О контроле соблюдения конфиденциальности компьютерных систем
В статье рассмотрены методы контроля соблюдения конфиденциальности компьютерных систем. Описаны наиболее актуальные и широко используемые средства, а именно программно-аппаратные, организационные и смешанные средства защиты. В вопросах более серьезной защиты от несанкционированного доступа больший и...
Gespeichert in:
| Datum: | 2015 |
|---|---|
| 1. Verfasser: | |
| Format: | Artikel |
| Sprache: | Russian |
| Veröffentlicht: |
Інститут проблем математичних машин і систем НАН України
2015
|
| Schriftenreihe: | Математичні машини і системи |
| Schlagworte: | |
| Online Zugang: | https://nasplib.isofts.kiev.ua/handle/123456789/113494 |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Zitieren: | О контроле соблюдения конфиденциальности компьютерных систем / Н.В. Сеспедес Гарсия // Математичні машини і системи. — 2015. — № 3. — С. 57-66. — Бібліогр.: 3 назв. — рос. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| id |
nasplib_isofts_kiev_ua-123456789-113494 |
|---|---|
| record_format |
dspace |
| spelling |
nasplib_isofts_kiev_ua-123456789-1134942025-02-09T22:17:41Z О контроле соблюдения конфиденциальности компьютерных систем Про контроль дотримання конфіденційності комп’ютерних систем On the control of confidentiality of computer systems Сеспедес Гарсия, Н.В. Обчислювальні системи В статье рассмотрены методы контроля соблюдения конфиденциальности компьютерных систем. Описаны наиболее актуальные и широко используемые средства, а именно программно-аппаратные, организационные и смешанные средства защиты. В вопросах более серьезной защиты от несанкционированного доступа больший интерес представляют специальные средства защиты. У статті розглянуто методи контролю дотримання конфіденційності комп'ютерних систем. Описано найбільш актуальні і широко використовувані засоби, а саме програмно-апаратні, організаційні і змішані засоби захисту. У питаннях більш серйозного захисту від несанкціонованого доступу більший інтерес представляють спеціальні засоби захисту. The methods to control the confidentiality of computer systems were considered in article. The most relevant and widely used tools, namely hardware and software, organizational and mixed protection tools were described. In matters of more serious protection against unauthorized access are more interested in special protection tools. 2015 Article О контроле соблюдения конфиденциальности компьютерных систем / Н.В. Сеспедес Гарсия // Математичні машини і системи. — 2015. — № 3. — С. 57-66. — Бібліогр.: 3 назв. — рос. 1028-9763 https://nasplib.isofts.kiev.ua/handle/123456789/113494 621.3.019.3 ru Математичні машини і системи application/pdf Інститут проблем математичних машин і систем НАН України |
| institution |
Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| collection |
DSpace DC |
| language |
Russian |
| topic |
Обчислювальні системи Обчислювальні системи |
| spellingShingle |
Обчислювальні системи Обчислювальні системи Сеспедес Гарсия, Н.В. О контроле соблюдения конфиденциальности компьютерных систем Математичні машини і системи |
| description |
В статье рассмотрены методы контроля соблюдения конфиденциальности компьютерных систем. Описаны наиболее актуальные и широко используемые средства, а именно программно-аппаратные, организационные и смешанные средства защиты. В вопросах более серьезной защиты от несанкционированного доступа больший интерес представляют специальные средства защиты. |
| format |
Article |
| author |
Сеспедес Гарсия, Н.В. |
| author_facet |
Сеспедес Гарсия, Н.В. |
| author_sort |
Сеспедес Гарсия, Н.В. |
| title |
О контроле соблюдения конфиденциальности компьютерных систем |
| title_short |
О контроле соблюдения конфиденциальности компьютерных систем |
| title_full |
О контроле соблюдения конфиденциальности компьютерных систем |
| title_fullStr |
О контроле соблюдения конфиденциальности компьютерных систем |
| title_full_unstemmed |
О контроле соблюдения конфиденциальности компьютерных систем |
| title_sort |
о контроле соблюдения конфиденциальности компьютерных систем |
| publisher |
Інститут проблем математичних машин і систем НАН України |
| publishDate |
2015 |
| topic_facet |
Обчислювальні системи |
| url |
https://nasplib.isofts.kiev.ua/handle/123456789/113494 |
| citation_txt |
О контроле соблюдения конфиденциальности компьютерных систем / Н.В. Сеспедес Гарсия // Математичні машини і системи. — 2015. — № 3. — С. 57-66. — Бібліогр.: 3 назв. — рос. |
| series |
Математичні машини і системи |
| work_keys_str_mv |
AT sespedesgarsiânv okontrolesoblûdeniâkonfidencialʹnostikompʹûternyhsistem AT sespedesgarsiânv prokontrolʹdotrimannâkonfídencíinostíkompûternihsistem AT sespedesgarsiânv onthecontrolofconfidentialityofcomputersystems |
| first_indexed |
2025-12-01T08:38:37Z |
| last_indexed |
2025-12-01T08:38:37Z |
| _version_ |
1850294474385653760 |
| fulltext |
© Сеспедес Гарсия Н.В., 2015 57
ISSN 1028-9763. Математичні машини і системи, 2015, № 3
УДК 621.3.019.3
Н.В. СЕСПЕДЕС ГАРСИЯ
*
О КОНТРОЛЕ СОБЛЮДЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ КОМПЬЮТЕРНЫХ
СИСТЕМ
*
Институт проблем математических машин и систем НАН Украины, Киев, Украина
Анотація. У статті розглянуто методи контролю дотримання конфіденційності комп'ютерних
систем. Описано найбільш актуальні і широко використовувані засоби, а саме програмно-
апаратні, організаційні і змішані засоби захисту. У питаннях більш серйозного захисту від несан-
кціонованого доступу більший інтерес представляють спеціальні засоби захисту.
