Защищенные информационные технологии в экономике

Реферат

Под термином «информационная безопасность», согласно оп­ределению Гостехкомиссии при Президенте РФ, понимают со­стояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз: от нежелательного ее разглашения (нарушения конфиденциальности), искажения (нарушения целост­ности), утраты или снижения степени доступности информации, а также ее незаконного тиражирования, которые приводят к материальному или моральному ущербу владельца или пользова­теля информации. Соответственно, под защитой информации подразумевается комплекс мероприятий, проводимых с целью предотвращения от действий угроз безопасности информации, где угроза является потенциальной возможностью нарушения безо­пасности информации.

Когда говорят об информационной безопасности, то имеют в виду широкий спектр проблем: от стихийных бедствий и проблем с электропитанием до искушенных злоумышленников, которые используют вычислительные системы к своей выгоде, или шпио­нов, которые охотятся за государственными и коммерческими сек­ретами [2].

Функционирование современной информационной системы определяется взаимодействием различных приложений, работающих в распределенной среде с использованием механизмов различных операционных систем, которые установлены на серверах и рабочих станциях. Чтобы эффективно реализовать преимущества работы с распределенными ресурсами, используются сетевые решения, зачастую достаточно сложные как структурно, так и функционально. Обеспечение безопасности такой системы требует проведения целого комплекса мероприятий в соответствии с разработанной на предприятии политикой информационной безопасности.[5]

Важнейшими на практике являются следующие три аспекта информационной безопасности:

  • доступность (возможность за разумное время получить требуемую информационную услугу);
  • целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
  • конфиденциальность (защита от несанкционированного ознакомления).

    1.1.

Защита архитектуры «Клиент — сервер»

В основе общения с сетью Internet лежит технология кли­ент/сервер. Определений архитектуры клиент/сервер очень много. В общем случае это такой способ проектирования информацион­ной системы, при котором она может быть рассмотрена как сово­купность некоторого числа подсистем двух видов — клиентской и серверной. Клиентская часть системы инициирует запросы, а сер­верная обрабатывает запросы и при необходимости генерирует от­веты клиенту.

11 стр., 5096 слов

Безопасность информационных технологий

... безопасности информационных технологий Представления потребителя о безопасности информационных технологий в конечном счете сводятся в основном к допустимому (с позиции бизнеса) времени простоя информационной системы, ... компьютерной информации; ст.273УК РФ - создание, использование и распространение вредоносных программ для ЭВМ, ст.274 УК РФ - нарушение правил эксплуатации ЭВМ, системы ЭВМ ...

Принято разделять классическую и многозвенную архитектуру клиент/сервер. В первом случае имеется выделенный сервер, который полностью обрабатывает запросы некоторого числа кли­ентов. Типичным примером такого сервера является сервер баз данных. Такой подход требует высоких аппаратных затрат для оборудования сервера. Также должна обеспечиваться бесперебой­ная работа самого сервера, что требует очень серьезного подхода к его администрированию и разработке ПО для него.

Программы управления безопасностью в распределенных сис­темах — мониторы безопасности — используют глобальные таблицы безопасности (ГТБ), в ко­торых хранятся пользовательские пароли для доступа ко всем уз­лам системы. Если пользователь правильно вводит первый пароль, от ввода остальных он освобождается. Всю работу за него выпол­няет монитор, который следит за тем, к какой подсистеме обраща­ется пользователь, выбирает нужный пароль из таблицы и переда­ет его на вход соответствующей подсистемы. В сложных сетевых средах для реализации процедур однократной регистрации приме­няются также доверительные отношения между серверами разных доменов[2].

На российском рынке представлены, в основном, программные средства компьютерной защиты среды «клиент – сервер»[2].

AutoSecure фирмы Platinum Technology. ПО AutoSecure (пер­воначально известное под именем SeOS компании Метсо Software) представляет собой набор средств защиты вычислитель­ных систем с серверами под ОС Unix, HP-UX, AIX и SunOS/Solaris и клиентскими станциями с интерфейсом Motif.

В состав программы входят три независимых модуля:

1) AutoSecure Access Control контролирует доступ пользо­вателей к защищаемым программам и файлам, а в случае попыток несанкционированного доступа извещает о них администратора системы;

2) AutoSecure Security Administrator служит для ведения списков пользователей, групп пользователей, защищаемых ресур­сов, настройки прав доступа пользователей к ресурсам;

3) AutoSecure Single Sign On — открывает пользователям дос­туп к данным, хранящимся на мэйнфреймах. В этом случае администратор и пользователи получают такой же уровень безопасно­сти и комфортности, как и на больших машинах, где используются системы RACF корпорации IBM или ACF2 от Computer Associates.

