Hardware e software para segurança de informações corporativas. Medidas de proteção de hardware para informações em um computador de escritório local Medidas de proteção de hardware para sistemas de informação

Métodos e meios técnicos e de engenharia de segurança da informação

Proteção contra acesso não autorizado ao sistema de informação

Existem os seguintes tipos de métodos para proteger informações contra acesso não autorizado a um sistema de informação:

1. Disponibilização de um sistema de acesso multinível à informação em sistemas de informação automatizados;

2. Autenticação de usuários CS.

Autenticação de usuário baseada em senhas e modelo de handshake

· Autenticação de usuários com base em suas características biométricas

· Autenticação de usuários pela caligrafia do teclado e caligrafia do mouse

3. Proteção de informações de hardware e software contra acesso local não autorizado;

4. Proteção de informações contra acesso não autorizado em sistemas operacionais (SO);

5. Métodos criptográficos e meios de garantir a segurança da informação.

As atividades realizadas para proteger as informações são divididas em:

1. Organizacional, que inclui medidas organizacionais, técnicas e organizacionais e legais realizadas no processo de criação e operação do CS para garantir a segurança da informação. Essas atividades deverão ser realizadas durante a construção ou reforma das instalações onde ficará instalada a estação compressora; projeto de sistemas, instalação e ajuste de seu hardware e software; testar e verificar o desempenho do CS.

2. Engenharia e meios técnicos de segurança da informação

3. Métodos e meios de software e hardware-software para garantir a segurança da informação

Meios técnicos e de engenharia de segurança da informação significam objetos físicos, dispositivos mecânicos, elétricos e eletrônicos, elementos estruturais de edifícios, meios de extinção de incêndio e outros meios que garantam:

Proteção do território e instalações da estação compressora contra intrusos;

Proteção de hardware CS e mídia de armazenamento contra roubo;

Prevenir a possibilidade de videovigilância remota (fora da área protegida) (espionagem) do trabalho do pessoal e do funcionamento dos meios técnicos do CS;

Prevenir a possibilidade de interceptação de PEMIN causada pela operação de meios técnicos do CS e linhas de dados;

Organização do acesso às dependências da estação compressora dos funcionários;

Controle da jornada de trabalho do pessoal do CS;

Controle da movimentação dos colaboradores do CS nas diversas áreas produtivas;

Proteção contra incêndio nas instalações das estações de compressão;

Minimizar os danos materiais decorrentes da perda de informações resultantes de desastres naturais e acidentes provocados pelo homem.

A componente mais importante dos meios técnicos e de engenharia de protecção da informação são os meios técnicos de segurança, que constituem a primeira linha de protecção do CS e são uma condição necessária mas insuficiente para a manutenção da confidencialidade e integridade da informação no CS.



Os recursos de segurança da informação de hardware incluem dispositivos eletrônicos e eletromecânicos incluídos nos meios técnicos do sistema informático e que desempenham (de forma independente ou em conjunto com software) algumas funções de garantia da segurança da informação. O critério para classificar um dispositivo como hardware e não como meio de proteção de engenharia é a sua inclusão obrigatória na composição dos meios técnicos do CS.

As principais ferramentas de proteção de informações de hardware incluem:

Dispositivos para inserção de informações de identificação do usuário (cartões magnéticos e plásticos, impressões digitais, etc.);

Dispositivos para criptografar informações;

Dispositivos para impedir a ativação não autorizada de estações de trabalho e servidores (travas e intertravamentos eletrônicos).

Exemplos de hardware auxiliar de segurança da informação:

Dispositivos para destruição de informações em suportes magnéticos;

Dispositivos de alarme sobre tentativas de ações não autorizadas por usuários de CS, etc.

A segurança da informação de hardware é um conjunto de ferramentas para proteger a segurança da informação e dos sistemas de informação, que são implementadas ao nível do hardware. Estes componentes são indispensáveis ​​no conceito de segurança dos sistemas de informação, mas os desenvolvedores de hardware preferem deixar a questão da segurança para os programadores.

Ferramentas de segurança da informação: história da criação do modelo

O problema da proteção tornou-se objeto de consideração por um grande número de empresas globais. A questão não deixou a Intel, que desenvolveu o sistema 432, sem interesse. Mas as circunstâncias que surgiram levaram este projeto ao fracasso, por isso o sistema 432 não ganhou popularidade. Existe a opinião de que este motivo serviu de base para que outras empresas não tenham tentado implementar este projeto.

Foi a criação da base computacional Elbrus-1 que resolveu o problema de hardware. O projeto de computação Elbrus-1 foi criado por um grupo de desenvolvedores soviéticos. Eles introduziram a ideia fundamental de controle de tipo, que é utilizado em todos os níveis dos sistemas de informação. O desenvolvimento tornou-se popularmente usado no nível de hardware. A base computacional Elbrus-1 foi implementada sistematicamente. Muitos acreditam que foi esta abordagem que garantiu o sucesso dos desenvolvedores soviéticos.

