Кратко рассмотрим основные методы защиты данных.

Управление представляет собой регулирование использования всех ресурсов системы в рамках установленного технологического цикла обработки и передачи данных, где в качестве ресурсов рассматриваются технические средства, операционные системы, программы, базы данных, элементы данных и т.п. Управление защитой данных реализует процесс целенаправленного воздействия подсистемы управления, системы обеспечения безопасности данных на средства и механизмы защиты данных и компоненты автоматизированных систем с целью обеспечения безопасности данных.

Препятствия физически преграждают нарушителю путь к защищаемым данным.

Маскировка представляет собой метод защиты данных путем их криптографического закрытия.

Регламентация как метод защиты заключается в разработке и реализации в процессе функционирования автоматизированных систем комплексов мероприятий, создающих такие условия технологического цикла обработки данных, при которых минимизируется риск несанкционированного доступа к данным. Регламентация охватывает как структурное построение информационных вычислительных систем, так и технологию обработки данных, организацию работы пользователей и персонала сети.

Побуждение состоит в создании такой обстановки и условий, при которых правила обращения с защищенными данными регулируются моральными и нравственными нормами.

Принуждение включает угрозу материальной, административной и уголовной ответственности за нарушение правил обращения с защищенными данными.

На основе перечисленных методов создаются средства защиты данных.

На первых этапах развития концепций обеспечения безопасности данных преимущество отдавалось программным средствам защиты. Однако практика показала, что для обеспечения безопасности данных этого недостаточно. Поэтому в последующем интенсивное развитие получили всевозможные устройства и системы. Постепенно, по мере формирования системного подхода к проблеме обеспечения безопасности данных, возникла необходимость комплексного применения методов защиты и, созданных на их основе средств и механизмов защиты.

Структурно схему защиты любой организации можно представить в виде следующей пирамиды, изображенной на рисунке 3.

Рисунок 3 - Уровни защиты организации

1. PKI (Public Key Infrastructure) – инфраструктура открытых ключей.

Все требования безопасности могут реализовываться различными способами, имеющими различную стойкость, эффективность, цену. Различные меры используются исходя из конкретной задачи, специфики обработки информации и множества других факторов. Но наиболее сильно отражает все требования политики безопасности криптография. Шифрование применяется для сокрытия непосредственно информации, в тоже время сертификаты гарантируют подлинность связывающихся сторон, электронные подписи гарантируют целостность информации и неотказуемость от транзакций. Криптография с открытым ключом обеспечивает требования по безопасности, но для большего числа пользователей требуется автоматизированный, подстроенный под конкретные системы подход, основанный на PKI:

· центры авторизации, выпускающие и аннулирующие сертификаты открытых ключей;

· организационные центры регистрации, которые ответственны за установление идентичных связей между открытыми ключами и владельцами сертификатов;

· владельцы сертификатов, которые имеют сертификаты и могут подписывать и шифровать цифровые документы;

· клиенты, которые проверяют цифровые подписи и свои пути сертификации, используя известный открытый ключ доверенного центра авторизации;

· репозитории, которые хранят и предоставляют доступ к сертификатам и спискам аннулированных сертификатов.

2. ВЧС (виртуальные частные сети) – это совокупность программных и аппаратных средств, которые позволяют организовать прозрачное для прикладных программ соединение некоторых локальных сегментов глобальной коммуникационной сети через открытую общедоступную сеть при условии сохранения защищенности (секретности, аутентичности, целостности) передаваемых данных без физического выделения каналов передачи и узлов обработки данных.

Угрозы, которым противостоят виртуальные частные сети:

· возможность несанкционированного доступа (НСД) к внутренним ресурсам локальной сети организации;

· возможность НСД к корпоративным данным в процессе их передачи по общедоступной сети.

Рисунок 4 - Назначение виртуальных частных сетей.

Основные преимущества ВЧС:

· совместимость с существующей сетевой инфраструктурой;

· интегрируемость с существующей подсистемой безопасности;

· полная прозрачность для существующих корпоративных приложений.

