГОСТ 28147-89 є універсальним алгоритмом криптографічного захисту даних як для великих інформаційних систем, так і для локальних обчислювальних мереж та автономних комп'ютерів.
Багаторічний досвід використання даного алгоритму показав його високу надійність і вдалу конструкцію. Цей алгоритм може реалізовуватися як апаратним, так і програмним способом, задовольняє всім вимогам криптографічним, сформованим у світовій практиці. Він також дозволяє здійснювати криптозахист будь-якої інформації, незалежно від ступеня її секретності.
В алгоритмі ГОСТ 28147-89 використовується 256-розрядний ключ, представлений у вигляді восьми 32-розрядних чисел, причому, розшифровуються дані за допомогою того ж ключа, за допомогою якого вони були зашифровані.
Необхідно відзначити, що алгоритм ГОСТ 28147-89 повністю задовольняє всім вимогам криптографії і має всі достоїнства алгоритму DES, але позбавлений його недоліків. Зокрема, за рахунок використання спеціально розроблених імітовставок він дозволяє виявляти як випадкові, так і навмисні модифікації зашифрованої інформації. Як недолік російського алгоритму треба відзначити велику складність його програмної реалізації і недостатньо високу швидкість роботи. [1]
СУБД "Лінтер-ВТ", розробленої ВНДІ автоматизації управління в непромислової сфері воронезької фірмою "Релекс", виробництво яких сертифіковано. Фахівці Лос-Аламоської лабораторії в США вважають, що СУБД "Лінтер-ВТ" не поступається СУБД фірми Oracle ("рідна" Oracle, щоб бути сертифікованою, потребує доопрацювання, а, крім того, будь-який західний продукт може отримати сертифікат тільки на певні партії продуктів , оскільки їх виробництво знаходиться за кордоном). [4]
Криптографічні засоби сімейства "Верба-О" виробництва МОПНІЕІ (сертифіковані ФАПСИ). Універсальність установок за замовчуванням. Внутрішні зміни інтерфейсу при зміні засобів незначні. Спектр застосування інтерфейсу системи захисту інформації, наведеного в якості прикладу, продукту, наведеного в якості прикладу, у вельми широкий. Це системи контролю доступу до ресурсів банківської системи (як локальне використання в офісі банку для операторів і клієнтів, так і контроль віддаленого доступу), системи "банк-клієнт", платежі через Інтернет, захищена пошта та багато інших. [3]
Із сучасних вітчизняних інтегральних пристроїв захисту інформації як приклад реалізації можна відзначити розробки фірми "Силует". Вітчизняна інтегральна система "Калейдоскоп-плюс" призначена для передачі за допомогою ПК закритою текстової та факсимільного інформації по загальнодоступних каналах зв'язку. У процесі роботи інформація приводиться до єдиного цифрового увазі і шифрується за алгоритмом шифрування відповідно до ГОСТ 28147-89. Швидкість шифрування - 3 Кбод. Система має можливість вироблення власних ключів. Швидкість передачі інформації до 1200 бод з імовірністю помилки на знак, що дорівнює 10 в ступені (-8). Інформація передається по каналах зв'язку з використанням типових модемів вітчизняного або зарубіжного виробництва. Можливе включення в систему редактора текстової інформації необхідної типу.
Абонентський пункт "МАГ" призначений для комерційної шифрованого зв'язку по комутованих телефонних і телеграфних каналах. Він забезпечує:
· Передачу факсимільного інформації;
· Автоматичне розпізнавання абонента;
· Швидкість шифрування 40 Кбод;
· Швидкість передачі інформації до 1200 бод (ймовірність помилки на знак дорівнює 10 в ступені (-6);
· Криптозахист інформації на дисках і в каналі зв'язку;
· Імітозащітой (контроль цілісності даних);
· Діалоговий режим;
· Використання відкритих ключів.
