Yetkisiz Erişim - uygun yetkinin yokluğunda bilgileri okumak, güncellemek veya imha etmek.
Yetkisiz erişim, kural olarak, başkasının adı kullanılarak, cihazların fiziksel adreslerinin değiştirilmesi, problemlerin çözülmesinden sonra kalan bilgilerin kullanılması, yazılım ve bilgi desteğinin değiştirilmesi, bilgi ortamının çalınması, kayıt cihazlarının kurulması şeklinde gerçekleştirilir.
Bilgilerini başarılı bir şekilde korumak için, kullanıcının olası durumlar hakkında kesinlikle net bir fikre sahip olması gerekir. yetkisiz erişim yolları... İzinsiz bilgi edinmenin başlıca tipik yollarını listeleyelim:
· Bilgi taşıyıcılarının ve endüstriyel atıkların çalınması;
· Koruma önlemlerinin üstesinden gelen bilgi taşıyıcılarının kopyalanması;
· Kayıtlı bir kullanıcı olarak kılık değiştir;
· Aldatmaca (sistem istekleri için kılık);
· İşletim sistemlerinin ve programlama dillerinin eksikliklerinin kullanımı;
· "Truva atı" türündeki yazılım yer imlerinin ve yazılım bloklarının kullanımı;
· Elektronik emisyonların durdurulması;
· Akustik emisyonların durdurulması;
· Uzaktan fotoğrafçılık;
· Gizli dinleme cihazlarının kullanımı;
· Koruma mekanizmalarının kötü amaçlı olarak devre dışı bırakılması vb.
Bilgileri yetkisiz erişimden korumak için aşağıdakiler kullanılır:
1) organizasyonel önlemler;
2) teknik araçlar;
3) yazılım;
4) şifreleme.
Organizasyonel faaliyetler Dahil etmek:
· Giriş kontrolu;
· Ortam ve aygıtların bir kasada saklanması (disketler, monitör, klavye vb.);
· Kişilerin bilgisayar odalarına erişiminin kısıtlanması vb.
teknik araçlar Dahil etmek:
· Filtreler, ekipman için elekler;
· Klavyeyi kilitlemek için tuş;
· Kimlik doğrulama cihazları - parmak izi, el şekli, iris, baskı hızı ve teknikleri vb. okumak için;
Mikro devrelerdeki elektronik anahtarlar vb.
Yazılım Dahil etmek:
· Parola erişimi — kullanıcı haklarının ayarlanması;
· Norton Utilites paketinden Diskreet yardımcı programında bir klavye kısayolu kullanarak ekranı ve klavyeyi kilitleyin;
· BIOS parola koruma araçlarının kullanımı - BIOS'un kendisinde ve bir bütün olarak PC'de vb.
şifreleme– bu, açık bilgilerin dışarıdan erişilemeyen şifreli bilgilere dönüştürülmesidir (kodlanmasıdır). Şifreleme, öncelikle gizli bilgilerin güvenli olmayan iletişim kanalları üzerinden iletilmesi için kullanılır. Herhangi bir bilgi şifrelenebilir - metinler, resimler, ses, veritabanları vb. İnsanlık, düşmanlardan saklanması gereken gizli bilgilerin ortaya çıktığı andan beri şifreleme kullanıyor. Bilim tarafından bilinen ilk şifreli mesaj, hiyeroglifler yerine başka karakterlerin kullanıldığı ve daha sonra kabul edildiği Mısır metnidir. Bilim, bir mesajın şifrelenmesi ve şifresinin çözülmesi yöntemlerini inceliyor kriptoloji tarihi yaklaşık dört bin yıllık olan. İki daldan oluşur: kriptografi ve kriptoanaliz.
kriptografi bilgi şifreleme yöntemleri bilimidir. kriptoanaliz şifreleri kırmak için yöntem ve tekniklerin bilimidir.
Genellikle şifreleme algoritmasının kendisinin herkes tarafından bilindiği varsayılır, ancak anahtarı bilinmez, bu olmadan mesajın şifresi çözülemez. Bu, şifreleme ile basit şifreleme arasındaki farktır, burada mesajı kurtarmak için yalnızca şifreleme algoritmasını bilmek yeterlidir.
