В настоящее время на развитие индустрии защиты информации (ЗИ), тратятся миллионы долларов. А по сути дела, решается одна задача - сделать открытую информацию доступной всем пользователям, а конфиденциальную - доступной только тому, кому она предназначается. Как в сфере бизнеса, так и в сфере государственного управления, уже скопились значительные объемы конфиденциальной информации, хранящиеся в базах данных персональных компьютеров (ПК). Эта информация представляет собой реальную ценность, а утечка ее в ряде случаев способна влиять даже на государственную безопасность.
Ранее для снятия информации с НЖМД был необходим физический доступ к носителю. Появление же компьютерных сетей создало новые угрозы безопасности информации, так как позволяет дистанционно, а иногда и скрыто от пользователя, получить доступ к хранимой на компьютере информации. Данное обстоятельство дало мощный толчок к развитию всевозможных программных и аппаратных средств добывания информации из ПК и компьютерных сетей. Особенно уязвимыми оказались сети, имеющие прямой выход в интернет.
Пути или каналы утечки информации, позволяющие несанкционированно и безнаказанно снимать копии с информации, непосредственно связаны с технологиями обработки, передачи и утилизации информации, хранящейся на НЖМД.
Утечка информации при замене исправного НЖМД
Быстрое устаревание компьютерных технологий - это уже установившееся явление. Каждые два года (по закону Мура) ПК удваивают свою мощность. После смены двух поколений ПК не представляет собой никакой ценности и его нецелесообразно поддерживать технически и программно. Как правило, персональные компьютеры окупаются за 4 года, а это означает, что ИТ-компании должны заменять 25% компьютерного парка в течение каждого года. Замена этих компьютеров может осуществляться разными способами:
Перенос ПК на другое место. Часто замена ПК принимает форму переноса компьютера с места, изначально предназначенного для решения определенных задач, на рабочее место, требующее меньшей вычислительной мощности. После переустановки операционной системы старый ПК можно будет использовать на новом месте как автоматизированную систему начального уровня. Однако переустановка системы не очищает НЖМД от ранее хранимой информации и вся или почти вся старая информация попадает к новому владельцу.
Продажа ПК как "second hand". Даже если ПК не находит применения в организации, он может быть продана полностью или по частям учреждениям, которые могут использовать его целиком или отдельные комплектующие (сервисные центры, начинающие пользователи и т.д.).
Дарение ПК. Очень часто устаревшие ПК безвозмездно передаются детским учреждениям или благотворительным организациям.
Во всех этих случаях старые компьютеры (вместе с жесткими дисками) вывозятся вместе со всеми данными, на защиту которых были потрачены деньги и время; в крупных организациях это происходит почти каждый день.
В то время, как существуют не только законы, но и аппаратные средства, запрещающие или препятствующие несанкционированному доступу к конфиденциальной информации, снятие данных со списанного НЖМД позволяет заинтересованному лицу не только обойти системы безопасности без проявления внешних признаков, но и сделать это практически законно.
Многие руководители организаций и пользователи компьютеров не знают, что простое удаление файлов или даже переформатирование жесткого диска фактически не удаляет данные. Стоит только однажды записать информацию на НЖМД и удалить ее из магнитной памяти диска будет очень сложно. Поэтому, казалось бы, безвредный акт списания старого компьютера или передача его в другую организацию - наиболее простой путь открытия доступа к информации с ограниченным доступом.
Кроме той конфиденциальной информации, о которой знают пользователи (бухгалтерской, финансовой, личной, перспективные разработки), на ПК может храниться множество других конфиденциальных данных, которые не всегда известны оператору. Приложения и операционные системы хранят пароли, ключи шифрования и другие данные с ограниченным доступом в различных местах, включая файлы конфигурации и временные файлы. Операционные системы произвольным образом записывают содержимое памяти в файл подкачки на диске, что не дает возможности узнать, что из этих данных действительно сохранено на носителе.
