Artículos

HERRAMIENTAS DE EQUIPOS DE COMPUTO EN VARIANTE SEGURIDAD, COMO PARTE DE LA SOLUCIÓN AL PROBLEMA DE SEGURIDAD DE LA INFORMACIÓN.

«> Fondos de equipos informáticos en una versión protegida, como parte de la solución del problema SEGURIDAD DE LA INFORMACIÓN. EQUIPO INFORMÁTICO EN VARIANTE SEGURIDAD COMO PARTE DE LA SOLUCIÓN AL PROBLEMA DE SEGURIDAD DE LA INFORMACIÓN

Simonyan Tigran Arkadievich

EQUIPO INFORMÁTICO EN UNA VARIANTE SEGURA, COMO PARTE DE LA SOLUCIÓN AL PROBLEMA DE SEGURIDAD DE LA INFORMACIÓN

Una característica distintiva de la producción moderna, tanto en Rusia como en otros países, es la creciente dependencia de los recursos y tecnologías de la información y, como consecuencia, el aumento de los problemas en el campo de la seguridad de la información.

Las actividades de cualquier institución no se pueden imaginar sin el proceso de obtención de una amplia variedad de información, procesándola manualmente o utilizando tecnología informática (CT), tomando decisiones específicas con base en el análisis de esta información y transmitiéndolas a través de canales de comunicación. Pero debe entenderse que la informatización, además de los beneficios obvios y ampliamente publicitados, trae consigo, en primer lugar, un importante gasto de esfuerzo y recursos y, en segundo lugar, numerosos problemas.

La información sólo resulta útil cuando se presenta en una forma que sea accesible a la percepción y al procesamiento. Distorsionar la información, bloquear el proceso de obtención de la misma o introducir información falsa contribuye a tomar decisiones erróneas. Uno de los problemas, y uno de los más difíciles, es el de garantizar el procesamiento seguro de información crítica en sistemas automatizados. Fue la última década la que estuvo marcada por un aumento significativo en la atención a los problemas de seguridad de la información. Este interés tiene una base objetiva. Por un lado, ha aparecido en el país un secreto comercial, se han ajustado la esencia y los enfoques de la protección de los secretos de Estado y es necesario aclarar conceptos y definir los límites de otro tipo de secretos. Por otro lado, la importancia de la información ha aumentado considerablemente, incluida la que requiere principalmente protección. La esencia de la protección de la información está indisolublemente ligada a los objetivos de la protección, ya que la parte sustantiva de la protección depende de la respuesta a la pregunta: por qué y con qué propósito se debe proteger la información.

El problema central de la seguridad de la información en la última década en casi todas partes ha sido la prevención de la adquisición no autorizada de información en sistemas de procesamiento construidos sobre la base de la tecnología informática electrónica moderna.

Una violación de la seguridad de los datos es posible tanto como resultado de diversas influencias perturbadoras, que resultan en la destrucción (modificación) de datos o la creación de canales de fuga, como como resultado del uso por parte del infractor de canales de fuga de datos.

Clasificación de las amenazas a la seguridad de los datos que se muestra en la Fig. 1.

 
Fig. 1. Clasificación de las amenazas a la seguridad de los datos

Los impactos que pueden resultar en una violación de la seguridad de los datos incluyen:

  • impactos aleatorios del entorno natural (huracán, terremoto, incendio, inundación, etc.);
  • influencias específicas del delincuente (espionaje, destrucción de componentes de sistemas informáticos de información, uso de canales directos de fuga de información);
  • factores perturbadores internos (fallos de hardware, errores en matemáticas y software, formación profesional, moral y psicológica insuficiente del personal, etc.);