O vídeo contém materiais interessantes sobre sistemas de segurança da informação:

Modelo generalizado de um sistema de segurança da informação

Os criadores do Elbrus-1 introduziram seu próprio modelo de proteção de sistemas de informação no desenvolvimento. Ela parecia assim.

O próprio sistema de informação pode ser representado como uma espécie de espaço de informação capaz de atender e processar o dispositivo.

O sistema computacional é do tipo modular, ou seja, o processo é dividido em diversos blocos (módulos), que se localizam em todo o espaço do sistema de informação. O desenho do método de desenvolvimento é muito complexo, mas pode ser apresentado de forma geral: um dispositivo que está em processamento do programa é capaz de fazer solicitações ao espaço de informação, lê-lo e editá-lo.

Para se ter uma ideia clara do que estamos falando é necessário fazer as seguintes definições:

  • Um nó é um local separado de informações de volume arbitrário com um link anexado a ele, que é indicado pelo dispositivo de processamento;
  • Endereço é um caminho que armazena informações e tem acesso a elas para edição. O objetivo do sistema é fornecer controle sobre os links utilizados, que estão sob controle das operações. Deve haver uma proibição de utilização de outros tipos de dados. A finalidade do sistema também prevê a condição de que o endereço suporte a restrição de modificações em operações com argumentos de outros tipos;
  • Contexto do programa – conjunto de dados que está disponível para cálculos em modo bloco (modo modular);
  • Conceitos básicos e funcionalidades em modelos de segurança da informação de hardware.

Primeiro, você deve criar um nó de tamanho arbitrário que armazenará os dados. Depois que um nó de volume arbitrário aparecer, o novo nó deverá ser semelhante à seguinte descrição:

  • O nó deve estar vazio;
  • O nó deve permitir acesso a apenas um dispositivo de processamento através do link especificado.

Removendo um nó:

  • Deve ocorrer uma interrupção ao tentar acessar um host remoto.
  • Substituição de contexto ou edição de procedimento realizada por dispositivo de processamento.

O contexto resultante tem a seguinte composição:

  • O contexto contém variáveis ​​globais que foram passadas por referência do contexto anterior;
  • Parte dos parâmetros que foram transferidos por cópia;
  • Dados da rede local que aparecem no módulo criado.

Regras básicas segundo as quais os métodos de troca de contexto devem ser implementados:

  • Autenticação do contexto adicionado (por exemplo, um endereço único que permite saltar entre contextos);
  • A própria transição de contexto (a execução do código existente após uma transição de contexto é impossível, respectivamente, com direitos de segurança);
  • Processos para gerar um link ou outro esquema para autenticação e transição de contexto.

Estas operações podem ser realizadas de diversas formas (mesmo sem links únicos), mas os princípios de implementação devem ser obrigatórios:

  • O ponto de entrada para um contexto é determinado diretamente dentro de um determinado contexto;
  • Tais informações estão abertas à visibilidade para outros contextos;
  • O código-fonte e o próprio contexto alternam de forma síncrona;
  • Ferramentas de segurança da informação: estudando o modelo.

A base é caracterizada pelos seguintes recursos:

  • A proteção de hardware é baseada nos seguintes conceitos fundamentais:
    • Um módulo é o único componente do modelo de segurança da informação que tem acesso ao nó se for o seu criador (o nó pode ser acessível a outros componentes do modelo se o módulo envolver transferência voluntária de informações);
    • A coleta de dados das informações abertas ao módulo está sempre sob o controle do contexto;
  • A proteção atual é baseada em princípios bastante rígidos, mas não interfere no trabalho e nas capacidades do programador. Alguns módulos podem funcionar simultaneamente se não se sobrepuserem ou interferirem entre si. Tais módulos são capazes de transmitir informações entre si. Para transferir dados, cada módulo deve conter um endereço de comutação para outro contexto.
  • O conceito desenvolvido é universal, pois facilita o trabalho no sistema. O controle estrito sobre os tipos contribui para a correção de erros de alta qualidade. Por exemplo, qualquer tentativa de alterar o endereço implica uma interrupção instantânea de hardware no local do erro. Consequentemente, o erro é fácil de encontrar e pode ser corrigido rapidamente.
  • A modularidade na programação é garantida. Um programa construído incorretamente não interfere no trabalho de outras pessoas. Um módulo inutilizável só pode produzir erros encontrados nos resultados.
  • Para trabalhar no sistema, o programador não precisa fazer nenhum esforço adicional. Além disso, ao compilar um programa baseado em tal modelo, não é mais necessário fornecer direitos de acesso e métodos para transferi-los.

Proteção de hardware: estudando a arquitetura Elbrus

No conceito do modelo Elbrus, uma implementação importante é que para cada palavra na memória exista uma tag correspondente, que serve para uma distinção qualitativa entre os tipos.