Ключові слова: конфіденційність, захист від несанкціонованого доступу, програмні засоби захис-
ту, апаратні засоби захисту, змішані засоби захисту, спеціальні засоби захисту.
Аннотация. В статье рассмотрены методы контроля соблюдения конфиденциальности компь-
ютерных систем. Описаны наиболее актуальные и широко используемые средства, а именно про-
граммно-аппаратные, организационные и смешанные средства защиты. В вопросах более серьез-
ной защиты от несанкционированного доступа больший интерес представляют специальные
средства защиты.
Ключевые слова: конфиденциальность, защита от несанкционированного доступа, программные
средства защиты, аппаратные средства защиты, смешанные средства защиты, специальные
средства защиты.
Abstract. The methods to control the confidentiality of computer systems were considered in article. The
most relevant and widely used tools, namely hardware and software, organizational and mixed protection
tools were described. In matters of more serious protection against unauthorized access are more inter-
ested in special protection tools.
Keywords: confidentiality, protection against unauthorized access, software protection tools, hardware
protection tools, mixed protection tools, special protection tools.
1. Введение
Повсеместное использование и освоение информационных технологий наряду с позитив-
ным влиянием на жизнедеятельность человека вызывают еще и ряд дополнительных про-
блем. Одной их серьезных проблем является проблема несанкционированного проникно-
вения в компьютер или в компьютерные системы (КС) и сети посторонних лиц. Встреча-
ются ситуации, когда даже обычный школьник может «взломать» сервер серьезной компа-
нии или организации, что приводит к частичной остановке работы и/или серьезным мате-
риальным потерям. Также существует определенная доля опасности нарушения конфи-
денциальности при автоматическом обновлении программного обеспечения и антивирус-
ных программ, особенно это касается пиратских версий программ. Поэтому специалистам
компьютерной техники необходимо решать ряд серьезных вопросов по созданию защиты
компьютеров от несанкционированного проникновения. Необходимо создавать программ-
ные продукты, которые могли бы выявлять проникновение посторонних пользователей и
блокировать доступ к компьютеру.
Несанкционированный доступ (НСД) постороннего лица в компьютер опасен не
только возможностью прочтения и/или модификации электронных документов, но и воз-
можностью внедрения им управляемой программы, которая позволит читать и/или моди-
фицировать документы, хранящиеся на компьютере, осуществлять захват конфиденциаль-
ной информации (пароли и т.д.), осуществлять массовую рассылку спама с “захваченного”
компьютера, удалять информацию на компьютере или вывести компьютер из строя, запус-
58 ISSN 1028-9763. Математичні машини і системи, 2015, № 3
тив вредоносное программное обеспечение. Это критично в тех отраслях, где нарушение
конфиденциальности КС может привести, например, к человеческим жертвам.
Конфиденциальность КС – свойство системы обеспечивать защиту от несанкциони-
рованного использованияи информации или технического средства, подмены информации
или технического средства, повреждения информации или технического средства со сто-
роны внутреннего или внешнего агента.
Конфиденциальность КС обеспечивается программно-аппаратными, организацион-
ными и смешанными средствами защиты. Такие средства способствуют достижению более
высоких показателей эффективности, если применять их комплексно.
2. Средства защиты информации
Средства защиты информации – это совокупность инженерно-технических, электрических,
электронных, оптических и других устройств, приборов и технических систем, которые
используются для решения различных задач по проблемам защиты информации, в том
числе предупреждения утечки и обеспечения безопасности защищаемой информации.
В целом средства обеспечения защиты информации в части предотвращения пред-
намеренных действий в зависимости от способа реализации можно разделить на группы
[1].