Todos los canales de fuga de información (datos) se pueden dividir en indirecto y directo. IndirectoSe trata de canales de fuga cuyo uso para el acceso no autorizado a la información no requiere el acceso directo a dispositivos técnicos de sistemas automatizados. Los canales de fuga indirecta surgen, por ejemplo, debido a un aislamiento insuficiente de las instalaciones, errores de cálculo en la organización del trabajo con información y brindan al infractor la oportunidad de utilizar dispositivos de escucha, fotografía remota, interceptación de radiación electromagnética, robo de medios de almacenamiento y desperdicios de producción. (disquetes, discos duros, listados de programas de máquina, etc.) .p.). RectoLos canales de fuga de datos requieren acceso directo a medios técnicos de sistemas y datos automatizados. La presencia de canales de fuga directos se debe a deficiencias en las herramientas técnicas y de software de protección, sistemas operativos, sistemas de gestión de bases de datos, matemáticos y de software, así como a errores de cálculo en la organización del proceso tecnológico de trabajo con datos. Los canales de fuga directa de datos permiten a un atacante conectarse al equipo de sistemas automatizados, obtener acceso a los datos y realizar acciones para analizar, modificar y destruir información.

Al utilizar canales de fuga directa, un atacante puede realizar lo siguiente acciones:

  • leer datos de archivos (elementos de base de datos) de otros usuarios;
  • leer datos de dispositivos de almacenamiento después de ejecutar solicitudes autorizadas;
  • copiar almacenamiento medios de comunicación;
  • hacerse pasar por un usuario registrado para usar su autoridad o eximirse de responsabilidad por el acceso no autorizado;
  • representar sus propias solicitudes no autorizadas como solicitudes del sistema operativo;
  • obtener datos protegidos utilizando un sistema especialmente organizado serie de solicitudes autorizadas;
  • modificar el software;
  • incluir deliberadamente bloques especiales en programas para violar la seguridad de los datos;
  • rechazar el hecho de generar y emitir datos;
  • afirmar recibir datos de un determinado usuario, aunque en realidad los datos fueron generados por el propio infractor;
  • afirmar transferir datos a cualquier usuario, aunque los datos no fueron realmente transmitidos;
  • negarse a aceptar datos que realmente fueron recibidos;
  • examinar los derechos de acceso del usuario (incluso si los datos en sí siguen siendo privados);
  • expandir tus poderes sin autorización;
  • cambiar sin autorización los poderes de otros usuarios;
  • ocultar el hecho de la presencia de algunos datos en otros datos.

Métodos y medios de protección de datos se han desarrollado de acuerdo con las amenazas existentes. La clasificación de métodos y medios de protección de datos se presenta en la Fig. 2 [1].


Arroz. 2. Métodos y medios de protección de datos

Consideraremos brevemente los principales métodos de protección de datos.

Gestiónrepresenta la regulación del uso de todos los recursos del sistema dentro del ciclo tecnológico establecido de procesamiento y transmisión de datos, donde se consideran recursos los medios técnicos, sistemas operativos, programas, bases de datos, elementos de datos, etc. La gestión de la seguridad de los datos implementa el proceso de influencia selectiva del subsistema de gestión, el sistema de seguridad de los datos sobre los medios y mecanismos de protección de datos y los componentes de los sistemas automatizados para garantizar la seguridad de los datos.

Obstáculos bloquean físicamente el camino del atacante hacia los datos protegidos.

Enmascaramiento es un método de protección de datos mediante cierre criptográfico.

Reglamentocomo método de protección consiste en el desarrollo e implementación en el proceso de funcionamiento de sistemas automatizados de complejos de medidas que crean condiciones para el ciclo tecnológico de procesamiento de datos que minimizan el riesgo de acceso no autorizado a los datos. La regulación cubre tanto la construcción estructural de los sistemas informáticos de la información como la tecnología de procesamiento de datos, la organización del trabajo de los usuarios y el personal de la red.

Incentivoes crear un entorno y condiciones en las que las reglas para el manejo de datos protegidos estén reguladas por estándares morales y éticos.