3. На третьей ступени стоят средства разграничения доступа и защиты ЛВС. Сюда входят межсетевые экраны и программно-аппаратные комплексы защиты информации в сетевом варианте.

Среди межсетевых экранов выделяют следующие классы:

· простейшие фильтрующие маршрутизаторы – 5 класс;

· пакетные фильтры сетевого уровня – 4 класс;

· простейшие межсетевые экраны прикладного уровня – 3 класс;

· межсетевые экраны базового уровня – 2 класс;

· продвинутые межсетевые экраны – 1 класс.

Здесь следует обратить внимание на отечественных изготовителей межсетевых экранов, среди которых выделяются межсетевые экраны фирм OOO "Элко Технологии СПБ" и "Инфосистемы Джет". Особенностью межсетевых экранов этих фирм является ориентация на отечественных покупателей.

Межсетевой экран "Цитадель МЭ";, версии 2.0 фирмы "Элко" представляет собой аппаратно-программный комплекс, основанный на платформе Intel Pentium II/III и управляемый специально разработанной операционной системой. В типовой конфигурации экран "Цитадель МЭ" имеет четыре интерфейса 10/100BaseTx Ethernet. Возможна поддержка до 16 интерфейсов Ethernet в одном устройстве. Опциальной возможностью является установка интерфейсного модуля WAN (V.35 или X.21), поддерживающего SLIP, PPP, HDLC и Frame Relay.

Комплекс "Цитадель МЭ" обеспечивает безопасное, надежное и экономичное взаимодействие сетей Internet и Intranet благодаря мощному и гибкому механизму IP-маршрутизации со встроенными функциями пакетной фильтрации, механизмом адресной трансляции (NAT) и прикладными шлюзами.

Основными подсистемами комплекса "Цитадель МЭ" являются:

· Пакетный фильтр. Фильтрует TCP/IP трафик по критериям, задаваемым списком правил фильтрации:

· адрес машины/сети и порт источника и приемника;

· тип протокола и флаги протокола;

· входной и выходной сетевые интерфейсы;

· временной интервал.

· Шейпинг трафика позволяет искусственно ограничивать пропускную способность канала для выбранных видов трафика.

· Механизм пассивных фильтров, предназначенный для анализа содержимого IP-пакетов.

· Механизм динамического порождения самонастраивающихся правил контроля доступа, предназначенный для обеспечения корректной обработки протокола FTP.

· Механизм трансляции сетевых адресов – прямой и обратный.

· Автоматический контроль, протоколирование и отчетность.

Аппаратно-программный комплекс МЭ "Застава-Джет"; фирмы "Инфосистемы Джет" функционирует как на сетевом и транспортном уровнях модели информационного обмена OSI/ISO, так и на уровне приложений, обеспечивая, таким образом, необходимую степень защиты внутреннего информационного пространства. Данный межсетевой экран обладает следующими характеристиками:

· Сетевой транспортный протокол – ТСР/IP.

· Протокол управления – собственный защищенный от изменения протокол.

· Средние потери производительности при фильтрации пакетов – 2%.

· Поддерживаемые протоколы (прокси-серверы):

· telnet, rlogin, rsh;

· FTP, gopher;

· HTTP,HTTPS, AHTTP, SSL;

· SMTP, POP3;

· LotusNotes, lpr и другие (всего более 20).

Среди программно-аппаратных комплексов выделяют конкретные модели, разработанные в сетевом варианте. Среди таких комплексов заслуживает внимание продукция фирмы Aladdin Software Security R.D., а в частности системы защиты конфиденциальной информации Secret Disc и Secret Disc Server.

Но следует учитывать необходимость обязательной сертификации систем защиты. В таблице 1 представлены сертифицированные программно-аппаратные комплексы защиты.