Технические (аппаратные) средства. Это различные по типу устройства (механиче-
ские, электромеханические, электронные и др.), которые аппаратными средствами решают
задачи защиты информации. Одни средства препятствуют физическому проникновению,
другие – препятствуют доступу к информации и данным. Первую часть задачи решают ба-
нальные дверные замки, решетки на окнах, защитная сигнализация и др. Вторую – техни-
ческие средства защиты информации в компьютерах (экранирование), генераторы шума,
сетевые фильтры, сканирующие радиоприемники и множество других устройств, «пере-
крывающих» потенциальные каналы утечки информации или позволяющих их обнару-
жить. Преимущества технических средств – это надежность, независимость от субъектив-
ных факторов, высокая устойчивость к модификации. Недостатки – относительно большие
объем и масса, недостаточная гибкость, высокая стоимость.
Программные средства включают программы для идентификации и аутентифика-
ции пользователей, контроля доступа, шифрования информации, удаления остаточной (ра-
бочей) информации типа временных файлов, антивирусные программы, программы тесто-
вого контроля системы защиты, средства архивации данных, криптографические средства,
средства управления доступом, протоколирование, аудит и др. Преимущества программ-
ных средств – универсальность, надежность, гибкость, простота установки, способность к
модификации и развитию. Недостатки – ограниченная функциональность сети, использо-
вание части ресурсов файл-сервера и рабочих станций, высокая чувствительность к слу-
чайным или преднамеренным изменениям, возможная зависимость от типов компьютеров
(их аппаратных средств).
Смешанные аппаратно-программные средства реализуют те же функции, что и ап-
паратные и программные средства в отдельности, и имеют промежуточные свойства.
Организационные средства складываются из организационно-технических (подго-
товка помещений с компьютерами, прокладка кабельной системы с учетом требований ог-
раничения доступа к ней и др.) и организационно-правовых (национальные законодатель-
ства и правила работы, устанавливаемые руководством конкретного предприятия). Пре-
имущества организационных средств состоят в том, что они позволяют решать множество
разнородных проблем, просты в реализации, быстро реагируют на нежелательные дейст-
вия в сети, имеют неограниченные возможности модификации и развития. Недостатки –
высокая зависимость от субъективных факторов, в том числе от общей организации рабо-
ты в конкретном подразделении.
http://dic.academic.ru/dic.nsf/ruwiki/60767
http://dic.academic.ru/dic.nsf/ruwiki/1160630
ISSN 1028-9763. Математичні машини і системи, 2015, № 3 59
Наиболее распространенными, доступными и удобными являются программные
средства. Другие средства используются в случаях необходимости обеспечения дополни-
тельного уровня защиты информации или технических средств.
3. Аппаратные средства защиты информации
К аппаратным средствам защиты относятся различные электронные, электронно-
механические, электронно-оптические устройства, позволяющие обеспечить защиту от
сбоев в электропитании, от сбоев серверов, рабочих станций, компьютеров, устройств хра-
нения информации и т.д. К настоящему времени разработано значительное число аппарат-
ных средств различного назначения, однако наибольшее распространение получают сле-
дующие [1]:
• специальные регистры для хранения реквизитов защиты: паролей, идентифици-
рующих кодов, грифов или уровней секретности;
• устройства измерения индивидуальных характеристик человека (голоса, отпечат-
ков) с целью его идентификации;
• схемы прерывания передачи информации в линии связи с целью периодической
проверки адреса выдачи данных.
• устройства для шифрования информации (криптографические методы).
Для защиты периметра информационной системы создаются [1]:
• системы охранной сигнализации;
• системы цифрового видеонаблюдения;
• системы контроля и управления доступом (СКУД).
Защита информации от ее утечки техническими каналами связи обеспечивается
следующими средствами и мероприятиями [1]:
• использованием экранированного кабеля и прокладкой проводов и кабелей в экра-
нированных конструкциях;
• установкой на линиях связи высокочастотных фильтров;
• построением экранированных помещений;
• использованием экранированного оборудования;
• установкой активных систем зашумления;
• созданием контролируемых зон.
4. Программные средства защиты информации
Программные средства защиты включают программы для идентификации и аутентифика-
ции пользователей, антивирусные программы, средства управления доступом, средства
шифрования информации, криптографические средства, средства архивации данных и др.
Антивирусная программа (антивирус) – программа для обнаружения компьютерных
вирусов и лечения инфицированных файлов, а также для профилактики – предотвращения
заражения файлов или операционной системы вредоносным кодом.