Coerción incluye una amenaza material, responsabilidad administrativa y penal por la violación de las reglas para el manejo de datos protegidos.

Las herramientas de protección de datos se crean en base a los métodos enumerados.

En las primeras etapas del desarrollo de los conceptos de seguridad de datos, se dio preferencia a las herramientas de seguridad de software. Sin embargo, la práctica ha demostrado que esto no es suficiente para garantizar la seguridad de los datos. Por lo tanto, posteriormente se desarrollaron intensamente todo tipo de dispositivos y sistemas. Poco a poco, a medida que se fue formando un enfoque sistemático al problema de garantizar la seguridad de los datos, surgió la necesidad del uso integrado de métodos de protección y de los medios y mecanismos de protección creados en base a ellos.

Estructuralmente , el esquema de protección de cualquier organización se puede representar en la forma de la siguiente pirámide que se muestra en la Fig. 3.


Fig. 3. Niveles de protección organizacional

1. PKI (Infraestructura de clave pública)– infraestructura de clave pública.

Todos los requisitos de seguridad se pueden implementar de varias maneras, teniendo diferente durabilidad, eficiencia y precio. Se utilizan varias medidas en función de la tarea específica, las características específicas del procesamiento de la información y muchos otros factores. Pero la criptografía refleja con mayor claridad todos los requisitos de la política de seguridad. El cifrado se utiliza para ocultar la información misma, al mismo tiempo, los certificados garantizan la autenticidad de las partes que se comunican, las firmas electrónicas garantizan la integridad de la información y el no repudio de las transacciones. La criptografía de clave pública proporciona requisitos de seguridad, pero cada vez más usuarios requieren un enfoque automatizado y específico del sistema basado en PKI:

  • autoridades que emiten y revocan certificados de clave pública;
  • organizacional autoridades de registro, que son responsables de establecer relaciones idénticas entre las claves públicas y los propietarios de los certificados;
  • propietarios de certificados que tienen certificados y pueden firmar y cifrar documentos digitales;
  • clientes que verifican firmas digitales y sus rutas de certificación utilizando la clave pública conocida de una autoridad confiable;
  • repositorios que almacenan y brindan acceso a certificados y listas de revocación de certificados.

2. VPN (redes privadas virtuales)es un conjunto de software y hardware que permite organizar una conexión transparente para programas de aplicación de algunos segmentos locales de la red de comunicación global a través de una red pública abierta, siempre que se mantenga la seguridad (secreto, autenticidad, integridad) de los datos transmitidos. sin separar físicamente los canales de transmisión y los nodos de procesamiento de datos.

Amenazas que contrarrestan las redes privadas virtuales:

  • la posibilidad de acceso no autorizado (NSA) al sistema interno recursos de la red local de la organización;
  • la posibilidad de NSD a los datos corporativos durante su transmisión a través de una red pública.


Fig. 4. Finalidad de las redes privadas virtuales.

Principales ventajas de las VPN:

  • compatibilidad con la infraestructura de red existente;
  • integración con el subsistema de seguridad existente;
  • transparencia total para las aplicaciones empresariales existentes.

3. En la tercera etapa se encuentran medios de control de acceso y protección de LAN. Esto incluye firewalls y sistemas de software y hardware para proteger la información en la versión de red.

Entre los firewalls se distinguen las siguientes clases:

  • los enrutadores de filtrado más simples — clase 5;
  • filtros de paquetes a nivel de red – clase 4;
  • cortafuegos a nivel de aplicación simple – clase 3;
  • cortafuegos de nivel básico – clase 2;
  • firewalls avanzados – clase 1.

Aquí vale la pena prestar atención a los fabricantes nacionales de cortafuegos, entre los que destacan los de OOO «Elko Technologies SPB» y «Sistemas de información Jet». Una característica de los cortafuegos de estas empresas es su enfoque en los compradores nacionales.

