SYSTEM PROTECTION OF WORKSTATIONS IN THE LAN STRUCTURE
Чаус Е.А.
Аспирант, Автономная некоммерческая организация высшего образования «Российский новый университет»
СИСТЕМА ЗАЩИТЫ АВТОМАТИЗИРОВАННЫХ РАБОЧИХ МЕСТ В СТРУКТУРЕ ЛВС
Аннотация
В статье рассматриваются актуальные вопросы реализации защиты автоматизированных рабочих мест в структуре вычислительной сети, определены основные задачи и направления реализации комплексной системы защиты на уровне локальной вычислительной сети и на автономном уровне. Разработан алгоритм реализации защищенной среды для АРМ в структуре ЛВС на основе технологии «доверяемых платформенных модулей» (TPM, Trusted Platform Module), который может быть использован для повышения уровня безопасности АРМ, как структурного элемента ЛВС.
Ключевые слова: автоматизированное рабочее место (АРМ), локальная вычислительная сеть (ЛВС), комплексная система защиты, информационная безопасность, технология «доверяемых платформенных модулей» (TPM, Trusted Platform Module).
Chaus E.A.
Postgraduate student, Autonomous nonprofit organization of higher education "New Russian University"
SYSTEM PROTECTION OF WORKSTATIONS IN THE LAN STRUCTURE
Abstract
The article discusses topical issues of implementation of the protection of workstations in the structure of a computer network identified the main tasks and directions of implementation of the comprehensive protection system at the level of the local area network and on a standalone level. The algorithm implementing the protected environment to AWS in the structure of LVS based on the technology of "trusted platform modules" (TPM, Trusted Platform Module), which can be used to increase the level of security arm, as a structural element of a LAN.
Keywords: automated working place (AWP), a local area network (LAN), integrated security system, information security, technology "trusted platform modules" (TPM, Trusted Platform Module).
Постоянная и эффективная защита информационных ресурсов является обязательной составляющей комплексной системы обеспечения информационной безопасности ресурсов вычислительной сети и предполагает реализацию комплекса мероприятий от несанкционированного доступа по различным видам каналов до исключения специальных воздействий, таких как, уничтожение, искажение или блокирование доступа.
В современных условиях высокого уровня информатизации особая роль в распределении информационно-вычислительных ресурсов, а также в эффективной организации взаимодействия между участниками обмена информацией в сети, отводится автоматизированным рабочим местам (АРМ). В связи с этим наибольшую актуальность приобретает вопрос реализации эффективных мер безопасности для обеспечения высокого уровня защиты АРМ в структуре сети [5].
В качестве основных задач реализации комплексной защиты АРМ рассматриваются [2]:
- защита от полного уничтожения в результате природных и техногенных воздействий;
- предотвращение проникновения злоумышленника с целью хищения, уничтожения или изменения данных;
- предотвращение утечки информации по техническим каналам.
С целью реализации указанных задач целесообразно использовать комплекс средств защиты АРМ, который формируется на основе следующих компонентов:
- инженерные средства защиты (сооружения и устройства). Реализуют комплекс задач по предотвращению физического проникновения злоумышленников к АРМ;
- аппаратные средства защиты и программные комплексы (измерительные приборы и устройства, программно-аппаратные комплексы). Предназначены для выявления каналов утечки информации и оценки их характеристик;
- криптографические средства защиты направлены на обеспечение, конфиденциальности, целостности и подлинности информации, обрабатываемой на АРМ, а также организацию высокого уровня защиты ресурсов вычислительной сети.
С учетом указанных особенностей наиболее перспективной и эффективной является организация многоуровневой системы защиты АРМ, основными компонентами которой являются [4]:
- режимные (парольная, криптографическая проверка);
- технологические (резервное копирование, хранение и эксплуатация данных);
- системные (автоматизированная проверка полномочий и истинности пользователей, их привилегий, аудит происходящих событий).
Особенности комплексной защиты автоматизированного рабочего места в структуре локальной вычислительной сети определяют необходимость реализации мер как на уровне ЛВС, так и автономно на уровне модулей АРМ. С учетом данных требований общий алгоритм защиты автоматизированных рабочих мест реализуется на основе алгоритма, представленного на рисунке 1.
Рис. 1 – Алгоритм разработки комплексной системы защиты АРМ
Кроме основных направлений, представленных в алгоритме, основу для разработки комплексной системы защиты АРМ и повышение класса защищенности должны составлять результаты измерений и проверок с применением современных алгоритмов, методов и средств математического, программного и технического обеспечения при соблюдении следующих требований:
- высокая информативность результатов измерений;
- достижение высокой точности измерений;
- надежность методов и средств измерений;
- обеспечение повторяемости и воспроизводимости результатов;
- рациональность методики оценки защищенности АРМ.
Для реализации эффективной системы защиты АРМ целесообразно рассмотреть принципиальную схему взаимодействия модулей АРМ, на основе которой, в общем случае, производится реализация защищенной среды автономного АРМ (рис. 2) [1].
Рис. 2 - Схема взаимодействия модулей АРМ
Согласно представленной схеме при запуске BIOS:
- осуществляет проверку целостности программ в ПЗУ;
- инициализирует контроллеры устройств;
- проверяет работоспособность устройств;
- загружает резидентные программы.