Trabalhar com o endereço é o seguinte. Um endereço contém uma descrição detalhada de alguma área a que se refere e também possui um conjunto específico de direitos de acesso. Em outras palavras, é um descritor. Ele armazena todas as informações sobre o endereço e a quantidade de dados.

O descritor possui os seguintes formatos:

  • Manipulação de objetos;
  • Alça de matriz.

O identificador de objetos é indispensável no trabalho de OOP (Programação Orientada a Objetos). O descritor possui modificadores de acesso que são privados, públicos e protegidos. De acordo com a norma, sempre haverá uma área pública, ela estará disponível para visibilidade e utilização por todos os componentes do código-fonte. A área de dados privados fica visível se o registro auditado tiver dado permissão para fazê-lo.

Ao acessar uma célula de memória específica, é feita uma verificação para determinar se o endereço está correto.

Operações básicas ao trabalhar com um endereço:

  • Indexação (determinação do endereço de um componente do array);
  • Processo de operação CAST para manipuladores de objetos (modulação para a classe principal);
  • Compactação (o processo de eliminação de um endereço que continha um caminho para a memória remota).

Ferramentas de segurança da informação: métodos de trabalho com contextos

Um contexto modular é estruturado a partir de dados armazenados em RAM (memória de acesso aleatório, ou memória de acesso aleatório) e emitidos como endereço para um registrador de um processo específico.

A transição entre contextos é o processo de chamar ou retornar um procedimento. Quando o processo do módulo de contexto original é iniciado, ele é salvo e, quando um novo é iniciado, ele é criado. Ao sair do procedimento, o contexto é excluído.

Qual é o processo de pilha segura?

O modelo Elbrus utiliza um mecanismo de pilha especial, que serve para melhorar o desempenho ao alocar memória para dados locais. Esta implementação separa três categorias principais de dados da pilha, que são classificados por funcionalidade e modificação de acesso em relação ao usuário.

  • Formatos, dados da representação local, bem como valores intermediários de processos que são colocados no procedimento de pilha;
  • Formatos e processos locais armazenados na pilha, que serve como memória do usuário;
  • Conectando informações que possuem uma descrição de um processo passado (em execução) na pilha de procedimentos.

A pilha de procedimentos foi projetada para funcionar com dados armazenados em registros operacionais. É normal que cada procedimento funcione em sua própria janela. Essas janelas podem se sobrepor a parâmetros previamente definidos. O usuário só poderá consultar os dados na janela em utilização, que está localizada no registro operacional.

A pilha do usuário é utilizada para trabalhar com dados que podem ser movidos para a memória de acordo com a necessidade do usuário.

A pilha que conecta as informações é projetada para acomodar informações sobre o procedimento anterior (chamado anteriormente) e aplicável no retorno. Quando a condição de programação segura é atendida, o usuário fica limitado no acesso às alterações de informações. Portanto, existe uma pilha especial que pode ser manipulada pelo hardware e pelo próprio sistema operacional. A pilha de informações de conexão é construída com base no mesmo princípio da pilha de procedimentos.

Há memória virtual na pilha e ela tende a mudar de finalidade, por isso surge o problema da segurança dos dados. Esta questão tem 2 aspectos:

  • Reatribuição de memória (alocação de memória para espaço liberado): aqui na maioria das vezes existem endereços que não estão mais disponíveis para o módulo;
  • Ponteiros congelados (endereços de usuários antigos).

O primeiro aspecto do problema é corrigido pela limpeza automática da memória reatribuída. O conceito de encontrar o caminho correto no segundo caso é o seguinte: ponteiros para o quadro atual podem ser armazenados apenas no quadro em uso ou enviados como parâmetro para o processo chamado (ou seja, passados ​​​​para a pilha superior). Portanto, os ponteiros não podem ser gravados na área de dados global, passados ​​como valor de retorno e também não podem ser gravados na profundidade da própria pilha.

O vídeo descreve ferramentas modernas de segurança da informação:

Meios de segurança da informação são toda a linha de dispositivos e dispositivos de engenharia, elétricos, eletrônicos, ópticos e outros, instrumentos e sistemas técnicos, bem como outros produtos utilizados para solucionar diversos problemas de proteção da informação, inclusive prevenindo vazamentos e garantindo a segurança do protegido Informação.

Em geral, as medidas de segurança da informação em termos de prevenção de ações intencionais, dependendo do método de implementação, podem ser divididas em grupos:

Meios técnicos (hardware) de proteção de informações. São dispositivos de vários tipos (mecânicos, eletromecânicos, eletrônicos, etc.), que ao nível do equipamento resolvem problemas de segurança da informação, por exemplo, uma tarefa como proteger uma sala contra espionagem. Eles impedem a penetração física ou, se ocorrer penetração, impedem o acesso aos dados, inclusive por meio de mascaramento de dados. A primeira parte da tarefa é fornecida por fechaduras, grades de janelas, alarmes de segurança, etc. A segunda parte é fornecida por geradores de ruído, protetores contra surtos, rádios de varredura e muitos outros dispositivos que “bloqueiam” potenciais canais de vazamento de informações (protegendo uma sala de espionagem) ou permitir que sejam detectados.

