Средства защиты от несанкционированного доступа (СЗИ от НСД)
Классификация средств защиты информации
Средства защиты информации
Средство защиты информации (или СЗИ) – техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
В первой главе приводилась классификация средств защиты информации. В разделе 5.1 приводится более полное ее рассмотрение с примерами.
Все средства защиты можно классифицировать следующим образом:
¾ Средства защиты от несанкционированного доступа (НСД):
· Средства авторизации;
· Мандатное управление доступом;
· Избирательное управление доступом;
· Управление доступом на основе ролей;
· Протоколирование (или аудит).
¾ Системы мониторинга сетей:
· Системы обнаружения и предотвращения вторжений (IDS/IPS);
· Системы предотвращения утечек конфиденциальной информации (DLP-системы).
¾ Анализаторы протоколов;
¾ Антивирусные средства;
¾ Межсетевые экраны;
¾ Криптосредства;
¾ Системы резервного копирования.
¾ Системы бесперебойного питания:
· Источники бесперебойного питания;
· Резервирование нагрузки;
· Генераторы напряжения.
¾ Системы аутентификации:
· Пароль;
· Ключ доступа;
· Сертификат;
· Биометрия.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
¾ Средства предотвращения взлома корпусов и краж оборудования (опечатывание корпуса).
¾ Инструментальные средства анализа систем защиты:
· Мониторинговый программный продукт.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами.
Согласно Руководящему документу «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» от 30 марта 1992г. устанавливается семь классов защищенности средств вычислительной техники (далее СВТ) от НСД к информации (Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем). Самый низкий класс — седьмой, самый высокий — первый.
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
первая группа содержит только один седьмой класс;
вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.
Перечень показателей по классам защищенности СВТ приведен в таблице 5.1.1.1.
Обозначения:
"-" – нет требований к данному классу;
"+" – новые или дополнительные требования;
"=" – требования совпадают с требованиями к СВТ предыдущего класса.
Таблица 5.1.1.1 – Требования к показателям защищенности СВТ
Наименование показателя
Класс защищенности
Дискреционный принцип контроля доступа
+
+
+
=
+
=
Мандатный принцип контроля доступа
-
-
+
=
=
=
Очистка памяти
-
+
+
+
=
=
Изоляция модулей
-
-
+
=
+
=
Маркировка документов
-
-
+
=
=
=
Защита ввода и вывода на отчуждаемый физический носитель информации
-
-
+
=
=
=
Сопоставление пользователя с устройством
-
-
+
=
=
=
Идентификация и аутентификация
+
=
+
=
=
=
Гарантии проектирования
-
+
+
+
+
+
Регистрация
-
+
+
+
=
=
Взаимодействие пользователя с КСЗ1
-
-
-
+
=
=
Надежное восстановление
-
-
-
+
=
=
Целостность КСЗ
-
+
+
+
=
=
Контроль модификации[1]
-
-
-
-
+
=
Контроль дистрибуции
-
-
-
-
+
=
Гарантии архитектуры
-
-
-
-
-
+
Тестирование
+
+
+
+
+
=
Руководство для пользователя
+
=
=
=
=
=
Руководство по КСЗ
+
+
=
+
+
=
Тестовая документация
+
+
+
+
+
=
Конструкторская (проектная) документация
+
+
+
+
+
+
Приведенные в данном разделе наборы требований к показателям каждого класса являются минимально необходимыми.
Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.
На сегодняшний день существует достаточно много СЗИ от НСД. Рассмотрим некоторые из них:
· СЗИ от НСД «Dallas Lock 7.7» (ООО «Конфидент»)
Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа. СЗИ «Dallas Lock 7.7» может быть установлено на компьютеры, работающие под управлением следующих ОС: Windows ХР (Service Pack не ниже 3), Windows Server 2003 (SP не ниже 2), Windows Vista (SP не ниже 2), Windows Server 2008 (SP не ниже 2), Windows 7. «Dallas Lock 7.7» поддерживает только 32-х битные версии операционных систем.
Система «Dallas Lock 7.7» представляет собой программное средство защиты от несанкционированного доступа к информационным ресурсам компьютеров с возможностью подключения аппаратных идентификаторов.
СЗИ от НСД «Dallas Lock 7.7» обеспечивает:
Защиту информации от несанкционированного доступа на ПЭВМ в ЛВС через локальный, сетевой и терминальный входы.
Разграничение полномочий и аудит действий пользователей по доступу к файловой системе и другим ресурсам компьютера. Разграничения касаются всех пользователей – локальных, сетевых, доменных, терминальных.
· СЗИ от НСД Secret Net 6 (ООО «Код безопасности»)
СЗИ от НСД Secret Net можно использовать для защиты:
конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1Б включительно;
информационных систем персональных данных до класса К1 включительно.
