Задачи и принципы защиты информации

Техническая защита информации

Наряду с организационной и правовой защитой информации в процессе обеспечения информационной безопасности предприятия обязательно используются инженерно-техническая, программно-аппаратная и криптографическая виды защит, которые мы в нашем учебнике объединили термином «техническая защита информации».

Техническая защита информации предполагает комплекс мероприятий по защите информации от несанкционированного доступа, в том числе по техническим каналам, а также от специальных воздействий на нее в целях уничтожения, искажения или блокирования доступа.

Задачи технической защиты:

· предотвращение проникновения злоумышленника к источникам информации с целью уничтожения, хищения или изменения,

· защита носителей информации от уничтожения в результате различных воздействий,

· предотвращение утечки информации по различным техническим каналам.

Система технической защиты информации, так же как и, впрочем, вся КСЗИ полностью, должны отвечать следующим принципам:

· непрерывность защиты информации в пространстве и во времени;

· постоянная готовность систем защиты к отражению угроз на заданном уровне безопасности;

· многозональность и многорубежность защиты, задающее размещение информации различной ценности во вложенных зонах с контролируемым уровнем безопасности;

· эффективность, определяющая сосредоточение усилий по предотвращению угроз для наиболее ценной информации;

· интеграция различных систем в рамках единой информационной среды и создание интегрированной системы безопасности;

· создание централизованной службы безопасности.

Одним из принципов, на котором строится КСЗИ, является принцип многорубежности (эшелонированности) защиты информации. Многорубежность состоит в том, что строится система защиты, состоящая из нескольких уровней (рубежей) защиты объекта и предполагающая использование дополнительных пространственных рубежей безопасности или методов защиты на пути движения злоумышленника или распространения носителей информации, в том числе, электромагнитных и акустических полей. Количество рубежей защиты зависит от ценности информации и условий охраны конкретного предприятия. Чем более ценной является информация, тем большим количеством рубежей защиты целесообразно окружить её источник и тогда тем сложнее злоумышленнику обеспечить разведывательный контакт с её носителями. В работе [7], например, предлагается модель (далее – Модель 1), состоящая из семи рубежей, предназначенных для защиты следующих объектов:

1) территории, занимаемой предприятием и его информационной системой (ИС);

2) зданий, расположенных на территории;

3) помещений внутри здания, в которых расположены ресурсы ИС и защищаемая информация.

4) ресурсов, используемых для обработки и хранения информации, и самой защищаемой информации;

5) линий (каналов) связи, проходящих в пределах одного и того же здания;

6) линий (каналов) связи, проходящих между различными зданиями, расположенными на одной территории;

7) линий (каналов) связи, проходящих по неконтролируемой территории.

Третий рубеж защиты предполагает, что на каждом предприятии существуют помещения, требующие особого подхода к обеспечению их охраны. К таким помещениям в первую очередь относятся:

· кабинеты руководства фирмы;

· переговорные комнаты;

· кассовые помещения;

· центр вычислительной и телекоммуникационной сети - "серверная";

· помещение учрежденческой АТС и коммутационного оборудования телефонной сети;

· помещения с коммутационно-распределительной аппаратурой информационно-телекоммуникационных систем (ИТКС) и систем безопасности;

· базовые помещения систем инженерного обеспечения (СИО) - вентиляционная камера, электрощитовая комната, помещения резервного электропитания и диспетчерской службы;

· помещения службы безопасности фирмы - центральный пост охраны, пост пожарной охраны;

· архив бумажных и электронных копий;

· наиболее важные технологические помещения, исходя из характера бизнес-процесса в фирме.

Четвертый рубеж защиты на современном предприятии очень часто содержит защищаемый ресурс в виде локальной вычислительной сети (ЛВС). В свою очередь, система защиты ЛВС также предполагает использование многорубежности, например, в виде следующего набора рубежей защиты (Модель 2):

1) периметр сети;

2) внутренняя сеть;

3) серверы;

4) рабочие станции;

5) приложения;

6) данные.

