Neoprávnený prístup -čítanie, aktualizácia alebo zničenie informácií v prípade absencie príslušného orgánu.
Neoprávnený prístup sa spravidla vykonáva pomocou mena niekoho iného, \u200b\u200bzmeny fyzických adries zariadení, použitia informácií zostávajúcich po riešení problémov, úpravy softvéru a podpory informácií, ukradnutia informačných médií, inštalácie záznamového zariadenia.
Aby mohla užívateľ úspešne chrániť svoje informácie, musí mať absolútne jasnú predstavu o možných neautorizované prístupové trasy, Uvádzame hlavné typické spôsoby neoprávneného prijímania informácií:
· Krádež úložných médií a priemyselného odpadu;
· Kopírovanie pamäťových médií s prekonaním bezpečnostných opatrení;
· Zamaskovať sa ako registrovaný užívateľ;
· Podvod (maskovanie podľa systémových požiadaviek);
· Používanie nedostatkov v operačných systémoch a programovacích jazykoch;
· Používanie softvérových záložiek a programových blokov typu trójskych koní;
· Odpočúvanie elektronického žiarenia;
· Odpočúvanie akustického žiarenia;
· Fotografovanie na diaľku;
· Používanie počúvacích zariadení;
· Zneškodnenie ochranných mechanizmov atď.
Na ochranu informácií pred neoprávneným prístupom použite:
1) organizačné činnosti;
2) technické prostriedky;
3) softvér;
4) šifrovanie.
Organizačné činnosti Patria medzi ne:
· Režim riadenia prístupu;
· Ukladanie médií a zariadení na bezpečné miesto (diskety, monitor, klávesnica atď.);
· Obmedzenie prístupu osôb do počítačových miestností atď.
Technické prostriedky Patria medzi ne:
· Filtre, obrazovky na zariadeniach;
· Kláves na uzamknutie klávesnice;
· Autentifikačné zariadenia - na čítanie odtlačkov prstov, tvaru ruky, dúhovky, techniky rýchlosti a tlače atď .;
· Elektronické kľúče na mikroobvodoch atď.
Softvérové \u200b\u200bnástroje Patria medzi ne:
· Prístup k heslu - nastavenie užívateľských oprávnení;
· Uzamknutie obrazovky a klávesnice pomocou kombinácie klávesov v nástroji Diskreet z balíka Norton Utilites;
· Používanie ochrany heslom BIOS - na samotnom systéme BIOS a na počítači ako celku atď.
šifrovanie– ide o konverziu (kódovanie) otvorených informácií na šifrované informácie, ktoré nie sú prístupné cudzincom. Šifrovanie sa primárne používa na prenos citlivých informácií cez nezabezpečené komunikačné kanály. Môžete zašifrovať akékoľvek informácie - texty, obrázky, zvuk, databázy atď. Ľudstvo používa šifrovanie od momentu, keď sa objavili tajné informácie, ktoré bolo potrebné pred nepriateľmi skryť. Prvá vedecká šifrovaná správa je egyptský text, v ktorom sa namiesto vtedy akceptovaných hieroglyfov použili iné znaky. Veda študuje metódy šifrovania a dešifrovania kryptológie , ktorého história má asi štyri tisíce rokov. Pozostáva z dvoch vetiev: kryptografie a kryptanalýzy.
kryptografie - Toto je veda o tom, ako šifrovať informácie. dešifrovanie - Toto je veda o metódach a metódach otvárania šifrov.
Zvyčajne sa predpokladá, že samotný šifrovací algoritmus je známy všetkým, ale jeho kľúč nie je známy, bez ktorého sa správa nedá dešifrovať. Toto je rozdiel medzi šifrovaním a jednoduchým kódovaním, pri ktorom na obnovenie správy stačí poznať iba kódovací algoritmus.
kľúč - Toto je parameter šifrovacieho algoritmu (šifra), ktorý vám umožňuje vybrať jednu špecifickú transformáciu zo všetkých možností, ktoré algoritmus poskytuje. Poznanie kľúča vám umožňuje slobodne šifrovať a dešifrovať správy.
Všetky šifry (šifrovacie systémy) sú rozdelené do dvoch skupín - symetrické a asymetrické (s verejným kľúčom). Symetrická šifra znamená, že ten istý kľúč sa používa na šifrovanie a dešifrovanie správ. V systémoch s verejný kľúč používajú sa dva kľúče - verejný a súkromný, ktoré sú vzájomne spojené pomocou matematických závislostí. Informácie sú šifrované pomocou verejného kľúča, ktorý je k dispozícii každému a sú dešifrované pomocou súkromného kľúča, ktorý je známy iba príjemcovi správy.
Kryptografická sila šifry - je to odolnosť šifry voči dešifrovaniu bez znalosti kľúča. Algoritmus sa považuje za robustný, ktorý pre úspešné zverejnenie vyžaduje protivníka nedosiahnuteľných výpočtových zdrojov, nedosiahnuteľného množstva zachytených správ alebo takú dobu, po ktorej už nebudú chránené informácie.
Jeden z najslávnejších a najstarších šifrov - caesarov kód, V tejto šifre je každé písmeno nahradené iným písmenom, ktoré sa nachádza v abecede daným počtom pozícií k napravo od neho. Abeceda sa zatvára v kruhu, takže posledné znaky sa nahradia prvými. Caesarov kód sa týka jednoduché substitučné šifry, pretože každý znak pôvodnej správy je nahradený iným znakom z rovnakej abecedy. Takéto šifry sa dajú ľahko odhaliť pomocou frekvenčnej analýzy, pretože v každom jazyku je frekvencia výskytu písmen približne konštantná pre akýkoľvek dostatočne veľký text.
Výrazne ťažšie sa zlomiť Šifra Vigenere, ktorý sa stal prirodzeným vývojom Caesarovej šifry. Na použitie šifry Vigenère sa používa kľúčové slovo, ktoré nastavuje premennú shift. Šifra Vigenere má výrazne vyššiu kryptografickú silu ako Caesarova šifra. To znamená, že je ťažšie ich zverejniť - zvoliť správne kľúčové slovo. Teoreticky, ak sa dĺžka kľúča rovná dĺžke správy a každý kľúč sa používa iba raz, šifra Vigenere sa nedá prasknúť.
úvod
Opatrenia na ochranu informácií pred neoprávneným prístupom sú: neoddeliteľnou súčasťou riadiace, vedecké, výrobné (obchodné) činnosti podniku (inštitúcie, spoločnosti atď.), bez ohľadu na ich oddelenie a formu vlastníctva, a vykonávajú sa v spojení s inými opatreniami na zabezpečenie zavedeného režimu dôvernosti. Pri organizovaní ochrany informácií pred neoprávneným prístupom počas ich spracovania a uchovávania v AS by sa mali zohľadniť tieto zásady a pravidlá na zabezpečenie informačnej bezpečnosti:
Súlad úrovne informačnej bezpečnosti s legislatívnymi ustanoveniami a regulačnými požiadavkami na ochranu informácií podliehajúcich ochrane podľa uplatniteľného práva, vrátane: výber triedy bezpečnosti rečníkov v súlade s údajmi o spracovaní informácií (technológia spracovania, špecifické prevádzkové podmienky rečníkov) a úroveň ich dôvernosti.
Identifikácia dôverných informácií a dokumentácie vo forme zoznamu informácií podliehajúcich ochrane, ich včasná úprava.
Najdôležitejšie rozhodnutia týkajúce sa ochrany informácií by mali robiť vedenie podniku (organizácia, spoločnosť), vlastník závodu.
Stanovenie postupu stanovenia úrovne prístupových práv subjektov, ako aj okruhu osôb, ktorým sa toto právo udeľuje.
Stanovenie a vykonávanie pravidiel kontroly prístupu, t. súbor pravidiel upravujúcich prístupové práva prístupových subjektov na prístup k objektom.
Stanovenie osobnej zodpovednosti používateľov za udržiavanie úrovne bezpečnosti AÚ počas spracovania informácií podliehajúcich ochrane podľa uplatniteľného práva.
Zabezpečenie fyzickej ochrany zariadenia, v ktorom sa nachádza chránená jadrová elektráreň (územie, budovy, priestory, skladovanie informačných médií) zriadením vhodných poštových staníc, technického zabezpečovacieho zariadenia alebo akýmkoľvek iným spôsobom, ktorý zabraňuje alebo podstatne komplikuje krádež počítačového zariadenia, informačných médií a neoprávneného prístupu na SVT a komunikačné linky.
Organizácia služby informačnej bezpečnosti (zodpovedné osoby, správca AS), ktorá zaznamenáva, ukladá a vydáva informačné médiá, heslá, kľúče, udržuje servisné informácie systému informačnej bezpečnosti NSD (generovanie hesiel, kľúčov, udržiavanie pravidiel kontroly prístupu), prijímanie nových softvérových nástrojov zahrnutých do AS, ako aj monitorovanie pokroku v technologickom procese spracovania dôverných informácií atď.
Systematická a prevádzková kontrola úrovne bezpečnosti chránených informácií, overovanie ochranných funkcií nástrojov informačnej bezpečnosti. Nástroje informačnej bezpečnosti musia mať osvedčenie potvrdzujúce ich súlad s požiadavkami na informačnú bezpečnosť.
Nástroje na zabezpečenie informácií- Jedná sa o súbor technických, elektrických, elektronických, optických a iných zariadení a prístrojov, zariadení a technických systémov, ako aj iných majetkových prvkov používaných na riešenie rôznych úloh ochrany informácií vrátane predchádzania únikom informácií a zabezpečenia bezpečnosti chránených informácií.
Prostriedky ochrany informácií z hľadiska predchádzania zámerným činnostiam sa vo všeobecnosti dajú rozdeliť do skupín: technický (hardvér), softvér, zmiešaný hardvér - softvér, organizačný.
Technické (hardvérové) prostriedky- sú to zariadenia rôznych typov (mechanické, elektromechanické, elektronické a iné), ktoré riešia úlohy súvisiace s ochranou informácií pomocou hardvéru. Bránia fyzickému prenikaniu alebo, ak k prenikaniu stále došlo, bránia prístupu k informáciám, a to aj prostredníctvom jeho maskovania. Prvá časť problému je riešená zámkami, lištami na oknách, bezpečnostnými alarmami atď. Druhou časťou sú generátory šumu, sieťové filtre, skenovanie
rádiá a mnoho ďalších zariadení, ktoré „blokujú“ potenciálne kanály úniku informácií alebo umožňujú ich detekciu. Výhody technických prostriedkov súvisia s ich spoľahlivosťou, nezávislosťou od subjektívnych faktorov a vysokou odolnosťou proti zmenám.
Hardvérová ochrana zahŕňa rôzne elektronické, elektromechanické a elektricko-optické zariadenia. Do súčasnosti
vyvinul sa významný počet hardvéru na rôzne účely, ale najbežnejšie sa používajú:
osobitné registre na ukladanie detailov ochrany: heslá, identifikačné kódy, supy alebo úrovne bezpečnosti;
zariadenia na meranie individuálnych charakteristík osoby (hlas, odtlačky prstov) na účely jej identifikácie;
schémy na prerušenie prenosu informácií v komunikačnej linke za účelom pravidelnej kontroly adresy dátového výstupu.
zariadenia na šifrovanie informácií (kryptografické metódy).
Softvérové \u200b\u200bnástroje zahŕňajú programy na identifikáciu užívateľa, riadenie prístupu, šifrovanie informácií, odstraňovanie zvyškov
(pracovné) informácie, ako sú dočasné súbory, kontrola systému
ochrana atď. Výhodami softvéru sú univerzálnosť, flexibilita, spoľahlivosť, ľahká inštalácia, možnosť úpravy a vývoja. Nevýhody - obmedzená sieťová funkčnosť, použitie časti zdrojov súborového servera a pracovných staníc, vysoká citlivosť na náhodné alebo úmyselné zmeny, možná závislosť od typov počítačov (ich hardvér).
Kombinovaný hardvér a softvér implementujú rovnaké funkcie ako hardvér a softvér osobitne a majú prechodné vlastnosti.
Organizačné nástroje pozostávajú z organizačno-technických (príprava priestorov s počítačmi, kabeláž, berúc do úvahy požiadavky obmedzenia prístupu k nim atď.) A organizačných a právnych (vnútroštátne zákony a predpisy stanovené vedením konkrétneho podniku). Výhodou organizačných nástrojov je to, že vám umožňujú riešiť mnoho rôznych problémov, ľahko sa implementujú, rýchlo reagujú na nechcené akcie v sieti, majú neobmedzené možnosti úprav a rozvoja.
Z hľadiska distribúcie a dostupnosti sa prideľuje softvér. Iné nástroje sa používajú, keď je potrebné poskytnúť ďalšiu úroveň informačnej bezpečnosti.
.Únikové kanály lietadla
Možné kanály úniku informácií sú kanály spojené s prístupom k prvkom systému a zmenami v štruktúre jeho komponentov. Druhá skupina zahŕňa:
úmyselné čítanie údajov zo súborov iných používateľov;
čítanie zvyškových informácií, to znamená, údajov zostávajúcich na magnetickom médiu po dokončení úloh;
kopírovanie pamäťových médií;
úmyselné použitie na prístup k informáciám o termináli
registrovaní užívatelia;
maskovanie ako registrovaný užívateľ ukradnutím hesiel a iných podrobností o obmedzení prístupu k informáciám použitým v systémoch spracovania;
použitie na prístup k informáciám o tzv. „prielezoch“, dierach a „medzierach“, tj o možnostiach obchádzania mechanizmu na kontrolu prístupu vyplývajúcich z nedokonalosti celosystémových komponentov softvér (operačné systémy, systémy správy databáz atď.) a nejasnosti programovacích jazykov používaných v automatizovaných systémoch spracovania údajov.
.Metódy informačnej bezpečnosti na slnku
V prítomnosti jednoduchých prostriedkov ukladania a prenosu informácií existovali nasledujúce metódy ich ochrany pred úmyselným prístupom a doteraz nestratili svoju hodnotu: obmedzenie prístupu; kontrola prístupu; oddelenie prístupu (privilégiá); konverzia kryptografických informácií; kontrola prístupu a účtovníctvo; legislatívne opatrenia.
Tieto metódy sa uskutočňovali čisto organizačne alebo pomocou technických prostriedkov.
S príchodom automatizovaného spracovania informácií sa fyzické médium informácií zmenilo a doplnilo o nové typy a technické prostriedky na ich spracovanie sa stali komplikovanejšími.
V tejto súvislosti sa vyvíjajú staré metódy a vznikajú nové metódy na ochranu informácií v počítačových systémoch:
funkčné metódy riadenia na zisťovanie a diagnostikovanie porúch, porúch hardvéru a ľudských chýb, ako aj softvérových chýb;
metódy na zvýšenie spoľahlivosti informácií;
metódy na ochranu informácií pred mimoriadnymi situáciami;
metódy kontroly vstupu pre internú inštaláciu zariadenia, komunikačných liniek a technologických kontrol;
metódy na vymedzenie a kontrolu prístupu k informáciám;
metódy identifikácie a autentifikácie používateľov, technické prostriedky, pamäťové médiá a dokumenty;
Spôsoby ochrany informácií pred neoprávneným prístupom možno rozdeliť do 4 typov
2.1 Fyzický prístup a prístup k údajom
Pravidlá kontroly prístupu k údajom sú jedinými existujúcimi metódami na dosiahnutie vyššie uvedených individuálnych požiadaviek na identifikáciu. Najlepšia politika riadenia prístupu je politika „minimálneho potrebného oprávnenia“. Inými slovami, používateľ má prístup iba k informáciám, ktoré potrebuje pri svojej práci. Prístup k informáciám klasifikovaným ako dôverné (alebo rovnocenné) a vyššie sa môže zmeniť a pravidelne potvrdzovať.
Na určitej úrovni (prinajmenšom dôverne alebo rovnocenne zaregistrovaná) by mal existovať systém kontrol a kontroly prístupu, ako aj registrácie zmien. Je potrebné mať pravidlá vymedzujúce zodpovednosť za všetky zmeny údajov a programov. Mal by sa nainštalovať mechanizmus na identifikáciu pokusov o neoprávnený prístup k zdrojom, ako sú údaje a programy. Vlastníci zdrojov, vedúci oddelení a pracovníci bezpečnostnej ochrany musia byť upozornení na možné porušenia, aby sa predišlo prípadným kolúziám.
2 Riadenie prístupu k hardvéru
Na kontrolu prístupu k internej inštalácii, komunikačným linkám a technologickým riadiacim orgánom sa používa zariadenie, ktoré umožňuje neoprávnené zásahy. To znamená, že vnútorná inštalácia zariadení a technologických nadstavieb a ovládacích panelov je uzavretá krytmi, dverami alebo krytmi, na ktorých je senzor namontovaný. Senzory sa aktivujú pri otvorení zariadenia a vysielajú elektrické signály, ktoré sa prenášajú cez zberné obvody do centralizovaného ovládacieho zariadenia. Inštalácia takého systému má zmysel s úplnejším prekrývaním všetkých technologických prístupov k zariadeniam vrátane sťahovania softvéru, ovládacieho panela počítača a externých káblových konektorov hardvéru. počítačový systém, V ideálnom prípade je pre systémy so zvýšenými požiadavkami na efektívnosť ochrany informácií vhodné uzavrieť kryty mechanickým zámkom so senzorom alebo kontrolovať inklúziu. personálne fondy prihlasovací systém - užívateľské terminály.