Firewall «Citadel ME», versión 2.0 de «Elko» es un complejo de hardware y software basado en la plataforma Intel Pentium II/III y controlado por un sistema operativo especialmente desarrollado. En una configuración típica, la pantalla «Citadel ME» Tiene cuatro interfaces Ethernet 10/100BaseTx. Se pueden admitir hasta 16 interfaces Ethernet en un dispositivo. Una característica opcional es la instalación de un módulo de interfaz WAN (V.35 o X.21) que admite SLIP, PPP, HDLC y Frame Relay.

Complejo «Ciudadela ME» proporciona una interacción segura, confiable y rentable entre redes de Internet e Intranet gracias a un mecanismo de enrutamiento IP potente y flexible con funciones integradas de filtrado de paquetes, mecanismo de traducción de direcciones (NAT) y puertas de enlace de aplicaciones.

Los principales subsistemas del complejo «Citadel ME» son:

  • Filtro de paquetes. Filtra el tráfico TCP/IP según criterios especificados por una lista de reglas de filtrado:
  • dirección de máquina/red y puerto de origen y destino;
  • tipo de protocolo y banderas de protocolo;
  • interfaces de red de entrada y salida;
  • intervalo de tiempo.
  • La configuración del tráfico le permite limitar artificialmente el ancho de banda del canal para tipos seleccionados de tráfico.
  • Un mecanismo de filtro pasivo diseñado para analizar contenido IP -paquetes.
  • Un mecanismo para la generación dinámica de reglas de control de acceso autoajustables diseñadas para garantizar el procesamiento correcto del protocolo FTP.
  • Mecanismo para traducir direcciones de red: reenvío y al revés.
  • Control, registro e informes automáticos.

Complejo de hardware y software ME «Zastava-Jet» de « Sistemas de información de aviones opera tanto a nivel de red y de transporte del modelo de intercambio de información OSI/ISO, como a nivel de aplicación, proporcionando así el grado necesario de protección del espacio de información interno. Este firewall tiene las siguientes características:

  • Protocolo de transporte de red – TCP/IP.
  • El protocolo de control es un protocolo propietario que está protegido contra modificaciones.
  • La pérdida de rendimiento promedio al filtrar paquetes es del 2%.
  • Protocolos admitidos (servidores proxy):
  • telnet, rlogin, rsh;
  • FTP, gopher;
  • HTTP,HTTPS, AHTTP, SSL;
  • SMTP, POP3;
  • LotusNotes, lpr y otros (más de 20 en total).

Entre los sistemas hardware y software, existen modelos específicos desarrollados en versión de red. Entre estos complejos, merecen atención los productos de Aladdin Software Security R.D. y, en particular, los sistemas de protección de información confidencial Secret Disc y Secret Disc Server.

Pero se debe tener en cuenta la necesidad de una certificación obligatoria de los sistemas de protección. en la mesa 1 presenta sistemas de protección de software y hardware certificados.

