Разработка комплекса мер по защите информации в ноутбуке

Замок Кенсингтона (Kensington Lock) – самое примитивное устройство, но самое главное, что оно уже встроено в ноутбук. Единственное, что необходимо докупить, так это трос безопасности, посредством которого ноутбук можно прикрепить к любому тяжелому объекту. Прочность и надежность этого гибкого троса, изготовленного из стали или высокопрочных сплавов, очень велика, а уровень безопасности замкового устройства вы можете выбрать исходя из собственных нужд. Существуют тросы с обычным замком, кодовым (различаются количеством разрядов), соленоидным. По крайней мере, без специальных инструментов ноутбук снять «с привязи» невозможно.

Следующее направление - это защита ноутбука или его наиболее важных компонентов (например, жесткого диска, экрана, инвертора) от физических повреждений. Самый распространенный и эффективный способ защиты при переноске - использование специальной сумки для ноутбука. Хорошая сумка эффективно защитит мобильный ПК, как от внезапного дождя, так и от случайного падения.

Повышенной устойчивостью  к механическим повреждениям обладают так называемые "защищенные" модели - целый класс ноутбуков, изготовляемых в ударопрочных корпусах, со специальными покрытиями экранов и влагонепроницаемыми клавиатурами. Эти модели существенно дороже обычных ноутбуков и применяются в основном в промышленности или армии.

У большинства пользователей  нет необходимости иметь такой ноутбук, однако в некоторых случаях важно иметь дополнительные гарантии безопасности и сохранности информации. Для этих целей разработаны специальные методы защиты жестких дисков от повреждений, используются водозащищенные виды клавиатур, а также различные амортизирующие устройства и защитные покрытия.

Пожалуй, основное внимание уделяется защите жесткого диска, так  как он является основным хранилищем информации, стоимость которой может  в несколько раз превышать  стоимость самого ноутбука. В то же время сложность конструкции жесткого диска, прецезионность работающей в нем механики требует очень бережного и аккуратного отношения к нему, что идет в разрез с концепцией мобильного компьютера.

 

2.3. Выбор и обоснование  аппаратных мер защиты информации

Второе направление  защиты - обеспечение безопасности данных, хранящихся на ноутбуке. Чем  больше мобильные компьютеры приближаются по своим возможностям к десктопам, тем больше проявляется тенденция  к использованию ноутбука как  единственного и основного компьютера. В то же время мобильность и портативность ноутбука значительно увеличивают риск кражи или повреждения по сравнению с десктопом. В связи с этим задачи безопасности и сохранения данных выходят на новый уровень.

Чем ценнее информация, хранящаяся на ноутбуке, тем выше необходимость ее защиты от несанкционированного доступа. Для большинства пользователей наиболее вероятны проблемы потери данных, связанные с кражей (потерей) ноутбука либо с его повреждением или поломкой.

В соответствии с классическим подходом - что будет, если информация будет полностью утеряна, временно недоступна или будет доступна другим лицам - можно выделить два подраздела: защита данных от несанкционированного доступа - как более профессиональный вид защиты и резервное копирование и восстановление информации - как последнее средство, позволяющее вернуть утерянную информацию.

Для наглядности, представим небольшую блок-схему:

Рассмотрим эти блоки  по порядку. Защита данных от несанкционированного доступа состоит из нескольких ступеней:

- авторизация пользователя;

- идентификация системы;

- шифрование данных;

- защита каналов передачи  данных.

В большинстве случаев  для обычного пользователя достаточно грамотно использовать обычные методы авторизации, чтобы надежно защитить свою информацию. Пароли на включение и жесткий диск, также пароль на ОС - это все, что нужно, чтобы посторонний человек не смог воспользоваться вашим ноутбуком.

При защите корпоративной  информации гарантии безопасности должны быть более высокими. Здесь используются более сложные и надежные системы  идентификации, и, следовательно, более  дорогие: смарт-карты, USB-ключи, биометрические сенсоры (в ноутбуках применяются в основном считыватели отпечатков пальцев).