Ниже приведен список антивирусных программ с указанием страны происхождения
[1]:
• AhnLab – Южная Корея;
• ALWIL Software (avast!) – Чехия (бесплатная и платная версии);
• AOL Virus Protection в составе AOL Safety and Security Center (Польша);
• ArcaVir – Польша;
• Authentium – Великобритания;
• AVG (GriSoft) – Чехия (бесплатная и платная версии, включая файрвол);
• Avira – Германия (есть бесплатная версия Classic);
• AVZ – Россия (бесплатная); отсутствует real-time monitor;
http://dic.academic.ru/dic.nsf/ruwiki/14963
http://dic.academic.ru/dic.nsf/ruwiki/397217
http://dic.academic.ru/dic.nsf/ruwiki/180197
http://dic.academic.ru/dic.nsf/ruwiki/275515
http://dic.academic.ru/dic.nsf/ruwiki/212980
http://dic.academic.ru/dic.nsf/ruwiki/328387
60 ISSN 1028-9763. Математичні машини і системи, 2015, № 3
• BitDefender – Румыния;
• BullGuard – Дания;
• ClamAV – лицензия GPL (бесплатная, с открытым исходным кодом), отсутствует
real-time monitor;
• ClamWin – ClamAV для Windows;
• Comodo Group – США;
• Computer Associates – США;
• Dr.Web – Россия;
• Eset NOD32 – Словакия;
• Fortinet – США;
• Frisk Software – Исландия;
• F-PROT – Исландия;
• F-Secure – Финляндия (многодвижковый продукт);
• G-DATA – Германия (многодвижковый продукт);
• GeCAD – Румыния (компания куплена Microsoft в 2003 году);
• GFI Software – Чехия;
• IKARUS – Австрия;
• H+BEDV – Германия;
• Hauri – Южная Корея;
• McAfee – США;
• Microsoft Security Essentials – бесплатный антивирус от Microsoft , США;
• MicroWorld Technologies – Индия;
• MKS – Польша;
• MoonSecure – лицензия GPL (бесплатная, с открытым исходным кодом), основан
на коде ClamAV, но есть real-time монитор;
• Norman – Норвегия;
• NuWave Software – Украина (используют движки от AVG, Frisk, Lavasoft, Norman,
Sunbelt);
• Outpost – Россия (используются два antimalware движка: антивирусный от компа-
нии VirusBuster и антишпионский, бывший Tauscan, собственной разработки);
• Panda Software – Испания;
• Quick Heal AntiVirus – Индия;
• Rising – Китай;
• ROSE SWE – Германия;
• Safe`n`Sec – Россия;
• Simple Antivirus – Украина;
• Sophos – Великобритания
• Spyware Doctor – антивирусная утилита;
• Symantec – США;
• Trend Micro – Япония (номинально Тайвань/США);
• Trojan Hunter – антивирусная утилита;
• Universal Anti Virus – Украина (бесплатный);
• VirusBuster – Венгрия;
• ZoneAlarm AntiVirus – США
• Zillya! – Украина (бесплатный);
• Антивирус Касперского – Россия;
• ВирусБлокАда (VBA32) – Беларусь;
• Dr. Solomon's Anti-Virus Toolkit – США;
• Украинский национальный антивирус – Украина.
http://dic.academic.ru/dic.nsf/ruwiki/209281
http://dic.academic.ru/dic.nsf/ruwiki/720631
http://dic.academic.ru/dic.nsf/ruwiki/70153
http://dic.academic.ru/dic.nsf/ruwiki/720631
http://dic.academic.ru/dic.nsf/ruwiki/721086
http://dic.academic.ru/dic.nsf/ruwiki/54375
http://dic.academic.ru/dic.nsf/ruwiki/90098
http://dic.academic.ru/dic.nsf/ruwiki/90220
http://dic.academic.ru/dic.nsf/ruwiki/1268549
http://dic.academic.ru/dic.nsf/ruwiki/253232
http://dic.academic.ru/dic.nsf/ruwiki/139411
http://dic.academic.ru/dic.nsf/ruwiki/209280
http://dic.academic.ru/dic.nsf/ruwiki/607116
http://dic.academic.ru/dic.nsf/ruwiki/1271202
http://dic.academic.ru/dic.nsf/ruwiki/7585
http://dic.academic.ru/dic.nsf/ruwiki/720631
http://dic.academic.ru/dic.nsf/ruwiki/741650
http://dic.academic.ru/dic.nsf/ruwiki/1272154
http://dic.academic.ru/dic.nsf/ruwiki/480435
http://dic.academic.ru/dic.nsf/ruwiki/1273470
http://dic.academic.ru/dic.nsf/ruwiki/1273933
http://dic.academic.ru/dic.nsf/ruwiki/1358127
http://dic.academic.ru/dic.nsf/ruwiki/89724
http://dic.academic.ru/dic.nsf/ruwiki/404283
http://dic.academic.ru/dic.nsf/ruwiki/1275866
http://dic.academic.ru/dic.nsf/ruwiki/505081
http://dic.academic.ru/dic.nsf/ruwiki/341236
http://dic.academic.ru/dic.nsf/ruwiki/1352495
ISSN 1028-9763. Математичні машини і системи, 2015, № 3 61
Кроме вышесказанного, существуют много других доступных средств контроля со-
блюдения конфиденциальности в компьютерных системах, а именно [2]:
MyLanViewer – программа для многопоточного (для ускорения) сканирования и
мониторинга компьютеров в сети с возможностью поиска общедоступных файлов;
GlassWire – программа представляет собой инструмент сетевого мониторинга со
встроенным фаерволом;
USB Blocker – NetWrix USB Blocker – инструмент, обеспечивающий централизо-
ванный контроль доступа, предотвращая несанкционированное использование сменных
носителей, подключаемых к USB-портам компьютера (карты памяти, внешние жесткие