As ferramentas de segurança da informação de software e hardware incluem programas para identificação do usuário, controle de acesso, criptografia de informações, remoção de informações residuais (funcionais), como arquivos temporários, controle de teste do sistema de segurança, etc.

Ferramentas mistas de segurança da informação de hardware e software implementam as mesmas funções que hardware e software separadamente e possuem propriedades intermediárias, como proteger as instalações contra espionagem.

Os meios organizacionais de proteção da informação consistem em organizacionais e técnicos (preparação de instalações com computadores, instalação de um sistema de cabos, tendo em conta os requisitos para limitar o acesso ao mesmo, etc.) e organizacionais e legais (legislação nacional e regras de trabalho estabelecidas pela gestão de uma determinada empresa).

A proteção da informação técnica como parte de um sistema de segurança abrangente determina em grande parte o sucesso dos negócios. A principal tarefa da segurança técnica da informação é identificar e bloquear canais de vazamento de informações (canal de rádio, PEMIN, canais acústicos, canais ópticos, etc.). A resolução dos problemas de segurança técnica da informação exige a presença de especialistas na área da segurança da informação e dotar os departamentos de equipamentos especiais para detecção e bloqueio de canais de fuga. A escolha de equipamentos especiais para solução de problemas técnicos de segurança da informação é determinada com base na análise das prováveis ​​ameaças e do grau de segurança do objeto.

Os bloqueadores de comunicação celular (bloqueadores de telefone celular), coloquialmente chamados de bloqueadores de telefone celular, são um meio eficaz de combater o vazamento de informações por meio de um canal de comunicação celular. Os bloqueadores de telefones celulares funcionam segundo o princípio de suprimir o canal de rádio entre o aparelho e a base. O bloqueador de vazamento de informações técnicas opera na faixa do canal suprimido. Os bloqueadores de telefones celulares são classificados de acordo com o padrão de comunicação suprimida (AMPS/N-AMPS, NMT, TACS, GSM900/1800, CDMA, IDEN, TDMA, UMTS, DECT, 3G, universal), potência de radiação e dimensões. Via de regra, na determinação da potência irradiada dos bloqueadores de celulares, a segurança das pessoas na área protegida é levada em consideração, de forma que o raio de supressão efetiva varia de vários metros a várias dezenas de metros. O uso de bloqueadores de comunicação celular deve ser rigorosamente regulamentado, pois pode gerar transtornos a terceiros.

Para evitar as ameaças acima, existem várias maneiras de proteger as informações. Além das formas naturais de identificar e eliminar as causas em tempo hábil, os seguintes métodos especiais são usados ​​​​para proteger as informações contra mau funcionamento de sistemas de computador:

    introdução de informação estrutural, temporal e redundância funcional de recursos informáticos;

    proteção contra uso incorreto de recursos de sistemas de computador;

    identificação e eliminação oportuna de erros na fase de desenvolvimento de software e hardware.

A redundância estrutural dos recursos do computador é alcançada através da redundância dos componentes de hardware e da mídia da máquina. Organizar a substituição de componentes com falha e reposição oportuna de componentes de reserva. A redundância estrutural constitui a base. A redundância de informações é introduzida por meio de backup periódico ou contínuo de dados em segundo plano. Na mídia primária e de backup. O backup de dados garante a restauração de destruição ou distorção acidental ou intencional de informações. Para restaurar a funcionalidade de uma rede de computadores após a ocorrência de uma falha permanente, além de fazer backup dos dados regulares, portanto, faça backup das informações do sistema com antecedência. A redundância funcional dos recursos do computador é alcançada duplicando funções ou introduzindo funções adicionais em recursos de software e hardware. Por exemplo, testes e recuperação periódicos, autoteste e autocorreção de componentes do sistema.

Proteção contra o uso incorreto dos recursos do sistema computacional, contida no correto funcionamento do software do ponto de vista da utilização dos recursos do sistema computacional, o programa pode executar suas funções de forma clara e oportuna, mas não utilizar corretamente os recursos do computador. Por exemplo, isolando seções de RAM para o sistema operacional de programas aplicativos e protegendo áreas do sistema em mídia externa.

A identificação e eliminação de erros no desenvolvimento de software e hardware são alcançadas através da implementação de alta qualidade das etapas básicas de desenvolvimento com base em uma análise sistêmica do conceito de design e implementação do projeto. No entanto, o principal tipo de ameaças à integridade e confidencialidade das informações são as ameaças intencionais. Eles podem ser divididos em 2 grupos:

    ameaças que se concretizam com a participação humana constante;

    depois que o invasor desenvolve os programas de computador apropriados, ele é executado por esses programas sem intervenção humana.

As tarefas de proteção contra ameaças de cada tipo são as mesmas:

    proibição de acesso não autorizado aos recursos;

    impossibilidade de uso não autorizado de recursos no acesso;

    detecção oportuna de acesso não autorizado. Eliminação de suas causas e consequências.