Tabla 1. Sistemas de protección de software y hardware certificados

Nombre Desarrollador Características
Secret Net 3.1 NIP «Protección de información» Para proteger la información almacenada y procesada en computadoras autónomas que ejecutan DOS /Gana 3x
Secret Net 4.0 NIP «Protección de información» Para proteger la información almacenada y procesada en computadoras independientes que ejecutan el sistema operativo Win 95/98
Secret Net NT 4.0 NIP «Protección de información Para proteger la información almacenada y procesada en computadoras independientes que ejecutan Win NT 4.0
Secret Net-0 NIP «Inform-protection Para proteger la información almacenada y procesada en la LAN.
Para instalación en un servidor — un cero licencia
Secret Net-4 NPC « Protección de información Para proteger la información almacenada y procesada en la LAN.
Licencia para 4 estaciones de trabajo.
Secret Net-8 NIP «Inform-protection Para proteger la información almacenada y procesada en una LAN.
Licencia para 8 estaciones de trabajo.
Red Secreta-16 NPC «Protección de informes Para proteger la información almacenada y procesada en una LAN.
Licencia para 16 estaciones de trabajo.
Secret Net-32 NPC «Inform-protección Para proteger la información almacenada y procesada en una LAN.
Licencia para 32 estaciones de trabajo.
Secret Net NT-0 NIP «Inform-protection Para proteger la información almacenada y procesada en LAN que ejecutan Windows NT 3.51 – 4.0
Kit básico para instalación en servidor (licencia cero)
Secret Net NT-5 NIP «Protección de información Para proteger la información almacenada y procesada en una LAN que ejecuta Windows NT 3.51 – 4.0
Licencia para 5 estaciones de trabajo.
Secret Net NT-10 NIP &#171 ;Protección de información Para proteger la información almacenada y procesada en una LAN que ejecuta Windows NT 3.51 — 4.0
Licencia para 10 estaciones de trabajo
Secret Net NT-25 NIP «Protección de información Para proteger la información almacenada y procesada en una LAN que ejecuta Windows NT 3.51 – 4.0
Licencia para 25 estaciones de trabajo.
Secret Net NT-50 NPC «Protección de información Para proteger la información almacenada y procesada en una LAN que ejecuta Windows NT 3.51 – 4.0
Licencia para 50 estaciones de trabajo.
SS-PC -1 NIP «Inform-protection Sistemas de seguridad de la información en una red corporativa. Herramienta de gestión de seguridad de red secreta versión 4.0
Gestión centralizada del sistema de seguridad de la información, gestión de parámetros de control de integridad y subsistemas de protección criptográfica, seguimiento del estado de seguridad del sistema, gestión de servidores de seguridad esclavos.
Servidor de seguridad clase C: hasta 50 servidores y estaciones de trabajo protegidos
SS-PB-1 NPC «Protección de información Sistemas de seguridad de la información en una red corporativa. Herramienta de gestión de seguridad de red secreta versión 4.0
Gestión centralizada del sistema de seguridad de la información, gestión de parámetros de control de integridad y subsistemas de protección criptográfica, seguimiento del estado de seguridad del sistema, gestión de servidores de seguridad esclavos.
Servidor de seguridad clase B: hasta 250 servidores y estaciones de trabajo protegidos.
SS-PA-1 NIP «Informar- protección Sistemas de seguridad de la información en una red corporativa. Herramienta de gestión de seguridad de red secreta versión 4.0
Gestión centralizada del sistema de seguridad de la información, gestión de parámetros de control de integridad y subsistemas de protección criptográfica, seguimiento del estado de seguridad del sistema, gestión de servidores de seguridad esclavos.
Servidor de seguridad clase A: un número ilimitado de servidores y estaciones de trabajo protegidos.
C-9X-5 NPC «Informar -protección Sistemas de información de seguridad para estaciones de trabajo y servidores de red «Clientes de servidor de seguridad».
Protección de la información almacenada y procesada en estaciones de trabajo y servidores de red corporativa que ejecutan Windows 95/98/NT
«Sable» NPC «Informar -protección Cerradura electrónica.
Restricción de acceso al PC, control de la integridad del software antes de cargar el sistema operativo
Cerradura de Dallas 4.0 Asociación «Confidencial» Para proteger la información almacenada y procesada en una LAN y en computadoras independientes que ejecutan Novell Netware v. 3.11 – 4.11, MS DOS, PC DOS, Windows para Trabajo en Grupo v. 3.11, Windows 95, WINDOWS NT 4.0 Workstation.
4 clases cada una. para TSV.
Dallas Lock 4.1 Asociación « Confidencial» Para proteger la información almacenada y procesada en una LAN y en computadoras independientes que ejecutan Novell Netware v. 3.11 – 4.11, MS DOS, PC DOS, Windows para Trabajo en Grupo v. 3.11, Windows 95, WINDOWS NT 4.0 Workstation.
3 clases cada una. para TSV.
CHORD Asociación «Confident&# 187; Proporciona protección contra el acceso no autorizado y control de acceso a los recursos de sistemas basados ​​en computadoras compatibles con IBM
DIK «Nienschanz-Protection» Para proteger la información almacenada y procesada en LAN y computadoras independientes que ejecutan Novell Netware v 3.11 – 4.11, MS DOS, PC DOS, Windows for Workgroups v. 3.11, Windows 95.