Anahtar algoritma tarafından sağlanan tüm seçeneklerden belirli bir dönüşüm seçmenize izin veren şifreleme algoritmasının (şifre) bir parametresidir. Anahtarı bilmek, mesajları özgürce şifrelemenize ve şifresini çözmenize olanak tanır.
Tüm şifreler (şifreleme sistemleri) iki gruba ayrılır - simetrik ve asimetrik (ortak anahtarla). simetrik şifre mesajların hem şifrelenmesi hem de şifresinin çözülmesi için aynı anahtarın kullanıldığı anlamına gelir. olan sistemlerde Genel anahtar iki anahtar kullanılır - bazı matematiksel bağımlılıklar kullanılarak birbiriyle ilişkili olan genel ve özel. Bilgi, herkesin kullanımına açık bir ortak anahtar kullanılarak şifrelenir ve yalnızca mesajın alıcısı tarafından bilinen özel bir anahtar kullanılarak şifresi çözülür.
Şifrenin kriptografik gücü anahtarı bilmeden şifrenin çözülmesine karşı gösterdiği dirençtir. Kalıcı bir algoritma, başarılı bir ifşa için, rakipten erişilemeyen bilgi işlem kaynakları, erişilemeyen bir ele geçirilen mesaj hacmi veya süresi dolduktan sonra korunan bilgilerin artık alakalı olmayacağı bir süre gerektiren bir algoritma olarak kabul edilir.
En ünlü ve en eski şifrelerden biri - Sezar şifresi... Bu şifrede, her harf, sağındaki belirli sayıda k pozisyonu için alfabede bulunan bir başka harfle değiştirilir. Alfabe bir halka içinde kapatılır, böylece son karakterler ilkiyle değiştirilir. Sezar'ın şifresi şu anlama gelir: basit ikame şifreleri orijinal mesajdaki her karakter aynı alfabeden başka bir karakterle değiştirildiğinden. Bu tür şifreler, frekans analizi kullanılarak kolayca çözülebilir, çünkü her dilde harflerin frekansları, yeterince büyük herhangi bir metin için yaklaşık olarak sabittir.
Kırılması çok daha zor Vigenere şifresi, Sezar şifresinin doğal gelişimi haline geldi. Vigenère şifresini kullanmak için, anahtar kelime, kaydırılacak değişken miktarı belirtir. Vigenere şifresi, Sezar şifresinden önemli ölçüde daha yüksek bir şifreleme gücüne sahiptir. Bu, ortaya çıkarmanın daha zor olduğu anlamına gelir - doğru anahtar kelimeyi bulmak. Teoride, anahtar mesajın uzunluğuna eşitse ve her anahtar yalnızca bir kez kullanılıyorsa, Vigenere şifresi kırılamaz.
Tanıtım
NSD'den bilgileri korumaya yönelik önlemler şunlardır: parçası Bir teşebbüsün (kurum, firma vb.) yönetim, bilimsel, endüstriyel (ticari) faaliyetleri, departman bağlantısı ve mülkiyet şekli ne olursa olsun ve yerleşik gizlilik rejimini sağlamak için diğer önlemlerle birlikte yürütülür. AU'da işlenmesi ve depolanması sırasında bilgilerin kurcalanmaya karşı korunmasını organize etme uygulaması, bilgi güvenliğini sağlamak için aşağıdaki ilke ve kuralları dikkate almalıdır:
Bilgi güvenliği seviyesinin, mevcut mevzuat kapsamında korumaya tabi bilgilerin korunması için yasal hükümlere ve düzenleyici gerekliliklere uygunluğu, dahil. nükleer santralin güvenlik sınıfının bilgi işleme özelliklerine (işleme teknolojisi, nükleer santralin belirli çalışma koşulları) ve gizlilik düzeyine göre seçimi.
Korunacak bilgilerin bir listesi şeklinde gizli bilgi ve belgelerin belirlenmesi, zamanında düzeltilmesi.
Bilginin korunmasına ilişkin en önemli kararlar, AU'nun sahibi olan işletmenin (kuruluş, firma) yönetimi tarafından alınmalıdır.
Deneklerin erişim haklarının seviyelerini belirleme prosedürünün yanı sıra bu hakkın verildiği kişilerin çemberinin belirlenmesi.
Erişim kontrol kurallarının oluşturulması ve yürütülmesi, ör. erişim konularının erişim nesnelerine erişim haklarını yöneten bir dizi kural.