диски, устройства iPod и др.);
Leak Blocker – инструмент, предотвращающий утечку данных с корпоративных
компьютеров через съемные устройства;
Lan Work – программа для мониторинга и управления соединениями, позволяющая
просматривать активные подключения, открытые на компьютере через сеть файлы и сле-
дить за трафиком;
WebWatchBot -программа для анализа и мониторинга сети;
ShareWatcher – контролирует сетевые общедоступные ресурсы и разрешения на
папки;
Alchemy Eye – программа для сетевого мониторинга, которая непрерывно следит за
работоспособностью и состоянием серверов;
Net Tools – программа для сканирования Wi-Fi сетей и подключенных к ним уст-
ройств;
NetGong – программа автоматического отслеживания критических сбоев в работе
большого числа серверов, маршрутизаторов, мостов и других устройств, находящихся в
вашей сети;
TrafMeter – утилита, служащая для мониторинга входящего и исходящего интернет-
трафика в режиме реального времени;
Microsoft Network Monitor – утилита для анализа сетевого трафика - позволяет за-
хватывать сетевой трафик, просматривать и анализировать его;
Performance Monitoring Protocol – утилита, позволяющая осуществлять мониторинг
в реальном времени работы нескольких серверов в целях обнаружения нестабильностей в
работе удаленных ПК;
Remote Task Manager – программа для удаленного контроля и определения хода
выполнения задач, процессов, сервисов, работы устройств, использования общих ресурсов
в сетях LAN, WAN или через Интернет.
К программным средствам защиты информации также относятся специализирован-
ные средства защиты, которые в целом обладают лучшими возможностями и характери-
стиками, чем встроенные средства [3]:
Межсетевые экраны (также называемые брандмауэрами или файрволами, от нем.
Brandmauer, англ. firewall – «противопожарная стена») – это специальные промежуточные
серверы между локальной и глобальной сетями, которые инспектируют и фильтруют весь
проходящий через них трафик в соответствии с заданными правилами. Межсетевые экра-
ны позволяют резко снизить угрозу несанкционированного доступа извне в корпоративные
сети, но не устраняют эту опасность полностью. Более защищенная разновидность метода
– это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик
посылается от имени firewall-сервера, делая локальную сеть практически невидимой [1].
Существуют также и персональные межсетевые экраны, защищающие только компьютер,
на котором они установлены. Межсетевые экраны также располагаются на периметре за-
щищаемых сетей и фильтруют сетевой трафик согласно настроенной политике безопасно-
сти.
http://dic.academic.ru/dic.nsf/ruwiki/39168
http://dic.academic.ru/dic.nsf/ruwiki/6255
http://dic.academic.ru/dic.nsf/ruwiki/6161
62 ISSN 1028-9763. Математичні машини і системи, 2015, № 3
Рис. 1. Пример виртуальной частной сети
В табл. 1 приведены популярные межсетевые экраны:
Таблица 1. Межсетевые экраны
Межсетевые экраны
Бесплатные
Ashampoo FireWall Free • Comodo • Core Force (англ.) • Online Armor •
PC Tools • PeerGuardian (англ.) • Sygate (англ.) • ZoneAlarm
Проприетарные
Ashampoo FireWall Pro • AVG Internet Security • CA Personal Firewall •
Jetico (англ.) • Kaspersky • Microsoft ISA Server • Norton • Outpost • Trend
Micro (англ.) • Windows Firewall • Sunbelt (англ.) • WinRoute (англ.)
Аппаратные Fortinet • Cisco • Juniper • Check Point (англ.)
FreeBSD Ipfw • IPFilter • PF
Mac OS NetBarrier X4 (англ.)
Linux Netfilter (Iptables • Firestarter • Iplist • NuFW • Shorewall)
Прокси-серверы (рroxy-servers) – это специальные серверы-посредники, через кото-
рые происходят обращения из локальной сети в глобальную. При этом обращения из гло-
бальной сети в локальную становятся невозможными в принципе. Этот метод не дает дос-
таточной защиты против атак на более высоких уровнях, например, на уровне приложения
(вирусы, код Java и JavaScript).
VPN (виртуальная частная сеть) – обобщѐнное название технологий, позволяющих
обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети
(например, Интернет). В зависимости от применяемых протоколов и назначения VPN мо-
жет обеспечивать соединения
трѐх видов: узел-узел, узел-сеть и
сеть-сеть. Используемые техноло-
гии: PPTP, PPPoE, IPSec. Вирту-
альные частные сети обеспечива-
ют автоматическую защиту цело-
стности и конфиденциальности
сообщений, передаваемых через
различные сети общего пользова-
ния, прежде всего, через Интер-
нет. Фактически, VPN – это сово-
купность сетей, на внешнем пе-
риметре которых установлены
VPN-агенты (рис. 1).