Monitorovanie neoprávneného zásahu je nevyhnutné nielen v záujme ochrany informácií pred neoprávneným prístupom, ale aj na účely dodržiavania technologickej disciplíny s cieľom zabezpečiť normálne fungovanie počítačového systému, pretože často sa počas prevádzky hlavné problémy opravujú alebo sa im zabráni a môže sa ukázať, že ste omylom zabudli pripojiť káblové alebo počítačové diaľkové ovládanie zmenilo program na spracovanie informácií. Z hľadiska ochrany informácií pred neoprávneným prístupom ochrana proti neoprávnenej manipulácii chráni pred nasledujúcimi činnosťami:
zmena a zničenie pojem Počítačové systémy a vybavenie;
pripojenie externého zariadenia;
zmeny v algoritme počítačového systému pomocou technologických diaľkových ovládačov a ovládacích prvkov;
sťahovanie vedľajších programov a zavádzanie softvérových „vírusov“ do systému;
používanie terminálov neoprávnenými osobami atď.
Hlavným cieľom systémov preukázateľných sabotážou je zastaviť všetky neobvyklé a technologické prístupy k zariadeniu na obdobie prevádzky. Ak sa to vyžaduje počas prevádzky systému, zariadenie, ktoré sa opravuje kvôli oprave alebo údržbe, sa odpojí od pracovného okruhu na účely výmeny informácií, ktoré sa majú chrániť pred začatím prác, a uvádza sa do pracovného okruhu pod dohľadom a kontrolou osôb zodpovedných za bezpečnosť informácií.
2.3 Konverzia kryptografických informácií
Ochrana údajov šifrovaním je jedným z možné riešenia obavy o bezpečnosť. Šifrované údaje sú k dispozícii iba pre niekoho, kto vie, ako ich dešifrovať, a preto je neoprávnené používanie krádeží šifrovaných údajov úplne zbytočné. Kryptografia poskytuje nielen utajenie informácií, ale aj ich pravosť. Utajenie sa zachováva šifrovaním jednotlivých správ alebo celého súboru. Autenticita informácií sa potvrdzuje šifrovaním špeciálnym kódom obsahujúcim všetky informácie, ktoré príjemca overil na potvrdenie totožnosti autora. Osvedčuje nielen pôvod informácií, ale tiež zaručuje ich stálosť. Dokonca aj jednoduchá transformácia informácií je veľmi efektívnym nástrojom, ktorý umožňuje skryť jej význam pred väčšinou nekvalifikovaných porušovateľov.
Kryptografia je dnes jediným známym spôsobom, ako zabezpečiť utajenie a autenticitu informácií prenášaných zo satelitov. Povaha štandardu šifrovania údajov DES je taká, že jeho algoritmus je verejne prístupný, iba kľúč musí byť tajný. Okrem toho by sa rovnaké kľúče mali používať na šifrovanie, dešifrovanie informácií, v opačnom prípade nebude možné ich prečítať.
Princípom šifrovania je kódovanie textu pomocou kľúča. V tradičných šifrovacích systémoch sa ten istý kľúč použil na kódovanie a dekódovanie. V nových systémoch s verejným kľúčom alebo asymetrickým šifrovaním sú kľúče spárované: jeden sa používa na kódovanie, druhý na dekódovanie informácií. V takomto systéme vlastní každý užívateľ jedinečný pár kľúčov. Jeden kľúč, tzv. „Verejný“, je známy všetkým a používa sa na kódovanie správ. Ďalší kľúč, nazývaný „tajný“, sa uchováva v prísnej dôvernosti a používa sa na dešifrovanie prichádzajúcich správ. Pri implementácii takéhoto systému môže jeden užívateľ, ktorý potrebuje poslať správu inému, zašifrovať správu pomocou verejného kľúča tohto systému. Môže ho dešifrovať iba vlastník súkromného tajného kľúča, preto je vylúčené nebezpečenstvo odpočúvania. Tento systém sa dá použiť aj na ochranu pred falšovaním digitálnych podpisov.
Praktické použitie šifrovania zabezpečenia internetu a intranetu kombinuje tradičné symetrické a nové asymetrické schémy. Šifrovanie verejného kľúča sa používa na vyjednávanie tajného symetrického kľúča, ktorý sa potom používa na šifrovanie skutočných údajov. Šifrovanie poskytuje najviac na vysokej úrovni bezpečnosť údajov. Hardvér aj softvér používajú rôzne šifrovacie algoritmy.
4 Kontrola a kontrola prístupu
S cieľom blokovať možné kanály neoprávneného prístupu k informáciám o PC sa okrem uvedených môžu použiť aj iné metódy a prostriedky ochrany. Ak používate počítač v režime viacerých používateľov, je potrebné v ňom použiť ovládací a prístupový program. Existuje mnoho podobných programov, ktoré často vyvíjajú samotní užívatelia. Špecifiká činnosti počítačového softvéru sú však také, že dostatočne skúsený programátor votrelcov môže pomocou svojej klávesnice ľahko obísť takúto ochranu. Toto opatrenie je preto účinné iba na ochranu pred neoprávneným porušovateľom. Komplex softvérových a hardvérových nástrojov pomôže chrániť pred profesionálnym votrelcom. Napríklad špeciálny elektronický kľúč vložený do voľného PC slotu a špeciálne fragmenty softvéru vložené do počítačových aplikačných programov, ktoré interagujú s elektronickým kľúčom podľa algoritmu známeho iba používateľovi. Ak neexistuje kľúč, tieto programy nefungujú. Takýto kľúč však nie je vhodný na použitie, pretože vždy, keď musíte otvoriť systémovú jednotku počítača. V tomto ohľade je jeho variabilná časť - heslo - zobrazená na samostatnom zariadení, ktoré sa stáva samotným kľúčom, a čítačka je nainštalovaná na prednom paneli systémovej jednotky alebo sa vykonáva ako samostatné samostatné zariadenie. Týmto spôsobom môžete zablokovať načítanie PC a program riadenia a prístupu.
Napríklad najobľúbenejšie elektronické kľúče dvoch amerických spoločností: Rainbow Technologies (RT) a Software Security (SSI) disponujú na domácom trhu množstvom elektronických kľúčov: NovexKey - NOVEX, HASP a Plug - ALADDIN atď. Väčšina z nich je určená na ochranu proti neoprávnenému kopírovaniu softvérového produktu, t. J. Na ochranu autorských práv na jeho vytvorenie, a to na iný účel. Kanály displeja, dokumentácia, softvér a informačné médiá, rušivé elektromagnetické žiarenie a zhromažďovanie informácií však nie sú vždy chránené. Ich prekrývanie je zabezpečené už známymi metódami a prostriedkami: umiestnenie počítača do bezpečnej miestnosti, vedenie záznamov a uchovávanie nosičov informácií v kovových skrinkách a trezoroch a šifrovanie.
Systém riadenia prístupu (SRD) je jednou z hlavných súčastí integrovaného systému informačnej bezpečnosti. V tomto systéme možno rozlíšiť tieto komponenty:
prostriedky autentifikácie prístupového subjektu;
prostriedky na obmedzenie prístupu k technickým zariadeniam počítačového systému;
prostriedky na vymedzenie prístupu k programom a údajom;
prostriedky blokovania neoprávnených krokov;
nástroje na zaznamenávanie udalostí
prevádzkovateľ služby systému kontroly vstupu.
Účinnosť fungovania systému riadenia prístupu je do značnej miery určená spoľahlivosťou mechanizmov autentifikácie. Mimoriadny význam má autentifikácia počas interakcie vzdialených procesov, ktorá vždy existuje pomocou kryptografických metód. Pri prevádzkovaní mechanizmov autentifikácie sú hlavnými úlohami:
generovanie alebo výroba identifikátorov, ich účtovanie a ukladanie, prenos identifikátorov užívateľovi a kontrola správnosti postupov autentifikácie v počítačovom systéme (CS). Pri ohrození prístupových atribútov (heslo, osobný kód atď.) Je potrebné zo zoznamu povolených vylúčiť naliehavé prípady. Tieto činnosti musí vykonať prevádzkovateľ služby systému kontroly prístupu.
Vo veľkých distribuovaných CA nie je problém generovania a doručovania identifikačných atribútov a šifrovacích kľúčov triviálnou úlohou. Napríklad distribúcia tajných šifrovacích kľúčov by sa mala vykonávať mimo chráneného počítačového systému. Hodnoty identifikátora používateľa by sa nemali ukladať a prenášať do systému v čistom texte. V čase zadávania a porovnávania identifikátorov je potrebné uplatňovať osobitné ochranné opatrenia proti špionáži na nastavení hesla a vplyvu škodlivých programov, ako sú keyloggery a simulátore SDR. Prostriedky obmedzovania prístupu k hardvéru bránia neoprávneným zásahom útočníka, ako je napríklad zapnutie hardvéru, načítanie operačného systému, vkladanie a výstup informácií, používanie núdzových zariadení atď. Kontrola prístupu vykonáva operátor DDS pomocou hardvéru a softvéru. Operátor SRD môže teda ovládať používanie kľúčov od zámkov zdroja napájania priamo k technickému nástroju alebo ku všetkým zariadeniam umiestneným v samostatnej miestnosti, diaľkovo ovládať zámok zdroja napájania zariadenia alebo zámok zaťaženia OS. Na úrovni hardvéru alebo softvéru môže operátor zmeniť technickú štruktúru nástrojov, ktoré môže konkrétny užívateľ použiť.
Prostriedky na vymedzenie prístupu k programom a údajom sa používajú najintenzívnejšie a vo veľkej miere určujú vlastnosti DDS. Tieto nástroje sú hardvér a softvér. Konfigurujú ich úradníci oddelenia, ktorí zaisťujú bezpečnosť informácií a menia sa, keď sa zmení oprávnenie používateľa alebo keď sa zmení štruktúra programu a informácií. Prístup k súborom je regulovaný správcom prístupu. Prístup k záznamom a jednotlivým poliam záznamov v databázových súboroch je tiež regulovaný systémami správy databáz.
Účinnosť systému DRS sa môže zlepšiť šifrovaním súborov uložených na externých úložných zariadeniach, ako aj úplným vymazaním súborov počas ich zničenia a vymazaním dočasných súborov. Aj keď útočník získa prístup k počítačovému médiu napríklad neoprávneným kopírovaním, nemôže získať prístup k informáciám bez šifrovacieho kľúča.
V distribuovaných CS je prístup medzi subsystémami, napríklad vzdialenými LAN, riadený firewally. Na riadenie výmeny medzi bezpečnými a neistými počítačovými systémami sa musí používať firewall. Súčasne je prístup riadený ako z nechránenej CS do chránenej, tak z chráneného systému do nechránenej. Počítač, ktorý implementuje funkcie brány firewall, je vhodné umiestniť na pracovníka CSIS operátora.
Prostriedky blokovania neoprávnených činností prístupových subjektov sú neoddeliteľnou súčasťou RDS. Ak atribúty prístupového subjektu alebo algoritmus jeho akcií nie sú pre tento subjekt povolené, ďalšia práca v CS takého votrelca sa ukončí pred zásahom operátora CSIS. Blokovacie nástroje vylučujú alebo značne komplikujú automatický výber prístupových atribútov.
Nástroje protokolovania udalostí sú tiež nevyhnutnou súčasťou RDB. Protokoly udalostí sú umiestnené na VZU. Tieto denníky zaznamenávajú údaje o užívateľoch vstupujúcich do systému a jeho odhlasovaní, o všetkých pokusoch o vykonanie neoprávnených krokov, o prístupe k určitým zdrojom atď. Časopis je nakonfigurovaný tak, aby zaznamenával určité udalosti a pravidelne analyzoval jeho obsah prevádzkovateľom povinností a vyššími úradníkmi. osoby z jednotky OBI. Je vhodné automatizovať proces nastavenia a analýzy denníka programovo.
Priame spravovanie DDS vykonáva prevádzkovateľ služby CSIS, ktorý spravidla vykonáva aj funkcie správcu dane CS. Načíta OS, poskytuje požadovanú konfiguráciu a prevádzkové režimy CS, zadáva poverenia a atribúty používateľov v DRS, monitoruje a riadi prístup používateľov k zdrojom CS.
.Nástroje informačnej bezpečnosti v počítačových systémoch
1 Typy APS SZI
Z vyššie uvedeného vyplýva, že ochrana softvérových a hardvérových informácií sa dá rozdeliť do niekoľkých typov:
Softvér a hardvér na ochranu informácií pred neoprávneným kopírovaním.
Softvérová a hardvérová kryptografická a stenografická ochrana informácií (vrátane prostriedkov na maskovanie informácií), keď sú uložené na dátových nosičoch a keď sú prenášané prostredníctvom komunikačných kanálov.
Softvér a hardvér znamená prerušenie užívateľského programu, ak porušuje pravidlá prístupu.
Softvérové \u200b\u200ba hardvérové \u200b\u200bnástroje na vymazanie údajov vrátane:
Softvér a hardvér na vydávanie alarmov pri pokusoch o neoprávnený prístup k informáciám.
Softvér a hardvér na zisťovanie a lokalizáciu činnosti softvéru a softvéru a technických záložiek.
2 Zariadenie na rýchle zničenie informácií na pevných magnetických diskoch „Stack-N“
Určené na rýchle (núdzové) vymazanie informácií zaznamenaných na pevných magnetických diskoch, ktoré boli v čase vymazania prevádzkované aj neprevádzkované.
Kľúčové vlastnosti produktov radu Stack:
maximálna možná rýchlosť zničenia informácií;
schopnosť byť natiahnutý na ľubovoľne dlhú dobu bez zníženia výkonu;
možnosť použitia v diaľkovo riadených systémoch s autonómnym napájaním;
nedostatok pohyblivých častí;
vymazanie informácií zaznamenaných na magnetickom médiu nastane bez jeho fyzického zničenia, ale následné použitie disku je opäť problematické.
Prístroj je k dispozícii v troch základných modeloch: Stack-HCl, Stack-HC2, Stack-HA1.
Model Stack-HCl je zameraný na vytvorenie pracoviska na rýchle vymazanie informácií z veľkého počtu pevných diskov pred ich likvidáciou. Má iba sieťové napájanie, vyznačuje sa krátkym časom na prepnutie do režimu „pripravenosti“ po nasledujúcom vymazaní. Model má nízku cenu a je veľmi ľahko ovládateľný (obr. 1).
Model „Stack-NS2“ je zameraný na vytváranie stacionárnych informačných trezorov pre počítačové údaje, má iba sieťovú energiu. Je vybavený systémami na udržiavanie teplotného stavu pevného disku, autotestovaním a môže byť tiež vybavený modulom diaľkovej inicializácie (obr. 2).
Stack-HAl model je zameraný na vytváranie prenosných informačných trezorov pre počítačové dáta, má sieťové a autonómne napájanie. Vybavený autotestovým systémom a vzdialeným inicializačným modulom.
Zariadenie sa dá použiť na vymazanie informácií z iných typov médií, ktoré sa zmestia do pracovnej komory s rozmermi 145 x 105 x 41 mm a majú podobné vlastnosti.
Produkt vymaže užitočné a servisné informácie zaznamenané na magnetickom médiu. Médium sa preto môže používať iba so špeciálnym vybavením. Okrem toho je v niektorých prípadoch možné nesprávne zarovnanie čelného bloku.
Uvádzame hlavné charakteristiky Stack-NS1 (2):
Maximálne trvanie prechodu zariadenia do režimu „Ready“ je 7-10 s.
Napájanie produktu je 220 V, 50 Hz.
Maximálny tepelný výkon je 8 wattov.
v cykle „Nabíjanie“ / „Vymazať“ - najmenej 0,5 hodiny
Rozmery - 235x215x105 mm.
Uvádzame hlavné charakteristiky Stack-HA1:
Maximálne trvanie prechodu zariadenia do režimu „Ready“ nie je dlhšie ako 15 ... 30 s.
Doba vymazania informácií na jednom disku je 300 ms.
Napájanie produktu - 220 V, 50 Hz alebo externá batéria 12 V.
Prípustné trvanie nepretržitej prevádzky výrobku:
v režime „Ready“ - nie je obmedzené;
v cykle „Nabíjanie“ / „Vymazať“ - najmenej 30 krát po dobu 0,5 hodiny
Rozmery - 235x215x105 mm.
3 Detektor LAN (Local Area Network) FLUKE
Protiopatrenia počítačové siete - Veľmi špecifická úloha, ktorá si vyžaduje zručnosti pozorovania a práce v pozadí. V tomto type služby sa používa niekoľko zariadení:
manuálny osciloskop;
reflektometer s časovou doménou s analýzou prechodných spojení na prácu na „bezplatnej linke“;
analyzátor sieťového prenosu / protokolový analyzátor;
počítač so špeciálnym softvérom na detekciu
prenosný analyzátor spektra.