Склад абонентського пункту "МАГ":
· IBM PC;
· Модем;
· Пристрій мовного введення / виводу на основі мікросхеми TMS 320C25;
· Факсимільний апарат OKIFAX;
· ПЗ.
Вдалою вітчизняною розробкою є інтегральне термінальний пристрій "Індекс" фірми "Скінер", яке призначене для закритого передачі мовної, графічної, буквено-цифровий та іншої інформації з стандартним комерційним телефонних каналах зв'язку. Інтегральне пристрій виконаний у вигляді друкованої плати до ПК IBM PC і спеціального програмного забезпечення. Можливий варіант реалізації у вигляді зовнішнього блоку, що підключається до ПК через паралельний порт. Необхідно зазначити, що оскільки апаратне та програмне забезпечення даного інтегрального пристрою є загальними, то реально виділити в явному вигляді функціональні блоки пристрою не представляється можливим. Тому для пояснення можливостей і проведення подальшого аналізу на мал.1 показані склад та основні функціональні зв'язки між віртуальними блоками (одні й ті ж елементи і фрагменти програм можуть бути використані різними блоками).
Як видно з малюнка, основною особливістю даного термінального пристрою є не тільки його багатофункціональність (модем, автосекретар, пристрій захисту і т. п.), інтеграція різних видів сигналів (телефонних, телеграфних, факсимільних, комп'ютерних та ін), а й інтеграція різних видів забезпечення безпеки (охорона, фізична і екологічна безпека, криптозахист, захист від побічних електромагнітних випромінювань і наведень та ін.)
До персонального комп'ютера телефонної лінії
від датчиків до зовнішніх пристроїв
Рис. 1 Функціональна схема інтегрального термінального пристрою
Основні характеристики та функціональні можливості інтегрального термінального пристрою "Індекс" в стислому вигляді представлені в табл. 1.
Таблиця 1. Основні характеристики і можливості пристрою "Індекс"
Виділяють такі основні особливості інтегрального термінального пристрою "Індекс":
· Реалізація можливостей комп'ютерно-телефонної інтеграції;
· Наявність спеціального математичного забезпечення, що представляє собою єдину систему з дружнім користувачеві інтерфейсом і забезпечує єдиний порядок реєстрації та зберігання даних, що надходять (мовних, факсимільних, цифрових);
· Дистанційне керування системою за допомогою пристроїв тонального набору;
· Можливість єдиного підходу до шифрування та забезпечення заданого рівня захисту для всіх видів інформації;
· Можливість використання інтегрального підходу до забезпечення безпеки;
· Інтеграція різних функцій в єдиному пристрої. [1]
Результати аналізу показують, що останнім часом намітилася тенденція до уповільнення темпів розвитку ринку, причому стабілізація визначається головним чином не стільки насиченістю ринку, скільки невирішеністю низки організаційно-правових питань і обмеженими фінансовими можливостями більшості користувачів (з огляду на досить високу вартість спеціальної техніки). У міру стабілізації економіки слід очікувати значного сплеску інтересу до виробництва і реалізації технічних засобів забезпечення безпеки.
Основною відмінною особливістю сучасного російського ринку доводиться визнати переважна панування зарубіжних технічних засобів забезпечення безпеки. У попередні 5 років у Росії підготовлена відповідна грунт для масового виходу зарубіжних фірм-виробників техніки безпеки на сучасний російський ринок технічних засобів і послуг забезпечення безпеки, що підтверджується активною участю їх представників у виставках "Міліпол", "Безпека", "Секьюріті - експо" , "Банк і офіс", "MIPS", "Банк", "Інтерполітех" та ін Однак необхідно відзначити, що провідні компанії Заходу в галузі безпеки, як правило, сьогодні ще безпосередньо на російський ринок не виходять. Їхні товари представляють в основному російські фірми-інтегратори.