2.2 Segurança da informação de hardware

Meios de segurança da informação - um conjunto de dispositivos e dispositivos de engenharia, elétricos, eletrônicos, ópticos e outros, instrumentos e sistemas técnicos, bem como outros elementos materiais utilizados para resolver diversos problemas de proteção da informação, incluindo a prevenção de vazamentos e a garantia da segurança das informações protegidas .

Os meios de garantir a segurança da informação no sentido de prevenir ações intencionais, dependendo da forma de implementação, podem ser divididos em grupos:

    hardware;

    Programas;

    hardware e software mistos;

    meios organizacionais;

    criptografia de dados;

    confidencialidade.

Vamos dar uma olhada mais de perto no hardware de segurança da informação.

Hardware – meio técnico utilizado para processamento de dados.

A proteção de hardware inclui vários dispositivos eletrônicos, eletro-mecânicos e eletro-ópticos. Até o momento, um número significativo de dispositivos de hardware para diversos fins foi desenvolvido, mas os mais difundidos são os seguintes:

    registos especiais para armazenamento de dados de segurança: palavras-passe, códigos de identificação, carimbos ou níveis de segurança;

    geradores de código concebidos para gerar automaticamente um código de identificação de dispositivo;

    dispositivos para medir características individuais de uma pessoa (voz, impressões digitais) para efeitos de identificação;

    bits especiais de privacidade, cujo valor determina o nível de privacidade das informações armazenadas na memória a que pertencem esses bits.

Circuitos para interrupção da transmissão de informações em uma linha de comunicação com a finalidade de verificar periodicamente o endereço de saída dos dados. Um grupo especial e mais amplamente utilizado de dispositivos de segurança de hardware são os dispositivos para criptografar informações (métodos criptográficos). No caso mais simples, placas de rede e um cabo são suficientes para operar a rede. Se precisar criar uma rede bastante complexa, você precisará de equipamento de rede especial.

O hardware de segurança do sistema operacional é tradicionalmente entendido como um conjunto de ferramentas e métodos usados ​​para resolver os seguintes problemas:

    gerenciamento de RAM e memória virtual de computador;

    distribuição do tempo do processador entre tarefas em um sistema operacional multitarefa;

    sincronizar a execução de tarefas paralelas em um sistema operacional multitarefa;

    garantindo acesso compartilhado de tarefas aos recursos do sistema operacional.

As tarefas listadas são amplamente resolvidas usando funções de processadores implementadas em hardware e outros componentes do computador. No entanto, via de regra, ferramentas de software também são utilizadas para resolver esses problemas e, portanto, os termos “proteção de hardware” e “proteção de hardware” não são totalmente corretos. No entanto, uma vez que estes termos são geralmente aceites, iremos utilizá-los.

Os dispositivos de proteção criptográfica de hardware são, na verdade, o mesmo PGP, implementado apenas no nível do hardware. Normalmente, esses dispositivos são placas, módulos e até sistemas separados que executam vários algoritmos de criptografia em tempo real. As chaves neste caso também são “duras”: na maioria das vezes são cartões inteligentes ou identificadores TouchMemory (iButton). As chaves são carregadas diretamente nos dispositivos, contornando a memória e o barramento do sistema do computador (o leitor é montado no próprio dispositivo), o que elimina a possibilidade de sua interceptação. Esses criptografadores autossuficientes são usados ​​tanto para codificar dados em sistemas fechados quanto para transmitir informações por canais de comunicação abertos. Em particular, o sistema de proteção KRYPTON-LOCK, produzido pela empresa Zelenograd ANKAD, funciona com base neste princípio. Esta placa, instalada em um slot PCI, permite distribuir os recursos do computador em um nível baixo, dependendo do valor da chave inserido antes da placa-mãe carregar o BIOS. É a chave inserida que determina toda a configuração do sistema - quais discos ou partições de disco estarão acessíveis, qual sistema operacional será inicializado, quais canais de comunicação estarão à nossa disposição e assim por diante. Outro exemplo de hardware criptográfico é o sistema GRIM-DISK, que protege as informações armazenadas em um disco rígido com interface IDE. A placa do codificador junto com o drive é colocada em um recipiente removível (apenas os circuitos de interface são montados em uma placa separada instalada no slot PCI). Isso reduz a probabilidade de as informações serem interceptadas pelo ar ou de outra forma. Além disso, se necessário, o dispositivo protegido pode ser facilmente removido do carro e guardado no cofre. O leitor de chave iButton está integrado no contêiner do dispositivo. Depois de ligar o computador, o acesso ao disco ou a qualquer partição do disco só pode ser obtido carregando a chave no dispositivo de criptografia.