Однако смарт-карта  или USB-ключ - это предмет, который  должен быть c вами всякий раз, когда  вы пользуетесь ноутбуком. При таких  методах защиты возникает проблема хранения и потери ключа, а также  необходимость наличия и хранения дубликата.

За последнее время  появилось очень много моделей  ноутбуков со считывателями отпечатков пальцев. По большей части это  корпоративные модели таких брендов, как IBM, HP/Compaq, Toshiba, Fujitsu и т.д. В случае использования биометрической идентификации появляются дополнительные преимущества - отпечаток пальца невозможно украсть и очень сложно подделать, кроме того, он всегда с вами.

К одной из наиболее важных характеристик подобных систем, основанных на идентификации биометрических данных, относится вероятность ложного срабатывания (используется также термин False Match Rate - кол-во фальшивых распознаваний). К сожалению, найти соответствующие цифры для сенсоров, используемых в ноутбуках, не удалось. Поэтому приведем в качестве примера для сравнения цифры, известные для похожих устройств.

Для "промышленных" ридеров используемых в системах безопасности, возможности которых  значительно превосходят модели устанавливаемые в ноутбуках, эта  характеристика оценивается цифрой порядка 0,0001%.

Также существует такой  параметр, как False Reject Rate - вероятность того, что устройство не распознает ваш отпечаток. Для предотвращения такой проблемы можно понизить порог чувствительности сенсора, но этим самым снижается и безопасность.

За последние несколько  лет произошел серьезный скачок в развитии биометрических сенсоров и их миниатюризации. Очевидно, что  производители подобных устройств  активно ищут новые рыночные ниши, предлагая эти устройства на рынок  ноутбуков, сотовых телефонов, КПК и другой техники.

Одним из важнейших вопросов является хранение паролей и идентификационной  информации на компьютере. В обычной  системе пароли в зашифрованном  виде хранятся на жестком диске пользователя. Однако наиболее безопасным является способ независимого аппаратного хранения этих данных и по проведению операций над ними, так чтобы доступ средствами ПК к ним был невозможен. Идентификация пользователя должна выполняться до загрузки ОС.

В портативных компьютерах  в последнее время активно  внедряются так называемые TPM-модули (Trusted Platform Module). С их помощью в определенной степени и реализуется данная идея. Разработкой этой концепции занимается международная организация Trusted Computing Group, объединяющая такие компании, как Microsoft, Toshiba, HP, IBM, Intel, AMD и др.

Следующий метод обеспечения  безопасности данных - шифрование. Если ноутбук украден, а информация строго конфиденциальна, то шифрование не позволит злоумышленнику воспользоваться хранящимися данными.

Шифрование данных относится к методам профессиональной защиты информации. Однако вместе с увеличением уровня безопасности данных, которое оно дает, шифрование имеет ряд подводных камней, которые следует иметь в виду, прежде чем принять решение о его использовании.

К недостаткам шифрования данных можно отнести то, что оно использует системные ресурсы и место на накопителях, увеличивает вероятность потери данных, а также ставит проблему хранения ключа (как программного, так и в виде USB-брелка или смарт-карты).

Для обычного пользователя имеет смысл применять шифрование только в частных случаях, например, при пересылке корреспонденции по электронной почте.

Одна из обязательных операций, которые должен проводить  любой пользователь ПК это резервное копирование данных или "бэкап". Это средство максимально эффективно позволяет избежать безвозвратной потери данных, как в случае утери или кражи ноутбука, так и в случае его повреждения. Термин "бэкап" является калькой с английского "back up", дословно "запас".

В зависимости от интенсивности  накопления данных, требующих "бэкапа", следует установить периодичность процедуры. Проводить "бэкап" следует только на другой носитель, а возможность восстановления данных со скрытого раздела на жестком диске в значительной степени уменьшает полезный эффект от этой процедуры и исключает ее наиболее важную возможность - восстановление данных при потере лэптопа или его окончательной поломке.

Обычному пользователю стоит потратить некоторое время  на изучение процедуры бэкапа и настроить  ее под себя: выбрать файлы или каталоги, которые должны регулярно сохраняться (если вместо этого каждый раз "бэкапить" весь жесткий диск, это займет слишком много времени и ресурсов) и установить периодичность этой процедуры, например, один раз в три дня, и делать полный архив жесткого диска раз в месяц.