Інтенсивне кількісне і якісне розвиток сучасного російського ринку викликало серйозні зміни в політиці фірм - постачальників технічних засобів і послуг забезпечення безпеки. Що з'явилася в останні роки серйозна конкуренція змусила багато фірм більше уваги приділяти питанням якості, подовжувати гарантійні терміни, вводити додаткову систему знижок, пропонувати покупцеві комплексні послуги, починаючи з консультацій, поставки технічних засобів, обстеження приміщень, які захищаються і закінчуючи сервісним обслуговуванням (профілактикою та ремонтом).
Незважаючи на активне просування продукції зарубіжних фірм - виробників і розповсюджувачів техніки безпеки в Росію, основна їх частина до цього часу продовжує займати ринок головним чином регіонів Москви, Санкт-Петербурга і Єкатеринбурга [1].
Проведений аналіз ринку послуг забезпечення безпеки показує, що в даний час використовується три основні підходи до вирішення завдань забезпечення інформаційної безпеки: індивідуальний підхід з послідовним рішенням приватних завдань забезпечення безпеки, комплексний підхід з одночасним вирішенням комплексу завдань, спрямованих на досягнення єдиної мети, і інтегральний підхід - вирішення завдань забезпечення безпеки з використанням загальних (єдиних) технічних засобів і ПО на принципах інтегральної безпеки.
Як правило, у попередні роки використовувався індивідуальний підхід (треба, наприклад, забезпечити безпеку телефонного зв'язку - купувалося пристрій закриття телефонних переговорів). Цей підхід є ще основним на сучасному російському ринку. Проте сьогодні вже багато фірм пропонують цілий комплекс послуг та відповідних технічних засобів для вирішення завдань забезпечення безпеки. Так, наприклад, проблему безпеки телефонного зв'язку подібні фірми вирішують комплексно з одночасним вирішенням ряду завдань контролю доступу, фізичного захисту, закриття технічних каналів витоку інформації та використання криптографічного закриття. Природно, що по-другому випадку ефективність вирішення проблеми забезпечення безпеки буде значно вище, ніж у першому. [1]
Інтегральний підхід робить тільки перші кроки, і лише деякі окремі фірми можуть запропонувати сьогодні, наприклад, для вирішення завдання забезпечення інформаційної безпеки програмно-апаратні комплекси забезпечення безпеки, що дозволяють на базі єдиного ПК (інтегральної системи) забезпечити безпеку всіх видів інформації (голосовий, візуальної, буквено-цифровий і т. п.) при її обробці, зберіганні і передачі по каналах зв'язку. Звичайно, інтегральний підхід вимагає використання найбільш складних інформаційних технологій і є в даний час більш дорогим, ніж традиційні. Але він є більш ефективним і перспективним.
2. Милославська Н.Г., Толстой А.І. Інтрамережі: доступ в Internet, захист: Учеб. посібник для вузів. - М.: ЮНИТИ-ДАНА, 2000. - 527 с.;
3. Аврін С. Безпека інформації в АБС / / Банківські технології № 6, 1998;
4. Володін О. Захищеність інформації / / Банківські технології № 5, 1998;
5. Кузнєцов А., Тріфаленков І. Чим вимірювати захищеність інформаційних систем / / Банківські технології № 8, 1997;
СУБД "Лінтер-ВТ", розробленої ВНДІ автоматизації управління в непромислової сфері воронезької фірмою "Релекс", виробництво яких сертифіковано. Фахівці Лос-Аламоської лабораторії в США вважають, що СУБД "Лінтер-ВТ" не поступається СУБД фірми Oracle ("рідна" Oracle, щоб бути сертифікованою, потребує доопрацювання, а, крім того, будь-який західний продукт може отримати сертифікат тільки на певні партії продуктів , оскільки їх виробництво знаходиться за кордоном). [4]