4. BajoProtección TSVinteligencia técnica significa impedir la interceptación de información protegida fuera de la zona controlada de una instalación de equipo militar y excluir la posibilidad de interceptación y registro incontrolados de esta información dentro de la zona.

Un lugar especial es ocupado por la protección de la información contra la fuga a través de canales técnicos más allá de las radiaciones e interferencias electromagnéticas espurias (PEMIN). Este canal de filtración de información ofrece a los infractores una serie de ventajas:

  • la información se obtiene sin contacto directo con sus fuentes;
  • la información se obtiene en tiempo real.

Uno de los canales más conocidos de filtración de información sigue siendo relevante hasta el día de hoy. Actualmente este canal es el más interesante desde el punto de vista de la seguridad de la información. El principal problema es que las combinaciones de códigos de cifrado, sistemas de software y hardware para la seguridad de la información, así como todos los demás dispositivos ubicados en la estructura piramidal descrita anteriormente, se traducen de una forma u otra en señales eléctricas que se pueden descifrar correctamente. Esto se refiere principalmente al descifrado de señales de monitor. El equipo profesional para interceptar la radiación del monitor y mostrar información es bastante caro, pero el valor de la información cubre todos los costos. La interceptación de información debido a la radiación de impresoras y teclados a veces es posible incluso a costos más bajos, debido a la transmisión de información por código de serie, cuyos parámetros se conocen.

Se utilizan los siguientes medios de protección: blindaje de locales, dispositivos de enmascaramiento de energía, adquisición e instalación en el lugar de SVT protegido (SVT que tiene un bajo nivel de radiación). El método activo implica el uso de transmisores de interferencias de banda ancha especiales. Pero este método tiene sus inconvenientes. En primer lugar, el problema de la compatibilidad electromagnética no se describe adecuadamente y, en segundo lugar, los generadores son dispositivos peligrosos.

El método pasivo para garantizar la protección de la información confidencial aumenta significativamente la seguridad ambiental del lugar de trabajo del usuario, no viola los estándares de compatibilidad electrónica y garantiza condiciones operativas estándar para los componentes de la estructura SVT. La esencia de este método es la selección de materiales adecuados para proteger la fuente de radiación: SVT. El blindaje en sí consiste en la aplicación de materiales especiales a la superficie interior de la vivienda existente. SVT en versión protegida incluye la selección adecuada de componentes, montaje sin conductores innecesarios, que son antenas. Aquí vale la pena prestar atención a los productos de ZAO «Nienschanz-Zashchita», que produce y suministra SVT protegidos contra la fuga de información a través de canales técnicos. La tecnología desarrollada basada en métodos pasivos hizo posible proteger la información a través de canales técnicos en la computadora Flagman-Z sin medios técnicos adicionales.

Los principios declarados de construir sistemas distribuidos nos permiten resolver el problema del procesamiento seguro de datos. Vale la pena señalar que sólo un enfoque integrado permite resolver este problema en las condiciones reales de funcionamiento de las empresas y, en particular, hace que la protección de la información sea más duradera y confiable.

Literatura

1. Gerasimenko V.A. Problemas de protección de datos en los sistemas de procesamiento de datos//Foreign Radio Electronics, 1989, No. 12, págs. 5 – 21
2. Ley de la Federación de Rusia «Sobre secretos de Estado»
3. Ley de la Federación de Rusia &# 171;Sobre la información, la informatización y la protección de la información»

    Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
    Принять