Первый, второй и третий рубежи защиты (Модель 1) имеют много общего и представляют собой системы охраны разного уровня и назначения. Определенный уровень безопасности объекта может быть достигнут различными способами, например, путем использования многочисленного штата сотрудников охранных структур или установки нескольких автономных технических систем безопасности (ТСБ) разного типа. В целях охраны применяются обычно такие традиционные ТСБ, как [26]:

· система контроля и управления доступом (СКУД);

· система пожарной сигнализации (включая аварийное оповещение и управление эвакуацией персонала и посетителей) (СПС);

· система охранной сигнализации (включая защиту периметра объекта и тревожное оповещение) (СОС);

· система видеоконтроля (СВК).

Если исходить из целевой задачи, (а не из традиционных представлений о существующих технических решениях и способах их реализации), то наиболее целесообразным решением при построении технической системы охраны является использование принципов системной интеграции и создание комплексной многофункциональной технической системы, совмещающей в себе функции всех традиционных автономных систем. Интегрированная техническая система охраны (ИТСО) предполагает объединение на базе современных информационных технологий и программно-аппаратной интеграции нескольких подсистем, функционально и информационно связанных друг с другом, и их работу по единому алгоритму. Даже при минимальном уровне интеграции взаимодействие подсистем осуществляется таким образом, что события в одной из подсистем могут воздействовать на другие и вызывать определенную реакцию. Так, ИТСО, созданная на базе традиционных подсистем СКУД, СПС, СОС и СВК, обеспечивает, например, следующие виды взаимодействия между подсистемами:

· разблокировка дверей и проходов (СКУД), используемых при эвакуации, в зонах возможного пожара или по всему объекту при получении сигнала пожарной тревоги (от СПС);

· блокировка охранных зон, тамбуров и шлюзов (СКУД) при срабатывании различных охранных детекторов (в СОС) или детекторов активности от видеокамер (в СВК);

· использование тревожных сигналов (от СПС, СКУД и СОС) для подключения соответствующих видеокамер (СВК), что позволяет уточнить и документировать обстановку в зоне тревоги.

По сравнению с простой совокупностью отдельных систем и средств защиты применение интегрированных систем безопасности обеспечивает следующие преимущества:

· более быструю и точную реакцию на происходящие события;

· оптимальный анализ текущих ситуаций;

· значительное снижение риска, связанного с "человеческим фактором" - ошибками и возможными недобросовестными действиями обслуживающего персонала и сотрудников фирмы;

· уменьшение затрат на оборудование ввиду многофункционального использования отдельных ТС и более полной их загрузки;

· облегчение работы обслуживающего персонала за счет автоматизации процессов управления, контроля и принятия решений по обеспечению безопасности;

· снижение затрат на монтаж и эксплуатацию системы безопасности, сокращение обслуживающего персонала и затрат на его обучение и содержание.

При построении и оптимизации ИТСО необходимо учитывать, что современным системам безопасности присущи все характерные признаки сложных человеко-машинных систем:

· наличие большого числа взаимосвязанных элементов;

· неопределенность из-за неполной информации о потенциальном нарушителе и его действиях;

· субъективизм, связанный с необходимостью принятия человеком важных оперативных решений;

· многообразие условий функционирования (различные условия эксплуатации, наличие естественных и промышленных помех).