В настоящее время проблемой является и установленное программное обеспечение (ПО) персональных компьютеров. Практически все лицензионное ПО не может передаваться без лицензий со старым аппаратным обеспечением. Поэтому требование по удалению лицензионного ПО при продаже или передаче устаревшего компьютера остается.
Утечка информации при замене неисправного НЖМД
Еще одним и очень важным каналом утечки информации является неисправный жесткий диск. По мнению Ontrack - компании-мирового лидера по восстановлению информации на неисправных НЖМД - в 78% случаев потери данных виноваты аппаратные сбои НЖМД. Современные технологии хранения информации на магнитных носителях развиваются очень быстро. На современных НЖМД хранится в 500 раз больше информации, чем 10 лет назад. Значительно увеличилась плотность хранения информации и скорость вращения магнитных пластин, но, к сожалению, такой показатель, как надежность НЖМД, ухудшился. Так, практически все производители дисков перешли с 3-х годичной гарантии на одногодичную.
Большинство дисков ломаются в гарантийный период и должны быть заменены по гарантии при условии сохранности пломб и отсутствии механических повреждений или следов вскрытия. Считать информацию с диска, переписать ее на другой носитель или стереть не предоставляется возможным по причине неисправности НЖМД. В этом случае НЖМД с информацией обменивается фирмой-продавцом на новый накопитель, а неисправный накопитель отсылается производителю или переводится на длительное хранение. В большинстве случаев причина выхода НЖМД из строя - неисправность механики или контроллера, которые могут легко быть заменены или отремонтированы на заводе-производителе или в специализированном сервисном центре компьютерных систем, которые находятся за рубежом. Огромное количество информации, в том числе и конфиденциальной, попадает в руки лиц, доступ которых нежелателен. Даже если представить, что в гарантийный период выйдет из строя 10% НЖМД при количестве проданных в Украине в 2002г. - 500 000 шт., то общий объем информации, уходящей за рубеж, в весовом выражении составит 25 тонн.
500 000 x 0,1 x 0,5кг = 25 000кг
Над этими цифрами стоит задуматься
Основные положения защиты информации, хранимой на НЖМД
Обеспечение надежного уничтожения корпоративной информации в конце жизненного цикла НЖМД требует тщательной проработки вопросов безопасности информации.
Удаление данных с НЖМД само по себе не обеспечивает защиты информации. Процесс ЗИ должен основываться на ряде согласованных методик, обеспечивающих в конечном итоге высокую вероятность уничтожения информации.
Хотя ни одна из методик не может гарантировать 100% надежность уничтожения информации, существуют основные положения и условия защиты информации:
Необходимость физической защиты НЖМД. Кража ПК или отдельных накопителей приводит к утечке информации, поэтому необходимо обеспечить их физическую сохранность с момента окончания срока эксплуатации до получения документированного подтверждения об уничтожении данных.
Систематический контроль и ведение отчетности. Систематический контроль подразумевает отслеживание выбывающих из эксплуатации накопителей, контроль процесса уничтожения информации и составление отчета об отклонениях в этом процессе и допущенных ошибках. Необходимо фиксировать следующие сведения:
уникальный идентификационный код уничтожаемого накопителя;
дату и время уничтожения;
ФИО исполнителя;
использованную методику уничтожения.
Таким образом, процедура обеспечения защиты информации, хранимой на НЖМД, должна включать следующие действия:
Физическая защита информации, включающая в себя инвентаризацию и ограничения доступа к НЖМД.
Систематический контроль над процессом замены, передачи и уничтожения информации на НЖМД.
Использование стандартизованных приложений и методик по уничтожению информации на НЖМД.
Систематическая проверка процессов уничтожения информации на НЖМД.
Периодический контроль надежности уничтожения информации с произвольно выбранных НЖМД.
Выбор методик и способов для уничтожения информации на неисправных НЖМД, путем анализа категорийности хранимой на них информации.
Обеспечение процедуры сбора и уничтожения НЖМД.
Ведение отчетности по каждому уничтоженному НЖМД.
