Сергей
КОЖЕНЕВСКИЙ, компания «ЕПОС»
Сергей Прокопенко, компания «ЕПОС»
Источник: http://www.epos.ua/
Рукописи на жестких дисках не горят.
Народный ЕПОС
За последние несколько десятилетий компьютерные информационные технологии прочно вошли в нашу жизнь и стали составной частью документооборота. Первоначально отработанные механизмы обеспечения информационной безопасности для новых компьютерных систем уже не подходят, и требуют существенной модернизации. В первую очередь это касается отношения к информации, хранящейся на НЖМД.
Ранее для снятия информации с НЖМД был необходим физический доступ к носителю. Появление же компьютерных сетей создало новые угрозы безопасности информации, так как позволяет дистанционно, а иногда и скрыто от пользователя, получить доступ к хранимой на компьютере информации.
В настоящее время на развитие индустрии защиты информации (ЗИ), тратятся миллионы долларов. А по сути дела, решается одна задача – сделать открытую информацию доступной всем пользователям, а конфиденциальную – доступной только тому, кому она предназначается. Как в сфере бизнеса, так и в сфере государственного управления, уже скопились значительные объемы конфиденциальной информации, хранящиеся в базах данных персональных компьютеров. Эта информация представляет собой реальную ценность, а утечка ее в ряде случаев способна влиять даже на государственную безопасность.
Данное обстоятельство дало мощный толчок к развитию всевозможных программных и аппаратных средств добывания информации из ПК и компьютерных сетей. Особенно уязвимыми оказались сети, имеющие прямой выход в интернет.
Пути или каналы утечки информации, позволяющие несанкционированно и безнаказанно снимать копии с информации, непосредственно связаны с технологиями обработки, передачи и утилизации информации, хранящейся на НЖМД.
Быстрое устаревание компьютерных технологий это уже установившееся явление. Каждые два года (по закону Мура) ПК удваивают свою мощность. После смены двух поколений ПК не представляет собой никакой ценности и его нецелесообразно поддерживать технически и программно. Как правило, персональные компьютеры окупаются за 4 года, а это означает, что ИТ-компании должны заменять 25% компьютерного парка в течение каждого года. Замена этих компьютеров может осуществляться разными способами:
Во всех этих случаях старые ПК вывозятся вместе со всеми данными, на защиту которых были потрачены деньги и время, и это происходит в крупных организациях почти каждый день.
В то время, как существуют не только законы, но и аппаратные средства, запрещающие или препятствующие получению конфиденциальной информации, снятие данных со списанного НЖМД позволяет заинтересованному лицу не только обойти системы безопасности без проявления внешних признаков, но и сделать это практически законно.
Многие руководители организаций и пользователи ПК не знают, что простое удаление файлов или даже переформатирование жесткого диска фактически не удаляет данные. Стоит только однажды записать информацию на НЖМД и удалить ее из магнитной памяти диска будет очень сложно. Поэтому, казалось бы, безвредный акт списания старого компьютера или передача его в другую организацию – наиболее простой путь раскрытия информации с ограниченным доступом.
Кроме той конфиденциальной информации, о которой знают пользователи (бухгалтерской, финансовой, личной, перспективных разработках), на ПК может храниться множество других конфиденциальных данных, которые не всегда известны оператору. Приложения и операционные системы (ОС) хранят пароли, ключи шифрования и другие данные с ограниченным доступом в различных местах, включая файлы конфигурации и временные файлы. Операционные системы произвольным образом записывают содержимое памяти в файл подкачки на диске, что не дает возможности узнать, что из этих данных действительно сохранено на носителе.
В настоящее время проблемой является и установленное программное обеспечение персональных компьютеров. Практически все лицензионное ПО не может передаваться без лицензий со старым аппаратным обеспечением. Поэтому требование по удалению лицензионного ПО при продаже или передаче устаревшего ПК остается.
Еще одним и очень важным каналом утечки информации являются неисправные винчестеры. По мнению Ontrack – компании-мирового лидера по восстановлению информации с жестких дисков – в 78% случаев потери данных виноваты аппаратные сбои НЖМД.