Вне зависимости от конкретной ситуации на объекте целесообразно развернуть, по крайней мере, минимальный комплекс технических средств безопасности, который составляет фундамент ИТСО и способен интегрироваться с другими техническими системами. В перспективе такой комплекс позволит наращивать функциональные возможности ИТСО. Обычно технические системы безопасности строятся по централизованному принципу с размещением на центральном посту охраны основной аппаратуры управления и контроля, что позволяет принимать оперативные и наиболее рациональные решения при возникновении неадекватных ситуаций. Вместе с тем чрезмерная централизация снижает надежность и живучесть систем. Для улучшения этих характеристик в ИТСО возможно частичное резервирование оборудования центрального поста охраны на пространственно удаленном резервном рабочем месте. Данные от ИТСО могут быть использованы также на рабочих местах администратора ЛВС, оператора бюро пропусков или сотрудника отдела кадров, диспетчера систем инженерного обеспечения, оператора систем оповещения, выделенного сотрудника службы безопасности фирмы. Кроме того, для ИТСО со средним уровнем интеграции целесообразно сохранить за каждой подсистемой некоторую автономность функционирования, что позволит обезопасить всю систему при выходе из строя одной из подсистем и повысить общую надежность работы ИТСО. Необходимо заметить, что нецелесообразно строить ИТСО как полностью автоматическую систему, поскольку невозможно формализовать все реально встречающиеся на конкретном объекте ситуации. Следовательно, в первую очередь необходимо автоматизировать стандартные рутинные процессы, но окончательные решения по наиболее важным аспектам безопасности объекта должен все-таки принимать человек. Основное назначение интегрированной системы и состоит как раз в том, чтобы максимально облегчить оператору системы контроль за ситуацией на объекте, предоставить ему обработанную четкую информацию, не требующую каких-либо действий в стрессовой ситуации. Правильно построенная система будет регистрировать все действия автоматики и человека (независимо от желания оператора системы - по принципу "черного ящика"), что позволит анализировать эту информацию и на условиях компромисса распределять функции человека и технических средств. Базовая архитектура ИТСО представляет собой центральный компьютер с терминалом оператора и принтером, подключаемый к контроллерам тех или иных подсистем. Контроллеры связаны с детекторами и исполнительными механизмами и выполняют роль распределенных вычислительных мощностей, действующих автономно на нижнем уровне системы. Компьютер подключается к информационно-телекоммуникационной сети фирмы, например, к ЛВС, что обеспечивает многопользовательский режим работы с ИТСО и управление техническими средствами интегрированных систем по стандартным цифровым протоколам, совместимым с интерфейсами ЛВС. Компьютер в ИТСО желательно строить по типу сервера, что обеспечит его круглосуточную и надежную работу. Отсюда и требования, предъявляемые к используемым в нем комплектующим изделиям и техническим решениям, включая интеллектуальные системы бесперебойного питания и энергосбережения, горячее резервирование, контроль внутренней температуры системного блока.

Одной из основных задач систем технической защиты является предотвращение проникновения злоумышленника к источникам информации с целью уничтожения, хищения или изменения. Эта задача решается с помощью систем контроля и управления доступом (СКУД). Современные системы контроля доступа представляют собой интегрированные аппаратно-программные комплексы, решающие разнообразные задачи, связанные с функционированием предприятия и его безопасностью. Система контроля доступа обеспечивает учет рабочего времени, оперативное наблюдение за персоналом, организует контроль доступа к охраняемым помещениям и территориям, а иногда еще включает в себя и контроль въезда и выезда транспорта с автоматической идентификацией номеров.

Вся информация поступает в базу данных. При этом регистрируется не только посещение служебных помещений или вход на территорию предприятия, но и отслеживается прохождение сотрудниками точек контроля, что позволяет организовать эффективный учет рабочего времени.

Каждый сотрудник идентифицируется индивидуальным опознавательным устройством, например пластиковой картой с встроенным микрочипом или брелком с записанным в нем персональным кодом доступа. Иногда устанавливаются т.н. биометрические панели, которые в качестве идентификаторов считывают отпечаток пальца, рисунок ладони или сетчатки глаза. Информация позволяет системе автоматически принять решение о разрешении или ограничении доступа, либо просто делает отметку в базе о прохождении контрольной точки. Это позволяет в любой момент времени получить информацию о том, где в данный момент времени находится тот или иной работник и имеет ли он право находиться в данной зоне в указанное время. Оперативная информация выводится на дисплей и позволяет службе охраны сравнить фотографию сотрудника, хранящуюся в базе данных, с изображением, полученным с видеокамеры в зоне прохода.

Часто система контроля доступа совмещается с управлением доступом (СКУД).

Управление доступом производится с помощью разнообразных электромеханических исполнительных устройств, подключенных к СКУД и управляемых дистанционно. К таким устройствам относятся замки, турникеты, шлагбаумы, самоблокирующиеся двери, а так же разнообразные тревожные устройства.

Кроме основных функций система контроля доступа имеет возможность регистрации событий. Любое пересечение контрольных точек запоминается в архивах и может быть в любой момент извлечено. Это дает возможность автоматического ведения различных журналов регистрации проходов в соответствии с допуском, учет рабочего времени и многое другое.

Одним из наиболее ответственных процессов в работе СКУД является идентификация личности. Среди всех методов идентификации наиболее надежным считается биометрический метод. В широком смысле под биометрическим методом понимается измерение уникальных физических и/или поведенческих характеристик человека. В узком смысле (который сейчас в основном и используется) в это понятие включают технологии и системы автоматической идентификации человека и/или подтверждения его личности, основанные на анализе уникальных биометрических параметров.

