Файл: 1. Теоретические основы безопасности и защиты информации в компьютерных сетях.doc

Уровни 4 и 5 представляют собой модификацию нулевого уровня, при котором поток данных распределяется по дискам массива. Отличие состоит в том, что на уровне 4 выделяется специальный диск для хранения избыточной информации, а на уровне 5 избыточная информация распределяется по всем дискам массива. Организация дисковых массивов в соответствии со стандартом 5 уровня обеспечивает высокую скорость считывания/записи информации и позволяет восстанавливать данные при сбое какого-либо диска без отключения всего дискового массива.

Среди всех вышеперечисленных уровней дисковых массивов уровни 3 и 5 являются наиболее предпочтительными и предполагают меньшие по сравнению с организацией "зеркальных" дисков материальные затраты при том же уровне надежности.

Повышение надежности и защита данных в сети, основанная на использовании избыточной информации, реализуются не только на уровне отдельных элементов сети, например дисковых массивов, но и на уровне сетевых ОС. Так, на протяжении последних десяти лет компания Novell реализует отказоустойчивые версии операционной системы Netware - SFT (SystemFaultTolerance), предусматривающие три основных уровня:

- SFT Level I. Первый уровень предусматривает, в частности, создание дополнительных копий FAT и DirectoryEntriesTables, немедленную верификацию каждого вновь записанного на файловый сервер блока данных, а также резервирование на каждом жестком диске около 2% от объема диска. При обнаружении сбоя данные перенаправляются в зарезервированную область диска, а сбойный блок помечается как "плохой" и в дальнейшем не используется.

- SFT Level II содержала дополнительно возможности создания "зеркальных" дисков, а также дублирования дисковых контроллеров, источников питания и интерфейсных кабелей.

- Версия SFT Level III позволяет использовать в локальной сети дублированные серверы, один из которых является "главным", а второй, содержащий копию всей информации, вступает в работу в случае выхода "главного" сервера из строя.
2.4 Программно-технические средства в сетях
Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой информации на различные карточки). Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации. Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.

---

Все средства защиты информации от несанкционированного доступа можно подразделять на следующие группы:

- Технические (аппаратные) средства и системы независящие от объекта защиты, т.е. помещения, места расположения, рабочей станции и т.д.

- Программно-аппаратные средства и системы, выполненные как отдельное устройство функционирующие совместно с объектом защиты в определенной последовательности в соответствии с выполнением программного алгоритма

- Программные средства или системы (программы работы с BIOS, программные файерволы, антивирусные средства и т.д.) установленные на рабочей станции и функционирующие в соответствии с выполнением собственных алгоритмов

Системы защиты информации при администрировании можно разделить следующим образом:

- Разграничение доступа к объекту защиты выполняется с применением идентификации (ввод имени пользователя, использования ключа доступа - дискеты, eToken-ключи, другие внешние аппаратных устройств);

- Аутентификация пользователя при доступе к защищаемой информации;

- Аудит доступа, ведение списка пользователей, блокирование доступа;

- Контроль целостности как папок и файлов, так и секторов и дисков;

- Аудит контроля целостности;

- Запрет и аудит загрузки с внешних или съемных носителей;

- Средство безопасной аутентификации eToken ;

- Система защиты электронный замок "Соболь" ;

- Система защиты информации "Страж NT ";

- Система защиты информации "SecretNet" ;

- Система защиты информации "Электронный замок "eLock" ;

- Система защиты информации "DallasLock" ;

Средство безопасной аутентификации eToken. Для государственных и коммерческих организаций сохранение конфиденциальной информации является одной из приоритетных задач. Организация эффективного и защищенного доступа к информационным ресурсам является сложной задачей. Одним из решений является возможность получения доступа с помощью специализированных токенов (ключей). Однако, оптимальный выбор представляет собой проблему.

Для определения наиболее эффективного средства аутентификации рационально использовать метод анализа иерархий.

Метод анализа иерархий (МАИ) является методологической основой для решения задач выбора альтернатив посредством их многокритериального рейтингования. Зарубежные ученые использую МАИ в своих исследованиях.

---

Изучив рынок средств аутентификации, для анализа и последующего внедрения одного из данных средств были выбраны следующие: eToken PRO, iButton (DS1961S), ruToken, eToken PASS и eToken PRO Anywhere.

Приведем некоторые характеристики устройств, взятые с официальных сайтов.

- eToken PRO. Ключи eToken PRO являются персональным средством аутентификации и хранения данных. Рассматриваемые устройства аппаратно поддерживают работу с цифровыми сертификатами и электронно-цифровой подписью. Возможности eToken PRO: двухфакторная аутентификация пользователей; поддержка Java-апплетов; возможность централизованного управления. Цена от 947 р.

- iButton (DS1961S). iButton - это микросхема, вставленная в защищенный металлический корпус. Форма устройства в виде монеты позволяет простое использование оператором. Представленной электронный ключ используется для аутентификации пользователя, доступа в охраняемую зону. Возможности iButton(DS1961S): цифровая идентификация; обеспечение компактности хранения информации; передача информации при контакте. Цена - 130 р.

- ruToken. Данный идентификатор является компактным устройством в виде USB-брелка, который используется для авторизации пользователя, защиты электронной переписки, удаленного доступа к ресурсам, безопасного и надежного хранения данных. Возможности ruToken: ограниченное количество попыток ввода PIN-кода; интеграция в smartcard-ориентированное программное обеспечение; три уровня (гость, пользователь, администратор) доступа к токену. Цена - 770 р.