Современные технологии хранения информации на магнитных носителях развиваются очень быстро. На современных винчестерах хранится в 500 раз больше информации, чем 10 лет назад. Значительно увеличилась плотность хранения информации и скорость вращения магнитных пластин, но к сожалению, такой показатель НЖМД, как надежность, ухудшился. Так, практически все производители дисков перешли с 3-х годичной гарантии на одногодичную.
Большинство дисков ломаются в гарантийный период и могут быть заменены по гарантии при условии сохранности пломб и отсутствии механических повреждений или следов вскрытия. При этом считать информацию с диска, переписать ее на другой носитель или стереть не предоставляется возможным по причине неисправности НЖМД. Жесткий диск с информацией обменивается фирмой-продавцом на новый накопитель, а неисправный накопитель отсылается производителю или переводится на длительное хранение. В большинстве случаев причина выхода НЖМД из строя – неисправность механики или контроллера, которые могут легко быть заменены или отремонтированы на заводе-производителе или в специализированном сервисном центре, которые находятся за рубежом. Огромное количество информации, в том числе и конфиденциальной, попадает в руки лиц, доступ которых нежелателен. Даже если представить, что в гарантийный период выйдет из строя 10% НЖМД при количестве проданных в Украине в 2002г. – 500 000 шт., то общий объем информации, уходящей за рубеж, в весовом выражении составит 25 тонн.
Над этими цифрами стоит задуматься
Обеспечение надежного уничтожения корпоративной информации в конце жизненного цикла НЖМД требует тщательной проработки вопросов безопасности информации.
Удаление данных с НЖМД само по себе не обеспечивает защиты информации. Процесс ЗИ должен основываться на ряде согласованных методик, обеспечивающих в конечном итоге высокую вероятность уничтожения информации.
Хотя ни одна из методик не может гарантировать 100% надежность уничтожения информации, существуют основные положения и условия защиты информации:
Таким образом, процедура обеспечения защиты информации, хранимой на НЖМД, должна включать следующие действия:
В настоящее время существует несколько способов уничтожения информации, хранимой на НЖМД. Уничтожение подразумевает стирание или удаление информации с жесткого диска таким образом, что ее невозможно восстановить ни обработкой на компьютерах с помощью специального ПО, ни с помощью лабораторных средств (например, изучение поверхностей магнитных пластин с помощью сканирующей микроскопии).
Способы уничтожения информации на НЖМД делятся на три большие группы:
По способу воздействия на накопитель:
В современных НЖМД запись информации на магнитный диск производят только головки записи. При воздействии магнитного поля головки записи происходит рост количества и размеров магнитных доменов, ориентированных по направлению этого поля. На магнитной поверхности под головкой создается информативная остаточная намагниченность, которая и регистрируется при считывании. Уровень поля головки меньше уровня насыщения магнитной среды, поэтому остаются магнитные домены сравнительно малого объема, ориентированные по направлению предшествующего магнитного воздействия. Магнитное поле этих доменов слабое и не влияет на результат считывания штатным контроллером. Однако эти домены могут быть обнаружены более чувствительными специальными головками (датчиками) или же выявлены при детальном анализе тонкой структуры магнитного поля, порождаемого участком рабочей поверхности накопителя.
На рис.1 показано рабочее место «реставратора» информации [1].
Рис. 1. Рабочее место «реставратора» информации [1]
Перезапись информации на НЖМД может производиться как на ПК, так и вне его с помощью специальных приборов (например, EPOS Tester HDD). В этом случае метод перезаписи можно назвать – программно-аппаратным.
Недостатки:
Достоинства:
Принятие решения о выборе метода уничтожения информации часто связано с оценкой рисков. Поэтому выбор метода уничтожения информации путем перезаписи тесно связан с ответами на вопросы: «– Какова вероятность потенциальной угрозы? – Какие усилия может приложить злоумышленник для восстановления ограниченной к доступу информации? – Если его действия увенчаются успехом, каковы возможные последствия?»
Часто, когда необходима повышенная надежность уничтожения информации, к НЖМД применяют механические методы уничтожения, при которых разрушается сам носитель информации.