Tieto prístroje sa používajú popri osciloskopoch, spektrálnych analyzátoroch, multimetroch, vyhľadávacích prijímačoch, röntgenových inštaláciách a ďalších protiopatrovacích zariadeniach, je to zariadenie pre tímy na pozorovanie protiopatrení (obr. 2). Základný nástroj poskytuje všetky funkcie káblového skenera vrátane funkcií vysoko kvalitného reflektometra v časovej oblasti. Možnosti analýzy prevádzky sú dôležité pri identifikácii a sledovaní porušení fungovania siete, prieniku hackerov a zaznamenávaní prítomnosti maskovaných sledovacích zariadení v miestnej sieti. LANmeter sa používa aj pri sieťových auditoch a inšpekciách.
Káblové analyzátory FLUKE DSP-2000 \\ DSP-4000 a merač parametrov FLUKE 105B sú tiež nevyhnutnými nástrojmi pre protiopatrenia a dopĺňajú LANmeter.
Počas inšpekcií vám osciloskop, ktorý je pripojený k sieti na všeobecné posúdenie, zvyčajne umožňuje sledovať priebeh a ich prítomnosť. V prípade nepovolených sledovacích zariadení s distribuovaným spektrom v sieti osciloskop zabezpečí rýchle zistenie tejto skutočnosti, ako aj indikáciu napätia, prítomnosť vysokofrekvenčného šumu a obmedzené informácie o prechodných pripojeniach.
Prenosný analyzátor spektra sa používa na rýchle zobrazenie vysokofrekvenčného spektra siete. Monitorovanie by sa malo vykonávať pre všetky signály, ktoré nezodpovedajú typickej forme v testovanej sieti. Ak sú všetky kombinácie sieťových vodičov starostlivo skontrolované na prítomnosť cudzích signálov (pomocou osciloskopu a spektrálneho analyzátora), používa sa analyzátor sieťovej prevádzky na monitorovanie akejkoľvek činnosti, ktorá sa vyskytuje v každom špecifickom segmente (alebo káblovom vstupe). Účelom je zistiť akékoľvek anomálie v sieťovej prevádzke, ktoré môžu slúžiť ako indikátor použitia špeciálneho softvéru, neoprávneného sledovania alebo bezpečnostnej diery.
Analyzátor sieťovej prevádzky zvyčajne vyhodnocuje iba hlavičky paketov a môže používateľovi poskytnúť niekoľko základných sieťových funkcií, ako napríklad prenos údajov z jedného programu do druhého (PING), sledovanie trasy (Trace Route), prezeranie DNS a poskytovanie zoznamov nájdených alebo aktívnych sieťových adries. Z tohto hľadiska dostane špecialista počítadlo zoznam všetkých sieťových objektov, ktoré potom môžu byť porovnané s fyzickým zoznamom.
Technik počítadla môže vypnúť segment siete (zvyčajne vypnutím smerovača alebo prepínača) a odpojiť všetky káble. To izoluje skupinu počítačov a časť káblov od zvyšku siete a poskytuje primeraný „kryt“ pre zvyšok inšpekcie. Fyzické zapojenie je možné skontrolovať na prítomnosť sledovacích zariadení alebo anomálií.
4 Systém informačnej bezpečnosti Secret Net 6.0
Sieť je certifikovaný prostriedok na ochranu informácií pred neoprávneným prístupom a umožňuje vám uviesť automatizované systémy do súladu s požiadavkami regulačných dokumentov:
Č. 98-ФЗ („O obchodnom tajomstve“)
Č. 152-ФЗ („O osobných údajoch“)
Č. 5485-1-ФЗ („O štátnom tajomstve“)
STO BR (Bank of Russia Standard)
Osvedčenia FSTEC Ruska umožňujú použitie SZI z tajnej siete NSD na ochranu:
dôverné informácie a štátne tajomstvá v automatizovaných systémoch do triedy 1B vrátane;
informačné systémy o osobných údajoch až do triedy K1 vrátane.
Na zabezpečenie pracovných staníc a sieťových serverov sa používajú rôzne ochranné mechanizmy:
silná identifikácia a autentifikácia;
autorizovaná a selektívna kontrola prístupu;
uzavreté softvérové \u200b\u200bprostredie;
ochrana kryptografických údajov;
iné ochranné mechanizmy.
Správca bezpečnosti má k dispozícii jeden kontrolný nástroj pre všetky ochranné mechanizmy, ktorý umožňuje centrálne riadenie a monitorovanie vykonávania požiadaviek bezpečnostnej politiky.
Všetky informácie o udalostiach v informačnom systéme týkajúce sa bezpečnosti sa zaznamenávajú do jediného denníka. Správca zabezpečenia bude okamžite vedieť o pokusoch používateľov o vykonanie nezákonných akcií.
Existujú nástroje na generovanie zostáv, protokoly predbežného spracovania, prevádzková správa vzdialených pracovných staníc.
Systém Secret Net pozostáva z troch komponentov: klientskej časti, bezpečnostného servera a subsystému správy (obrázok 3).
Systém Secret Net obsahuje architektúru klient-server, v ktorej časť servera poskytuje centralizované ukladanie a spracovanie údajov bezpečnostného systému a časť klienta poskytuje ochranu pracovných prostriedkov alebo serverových prostriedkov a ukladanie riadiacich informácií do svojej vlastnej databázy.
Klientska časť bezpečnostného systému (samostatná aj sieťová) je nainštalovaná na počítači obsahujúcom dôležité informácie, či už ide o pracovnú stanicu v sieti alebo na ľubovoľný server (vrátane bezpečnostného servera).
Hlavný účel klientskej časti:
ochrana počítačových zdrojov pred neoprávneným prístupom a vymedzenie práv registrovaných užívateľov;
registrácia udalostí vyskytujúcich sa na pracovnej stanici alebo sieťovom serveri a prenos informácií na bezpečnostný server;
vykonávanie centralizovaných a decentralizovaných kontrolných akcií správcu bezpečnosti.
Klienti Secret Net sú vybavení hardvérovými podpornými nástrojmi (na identifikáciu používateľov pomocou elektronických identifikátorov a na správu sťahovania z externých médií).
Bezpečnostný server je nainštalovaný na vyhradenom počítači alebo radiči domény a poskytuje riešenie nasledujúcich úloh:
udržiavanie centrálnej databázy (CDB) bezpečnostného systému, ktorá pracuje pod kontrolou databázy Oracle 8.0 Personal Edition DBMS a obsahuje informácie potrebné na fungovanie bezpečnostného systému;
zhromažďovanie informácií o udalostiach od všetkých klientov tajnej siete v jedinom denníku a prenos spracovaných informácií do subsystému správy;
interakcia so subsystémom riadenia a prenos riadiacich príkazov správcu do klientskej časti bezpečnostného systému.
Subsystém správy Secret Net je nainštalovaný na pracovisku správcu bezpečnosti a poskytuje mu nasledujúce funkcie:
autentifikácia užívateľa.
poskytovanie kontroly prístupu k chráneným informáciám a zariadeniam.
dôveryhodné informačné prostredie.
kontrola distribučných kanálov dôverných informácií.
kontrola počítačových zariadení a odcudzených úložných médií na základe centralizovaných politík, ktoré vylučujú únik dôverných informácií.
centralizovaná správa bezpečnostných politík, umožňuje rýchlo reagovať na udalosti NSD.
prevádzkové monitorovanie a bezpečnostný audit.
škálovateľný bezpečnostný systém, možnosť použitia tajnej siete (možnosť siete) v organizácii s veľkým počtom pobočiek.
Možnosti nasadenia tajnej siete 6
Režim offline - určený na ochranu malého počtu (až 20 - 25) pracovných staníc a serverov. Každý stroj sa navyše podáva lokálne.
Sieťový režim (s centralizovanou správou) - navrhnutý na nasadenie v doménovej sieti s Active Directory. Táto možnosť má centralizované nástroje na správu a umožňuje vám aplikovať bezpečnostné politiky v celej organizácii. Sieťová voľba Secret Net môže byť úspešne nasadená v komplexnej doménovej sieti
Schéma správy implementovaná v sieti Secret Net vám umožňuje spravovať informačnú bezpečnosť z hľadiska skutočnej oblasti a plne zabezpečiť prísne oddelenie právomocí medzi správcom siete a správcom bezpečnosti.
3.5 Elektronický zámok „Sable“
Navrhnuté na ochranu počítačových zdrojov pred neoprávneným prístupom.
Elektronický zámok (EZ) „Sable“ je certifikovaný FSTEC Ruska. Certifikát č. 1574 zo 14. marca 2008 potvrdzuje zhodu výrobku s požiadavkami Usmernenia Štátnej technickej komisie Ruska „Ochrana pred neoprávneným prístupom k informáciám. Časť 1. Softvér na zabezpečenie informácií. Klasifikácia podľa úrovne kontroly neprítomnosti neohlásených schopností “a umožňuje jej použitie pri vývoji ochranných systémov pre automatizované systémy s bezpečnostnou triedou do 1B vrátane.
Elektronický zámok Sobol sa môže používať ako zariadenie, ktoré chráni samostatný počítač, ako aj pracovnú stanicu alebo server, ktorý je súčasťou lokálnej siete.
Používajú sa tieto ochranné mechanizmy:
identifikácia a autentifikácia užívateľa; registrácia pokusov o prístup k PC;
zákaz zavádzania OS z vymeniteľných médií; kontrola integrity softvérového prostredia.
monitorovanie integrity softvéru
monitorovanie integrity systému register systému Windows
časovač strážneho psa
registrácia pokusov o prístup k PC
riadenie konfigurácie
Schopnosť identifikovať a autentifikovať používateľov, ako aj zaregistrovať pokusy o prístup k počítaču nezávisí od typu použitého operačného systému.
Akcia elektronického zámku Sobol spočíva v overení osobného identifikátora a hesla používateľa pri pokuse o prihlásenie do systému. V prípade pokusu o vstup do systému neregistrovaného používateľa sa v elektronickom zámku zaznamená pokus a až 4 zariadenia sú blokované hardvérom (napríklad: porty FDD, CD-ROM, ZIP, LPT, SCSI). Elektronický zámok využíva identifikáciu a vylepšenú (dvojfaktorovú) autentifikáciu používateľov pomocou osobných identifikátorov. Ako osobné identifikátory používateľa sa môžu použiť:
eToken PRO (Java).
inteligentná karta eToken PRO prostredníctvom USB čítačky Athena ASEDrive IIIe USB V2.
Zavádzanie operačného systému z pevný disk Vykonáva sa až po predložení registrovaného identifikátora. Servisné informácie o registrácii užívateľa (meno, číslo prideleného osobného identifikátora atď.) Sú uložené v energeticky nezávislej pamäti elektronického zámku. Elektronický zámok vedie systémový protokol, ktorého záznamy sú uložené v špeciálnej neprchavej pamäti. Protokol systému zaznamenáva prihlásenie používateľa, pokusy o prihlásenie, pokusy NSD a ďalšie udalosti súvisiace so zabezpečením systému. Uchovávajú nasledujúce informácie: dátum a čas udalosti, meno používateľa a informácie o type udalosti (napríklad skutočnosť, že sa používateľ prihlásil, nesprávne heslo, predloženie neregistrovaného ID užívateľa, prekročenie počtu pokusov o prihlásenie, ďalšie udalosti).
Elektronický zámok „Sable“ teda poskytuje správcovi informácie o všetkých pokusoch o prístup k počítaču.
Mechanizmus kontroly integrity používaný v komplexe Sobol vám umožňuje ovládať nemennosť súborov a fyzických údajov ťažké sektory disk pred načítaním operačného systému. Na tento účel sa vypočítajú niektoré kontrolné hodnoty testovaných objektov a porovnajú sa s referenčnými hodnotami predtým vypočítanými pre každý z týchto objektov. Vytvorenie zoznamu objektov, ktoré sa majú riadiť, s vyznačením cesty ku každému riadenému súboru a súradníc každého kontrolovaného sektora sa vykonáva pomocou programu na správu šablón riadenia integrity. Riadenie integrity pracuje pod kontrolou operačných systémov pomocou nasledujúcich súborových systémov: NTFS5, NTFS, FAT32, FAT16, FAT12, UFS, EXT2 a EXT3. Správca má možnosť nastaviť prevádzkový režim elektronického zámku, v ktorom budú používatelia blokovaní pri vstupe do systému, ak dôjde k narušeniu integrity kontrolovaných súborov. Subsystém prohibície pre zavádzanie z diskety a CD poskytuje zákaz načítania operačného systému z týchto vymeniteľných médií pre všetkých používateľov okrem administrátora. Správca môže povoliť jednotlivým používateľom počítača spustiť operačný systém z vymeniteľného média.
Na konfiguráciu elektronického zámku Sobol má správca schopnosť určiť minimálnu dĺžku hesla používateľa, maximálny počet neúspešných prihlásení používateľov, pridávať a odstraňovať používateľov, blokovať prácu používateľa v počítači, vytvárať zálohy osobné identifikátory.
Elektronický zámok Sobol sa môže používať ako súčasť systému ochrany informácií Secret Net na generovanie šifrovacích kľúčov a elektronického digitálneho podpisu. Okrem toho, keď sa používa Sob e-security ako súčasť siete Secret Net, poskytuje sa jediná centralizovaná správa jeho schopností. Pomocou subsystému správy tajných sietí môže správca bezpečnosti spravovať stav osobných identifikátorov zamestnancov: prideľovať elektronické identifikátory, dočasne ich blokovať, spôsobiť ich neplatnosť, čo vám umožňuje kontrolovať prístup zamestnancov k počítačom v automatizovanom systéme organizácie.
Základná sada elektronického zámku „Sable-PCI“ obsahuje (obr. 4):
ovládač Sobol-PCI
dotknite sa čítačky pamäte
dva identifikátory DS-1992;
rozhranie na blokovanie sťahovania pomocou FDD;
rozhranie pre blokovanie bootovania z CD-ROM;
softvér na generovanie zoznamov kontrolovaných programov;
dokumentácia.
6 Bezpečnostný systém podnikových informácií spoločnosti Secret Disk Server
Navrhnuté na ochranu dôverných informácií, podnikových databáz (obr. 5).
Systém je navrhnutý pre prácu v systéme Windows NT 4.0 Server / Workstation / 2000 Professional SP2 / XP Professional / Server 2000 SP2 / Server 2003. Použitie transparentnej metódy šifrovania pomocou silných šifrovacích algoritmov vám umožňuje pokračovať v práci počas počiatočného šifrovania údajov.
Podpora širokej škály jednotiek na ochranu jednotlivca pevné disky servery, akékoľvek diskové polia (SAN, polia softvéru a hardvéru RAID), ako aj vymeniteľné disky.
Systém nielen spoľahlivo chráni dôverné údaje, ale tiež skryje ich prítomnosť.
Pri inštalácii produktu Secret Disk Server NG sú vybrané logické jednotky šifrované. Prístupové práva pre nich sú nastavené pre používateľov siete nástroje systému Windows NT.
Šifrovanie sa vykonáva programovo pomocou ovládača režimu jadra.
Okrem zabudovaného algoritmu na konverziu údajov so 128-bitovou dĺžkou kľúča vám Secret Disk Server NG umožňuje pripojiť externé kryptografické ochranné moduly, napríklad certifikované ruské systémy na ochranu kryptografických informácií CryptoPro CSP verzia 2.0 / 3.0 a Signal-COM CSP, ktoré implementujú najvýkonnejší ruský šifrovací algoritmus GOST 28147-89 s dĺžkou kľúča 256 bit. Rýchlosť šifrovania je veľmi vysoká, takže len málo si bude môcť počas prevádzky všimnúť mierne spomalenie.
Šifrovacie kľúče sa zadávajú do ovládača tajných diskov NG Disk predtým, ako začnete pracovať s chránenými oddielmi (alebo keď sa spustí systém). Na tento účel sa používajú mikroprocesorové karty (čipové karty) chránené kódom PIN. Bez znalosti kódu nemôžete kartu používať. Kartu zablokujú tri pokusy o zadanie nesprávneho kódu. Keď je server spustený, čipová karta nie je potrebná a môže sa skryť na bezpečnom mieste.
Počas prevádzky systému sú šifrovacie kľúče uložené v systéme Windows pamäť RAM a nikdy sa nedostane na disk v odkladacom súbore. PIN kód a šifrovacie kľúče generuje užívateľ. Pri generovaní sa používa sekvencia náhodných čísiel vytvorená podľa dráhy myši a časových charakteristík stlačenia ľubovoľných kľúčov Disk Disk NG má otvorené rozhranie na signalizáciu „alarmu“ a umožňuje vám pripojiť rôzne senzory a zariadenia na kontrolu prístupu k miestnosti (senzory na otváranie dverí, okien, pohyb) , zmeny hlasitosti, elektronické a kombinované zámky).
Po pripojení chránených diskov je možné automatické spustenie potrebné programy a služby uvedené v konfiguračnom súbore. Po reštarte servera bez predloženia čipovej karty alebo pokuse o načítanie diskov na inom počítači budú chránené oddiely „viditeľné“ ako neformátované oblasti, ktoré sa nedajú prečítať. Ak nastane nebezpečenstvo, môžete okamžite „zničiť“ informácie tak, že chránené sekcie sa stanú „neviditeľnými“. Súčasťou balenia je inštalačné CD, univerzálne zariadenie pre prácu s čipovými kartami (externé), káblovými súpravami, špeciálnymi doskami Hardlock, dokumentáciou v ruštine, 3 čipovými kartami.