Таблица 1. Сертифицированные программно-аппаратные комплексы защиты

Название	Разработчик	Характеристика
Secret Net 3.1	НИП "Информ-защита"	Для защиты информации, хранимой и обрабатываемой на автономных компьютерах, работающих под управлением ОС DOS/Win 3x
Secret Net 4.0	НИП "Информ-защита"	Для защиты информации, хранимой и обрабатываемой на автономных компьютерах, работающих под управлением ОС Win 95/98
Secret Net NT 4.0	НИП "Информ-защита	Для защиты информации, хранимой и обрабатываемой на автономных компьютерах, работающих под управлением ОС Win NT 4.0
Secret Net-0	НИП "Информ-защита	Для защиты информации, хранимой и обрабатываемой в ЛВС. Для установки на сервер – нулевая лицензия.
Secret Net-4	НИП "Информ-защита	Для защиты информации, хранимой и обрабатываемой в ЛВС. Лицензия на 4 рабочие станции.
Secret Net-8	НИП "Информ-защита	Для защиты информации, хранимой и обрабатываемой в ЛВС. Лицензия на 8 рабочих станций.
Secret Net-16	НИП "Информ-защита	Для защиты информации, хранимой и обрабатываемой в ЛВС. Лицензия на 16 рабочих станций.
Secret Net-32	НИП "Информ-защита	Для защиты информации, хранимой и обрабатываемой в ЛВС. Лицензия на 32 рабочие станции.
Secret Net NT-0	НИП "Информ-защита	Для защиты информации, хранимой и обрабатываемой в ЛВС, работающих под управлением ОС Windows NT 3.51 – 4.0 Базовый комплект для установки на сервер (нулевая лицензия)
Secret Net NT-5	НИП "Информ-защита	Для защиты информации, хранимой и обрабатываемой в ЛВС, работающих под управлением ОС Windows NT 3.51 – 4.0 Лицензия на 5 рабочих станций.
Secret Net NT-10	НИП "Информ-защита	Для защиты информации, хранимой и обрабатываемой в ЛВС, работающих под управлением ОС Windows NT 3.51 – 4.0 Лицензия на 10 рабочих станций.
Secret Net NT-25	НИП "Информ-защита	Для защиты информации, хранимой и обрабатываемой в ЛВС, работающих под управлением ОС Windows NT 3.51 – 4.0 Лицензия на 25 рабочих станций.
Secret Net NT-50	НИП "Информ-защита	Для защиты информации, хранимой и обрабатываемой в ЛВС, работающих под управлением ОС Windows NT 3.51 – 4.0 Лицензия на 50 рабочих станций.
SS-PC-1	НИП "Информ-защита	Системы обеспечения безопасности информации в корпоративной сети. Средство управления системой защиты Secret Net версии 4.0 Централизованное управление системой защиты информации, управление параметрами подсистем контроля целостности и криптографической защиты, мониторинг состояния защищенности системы, управление подчиненными серверами безопасности. Сервер безопасности класса С – до 50 защищаемых серверов и рабочих станций
SS-PB-1	НИП "Информ-защита	Системы обеспечения безопасности информации в корпоративной сети. Средство управления системой защиты Secret Net версии 4.0 Централизованное управление системой защиты информации, управление параметрами подсистем контроля целостности и криптографической защиты, мониторинг состояния защищенности системы, управление подчиненными серверами безопасности. Сервер безопасности класса В – до 250 защищаемых серверов и рабочих станций.
SS-PА-1	НИП "Информ-защита	Системы обеспечения безопасности информации в корпоративной сети. Средство управления системой защиты Secret Net версии 4.0 Централизованное управление системой защиты информации, управление параметрами подсистем контроля целостности и криптографической защиты, мониторинг состояния защищенности системы, управление подчиненными серверами безопасности. Сервер безопасности класса А – неограниченное количество защищаемых серверов и рабочих станций.
C-9X-5	НИП "Информ-защита	Системы ЗИ для рабочих станций и серверов сети "Клиенты сервера безопасности". Защита информации, хранимой и обрабатываемой на рабочих станциях и серверах корпоративной сети, работающих под управлением ОС Windows 95/98/NT
"Соболь"	НИП "Информ-защита	Электронный замок. Разграничение доступа к ПК, контроль целостности ПО до загрузки ОС
Dallas Lock 4.0	Ассоциация "Конфидент"	Для защиты информации, хранимой и обрабатываемой в ЛВС и на автономных компьютерах, работающих под управлением ОС Novell Netware v. 3.11 – 4.11, MS DOS, PC DOS, Windows for Workgroups v. 3.11, Windows 95, WINDOWS NT 4.0 Workstation. По 4 кл. для СВТ.
Dallas Lock 4.1	Ассоциация "Конфидент"	Для защиты информации, хранимой и обрабатываемой в ЛВС и на автономных компьютерах, работающих под управлением ОС Novell Netware v. 3.11 – 4.11, MS DOS, PC DOS, Windows for Workgroups v. 3.11, Windows 95, WINDOWS NT 4.0 Workstation. По 3 кл. для СВТ.
АККОРД	Ассоциация "Конфидент"	Обеспечивает защиту от НСД и разграничение доступа к ресурсам систем на базе IBM-совместимых компьютеров
ДИК	"Ниеншанц-Защита"	Для защиты информации, хранимой и обрабатываемой в ЛВС и автономных компьютерах, работающих под управлением ОС Novell Netware v 3.11 – 4.11, MS DOS, PC DOS, Windows for Workgroups v. 3.11, Windows 95.