VPN-агент – это программа
(или программно-аппаратный
комплекс), обеспечивающая за-
щиту передаваемой информации
путем выполнения описанных
ниже операций.
Перед отправкой в сеть
любого IP-пакета VPN-агент производит следующее [3]:
1. Из заголовка IP-пакета выделяется информация о его адресате. Согласно этой
информации на основе политики безопасности данного VPN-агента выбираются алгорит-
мы защиты (если VPN-агент поддерживает несколько алгоритмов) и криптографические
http://dic.academic.ru/dic.nsf/ruwiki/39168
http://dic.academic.ru/dic.nsf/ruwiki/57487
http://dic.academic.ru/dic.nsf/ruwiki/489354
http://en.wikipedia.org/wiki/Core_Force
http://dic.academic.ru/dic.nsf/ruwiki/489370
http://dic.academic.ru/dic.nsf/ruwiki/1272058
http://en.wikipedia.org/wiki/PeerGuardian
http://en.wikipedia.org/wiki/Sygate_Personal_Firewall
http://dic.academic.ru/dic.nsf/ruwiki/612242
http://dic.academic.ru/dic.nsf/ruwiki/674445
http://dic.academic.ru/dic.nsf/ruwiki/275515
http://en.wikipedia.org/wiki/Jetico_Personal_Firewall
http://dic.academic.ru/dic.nsf/ruwiki/326194
http://dic.academic.ru/dic.nsf/ruwiki/193758
http://dic.academic.ru/dic.nsf/ruwiki/1271740
http://dic.academic.ru/dic.nsf/ruwiki/113174
http://en.wikipedia.org/wiki/Trend_Micro_Internet_Security
http://dic.academic.ru/dic.nsf/ruwiki/820334
http://en.wikipedia.org/wiki/Sunbelt_Personal_Firewall
http://en.wikipedia.org/wiki/WinRoute
http://dic.academic.ru/dic.nsf/ruwiki/720527
http://dic.academic.ru/dic.nsf/ruwiki/732747
http://en.wikipedia.org/wiki/Check_Point
http://dic.academic.ru/dic.nsf/ruwiki/2538
http://dic.academic.ru/dic.nsf/ruwiki/606024
http://dic.academic.ru/dic.nsf/ruwiki/605772
http://dic.academic.ru/dic.nsf/ruwiki/129533
http://dic.academic.ru/dic.nsf/ruwiki/11165
http://en.wikipedia.org/wiki/NetBarrier_X4
http://dic.academic.ru/dic.nsf/ruwiki/7344
http://dic.academic.ru/dic.nsf/ruwiki/309084
http://dic.academic.ru/dic.nsf/ruwiki/309246
http://dic.academic.ru/dic.nsf/ruwiki/1273698
http://dic.academic.ru/dic.nsf/ruwiki/1315
http://dic.academic.ru/dic.nsf/ruwiki/7544
http://dic.academic.ru/dic.nsf/ruwiki/66445
http://dic.academic.ru/dic.nsf/ruwiki/189
http://dic.academic.ru/dic.nsf/ruwiki/22103
http://dic.academic.ru/dic.nsf/ruwiki/19888
http://dic.academic.ru/dic.nsf/ruwiki/40703
http://www.panasenko.ru/Articles/77/3.jpg
ISSN 1028-9763. Математичні машини і системи, 2015, № 3 63
ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой
безопасности VPN-агента не предусмотрена отправка IP-пакета данному адресату или IP-
пакета с данными характеристиками, отправка IP-пакета блокируется.
2. С помощью выбранного алгоритма защиты целостности формируется и добавля-
ется в IP-пакет электронная цифровая подпись (ЭЦП), имитоприставка или аналогичная
контрольная сумма.
3. С помощью выбранного алгоритма шифрования производится зашифрование IP-
пакета.
4. С помощью установленного алгоритма инкапсуляции пакетов зашифрованный
IP-пакет помещается в готовый для передачи IP-пакет, заголовок которого вместо исход-
ной информации об адресате и отправителе содержит соответственно информацию о VPN-
агенте адресата и VPN-агенте отправителя. То есть выполняется трансляция сетевых адре-
сов.
5. Пакет отправляется VPN-агенту адресата. При необходимости производятся его
разбиение и поочередная отправка результирующих пакетов.
При приеме IP-пакета VPN-агент производит следующее [3]:
1. Из заголовка IP-пакета выделяется информация о его отправителе. В том случае,
если отправитель не входит в число разрешенных (согласно политике безопасности) или
неизвестен (например, при приеме пакета с намеренно или случайно поврежденным заго-
ловком), пакет не обрабатывается и отбрасывается.