Ниже приведены основные особенности продукта фирмы Platinum:

  • защита корпоративных данных от НСД за счет идентифи­кации пользователей и проверки их полномочий;
  • предотвращение случаев нарушения системы защиты и уведомление системного администратора при обнаружении попы­ток «взлома» и подозрительного поведения пользователей (вроде попыток подбора пароля, запуска приложений из закрытых ката­логов и пр.);
  • фиксация пользовательской активности в системных журналах;
  • возможность администрирования системы защиты с ло­кальных или удаленных компьютеров;
  • масштабируемость системы в зависимости от размера ком­пьютерной сети;
  • минимизация сетевого графика без снижения общей произ­водительности за счет обработки авторизованного запроса на том компьютере, откуда он поступил;
  • возможность адаптации к промышленным стандартам за счет поддержки технологии защиты, принятой в распределенной вычислительной среде DCE;
  • возможность ограничения прав суперпользователя (пользо­ватель Unix с максимальными правами доступа).
    9 стр., 4103 слов

    Разработка информационной системы ремонтно-строительной фирмы

    ... Развитие систем телекоммуникаций и, в частности, технологий локальных вычислительных сетей, позволило объединить все технические средства обработки бухгалтерской информации в единую внутрифирменную информационную сеть. Представители ремонтно-строительной фирмы используют ...

Guardian DataLynx.

Большое внимание система уделяет дисциплине ведения паро­лей. Так, программа регулярно напоминает пользователям о необходимости смены паролей, заставляет всех или некоторых пользо­вателей изменять пароли при очередной регистрации, ведет учет ранее вводимых паролей, автоматически генерирует миллионы па­ролей с форматным контролем (FIPS-181).

Когда пользователь превышает число допустимых попыток ввода паролей, Guardian блокирует его вход в систему. Предусмотрено постоянное ведение журналов, в которых фиксируется история работы пользователей.

Программа функционирует на компьютерах HP, IBM и Sun Microsystems.

OmniGuard фирмы Axent Technologies

Функции продукта охватывают все аспекты проблемы безо­пасности в архитектурах клиент/сервер, включая управление за­щитой данных, идентификацию и администрирование пользовате­лей, мониторинг графика, контроль за вторжением в систему из­вне, обеспечение безопасного обмена сообщениями и файлами.

OmniGuard реализован в архитектуре клиент/сервер, поддер­живает несколько платформ и конструктивно состоит из трех час­тей: презентационной части, управляющего сервера и интеллекту­ального агента. По желанию интерфейс пользователя может быть настроен под X/Motif или Windows. Управляющий сервер работает на платформах NetWare, OpenVMS и различных вариантах Unix.

DBA-Xpert for Oracle фирмы Compuware

Продукт поддерживает работу с произвольным числом баз данных. Имеются средства анализа и навигации для БД Oracle.

Состоит из трех компонентов: Secure-Xpert (централизованное управление системой безопасности для распределенных данных), Change-Xpert (функции синхронизации) и Reorg-Xpert (операции по загрузке/выгрузке данных).

SQL Secure 3.1 фирмы BrainTree Technology

Благодаря компоненту Password Manager пользователь может работать с несколькими базами данных на разных аппаратных платформах, используя единый пароль. Кроме того, возможна на­стройка механизма управления паролями пользователей в соответ­ствии с принятыми в конкретной организации стандартами: преду­смотрено задание минимальной длины пароля и срока его дейст­вия, допустимого числа попыток подбора пароля при регистрации в базе данных.

Администратор может запрограммировать ряд действий, вы­полняемых в случае обнаружения в системе несанкционированно­го пользователя или попыток ее «взлома», к которым относятся за­прет дальнейшей работы с БД и активизация аварийной процедуры.

Audit Manager

Secure Network Services фирмы Oracle

1.2 Анализ защищенности ОС

Для анализа защищенности ОС разрабатываются специализи­рованные средства. Средства данного класса позволяют произво­дить ревизию перечисленных выше механизмов защиты ОС: под­системы разграничения доступа, механизмов идентификации и ау­тентификации, средств мониторинга, аудита и других компонент с точки зрения соответствия их конфигурации требуемому уровню защищенности системы. Кроме этого, производится контроль це­лостности ПО (включая неизменность программного кода и сис­темных установок с момента предыдущего анализа) и проверка наличия уязвимостей системных и прикладных служб. Такая про­верка производится с использованием базы данных об уязвимостях сервисных служб или определенных версий программного обеспе­чения, которая входит в состав средств анализа.