Proteção de informações contra vazamentos através de canais de radiação eletromagnética. Mesmo a configuração competente e o uso de software e hardware adicionais, incluindo ferramentas de identificação e sistemas de criptografia mencionados acima, não são capazes de nos proteger completamente da distribuição não autorizada de informações importantes. Existe um canal de vazamento de dados que muitas pessoas nem conhecem. A operação de qualquer dispositivo eletrônico é acompanhada por radiação eletromagnética. E a tecnologia da informática não foge à regra: mesmo a uma distância muito significativa da eletrônica, não será difícil para um especialista bem treinado, utilizando meios técnicos modernos, interceptar a interferência gerada pelo seu equipamento e isolar deles um sinal útil. A fonte de radiação eletromagnética (EMR), via de regra, são os próprios computadores, elementos ativos de redes locais e cabos. Conclui-se que o aterramento executado corretamente pode ser considerado uma espécie de sistema de segurança da informação “de ferro”. O próximo passo é blindar as instalações, instalar equipamentos de rede ativa em gabinetes blindados e utilizar computadores especiais totalmente radioselados (com caixas feitas de materiais especiais que absorvem radiação eletromagnética e escudos de proteção adicionais). Além disso, em tais complexos é obrigatório o uso de filtros de rede e cabos com blindagem dupla. Claro, neste caso você terá que esquecer os conjuntos de teclado e mouse de rádio, adaptadores de rede sem fio e outras interfaces de rádio. Se os dados processados ​​​​forem ultrassecretos, além da vedação completa do rádio, também são utilizados geradores de ruído. Esses dispositivos eletrônicos mascaram emissões parasitas de computadores e equipamentos periféricos, criando interferência de rádio em uma ampla faixa de frequências. Existem geradores que podem não apenas emitir esse ruído no ar, mas também adicioná-lo à rede de alimentação para evitar vazamento de informações através de tomadas de rede comuns, às vezes usadas como canal de comunicação.

Ao entrar online e organizar o acesso aos seus servidores, uma instituição na verdade abre alguns recursos da sua própria rede para o mundo inteiro, tornando-a acessível à penetração não autorizada. Para se proteger contra essa ameaça, geralmente são instalados sistemas especiais entre a rede interna de uma organização e a Internet - firewalls de hardware e software (firewalls). No caso mais simples, um roteador de filtragem pode servir como firewall. Porém, para criar redes altamente confiáveis, essa medida não é suficiente, sendo então necessário utilizar o método de divisão física das redes em abertas (para acesso à Internet) e fechadas (corporativas). Esta solução tem duas desvantagens graves. Em primeiro lugar, os funcionários cujo trabalho exige acesso a ambas as redes têm de instalar um segundo PC no seu local de trabalho. Como resultado, a área de trabalho se transforma no console do operador do centro de controle de vôo ou controlador de tráfego aéreo. Em segundo lugar, e isto é o principal, é necessário construir duas redes, o que significa custos financeiros adicionais consideráveis ​​e dificuldades em garantir a protecção contra EMI (afinal, os cabos de ambas as redes têm de ser encaminhados através de comunicações comuns). Se você tiver que enfrentar o segundo problema, eliminar a primeira desvantagem é bastante simples: como uma pessoa não consegue trabalhar em dois computadores separados ao mesmo tempo, é necessário organizar uma estação de trabalho automatizada especial (AWS), que assume a natureza de sessão do trabalho em ambas as redes. Esse local de trabalho é um computador comum equipado com um dispositivo de controle de acesso (ACD), que possui um switch de rede localizado no painel frontal da unidade de sistema. É ao dispositivo de acesso que os discos rígidos do computador estão conectados. Cada sessão de trabalho é controlada por seu próprio sistema operacional, carregado a partir de um disco rígido separado. O acesso a unidades que não estão envolvidas na sessão atual é completamente bloqueado ao alternar entre redes.

Não há proteção de dados mais confiável do que a sua destruição completa. Mas destruir a informação digital não é tão fácil. Além disso, há momentos em que você precisa se livrar dele instantaneamente. O primeiro problema pode ser resolvido destruindo completamente o transportador. É precisamente por isso que vários recicladores foram inventados. Algumas delas funcionam exatamente como trituradoras de escritório (trituradoras de papel), triturando mecanicamente disquetes, cartões magnéticos e eletrônicos, CDs e DVDs. Outros são fornos especiais nos quais qualquer mídia, inclusive discos rígidos, é destruída sob a influência de altas temperaturas ou radiação ionizante. Assim, as instalações de arco elétrico e de indução elétrica podem aquecer o transportador a uma temperatura de 1000-1200 K (aproximadamente 730-930 °C) e em combinação com ação química, por exemplo, usando síntese autopropagada de alta temperatura (SHS), aquecimento rápido é fornecido até 3.000 K. Depois Se a mídia for exposta a tais temperaturas, será impossível restaurar as informações nela contidas. Para a destruição automática de dados, são utilizados módulos especiais que podem ser integrados à unidade do sistema ou executados como um dispositivo externo com dispositivos de armazenamento de informações instalados nele. O comando para destruir completamente os dados de tais dispositivos geralmente é dado remotamente a partir de um chaveiro especial ou de quaisquer sensores que possam monitorar facilmente tanto a intrusão nas instalações quanto o acesso não autorizado ao dispositivo, seu movimento ou uma tentativa de desligar a energia. As informações nesses casos são destruídas de duas maneiras:

    destruição física da unidade (geralmente por meios químicos)

    apagando informações em áreas de serviço de discos.

