Времена, когда можно было, надев белый халат, проникнуть в cвятая святых любого вычислительного центра, давно миновали. Сегодня, почти каждый серьезный пользователь эксплуатирует свою собственную область компьютера как “черный ящик” и для него как никогда важна защита от вирусов. Сотрудники допускаются к работе c помощью специальных блокирующих устройств только в том случае, если они располагают соответствующими удостоверениями (чаще всего в форме электронной или магнитной карты). При этом для каждого очевидно, что моменты начала и окончания заботы протоколируются. Однако даже электронные или магнитные карты имеют такой же недостаток, что и механические замок и ключ: они слепо повинуются владельцу. Любой, кто владеет ими считается, с точки зрения аппаратуры электронной блокировки, имеющим право быть допущенным к ЭВМ. Новейшие разработки все более и более переходят к тому, чтобы распознавать неизменяемые признаки конкретной личности для контроля доступа к ЭВМ. Эти, так называемые биометрические, данные либо с большим трудом, либо вовсе никак не поддаются копированию. К биометрическим данным относятся, например:
- фотография или изображение;
- отпечаток пальца;
- образец рисунка кожи;
- образец голоса;
- геометрия руки.
Этот тип защиты от вирусов, разумеется, может значительно снизить риск вмешательства извне. Право на доступ в этом случае становится “неотьемлемым” в буквальном смысле, как неотьемлем чемоданчик с деньгами, прикованный цепью к запястью банковского посыльного. На последствиях попытки несанкционированного доступа при таком типе защиты в данном случае мы останавливаться не будем.
С технической точки зрения более простым способом защиты, чем идентификация биомеханических данных несомненно является комбинация числового кода и магнитной карты. Этот способ более совершенен, чем защита с помощью “только ключа”. Способ, разумеется, предполагает некоторые интеллектуальные усилия со стороны персонала. Каждый служащий должен быть в состоянии по меньшей мере в течение “; часов удерживать в голове комбинацию из 4-5 цифр. Те, для кого это требование покажется невыполнимым, могут воспользоваться номером своей чековой книжки.
Для реализации этого способа контроля в настоящий момент есть все необходимое. Итак, какие вообще задачи должны выполняться посредством контроля доступа?
1) Контроль доступа должен гарантировать, что во время рабочего времени в помещении вычислительного центра находятся только лица, имеющие право на это (вне рабочего времени специальное оборудование блокирует доступ к компьютеру).
2) В самом вычислительном центре всегда должны находиться как минимум два человека одновременно.
3) Все действия должны в обязательном порядке протоколироваться.
4) Любой внос или вынос носителей с программами и данными должны быть запрещен.
Для того, чтобы добиться выполнения перечисленных требований, внутри предприятия образуют специальные зоны. Эти зоны образуются примерно следующим образом:
1) Открытые зоны (улица,подходы и подьезды к зданию) - никакой охраны
2) Открытые зоны предприятия (вестибюль, земельные участки предприятия, стоянка) - охранное наблюдение (визуальный и видео-обзор)
3) Зоны работы персонала (бюро, конференц-залы) - охрана с помощью швейцара, ключа или магнитной карты
4) Зона обеспечения ЭВМ (помещения для программирования, обработки бумаг) - охрана, обьединяющая в тех или иных соотношениях все, перечисленное в пункте 3, и/или с соблюдением принципа “четырех глаз”
5) Зона собственно компьютера (аппаратное обеспечение компьютера, архив данных, обеспечение защиты) - охрана, в зависимости от реализованного по пункту 4. По меньшей мере такая же.
6) Зона жизнеобеспечения центра (основные магистрали питания, телефонный коммутатор) - доступ только с сопровождающим.
Эта, теоретически достаточно хорошо продуманная структура и соответствующие мероприятия на практике зачастую доводятся персоналом до абсурда. Например, в том случае, когда один сотрудник попадаетв какую-нибудь зону, не используя свою магнитную карту, вместе с другим сотрудником. Потом аппаратура не пропускает “лишнего” сотрудника. Тогда он, чтобы удовлетворить требование защитной аппаратуры, сначала регистрирует свой приход, фактически давно уже совершенный, и только затем - уход. Разумеется и в этом случае есть возможность усовершенствования, которое повлечет за собой еще более жесткий контроль за сотрудниками. К примеру, проход в зону можно контролировать еще и по весу, чтобы одновременно мог пройти лишь один человек. Однако такие усовер- шенствования определенно не направлены на улучшение рабочего климата. Кроме того, всегда находится кто-то, кто даже из озорства, может перехитрить охрану. Поэтому создавая и совершенствуя охрану, необходимо помнить о правиле: охрана - хорошо, а доверие - лучше.
Контроль над вносом/выносом носителей данных представляется еще проблематичней, поскольку размеры этих носителей уже давно не превышают размер 16-дюймовой дискеты типа “Phoenix”. Как показано в предыдущих главах, опасность не обязательно исходит от лиц, проникающих в помещение ЭВМ с бейсбольными клюшками или гранатами, чтобы в нем разбить все в дребезги, а от лиц, которые добиваются доступа к ЭВМ для манипулирования ее программами или данными. Это можно предотвратить лишь посредством улучения структуры компьютера, которое позволит до мелочей контролировать каждого работающего.