4 стр., 1915 слов

Система безопасности автомобиля

... Активная безопасность автомобиля Активная безопасность автомобиля – это совокупность его конструктивных и эксплуатационных свойств, направленных на предотвращение и снижение вероятности аварийной ситуации на дороге. В число систем активной безопасности автомобиля входят: Антиблокировочная система тормозов –система, ...

Кратко рассмотрены в [2] некоторые средства анализа защищенности ОС.

ASET (Automated Security Tool)

Низкий уровень

ASET выполняет семь основных задач по мониторингу и управлению уровнем безопасности системы. Для каждой из задач производятся свои специфические проверки и модификации, а также генерируются отчеты по обнаруженным уязвимостям и вы­полненным изменениям в системных файлах. Проверке подвер­гаются:

  • атрибуты доступа и использования системных файлов;

соответствие системных файлов их описаниям в шаблонах безопасности:

  • бюджеты пользователей и групп;
  • файлы конфигурации системы;
  • переменные окружения;
  • уровень защиты низкоуровневой конфигурации eeprom;
  • уровень защищенности при использовании системы в каче­стве МЭ.

ASET можно использовать как в интерактивном режиме с вы­зовом из командной строки, так и в автоматическом режиме с оп­ределенной периодичностью.

Пакет программ COPS

файлы, директории и устройства по разрешенному доступу;

  • надёжность паролей методом перебора с использованием словаря;
  • содержание, формат и безопасность паролей и групп паролей;
  • файлы с атрибутом смены идентификатора пользователя;

программы и файлы, запускаемые в /etc/rc/*;

  • наличие root — SUID файлов, возможность их записи, и яв­ляются ли они подлинными;
  • контрольные суммы ключевых файлов, чтобы выявлять любые изменения;
  • целостность исполнимого кода системных программ;
  • возможность записи файлов пользователей и файлов запус­ка (.profile, cshrc и т.д.);
  • анонимную установку ftp;
  • неограниченный ftp, вымышленное имя в sendmail;
  • конфигурации протокола NFS;
  • проводит различные проверки root;
  • наличие отношений доверия с удаленными системами;
  • права доступа к домашним каталогам и стартовым файлам пользователей;
  • конфигурации почтовой службы;
  • наличие сервисных служб;
  • даты ознакомления с материалами CERT по безопасности;
  • содержит набор правил и попыток для определения того, как может быть скомпрометирована система.

Результатом работы COPS является отчет, который может быть представлен в виде текстового файла либо автоматически отправ­лен заданному адресату по электронной почте. Устранения обна­руженных уязвимостей данным продуктом не производятся. Вме­сто этого по результатам сканирования создается командный файл, содержащий последовательность команд по ликвидации выявлен­ных уязвимостей.

COPS может быть запущено от лица пользователя, не обла­дающего привилегированными правами, однако в данном случае тестирование системы будет неполным.

Среди недостатков можно отметить следующее. Работа COPS приводит к уменьшению производительности системы. При про­ведении оценки стойкости паролей значительно увеличиваются вычислительные и временные затраты, поэтому запуск COPS ре­комендуется производить в часы наименьшей загрузки системы.

17 стр., 8099 слов

Проектирование системы безопасности при организации строительной площадки

... В данном курсовом проекте рассмотрена строительная площадка, для обеспечения безопасности работ на которой предложены некоторые технические и ... строительной площадки; ограждение опасных зон; обеспечение безопасной эксплуатации строительных машин и механизмов, систем энергоснабжения и электрооборудования; водоснабжение и др. Правильная организация строительной площадки и производства строительно ...

Система System Security Scanner (SSS) фирмы Internet Security Systems Inc.

Система SSS позволят производить распределенное сканирова­ние нескольких удаленных систем с одной управляющей рабочей станции. При этом, конфигурация механизмов сканирования уда­ленных систем и обработка результатов производится на управ­ляющем ПК, а на удаленных системах запускается только скани­рующий агент. Результаты сканирования удаленных систем пере­даются по протоколу TCP в закодированном виде.

Возможности тестирования системы определяются выбранны­ми для сканирования уязвимостями. SSS позволяет производить сканирование системы с различными специально созданными конфигурациями сканирования, что позволяет заранее настраивать через несколько файлов конфигурации разноуровневое сканирова­ние для периодического тестирования системы. Все обнаруженные уязвимости рассортированы по типам, соответствующим областям системы, и выделены определенным цветом, обозначающим уро­вень важности.[1]

Пакет программ Internet Scanner SAFEsuite (ISS) предназначен для проведения комплексной оценки эффективности политики безопасности на уровне сетевых сервисов. Он предоставляет возможности для идентификации и коррекции более 140 известных слабых мест и постоянного наблюдения за состоянием безопасности для широкого диапазона сетевых устройств — от Web-узлов и брандмауэров до серверов и рабочих станций, работающих в средах UNIX, Windows 95, Windows NT, и всех других устройств, работающих с протоколом TCP/IP.