Системы контролируемого доступа по методу идентификации личности можно разделить на три класса в соответствии с тем, что человек должен предъявлять [28]:

· то, что он знает;

· то, чем он владеет;

· то, что является частью его самого.

Первый класс использует различного рода шифры, набираемые человеком (например, PIN-коды, криптографические коды и т. п.). Второй класс — шифры, передаваемые при помощи физических носителей информации (пластиковые карты с магнитной полосой, электронные таблетки, токены и т. д.). Третий, биометрический класс принципиально отличается тем, что идентификации подвергается собственно личность человека — его индивидуальные характеристики.

Биометрические системы доступа весьма удобны и дружелюбны для пользователей. В отличие от паролей и носителей информации для систем контроля доступа, которые могут быть потеряны, украдены, скопированы, они основаны на биометрических параметрах (отпечатки пальцев, форма руки, лица, рисунок радужной оболочки глаза и др.), которые всегда с нами.

Биометрические системы ранее всего начали применяться в криминалистике. В России в соответствии с законом о добровольной дактилоскопической регистрации уже накоплена база в миллионы отпечатков пальцев. Сейчас она охватывает тех, кто прошел регистрацию по долгу службы, — военнослужащих, сотрудников милиции, различных служб безопасности. Существует большая база отпечатков пальцев преступников.

Прежде отпечатки пальцев изготавливались путем прикладывания окрашенных пальцев к бумаге. Работа с такой информацией была крайне трудоемкой. К настоящему моменту практически все базы переведены на электронные носители. В России значительную работу в этом направлении осуществила группа компаний «Папилон», которая изготавливает электронно-оптические сканеры для снятия отпечатков пальцев и программное обеспечение для их хранения и сравнения.

В гражданском и полицейском применении биометрии в части дактилоскопии есть определенные различия. Поскольку криминалистам нередко требуется идентифицировать личность по небольшим частям отпечатков пальцев, они должны хранить в своих базах полные отпечатки всех пальцев. Естественно, «потребители» здесь не стремятся предъявлять свои отпечатки пальцев.

В случае же применения биометрии в системах контроля доступа, напротив, каждый старается как можно лучше предъявить свой отпечаток пальца, чтобы его быстрее и точнее распознали. В силу этого часто ограничиваются сопоставлением относительно небольшой центральной области отпечатка пальца размером до 10х10 мм. (В настоящий момент в рамках ISO/IEC одной из рабочих групп специального биометрического подкомитета SC37, входящего в самый большой международный комитет по стандартизации в области информационных технологий, JTC1, обсуждается вопрос о стандартизации размера отпечатка.) Конечно, чем меньше участок пальца, по которому производится идентификация, тем менее точна эта идентификация. При очень маленьких размерах, скажем 6х6 мм, вероятность ошибки велика и быстро убывает по мере увеличения сканируемого участка отпечатка. При достижении размеров 12х18 мм с дальнейшим их увеличением вероятность ошибки уменьшается уже значительно слабее.

Еще одно важное отличие полицейских систем от систем контроля доступа состоит в важности параметра быстродействия алгоритма распознавания. В криминалистике надо опознать предлагаемый отпечаток, сравнив его с отпечатками из всей или обоснованно ограниченной базы данных. Здесь быстродействие очень важно. В системах контроля доступа можно поступать по-иному, сравнивая отпечаток предъявляемого пальца с отпечатком, извлеченным из базы, исходя из некоторого дополнительного признака человека (скажем, названное имя). На практике, однако, сравнивают не сами отпечатки, а модели, некоторый набор параметров особых точек отпечатков, то есть тех точек, где узор имеет особенности (например, линия узора прекращается или разветвляется).

Потребность в надежной идентификации и достигнутый к настоящему времени уровень биометрии способствуют созданию биометрических паспортов и введению биометрического контроля при пересечении границ. Все развитые страны готовятся к внедрению биометрических паспортов, и Россия не исключение. Активно идет работа по выработке международных стандартов для работы с биометрическими паспортами.

Рис. 3.5. Основные пользователи биометрических систем

Дата добавления: 2014-01-06; Просмотров: 2459; Нарушение авторских прав?; Мы поможем в написании вашей работы!