- eToken PASS. Идентификатор позволяет добавить поддержку аутентификации по одноразовым паролям в различные приложения. Возможности: не требуется установка дополнительного программного обеспечения; не требуется установка драйверов; функционирование с мобильных устройств; одноразовый односеансовый пароль. Цена - 850 р.

- eTokenPROAnywhere является электронным USB-ключом, позволяющий безопасно обращаться к Web-ресурсам. Возможности: открытие браузера и перенаправление пользователя только на заданные веб-сайты (адреса хранятся в защищённой памяти ключа); аутентификация пользователя; обеспечение защиты передаваемых по сети данных; защита от фишинга. Цена - 1032 р.

Рассмотрим применение метода анализа иерархии для решения поставленной задачи. Вначале требуется построение иерархической структуры: цель, критерии, альтернативы (таблица 1).
Таблица 1 - Иерархическая структура

Цель	Выбор наилучшего средства аутентификации
Альтернативы	ruToken	eToken PASS		eTokenPro	eToken PRO Anywhere	iButton
Критерии	Цена		Возможности			Применяемость

---

Далее требуется провести сравнения альтернатив по каждому из трех показателей.


Рисунок 3. Сравнение выбранных идентификаторов относительно критерия "Цена"


Рисунок 4. Сравнение выбранных идентификаторов относительно критерия "Возможности"



Рисунок 5. Сравнение выбранных идентификаторов относительно критерия "Применяемость"


Рисунок 6. Результат сравнения идентификаторов по выбранным критериям
Таким образом, мы определили, что оптимальным средством аутентификации является идентификатор eToken PRO Anywhere, его значение глобального приоритета максимально - 0,3679.

Система защиты электронный замок "Соболь". Аппаратно-программный модуль доверенной загрузки "Соболь" позволяет защитить компьютеры от несанкционированного доступа и создавать замкнутую программную среду для работы пользователей. "Соболь" поможет предотвратить несанкционированную загрузку операционной системы как с внутренних носителей информации, так и съёмных, а механизм контроля целостности позволит отслеживать любые несанкционированные изменения в программной а аппаратной среде компьютера и запрещать работу на нём при их наличии.

Аппаратно-программный модуль может эффективно использоваться на предприятиях любого масштаба. Модуль применяется, когда необходимо предотвратить несанкционированный доступ к ресурсам защищаемого компьютера, разграничить доступ к информации и предотвратить несанкционированную её утечку при попытке обхода средств защиты.

Какие задачи решает:

- идентификация и аутентификация пользователей;

- контроль целостности аппаратной и программной среды компьютера;

- защита от несанкционированной загрузки ОС со съемных носителей;

- регистрация попыток доступа к компьютеру и иных событий безопасности;

- блокировка компьютера при попытке несанкционированного доступа или нарушении целостности программных или аппаратных компонентов;

- присутствует функция контроля работоспособности компонентов комплекса.

---

Внедрив "Соболь", заказчик сможет разграничить доступ пользователей к информации и компьютерам, предотвратить несанкционированную загрузку операционной системы со съемных носителей и последующую утечку информации, а механизм контроля целостности позволит контролировать неизменность программно-аппаратной среды компьютера.

Технические особенности

Электронный замок "Соболь" реализуется аппаратно-программным путём: он состоит из платы и программного обеспечения. "Соболь" может применяться для защиты как автономных компьютеров, так и компьютеров и серверов, входящих в состав локальной вычислительной сети предприятия.

Программно-аппаратный модуль "Соболь" перехватывает момент загрузки операционной системы и продолжает её загрузку только после того, как пользователь предъявит свой идентификатор и будет проведена проверка целостности системы.

Контроль целостности имеет 2 режима функционирования:

- жесткий - запрет загрузки ОС и доступа к устройствам при нарушении целостности, регистрация факта нарушения целостности в журнале;

- мягкий - разрешение загрузки операционной системы и фиксация факта нарушения целостности в журнале.

Защита от несанкционированной загрузки операционной системы со съемных носителей реализуется путём блокировки доступа к устройствам чтения внешних носителей и USB-устройствам до момента загрузки штатной ОС, установленной на защищаемом компьютере. Доступ к устройствам восстанавливается при успешной загрузке штатной операционной системы, установленной на защищаемом компьютере.

Аппаратный датчик случайных чисел, входящий в состав модуля доверенной загрузки "Соболь" может применяться в СКЗИ для генерации надёжных ключей шифрования. Аппаратная часть комплекса исполняется в виде плат различных стандартов, начиная от PCI и заканчивая MINI-PCI-E. Электронный замок совместим с 64-битными версиями ОС Windows.

Электронный замок "Соболь" можно применять как автономное средство защиты, так и средство защиты, функционирующее в режиме совместного использования с другими решениями компании "Код безопасности".

При использовании "Соболя" совместно с другими решениями, часть функций управления "Соболем" передаётся на то средство защиты информации, совместно с которым он функционирует.

Основными этапами внедрения комплекса являются: установка программного обеспечения и платы, инициализация комплекса и его настройка. В результате внедрения заказчик получает дополнительный контроль над доступом сотрудников к ресурсам компьютеров и исключение несанкционированной загрузки операционной системы (как штатной, так и загружаемой со съемных носителей).

---