7 Systém ochrany súkromia Secret Disk
Disk je systém na ochranu dôverných informácií pre široké spektrum používateľov počítačov: manažéri, manažéri, účtovníci, audítori, právnici atď.
Pri inštalácii tajného disku sa v počítači zobrazí nový virtuálny logický disk (jeden alebo viac). Všetko, čo je do nej zapísané, je automaticky šifrované a keď je čítanie dešifrované. Obsah tejto logickej jednotky je v špeciálnom kontajneri - šifrovanom súbore. Súbor s tajným diskom môže byť umiestnený na pevnom disku počítača, na serveri, na vymeniteľnom médiu, ako sú Zip, Jaz, CD-ROM alebo magnetooptika. Disk poskytuje ochranu údajov, aj keď je takýto disk alebo samotný počítač odstránený. Používanie tajnej jednotky sa rovná vloženiu funkcií šifrovania do všetkých spustených aplikácií.
Pripojenie tajného disku a práca so šifrovanými údajmi je možné iba po hardvérovom overení vstupu používateľa a správnom hesle. Na autentifikáciu sa používa elektronický identifikátor - čipová karta, elektronický kľúč alebo prívesok na kľúče. Po pripojení tajnej jednotky sa prevádzka stane „viditeľnou“ windows ako ďalší pevný diska súbory v ňom zaznamenané sú dostupné pre všetky programy. Bez elektronického identifikátora a bez znalosti hesla nemôžete pripojiť tajnú jednotku - pre cudzincov zostane iba šifrovaný súbor s ľubovoľným menom (napríklad game.exe alebo girl.tif).
Chránený disk je možné zdieľať v lokálnej sieti rovnako ako akýkoľvek fyzický disk. Po odpojení jednotky budú všetky súbory a programy zaznamenané na nej neprístupné.
Zoznam kľúčových funkcií:
Ochrana dôverných údajov pomocou profesionálnych šifrovacích algoritmov (možnosť pripojenia externých kryptografických knižníc).
Generovanie šifrovacích kľúčov používateľom.
Autentifikácia hardvéru používateľa pomocou ovládačov elektronických kľúčov, čipových kariet, kariet PCMCIA alebo elektronických kľúčov.
Dvojitá ochrana. Každý tajný disk je chránený osobným elektronickým ID používateľa a heslom pre prístup na tento disk.
Práca so šifrovanými archívmi. Informácie môžu byť komprimované a šifrované pre seba (pomocou elektronického identifikátora),
a pre bezpečnú výmenu s kolegami (pomocou hesla).
Uzamknutie vášho počítača Secret Disk vám umožňuje vypnúť obrazovku a uzamknúť klávesnicu, keď vypnete elektronický identifikátor, keď stlačíte zadanú kombináciu klávesov alebo dlhodobú nečinnosť používateľa. Ak je systém uzamknutý, tajné jednotky sa neodpojia, bežiace aplikáciePoužívanie chránených údajov naďalej normálne funguje, práca ostatných používateľov, ktorým je zdieľaný prístup k tajnej jednotke v sieti, nie je prerušená.
Prevádzkový režim pod nátlakom. V kritickej situácii môžete zadať špeciálne núdzové heslo. Zároveň systém na chvíľu pripojí jednotku, zničí súkromný šifrovací kľúč v elektronickom identifikátore (čo znemožní prístup k jednotke v budúcnosti) a potom napodobní jeden zo známych chyby systému Windows.
Možnosť obnovy údajov v prípade straty (alebo úmyselného poškodenia) elektronického identifikátora alebo straty hesla.
Jednoduché a pohodlné užívateľské rozhranie.
Rozdiely v šifrovacích algoritmoch (v závislosti od potrieb je možné použiť jeden z vstavaných algoritmov):
vstavaný kódovací algoritmus s dĺžkou kľúča 128 bitov;
40-bitový kryptografický algoritmus RC4 zabudovaný do Windows 95, 98 (pre neamerickú verziu);
gOST 28147-89 kryptografický algoritmus s 256-bitovou dĺžkou kľúča (softwarový emulátor dosky Krypton alebo Krypton).
Doska Krypton je certifikovaná na ochranu štátnych tajomstiev a dodáva ju ANKAD na požiadanie.
Verzia DeLuxe - s hardvérovou ochranou bootstrap počítač.
8 Hardvérovo-softvérový komplex zabezpečovacieho zariadenia „Accord-AMDZ“
SZI NSD Accord-AMDZ je hardvérovo dôveryhodný bootovací modul (AMDZ) pre PC-servery a pracovné stanice lokálnej siete kompatibilné s IBM, ktorý chráni zariadenia a informačné zdroje pred neoprávneným prístupom.
Komplex je použiteľný na vybudovanie systémov ochrany informácií proti neoprávnenému prístupu v súlade s usmerneniami Ruskej federácie FSTEC (Štátna technická komisia) „Ochrana proti neoprávnenému prístupu k informáciám. Časť 1. Softvér na zabezpečenie informácií. Klasifikácia podľa úrovne kontroly neprítomnosti neohlásených schopností “- podľa úrovne 3 kontroly„ Automatizované systémy. Ochrana pred neoprávneným prístupom k informáciám. Klasifikácia automatizovaných systémov a požiadavky na ochranu informácií “podľa bezpečnostnej triedy 1D a na použitie ako prostriedok identifikácie / autentifikácie používateľov, monitorovania integrity softvérového a hardvérového prostredia osobného počítača (PC) pri vytváraní automatizovaných systémov, ktoré spĺňajú požiadavky Ruskej federácie FSTEC (Štátna technická komisia)„ Automatizované systémy. Ochrana pred neoprávneným prístupom k informáciám. Klasifikácia automatizovaných systémov a požiadavky na ochranu informácií “až do triedy 1B vrátane.
Komplex je kombináciou hardvéru a softvéru, ktoré zabezpečujú implementáciu základných funkcií ochrany proti neoprávnenému prístupu (PC) na základe:
používanie osobných identifikátorov používateľov;
mechanizmus hesla;
blokovanie zavádzania operačného systému z vymeniteľného pamäťového média;
kontrola integrity hardvéru a softvéru (všeobecne, aplikačný softvér a dátové súbory) PC (PC);
zabezpečenie dôveryhodného režimu spúšťania operačných systémov nainštalovaných v počítači.
Softvérová časť komplexu vrátane prostriedkov identifikácie a autentifikácie, prostriedkov monitorovania integrity hardvéru a softvéru PC (PC), prostriedkov zaznamenávania akcií používateľa, ako aj nástrojov na správu (nastavenie firmvéru) a auditovania (práca s denníkom) sa nachádza v energeticky nezávislej pamäti (EPR). ) kontrolór pri výrobe komplexu. Prístup k administratívnym a audítorským zariadeniam komplexu je poskytovaný iba správcovi BI.
Identifikáciu a autentifikáciu užívateľa, kontrolu integrity hardvéru a softvéru osobného počítača (PC) vykonáva komplexný radič pred načítaním operačného systému nainštalovaného v osobnom počítači (PC). Pri úprave systémového softvéru nie je potrebná výmena radiča. To poskytuje podporu pre špeciálny režim programovania radiča bez ohrozenia bezpečnosti.
Komplex poskytuje základné funkcie ochrany pred neoprávneným prístupom ako súčasť lokálneho počítača a na pracovných staniciach LAN ako súčasť integrovaného systému ochrany proti neoprávnenému prístupu do siete LAN vrátane nastavenia, monitorovania prevádzky a riadenia komplexu.
Kľúčové vlastnosti:
Ochrana zdrojov PC pred osobami, ktoré na tom nemôžu pracovať, identifikácia používateľov PC osobnými identifikátormi DS 199x - pred načítaním operačného systému (OS).
Autentifikácia používateľov PC heslom do 12 znakov zadaným z klávesnice (heslo nastavuje administrátor BI pri registrácii užívateľa), s ochranou heslom pred zavedením operačného systému (OS).
Uzamknite zavádzanie z odcudzených médií.
Monitorovanie integrity hardvéru, softvéru, podmienečne trvalých informácií osobného počítača (PC) pred zavedením operačného systému implementáciou krok za krokom riadiaceho algoritmu. Toto poskytuje ochranu pred zavedením deštruktívnych softvérových nárazov (RPV).
Podpora súborových systémov FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX, VMFS. Ide najmä o rodiny systémov MS DOS, Windows, QNX, OS / 2, UNIX, LINUX, BSD, vSphere atď.
Registrácia na PC (PC) do 16 používateľov.
Registrácia kontrolovaných udalostí do systémového denníka umiestneného v energeticky nezávislej pamäti radiča.
Možnosť fyzického prepínania riadiacich signálov periférnych zariadení v závislosti od úrovne užívateľských oprávnení, čo umožňuje riadenie vstupu / výstupu informácií na odcudzené fyzické médiá a zariadenia na spracovanie údajov.
Správa komplexného firmvéru (registrácia používateľov a osobných identifikátorov, priradenie súborov na kontrolu integrity, kontrola hardvéru PC, prezeranie systémového denníka).
Monitorovanie integrity programov a údajov, ich ochrana proti neoprávneným úpravám.
Registrácia, zhromažďovanie, uchovávanie a dodávanie údajov o udalostiach, ktoré sa vyskytujú v osobnom počítači (PC) ako súčasť systému ochrany proti neoprávnenému prístupu do siete LAN.
Diferenciácia prístupu používateľov a počítačových programov k hardvérovým zariadeniam podľa úrovne ich oprávnenia.
Accord-AMDZ je možné implementovať na rôzne kontroléry. Môže to byť: alebo PCI-X - kontroléry Accord-5MX alebo Accord-5.5 (obr. 6B) Express - regulátory Accord-5.5.e alebo Accord-GX (obr. 6A)
Mini PCI-express - Accord-GXM (Obr. 6B) PCI-Express polovičná karta - ovládač Accord-GXMH
9 Hardvérovo-softvérový komplex IP Safe-PRO
Navrhnuté na vybudovanie bezpečných virtuálnych súkromných sietí IP vytvorených na základe verejných sietí (vrátane internetu).
Je založený na počítači kompatibilnom s počítačom IBM PC s dvoma rozhraniami Ethernet ( základná konfigurácia) s operačným systémom FreeBSD (obr. 7).
Ďalšie vlastnosti:
statické smerovanie a funkcie brány firewall (ochrana proti spoofingu, spracovanie údajov podľa adries, portov, protokolov atď.);
schopnosť podporovať štandardy rozhrania G.703, G.704, V.35, RS-232 a ďalšie;
horúci pohotovostný systém;
pracovať v synchrónnom a asynchrónnom režime.
Použitý protokol rodiny IPsec je ESP (Encapsulating Security Payload, RFC 2406) v tunelovom režime (s nasledujúcimi bezpečnostnými službami: ochrana osobných údajov a integrita, autentifikácia zdroja údajov, skrytie topológie lokálnych podnikových sietí, ochrana pred analýzou prenosu).
Kľúčový systém je symetrický (s možnosťou centralizovanej a decentralizovanej správy).
Kryptografické algoritmy - GOST 28147, RC5, 3DES, DES, SHA-1, MD5.
10 CONTINENT 3.6 komplexný hardvérový a softvérový šifrovací komplex (obr. 8)
Komplex poskytuje kryptografickú ochranu informácií (podľa GOST 28147-89) prenášaných prostredníctvom otvorených komunikačných kanálov medzi nimi súčasti VPN, čo môžu byť miestne siete, ich segmenty a jednotlivé počítače.
Moderná schéma kľúčov, ktorá realizuje šifrovanie každého paketu na jedinečnom kľúči, poskytuje zaručenú ochranu pred možnosťou dešifrovania zachytených údajov.
V záujme ochrany proti prenikaniu verejnými sieťami poskytuje balík Continent 3.6 filtrovanie prijatých a odoslaných paketov podľa rôznych kritérií (adresy odosielateľa a príjemcu, protokoly, čísla portov, ďalšie polia paketov atď.). Podporuje VoIP, videokonferencie, ADSL, telefonické a satelitné komunikačné kanály, technológiu NAT / PAT na skrytie sieťovej štruktúry.
Kľúčové vlastnosti a vlastnosti kontinentálneho súboru APK 3.6:
.Kryptografická ochrana prenášaných údajov v súlade s GOST 28147-89
Kontinent APK 3.6 používa modernú schému kľúčov, ktorá implementuje šifrovanie každého paketu na jedinečný kľúč. To poskytuje vysoký stupeň ochrany údajov pred dešifrovaním v prípade odpočúvania.
Šifrovanie údajov sa vykonáva v súlade s GOST 28147-89 v gama režime so spätnou väzbou. Ochrana údajov pred skreslením sa vykonáva v súlade s GOST 28147-89 v režime imitácie. Správa kryptografických kľúčov sa vykonáva centrálne z NCC.
.Firewalling - ochrana segmentov vnútornej siete pred neoprávneným prístupom
Crypto brána Kontinent 3,6 umožňuje filtrovanie prijatých a odoslaných paketov podľa rôznych kritérií (adresy odosielateľa a príjemcu, protokoly, čísla portov, ďalšie polia paketov atď.). Chráni segmenty vnútornej siete pred prienikom z verejných sietí.
.Zabezpečený vzdialený prístup používateľov k sieťovým zdrojom VPN
Špeciálny softvér „Continent AP“, ktorý je súčasťou Continental APK 3.6, vám umožňuje organizovať zabezpečený prístup zo vzdialených počítačov do podnikovej siete VPN.
.Tvorba informačných subsystémov so zdieľaným prístupom fyzická úroveň
V kontinentálnom APK 3.6 môžete na každú kryptovú bránu pripojiť 1 externé a 3-9 interných rozhraní. Tým sa výrazne zlepší schopnosť používateľa konfigurovať sieť v súlade s politikou zabezpečenia spoločnosti. Najmä prítomnosť niekoľkých vnútorných rozhraní umožňuje oddeliť podsieť oddelení organizácie na úrovni sieťových kariet a vytvoriť potrebný stupeň interakcie medzi nimi.
.Podpora spoločných komunikačných kanálov
Pracujte prostredníctvom telefonického pripojenia, zariadenia ADSL pripojeného priamo k krypto-bráne, ako aj cez satelitné komunikačné kanály.
.„Transparentnosť“ pre všetky aplikačné a sieťové služby
Krypto-brány “Continent” 3.6 sú “priehľadné” pre všetky aplikácie a sieťové služby bežiace cez TCP / IP, vrátane multimediálnych služieb, ako sú IP telefonovanie a videokonferencie.
.Pracujte s vysokou prioritou prenosu
Mechanizmus stanovovania priorít prenosu implementovaný v kontinente IPPCS 3.6 umožňuje chrániť hlasovú komunikáciu (VoIP) a videokonferencie bez straty kvality komunikácie.
.Rezervácia garantovanej šírky pásma pre určité služby
Zaručenie zaručenej šírky pásma pre určité služby zaisťuje tok prevádzky elektronická poštasystémy pracovných tokov atď. aj pri aktívnom využívaní IP telefónie na nízkorýchlostných komunikačných kanáloch.
Podpora VLAN
Podpora VLAN zaisťuje ľahkú integráciu APPC do sieťovej infraštruktúry rozdelenej na virtuálne segmenty.
.Skrytie vnútornej siete. Podpora technológií NAT / PAT
Podpora technológie NAT / PAT vám umožňuje skryť vnútornú štruktúru chránených segmentov siete pri prenose otvoreného prenosu, ako aj organizovať demilitarizované zóny a segmenty chránené siete.
Skrytie vnútornej štruktúry chránených segmentov podnikovej siete sa vykonáva:
zapuzdrenie prenášaných paketov (pri šifrovaní prenosu);
použitie prekladu sieťových adries (NAT) pri práci s verejnými prostriedkami.
11. Schopnosť integrácie so systémami detekcie útokov
Na každej krypto-bráne je možné špecificky vybrať jedno z rozhraní na kontrolu prevádzky prechádzajúcej cez KS na prítomnosť neoprávnených pokusov o prístup (sieťové útoky). Aby ste to mohli urobiť, musíte definovať také rozhranie ako „port SPAN“ a pripojiť počítač nainštalovaný systém detekcia útoku (napr. RealSecure). Potom sa do tohto rozhrania začnú prenášať všetky pakety prichádzajúce na vstup paketového filtra krypto-brány.
3.11 Puzdro na prepravu "SHADOW K1"
„SHADOW K1“ je určený na prepravu prenosných počítačov alebo jednotlivých diskov na pevných a magnetických diskoch (HDD) (kazety so stuhami, disky ZIP) s možnosťou havarijného zničenia informácií pri vykladaní pevných diskov (obr. 11).
Štruktúra komplexu je namontovaná v prachotesnom a vlhkom prostredí odolnom voči výbuchu, v ktorom sa bude prenosný počítač prepravovať. Chránené informácie sú umiestnené na prídavnom pevnom disku, ktorý je umiestnený v puzdre oddelenom od prenosného počítača v špeciálnej priehradke a je k nemu pripojený pomocou kábla externého rozhrania.
