Алгоритм взаимодействия терминальной ПЭВМ с ЭВМ базы данных распадается на два последовательных этапа.Первый этап взаимодействия инициирует терминальная ПЭВМ, а второй ЭВМ базы данных.Благодаря этому практически исключается несанкционированный доступ к системе, для которой в данном случае, чтобы получить несанкционированный доступ, необходимо провести соответствующие модификации с обеих сторон.
На первом этапе терминальная ПЭВМ генерирует случайное число и посылает его по линии связи в ЭВМ базы данных.Обе машины обрабатывают это число по алгоритму шифрования с использованием собственных ключей. Затем ЭВМ базы данных возвращает свой зашифрованный результат по линии связи к терминальной ПЭВМ, которая сравнивает принятый результат с собственным зашифрованным результатом. Если они совпадают, то на втором этапе происходит аналогичный обмен, только инициатором теперь выступает ЭВМ базы данных.
Первый этап реализации механизма защиты на основе ПЗУ с доступом по ключу типа 27916 состоит в программировании кода,необходимого для выполнения процедур проверки прав доступа. В процессе программирования БИС 27916 производится также программирование 64-разрядного ключа и данных, определяющих функции доступа по ключу.В конце программируется бит замка, обеспечивающий недоступность матрицы памяти для чтения до тех пор, пока не произойдет взаимодействие с ПЗУ ЭВМ базы данных. Одновременно программируется и номер ключа, являющегося адресом одного ключа (из 1024 возможных), который необходимо использовать при выполнении взаимодействия в процессе проверки прав на доступ. Выбор 64-разрядной длины ключа означает, что имеется приблизительно 18*10 возможных уникальных значений ключа. Если даже с помощью компьютера, например другой ПЭВМ, попытаться методом проб и ошибок определить значение ключа с темпом 0.08 с (максимальный темп повторных проверок права доступа, допустимый для данного ЭППЗУ), потребуется 46 млрд. лет, чтобы испробовать каждое значение. В ЭППЗУ с доступом по ключу пользователю предоставляется возможность выбрать один из кодов задержки, задающих ритм взаимодействия ПЭВМ для определения права на доступ (от 0.08 до 15 с).
Качество работы генератора случайных чисел является одним из факторов, обеспечивающих надежную защиту системы. Идеальным генератором считается в данном случае тот, который практически не выдает одинаковых чисел. Включенный в состав БИС 27916 генератор случайных чисел обеспечивает почти для 1 млрд. отсчетов только 0.03% чисел, появляющихся несколько раз.
Рассмотренный метод шифрования с защитой доступа по ключу обеспечивает высокую оперативность, простоту для пользователя и информационную надежность по сравнению с ранее описанными методами.
2Защита от компьютерных вирусов.
Это особая и важная статья.
По мере развития и усложнения компьютерных систем возрастает объем и повышается уязвимость хранящихся в них данных.Одним из новых факторов, резко повысивших эту уязвимость, является массовое производство программно-совместимых персональных компьютеров, которое можно назвать одной из причин появления нового класса программ вандалов компьютерных вирусов.Наибольшая опасность, возникающая в связи с возможностью заражения программного обеспечения компьютерными вирусами, состоит в искажении или уничтожении жизненно важной информации, которое может привести не только к финансовым потерям, но даже повлечь за собой человеческие жертвы.
Программные меры:
1архивирование: 0копирование таблицы FAT, ежедневное ведение архивов измененных файлов.Это самый важный, основной метод защиты от вирусов.
1входной контроль: 0проверка поступающих программ детекторами, обновление первых трех байтов сектора начальной загрузки на незагружаемых дискетах (для уничтожения boot-вирусов).
1профилактика: 0работа с дискетами, защищенными от записи, минимизация периодов доступности дискетки для записи, раздельное хранение вновь полученных и эксплуатировавшихся ранее программ, хранение программ на "винчестере" в архивированном виде.
1ревизия: 0анализ вновь полученных программ специальными средствами, контроль целостности с помощью регулярного подсчета контрольных сумм и проверки сектора начальной загрузки перед считыванием информации или загрузкой с дискеты, контроль содержимого системных файлов (прежде всего COMMAND.COM ) и др. Имеется целый ряд программ-ревизоров, обеспечивающих подсчет контрольных сумм.
1карантин: 0каждая новая программа, полученная без контрольных сумм, должна проходить карантин, т.е. тщательно проверяться и прогоняться компетентными специалистами по меньшей мере на известные виды компьютерных вирусов, и в течение определенного времени за ней должно быть организованно наблюдение на отдельной ПЭВМ; присвоение специального имени пользователю при работе со вновь поступившими программами, причем для этого пользователя все остальные разделы должны быть либо невидимы, либо иметь статус READ_ONLY.
1сегментация: 0использование программы Advanced Disk Manager для разбиения диска на зоны с установленным атрибутом READ_ONLY.
1фильтрация: 0применение специальных программ для обнаружения попыток выполнить несанкционированные действия.
1вакцинирование: 0специальная обработка файлов,дисков, каталогов, запуск резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса для определения (выявления) заражения, т.е. обманывающих вирус.
1автоконтроль целостности: 0использование в программе специальных алгоритмов, позволяющих после запуска программы определить, были ли внесены изменения в файл из которого загружена программа или нет.
1терапия: 0дезактивация конкретного вируса в зараженных программах специальной программой фагом или восстановление первоначального состояния программ путем "выкусывания" всех экземпляров вируса из каждого зараженного файла или диска с помощью этой программы.
В процессе работы программы-фаги (например AIDSTEST , ANTIDIR , DOCTOR) "выкусывают" тело вируса и восстанавливают измененную вирусом последовательность команд.
Следует отметить, что наблюдаемое сейчас повсеместное увлечение коллекционированием программ-фагов, как самых важных средств защиты, не совсем оправдано. Основные усилия должны быть направлены на предупреждение заражения.
Независимо от того, насколько хорошо разработаны программные методы защиты, их эффективность во многих случаях зависит от правильности действий пользователя, действий, в которых возможны ошибки и даже злой умысел. Например, если один из сотрудников регулярно запускает переписываемые где-то игровые программы, то шансы предотвратить заражение с помощью программной защиты безусловно невелики.
Организационные меры состоят в следующем:
-общее регулирование доступа, включающее систему паролей и сегментацию зон доступа;
-обучение персонала;
-обеспечение физической безопасности компьютера и магнитных носителей;
-выработка правил архивирования;
-хранение отдельных файлов в шифрованном виде;
-создание и отработка плана восстановления "винчестера".
Общее регулирование доступа должно обеспечивать защиту компьютеров с ценными данными.Если человек оставляет на улице автомобиль с незапертыми дверцами и вставленным ключом зажигания, то в случае угона автомобиля определенная доля вины будет лежать на этом человеке. Ситуация с компьютерами в известной мере аналогична. Помимо опасности заражения вирусами, незаконное копирование или модификация конфиденциальной информации может нанести значительный вред организации, не обеспечивающей приемлемый уровень контроля.
Теперь кратко рассмотрим вопрос об обучении персонала.Опыт показывает, что чем меньше знаком данный сотрудник с компьютерами, тем большую опасность он представляет с точки зрения возможности заражения ПК компьютерными вирусами.Следовательно главным условием безопасности следует признать соответствующий уровень обучения сотрудников.Следует отметить, что регулирования доступа само по себе является панацеей.
-Иоффе А.Ф. Персональные ЭВМ в организационном управлении.
Москва "НАУКА". Гл. ред. физ.-мат. лит. 1989.
-Смит Д. Схемы с обратным вызовом, предотвращающие несанкционированный доступ к компьютерам по телефонным каналам.
Электроника.-1984. -Nо 5. -С.39-45
-Баттерварт П. Средства защиты в системах управления базами данных.
Электроника.-1984. -Nо 5. -С.46-52
-Контур Д.С. Защита компьютеров и информации от несанкционированного доступа.
Электроника.-1985. -Nо 4. -С.77-82.
-Безруков Н.Н. Вирусы и методы защиты от них.
Москва : Информэйшн Компьютер Энтерпрайз. 1991.
1Фрагмент матрицы управления доступом.
------------T------------------------------------------------------
¦ Объекты
Пользователи+-------------T-------------T------------T-------------
¦Программа А ¦ Файл А ¦ Файл Б ¦ Данные А
------------+-------------+-------------+------------+-------------
Петров И.С. ¦ Чтение, ¦ Чтение ¦ ¦ Чтение
¦ запись ¦ ¦ ¦
Кадровая ¦ ¦ ¦ Запись ¦ Чтение
служба ¦ ¦ ¦ ¦
Бухгалтерия ¦ Выполнение ¦ ¦ Чтение ¦
¦ ¦ ¦ ¦
Колосов Т.А.¦ ¦ Чтение, ¦ ¦
¦ ¦ запись ¦ ¦
------------+-------------+-------------+------------+-------------
Схема метода программных паролей.
¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦ - шифровка/дешифровка
---------------¬
¦ Ввод ¦
¦ пользователем¦
¦ информации ¦
¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦
Зашифро-¦
ванные ¦ ¦Данные
данные 1 ¦ ----------------¬
¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦ ¦Словарь данных ¦
¦ СУБД ¦_=================_¦ и сведения ¦
L--------------- ¦о пользователях¦
_ L----------------
_
------------------¬
¦ Операционная ¦ ---------------¬
¦система (проверка¦ ¦Имена и пароли¦
¦паролей пользова-¦_==============_¦пользователей ¦
¦ телей;защита ¦ L---------------
¦ файлов) ¦ _
¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦ _
_ ---------------¬
_ ¦Имена и пароли¦
----------¬ ¦ файлов ¦
¦Процессор¦ L---------------
L----------
_
_
---------------¬
¦ База данных ¦
¦(зашифрованные¦
¦ данные) ¦
L---------------