2. Согласно политике безопасности выбираются алгоритмы защиты данного пакета
и ключи, с помощью которых будут выполнены расшифрование пакета и проверка его це-
лостности.
3. Выделяется информационная (инкапсулированная) часть пакета и производится
ее расшифрование.
4. Производится контроль целостности пакета на основе выбранного алгоритма. В
случае обнаружения нарушения целостности пакет отбрасывается.
5. Пакет отправляется адресату (по внутренней сети) согласно информации, нахо-
дящейся в его оригинальном заголовке.
VPN-агент может находиться непосредственно на защищаемом компьютере (на-
пример, компьютеры «удаленных пользователей»). В этом случае с его помощью защища-
ется информационный обмен только того компьютера, на котором он установлен, однако
описанные выше принципы его действия остаются неизменными [3].
Основное правило построения VPN – связь между защищенной ЛВС и открытой се-
тью должна осуществляться только через VPN-агенты. Категорически не должно быть ка-
ких-либо способов связи, минующих защитный барьер в виде VPN-агента. То есть должен
быть определен защищаемый периметр, связь с которым может осуществляться только че-
рез соответствующее средство защиты.
5. Специальные средства защиты от несанкционированного доступа
Для решения проблемы защиты компьютеров от НСД в большинстве операционных сис-
тем и популярных пакетов программ предусмотрены различные подсистемы защиты от
НСД. Примером такой защиты является выполнение аутентификации пользователей при
входе в операционные системы семейства Windows. Однако для серьезной защиты от НСД
встроенных средств операционных систем недостаточно, так как периодически
обнаруживаются уязвимости, которые позволяют получить доступ к защищаемым
объектам в обход правил разграничения доступа. В связи с этим в дополнение к
стандартным средствам защиты необходимо использование специальных средств
ограничения или разграничения доступа [3].
64 ISSN 1028-9763. Математичні машини і системи, 2015, № 3
Рис. 2. Пример электронного замка
Наиболее надежное решение
проблемы ограничения физического
доступа к компьютеру – использование
аппаратных средств защиты информа-
ции от НСД, выполняющихся до за-
грузки операционной системы. Такие
средства защиты называются «элек-
тронными замками». Пример элек-
тронного замка представлен на рис. 2
[3].
Любое программное средство
защиты может подвергнуться воздей-
ствию злоумышленника с целью иска-
жения работы такого средства и после-
дующего получения доступа к системе. В аппаратных средствах защиты все действия по
контролю доступа пользователей электронный замок выполняет в собственной доверенной
программе, которая не подвержена воздействиям извне.
На подготовительном этапе использования электронного замка выполняются его
установка и настройка, включающая в себя следующие действия, обычно выполняемые
ответственным лицом – Администратором по безопасности [3]:
1. Составление списка пользователей, которым разрешен доступ на защищаемый
компьютер. Для каждого пользователя формируется ключевой носитель (в зависимости от
поддерживаемых конкретным замком интерфейсов – дискета, электронная таблетка iButton
или смарт-карта), по которому будет производиться аутентификация пользователя при
входе. Список пользователей сохраняется в энергонезависимой памяти замка.
2. Составление списка файлов, целостность которых контролируется замком перед
загрузкой операционной системы компьютера. Контролю также подлежат важные файлы
операционной системы, например, системные библиотеки Windows, исполняемые модули
используемых приложений, шаблоны документов Microsoft Word и т.д.
Контроль целостности файлов представляет собой вычисление их эталонной кон-
трольной суммы, например, хэширование по алгоритму ГОСТ Р 34.11-94, сохранение вы-
численных значений в энергонезависимой памяти замка, последующее вычисление реаль-
ных контрольных сумм файлов и сравнение с эталонными [3]. В штатном режиме работы
электронный замок получает управление от BIOS защищаемого компьютера после вклю-
чения последнего. На этом этапе и выполняются все действия по контролю доступа на
компьютер, а именно [3]:
1. Замок запрашивает у пользователя носитель с ключевой информацией, необхо-
димой для его аутентификации. Если ключевая информация требуемого формата не
предъявляется или если идентифицируемый пользователь не входит в список пользовате-
лей защищаемого компьютера, замок блокирует загрузку компьютера.
2. Если аутентификация пользователя прошла успешно, замок рассчитывает кон-
трольные суммы файлов, содержащихся в списке контролируемых, и сравнивает получен-
ные контрольные суммы с эталонными. В случае, если нарушена целостность хотя бы од-
ного файла из списка, загрузка компьютера блокируется. Для возможности дальнейшей
работы на данном компьютере необходимо, чтобы проблема была разрешена Администра-
тором, который должен выяснить причину изменения контролируемого файла и, в зависи-
мости от ситуации, предпринять одно из следующих действий, позволяющих дальнейшую
работу с защищаемым компьютером [3]:
– пересчитать эталонную контрольную сумму для данного файла, то есть зафикси-
ровать измененный файл;
http://www.panasenko.ru/Articles/77/1.jpg
ISSN 1028-9763. Математичні машини і системи, 2015, № 3 65
– восстановить исходный файл;
– удалить файл из списка контролируемых.