Пакет ISS состоит из трех программ: Web Security Scanner, Firewall Scanner, Intranet Scanner. Отметим некоторые общие характеристики пакета ISS.

1. Автоматизированное и конфигурируемое сканирование:

  • автоматическая идентификация и создание отчетов по слабым местам;
  • плановое периодическое сканирование или сканирование после определенных событий;
  • конфигурация сканирования по адресам IP, типам слабых мест, рискам и другим устанавливаемым пользователями критериям;
  • автоматическая коррекция ключевых слабых мест;
  • надежность и повторяемость.

2. Обеспечение безопасности:

  • возможность управления рисками;
  • инвентаризация всех сетевых устройств и идентификация существующих базовых слабых мест;
  • распределение приоритетов по степеням риска (высокий, средний, низкий);
  • анализ и сравнение базовых отчетов для использования в будущих оценках;
  • создание цепи обратной связи при реализации политики безопасности.

3. Простота пользования:

  • графические интерфейсы пользователя Windows NT и Motif UNIX;
  • создание отчетов в формате HTML с упорядочением по типам слабых мест, классам рисков, host-именам и адресам IP;
  • двухмерная сетевая карта, облегчающая поиск слабых мест;
  • централизация процедур сканирования, управления и мониторинга.[5]

Программа Web Secure Scanner предназначена для поиска слабых мест безопасности на Web-серверах. Обеспечивает аудит ОС, под управлением которой работает Web-сервер, программ приложений, установленных на Web-сервере, и сценариев CSI в Web-приложениях. Проводит тестирование конфигурации Web-сервера, оценивает уровень безопасности основной файловой системы и просматривает сценарии CSI на наличие слабых мест. По итогам тестирования создается отчет с описанием обнаруженных слабых мест и рекомендациями по корректирующим действиям.

Программа Firewall Scanner обеспечивает поиск слабых мест в брандмауэрах, прежде всего в их конфигурации, и предоставляет рекомендации по их коррекции. Проводит тестирование реакции брандмауэров на различные типы попыток нарушения безопасности. Выполняет сканирование сервисов – идентификацию всех сетевых сервисов, доступ к которым осуществляется через брандмауэр. Программу Firewall Scanner рекомендуется сделать частью установки брандмауэра и составной частью программы обеспечения безопасности.

Программа Intranet Scanner предназначена для автоматического обнаружения потенциальных слабых мест внутри сетей с использованием различных тестов для проверки реакции на несанкционированные проникновения. Обеспечивает проверку различных сетевых устройств, включая UNIX-компьютеры, системы, работающие под управлением ОС Windows NT/95 фирмы Microsoft, маршрутизаторы, Web-серверs и X-терминалы.

1.3. Защита каналов связи в Internet

В июле 1997 г. вышел руководящий документ «Средства вы­числительной техники. Межсетевые экраны. Защита от несанк­ционированного доступа к информации. Показатели защищенно­сти от несанкционированного доступа» Гостехкомиссии при Пре­зиденте РФ (полный текст можно найти в информационном бюл­летене «Jet Info» 17-18 1997 г. и на узле ).

В этом документе дана классификация МЭ в зависимости от степени обеспечиваемой ими защиты от НСД. Определение самого МЭ таково: МЭ — это ло­кальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, по­ступающей в автоматизированную систему (АС) и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации ин­формации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

Устанавливается пять классов защищенности МЭ: 5 (самый низкий) — применяется для безопасного взаимодействия АС клас­са 1 Д с внешней средой, 4 — для 1 Г, 3 — 1 В, 2 — 1 Б, 1 (самый вы­сокий) для 1А. (Напомним, что Гостехкомиссией РФ установ­лено девять классов защищенности АС от НСД, каждый из кото­рых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отли­чающиеся спецификой обработки информации. Класс с цифрой «1» включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней кон­фиденциальности, и не все пользователи имеют равные права дос­тупа.)