Способы уничтожения информации, хранимой на НЖМД
В настоящее время существует несколько способов уничтожения информации, хранимой на НЖМД. Уничтожение подразумевает стирание или удаление информации с жесткого диска таким образом, что ее невозможно восстановить ни обработкой на компьютерах с помощью специального ПО, ни с помощью лабораторных средств (например, изучение поверхностей магнитных пластин с помощью сканирующей микроскопии).
Способы уничтожения информации на НЖМД делятся на три большие группы:
Программные, в основу которых положено уничтожение информации, записанной на магнитном носителе, посредством штатных средств записи информации на магнитных носителях. В случае уничтожения информации на НЖМД программным методом, он может быть повторно использован в других ПК, после инсталляции новой ОС и приложений. Уничтожение производится наиболее простым и естественным способом - перезаписью информации. Перезапись - это процесс записи несекретных данных в область памяти, где ранее содержались секретные данные. Следует отметить очень важную деталь - при перезаписи информации работоспособность НЖМД полностью сохраняется, в случае, если он был полностью исправным. На изношенном или неисправном НЖМД провести надежное уничтожение информации невозможно.
Механические, связанные с механическим повреждением основы, на которую нанесен магнитный слой - физический носитель информации.
Физические, связанные с физическими принципами цифровой записи на магнитный носитель, и основанные на перестройке структуры магнитного материала рабочих поверхностей носителя.
По способу воздействия на накопитель:
без разрушения гермокамеры и рабочих поверхностей НЖМД;
с разрушением НЖМД.
Программные способы уничтожения информации на НЖМД
Начальный уровень (уровень 0). Наиболее простая и часто применяемая форма уничтожения информации на НЖМД. Вместо полного очистки жесткого диска в загрузочный сектор, основную и резервную таблицы разделов записывается последовательность нулей. Однако в этом случае данные на диске не уничтожаются, к ним усложняется доступ. Полный доступ к информации на НЖМД легко восстанавливается с помощью специального ПО, производящего анализ секторов диска (Norton DiskEdit, WinHex).
Уровень 1. Производится запись последовательности нулей или единиц в сектора данных. При этом уничтожается не только загрузочная область, но и данные. Обычным пользователям в этом случае практически невозможно восстановить уничтоженную информацию. Тем не менее, существует возможность восстановления информации при стирании перезаписью. В основе ее лежат:
ошибки оператора и неправильное использование ПО.
отказ ПО перезаписывать все адресуемое пространство диска.
остаточная информация в дефектных секторах.
анализ зон остаточной намагниченности и эффекте краев дорожек.
Восстановить информацию, удаленную этим методом, стандартными средствами невозможно. Для восстановления требуются специальные знания и оборудование.
Уровень 1+. Используются несколько циклов перезаписи информации. Чем больше циклов перезаписи информации, тем сложнее восстановить удаленные данные. Это связано с неточностью позиционирования головки. Чем больше раз головка перезапишет данные, тем выше вероятность, что она сотрет зоны остаточной намагниченности на краях дорожки. Последовательности, прописываемые в сектора данных, стандартизированы. Наиболее часто употребляемые сведены в табл. 2.
Таблица 2. Сравнительная таблица алгоритмов уничтожения данных
Алгоритм
Содержание алгоритма
Примечания
Руководство по защите информации МО США (NISPOM) DoD 5220.22-M, 1995г.
Количество циклов записи - 3. Цикл 1 - запись произвольного кода. Цикл 2 - запись инвертированного кода. Цикл 3 - запись случайных кодов.
NISPOM запрещает использование этого алгоритма для уничтожения данных с грифом: "СОВ.СЕКРЕТНО" Альтернативные способы (в соответствии с NISPOМ): -размагничивание; -физическое разрушение
Стандарт VISR, 1999г. (Германия)
Количество циклов записи - 3. Цикл 1 - запись нулей. Цикл 2 - запись единиц. Цикл 3 - запись кода с чередованием нулей и единиц.
ГОСТ Р50739-95г. (Россия)
Для классов защиты данных 1..3 Количество циклов записи - 2. Цикл 1 - запись нулей. Цикл 2 - запись случайных кодов. Для классов защиты данных 4..6. Один цикл записи нулей.