Криптографічні засоби сімейства "Верба-О" виробництва МОПНІЕІ (сертифіковані ФАПСИ). Універсальність установок за замовчуванням. Внутрішні зміни інтерфейсу при зміні засобів незначні. Спектр застосування інтерфейсу системи захисту інформації, наведеного в якості прикладу, продукту, наведеного в якості прикладу, у вельми широкий. Це системи контролю доступу до ресурсів банківської системи (як локальне використання в офісі банку для операторів і клієнтів, так і контроль віддаленого доступу), системи "банк-клієнт", платежі через Інтернет, захищена пошта та багато інших. [3]
2. Інтегральні пристрої захисту інформації
Дуже важливим питанням захисту інформації є інтеграція програмно - апаратних засобів забезпечення інформаційної безпеки. На думку В. С. Барсукова, є явно виражена тенденція до все більшої інтеграції різних засобів і систем зв'язку, що викликає необхідність єдиного інтегрального підходу до реєстрації, зберігання та забезпечення безпеки всіх видів переданої інформації. Сучасні СП-додатки з використанням інтегрального підходу дозволяють забезпечити реалізацію інтегральних програмно-апаратних засобів захисту інформації із заданими оперативно-технічними характеристиками. [1]Із сучасних вітчизняних інтегральних пристроїв захисту інформації як приклад реалізації можна відзначити розробки фірми "Силует". Вітчизняна інтегральна система "Калейдоскоп-плюс" призначена для передачі за допомогою ПК закритою текстової та факсимільного інформації по загальнодоступних каналах зв'язку. У процесі роботи інформація приводиться до єдиного цифрового увазі і шифрується за алгоритмом шифрування відповідно до ГОСТ 28147-89. Швидкість шифрування - 3 Кбод. Система має можливість вироблення власних ключів. Швидкість передачі інформації до 1200 бод з імовірністю помилки на знак, що дорівнює 10 в ступені (-8). Інформація передається по каналах зв'язку з використанням типових модемів вітчизняного або зарубіжного виробництва. Можливе включення в систему редактора текстової інформації необхідної типу.
Абонентський пункт "МАГ" призначений для комерційної шифрованого зв'язку по комутованих телефонних і телеграфних каналах. Він забезпечує:
· Передачу факсимільного інформації;
· Автоматичне розпізнавання абонента;
· Швидкість шифрування 40 Кбод;
· Швидкість передачі інформації до 1200 бод (ймовірність помилки на знак дорівнює 10 в ступені (-6);
· Криптозахист інформації на дисках і в каналі зв'язку;
· Імітозащітой (контроль цілісності даних);
· Діалоговий режим;
· Використання відкритих ключів.
Склад абонентського пункту "МАГ":
· IBM PC;
· Модем;
· Пристрій мовного введення / виводу на основі мікросхеми TMS 320C25;
· Факсимільний апарат OKIFAX;
· ПЗ.
Вдалою вітчизняною розробкою є інтегральне термінальний пристрій "Індекс" фірми "Скінер", яке призначене для закритого передачі мовної, графічної, буквено-цифровий та іншої інформації з стандартним комерційним телефонних каналах зв'язку. Інтегральне пристрій виконаний у вигляді друкованої плати до ПК IBM PC і спеціального програмного забезпечення. Можливий варіант реалізації у вигляді зовнішнього блоку, що підключається до ПК через паралельний порт. Необхідно зазначити, що оскільки апаратне та програмне забезпечення даного інтегрального пристрою є загальними, то реально виділити в явному вигляді функціональні блоки пристрою не представляється можливим. Тому для пояснення можливостей і проведення подальшого аналізу на мал.1 показані склад та основні функціональні зв'язки між віртуальними блоками (одні й ті ж елементи і фрагменти програм можуть бути використані різними блоками).