Есть два варианта исполнения в зависимости от класса автоматизированных систем: Secret Net 6 для АС 1Б, Secret Net 6 (вариант К) для АС 1Г.
Secret Net 6 (вариант К) может применяться в ИСПДн К1 без использования дополнительных средств защиты от загрузки с внешних носителей (в зависимости от модели угроз).
Возможности Secret Net 6:
Аутентификация пользователей.
Обеспечение разграничения доступа к защищаемой информации и устройствам.
Доверенная информационная среда.
Контроль каналов распространения конфиденциальной информации.
Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
Централизованное управление политиками безопасности, позволяет оперативно реагировать на события НСД.
Оперативный мониторинг и аудит безопасности.
Масштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиалов.
· ПАК «Соболь» (версия 3.0.) (ООО «Код Безопасности»)
Электронный замок «Соболь» - это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки).
Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.
Возможности электронного замка "Соболь":
Аутентификация пользователей;
Блокировка загрузки ОС со съемных носителей;
Контроль целостности программной среды;
Контроль целостности системного реестра Windows;
Контроль конфигурации компьютера (PCI-устройств, ACPI, SMBIOS);
Сторожевой таймер;
Регистрация попыток доступа к ПЭВМ.
· СЗИ от НСД «Блокхост-сеть» (ООО «Газинформсервис»)
Сетевая система защиты информации (СЗИ) «Блокхост-сеть» предназначена для комплексной многофункциональной защиты от несанкционированного доступа (НСД) информационныхресурсов локальных / сетевых рабочих станций и серверов, функционирующих под управлением ОС Windows 2000/XP/2003.
Система может использоваться при создании автоматизированных систем до класса защищенности 1В включительно, в том числе – информационных систем персональных данных до класса К1 включительно.
СЗИ от НСД «Блокхост-сеть» обеспечивает защиту от НСД к информации, содержащейся на:
локальном компьютере (без подключения к сети);
сетевом компьютере (как в одноранговой, так и в доменной сети);
рабочих станциях, объединенных в сеть, с установленной на каждой из них клиентской частью СЗИ «Блокхост-сеть».
СЗИ от НСД «Блокхост-сеть» дополняет и усиливает функциональные возможности операционной системы по защите информации.
СЗИ от НСД «Блокхост-сеть» может использоваться:
при создании контролируемого защищенного доступа к ресурсам рабочей станции в локальной сети организации или автономного ПК;
для обеспечения качественной защиты от несанкционированного доступа к рабочим станциям;
при создании автоматизированных систем – до класса защищенности 1В включительно;
при создании информационных систем персональных данных – до класса К1 включительно.
Также все вышеперечисленные СЗИ от НСД поддерживают персональные идентификаторы, такие как Rutoken, USB-ключи eToken PRO (Java), смарт-карты eToken PRO (Java), смарт-карты eToken PRO.
Системы обнаружения и предотвращения вторжений (IDS/IPS)
Система обнаружения вторжений (IDS – Intrusion Detection System) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.
Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)
Обычно архитектура IDS включает:
сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;
подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров;
хранилище, обеспечивающее накопление первичных событий и результатов анализа;
консоль управления, позволяющая конфигурировать IDS, наблюдать за состоянием защищаемой системы и IDS, просматривать выявленные подсистемой анализа инциденты.
Существует несколько способов классификации IDS в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых IDS все компоненты реализованы в виде одного модуля или устройства.
Существуют пассивные и активные IDS. В пассивной IDS при обнаружении нарушения безопасности, информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. В активной системе, также известной как Система Предотвращения Вторжений (IPS — Intrusion Prevention System), IDS ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.
Классификация IPS:
· Сетевые IPS (Network-based Intrusion Prevention, NIPS): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.
· IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки человек посередине, спуфинг mac-адресов.
· Поведенческий анализ сети (Network Behavior Analysis, NBA): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.
· Система предотвращения вторжений для отдельных компьютеров (Host-based Intrusion Prevention, HIPS): резидентные программы, обнаруживающие подозрительную активность на компьютере.
Достаточно часто встречаются случаи, когда функции системы обнаружения и предотвращения вторжений выполняются другими средствами защиты информации, например межсетевыми экранами или антивирусными средствами. Это говорит о том, что в составе СЗИ есть модули IDS/IPS. Например, антивирус Kaspersky Open Space Security (ЗАО «Лаборатория Касперского»), персональный межсетевой экран ViPNet Personal Firewall (ОАО «ИнфоТеКС»), ПК «ViPNet Client версия 3.1» (ОАО «ИнфоТеКС»), межсетевой экран WatchGuard XTM 21 (WatchGuard Technologies, Inc.).
Но есть и отдельно реализованные IDS/IPS. Например, Security Studio Endpoint Protection HIPS (ООО «Код Безопасности»).