Стоит также учитывать, что данные бэкапа необходимо хранить  с той же степенью безопасности, что и основные, чтобы злоумышленник  не смог получить к ним доступ.

Если ноутбук не хранит чрезвычайно важной информации, то вам нужно использовать доступ по паролю и делать регулярные "бэкапы". Это позволит восстановить информацию в случае кражи или повреждения ноутбука и избежать внимания ваших соседей к вашей личной информации.

Если ноутбук используется для профессиональной деятельности и информация, хранящаяся на нем, имеет большую важность, то появляется необходимость использовать другие методы ее защиты. Их применение требует от пользователя соответствующего уровня квалификации и аккуратности в использовании.

 

 

2.4. Сетевая безопасность

Подавляющее большинство  персональных компьютеров и ноутбуков  в настоящее время подключены к локальным сетям (как проводным, так и беспроводным). Также зачастую они используются для выхода в  Интернет. Задачи безопасной работы в  сети являются для ПК и ноутбуков общими и решаются одинаково.

Пожалуй, единственное отличие  ноутбука от ПК заключается в том, что ноутбуков, оборудованных модулями беспроводной связи, гораздо больше, чем обычных ПК с такими же функциями. Свойство мобильности ноутбука подразумевает  и большие возможности подключения: к WiFi можно подключаться в кафе или даже в аэропорту. Поэтому на этом пункте мы остановимся подробнее.

Перечислим основные средства защиты ПК при работе в  сетях и Интернете:

- сетевые экраны firewall;

- VPN - виртуальные защищенные сетевые соединения;

- Network Intrusion Prevention - обнаружение вторжения;

- антивирусы;

- antiSpyWare;

- антиспам;

- использование шифрования  при WiFi соединениях;

- интернет эксплорер  и переключение между профилями; 

Рассмотрим эти пункты более подробно.

В комплекте  ОС есть встроенный firewall. Однако он нуждается в определенной настройке и требует от пользователя некоторых знаний, что идет в разрез с концепцией Microsoft о простоте использования этой ОС. Не понимая сути своих действий и просто нажимая "ок" в появляющихся диалоговых окнах, пользователь может легко его разблокировать.

"Антиспамы". При  работе с электронной почтой  можно использовать специальные  фильтры, или "антиспамы". При  этом стоит помнить, что подобные  программы всегда имеют определенный процент ложных срабатываний - среди отфильтрованных писем может оказаться важное сообщение. Кроме того, антиспамы могут блокировать всплывающие окна в браузере, не пропускать рекламные баннеры и т.д.

Антивирус. Наличие любого, даже работающего "на автомате", антивируса дает положительный результат, при учете, что антивирусные базы регулярно обновляются.

Беспроводные соединения. Для WLAN-сетей очень актуальны  вопросы безопасности и защиты передаваемых данных, так как для их перехвата  в общем случае достаточно просто оказаться в зоне действия сети. Защитить беспроводную сеть от утечки информации можно только с помощью шифрования.

Изначально стандарт 802.11 предусматривал аппаратный протокол шифрования данных WEP (Wired Equivalent Privacy - защищенность, эквивалентная беспроводным сетям), основанный на алгоритме шифрования RC4. Однако в скором времени было обнаружено, что защищенную с его помощью сеть довольно легко взломать. Основная слабость данной технологии заключалась в статичности ключа шифрования, поэтому даже увеличение длины ключа (64, 128 или 256 битное) не решало проблему.

На смену WEP пришла новая  технология WPA (Wi-Fi Protected Access), главной особенностью которой является шифрование данных с динамическими изменяемыми ключами.

Мобильность - главное, что отличает ноутбук от стационарного компьютера, поэтому возможно возникновение ситуации, когда вы его используете на работе - с одним уровнем безопасности и настройками доступа к вашим файлам, и дома - с совершенно другими. Т.е., необходима возможность настройки и переключения разных профилей.

 

 

2.5. Организационное обеспечение

2.5.1.Задачи и функции подразделения по защите информации.

Задачи и функции  подразделения по защите информации: