Информация сопровождает нашу жизнь постоянно, выполняя всевозможные функции. Наше время, благодаря наличию компьютера и интернета, характеризуется стремительным расширением информационного пространства. Одновременно с этим возрастает и необходимость разделения данного пространства и защиты тех его частей, что нуждаются в конфиденциальности или секретности. Компании по информационной безопасности предлагают для этого различные программные продукты.
Но можно ли надеяться на то, что эти решения дадут абсолютную, совершенную безопасность? Ведь, программисты совершенствуют своё мастерство ежедневно и ежечасно. И где гарантия, что завтра чья-то новая программная разработка не сломает всю установленную на вашем компьютере защиту? Быть может, есть какие-то другие решения для безопасности на все 100%?
Да, есть!
Рассказывает кандидат технических наук, член-корреспондент Инженерной Академии наук, директор Открытого акционерного общества «Производственное объединение "Вычислительная техника и средства автоматизации" (ОАО ПО "ВТ и СА") Игорь Вадимович ЯНЧЕВСКИЙ.
– Игорь Вадимович, расскажите о вашей разработке, предназначенной для защиты информации!
– Нами была разработана эффективная система организации разделенного и защищенного информационного пространства. Проблема защиты, разделения и доступа к каждой выделенной области с рабочего места нами решена путем создания многоканального компьютера 1855 А52 с возможностью выхода в N замкнутые (выделенные) информационные области (сети, области памяти). Построение 1855 А52 исключает взаимное проникновение между выделенными информационными пространствами и предусматривает полное отсутствие доступа к выделенным областям.
Толчком к созданию 1855 А52 послужило наблюдаемое нами регулярное внешнее обращение к компьютеру по сети из Интернета. Мы заметили, что после установки нашей системы, обращение из Интернета сначала резко увеличилось, а затем пропало. Очевидно, так и не достигнув памяти компьютера, расположенной в другой области внутреннего пространства, атакующие прекратили свои бесполезные попытки. Ведь, наша защита предусматривает отсутствие доступа к выделенным областям.
Так, например, у меня сегодня стоит обычный так называемый двухканальный компьютер. Но часть памяти в нем обособлена, к ней нет доступа из интернета, она заблокирована полностью, со 100%-й гарантией. И блокировка эта установлена не математическим (иными словами – программным) путём, а электронно-механическим. Потребность в таких обособленных областях памяти очень велика. Это крайне нужно и бизнесу, и государственным организациям. Практически, у любого руководителя есть информация, предназначенная исключительно для собственного пользования, которую он хотел бы надёжно скрыть от кого бы то ни было. Для министерств и других структур наличие таких обособленных информационных пространств, не доступных для кибер-атак, имеет жизненно-важное, государственное значение.
Добавлю, что стандарт по сертификации средств защиты информации, хотя предусматривает использование аппаратных средств, но все требования приведены только для использования программных методов защиты, (которые периодически обновляются) что большинство сертификаторов ставит в затруднение при сертификации по указанному стандарту, несмотря на положительное инженерное исследование.
– Каким образом можно перенести, в случае необходимости, какую-либо информацию из засекреченного участка памяти в традиционный, обычный?
– Перенос, при необходимости, востребованной информации осуществляется через внешнюю подключаемую память (например «флешки») с ее контролем на наличие вирусов или запрещенной информации.
Переключение экрана (клавиатуры, мышки, громкоговорителей и других аналогичных устройств) между каналами осуществляется переключением номера канала на клавиатуре. Поскольку через эти устройства передаются однонаправленные команды и информация, нет проникновения информации между каналами. При подключении «других» устройств должно выполняться правило отсутствия в них двунаправленной памяти, исключающей перенос информации между каналами через подключенное «другое» устройство.
– Расскажите поподробнее о компьютерной системе 1855 А52!
– В реальной обстановке, в общем виде, рабочее место и источники информации расположены как в охранной, так и вне охранной зоны. Эти зоны могут иметь разные категории защиты или часть из них вообще не иметь, к чему, например, относится Интернет.
Если Ваше рабочее место (по стандарту) не требует охранной зоны и аттестации по какой либо категории защиты секретной информации, включая утечку информации по сети, через излучение от подводящих сетей и т.д., то эта самая простая двухканальная реализация, например защита собственного информационного пространства компьютера от пространства Интернета, подаваемого в отдельный канал.
Многоканальная реализация потребуется в этом случае только при создании несколько внутренних обособленных информационных пространств, например:
- личные данные, к которым доступ возможен только владельцу рабочего места;
- подсоединение к Интернету;
- конкретные внутренние сети предприятия, доступны для определенных сотрудников;
- текущая сеть бухучета, для работников бухгалтерии и руководство и пр.
Важно то, что в сертифицированное рабочее место нельзя вводить сети с более низкой категорией. Для подключения каналов с более низкой категорией или без категории (например, Интернет) USB-выходы преобразуются в оптические сигналы и через защищенные оптические кабели выводятся в помещения охранной зоны соответствующей категории, где в помещениях, куда подводятся соответствующие каналы, и располагаются замкнутые канальные блоки. Указанные блоки, размещенные в небольших контейнерах, не имеют никаких органов управления, оптический преобразователь расположен внутри опечатанного контейнера и кроме входа канала имеют только подводку защищенной сети. Управление блоков осуществляется автоматически с рабочего места.
К такому информационному пространству, кроме оговоренной выше многоканальной реализации, можно отнести дополнительно:
- внутренние сети общения секретной информацией;
- секретный (первый) отдел, если установлена система компьютерного доступа;
- закрытые внешние подключенные сети (каналы связи) соответствующей категории и т. д.
Следующим шагом развития информационного пространства является непрерывный автоматизированный анализ окружающего гигантского объема информации (обработка которого требует нереального времени) по заложенной необходимости и заложенным критериям и сбор необходимой информации в отдельной структурированной памяти для ознакомления и использования только нужной информации. Мы надеемся решить и эту проблему.
Беседовал Валентин Шишлов
Контакты
Телефон: (495)626-23-37
E-mail:igorom46@mail.ru