Программное шифрование данных не всегда может гарантировать их безопасность. Поэтому для защиты важных файлов или приложений преимущественно используется аппаратная защита информации. Ее можно разделить на 3 вида:
- Защита программного обеспечения;
- Защита информации на отдельном компьютере;
- Защита компьютера в сети.
В большинстве случаев все эти меры применяются комплексно, что позволяет добиться практически 100% гарантии сохранности конфиденциальных данных.
Защита программного обеспечения
Оборудование для защиты ПО имеет долгую историю. Но если раньше такие методы были недостаточно надежными, то сейчас удалось добиться больших успехов в этой сфере. Идея аппаратного обеспечения безопасности программ состоит в том, чтобы сделать возможной работу с ними только при наличии специального устройства. Сегодня в качестве такой защиты используются электронные ключи и SMART-карты. Раньше применение находили и так называемые ключевые диски, но их перестали использовать из-за низкой устойчивости к взломам.
Электронные ключи
Эта система предполагает реализацию аппаратной защиты и программы, которая с ней работает. Такое оборудование чаще всего исполняется в виде обычного внешнего носителя. Внутри всегда находится микросхема памяти, а иногда и микропроцессор. Чаще всего такие ключи подсоединяются через USB-порт и имеют вид обычного флеш-накопителя. Также существуют варианты с подключением через интерфейсы COM, LPT или слоты в материнской плате. В целевое ПО встраиваются специальные библиотеки, отвечающие за разблокировку содержимого на основе данных ключа.
Самым недорогим способом защиты информации с помощью электронного ключа являются устройства, основанные на flash-памяти. Но в то же время такое устройство является наиболее простым для взлома. Такие ключи не содержат микропроцессора, следовательно, взломщик может получить полный доступ к данным, находящимся в энергонезависимой памяти. Процесс верификации подразумевает считывание блоков данных из определенных адресов в памяти. Это значит, что, перехватив «диалог» между оборудованием, злоумышленник может получить доступ к кодам и на основе этой информации создать эмулятор ключа.
Защита информации с помощью ASIC- и PIC-ключей по праву считается более надежной. Это оборудование имеет в своей архитектуре микропроцессор с регистрами команд и определенное количество оперативной памяти. Такие ключи являются устойчивыми к взлому, ведь большинство операций происходит внутри архитектуры, и информация с них не может быть перехвачена. Даже при получении физического доступа к такому ключу скопировать его очень затруднительно, ведь его микрокод и память недоступны к считыванию.
Наиболее существенными недостатками электронных ключей являются:
- Возможность кражи или утери;
- Затруднения при разработке ПО;
- Необходимость наличия в оборудовании нужных разъемов;
- Высокая стоимость ключей;
- Возможное отсутствие драйверов на компьютере.
Раньше часто возникали конфликты в оборудовании при использовании ключей на основе LPT или COM. Но, после того как технология USB вытеснила эти интерфейсы, эта проблема перестала быть актуальной.
Из этого видео вы узнаете про аппаратно-программный комплекс:
Защита с помощью смарт-карт
Наиболее распространенным на сегодня оборудованием для защиты ПО являются смарт-карты. Самыми простыми представителями этого типа устройств являются карты с памятью. Они могут быть использованы для авторизации при небольших финансовых операциях.
Также бывают карты, оборудованные не только памятью, но и микропроцессором. Они представляют собой миникомпьютеры и могут выполнять сложные криптографические действия. Степень защиты таких карт позволяет использовать их для подтверждения действий в крупных финансовых приложениях.
Защита информации на отдельном ПК
Даже если компьютер не подключен к сети, всегда существует риск кражи информации при физическом доступе к нему. Пароли и шифрования на уровне операционной системы не могут гарантировать сохранность данных, ведь такую защиту обойти не так сложно. С помощью дополнительных устройств можно свести вероятность кражи информации к минимуму. Сделать это можно двумя способами: удалить информацию, которую пытаются просмотреть, или зашифровать ее аппаратными способами.
Устройства для уничтожения информации
В некоторых ситуациях информацию лучше уничтожить, чем допустить ее копирование. Для этого были разработаны специальные устройства, которые форматируют диски с данными в экстренных ситуациях. Стираются даже метки таблиц разделов, поэтому восстановить стертую таким устройством информацию практически невозможно. При использовании такого способа защиты рекомендуется регулярно делать резервные копии важных данных.
Подобные устройства вставляются на место дисковода и подключаются через IDE. Его владелец сам определяет, в каких случаях удалять информацию. Отключить удаление можно только с помощью электронного ключа с 48-битным шифрованием. При этом на отмену форматирования дается 10 секунд, что исключает взлом ключа методом подбора.
Платы аппаратного шифрования
Защитить данные от посторонних можно с помощью шифрования. Для этого к конфигурации компьютера добавляется специальная шифрующая плата. Чаще всего для этого используется интерфейс PCI. С его помощью можно криптографическим способом защитить отдельные файлы, каталоги либо целые разделы. Для максимальной степени защиты рекомендуется шифровать весь жесткий диск вместе с разметкой и загрузочными секторами. Это сделает правильную расшифровку практически невозможной. Но у такой технологии есть один существенный недостаток: он значительно снижает общую скорость работы системы.
Видео про технологии InfoWatch:
Защита информации в сети
Компьютер, подключенный к локальной сети или интернету, всегда подвергается риску несанкционированного доступа. Для бытовых сетей и компьютеров обычно достаточно программной защиты в виде антивирусного ПО. Но крупные организации должны позаботиться о более надежной защите своих данных. Для этого используется специальное оборудование – межсетевой экран.
Большинство пользователей ПК привыкли к тому, что брандмауэр (или файервол) – это проигранное обеспечение, встроенное в ОС или поставляемое отдельно. Но так называют и специальное сетевое оборудование, предназначенное для защиты ЛВС от внешнего несанкционированного доступа. Оно не позволяет использовать уязвимость пользовательских приложений для получения доступа к данным, так как имеет собственную ОС, специально созданную для защиты от взлома. Большинство аппаратных брандмауэров позволяют не только блокировать попытки перехвата данных, но и предотвращают рассылку спама и могут выступать в роли маршрутизаторов пакетов.
В крупных компаниях чаще всего под брандмауэром подразумевается сразу несколько устройств. Объединение защитного оборудования с разными функциями и архитектурой позволяет добиться высочайшей степени защиты. Но при этом стоит помнить, что даже самое надежное оборудование не предотвратит утечку информации из-за проблем внутри локальной сети. Поэтому к защите данных нужно подходить комплексно. Все сотрудники должны иметь персональные криптоустойчивые пароли или электронные ключи, а политика безопасности обязана сводить к минимуму риск заражения вирусом.
Чтобы достичь максимального уровня безопасности, необходимо думать над размещением брандмауэров на этапе планировки топологии сети.
Идеальной защиты не бывает, но при грамотном проектировании можно сохранить безопасность сети от большинства угроз, не нарушая при этом ее быстродействия.
Прогресс не стоит на месте, и со временем появляются более совершенные методы взлома сетей. По этой причине системным администраторам необходимо всегда быть готовыми менять конфигурацию и обновлять ПО брандмауэров. В некоторых случаях приходится прибегать и к замене оборудования. Только так можно защитить важную корпоративную информацию от несанкционированного доступа.
Загрузка...
Добрый день!