В [2] приведена некоторая справочная информация, где даны описания не­скольких систем МЭ. Список сертифицированных Гостехкомиссией РФ МЭ на июнь 1999 г. состоял из десяти наименований:

1) автоматизированная система разграничения доступа Black Hole (Milkyway Networks) версии BSDI-OS;

2) средство защиты от НСД в сетях передачи данных по про­токолу TCP/IP «ПАНДОРА» на базе Gauntlet 3.1.Н (Trusted Information Systems) и компьютера 02 (Silicon Graphics) под управлением IRIX 6.3;

3) аппаратно-программный комплекс «Застава-Джет» компа­нии Jet Infosystems и ЦНИИ-27 Министерства обороны РФ;

4) МЭ «Застава» FortE+ фирмы ЭЛВИС+;

5) партия средств программного обеспечения межсетевого эк­рана FireWall-1 фирмы Checkpoint Software Technologies;

6) комплекс защиты информации от НСД «Data Guard/24S»;

7) программный продукт SKIP для регулирования доступа на интерфейсе локальная/глобальная сеть под управлением ОС Windows 3.11 и Solaris 2.4;

8) единичные образцы программного обеспечения МЭ AltaVista Firewall 97 фирмы AltaVista Internet Software;

9) партия из 20 экземпляров МЭ «Cyber Guard» версия 4.0, по­зволяющего создавать защищенные корпоративные сети на базе протокола Х.25 и Frame Relay;

10) Firewall/Plus фирмы Network-1 Software and Technologies.

Список МЭ, сертифицированных Международной ассоциацией компьютерной безопасности, можно найти по адресу http://www.icsa.net. Ниже более подробно описаны функции одного из них.

Межсетевой экран защиты интрасети ПАНДОРА

скрыть от пользователей глобальной сети структуру интра­сети (IP-адреса, доменные имена и т.д.);

  • определить, каким пользователям, с каких хостов, в на­правлении каких хостов, в какое время, какими сервисами можно пользоваться;
  • описать для каждого пользователя, каким образом он дол­жен аутентифицироваться при доступе к сервису;
  • получить полную статистику по использованию сервисов, попыткам НСД, графику через ПАНДОРУ и т.д.

ПАНДОРА устанавливается на компьютер с двумя Ethernet-интерфейсами на выходе между интраеетью и сетью общего поль­зования.

ПАНДОРА построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы: TELNET, Riogin (терминалы); FTP (передача данных); SMTP, POP3 (почта);

  • HTTP (WWW);
  • Gopher;
  • XI 1 (X Window System);
  • LP (сетевая пе­чать);
  • Rsh (удаленное выполнение задач);
  • Finger;
  • NNTP (новости Usenet);
  • Whois;
  • RealAudio. Кроме того, в состав ПАНДОРЫ входит сервер общего назначения TCP-уровня, который позволяет безо­пасно транслировать через ПАНДОРУ запросы от базирующихся на TCP протоколов, для которых нет proxy-серверов, а также сер­вер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.

Для аутентификации пользователей ПАНДОРА позволяет при­менять следующие схемы аутентификации:

  • обычный Unix-пароль;
  • S/Key, MDauth (одноразовые пароли).

  • РОРЗ-ргоху дает возможность использовать АРОР-авторизацию и тем самым избежать передачи по сети открытого пароля.
  • FTP-proxy позволяет ограничить применение пользователями отдельных команд (например RETR, STOR и т.д.)
  • HTTP-proxy позволяет контролировать передачу через ПАНДОРУ фреймов;
  • описаний на языке Java;
  • описаний на языке JavaScript;
  • html-конструкций, не попадающих под стандарт HTML версии 2 и т.д.

Система сбора статистики и генерации отчетов позволяет со­брать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя (если есть), а также аномалии в самой системе.

ПАНДОРА не требует ни внесения изменений в клиентское ПО, ни использования специального ПО.

Прозрачный режим работы proxy-серверов позволяет внутрен­ним пользователям соединяться с нужным хостом за один шаг (т.е. без промежуточного соединения с ПАНДОРОЙ).

Система контроля целостности позволяет контролировать безопасность модулей самой системы.

Графический интерфейс управления служит для настройки, администрирования и просмотра статистики ПАНДОРЫ.

ПАНДОРА поставляется вместе с исходными текстами основ­ных программ, для того чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.

ПАНДОРА сертифицирована Государственной Технической Комиссией при Президенте России. Сертификат N 73 выдан 16 ян­варя 1997 г. и действителен до 16 января 2000 г: » …система защи­ты информации от НСД в сетях передачи данных по протоколу TCP/IP — межсетевой экран «ПАНДОРА» (ТУ N 1-97) на базе меж­сетевого экрана «Gauntlet» версии 3.1.Н…, функционирующая на платформе операционной системы IRIX v.6.3 фирмы Silicon Graphics, является средством зашиты информации и обеспечивает защиту участка интрасети от доступа извне, не снижая уровня за­щищенности участка интрасети, соответствует техническим усло­виям № 1-97 и требованиям Руководящего документа Гостехко-миссии России «Автоматизированные системы. Защита от несанк­ционированного доступа к информации. Классификация автомати­зированных систем и требования по защите информации» в части администрирования для класса ЗБ».