Núdzové zničenie informácií sa vykonáva:
automaticky pri pokuse o neoprávnené otvorenie prípadu;
automaticky pri pokusoch o neoprávnené otvorenie priestoru, kde sa nachádza chránený pevný disk;
automaticky po 24 hodinách životnosti batérie;
vzdialene na základe príkazu používateľa. Proces zničenia nemá vplyv na výkon notebooku a nezávisí od toho, či sa práca uskutočnila;
s informáciami v tejto chvíli alebo nie. Možný výrobný komplex na prepravu pevné disky, diskety, zvukové kazety, video, kazety so stuhami.
Komplex môže byť v dvoch režimoch: pohotovostný režim (RO) a bezpečnostný režim (P1).
V režime RO sa testujú všetky hlavné uzly, bloky a senzory. Bezplatný prístup k notebooku alebo magnetickým médiám.
V režime P1 sa informácie automaticky ničia, keď dôjde k pokusu o neoprávnený prístup alebo užívateľom kedykoľvek prostredníctvom rádiového kanála (dosah až 100 metrov). Demontáž - zapnutie stráženia sa vykonáva pomocou bezkontaktnej elektronickej karty Proximity.
Komplex SHADOW má autonómne napájanie, ktoré zaisťuje nepretržitú prevádzku až 24 hodín.
Ďalšie vlastnosti:
zničenie informácií na príkaz používateľa z ľubovoľného mobilný telefón cez kanál GSM;
plná ochrana puzdra, okrem nesprávneho otvorenia a vŕtania;
úplné zaznamenávanie operácií v reálnom čase, zaznamenávanie posledných 96 udalostí v energeticky nezávislej pamäti s podrobným popisom.
12 Hardvérovo-softvérový systém kryptografickej ochrany správ SX-1
Hardvérový softvérový systém SX-1 je určený na kryptografickú ochranu správ prenášaných prostredníctvom komunikačných kanálov medzi počítačmi alebo uložených v pamäti počítača (obr. 9).
Prvýkrát v domácej a zahraničnej kryptografickej praxi je implementovaný do systému SX-1 šifra chaotického prúdu.
Systém SX-1 poskytuje:
kryptografická konverzia prenášaného (prijatého) alebo vygenerovaného textu a (alebo) grafických správ vo forme súborov a ich zaznamenanie na pevné alebo flexibilné disky;
vysoká odolnosť kľúčových údajov voči ich kompromisom pri akomkoľvek zásahu narušiteľov a personálu obsluhujúceho hardvér a softvér;
zaručený výkon špecifikovaných funkcií po dobu najmenej 2 rokov bez zmeny systémového kľúča.
Systém SX-1 obsahuje:
Karta s počítačom s jedným čipom (OEWM) inštalovaným v slote ISA počítača IBM PC / AT PC (alebo umiestneného v samostatnom kontajneri s rozmermi 140 x 110 x 35 mm) a pripojená k počítaču pomocou konektora COM;
Špeciálny softvér (STR) nainštalovaný v počítači so systémom Windows.
Hlavné charakteristiky systému:
Pravdepodobnosť uhádnutia systémového kľúča z k-tého pokusu nie je väčšia ako k2-240 .
Pravdepodobnosť uhádnutia kľúča relácie z k-tého pokusu nie je väčšia ako k10-10 .
Rýchlosť kryptografického prevodu nie je menšia ako 190 000 bps.
Použitie kryptografických šifrovacích algoritmov s kľúčovou dĺžkou 128 bitov alebo viac na šifrovanie údajov;
Možnosť pripojenia kryptografického modulu „Krypton“ s certifikáciou FAPSI vyrobeného spoločnosťou Ankad alebo dosky Krypton, ktorá implementuje šifrovací algoritmus GOST 28147-89 s dĺžkou kľúča 256 bitov;
Generovanie jedinečných šifrovacích kľúčov na základe postupnosti náhodných čísel.
Ak chcete nainštalovať systém, musíte:
Nainštalujte systém SX-1 z dodanej diskety a postupujte podľa pokynov, ktoré sa postupne zobrazujú na obrazovke počítača.
Pripojte ku konektorom kontajnera počítač s jedným čipom, napájací kábel z adaptéra dodávaného s dodávkou a dodaný kábel na pripojenie kontajnera k počítaču.
Pripojte nádobu pomocou kábla ku konektoru COM.
Pripojte adaptér na striedavý prúd 220 V 50 Hz.
13 Firewall a IP-stream kodér PAC "FPSU-IP"
Navrhnuté pre firewall a ochranu kryptografických údajov pri vytváraní virtuálnych súkromných sietí (Virtual Private Networks) vo verejných sieťach (obr. 10).
Osobný firewall FPSU-IP / Client má FSTEC certifikát č. 1281 pre bezpečnostnú triedu 5 v súlade s RD pre firewally a počas komunikačnej relácie so základným firewallom FPSU-IP (FSTEC certifikát č. 1091 z 10/31/2011 .) - 3 triedy bezpečnosti. Ako šifrovacie jadro sa používa certifikovaný FSB (certifikát č. SF / 124-1906 z 13. augusta 2012 na úrovni KS1), nástroj na ochranu kryptografických informácií „Tunnel 2.0“.
Tento softvérový a hardvérový systém poskytuje bezpečnú výmenu informácií medzi vzdialenou účastníckou stanicou (pracovnou stanicou) a sieťou chránenou komplexom FPSU-IP prostredníctvom otvorených sietí na prenos údajov. Komplex FPSU-IP / Client je nainštalovaný na pracovnej stanici vzdialeného používateľa a slúži ako firewall a tvorca VPN pre informačné interakcie „pracovné stanice - zabezpečené servery“. Zabezpečuje sa tým autentizovaný a bezpečný prístup k serverom chráneným komplexom FPSU-IP vytvorením pripojenia VPN medzi pracovnou stanicou a centrálnym komplexom FPSU-IP. Administratívna správa, kontrola a audit všetkých pripojení VPN sa vykonáva centrálne pomocou pracovnej stanice „Remote Management“ a súčasne môžu byť použité až 4 pracovné stanice s príslušným oprávnením, ktoré predurčuje vysokú stabilitu a spoľahlivosť správy s možnosťou vykonať krížový audit správy.
ME „FPSU-IP / Client“ pozostáva z užívateľského softvéru, ako aj z aktívneho zariadenia USB „VPN-key“ (obr. 11), ktoré ukladá jedinečný identifikátor klienta, kľúč a servisné informácie a je v podstate virtuálnym mikro- Počítače s príslušnou architektúrou.
Vďaka kompresii informácií komplex poskytuje zreteľné zvýšenie rýchlosti prenosu dát, má schopnosť simultánne podporovať až 1024 kryptograficky bezpečných spojení pri rýchlosti šifrovania priechodu z celkového IP toku až do 90 Mbps. Komplex využíva iba svoje vlastné implementácie všetkých protokolových protokolov TCP / IP, algoritmy pre automatizované riadenie komplexov a kryptografické ochranné nástroje v nich zabudované.
FPSU-IP / Client pracuje pod operačnými systémami radu Windows XP / Vista / 7 / Server 2003 / Server 2008, Linux, MacOS. Ak chcete implementovať bezpečnú interakciu na pracovnej stanici (PC), musíte najprv nainštalovať užívateľský softvér „FPSU-IP / Client“, vložiť „VPN-kľúč“ do USB portu počítača a na výzvu „pop-up“ (po pripojení „VPN-kľúč“) Zadajte príslušný PIN.
Potom komplexy FPSU-IP / klient a FPSU-IP (obsahujúce zodpovedajúci podsystém na obsluhu komplexov FPSU-IP / klient) vytvoria zabezpečené pripojenie a autentifikujú a autorizujú používateľa. K autentifikácii dochádza pri vytváraní tunela VPN medzi komplexom FPSU-IP / Client a FPSU-IP. Po autentifikácii komplex FPSU-IP autorizuje klienta. Ďalej je poskytnutý preklad skutočnej IP adresy klienta na IP adresu chránenej siete.
V druhej fáze komplex FPSU-IP / Client a FPSU-IP filtruje a prenáša šifrované údaje cez kanál VPN z klienta do komplexu FPSU-IP. Ďalej je možné uskutočňovať priechodnú kompresiu prenášaných údajov, čo významne znižuje množstvo prenášaných informácií a zvyšuje rýchlosť interakcie.
Spojenie je odpojené buď na žiadosť používateľa, alebo keď je z kľúča USB odstránený kľúč VPN.
Funkciou technológie FPSU-IP / Client je schopnosť obsluhovať používateľa z ľubovoľného umiestnenia počítača v sieti, t.j. Nevyžaduje sa žiadna väzba na konkrétnu IP adresu a súčasne je zaručená prísna obojsmerná autentifikácia všetkých interakcií medzi počítačom a FPSU-IP. Identifikácia používateľa sa vykonáva pomocou štvormiestneho digitálneho kódu PIN používateľa, počet pokusov o vstup je obmedzený (s ďalším prechodom na potrebu použitia desaťmiestneho kódu PUK). Autorizácia a autentifikácia užívateľov sa poskytuje prostredníctvom komplexu FPSU-IP.
Poskytuje systém vzdialenej správy a monitorovania komplexov FPSU-IP a FPSU-IP / Client úplná kontrola a monitorovanie chránenej siete. Možnosti audítorského systému umožňujú samostatný výpočet objemov dát prenášaných medzi špecifickými komplexmi RS a FPSU-IP, čo vám umožňuje organizovať jasnú kontrolu nad prácou účastníkov.
Komplex FPSU-IP / Client je úplne transparentný pre všetky štandardné internetové protokoly a môže sa používať v spojení s akýmkoľvek softvérom, ktorý poskytuje prístup k zdrojom IP.
Pre väčšiu bezpečnosť je možné administratívne (vzdialene alebo lokálne) obmedziť prístup k užívateľom FPSU-IP / Client na otváranie sieťových segmentov pri práci s chránenými prostriedkami až do úplného zákazu.
Uvádzame hlavné charakteristiky:
Výkon - rýchlosti streamovania IP až 65
Mbps a vyššie, keď sú všetky režimy ochrany povolené (filtrovanie + kompresia + šifrovanie).
Algoritmus šifrovania - GOST 28147-89
Kľúčový systém / centralizovaná distribúcia kľúčov - symetrický / centralizovaný.
Zásobník OS / protokolov - 32-bitový / natívny DOS.
Spracované úrovne EMVOS - sieť + transport, relácie a použité (voliteľné).
Typ a počet rozhraní - 2; 10/100 Ethernet, FDDI.
Protokol VPN / redundancia / kompresia údajov - vlastná / nie viac ako 22 bajtov na paket / kvôli pasívnej kompresii údajov sa dosiahne účinok zrýchľujúcich sa interakcií informácií.
Podpora QoS - organizácia až 8 nezávislých tunelov VPN ako súčasť párových pripojení s nastavením priorít pre informačné toky.
Riadenie a monitorovanie komplexov - miestnych a vzdialených, mechanizmami „spätného chodu“ porúch. Až 1024 komplexov na AWP. Poskytuje vizuálne (grafické) zobrazenie stavu chránených sietí, poplach pri mimoriadnych udalostiach, úplný audit informácií a interakcie riadenia.
protokol diaľkové ovládanie komplexy - vlastný tunelový protokol so silnou obojsmernou autentifikáciou podľa X.509.
Vlastná bezpečnosť - úplný audit udalostí a akcií personálu, kontrola prístupu pomocou iButton a USB kľúč. Využívanie špeciálnych postupov smerovania a podpora tunelov VPN pomocou adaptívnej kontroly toku údajov s cieľom zvýšiť stabilitu (prežitie) systémov.
Účinná opozícia voči aktívnym a pasívnym informačným vplyvom prieskumného charakteru - skrytie reálnej topológie VPN, NAT, skrytie faktov používania systémov, proxy protokolov SMNP / SMNP-Trap, Telnet, TFTP, HTTP správa hraničných smerovačov, správna emulácia neprítomnosti použitých, ale skrytých adries a služieb.
Schopnosť kaskádovitého začlenenia komplexov - umožňuje rozdelenie jednotlivých segmentov siete do izolovaných zón so zvýšenou bezpečnosťou.
Vzdialený klient (softvér na prácu s počítačom s „FPSU-IP“ + kľúč USB) - pre Windows 98, NT, 2000.
technické informácie o šifrovaní softvéru
3.14 nástroj na ochranu kryptografických informácií CryptoPro CSP
Poskytovateľ kryptografie CryptoPro CSP je určený pre:
autorizácia a zabezpečenie právneho významu elektronických dokumentov pri ich výmene medzi používateľmi pomocou postupov na vytváranie a overovanie elektronických digitálnych podpisov (EDS) v súlade s vnútroštátnymi normami GOST R 34.10-94, GOST R 34.11-94, GOST R 34.10-2001;
zabezpečenie dôvernosti a monitorovanie integrity informácií prostredníctvom ich šifrovania a ochrany pred napodobňovaním v súlade s GOST 28147-89; zabezpečenie autentickosti, dôvernosti a ochrany pred napodobňovaním spojení TLS;
kontrola integrity, systémový a aplikačný softvér na ochranu pred neoprávnenými zmenami alebo narušením správneho fungovania;
riadenie kľúčových prvkov systému v súlade s reguláciou ochranných prostriedkov.
vlastnosti:
Vstavaná podpora Winlogon
CryptoPro CSP 3.6 obsahuje poskytovateľa zrušenia, ktorý pracuje prostredníctvom odpovedí OCSP
Bola implementovaná podpora pre platformu x64. Bol implementovaný protokol EAP / TLS. Rozhranie na ochranu kryptografických informácií bolo rozšírené o prácu s funkčným kľúčovým médiom (FCN), zladenie kľúčov pre použitie v implementáciách protokolu IPSec a prácu s inými aplikáciami.
Možnosť použitia štandardného GOST R 34.10-94
Implementované algoritmy:
Algoritmus na generovanie hodnoty hashovej funkcie je implementovaný v súlade s požiadavkami GOST R 34.11 94 „Informačné technológie. Kryptografická ochrana informácií. Hašovacia funkcia“.
Algoritmy na vytváranie a overovanie digitálnych podpisov sa implementujú v súlade s požiadavkami:
GOST R 34.10 94 „Informačné technológie. Kryptografická ochrana informácií. Systém elektronického digitálneho podpisu založený na asymetrickom kryptografickom algoritme“;
GOST R 34.10 94 a GOST R 34.10-2001 "Informačné technológie. Kryptografická ochrana informácií. Procesy vytvárania a overovania elektronických digitálnych podpisov."
Algoritmus na šifrovanie / dešifrovanie údajov a výpočet vkladacieho kódu je implementovaný v súlade s požiadavkami GOST 28147 89 "Systémy na spracovanie informácií. Kryptografická ochrana." Pri generovaní súkromných a verejných kľúčov je možné generovať rôzne parametre podľa GOST R 34.10-94 a GOST R 34.10-2001. Pri generovaní hodnoty hashovej funkcie a šifrovania je možné použiť rôzne náhradné uzly v súlade s GOST R 34.11-94 a GOST 28147-89.
záver
Preskúmali sme a analyzovali potenciálne hrozby, možné kanály NSD, metódy a prostriedky ochrany informácií a ich hardvérové \u200b\u200ba softvérové \u200b\u200briešenia pomocou automatizovaných systémov spracovania údajov. Tieto spôsoby ochrany a poľnohospodárstvo nie sú vždy spoľahlivé, pretože Dnes sa nielen technológie (v našom prípade počítačová technológia) rýchlo vyvíjajú, nielen neustále sa zdokonaľujú nielen informácie samotné, ale aj metódy, ktoré umožňujú tieto informácie získať. Naše storočie sa často nazýva informačným vekom a prináša so sebou obrovské príležitosti spojené s hospodárskym rastom a technologickými inováciami. V súčasnosti držba elektronických údajov, ktorá sa stáva najväčšou hodnotou informačnej éry, zveruje svojim vlastníkom práva a povinnosti kontrolovať ich používanie. Súbory a správy uložené na diskoch a odoslané prostredníctvom komunikačných kanálov sú niekedy hodnotnejšie ako samotné počítače a disky. Vyhliadky informačného veku sa preto dajú dosiahnuť iba vtedy, ak jednotlivci, podniky a iné jednotky, ktoré vlastnia informácie, ktoré majú čoraz viac dôvernú alebo mimoriadne dôležitú povahu, môžu primerane chrániť svoj majetok pred všetkými druhmi hrozieb, zvoliť takú úroveň ochrany, ktoré budú spĺňať ich bezpečnostné požiadavky na základe analýzy stupňa hrozby a hodnoty uloženého majetku.
Referencie
1.Zaitsev A.P., Golubyatnikov I.V., Meshcheryakov R.V., Shelupanov A.A. Bezpečnosť informácií o hardvéri a softvéri: školiaca príručka Vydanie 2. rev. a pridať. - M .: Strojárstvo-1, 2006. - 260 s.
2. Vainshtein Yu.V., Demin S.L., Kirko I.N. a ďalšie učebnice o disciplínach „Základy informačnej bezpečnosti“, „Informačná bezpečnosť a informačná bezpečnosť“. - Krasnojarsk, 2007. - 303 s.
Varlataya S.K., Shakhanova M.V. Hardvérové \u200b\u200bsoftvérové \u200b\u200bnástroje a metódy ochrany informácií: Učebnica. - Vladivostok: Vydavateľstvo DVGTU, 2007. - 318 s.