Як видно з малюнка, основною особливістю даного термінального пристрою є не тільки його багатофункціональність (модем, автосекретар, пристрій захисту і т. п.), інтеграція різних видів сигналів (телефонних, телеграфних, факсимільних, комп'ютерних та ін), а й інтеграція різних видів забезпечення безпеки (охорона, фізична і екологічна безпека, криптозахист, захист від побічних електромагнітних випромінювань і наведень та ін.)
|
|
|
|
|
|
|
|
Блок аналогового і цифро-аналогового перетворення |
Блок обробки мовлення (цифровий телефон) |
До персонального комп'ютера телефонної лінії
від датчиків до зовнішніх пристроїв
Рис. 1 Функціональна схема інтегрального термінального пристрою
Основні характеристики та функціональні можливості інтегрального термінального пристрою "Індекс" в стислому вигляді представлені в табл. 1.
Таблиця 1. Основні характеристики і можливості пристрою "Індекс"
| Найменування віртуального блоку | Характеристики та функціональні можливості | |||
| Комп'ютерний телефон (обробка мови) | Запис та зберігання мовних повідомлень | Реєстрація телефонних повідомлень | Розпізнавання кодів і команд | Автодозвон. Видача мовних повідомлень |
| Шифратор | Гарантована захист всіх видів інформації (ГОСТ 28147-89) | Конфіденційність і достовірність інформації | Розмежування прав доступу, цифрова підпис | Розподіл ключів за схемою "відкритого ключа" |
| Корекція помилок за протоколом MNP-5 і вище | Швидкість передачі 300 ... 2400 бод | Повторна перевірка номера абонента та кодування | Цифровий підпис | |
| Факс | Швидкість передачі до 9600 бод | Криптозахист по ГОСТ 28147-8е | Стиснення переданої інформації | Автореєстрація і Розсилка |
| Автовідповідач | Автоматична Реєстрація викликів до журналу обліку | Перевірка абонента зворотним викликом | Передала заготовлених голосових повідомлень | Запис входять Повідомлень |
| Пристрій охорони та фізичного захисту | Прийом сигналів від Зовнішніх датчиків | Автонабір записаних в пам'ять номерів | Передача мовного повідомлення про порушення | Підключення зовнішніх пристроїв (в тому числі генератора шуму) |
· Реалізація можливостей комп'ютерно-телефонної інтеграції;
· Наявність спеціального математичного забезпечення, що представляє собою єдину систему з дружнім користувачеві інтерфейсом і забезпечує єдиний порядок реєстрації та зберігання даних, що надходять (мовних, факсимільних, цифрових);
· Дистанційне керування системою за допомогою пристроїв тонального набору;
· Можливість єдиного підходу до шифрування та забезпечення заданого рівня захисту для всіх видів інформації;
· Можливість використання інтегрального підходу до забезпечення безпеки;
· Інтеграція різних функцій в єдиному пристрої. [1]
Висновок
Аналіз сучасного російського ринку технічних засобів та послуг забезпечення безпеки показує, що в даний час налічується вже понад 2 тис. підприємств і фірм, активно надають свої послуги і постачають спеціальні технічні засоби забезпечення безпеки, номенклатура яких вже складає десятки тисяч найменувань. Тому основним інформаційним джерелом вартісних і технічних характеристик засобів і послуг забезпечення безпеки стають інформаційно-довідкові матеріали у вигляді довідників, каталогів, посібників, БД і т. п. Роль і цінність подібних інформаційно-довідкових матеріалів постійно зростає, і їх важко переоцінити [1] .Результати аналізу показують, що останнім часом намітилася тенденція до уповільнення темпів розвитку ринку, причому стабілізація визначається головним чином не стільки насиченістю ринку, скільки невирішеністю низки організаційно-правових питань і обмеженими фінансовими можливостями більшості користувачів (з огляду на досить високу вартість спеціальної техніки). У міру стабілізації економіки слід очікувати значного сплеску інтересу до виробництва і реалізації технічних засобів забезпечення безпеки.