Você pode restaurar a funcionalidade das unidades após a destruição das áreas de serviço usando equipamentos especiais, mas os dados serão perdidos para sempre. Esses dispositivos estão disponíveis em várias versões - para servidores, sistemas desktop e laptops. Existem também modificações especiais desenvolvidas para o Ministério da Defesa: são sistemas totalmente autônomos, com maior proteção e garantia absoluta de funcionamento. A maior desvantagem de tais sistemas é a impossibilidade de seguro absoluto contra operação acidental. Você pode imaginar qual será o efeito se, por exemplo, um cidadão realizando manutenção abrir a unidade do sistema ou desconectar o cabo do monitor, esquecendo de travar o dispositivo de segurança.

Os métodos de proteção de hardware incluem diferentes dispositivos baseados no princípio de operação e projetos técnicos que implementam proteção contra divulgação, vazamento e acesso não autorizado a fontes de informação. Essas ferramentas são usadas para as seguintes tarefas:

  • Detectando linhas de vazamento de dados em diferentes salas e objetos
  • Implementação de estudos estatísticos especiais de métodos técnicos de garantia de atividades para a presença de linhas de vazamento
  • Localização de linhas de vazamento de dados
  • Contra-ação à não conformidade com fontes de dados
  • busca e detecção de vestígios de espionagem

O hardware pode ser classificado por funcionalidade em detecção, medição, busca, contramedidas passivas e ativas. Além disso, os fundos podem ser divididos pela facilidade de uso. Os desenvolvedores de dispositivos estão tentando simplificar cada vez mais o princípio de trabalhar com um dispositivo para usuários comuns. Por exemplo, um grupo de indicadores de radiação eletromagnética do tipo IP, que possuem uma ampla gama de sinais de entrada e baixa sensibilidade. Ou um complexo de identificação e localização de marcadores de rádio, projetados para detectar e localizar transmissores de rádio, marcadores telefônicos ou transmissores de rede. Ou um complexo Delta implementa:

  • localização automática de microfones em uma determinada sala
  • Detecção precisa de quaisquer microfones de rádio disponíveis comercialmente e outros transmissores emissores.

O hardware de pesquisa pode ser dividido em métodos para coletar dados e examinar linhas de vazamento. Os dispositivos do primeiro tipo são configurados para localizar e pesquisar ferramentas NSD já implementadas, e o segundo tipo é configurado para identificar linhas de vazamento de dados. Para usar equipamentos de pesquisa profissionais você precisa de um usuário altamente qualificado. Como em qualquer outra área da tecnologia, a versatilidade do dispositivo leva à redução de seus parâmetros individuais. De outro ponto de vista, existem muitas linhas diferentes de vazamento de dados devido à sua natureza física. Mas as grandes empresas podem adquirir equipamento profissional caro e funcionários qualificados para estas questões. E naturalmente, esse hardware funcionará melhor em condições reais, ou seja, identificará canais de vazamento. Mas isso não significa que você não deva usar ferramentas de pesquisa simples e baratas. Essas ferramentas são fáceis de usar e funcionarão igualmente bem em tarefas altamente especializadas.

O hardware pode ser aplicado a partes individuais do computador, ao processador, RAM, memória externa, controladores de entrada/saída, terminais, etc. Para proteger os processadores, o backup de código é implementado - esta é a criação de bits adicionais nas instruções da máquina e bits de reserva nos registros do processador. Para proteger a RAM, são implementadas restrições de acesso a limites e campos. Para indicar o nível de confidencialidade de programas ou informações, são utilizados bits de confidencialidade adicionais com a ajuda dos quais os programas e informações são codificados. Os dados na RAM requerem proteção contra acesso não autorizado. A partir da leitura das informações restantes após processá-las na RAM, é utilizado um circuito de apagamento. Este circuito escreve uma sequência diferente de caracteres em todo o bloco de memória. Para identificar o terminal, é utilizado um determinado gerador de código, que é conectado ao equipamento terminal e é verificado quando conectado.

Os métodos de proteção de dados de hardware são vários dispositivos e estruturas técnicas que protegem as informações contra vazamento, divulgação e acesso não autorizado.

Mecanismos de proteção de software

Os sistemas para proteger uma estação de trabalho contra intrusões de um invasor variam muito e são classificados:

  • Métodos de proteção no próprio sistema de computação
  • Métodos de proteção pessoal descritos pelo software
  • Métodos de proteção com solicitação de dados
  • Métodos de proteção ativa/passiva

Detalhes sobre esta classificação podem ser vistos na Figura 1.