По завершению указанных действий управление передается аппаратно-программному модулю доверенной загрузки (АПМДЗ), который реализует алгоритм идентификации и аутентификации, проверку целостности операционной системы (ОС) и системы разграничения доступа (СРД). По результатам действий АПМДЗ происходит возврат управления BIOS для выполнения дальнейших действий по загрузке ОС.
Одним из ключевых направлений при создании системы защиты данных является создание доверенной вычислительной среды, не имеющей не декларированных возможностей или уязвимостей, способствующих организации несанкционированного доступа к ресурсам компонент вычислительной сети [5].
Создание доверенной среды, а также с учетом реализации комплексного подхода к организации защиты АРМ предлагается реализовать криптографические операции на основе технологии «доверяемых платформенных модулей» (TPM, Trusted Platform Module), которая позволяет реализовать основные функции по обеспечению безопасности с использованием ключей шифрования.
Разработанный алгоритм предполагает, что на первоначальном этапе BIOS передает управление АПМДЗ. После идентификации и аутентификации, производится загрузка ключей в проходной шифратор жестких дисков до загрузки ОС, далее, как описано в первой части, проверка целостности ОС и СРД и другие действия АПМДЗ и затем управление возвращается в BIOS и выполняется загрузка ОС (рис. 3).
Рис. 3 – Схема взаимодействия модулей АРМ с проходным шифратором дисков
Технология TPM обеспечивает возможность хранения контрольных сумм начального загрузчика системы (boot loader), BIOS и главной загрузочной записи (master boot record), что позволяет идентифицировать АРМ, а также осуществлять проверку целостности платформы и загрузочных компонент, поэтому TPM работает как основа доверенной среды системы (рис. 4).
Рис. 4 – Схема реализации технологии TPM в системе защиты АРМ
Рассматривая работу АРМ в структуре ЛВС, место сетевого шифратора и его взаимодействие с другими компонентами АРМ можно определить схемой, представленной на рисунке 5.
Рис. 5 - Взаимодействие компонентов АРМ в структуре ЛВС
Таким образом, согласно представленной схеме, ключи в аппаратные шифраторы (сетевой и жестких дисков) загружаются до загрузки ОС напрямую через АПМДЗ. При этом используется система разграничения доступа, штатным образом работает шифратор жесткого диска. Загрузка производится с участием TPM модуля, который используется приложениями в дальнейшей работе.
Для повышения класса защищенности в представленной структуре возможно использовать дополнительно программный сетевой шифратор, который может быть встроен в драйвер аппаратного сетевого шифратора. Такой программный шифратор выполняет следующие функции (на примере продукта Crypton IP Mobile ООО «Фирма АНКАД»):
- организация виртуальных частных сетей (VPN);
- шифрование трафика по ГОСТ 28147-89 с современной ключевой схемой;
- фильтрация враждебного IP трафика; встроенная защита от подмены, навязывания, компрометации, Dos-атак и переполнения буфера;
- централизованное и децентрализованное администрирование;
- сбор и просмотр статистики по каждому туннелю; гибкая система ведения и просмотра журналов;
- совместимость с Microsoft VPN, поддержка VoIP;
- поддержка однонаправленных туннелей;
- сборка фрагментированных IP пакетов.
Разработанный алгоритм на основе криптографических операций позволяет реализовать защищенную среду для АРМ в структуре ЛВС, что является одним из основных направлений организации защищенной передачи данных и обеспечения безопасности аппаратно-программных средств сети.
Литература
- Зайцев А.П. Технические средства и методы защиты информации: учебник / А.П. Зайцев, Р.В. Мещеряков, А.А. Шелупанов. – М.: Горячая линия – Телеком, 2012. – 442 с.
- Кускова А.А. Оценка рисков информационной безопасности телекоммуникационной системы / А.А. Кускова, А.А. Шелупанов, Р.В. Мещеряков, С.С. Ерохин // Информационное противодействие угрозам терроризма. 2009. № 13. С. 90–92.
- Чаус Е.А. Особенности построения комплексных систем защиты информации в распределенных корпоративных сетях // Международный научно-исследовательский журнал «Успехи современной науки и образования». 2016. №4, Том 2. С. 107
- Чаус Е.А. Принципы построения доверенной вычислительной среды // Научно-аналитический журнал «Научная перспектива». № 4 (74). С. 128
- Шаньгин В.Ф. Комплексная защита информации в корпоративных системах. М., 2013.
References
- Zajcev A.P. Tehnicheskie sredstva i metody zashhity informacii: uchebnik / A.P. Zajcev, R.V. Meshherjakov, A.A. Shelupanov. – M.: Gorjachaja linija – Telekom, 2012. – 442 s.
- Kuskova A.A. Ocenka riskov informacionnoj bezopasnosti telekommunikacionnoj sistemy / A.A. Kuskova, A.A. Shelupanov, R.V. Meshherjakov, S.S. Erohin // Informacionnoe protivodejstvie ugrozam terrorizma. 2009. № 13. S. 90–92.
- Chaus E.A. Osobennosti postroenija kompleksnyh sistem zashhity informacii v raspredelennyh korporativnyh setjah // Mezhdunarodnyj nauchno-issledovatel'skij zhurnal «Uspehi sovremennoj nauki i obrazovanija». 2016. №4, Tom 2. S. 107
- Chaus E.A. Principy postroenija doverennoj vychislitel'noj sredy // Nauchno-analiticheskij zhurnal «Nauchnaja perspektiva». № 4 (74). S. 128
- Shan'gin V.F. Kompleksnaja zashhita informacii v korporativnyh sistemah. M., 2013.