Основною відмінною особливістю сучасного російського ринку доводиться визнати переважна панування зарубіжних технічних засобів забезпечення безпеки. У попередні 5 років у Росії підготовлена відповідна грунт для масового виходу зарубіжних фірм-виробників техніки безпеки на сучасний російський ринок технічних засобів і послуг забезпечення безпеки, що підтверджується активною участю їх представників у виставках "Міліпол", "Безпека", "Секьюріті - експо" , "Банк і офіс", "MIPS", "Банк", "Інтерполітех" та ін Однак необхідно відзначити, що провідні компанії Заходу в галузі безпеки, як правило, сьогодні ще безпосередньо на російський ринок не виходять. Їхні товари представляють в основному російські фірми-інтегратори.
Інтенсивне кількісне і якісне розвиток сучасного російського ринку викликало серйозні зміни в політиці фірм - постачальників технічних засобів і послуг забезпечення безпеки. Що з'явилася в останні роки серйозна конкуренція змусила багато фірм більше уваги приділяти питанням якості, подовжувати гарантійні терміни, вводити додаткову систему знижок, пропонувати покупцеві комплексні послуги, починаючи з консультацій, поставки технічних засобів, обстеження приміщень, які захищаються і закінчуючи сервісним обслуговуванням (профілактикою та ремонтом).
Незважаючи на активне просування продукції зарубіжних фірм - виробників і розповсюджувачів техніки безпеки в Росію, основна їх частина до цього часу продовжує займати ринок головним чином регіонів Москви, Санкт-Петербурга і Єкатеринбурга [1].
Проведений аналіз ринку послуг забезпечення безпеки показує, що в даний час використовується три основні підходи до вирішення завдань забезпечення інформаційної безпеки: індивідуальний підхід з послідовним рішенням приватних завдань забезпечення безпеки, комплексний підхід з одночасним вирішенням комплексу завдань, спрямованих на досягнення єдиної мети, і інтегральний підхід - вирішення завдань забезпечення безпеки з використанням загальних (єдиних) технічних засобів і ПО на принципах інтегральної безпеки.
Як правило, у попередні роки використовувався індивідуальний підхід (треба, наприклад, забезпечити безпеку телефонного зв'язку - купувалося пристрій закриття телефонних переговорів). Цей підхід є ще основним на сучасному російському ринку. Проте сьогодні вже багато фірм пропонують цілий комплекс послуг та відповідних технічних засобів для вирішення завдань забезпечення безпеки. Так, наприклад, проблему безпеки телефонного зв'язку подібні фірми вирішують комплексно з одночасним вирішенням ряду завдань контролю доступу, фізичного захисту, закриття технічних каналів витоку інформації та використання криптографічного закриття. Природно, що по-другому випадку ефективність вирішення проблеми забезпечення безпеки буде значно вище, ніж у першому. [1]
Інтегральний підхід робить тільки перші кроки, і лише деякі окремі фірми можуть запропонувати сьогодні, наприклад, для вирішення завдання забезпечення інформаційної безпеки програмно-апаратні комплекси забезпечення безпеки, що дозволяють на базі єдиного ПК (інтегральної системи) забезпечити безпеку всіх видів інформації (голосовий, візуальної, буквено-цифровий і т. п.) при її обробці, зберіганні і передачі по каналах зв'язку. Звичайно, інтегральний підхід вимагає використання найбільш складних інформаційних технологій і є в даний час більш дорогим, ніж традиційні. Але він є більш ефективним і перспективним.
Список літератури
1. Барсуков В. С. Безпека: технології, засоби, послуги. - М.: КУДИЦ-ОБРАЗ, 2001. - 496 с.;2. Милославська Н.Г., Толстой А.І. Інтрамережі: доступ в Internet, захист: Учеб. посібник для вузів. - М.: ЮНИТИ-ДАНА, 2000. - 527 с.;
3. Аврін С. Безпека інформації в АБС / / Банківські технології № 6, 1998;
4. Володін О. Захищеність інформації / / Банківські технології № 5, 1998;
5. Кузнєцов А., Тріфаленков І. Чим вимірювати захищеність інформаційних систем / / Банківські технології № 8, 1997;