Http://www.accord.ru/amdz.html
Http://signal-com.ru/ru/prod/tele/ipsafe/
Http://www.amicon.ru/fpsu_ip.php?link\u003dfpsu-ip
Http://www.cryptopro.ru/products/csp/overview
Http://www.securitycode.ru/products/pak_sobol/abilities/
Http://www.securitycode.ru/products/secret_net/
Http://www.aladdin-rd.ru/catalog/secret_disk/server/
11. Dodatok 1 k predpisu o certifikačnom systéme pre vybavenie informačnej bezpečnosti pre bezpečnostné požiadavky na informácie tvoriace štátne tajomstvo (certifikačný systém SZI-GT), schválený uznesením Federálnej bezpečnostnej služby Ruskej federácie z 13. novembra 1999 č. 564 „O schválení ustanovení o certifikačnom systéme pre ochranné zariadenia informácie o bezpečnostných požiadavkách na informácie, ktoré predstavujú štátne tajomstvo, ao označeniach zhody “
Pracovný poriadok
Naši odborníci vám pomôžu napísať prácu s povinnou kontrolou jedinečnosti systému proti plagiátorstvu
Pošlite žiadosť s požiadavkami teraz zistiť náklady a možnosť písania.
Pracovný obsah Informačná bezpečnosť. Ochrana pred neoprávneným prístupom k informáciám. 1. Ochrana heslom. Ochrana heslom. 2. Biometrické bezpečnostné systémy. Biometrické ochranné systémy. Fyzická ochrana údajov na diskoch. Ochrana pred škodlivým softvérom. 1. Škodlivé a antivírusový softvér, Škodlivé a antivírusové programy. 2. Počítačové vírusy a ochrana proti nim. Počítačové vírusy a ochrana proti nim. 3. Sieťové červy a ochrana pred nimi. Sieťové červy a ochrana pred nimi. 4. Trójske kone a ochrana proti nim. Trójske kone a ochrana proti nim. 5. Hackerské nástroje a ochrana proti nim. Hackerské nástroje a ochrana proti nim. Záver.
Ochrana informácií Ochrana je systém bezpečnostných opatrení na ochranu štátneho a obchodného tajomstva. Ochrana je zabezpečená dodržiavaním režimu ochrany súkromia, používaním bezpečnostných poplašných a sledovacích systémov, používaním šifrov a hesiel.
Informačná bezpečnosť je stav bezpečnosti informačného prostredia. V oblasti výpočtovej techniky znamená pojem bezpečnosť spoľahlivosť počítača, bezpečnosť cenných údajov, ochranu informácií pred zmenami neoprávnenými osobami a dôvernosť korešpondencie v elektronických komunikáciách. Vo všetkých civilizovaných krajinách sa zákony týkajú bezpečnosti občanov, ale prax v oblasti vynucovania práva sa v oblasti výpočtovej techniky ešte nerozvinula a legislatívny proces nie je v súlade s vývojom technológií a spoľahlivosť počítačových systémov sa vo veľkej miere spolieha na opatrenia na sebaobranu.
Neoprávnený prístup Neoprávnený prístup - činnosti, ktoré porušujú stanovený postup prístupu alebo demarkačné pravidlá, prístup k programom a údajom, ktoré dostali účastníci, ktorí nie sú zaregistrovaní, a nemajú právo oboznámiť sa alebo pracovať s týmito zdrojmi. Aby sa zabránilo neoprávnenému prístupu, vykonáva sa kontrola prístupu.
Ochrana heslom Heslo sa používa na ochranu pred neoprávneným prístupom k programom a údajom uloženým v počítači. Počítač umožňuje prístup k svojim zdrojom iba tým používateľom, ktorí sú zaregistrovaní a prihlásení správne heslo, Každému konkrétnemu používateľovi môže byť povolený prístup iba k určitým zdrojom informácií. V takom prípade je možné zaregistrovať všetky pokusy o neoprávnený prístup.
Pri zavádzaní operačného systému sa používa ochrana heslom. V systéme BIOS Setup je možné zadať heslo, ak nezadáte správne heslo, počítač nezačne načítať operačný systém. Prekonanie takejto ochrany nie je ľahké. Každý disk, každý priečinok, každý súbor miestneho počítača môže byť chránený pred neoprávneným prístupom. Môžu sa stanoviť určité prístupové práva. plný prístup, schopnosť vykonávať zmeny, len na čítanie, písať atď. Práva sa môžu líšiť pre rôznych používateľov.
Biometrické bezpečnostné systémy V súčasnosti sa systémy biometrickej identifikácie čoraz viac používajú na ochranu pred neoprávneným prístupom k informáciám. Charakteristiky použité v týchto systémoch sú neodňateľné vlastnosti osobnosti osoby, a preto sa s nimi nedá strácať a manipulovať s nimi. Medzi systémy na ochranu biometrických informácií patria identifikačné systémy: odtlačky prstov; podľa charakteristík reči; na dúhovke oka; podľa tváre; na geometrii dlane.
Identifikácia odtlačkov prstov Optické snímače odtlačkov prstov sú nainštalované na prenosných počítačoch, myšiach, klávesniciach, jednotkách Flash a používajú sa aj ako samostatné externé zariadenia a terminály (napríklad na letiskách a v bankách). Ak vzor odtlačkov prstov nezodpovedá vzoru používateľa, ktorý má informácie k dispozícii, prístup k informáciám nie je možný.
Identifikácia pomocou hlasových charakteristík Identifikácia osoby hlasom je jednou z tradičných metód rozpoznávania, záujem o túto metódu je tiež spojený s predpoveďami implementácie hlasových rozhraní v operačné systémy, Rozpoznávanie hlasu je nekontaktné a existujú systémy na obmedzenie prístupu k informáciám na základe frekvenčnej analýzy reči.
Identifikácia clony oka Na identifikáciu clony oka sa používajú špeciálne skenery pripojené k počítaču. Dúhovka je jedinečný biometrický prvok pre každého človeka. Obrázok oka vyčnieva z obrázka tváre a na ňom je umiestnená špeciálna maska \u200b\u200bčiarových kódov. Výsledkom je matica, ktorá je individuálna pre každú osobu.
Identifikácia tváre Technológie rozpoznávania tváre sa často používajú na identifikáciu osoby. K rozpoznaniu osoby dochádza na diaľku. Identifikačné znaky berú do úvahy tvar tváre, jej farbu, ako aj farbu vlasov. Dôležitými znakmi môžu byť aj súradnice bodov tváre na miestach zodpovedajúcich zmene kontrastu (obočie, oči, nos, uši, ústa a ovál). V súčasnosti sa začína vydávanie nových pasov, v ktorých mikroobvode je uložená digitálna fotografia majiteľa.
Identifikácia dlaňou ruky V biometrii sa na účely identifikácie používa jednoduchá geometria ruky, rozmery a tvar, ako aj niektoré informačné znaky na zadnej strane ruky (obrázky na záhyboch medzi prstami prstov, vzory umiestnenia krvných ciev). Na niektorých letiskách, v bankách a jadrových elektrárňach sú nainštalované snímače identifikácie dlaní.
Ochrana fyzických údajov na diskoch Na zaistenie rýchlejšieho čítania, zápisu a spoľahlivého ukladania údajov na pevné disky sa používajú polia RAID (redundantné polia nezávislých diskov - redundantné pole nezávislých diskov). Niekoľko pevných diskov je spojených s radičom RAID, ktorý ich považuje za jediné logické úložné médium.
Metódy implementácie hardvéru RAID Array Hardvérové \u200b\u200bdiskové pole pozostáva z niekoľkých pevných diskov ovládaných špeciálnou kartou radiča RAID. Softvér Softvér RAID je implementovaný pomocou špeciálneho ovládača. Diskové oddiely sú usporiadané do programového poľa, ktoré môže zaberať celý disk alebo jeho časť. Softvérové \u200b\u200bpolia RAID sú spravidla menej spoľahlivé ako hardvérové \u200b\u200bpolia, ale poskytujú vyššiu rýchlosť spracovania údajov. Cena zaplatená za spoľahlivosť je skutočné zníženie miesta na disku o polovicu.
Škodlivý program (doslovný preklad anglického výrazu Malware, škodlivý škodlivý a softvérový softvér, slangový výraz „malvar“, „malovar“, „soapmaker“ a dokonca „soapmaker“) je škodlivý program, tj program vytvorený so škodlivým úmyslom a / alebo zlom. zámery. Ochrana pred škodlivým softvérom
Antivírusové programy Moderné antivírusové programy poskytujú komplexnú ochranu programov a údajov v počítači pred všetkými typmi škodlivých programov a metódami ich prenikania do počítača: internet, lokálna sieť, e-mail, vymeniteľné úložné médiá. Antivírus má na ochranu pred každým typom škodlivého softvéru samostatné komponenty. Princíp činnosti antivírusových programov je založený na skenovaní súborov, zavádzacích sektoroch diskov a RAM a hľadaní známych a nových škodlivých kódov v nich.
Antivírusové programy Podpisy sa používajú na vyhľadávanie známeho škodlivého softvéru. Podpis je určitá konštantná postupnosť programového kódu špecifického pre konkrétny malware. Ak antivírusový program zistí takúto sekvenciu v ľubovoľnom súbore, potom sa súbor považuje za infikovaný vírusom a musí sa ošetriť alebo odstrániť. Na vyhľadávanie nových vírusov sa používajú heuristické skenovacie algoritmy, t. J. Analýza postupnosti príkazov v kontrolovanom objekte. Ak sa zistí „podozrivá“ sekvencia príkazov, antivírusový program zobrazí správu o možnej infekcii objektu.
Väčšina antivírusových programov kombinuje funkcie ochrany v reálnom čase (antivírusový monitor) a ochranné funkcie na žiadosť používateľa (antivírusový skener). Antivírusový monitor sa spustí automaticky na začiatku operačného systému a funguje ako proces na pozadí, ktorý kontroluje škodlivosť akcií vykonávaných inými programami. Hlavnou úlohou antivírusového monitora je poskytovať maximálnu ochranu pred škodlivými programami s minimálnym spomalením počítača. Antivírusový skener sa spúšťa podľa predvoleného plánu alebo kedykoľvek používateľom. Antivírusový skener vyhľadáva škodlivé programy v pamäti RAM, ako aj na pevných a sieťových jednotkách počítača.
Znaky počítačovej infekcie sa zobrazujú na obrazovke nechcené správy alebo obrázky; vydávanie nezamýšľaných zvukových signálov; neočakávané otvorenie a zatvorenie nosiča CD / DVD; svojvoľné spustenie akýchkoľvek programov v počítači; časté zamrznutia a poruchy v počítači; pomalá prevádzka počítača pri spúšťaní programov; zmiznutie alebo zmena súborov a priečinkov; - častý prístup na pevný disk (svetlo na systémová jednotka); Zmrazenie alebo neočakávané správanie prehľadávača (napríklad sa nedá zatvoriť okno programu). Niektoré charakteristické znaky vírusovej infekcie prostredníctvom e-mailu: priatelia alebo známi hovoria o správach, ktoré ste nedostali; vo vašom poštová schránka Existuje veľké množstvo správ bez spiatočnej adresy a hlavičky.
Kroky v prípade príznakov počítačovej infekcie Pred vykonaním akejkoľvek akcie musíte uložiť výsledky na externé médium (disketa, CD alebo DVD-ROM, jednotka flash atď.). Ďalej musíte: odpojiť počítač od lokálnej siete a internetu, ak bol k nim pripojený; Ak je príznakom infekcie to, že nie je možné zaviesť systém z pevného disku počítača (počítač pri zapnutí zobrazí chybu), skúste systém spustiť v režime ochrany pred zlyhaním alebo z núdzového disku windows boot; spustiť antivírusový program.
Počítačové vírusy a ochrana proti nim Počítačové vírusy sú škodlivé programy, ktoré sa môžu „množiť“ (samokopírovať) a tajne vkladať svoje kópie do súborov, zavádzacích sektorov diskov a dokumentov. Aktivácia počítačového vírusu môže spôsobiť zničenie programov a údajov. Názov „vírus“ vo vzťahu k počítačovým programom pochádza z biológie presne na základe schopnosti samostatne sa množiť. Podľa „biotopu“ sa vírusy dajú rozdeliť na bootovacie, súborové a makro vírusy.
Spúšťacie vírusy Spúšťacie vírusy infikujú zavádzací sektor diskety alebo pevného disku. Princíp činnosti spúšťacích vírusov je založený na algoritmoch na spustenie operačného systému pri zapnutí alebo reštartovaní počítača. Keď sa disky nakazia, zavádzacie vírusy „nahradia“ svoj program programom, ktorý prevezme kontrolu pri štarte systému a nedá kontrolu pôvodnému zavádzaciemu kódu, ale vírusovému kódu. Ak je disk infikovaný, vírus vo väčšine prípadov prenesie pôvodný bootovací sektor na iný sektor disku. Preventívna ochrana proti zavádzacím vírusom spočíva v odmietnutí spustenia operačného systému z diskiet a inštalácii ochrany v systéme BIOS vášho počítača. boot sektor zo zmien.
Vírusy súborov Vírusy súborov sa zavádzajú rôznymi spôsobmi do spustiteľných súborov a zvyčajne sa aktivujú pri ich spustení. Po spustení infikovaného súboru sa vírus nachádza v pamäti RAM počítača a je aktívny (tj môže infikovať ďalšie súbory) až do vypnutia počítača alebo reštartovania operačného systému. Takmer všetky zavádzacie a súborové vírusy sú rezidentné (vymažú údaje na diskoch, zmenia názvy a ďalšie atribúty súborov atď.). Liečba rezidentných vírusov je náročná, pretože aj po odstránení infikovaných súborov z diskov zostáva vírus v pamäti RAM a je možné znova infikovať súbory. Preventívna ochrana proti súborovým vírusom spočíva v tom, že sa neodporúča spúšťať spúšťacie súbory, ktoré boli získané z pochybných zdrojov a neboli predtým testované antivírusovými programami.
Makro vírusy Pre integrovanú kancelársku aplikáciu Microsoft Office existujú makro vírusy. Makro vírusy sú vlastne makrá (makrá) v zabudovanom programovacom jazyku Visual Basic for Applications, ktoré sú umiestnené v dokumente. Makro vírusy obsahujú štandardné makrá, namiesto toho sa nazývajú a infikujú každý otvorený alebo uložený dokument. Makrovírusy majú obmedzené bydlisko. Preventívna ochrana proti makrovírusom má zabrániť spusteniu vírusu. Keď otvoríte dokument v aplikáciách balíka Microsoft Office, oznámi to prítomnosť makier (potenciálnych vírusov) v nich a navrhuje zakázať ich sťahovanie. Výber zákazu sťahovania makier spoľahlivo ochráni váš počítač pred napadnutím makrovírusmi, ale zakáže tiež užitočné makrá obsiahnuté v dokumente.
Sieťové červy a ochrana pred nimi Sieťové červy sú škodlivé programy, ktoré prenikajú do počítača pomocou počítačových sieťových služieb. Aktivácia sieťového červa môže spôsobiť zničenie programov a údajov, ako aj odcudzenie osobných údajov používateľa. Sieťoví červi na svoje šírenie využívajú rôzne služby globálnych a lokálnych počítačových sietí: World Wide Web, e-mail atď. Hlavným znakom toho, ako sa druhy červov medzi sebou líšia, je spôsob, akým sa červ šíri, keď prenáša jeho kópiu do vzdialených počítačov. Mnoho sieťových červov však používa viac ako jeden spôsob distribúcie svojich kópií do počítačov v lokálnych a globálnych sieťach.
Web Worms Samostatnú kategóriu tvoria červy, ktoré na distribúciu používajú webové servery. K infekcii dochádza v dvoch fázach. Červ najskôr vstúpi do počítačového servera a upraví webové stránky servera. Červ potom „čaká“ na návštevníkov, ktorí požadujú informácie z infikovaného servera (napríklad otvoria infikovanú webovú stránku v prehliadači), a tak preniknú do ďalších počítačov v sieti. Rôzne webové červy sú skripty aktívnych prvkov (programov) v skripte JavaScript alebo VBScript. Preventívna ochrana pred webovými červami je, že v prehliadači môžete zabrániť prijímaniu aktívnych prvkov miestny počítač, Webové antivírusové programy sú ešte efektívnejšie, medzi ktoré patrí brána firewall a modul na kontrolu skriptov v skripte JavaScript alebo VBScript
Firewall Firewall je softvér alebo technické vybavenie, ktorý skontroluje informácie vstupujúce do počítača z lokálnej siete alebo z internetu a potom ich v závislosti od parametrov brány firewall odmieta alebo ich do počítača pošle. Firewall poskytuje kontrolu všetkých webových stránok prichádzajúcich do počítača používateľa. Každá webová stránka je zachytená a analyzovaná bránou firewall na prítomnosť škodlivého kódu. Škodlivý softvér sa zisťuje na základe databáz používaných v bráne firewall a pomocou heuristického algoritmu. Databázy obsahujú popis všetkých v súčasnosti známych škodlivých programov a spôsob ich neutralizácie. Heuristický algoritmus umožňuje zistiť nové vírusy, ktoré ešte nie sú opísané v databázach.