Задача выбора МЭ для каждого конкретного применения

И в заключение данного раздела приведем некоторые рекомен­дации по выбору МЭ, которые выработала Ассоциация «Конфидент».

1).

Цена. Она колеблется существенно — от 1000 до 15000 долл. при покупке непосредственно у фирм-производителей, большинство которых находится в США; у российских дилеров эти цифры значительно выше из-за таможенных и налоговых сборов. Интересна и такая цифра — цена МЭ для Windows NT в сред­нем составляет 6000 долл. К этой цене надо добавить расходы на аппаратную платформу и ОС, которые могут быть весьма значи­тельными и соизмеримыми со стоимостью самого МЭ — напри­мер, как в случае использования компьютеров Sun под управлени­ем ОС Solaris. Поэтому с точки зрения экономии разумно приме­нять МЭ, ориентированные на Intel-платформу и ОС DOS, Windows NT, Novel 1 NetWare.

Фильтрация., Построение интрасети —, Простота эксплуатации.

1.4 Отечественные защищенные системы

Российский стандарт шифрования данных ГОСТ 28147-89

Единственный в настоящее время коммерческий российский алгоритм ГОСТ 28147-89 является универсальным алгоритмом криптографической защиты данных как для крупных информационных систем, так и для локаль­ных вычислительных сетей и автономных компьютеров.

Многолетний опыт использования данного алгоритма показал его высокую надежность и удачную конструкцию. Этот алгоритм может реализовываться как аппаратным, так и программным способом, удовлетворяет всем крипто­графическим требованиям, сложившимся в мировой практике. Он также по­зволяет осуществлять криптозащиту любой информации, независимо от сте­пени ее секретности.

В алгоритме ГОСТ 28147-89 используется 256-разрядный ключ, представляемый в виде восьми 32-разрядных чисел, причем, расшифровываются данные с помощью того же ключа, посредством которого они были зашифрованы.

Необходимо отметить, что алгоритм ГОСТ 28147-89 полностью удовле­творяет всем требованиям криптографии и обладает всеми достоинствами алгоритма DES, но лишен его недостатков. В частности, за счет использова­ния специально разработанных имитовставок он позволяет обнаруживать как случайные, так и умышленные модификации зашифрованной информации. В качестве недостатка российского алгоритма надо отметить большую слож­ность его программной реализации и недостаточно высокую скорость работы.[1]

СУБД “Линтер-ВТ”

“Верба-О”

Очень важным вопросом защиты информации является интеграция программно – аппаратных средств обеспечения информационной безопасности. По мнению В. С. Барсукова, имеется явно выраженная тенденция ко все большей интеграции различных средств и систем связи, что вызывает необходимость единого интегрального подхода к регистрации, хранению и обеспечению безопасности всех видов передаваемой информации. Современ­ные СП-приложения с использованием интегрального подхода позволяют обеспечить реализацию интегральных программно-аппаратных средств защи­ты информации с заданными оперативно-техническими характеристиками. [1]

Из современных отечественных интегральных устройств защиты инфор­мации в качестве примера реализации можно отметить разработки фирмы «Силуэт». Отечественная интегральная система «Калейдоскоп- плюс» предна­значена для передачи с помощью ПК закрытой текстовой и факсимильной информации по общедоступным каналам связи. В процессе работы информа­ция приводится к единому цифровому виду и шифруется по алгоритму шиф­рования в соответствии с ГОСТ 28147-89. Скорость шифрования — 3 кбод. Система имеет возможность выработки собственных ключей. Скорость пере­дачи информации до 1200 бод с вероятностью ошибки на знак, равной 10 в степени (-8).

Информация передается по каналам связи с использованием типовых модемов отечественного или зарубежного производства. Возможно включение в систему редактора текстовой информации требуемого типа.

Абонентский пункт «МАГ» предназначен для коммерческой шифрованной связи по коммутируемым телефонным и телеграфным каналам. Он обеспечивает:

  • передачу факсимильной информации;
  • автоматическое опознавание абонента;
  • скорость шифрования 40 кбод;
  • скорость передачи информации до 1200 бод (вероятность ошибки на знак равна 10 в степени (-6);
  • криптозащиту информации на дисках и в канале связи;
  • имитозащиту (контроль целостности данных);
  • диалоговый режим;
  • использование открытых ключей.