4.Под защитой СВТ от технических разведок понимается предотвращение перехвата охраняемой информации за пределами контролируемой зоны объекта ВТ и исключение возможности бесконтрольного перехвата, регистрации этой информации в пределах зоны.

Особое место занимает защита информации от утечки по техническим каналам за счет побочных электромагнитных излучений и наводок (ПЭМИН). Этот канал утечки информации предоставляет нарушителям ряд преимуществ:

· информация добывается без непосредственного контакта с ее источниками;

· информация получается в реальном масштабе времени.

Один из широко известных каналов утечки информации остается актуальным и по сей день. Именно сейчас этот канал наиболее интересен с точки зрения защиты информации. Основной проблемой является то, что кодовые комбинации шифров, программно-аппаратных комплексов защиты информации, а также всех остальных устройств, стоящих в вышеописанной пирамидальной структуре переводятся тем или иным способом в электрические сигналы, которые могут быть корректно расшифрованы. Это, прежде всего, касается дешифрования сигналов монитора. Профессиональная аппаратура для перехвата излучений монитора и отображения информации, довольно дорога, но ценность информации полностью окупает все затраты. Перехват информации за счет излучений принтеров, клавиатуры иногда возможен даже с меньшими затратами, ввиду передачи информации последовательным кодом, все параметры которого известны.

Из средств защиты используются: экранирование помещений, устройства энергетической маскировки, приобретение и установка на объекте защищенных СВТ (СВТ, имеющих малый уровень излучений). Активный метод предполагает применение специальных широкополосных передатчиков помех. Но этот метод имеет свои недостатки. Во-первых, проблема электромагнитной совместимости не описана должным образом, во-вторых, генераторы являются небезопасными для здоровья устройствами.

Пассивный метод обеспечения защиты конфиденциальной информации в значительной степени повышает экологическую безопасность рабочего места пользователя, не нарушает норм электронной совместимости, обеспечивает штатные условия работы комплектующих в структуре СВТ. Сущность этого метода заключается подборе соответствующих материалов для экранирования источника излучений – СВТ. Само экранирование состоит в нанесении специальных материалов на внутреннюю поверхность существующего корпуса. СВТ в защищенном варианте включает в себя соответствующий подбор комплектующих, сборку без лишних проводников, являющихся антеннами. Здесь следует обратить внимание на продукцию ЗАО "Ниеншанц-защита", осуществляющего производство и поставку СВТ, защищенных от утечки информации по техническим каналам. Разработанная технология на основе пассивных методов позволила обеспечить в компьютере Flagman-Z без дополнительных технических средств защиту информации по техническим каналам.

Изложенные принципы построения распределенных систем позволяют решать задачу безопасной обработки данных. Стоит отметить, что только комплексный подход позволяет решать данную задачу в реальных условиях функционирования предприятий, а в частности делает защиту информации наиболее прочной и надежной.