3. Если все проверки пройдены успешно, замок возвращает управление компьютеру
для загрузки штатной операционной системы.
Так как описанные выше действия выполняются до загрузки операционной системы
компьютера, замок обычно загружает собственную операционную систему (находящуюся
в его энергонезависимой памяти. Обычно это MS-DOS или аналогичная ОС), в которой
выполняются аутентификация пользователей и проверка целостности файлов. С точки
зрения безопасности собственная операционная система замка не подвержена каким-либо
внешним воздействиям, что не дает возможности злоумышленнику повлиять на описанные
выше контролирующие процессы [3].
Информация о входах пользователей на компьютер, а также о попытках несанкцио-
нированного доступа сохраняется в журнале, который располагается в энергонезависимой
памяти замка. Журнал может быть просмотрен администратором. При использовании
электронных замков существует ряд проблем, в частности [3]:
1. BIOS некоторых современных компьютеров может быть настроен таким образом,
что управление при загрузке не передается BIOS у замка. Для противодействия подобным
настройкам замок должен иметь возможность блокировать загрузку компьютера в случае,
если в течение определенного интервала времени после включения питания замок не по-
лучил управление.
2. Злоумышленник может просто вытащить замок из компьютера. Однако сущест-
вует ряд мер противодействия: пломбирование корпуса компьютера, обеспечение отсутст-
вия физического доступа пользователей к системному блоку компьютера, блокирование
изнутри корпуса системного блока компьютера специальным фиксатором и т.д. Довольно
часто электронные замки конструктивно совмещаются с аппаратным шифратором. В этом
случае рекомендуемой мерой защиты является использование замка совместно с про-
граммным средством прозрачного (автоматического) шифрования логических дисков ком-
пьютера [3]. При этом ключи шифрования могут быть производными от ключей, с помо-
щью которых выполняется аутентификация пользователей в электронном замке, или от-
дельными ключами, но хранящимися на том же носителе, что и ключи пользователя для
входа на компьютер. Такое комплексное средство защиты не потребует от пользователя
выполнения каких-либо дополнительных действий, но и не позволит злоумышленнику по-
лучить доступ к информации даже при вынутой аппаратуре электронного замка.
Если электронный замок разработан на базе аппаратного шифратора, получается
одно устройство, выполняющее функции шифрования, генерации случайных чисел и за-
щиты от НСД. Такой шифратор способен быть центром безопасности всего компьютера,
на его базе можно построить полнофункциональную систему криптографической защиты
данных, обеспечивающую, например, следующие возможности [3]:
• Защита компьютера от физического доступа.
• Защита компьютера от НСД по сети и организация VPN.
• Шифрование файлов по требованию.
• Автоматическое шифрование логических дисков компьютера.
• Вычисление/проверка ЭЦП.
• Защита сообщений электронной почты.
6. Выводы
Имея широкий спектр методов контроля соблюдения конфиденциальности компьютерных
систем, специалисты должны сами подбирать оптимальный набор аппаратных и/или про-
граммных средств защиты под специфику и назначение систем, а также с учетом предъяв-
ленных к компьютерным системам требований заказчика.
66 ISSN 1028-9763. Математичні машини і системи, 2015, № 3
В эпоху расцвета тотального международного шпионажа между развитыми страна-
ми проблема обеспечения и контроля конфиденциальности в области информационных
технологий приобретает очень важное значение, особенно для открытых систем, имеющих
выход в Интернет. Контроль соблюдения конфиденциальности КС может обеспечиваться
программными, программно-аппаратными, организационными, смешанными и специаль-
ными средствами защиты, отдельные примеры которых приведены в данной работе. Имея
широкий спектр различных средств контроля, специалисты могут сами подбирать опти-
мальный набор аппаратных и/или программных средств защиты с учетом специфики экс-
плуатации и назначения КС, а также с учетом предъявляемых к ним требований. Особое
внимание данному вопросу необходимо уделять для КС критического применения, где не-
санкционированное проникновение в информационные и управляющие сегменты КС мо-
жет повлечь за собой большие материальные, экологические и человеческие потери.
СПИСОК ЛИТЕРАТУРЫ
1. http://dic.academic.ru/dic.nsf/ruwiki/200171.
2. http://www.securitylab.ru/software/1308/page1_3.php.
3. http://www.panasenko.ru/Articles/77/77.html.
Cтаття надійшла до редакції 22.05.2015
http://dic.academic.ru/dic.nsf/ruwiki/200171
http://www.securitylab.ru/software/1308/page1_3.php
http://www.panasenko.ru/Articles/77/77.html
|