Стоимость накопителей на жестких дисках значительно снизилась за последние годы. Поэтому, как и в случае гибких магнитных дисков, для многих компаний может быть экономически целесообразно уничтожать их, а не удалять секретную информацию. Но здесь мы сталкиваемся с проблемой высокой стоимости оборудования для механического уничтожения и процессом контроля уничтожения в случае наличия этого оборудования.
Механические методы уничтожения информации подразделяются на:
В табл. 2 представлены основные показатели механических методов уничтожения информации на НЖМД.
Таблица 2. Методы уничтожения информации на НЖМД
Механический | Измельчение носителя, его разрушение механическим воздействием. | Разрушающий метод. Возможно гарантированное уничтожение. |
Термический | Нагревание носителя до температуры разрушения его основы (или до точки Кюри) | Разрушающий метод. Гарантированное уничтожение. |
Пиротехнический | Разрушение носителя взрывом | Разрушающий метод. Возможно гарантированное уничтожение. Проблема обеспечения безопасности оператора. |
Металлотермический | Уничтожение основы носителя высокой температурой самораспространяющегося высокотемпературного синтеза (СВС). | Разрушающий метод. Гарантированное уничтожение. |
Химический | Разрушение рабочего слоя или основы носителя химически агрессивными средами. | Разрушающий метод. Гарантированное уничтожение. Проблема обеспечения безопасности оператора. |
Радиационный | Разрушение носителя ионизирующими излучениями | Разрушающий метод. Опасность облучения. |
Одни из них экологически небезопасны, другие могут обеспечить высокую надежность уничтожения информации, но требуют настолько специфического и дорогостоящего оборудования, которое могут позволить себе лишь единичные корпоративные пользователи.
Во всех этих методах отсутствует возможность повторного использования НЖМД.
В настоящее время оптимальным подходом для обеспечения надежности уничтожения информации без уничтожения носителя является использование физических средств, связанных с перестройкой структуры магнитного материала рабочих поверхностей носителя.
Для уничтожения информации на магнитных пластинах НЖМД необходимо устранить неоднородности вектора намагниченности участков рабочей поверхности, несущих информацию о предшествующих записях. Указанное изменение структуры поля вектора намагниченности магнитного слоя может быть выполнено несколькими принципиально различными способами:
Первый способ (нагревание) основывается на одном из важных эффектов магнетизма – при нагревании ферромагнетика до температуры, превышающей точку Кюри, интенсивность теплового движения атомов становится достаточной для разрушения его самопроизвольной намагниченности, и он становится парамагнетиком. При этой температуре ферромагнитный материал рабочего слоя теряет свою остаточную намагниченность, и все следы ранее записанной информации гарантированно уничтожаются.
Температура, соответствующая точке Кюри большинства ферромагнитных материалов рабочего слоя носителей информации, составляет несколько сот градусов. При этом надо учитывать, что каждый производитель НЖМД держит в секрете слои основы и состав ферромагнитного покрытия. Вероятнее всего, наиболее уязвимыми для температурных воздействий компонентами рабочего слоя и основы НЖМД окажутся связующие материалы органической природы. В этом случае при нагревании до высоких температур НЖМД выйдет из строя по причине плавления элементов конструкции, имеющих температуру плавления или деформации меньше точки Кюри для данного магнитного носителя.
Размагнитить ферромагнетик можно и другим способом – поместить его в медленно убывающее переменное магнитное поле.
В случае с НЖМД возникают трудности, связанные с большой коэрцитивной силой (остаточной намагниченностью) ферромагнитного покрытия диска. Получение сильных стационарных полей в зазорах электромагнитов ограничено индукцией насыщения магнитопровода, составляющей около 2 Тл. В [2] приводится информация об электромагните разработки АН СССР, который создает поле напряженностью в рабочем объеме 18 см3 и потребляет мощность из сети 36 кВт.
В случае использования мощного постоянного магнита на основе самарий-кобальт или сходных по характеристикам композиций на основе лантаноидов возникают технологические трудности. Расчеты показывают, что для создания равномерного поля в воздушном зазоре при размещении в нем НЖМД с максимальным формфактором до 87,5 мм (с учетом накопителей, используемых в серверах) необходим постоянный магнит сложной формы с концентратором поля. Учитывая технологические возможности современной промышленной базы, его создание принципиально возможно, но для единичного экземпляра или малой серии экономически нецелесообразно [3].
