Часто люди боятся компьютера, потому что плохо представляют, чего от него ожидать, ведь как это все в нем работает, в общем, малопонятно.

 


Легче смириться с тем, что самолет летает, хотя крыльями не машет. Однако опыт показывает, что когда знаешь, "как это все в нем работает", становится еще страшнее. Именно потому, что становится совершенно понятно, чего от него можно ожидать. Мариэтта Шагинян еще в 50-е годы прошлого века сформулировала эту проблему остро: "Вычислительные машины могут все. Задача человека заставить их делать только то, что ему нужно". Нам всегда говорят: "Компьютер - это только инструмент". И это должно успокоить и вселить уверенность. Вселило бы, если бы были основания считать, что это инструмент - ИМЕННО В ВАШИХ РУКАХ.

 

Эта уверенность - и есть то, за что Вы платите, покупая средства защиты информации (СЗИ). Ставя хороший замок на дверь, мы хотим не дверь защитить. Мы хотим быть уверенными, что в нее не войдет никто, кроме тех, кому мы дали ключ.

 

Защищая "информацию" - мы точно так же защищаем не буквы и цифры, а свой бизнес, который обычно стоит намного дороже самого компьютера и услуг машинистки по введению в него данных.

 

По оценкам специалистов, если станет общедоступной банковская информация, 50 % банков разорится уже в течение первых трех дней. В течение трех следующих - 90 %. Так что, если Вам есть, что скрывать, и это не Ваше местонахождение, то Вы скорее банк, чем объявленный в розыск уголовник. Стоит заметить, что беглому каторжнику в общем случае бессмысленно прибегать к помощи наших СЗИ, чтобы обеспечить защищенность информации о своем местонахождении, поскольку сведения такого рода редко хранятся где-то в виде данных, а защитить какие-то знания в голове человека, безусловно, невозможно. А вот защищать информацию в банковских автоматизированных системах - можно и нужно.

Объектов защиты информации на самом деле всего 4:

  1. сам компьютер,
  2. данные, которые Вы храните, обрабатываете и передаете с помощью своего компьютера,
  3. технологии обработки этих данных,
  4. и каналы передачи данных.

Как известно, наличие замка, который выглядит не взломанным, еще не гарантирует того, что в помещение никто не проник. Вы можете быть уверены в том, что это так, только после того, как убедились, что там не произошло никаких изменений.

 

Это достаточно понятно в применении к инструментарию - программным и аппаратным средствам компьютера (можно что-то добавить или что-то изъять), в применении к данным (их легко исказить), в применении к каналам - в них можно организовать "течь". В применении к технологиям это менее очевидно. Что такое информационная технология? Это определенные операции в определенной последовательности. То есть технология изменена, если нарушена последовательность операций.

Для чего надо защищать компьютер от несанкционированного доступа к нему? Для того чтобы включая свой компьютер, Вы были уверены, что это по-прежнему ВАШ инструмент, что в него не добавлено ничего и ничего не изъято, что за время Вашего отсутствия Ваш компьютер не стал инструментом кого-то еще, чьи интересы могут быть далеки от Ваших. Для этого доступ к компьютеру должен быть разрешен только Вам. Это возможно в том случае, если компьютер оборудован средством, которое при включении компьютера проверит его программное обеспечение и аппаратуру на отсутствие несанкционированных изменений и подаст сигнал, если что-то не так. Мы стараемся пользоваться проверенными программами - именно поэтому покупаем лицензионное ПО. Так же мы стараемся использовать в работе только проверенные данные. Но для того, чтобы проверенная программа, использующая проверенные данные, дала правильный результат, проверенной должна быть и среда, в которой исполняется программа. Проверенной должна быть и аппаратура.

Мы предлагаем средства защиты информации, которые контролируют доступ к компьютеру и проводят такую проверку. Это "Аккорд-АМДЗ" (Аппаратный Модуль Доверенной Загрузки) и выполненный на его основе ПАК СЗИ НСД Аккорд.

 

Казалось бы, компьютер, защищенный от несанкционированного доступа к нему, уже гарантирует защищенность находящихся в нем данных. Это не всегда так. Иногда необходимо разграничить доступ к данным для разных пользователей одного компьютера. Для этого в ПАК СЗИ НСД Аккорд предусмотрено специальное ПО разграничения доступа. Правила разграничения доступа в таких случаях должны быть определены политикой безопасности организации и доведены до сведения каждого.

Для того, чтобы убедиться, что данные правильно обрабатываются - нет нарушений в технологии, во всех предлагаемых нами изделиях используются защитные коды аутентификации (ЗКА). Это значит, что в некоторых точках происходит проверка результата операций, и если он не совпадает с "правильным", - подается сигнал тревоги. Для того, чтобы можно было убедиться в том, что данные не были подделаны в ходе хранения, удобнее всего подписывать их электронной цифровой подписью (ЭЦП). Это позволяют сделать наши новые изделия: ПСКЗИ "ШИПКА", контроллер "Аккорд-5.5", "Аккорд-У".

Быть уверенным в том, что данные были переданы в неизменном виде, можно в том случае, если данные были зашифрованы (а желательно еще и подписаны ЭЦП), поскольку среда всегда может оказаться враждебной. Однако что может дать Вам уверенность в том, что данные не искажены, если шифрование или подписание ЭЦП происходило внутри ненадежной среды? Абсолютную надежность внешней среды не может гарантированность никто. Это вполне естественно - выезжая на абсолютно проверенной машине, способной развивать скорость в 200 км/ч, мы можем опоздать на встречу, хотя машина будет абсолютно исправна. Просто будет пробка. Или гололед.

Машина может обеспечить не все. Значит ли это, что успеть на встречу - вообще нельзя? Конечно, нет. Если у нас нет уверенности в среде, мы постараемся для критически важной цели выбрать метод, который обеспечит нам независимость от среды. Метро. Или вертолет.

То есть воспользуемся другой, изолированной средой, надежность которой выше.

Для того чтобы критически важные вычисления (защитные коды аутентификации, ЭЦП, шифрование) были защищены от возможного вмешательства, они должны происходить внутри отдельного аппаратного компонента, изолированного и проверяемого, никогда не попадая в общую память компьютера. Там же должна храниться и ключевая информация.

ПСКЗИ "ШИПКА", контроллер "Аккорд-5.5", "Аккорд-У" позволяют зашифровать данные и подписать их ЭЦП именно так.

Обеспечение доверенного обмена данными по сети иногда считают задачей вовсе нерешаемой. И, безусловно, СЗИ не могут наделить Вас здравым смыслом и бдительностью. Однако нами разработана система "Аккорд-AcXNet" и на его основе построена подсистема распределенного аудита и управления "Аккорд-РАУ", которая автоматизирует управление защитой информации в сложных системах именно на основе доверенного обмена данными по сети.

В 1994 году была продана первая тысяча "АККОРДОВ", в 2003 году - их количество достигло 100 000, на конец 1 квартала 2005 года общее количество эксплуатируемых в различных автоматизированных системах государственных и коммерческих организаций комплексов СЗИ НСД АККОРДтм - около 130 000. Эта динамика лучше теоретических выкладок свидетельствует о том, что мы умеем это делать, и нам доверяют защиту своей информации те, для кого цена вопроса - выше цены компьютера.

 

1 Подробная статистика и описание конкретных случаев, а также механизмов и последствий компьютерных преступлений в кн.: Конявский В. А., Лопаткин С. В. Компьютерные преступления. Т. I. М., 2005.

усиление сигнала для сотового