. Розглянемо апаратні шифратори: чому вони вважаються більш надійними і забезпечують кращий захист.
Апаратний шифратор з вигляду і, по суті, являє собою звичайне комп'ютерне «залізо», найчастіше це плата розширення, що вставляється в роз'єм системної плати ПК.
Виробники апаратних шифраторів зазвичай намагаються наситити їх різними додатковими можливостями, серед яких:
1. Генерація випадкових чисел. Це потрібно, насамперед, для отримання криптографічних ключів.
2. Контроль входу на комп'ютер. При включенні ПК пристрій вимагає від користувача ввести персональну інформації (наприклад, вставити дискету з ключами). Робота буде дозволена тільки після того, як пристрій пізнає пред'явлені ключі і вважатиме їх «своїми». В іншому випадку доведеться розбирати системний блок і виймати звідти шифратор, щоб завантажитися (проте, як відомо, інформація на ПК теж може бути зашифрована).
. Контроль цілісності файлів операційної системи. Це не дозволить зловмиснику в ваше відсутність змінити будь-які дані. Шифратор зберігає в собі список всіх важливих файлів із заздалегідь розрахованими для кожного контрольними сумами, і якщо при наступному завантаженні не збігається еталонна сума хоча б одного з них, комп'ютер буде блокований.
Плата з усіма перерахованими можливостями називається пристроєм криптографічного захисту даних - УКЗД.
Шифратор, виконує контроль входу на ПК і перевіряючий цілісність операційної системи, називають також «електронним замком». Зрозуміло, що останнім не обійтися без програмного забезпечення - необхідна утиліта, за допомогою якої формуються ключі для користувачів і ведеться їх список для розпізнання «свій/чужий». Потрібна програма для вибору важливих файлів і розрахунку їх контрольних сум. Ці програми зазвичай доступні тільки адміністратору за безпеку, який повинен попередньо налаштувати всі УКЗД для користувачів, а в разі виникнення проблем розбиратися в їх причинах.
Глава 3. Програмні засоби захисту інформації
3.1 Програмні брандмауери (на прикладі Firewall)
Одним з найбільш поширених механізмів захисту є застосування міжмережевих екранів - брандмауерів (firewalls).
Брандмауер (МСЕ) - це локальне (однокомпонентне) або функціонально - розподілене програмне (програмно - апаратне) засіб (комплекс), що реалізує контроль за інформацією, що надходить в автоматизовану систему та/або виходить з АС. 8
Проблема міжмережевого екранування формулюється таким чином. Нехай мається дві інформаційні чи системи дві безлічі інформаційних систем. Екран (firewall) - це засіб розмежування доступу клієнтів з однієї безлічі систем до інформації, що зберігається на серверах в іншій безлічі.
Екран виконує свої функції, контролюючи всі інформаційні потоки між цими двома множинами інформаційних систем, працюючи як деяка інформаційна мембрана raquo ;. У цьому сенсі екран можна уявляти собі як набір фільтрів, що аналізують минаючу через них інформацію і, на основі закладених у них алгоритмів, що приймають рішення: чи пропустити цю чи інформацію відмовити в її пересиланні. Крім того, така система може виконувати реєстрацію подій, пов'язаних з процесами розмежування доступу, зокрема, фіксувати всі незаконні спроби доступу до інформації і, додатково, сигналізувати про ситуаціях, що вимагають негайної реакції, тобто здіймати тривогу.
Звичайно екранують системи роблять несиметричними. Для екранів визначаються поняття всередині і зовні raquo ;, і завдання екрана полягає в захисті внутрішньої мережі від потенційно ворожого оточення. Найважливішим прикладом потенційно ворожої зовнішньої мережі є Internet.
3.2 Приклад реалізації політики безпеки
Розглянемо процес практичної реалізації політики безпеки організації за допомогою програмного пакета FireWall - 1.
. Насамперед, як уже зазначалося, розробляються і затверджуються на рівні керівництва організації правила політики безпеки.
. Після затвердження ці правила треба втілити в життя. Для цього їх потрібно перевести в структуру типу «звідки, куди і яким способом доступ дозволений або, навпаки, заборонено». Такі структури, як ми вже знаємо, легко переносяться в бази правил системи FireWall - 1.
. Далі, на основі цієї бази правил формуються списки доступу для маршрутизаторів і сценарії роботи фільтрів на мережних шлюзах. Списки і сценарії далі переносяться на фізичні компоненти мережі, після чого прави...