Poštové červy Poštové červy používajú na šírenie e-mail. Červ odošle svoju kópiu ako prílohu v e-maile alebo odošle odkaz na svoj súbor umiestnený na sieťovom prostriedku. V prvom prípade je kód červa aktivovaný pri otvorení (spustení) infikovanej prílohy, v druhom prípade pri otvorení odkazu na infikovaný súbor. V obidvoch prípadoch efekt aktivuje kód červa rovnako. Po počítačovej infekcii sa červ začne odosielať na všetky e-mailové adresy, ktoré sú v adresári používateľa. Preventívnou ochranou pred e-mailovými červami je to, že sa neodporúča otvárať súbory prijaté z pochybných zdrojov pripojených k e-mailovým správam. Odporúča sa včasné stiahnutie z internetu a inštalácia aktualizácií zabezpečenia pre operačný systém a aplikácie.
Trójske kone a ochrana proti nim Trojan, trójsky kôň (z anglického trójskeho kona) je škodlivý program, ktorý vykonáva prenos riadenia počítačom neoprávneným používateľom. vzdialený užívateľ, ako aj akcie na vymazanie, úpravu, zhromažďovanie a zasielanie informácií tretím stranám.
Trójske kone nástrojov vzdialenej správy Trójske kone tejto triedy sú nástroje vzdialenej správy počítačov v sieti. Skryté nástroje na správu vám umožňujú prijímať alebo odosielať súbory, spúšťať a ničiť ich, zobrazovať správy, mazať informácie, reštartovať počítač atď. Po spustení sa trójsky kôň nainštaluje do systému a potom ho monitoruje, zatiaľ čo používateľ nedostane žiadne správy o akciách trójskeho koňa programy v systéme. V dôsledku toho si „používateľ“ tohto trójskeho koňa nemusí byť vedomý jeho prítomnosti v systéme, zatiaľ čo jeho počítač je otvorený na diaľkové ovládanie. Sú jedným z najnebezpečnejších typov škodlivého softvéru.
Trójske kone Spyware Trójske kone Spyware vykonávajú infikovaného používateľa počítača elektronickým špehovaním: informácie zadané z klávesnice, snímky obrazovky, zoznam aktívnych aplikácií a akcie s nimi sa ukladajú do súboru na disku a pravidelne sa odosielajú útočníkovi. Trójske kone tohto typu sa často používajú na ukradnutie informácií o používateľovi. rôzne systémy online platby a bankové systémy.
Reklamné programy Reklamné programy (angl. Adware: Reklamná reklama a softvérový softvér) integrujú reklamu do hlavného prúdu užitočný program a môže slúžiť ako trójske kone. Programy adware môžu tajne zhromažďovať rôzne informácie o používateľovi počítača a potom ich odosielať útočníkovi. Ochrana pred trójskymi koňmi. Trójske kone často upravujú položky databázy Registry operačného systému, ktorý obsahuje všetky informácie o počítači a nainštalovanom softvéri. Ak ich chcete odstrániť, musíte obnoviť register, takže sa obnovuje súčasť systémový register, je súčasťou moderných operačných systémov.
Pomôcky hackerov a ochrana proti nim Sieťové útoky na vzdialené servery sa vykonávajú pomocou špeciálnych programov, ktoré na ne odosielajú početné žiadosti. To vedie k odmietnutiu služby (zastavenie servera), ak zdroje napadnutého servera nepostačujú na spracovanie všetkých prichádzajúcich požiadaviek. Niektoré hackerské nástroje implementujú fatálne sieťové útoky. Takéto nástroje využívajú zraniteľné miesta v operačných systémoch a aplikáciách a posielajú špeciálne spracované požiadavky na napadnuté počítače v sieti. Výsledná požiadavka na sieť špeciálny druh spôsobí kritickú chybu v napadnutej aplikácii a systém prestane fungovať. Sieťové útoky
Nástroje na hackovanie vzdialeného počítača sú navrhnuté tak, aby prenikali do vzdialených počítačov za účelom ich ďalšieho riadenia (pomocou metód trójskych koní, ako sú napríklad nástroje na vzdialenú správu) alebo na zavedenie ďalších škodlivých programov do napadnutého systému. Hackerské nástroje na vzdialených počítačoch zvyčajne využívajú zraniteľné miesta v operačných systémoch alebo aplikáciách nainštalovaných na cieľovom počítači. Preventívna ochrana proti takýmto hackerským pomôckam spočíva v včasnom stiahnutí aktualizácií zabezpečenia pre operačný systém a aplikácie z Internetu. Hackerské nástroje vzdialené počítače
Rootkit (z anglickej koreňovej súpravy „sady na získanie oprávnení typu root“) je program alebo skupina programov na skryté prevzatie kontroly nad napadnutým systémom. Tieto nástroje sa používajú na skrytie škodlivých aktivít. Zamaskujú sa malwareaby sa zabránilo detekcii antivírusovým softvérom. Rootkity upravujú operačný systém v počítači a nahrádzajú jeho hlavné funkcie, aby skryli svoju vlastnú prítomnosť a akcie, ktoré útočník vykoná na infikovanom počítači. rootkity
Ochrana pred útokmi hackerov, sieťovými červami a trójskymi koňmi. Ochrana počítačových sietí alebo jednotlivých počítačov pred neoprávneným prístupom sa môže vykonať pomocou brány firewall. Firewall umožňuje: blokovať útoky hackerov DoS bez toho, aby sieťové pakety prenášali z určitých serverov (určité adresy IP alebo názvy domén) do chráneného počítača; zabrániť sieťovým červom (pošta, web atď.) preniknúť do chráneného počítača; Zabráňte trójskym koňom posielať dôverné informácie o používateľovi a počítači.
Informácie sú dnes drahé a musia sa chrániť. Hromadné použitie osobné počítačeNanešťastie sa ukázalo, že súvisí s výskytom samoreprodukujúcich sa vírusových programov, ktoré narúšajú normálnu činnosť počítača, ničia štruktúru súborov diskov a poškodzujú informácie uložené v počítači.
43 Typ ochrany Spôsob ochrany pred poruchami zariadenia Archivácia súborov (s kompresiou alebo bez kompresie); zálohovanie súborov Z náhodnej straty alebo skreslenia informácií uložených v počítači Žiadosť o potvrdenie vykonania príkazov, ktoré upravujú súbory; inštalácia špeciálne atribúty dokumenty a programy; schopnosť vrátiť nesprávnu akciu alebo sa nesprávne vrátiť odstránený súbor; rozlíšenie prístupu užívateľov k zdrojom súborový systém Druhy a metódy ochrany informácií
Od úmyselného skreslenia, vandalizmu (počítačové vírusy) Všeobecné metódy ochrany informácií; preventívne opatrenia; používanie antivírusových programov Z neoprávneného (nezákonného) prístupu k informáciám (jeho používanie, zmena, distribúcia) šifrovanie; ochrana heslom; „Elektronické zámky“; súbor administratívnych opatrení a opatrení na presadzovanie práva Typy a metódy ochrany informácií Druh ochrany Spôsob ochrany
Stručne povedané, treba uviesť, že existuje veľa prípadov, keď firmy (nielen zahraničné) medzi sebou vedú skutočné „špionážne vojny“, pričom získavajú konkurentov, aby získali prístup k informáciám, ktoré predstavujú obchodné tajomstvo. Regulácia otázok týkajúcich sa obchodného tajomstva v Rusku ešte nebola dostatočne rozvinutá. Existujúce právne predpisy stále neustanovujú reguláciu určitých otázok vrátane obchodného tajomstva, ktorá je v súlade s modernou realitou. Zároveň si treba uvedomiť, že škoda spôsobená odhalením obchodného tajomstva je často veľmi významná (ak sa dá vôbec posúdiť). Existencia noriem o zodpovednosti vrátane trestnoprávnej zodpovednosti môže slúžiť ako varovanie pre zamestnancov pred porušovaním v tejto oblasti, preto je vhodné podrobne informovať všetkých zamestnancov o dôsledkoch porušenia. Chceli by sme dúfať, že systém ochrany informácií, ktorý sa vytvára v krajine a vytvorenie súboru opatrení na jeho vykonávanie, nebude mať nezvratné následky na spôsob vznikajúceho informačného a intelektuálneho spojenia s celým svetom v Rusku. záver
Literatúra A. Vyšetrovanie trestných činov proti bezpečnosti informácií. Teoretické a aplikované aspekty. M.: Theseus, s. Ugrinovich N.D. Informatika a IKT. Učebnica pre ročník 11. M.: BINOM. Laboratórium znalostí, s. Scherbakov A. Yu, moderná počítačová bezpečnosť. Teoretický základ. Praktické aspekty. M.: Knižný svet, s. Wikipedia jpg jpg Rand% 20HandKey% 20ID3D-R.gif Rand% 20HandKey% 20ID3D-R.gif gif
pod neoprávnený prístup k informáciám taký prístup sa chápe ako porušenie pravidiel používania informačných zdrojov počítačového systému vytvoreného pre jeho používateľov. Neoprávnený prístup je implementácia úmyselného ohrozenia informácií a počítačovej bezpečnosti a často sa volá útok alebo útok do počítačového systému.
Len integrovaný prístup kombinujúci opatrenia na štyroch úrovniach môže priniesť úspech v oblasti informačnej bezpečnosti:
legislatívne;
správna;
procesné;
Softvér a hardvér.
Legislatívna úroveň je rozhodujúce pre bezpečnosť informácií. Je potrebné dôrazne zdôrazniť význam problému informačnej bezpečnosti, sústrediť zdroje na najdôležitejšie oblasti výskumu; koordinovať vzdelávacie aktivity; vytvoriť a udržiavať negatívny postoj voči porušovateľom informačnej bezpečnosti - to všetko sú funkcie legislatívnej úrovne. Legislatívne akty a normy si zaslúžia osobitnú pozornosť na legislatívnej úrovni.
Hlavná úloha opatrení administratívna úroveň - sformulovať pracovný program v oblasti informačnej bezpečnosti a zabezpečiť jeho vykonávanie, prideliť potrebné zdroje a monitorovať stav vecí. Jadrom programu je bezpečnostná politika, ktorá odráža prístup organizácie k ochrane svojich informačných aktív. Vypracovanie bezpečnostnej politiky a programu sa začína analýzou rizika, ktorej prvým krokom je oboznámenie sa s najbežnejšími hrozbami. Hlavnými hrozbami sú vnútorná zložitosť informačného systému, neúmyselné chyby bežných používateľov, operátorov, správcov systému a iných osôb obsluhujúcich informačné systémy. Na druhom mieste z hľadiska poškodenia sú krádeže a falšovania. Skutočným nebezpečenstvom sú požiare a iné nehody podpornej infraštruktúry. V celkovom počte porušení narastá podiel vonkajších útokov, ale „ich vlastné“ stále spôsobuje hlavné škody.
opatrenia procedurálna úroveň zamerané na ľudí (a nie na technické prostriedky) a sú rozdelené do nasledujúcich typov:
Riadenie ľudských zdrojov;
Fyzická ochrana;
Udržiavanie zdravia;
Reakcia na narušenie bezpečnosti;
Plánovanie obnovy.
Informačná bezpečnosť do značnej miery závisí od presného priebehu súčasnej práce, ktorá zahŕňa:
Podpora používateľov;
Softvérová podpora;
Správa konfigurácie;
Správa médií;
dokumentácie;
Plánovaná práca.
Je však potrebné sa vopred pripraviť na mimoriadne udalosti, to znamená na narušenie informačnej bezpečnosti. Vopred navrhnutá reakcia na narušenie bezpečnosti má tri hlavné ciele:
Lokalizácia incidentu a zníženie poškodenia;
Identifikácia páchateľa;
Predchádzanie opakovaným porušeniam.
V prípade vážnych nehôd sú potrebné reštaurátorské práce. Proces plánovania takejto práce možno rozdeliť do nasledujúcich etáp:
Identifikácia kritických funkcií organizácie, stanovenie priorít;
Identifikácia zdrojov potrebných na vykonávanie kritických funkcií;
Definícia zoznamu možných nehôd;
Vypracovanie stratégie obnovy;
Príprava na implementáciu zvolenej stratégie;
Kontrola stratégie.
Softvérové \u200b\u200ba technické opatrenia, tj opatrenia zamerané na kontrolu počítačových subjektov - vybavenia, programov a / alebo údajov, tvoria poslednú a najdôležitejšiu líniu informačnej bezpečnosti.
Na tomto medzníku sa prejavia nielen pozitívne, ale aj negatívne dôsledky rýchleho pokroku. informačné technológie, Po prvé, ďalšie príležitosti sa objavia nielen medzi odborníkmi na informačnú bezpečnosť, ale aj medzi útočníkmi. Po druhé, informačné systémy sa neustále inovujú, prestavujú a do nich sa pridávajú nedostatočne testované komponenty (predovšetkým softvér), čo sťažuje dodržiavanie bezpečnostného režimu.
Ústrednou úrovňou softvéru a hardvéru je koncepcia bezpečnostnej služby. Tieto služby zahŕňajú:
Identifikácia / autentifikácia;
Kontrola prístupu;
Protokolovanie a audit;
šifrovanie;
screening;
tunelovanie;
Kontrola integrity;
Bezpečnostná kontrola;
Zisťovanie porúch a prevádzková obnova;
Management.
Tieto služby by mali fungovať v otvorenom sieťovom prostredí s heterogénnymi komponentmi, čo je odolné voči zodpovedajúcim hrozbám a ich použitie by malo byť pre používateľov a správcov výhodné.
Autentifikácia a autentifikácia . Identifikácia a autentifikácia sa môžu považovať za základ zabezpečenia softvéru a hardvéru. identifikácia - Priradenie jedinečných identifikátorov subjektom a prístupovým objektom vo forme čísla, šifry, kódu atď. s cieľom získať prístup k informáciám. overenie pravosti - autentifikácia užívateľa pomocou ním identifikátora, napríklad pri vstupe do systému. Fráza „autentifikácia“ sa niekedy používa ako synonymum pre slovo „autentifikácia“.
Autentifikácia je jednosmerná (klient obvykle preukáže svoju autenticitu k serveru) a dvojsmerný (vzájomný). Príkladom jednosmernej autentifikácie je postup prihlásenia používateľa.
Subjekt môže potvrdiť svoju autenticitu predložením aspoň jednej z týchto entít:
Niečo, čo vie (heslo, osobné identifikačné číslo, kryptografický kľúč atď.):
Niečo, čo vlastní (osobná karta alebo iné zariadenie podobného účelu);
Hlavnými a najbežnejšie používanými metódami overovania používateľov sú metódy založené na hesle. . pod heslo Znamená to určitú postupnosť znakov, ktoré sú pri prístupe do počítačového systému utajené a prezentované. Zadanie hesla sa zvyčajne vykonáva z klávesnice.
Hlavnou výhodou autentifikácie pomocou hesla je jednoduchosť a známosť. Heslá sú už dlho zabudované do operačných systémov a ďalších služieb. Pri správnom použití môžu heslá poskytnúť prijateľnú úroveň bezpečnosti pre mnoho organizácií. Pokiaľ však ide o kombináciu charakteristík, mali by sa uznať za najslabší prostriedok autentifikácie.
Spoľahlivosť ochrany heslom môžu výrazne zvýšiť nasledujúce opatrenia:
Uloženie technických obmedzení (heslo by nemalo byť príliš krátke, malo by obsahovať písmená, čísla, interpunkčné znamienka atď.);
Správa vypršania platnosti hesla, ich pravidelná zmena;
Obmedzenie prístupu k súboru hesiel;
Obmedzenie počtu neúspešných pokusov o prihlásenie (toto sťaží odhad hesla);
Použitie generátorov softvérového hesla.
Odporúča sa vždy používať vyššie uvedené opatrenia, aj keď sa spolu s heslami používajú aj iné metódy overovania.
Existujúce metódy autentifikácie hesiel používateľov pri vstupe do informačného systému možno rozdeliť do dvoch skupín:
Metódy overovania na základe jednoduché heslo;
Dynamicky sa meniace metódy overovania hesla.
Autentifikačné heslo používateľa sa pri používaní jednoduchého hesla nemení z relácie na reláciu v čase, ktorý nastavil správca bezpečnostnej služby.
Pri použití dynamicky sa meniaceho hesla sa užívateľské heslo pre každú novú reláciu alebo novú dobu platnosti jedného hesla mení podľa pravidiel v závislosti od použitej metódy. Implementácia dynamického hesla sa môže vykonať tak hardvérom, ako aj softvérom.
Dodatočné pohodlie sa vytvára použitím biometrických metód na identifikáciu autentifikácie ľudí na základe ich fyziologických a behaviorálnych charakteristík. Medzi fyziologické vlastnosti patria znaky odtlačkov prstov, sietnice a rohovky, geometria ramena a tváre atď. Medzi charakteristiky správania patrí dynamika podpisu (manuálna), štýl klávesnice. Na križovatke fyziologie a správania sa nachádza analýza hlasových funkcií a rozpoznávania reči.