Imagem 1

Instruções para implementar proteção de informações de software

Instruções usadas para implementar a segurança da informação:

  • proteção contra cópia
  • proteção contra NSD
  • proteção contra o vírus
  • proteção de linha de comunicação

Para cada uma das áreas, você pode usar muitos produtos de software de alta qualidade disponíveis no mercado. Além disso, o Software pode ter funcionalidades diferentes:

  • Acompanhamento do funcionamento e registo de utilizadores e equipamentos técnicos
  • Identificação de hardware, usuários e arquivos existentes
  • Proteção de recursos operacionais de computador e programas de usuário
  • Serviços para vários modos de processamento de dados
  • Destruição de dados após seu uso em elementos do sistema
  • Alarme em caso de violações
  • Programas adicionais para outros fins

As áreas de proteção de software são divididas em Proteção de Dados (preservação da integridade/confidencialidade) e Proteção de Programas (implementação da qualidade do processamento da informação, que é segredo comercial, mais vulnerável a um invasor). A identificação de arquivos e hardware é implementada de forma programática; o algoritmo é baseado na inspeção dos números de registro de vários componentes do sistema; Um excelente método para identificar elementos endereçáveis ​​é um algoritmo do tipo solicitação-resposta. Para diferenciar as solicitações de diferentes usuários para diferentes categorias de informações, são utilizados meios individuais de sigilo de recursos e controle pessoal de acesso a eles pelos usuários. Se, por exemplo, o mesmo arquivo puder ser editado por diferentes usuários, várias opções serão salvas para análise posterior.

Proteção de informações contra acesso não autorizado

Para implementar a proteção contra intrusões, você precisa implementar as seguintes funções básicas de software:

  • Identificação de objetos e assuntos
  • Cadastro e controle de ações com programas e ações
  • Restringindo o acesso aos recursos do sistema

Os procedimentos de identificação envolvem verificar se o sujeito que tenta obter acesso aos recursos é quem afirma ser. Essas verificações podem ser periódicas ou únicas. Para identificação, os seguintes métodos são frequentemente usados ​​em tais procedimentos:

  • senhas complexas, simples ou de uso único;
  • crachás, chaves, fichas;
  • identificadores especiais para equipamentos, dados, programas;
  • métodos de análise de características individuais (voz, dedos, mãos, rostos).

A prática mostra que a proteção por senha é um elo fraco, pois na prática ela pode ser espionada, espionada ou adivinhada. Para criar uma senha complexa, você pode ler estas diretrizes. O objeto ao qual o acesso é cuidadosamente controlado pode ser um registro em um arquivo, o próprio arquivo ou um único campo em um registro de arquivo. Normalmente, muitas ferramentas de controle de acesso extraem dados da matriz de acesso. Você também pode abordar o controle de acesso baseado no controle dos canais de informação e na divisão de objetos e assuntos de acesso em classes. Um conjunto de soluções de software e hardware para segurança de dados digitais é implementado pelas seguintes ações:

  • contabilidade e registro
  • controle de acesso
  • venda de fundos

Você também pode observar as formas de controle de acesso:

  • Prevenção de acesso:
      • para seções individuais
      • para o disco rígido
      • para catálogos
      • para arquivos individuais

    para mídia de armazenamento removível

  • proteção contra modificação:
    • catálogos
    • arquivos
  • Configurando privilégios de acesso a um grupo de arquivos
  • Prevenção de cópia:
    • catálogos
    • arquivos
    • programas de usuário
  • Proteção contra destruição:
    • arquivos
    • catálogos
  • A tela escurece depois de um tempo.

Os meios gerais de proteção contra NSD são mostrados na Fig.

Figura 2

Proteção contra cópia

Os métodos de proteção contra cópia evitam a venda de cópias roubadas de programas. Métodos de proteção contra cópia significam ferramentas que implementam funções de programa somente se houver um elemento exclusivo não copiável. Isso pode fazer parte de um computador ou de um programa aplicativo. A proteção é implementada pelas seguintes funções:

  • identificando o ambiente onde o programa é executado
  • autenticação do ambiente onde o programa é executado
  • Reação ao iniciar um programa em um ambiente não autorizado
  • Registro de cópia autorizada

Protegendo informações contra exclusão

A exclusão de dados pode ser realizada durante uma série de atividades, como recuperação, backup, atualizações, etc. Como os eventos são muito diversos, é difícil enquadrá-los nas regras. Também pode ser um vírus ou um fator humano. E embora exista uma contramedida contra o vírus, estes são os antivírus. Mas existem poucas contra-ações às ações humanas. Para reduzir os riscos decorrentes disso, há uma série de ações:

  • Informar todos os usuários sobre os danos à empresa caso tal ameaça se concretize.
  • Proibir o recebimento/abertura de produtos de software externos ao sistema de informação.
  • Execute também jogos nos PCs onde informações confidenciais são processadas.
  • Implementar arquivamento de cópias de dados e programas.
  • Verifique somas de verificação de dados e programas.
  • Implementar segurança da informação.