Алгоритм Брюса Шнейера (Bruce Schneier)
Количество циклов записи - 7. Цикл 1- запись единиц. Цикл 2 - запись нулей. Циклы 3..7 - запись случайных кодов
Алгоритм Питера Гутманна (Peter Gutman)
Количество циклов - 35. Циклы 1..4 - запись произвольного кода. Циклы 5..6 - запись кодов 55h, AАh. Циклы 7..9 - запись кодов 92h, 49h, 24h. Циклы 10..25 - последовательная запись кодов от 00, 11h, 22h и т.д. до FFh. Циклы 26..28 - аналогично циклам 7..9. Циклы 29..31 - запись кода 6Dh, B6h. Циклы 32..35 - аналогично циклам 1..4.
Перезапись затрудняет процесс восстановления информации, но такая возможность остается. Для восстановления информации требуется очень дорогое и сложное оборудование и ПО.
Перезапись информации на НЖМД может производиться как на ПК, так и вне его с помощью специальных приборов (например, EPOS Tester HDD - рис. 1).
Рис.1.Тестер HDD с программным методом уничтожения информации
Выводы по программным методам уничтожения информации на НЖМД:
Недостатки:
Низкая надежность уничтожения информации. После применения программных методов стирания информации перезаписью имеется возможность восстановления информации квалифицированным экспертом с помощью или без специальных средств.
Длительное время перезаписи информации носителя (десятки минут, часы). При многопроходной перезаписи время уничтожения информации для одного носителя умножается на количество проходов.
Перезапись информации возможна только на исправном НЖМД.
Достоинства:
Имеется возможность повторного использования НЖМД;
Низкая цена и стоимость эксплуатации ПО или специальных средств.
Принятие решения о выборе метода уничтожения информации часто связано с оценкой рисков. Поэтому выбор метода уничтожения информации путем перезаписи тесно связан с ответами на вопросы: «- Какова вероятность потенциальной угрозы? - Какие усилия может приложить злоумышленник для восстановления ограниченной к доступу информации? - Если его действия увенчаются успехом, каковы возможные последствия?»
Механические методы уничтожения информации на НЖМД
Часто, когда необходима повышенная надежность уничтожения информации, к НЖМД применяют механические методы уничтожения, при которых разрушается сам носитель информации.
Стоимость накопителей на жестких дисках значительно снизилась за последние годы. Поэтому, как и в случае гибких магнитных дисков, для многих компаний может быть экономически целесообразно уничтожать их, а не удалять секретную информацию. Но здесь мы сталкиваемся с проблемой высокой стоимости оборудования для механического уничтожения и процессом контроля уничтожения в случае наличия этого оборудования.
Механические методы уничтожения информации подразделяются на:
Механического воздействия. Измельчение носителя путем пропускания через устройство измельчения (шредер). НЖМД разрушается механически так, чтобы исключить возможность прочтения информации каким-либо способом с его рабочих дисков. При этом методе существует опасность, что при измельчении могут оставаться фрагменты, достаточно крупные, чтобы восстановить информацию в лабораторных условиях. Вскрытие корпуса гермокамеры в рабочем помещении (вне чистой комнаты) приводит к загрязнению пластин и выводу НЖМД из строя. В современном НЖМД пыль, как наждаком, стирает рабочий слой до основы (прозрачной стеклянной подложки) уже через несколько часов работы с вскрытой гермокамерой. Часто используемые на практике методы сверления отверстий и удары молотком по приводу на самом деле вовсе не уничтожают или уничтожают только малую часть информации.
Термический. Нагревание носителя до температуры плавления в специальных печах. При этом способе гарантия уничтожения информации наступает при разогреве носителя до температуры 800-1000?С. В этом случае информация становится абсолютно невосстанавливаемой по целому комплексу причин, в том числе и из-за перехода магнитного материала рабочего слоя через точку Кюри. Такой способ уничтожения информации может быть рекомендован для носителей, содержащих государственную тайну. Пожар в помещении, где находятся ПК или костер из НЖМД не приводят к уничтожению информации (рис. 2 и 3).
