Скорее всего, вы уже используете один из них, а именно, встроенный сетевой фильтр вашего роутера или модема.

В предыдущих материалах мы уже рассказывали о том, как защитить компьютер, смартфон или планшет от различных угроз с помощью установки специализированного ПО. Недостаток программных решений состоит в том, что практически ни одна защита не может быть лишена собственных уязвимостей. Поэтому в особенно ответственных случаях, когда информационная безопасность становится приоритетом № 1, например в государственных организациях, прибегают и к аппаратным решениям. Но не стоит считать, что такие методы будут слишком сложными, дорогими и избыточными для домашнего пользователя. Более того, скорее всего, прямо сейчас вы пользуетесь одним из таких решений, а именно, встроенным сетевым фильтром вашего роутера или модема. Также все чаще в ежедневном обиходе встречаются флешки и жесткие диски с шифрованием и другие технологии безопасности, реализованные на аппаратном уровне.

 

Электронные замки

Вход в операционную систему зачастую бывает закрыт паролем — особенно въедливые пользователи устанавливают его на загрузку компьютера в BIOS. А что, если ПК нельзя будет загрузить без специального аппаратного ключа? Электронные замки бывают биометрические (в этом случае ключом служит отпечаток пальца или рисунок сетчатки глаза), работающие на смарт-картах, USB-ключах или с использованием RFID-ключей и даже привычных «таблеток». Называются такие электронные замки аппаратно-программными модулями доверенной загрузки. Они обычно представляют собой плату для слота PCI или PCI-Express (либо mini PCI-Express, если речь идет об установке на ноутбук), устанавливающуюся в компьютер, и непосредственно регистрирующего устройства, к которому прикладываются ключи. Иногда может использоваться обычный USB-порт компьютера, и тогда для загрузки операционной системы и работы постоянно должен быть вставлен USB-ключ.

Безопасность компьютера: аппаратный уровень защиты

Для чего полезно применять электронные замки? Возьмем, к примеру, комплекс «Соболь» российского производства, способный работать как с USB-ключами, так и с ключами-«таблетками». Его основные функции — идентификация пользователей при загрузке системы, контроль аппаратной конфигурации компьютера и целостности операционной системы, а также защита от попыток несанкционированного доступа. Более простой вариант замка, который не контролирует аппаратные модификации, но заменяет пароль входа в систему на отпечаток пальца — USB-ключ N-Tegrity. В этом случае доступ в систему возможен и с использованием обычного пароля, но вход по отпечатку пальцев ускоряет такой процесс.

Безопасность компьютера: аппаратный уровень защиты

 

 

Аппаратное шифрование

Различные алгоритмы шифрования данных реализованы не только программно, но и на уровне контроллера многих современных жестких дисков. Если требуется максимальная производительность (как бы ни быстры были программы вроде TrueCrypt, они в любом случае используют процессорное время) вкупе с высокой стойкостью шифра имеет смысл обратить внимание на накопители, поддерживающие шифрование на уровне собственной прошивки. Модели с аппаратным шифрованием имеются у большинства ведущих производителей жестких дисков. Например, это внутренние жесткие диски Seagate Secure и твердотельные накопители Seagate Pulsar, внешние накопители WD My Passport Ultra и My Passport Studio. Стоит, однако, иметь в виду, что, согласно действующему законодательству, их продажа на территории России пока невозможна.

Безопасность компьютера: аппаратный уровень защиты

Также допустимо использовать и внешний модуль аппаратного шифрования для обычного жесткого диска, не оснащенного с завода такой возможностью. Например, подобное решение, к тому же сертифицированное ФСБ, продается под российским брендом «Криптон». Оно представляет собой плату, физически подключающуюся между контроллером системной платы и интерфейсом жесткого диска. Для системы плата абсолютно прозрачна, но если отсоединить модуль шифрования, то все данные на жестком диске, подключенном к другому компьютеру, окажутся абсолютно бессмысленными. Разумеется, целесообразно применять такие устройства совместно с решениями для контроля доступа.

 

Сетевые экраны

О работе сетевых экранов мы уже рассказывали, когда вели речь о программной защите ПК. Аппаратный файервол устанавливается в точке подключения рабочей сети офиса или предприятия. Он работает как фильтр, отсекающий заведомо небезопасные соединения с Интернетом и внешними сетями, а также известные каналы «утечки» данных из внутренней сети вовне. В зависимости от степени продвинутости аппаратного брандмаэура он способен работать очень гибко и устранять ряд сетевых угроз на самых дальних рубежах. Все это, опять же, снижает нагрузку на рабочие станции и компьютеры, а также высвобождает процессорное время, которое иначе тратилось бы на каждом компьютере на анализ сетевого трафика. Наиболее известные аппаратные фаерволы — защитные устройства компании Cisco, например, линейка Cisco ASA (Adaptive Security Appliance) и Check Point (линейка VPN). Аппаратные межсетевые экраны также позволяют создавать полностью безопасные соединения между двумя и более локальными сетями, проходящие через интернет-каналы. При этом пользователи таких соединений могут не бояться, что их трафик окажется в нелегитимных руках.

Безопасность компьютера: аппаратный уровень защиты

К сожалению, устанавливать настолько мощные (и дорогие!) решения в домашней сети совершенно нецелесообразно. Но сейчас даже доступная домашняя техника оснащается аппаратными технологиями безопасности. Хороший пример — бытовые маршрутизаторы и точки доступа. Найти среди них устройство, начисто лишенное функции сетевого фильтра, сейчас довольно проблематично. Возьмем, к примеру, популярный домашний роутер TP-Link TL-WDR4300 и зайдем в его настройки через веб-конфигуратор. Достаточно легко обнаружить в этом роутере способности аппаратного файервола: фильтрация определенных типов трафика, SPI, т.е. проверка пакетов на принадлежность существующему соединению (блокирование попыток проникнуть в сеть извне), фильтрация пакетов, которые могут перегрузить сеть и сделать ее уязвимой. Безусловно, это самая базовая защита, но даже она позволяет избежать определенных проблем при работе в Интернете, поэтому стоит ее включать.

Безопасность компьютера: аппаратный уровень защиты

Безопасность компьютера: аппаратный уровень защиты

Безопасность компьютера: аппаратный уровень защиты

Безопасность компьютера: аппаратный уровень защиты

Аппаратными средствами защиты следует пользоваться, когда речь идет о самых высоких приоритетах защиты информации: государственная и корпоративная тайна, коммерческие технологии, высококонфиденциальная информация. Однако уже сейчас, как мы убедились, эти технологии из области сверхдорогих и экзотических решений начинают превращаться в домашние.