Состав абонентского пункта «МАГ»:

  • IBM PC;
  • модем;
  • устройство речевого ввода/вывода на основе микросхемы TMS 320C25;
  • факсимильный аппарат OKIFAX;
  • ПО.

Удачной отечественной разработкой является интегральное терми­нальное устройство «Индекс» фирмы «Скинер», которое предназначено для закрытой передачи речевой, графической, буквенно-цифровой и другой ин­формации по стандартным коммерческим телефонным каналам связи. Инте­гральное устройство выполнено в виде печатной платы к ПК IBM PC и спе­циального программного обеспечения. Возможен вариант реализации в виде внешнего блока, подключаемого к ПК через параллельный порт. Необходимо отметить, что поскольку аппаратное и программное обеспечение данного ин­тегрального устройства являются общими, то реально выделить в явном виде функциональные блоки устройства не представляется возможным. Поэтому для пояснения возможностей и проведения дальнейшего анализа на рис.1 показаны состав и основные функциональные связи между виртуальными блоками (одни и те же элементы и фрагменты программ могут быть исполь­зованы различными блоками).

Как видно из рисунка, основной особенностью данного терминального устройства является не только его многофункциональность (модем, автосек­ретарь, устройство защиты и т. п.), интеграция различных видов сигналов (телефонных, телеграфных, факсимильных, компьютерных и др.), но и инте­грация различных видов обеспечения безопасности (охрана, физическая и экологическая защита, криптозащита, защита от побочных электромагнит­ных излучений и наводок и др.).

Шифратор

Генератор шума

Интерфейс связи с внешними устройствами

Блок охраны и физической защиты

Блок коммутации и управления

Факс

Автоответчик

Модем

Фильтрация  1

К персональному компьютеру телефонной линии

от датчиков к внешним устройствам

Рис. 1 Функциональная схема интегрального терминального

Основные характеристики и функциональные возможности интегрального терминального устройства «Индекс» в кратком виде представлены в табл. 1.

Таблица 1.

Наименование виртуального блока

Характеристики и функциональные возможности

Компьютерный теле­фон (обработка речи)

Запись и хранение

речевых сообщений

Регистрация телефонных сообщений

Распознавание кодов и

команд

Автодозвон.

Выдача речевых сооб­щений

Шифратор

Гарантированная

защита всех видов

информации (ГОСТ

28147-89)

Конфиденциальность

и достоверность

информации

Разграничение прав

доступа, цифровая

подпись

Распределение ключей по схеме «откры­того ключа»
Коррекция ошибок по протоколу MNP-5 и выше

Скорость передачи

300…2400 бод

Перепроверка номе­ра абонента и коди­рование Цифровая подпись
Факс

Скорость передачи

до 9600 бод

Криптозащита по

ГОСТ 28147-8Э

Сжатие передаваемой информации

Авторегистрация и

Рассылка

Автоответчик

Автоматическая

Регистрация вызовов

в журнал учета

Проверка абонента

обратным вызовом

Передала заготов­ленных голосовых

сообщений

Запись входящих

Сообщений

охраны и

физической защиты

Прием сигналов от

Внешних датчиков

Автонабор записан­ных в память номе­ров

Передача речевого

сообщения о нарушении

Подключение внешних устройств (в том числе генератора

шума)

Выделяют следующие основ­ные особенности интегрального терминального устройства «Индекс»:

  • реализация возможностей компьютерно-телефонной интеграции;
  • наличие специального математического обеспечения, представляющего собой единую систему с дружественным пользователю интерфейсом и обеспечивающего единый порядок регистрации и хранения поступаю­щих данных (речевых, факсимильных, цифровых);
  • дистанционное управление системой с помощью устройств тонального набора;
  • возможность единого подхода к шифрованию и обеспечение заданного уровня защиты для всех видов информации;
  • возможность использования интегрального подхода к обеспечению безопасности;
  • интеграция различных функций в едином устройстве. [1]
  • Заключение

Анализ современного российского рынка технических средств и услуг обеспечения безопасности показывает, что в настоящее время насчитывается уже более 2 тыс. предприятий и фирм, активно предоставляющих свои услу­ги и поставляющих специальные технические средства обеспечения безопас­ности, номенклатура которых уже составляет десятки тысяч наименований. Поэтому основным информационным источником стоимостных и технических характеристик средств и услуг обеспечения безопасности становятся инфор­мационно-справочные материалы в виде справочников, каталогов, пособий, БД и т. п. Роль и ценность подобных информационно-справочных материалов постоянно растет, и их трудно переоценить[1].