Более продуктивным является подход, связанный с намагничиванием рабочих поверхностей носителя до максимально возможных значений (насыщения) носителя [4,5].
Намагничивание. Способ основан на положении, что в случае НЖМД внешнее магнитное поле рассматривается как аналог поля, создаваемого магнитными головками при записи. Если характеристики внешнего поля будут превышать напряженность поля, создаваемого головками на такую величину, при которой произойдет магнитное насыщение материала поверхности диска, то все магнитные домены будут переориентированы по направлению этого внешнего поля и вся информация на НЖМД будет уничтожена.
Для ферромагнетиков характерен гистерезис при перемагничивании внешним магнитным полем. Под воздействием внешнего магнитного поля происходит ориентация элементарных магнитных полей, создаваемых круговым движением электронов в атомах ферромагнетика. В результате увеличиваются размеры магнитных доменов, ориентированных по направлению внешнего поля. После прекращения внешнего воздействия изменения, произошедшие в размерах и ориентации магнитных доменов, частично сохраняются. Появляется остаточная намагниченность вещества – след, оставленный в ферромагнетике внешним воздействием. Именно эту остаточную намагниченность материала носителя регистрируют затем устройства, считывающие записанную информацию.
Физические основы процессов, происходящих в накопителе под влиянием внешнего магнитного поля, связаны с его конструктивными особенностями и спецификой применяемых материалов. Ввиду того, что характеристика материала, из которого изготавливаются покрытия поверхностей современных НЖМД, как правило, фирмами-производителями не разглашаются, оценку величины напряженности намагничивающего поля приходится рассчитывать с некоторым запасом. Величина напряженности поля стирания для магнитной ленты при условии однопроходного воздействия должна превышать величину коэрцитивной силы в 4 раза.
Импульсные намагничивающие установки [2, 6, 7] удовлетворяют вышеперечисленным требованиям. Они обеспечивают:
Наиболее простыми импульсными источниками тока для намагничивающих устройств, являются источники, в которых энергия сети и емкостного накопителя поступает в виде импульса непосредственно в индуктор.
Блок-схема устройства намагничивания импульсного типа приведена на Рис. 6 [2].
В такой установке емкостной накопитель, представляющий собой батарею конденсаторов с емкостью С, заряжается до необходимого напряжения от специального зарядного устройства (ЗУ). Зарядное устройство подключается и отключается от сети с помощью коммутирующего устройства (КУ). Процессы включения и отключения зарядного устройства от сети, управления емкостным накопителем энергии управляются и контролируются системой управления (СУ).
Разряд емкостного накопителя энергии С на индуктор с сопротивлением R и индуктивностью L производится после подачи отпирающего импульса на управляющий вентиль, работающей либо в ручном, либо в автоматическом режимах. В этой схеме в качестве индуктора используется многовитковый соленоид.
Для полного уничтожения следов остаточной намагниченности носитель необходимо намагнитить до насыщения, а затем постепенно снизить напряженность поля до нуля. В индукторе это будет происходить тогда, когда индуктор будет работать в колебательном режиме переходного процесса.
Несколько слов о направлении прилагаемого внешнего магнитного поля. Направление внешнего магнитного поля задается конструкцией и формой витков индуктора. Для наибольшей эффективности намагничивания внешнее поле должно прикладываться в той же плоскости, в которой работают головки записи НЖМД. В этом случае эффект намагничивания максимален.
Магнитное поле, генерируемое намагничивающими установками при достаточной амплитуде намагничивающего импульса приводит к уничтожению служебной разметки поверхности диска и данных в секторах. При этом НЖМД выходит из строя, так как механика привода не может функционировать без служебной разметки диска. Это обстоятельство приводит к невозможности проверки надежности уничтожения информации. Получить доступ к информации на пластинах жесткого диска можно только при помощи его головок в случае работоспособности привода и электроники НЖМД. Невозможность функционирования привода не обеспечивает гарантии подтверждения полного уничтожения информации. Убедиться в том, что информация уничтожена, позволяют только средства визуализации магнитных полей носителя.