Kontrola prístupu. Kontrola prístupu je najviac skúmanou oblasťou informačnej bezpečnosti. Z tradičného hľadiska vám nástroje na riadenie prístupu umožňujú špecifikovať a riadiť akcie, ktoré môžu subjekty (používatelia a procesy) vykonávať na objektoch (informácie a iné počítačové prostriedky). V tomto prípade hovoríme o logickom riadení prístupu, ktoré je na rozdiel od fyzického implementované softvérom. Logické riadenie prístupu - hlavný mechanizmus viacužívateľských systémov určený na zabezpečenie dôvernosti a integrity objektov a do určitej miery ich dostupnosť (zákazom obsluhy neautorizovaných používateľov). Úlohou kontroly logického prístupu je určiť pre každú dvojicu „predmetu“ súbor povolených operácií (pravdepodobne v závislosti od niektorých ďalších podmienok) a kontrolovať vykonávanie zavedeného poriadku.
V súčasnosti by sa malo považovať za zastarané (alebo prinajmenšom nie celkom pravdivé) ustanovenie, podľa ktorého je kontrola prístupu zameraná výlučne na ochranu pred škodlivými používateľmi. Moderné informačné systémy sa vyznačujú extrémnou komplexnosťou a ich vnútorné chyby nie sú o nič menej nebezpečné.
Protokolovanie a auditovanie. pod prihlásený Rozumie sa to zhromažďovanie a zhromažďovanie informácií o udalostiach, ktoré sa vyskytujú v informačnom systéme. Každá služba má svoj vlastný súbor možných udalostí, ale v každom prípade ich možno rozdeliť na externú (spôsobenú činnosťou iných služieb), internú (spôsobenú činnosťou služby) a klienta (spôsobenú činnosťou používateľov a správcov).
audit - analýza nahromadených informácií vykonaná rýchlo, v reálnom čase alebo periodicky (napríklad raz denne). Pasívny audit - analýza dôsledkov narušenia bezpečnosti informácií a odhaľovanie votrelcov. Vyvoláva sa operatívny audit s automatickou reakciou na identifikované núdzové situácie aktívny.
Implementácia protokolovania a auditu rieši tieto úlohy:
Zabezpečenie zodpovednosti používateľov a správcov;
Poskytovanie schopnosti rekonštruovať postupnosť udalostí;
Odhaľovanie pokusov o narušenie bezpečnosti informácií;
Poskytovanie informácií na identifikáciu a analýzu problémov.
Pri vykonávaní protokolovania je potrebné zabezpečiť, aby sa na jednej strane dosiahli vyššie uvedené ciele a na druhej strane spotreba zdrojov zostala v prijateľných medziach. Príliš rozsiahle alebo podrobné protokolovanie nielen znižuje výkon služieb (čo negatívne ovplyvňuje prístupnosť), ale tiež komplikuje audit, to znamená, že nezvyšuje, ale znižuje bezpečnosť informácií.
Dátum a čas udalosti;
Jedinečný identifikátor používateľa iniciujúceho akciu;
Druh podujatia;
Výsledok akcie (úspech alebo neúspech);
Zdroj požiadavky (napríklad názov terminálu);
Názvy dotknutých objektov (napríklad súbory, ktoré sa otvárajú alebo odstraňujú);
Opis zmien vykonaných v databázach ochrany (napríklad nové bezpečnostné označenie objektu).
Zabezpečenie zodpovednosti je dôležité predovšetkým ako odstrašujúci prostriedok. Ak používatelia a správcovia vedia, že všetky ich akcie sú zaznamenané, môžu sa zdržať nelegálnych operácií. Je zrejmé, že ak existuje dôvod na podozrenie z nečestnosti, môžete zaregistrovať všetky jeho činy až do každého stlačenia klávesov. To zaručuje nielen možnosť vyšetrovania prípadov porušenia bezpečnostného režimu, ale aj vrátenie nesprávnych zmien (ak protokol obsahuje údaje pred a po úprave). Chráni sa tým integrita informácií.
Šifrovanie. Šifrovanie je najdôležitejším prostriedkom zabezpečenia dôvernosti a zároveň najkontroverznejším miestom bezpečnosti informácií. Počítačová kryptografia má dve strany - kryptografickú vlastnú a jednu rozhraniu, ktorá umožňuje prepojenie s ostatnými časťami informačného systému. Je dôležité, aby sa zabezpečilo dostatočné funkčné bohatstvo rozhraní a ich štandardizácia.
Moderné šifrovanie má tiež interné technické, ako aj regulačné problémy. Z technického hľadiska je najakútnejší problém s výkonom.
Tienenie. Tienenie ako bezpečnostná služba vykonáva nasledujúce funkcie:
Diferenciácia prístupu na internet filtrovaním prenášaných údajov;
Transformácia prenášaných údajov.
firewall - zariadenie, program, ktorý filtruje údaje na základe preddefinovanej základne pravidiel, ktorá vám umožňuje implementovať oveľa flexibilnejšiu bezpečnostnú politiku. S komplexným filtrovaním, ktoré pokrýva sieť, transportné a aplikačné vrstvy, sieťové adresy, množstvo prenášaných údajov, operácie aplikačnej vrstvy, parametre prostredia atď., Sa môže objaviť v pravidlách.
Transformácia prenášaných údajov môže ovplyvniť tak polia služieb paketov, ako aj aplikačné dáta. V prvom prípade zvyčajne myslíme preklad adresy, ktorý pomáha skryť topológiu chráneného systému. Toto je jedinečná vlastnosť unikajúcej služby, ktorá vám umožňuje skryť existenciu určitých prístupových objektov. Konverzia údajov môže spočívať napríklad v jej šifrovaní.
Tunelovanie. Tunelovanie by sa malo považovať za nezávislú bezpečnostnú službu. Jeho podstatou je „zabaliť“ prenášanú časť údajov spolu s poľami služieb do novej „obálky“. Ako synonymá pre výraz „tunelovanie“ sa môžu použiť „konverzia“ a „zábal“.
Tunelovanie sa dá využiť na niekoľko účelov:
Prenos paketov patriacich do protokolu, ktorý nie je podporovaný v tejto sieti, prostredníctvom siete;
Zabezpečenie slabej formy dôvernosti (predovšetkým dôvernosti premávky) skrytím skutočných adries a iných oficiálnych informácií;
Zabezpečenie dôvernosti a integrity prenášaných údajov, ak sa používajú v spojení s kryptografickými službami.
Tunelovanie je možné aplikovať na úrovni sietí aj aplikácií.
Kombinácia tunelovania a šifrovania (spolu s potrebnou kryptografickou infraštruktúrou) na vyhradených bránach a tienení na smerovačoch poskytovateľov sieťových služieb (na oddelenie priestorov „ich“ a „cudzej“ adresy siete v duchu virtuálnych lokálnych sietí) vám umožňuje implementovať taký dôležitý ochranný nástroj v moderných podmienkach, ako sú virtuálne súkromné \u200b\u200bsiete. Takéto siete, zvyčajne umiestnené na internete, sú podstatne lacnejšie a bezpečnejšie ako vlastné siete organizácie postavené na vyhradených kanáloch. Fyzicky je nemožné fyzicky chrániť komunikácie po celej ich dĺžke, preto je lepšie vychádzať z predpokladu ich zraniteľnosti a podľa toho poskytnúť ochranu.
Kontrola integrity. Integrita systému - stav systému, v ktorom existuje úplná záruka, že počítačový systém je za akýchkoľvek podmienok založený na logicky úplnom hardvéri a softvéri, ktorý poskytuje ochranné mechanizmy, logickú správnosť a spoľahlivosť. V moderných systémoch by sa kontrola integrity mala vzťahovať nielen na jednotlivé časti údajov, hardvéru alebo softvéru. Musí pokrývať distribuované konfigurácie, chrániť toky údajov pred neoprávnenými úpravami.
V súčasnosti existuje dostatok riešení na kontrolu integrity so systémovou aj sieťovou orientáciou (zvyčajne sa kontrola vykonáva transparentne pre aplikácie).
Bezpečnostná kontrola. Bezpečnostná kontrola je v skutočnosti pokusom „preniknúť“ do informačného systému, ktorý vykonáva samotná organizácia alebo oprávnené osoby, aby zistil možné slabé stránky pri ochrane systému. Cieľom tejto služby je odhaliť slabé stránky ochrany pred útočníkmi. Po prvé, neznamená to architektonické (je ťažké ich odstrániť), ale „prevádzkové“ medzery, ktoré sa objavili v dôsledku administratívnych chýb alebo z dôvodu nepozornosti pri aktualizácii verzií softvéru.
Existujú komerčné aj voľne distribuované bezpečnostné kontrolné produkty. Je dôležité nielen ich získať a nainštalovať raz, ale aj neustále aktualizovať databázu zraniteľností. To nemusí byť jednoduchšie ako sledovanie informácií o nových útokoch a odporúčaných protiopatreniach.
Zisťovanie porúch a obnovenie online. Detekcia porúch a prevádzková obnova patria medzi služby, ktoré poskytujú vysokú dostupnosť (dostupnosť). Jeho práca je založená na prvkoch architektonickej bezpečnosti, konkrétne na existencii redundancie v konfigurácii hardvéru a softvéru. Spomedzi hardvérových a softvérových produktov sa štandardy stali konfigurácie klastrov. Obnova dát sa vykonáva naozaj rýchlo (desiatky sekúnd, v extrémnych prípadoch minúty), spôsobom, ktorý je pre aplikácie priehľadný.
Management. Správa sa dá pripísať počtu infraštruktúrnych služieb, ktoré zabezpečujú normálnu prevádzku komponentov a bezpečnostných nástrojov. Zložitosť moderných systémov je taká, že bez správne organizovaného riadenia sa postupne znižujú tak z hľadiska efektívnosti, ako aj z hľadiska bezpečnosti.
Možný je aj iný pohľad na riadenie - ako integrujúci obal informačných služieb a bezpečnostných služieb (vrátane prostriedkov na zabezpečenie vysokej dostupnosti), zabezpečujúci ich normálne, koordinované fungovanie pod kontrolou správcu informačného systému.
Systémy riadenia by mali:
Umožniť správcom plánovať, organizovať, monitorovať a zvažovať využívanie informačných služieb;
Poskytnúť schopnosť reagovať na meniace sa požiadavky;
Poskytovať predvídateľné správanie informačných služieb;
Chráňte informácie.
Inými slovami, manažment by mal mať dostatočne bohatú funkčnosť, mal by byť efektívny, flexibilný a informačne bezpečný.
Existuje päť funkčných oblastí riadenia:
Správa konfigurácie (parametre nastavenia pre normálne fungovanie, spúšťanie a zastavovanie komponentov, zhromažďovanie informácií o aktuálnom stave systému, prijímanie oznámení o významných zmenách v prevádzkových podmienkach, zmena konfigurácie systému);
Riadenie porúch (zisťovanie porúch, izolácia a obnova systému);
Riadenie výkonu (zhromažďovanie a analýza štatistických informácií, určovanie výkonu systému v bežných a núdzových podmienkach, zmena prevádzkového režimu systému);
Riadenie bezpečnosti (implementácia bezpečnostnej politiky vytvorením, vymazaním a zmenou bezpečnostných služieb a mechanizmov, šírenie relevantných informácií a reagovanie na incidenty);
Správa účtovných informácií.
Informácie sa týkajú najcennejších zdrojov každej spoločnosti, a preto je zabezpečenie ochrany informácií jednou z prioritných úloh. S rastúcim významom a hodnotou informácií narastá význam ochrany.
Na zabezpečenie integrity a dôvernosti informácií je potrebné chrániť informácie pred náhodným zničením alebo neoprávneným prístupom k nim. Integrita sa týka nemožnosti neoprávneného alebo náhodného zničenia, ako aj úpravy informácií. Dôvernosť informácií znamená nemožnosť neoprávneného zabavenia uložených, odoslaných alebo prijatých informácií útočníkom.
Neoprávnený prístup odkazuje na nezákonné konanie, v dôsledku čoho útočník získa prístup k dôverným informáciám. To znamená, neoprávnený prístup - Toto sú aktívne kroky na vytvorenie možnosti získania prístupu k informáciám iných ľudí bez súhlasu vlastníka. rozbíjanie - neoprávnený vstup do počítačovej siete alebo do počítača niekoho iného s cieľom získať prístup k informáciám.
Existuje niekoľko možných smerov úniku informácií a spôsobov neoprávneného prístupu k nim v systémoch a sieťach:
- odpočúvanie informácií;
- modifikácia informácií, t. robiť v ňom zmeny;
- nahradenie informácií, keď útočník môže vo vašom mene poslať list alebo dokument;
- vytváranie falošných správ;
- neoprávnený prístup k dôverným informáciám;
- zavedenie počítačových vírusov atď.
Tieto druhy hrozieb môžu vzniknúť v súvislosti s neoprávneným prístupom k informáciám.
Ochrana informácií pred neoprávneným prístupom (autentifikácia a autorizácia)
Na získanie prístupu k zdrojom informačného systému sú potrebné tri postupy: identifikácia, autentifikácia a autorizácia.
pod identita rozumie sa priradenie jedinečných mien a kódov (identifikátorov) používateľom (objektom alebo predmetom zdrojov).
overenie pravosti (autentifikácia) je postup autentifikácie používateľa (alebo objektu) podľa zadaného identifikátora. Napríklad: autentifikácia užívateľa porovnaním hesla, ktoré zadal, s heslom v databáze; potvrdenie pravosti e-mailu overením digitálneho podpisu e-mailu; kontrola kontrolného súčtu súboru, či je v súlade s čiastkou deklarovanou autorom tohto súboru. V ruštine sa tento výraz používa hlavne v oblasti informačných technológií.
Overovanie by sa nemalo zamieňať povolenie, Autorizácia sa chápe ako overenie oprávnenia alebo overenie práva používateľa na prístup k určitým zdrojom a vykonávanie určitých operácií s nimi. Autorizácia sa vykonáva s cieľom rozlišovať prístupové práva k sieťovým a počítačovým zdrojom.
Jednoduchý algoritmus overenia používateľa pozostáva z nasledujúcich krokov:
- užívateľ zadá jeho parametre účet (prihlasovacie meno / heslo) a pošle ich na server na overenie;
- autentifikačný server porovnáva prijaté hodnoty s referenciou uloženou spravidla v databáze;
- ak sa údaje zhodujú s referenciou, autentifikácia sa považuje za úspešnú a užívateľ získa prístup k informačnému systému; ak sa údaje nezhodujú s referenčnými hodnotami, používateľ sa vráti k 1. kroku.
Heslo pre užívateľské konto musí byť uložené na serveri v hašovanej podobe. V tomto prípade overovací server skontroluje databázu na záznam s konkrétnou prihlasovacou hodnotou používateľa a hashom hesla.
Na identifikáciu užívateľov sa môžu použiť systémy, ktoré sú zložité z hľadiska technickej implementácie, ktoré zabezpečujú autentifikáciu používateľa na základe analýzy jeho jednotlivých parametrov (odtlačky prstov, kreslenie ručných línií, dúhovky, zabarvení hlasu). Často sa používajú metódy fyzickej identifikácie spojené s pevnými médiami - priechod v systémoch kontroly vstupu, pasívne plastové karty čítané špeciálnymi zariadeniami; aktívne plastové karty obsahujúce integrovaný čip.
Elektronický digitálny podpis
Jedným z najčastejšie používaných spôsobov zabezpečenia informačnej bezpečnosti je určenie pravosti dokumentov na základe elektronického digitálneho podpisu. Na prácu s digitálnym podpisom sa používajú asymetrické kľúče. Majiteľ šifruje svoju správu / dokument súkromným kľúčom (PrivateKey) a používatelia, ktorí majú verejné kľúče (PublicKey), môžu správu / dokument dešifrovať a prečítať. Keďže súkromný kľúč vlastní iba autor, správu mohol šifrovať iba on. Potvrdzuje to vlastníctvo správy.
Niekedy sa používa ako digitálny podpis prehľad správ šifrované pomocou PrivateKey. Príjemca môže extrahovať prehľad správ pomocou PublicKey, porovnať ho s prehľadom samotnej správy a overiť, či je správa autentická, t.j. vo svojej celistvosti a príslušnosti k odosielateľovi.
Informačná bezpečnosť v počítačových sieťach
Lokálne podnikové siete sú často pripojené k internetu. Na ochranu miestnych sietí spoločností sa zvyčajne používajú firewally - firewally. Firewall je prostriedok riadenia prístupu, ktorý vám umožňuje rozdeliť sieť na dve časti (hranica prechádza medzi lokálna sieť a internet) a tvoria súbor pravidiel, ktoré určujú podmienky pre prenos paketov z jednej časti do druhej. Obrazovky môžu byť implementované ako hardvér, tak aj softvér.
Obrazovky môžu poskytovať ochranu v podnikových počítačových sieťach. Informácie vo forme objektov sa však často odosielajú do nezabezpečeného prehliadača. V tomto prípade musia byť objekty vo forme triedy java serializované. Serializácia objektu nie je bezpečná. Ak serializovaný objekt predstavuje určitú hodnotu pre spoločnosť, môže byť tiež chránený vo fázach serializácie a deserializácie. Ochrana serializovaného objektu je podrobne opísaná na príklade.
Poznámka: Môžete veľa hovoriť o ochrane informácií. Spomeniete si na počítačové vírusy a antivírusové programy. Doteraz som sa však sústredil iba na tie aspekty, ktoré sa na stránkach berú do úvahy a zaujímajú ich programátori java. Som presvedčený, že v priebehu času by sa mali objaviť aj informácie o šifrovaní a digitálnych certifikátoch.