Результаты анализа показывают, что в последнее время наметилась тен­денция к замедлению темпов развития рынка, причем стабилизация опреде­ляется главным образом не столько насыщенностью рынка, сколько нерешенностью ряда организационно-правовых вопросов и ограниченными финан­совыми возможностями большинства пользователей (учитывая достаточно высокую стоимость специальной техники).

По мере стабилизации экономики следует ожидать значительного всплеска интереса к производству и реализа­ции технических средств обеспечения безопасности.

Основной отличительной особенностью современного российского рынка приходится признать подавляющее господство зарубежных технических средств обеспечения безопасности. В предыдущие 5 лет в России подготов­лена соответствующая почва для массового выхода зарубежных фирм -производителей техники безопасности на современный российский рынок технических средств и услуг обеспечения безопасности, что подтверждает­ся активным участием их представителей в выставках «МИЛИПОЛ», «Безопасность», «Секьюрити — экспо», «Банк и офис», «MIPS», «Банк», «Интерполитех» и др. Однако необходимо отметить, что ведущие компании За­пада в области безопасности, как правило, сегодня еще напрямую на рос­сийский рынок не выходят. Их товары представляют в основном россий­ские фирмы-интеграторы.

Интенсивное количественное и качественное развитие современного рос­сийского рынка вызвало серьезные изменения в политике фирм — поставщи­ков технических средств и услуг обеспечения безопасности. Появившаяся в последние годы серьезная конкуренция заставила многие фирмы больше внимания уделять вопросам качества, удлинять гарантийные сроки, вводить дополнительную систему скидок, предлагать покупателю комплексные услу­ги, начиная с консультаций, поставки технических средств, обследования защищаемых помещений и заканчивая сервисным обслуживанием (профи­лактикой и ремонтом).

Несмотря на активное продвижение продукции зарубежных фирм — изго­товителей и распространителей техники безопасности в Россию, основная их часть до настоящего времени продолжает занимать рынок главным образом регионов Москвы, Санкт-Петербурга и Екатеринбурга[1].

Проведенный анализ рынка услуг обеспечения безопасности показывает, что в настоящее время используется три основных подхода к решению задач обеспечения информационной безопасности: индивидуальный подход с после­довательным решением частных задач обеспечения безопасности, комплекс­ный подход с одновременным решением комплекса задач, направленных на достижение единой цели, и интегральный подход — решение задач обеспече­ния безопасности с использованием общих (единых) технических средств и ПО на принципах интегральной безопасности.

Как правило, в предыдущие годы использовался индивидуальный подход (надо, например, обеспечить безопасность телефонной связи — покупалось устройство закрытия телефонных переговоров).

Этот подход является еще основным на современном российском рынке. Однако сегодня уже многие фирмы предлагают целый комплекс услуг и соответствующих технических средств для решения задач обеспечения безопасности. Так, например, про­блему безопасности телефонной связи подобные фирмы решают комплексно с одновременным решением ряда задач контроля доступа, физической защи­ты, закрытия технических каналов утечки информации и использования криптографического закрытия. Естественно, что во-втором случае эффектив­ность решения проблемы обеспечения безопасности будет значительно выше, чем в первом.[1]

Интегральный подход делает только первые шаги, и только некоторые от­дельные фирмы могут предложить сегодня, например, для решения задачи обеспечения информационной безопасности программно-аппаратные ком­плексы обеспечения безопасности, позволяющие на базе единого ПК (инте­гральной системы) обеспечить безопасность всех видов информации (голосо­вой, визуальной, буквенно-цифровой и т. п.) при ее обработке, хранении и передаче по каналам связи. Конечно, интегральный подход требует исполь­зования наиболее сложных информационных технологий и является в на­стоящее время более дорогим, чем традиционные. Но он является более эф­фективным и перспективным.

Список литературы

1. Барсуков В. С. Безопасность: технологии, средства, услуги. – М.:КУДИЦ-ОБРАЗ, 2001. – 496 с.;

2. Милославская Н.Г., Толстой А.И. Интрасети: доступ в Internet, защита: Учеб. пособие для вузов. – М.: ЮНИТИ-ДАНА, 2000. — 527 с.;

3. Аврин С. Безопасность информации в АБС // Банковские технологии № 6, 1998;

4. Володин А. Защищенность информации // Банковские технологии № 5, 1998;

5. Кузнецов А., Трифаленков И. Чем измерять защищенность информационных систем // Банковские технологии №8, 1997;