Рис.2.Компьютер после пожара в помещении, впоследствии полностью восстановленный.
Рис.3.Винчестеры компьютеров сгоревшего офиса. Информация была полностью восстановлена в сервисном центре.
Пиротехнический. Разрушение носителя взрывом.
Металлотермический. Уничтожение подложки диска, непосредственно на которую нанесено магнитное покрытые, высокой температурой самораспространяющегося высокотемпературного синтеза (СВС). При этом на подложку в процессе производства наносится специальный слой термитного покрытия.
Химический. Разрушение рабочего слоя или основы носителя химически агрессивными средами.
В табл. 2 представлены основные показатели механических методов уничтожения информации на НЖМД.
Таблица 3. Механические методы уничтожения информации на НЖМД
Механический
Измельчение носителя, его разрушение механическим воздействием.
Разрушающий метод. Возможно гарантированное уничтожение.
Термический
Нагревание носителя до температуры разрушения его основы (или до точки Кюри)
Разрушающий метод. Гарантированное уничтожение.
Пиротехнический
Разрушение носителя взрывом
Разрушающий метод. Возможно гарантированное уничтожение. Проблема обеспечения безопасности оператора.
Металлотермический
Уничтожение основы носителя высокой температурой самораспространяющегося высокотемпературного синтеза (СВС).
Разрушающий метод. Гарантированное уничтожение.
Химический
Разрушение рабочего слоя или основы носителя химически агрессивными средами.
Разрушающий метод. Гарантированное уничтожение. Проблема обеспечения безопасности оператора.
Радиационный
Разрушение носителя ионизирующими излучениями
Разрушающий метод. Опасность облучения.
Одни из них экологически небезопасны, другие могут обеспечить высокую надежность уничтожения информации, но требуют настолько специфического и дорогостоящего оборудования, которое могут позволить себе лишь единичные корпоративные пользователи.
Во всех этих методах отсутствует возможность повторного использования НЖМД.
Физические способы связаны с физическими принципами цифровой записи на магнитный носитель, и основаны на перестройке структуры магнитного материала рабочих поверхностей носителя. Наиболее широко применяется воздействие на рабочую поверхность жесткого диска магнитным полям. В силу определенных особенностей конструкции жестких дисков и применяемого в них способа записи в настоящее время применяется в основном воздействие мощным магнитным импульсом с целью намагничивания рабочей поверхности до насыщения.
Таким образом, в зависимости от того, от каких угроз необходима защита, можно выбрать соответствующий уровню угрозы метод уничтожения информации. При этом достоверность уничтожения информации должна быть подтверждена тем или иным способом. Особенно это относится к методам уничтожения информации, при которых внешне диск остается неповрежденным. Наибольшую трудность вызывает подтверждение надежности уничтожения информации путем воздействия магнитного импульса. Фактически в этом случае пригодны только различные методы визуализации магнитных полей рассеяния. При этом, в отличие от рассмотренных выше задач восстановления информации, разрешающая способность метода визуализации может быть и не очень высокой. Ведь для подтверждения гарантии уничтожения информации ее не обязательно полностью восстанавливать. Но если в процессе контроля качества уничтожения будут обнаружены остатки информации, то при применении более сложных методов ее можно будет восстановить. Поэтому для задач контроля качества уничтожения информации наиболее пригоден метод Биттера. Более того, задачу контроля качества уничтожения информации (по крайней мере, при уничтожении информации воздействием магнитного импульса) можно еще более упростить. Действительно, синхродоржка на поверхности жесткого диска записывается при изготовлении диска гораздо более мощным полем, чем во время эксплуатации диска записываются данные. Поэтому, если на поверхности диска не обнаружены остатки синхродоржки, то можно гарантировать, что все данные тем более уничтожены. Наличие же синхродоржки после визуализации магнитных полей методом Биттера могут быть обнаружены даже без применения микроскопа (рис. 4).
Рис.4.Визуализация магнитных полей рабочей поверхности жесткого диска.