Yürürlükteki yasalar kapsamında korumaya tabi olan bilgileri işlerken AU'nun güvenlik düzeyini korumak için kullanıcıların kişisel sorumluluğunu oluşturmak.
Korunan nükleer santralin bulunduğu tesisin (bölge, binalar, tesisler, bilgi taşıyıcılarının depolanması), uygun direkler, teknik koruma araçları veya hırsızlığı önleyen veya önemli ölçüde karmaşıklaştıran başka yollarla fiziksel korunmasını sağlamak. bilgisayar ekipmanı, bilgi taşıyıcıları ve ayrıca NSD'den SVT'ye ve iletişim hatları.
Bilgi taşıyıcıların, şifrelerin, anahtarların, ISS NSD'nin hizmet bilgilerinin bakımını (parolaların, anahtarların, şifrelerin oluşturulması, erişim kontrol kuralları), AU'ya dahil olan yeni yazılımın kabulü ve ayrıca gizli bilgilerin işlenmesine ilişkin teknolojik süreç boyunca kontrol vb.
Korunan bilgilerin güvenlik seviyesinin sistematik ve operasyonel kontrolü, bilgi koruma araçlarının koruyucu işlevlerinin doğrulanması. Bilgi koruma araçları, bilgi güvenliği gereksinimlerine uygunluğunu onaylayan bir sertifikaya sahip olmalıdır.
Bilgi güvenliği araçlarıbir dizi mühendislik, elektrik, elektronik, optik ve diğer cihaz ve cihazlar, cihazlar ve teknik sistemlerin yanı sıra sızıntıyı önlemek ve korunan bilgilerin güvenliğini sağlamak dahil olmak üzere çeşitli bilgi koruma sorunlarını çözmek için kullanılan diğer malzeme unsurlarıdır.
Genel olarak, uygulama yöntemine bağlı olarak kasıtlı eylemleri önleme açısından bilgilerin korunmasını sağlama araçları gruplara ayrılabilir: teknik (donanım), yazılım, karma donanım ve yazılım, organizasyon.
Teknik (donanım) araçlar- bunlar, donanımla ilgili bilgi güvenliği sorunlarını çözen çeşitli tiplerde (mekanik, elektromekanik, elektronik ve diğerleri) cihazlardır. Fiziksel sızmayı engellerler veya sızma gerçekleşmişse, bilgiyi maskelemek de dahil olmak üzere bilgiye erişimi engellerler. Sorunun ilk kısmı kilitler, pencerelerdeki ızgaralar, güvenlik alarmları vb. İle çözülür. İkincisi - gürültü jeneratörleri, aşırı gerilim koruyucular, tarama
potansiyel bilgi sızıntısı kanallarını "bloke eden" veya bunların tespit edilmesini sağlayan radyo alıcıları ve diğer birçok cihaz. Teknik araçların avantajları, güvenilirlikleri, öznel faktörlerden bağımsız olmaları ve değişikliğe karşı yüksek dirençleri ile ilişkilidir.
Donanım koruma araçları, çeşitli elektronik, elektro-mekanik, elektro-optik cihazları içerir. günümüze
O zamandan beri, çeşitli amaçlar için önemli sayıda donanım geliştirildi, ancak aşağıdakiler en yaygın olanı:
güvenlik detaylarını saklamak için özel kayıtlar: şifreler, tanımlama kodları, etiketler veya gizlilik seviyeleri;
onu tanımlamak için bir kişinin bireysel özelliklerini (ses, parmak izleri) ölçmek için cihazlar;
veri teslimatının adresini periyodik olarak kontrol etmek için iletişim hattındaki bilgi iletimini kesmek için devreler.
bilgileri şifrelemek için cihazlar (kriptografik yöntemler).
Yazılım araçları, kullanıcı tanımlama, erişim kontrolü, bilgi şifreleme, artıkların kaldırılması için programları içerir.
(çalışan) geçici dosyalar, sistem test kontrolü gibi bilgiler
koruma vb. Yazılımın avantajları - çok yönlülük, esneklik, güvenilirlik, kurulum kolaylığı, değiştirme ve geliştirme yeteneği. Dezavantajları - sınırlı ağ işlevselliği, dosya sunucusunun ve iş istasyonlarının bazı kaynaklarının kullanımı, yanlışlıkla veya kasıtlı değişikliklere karşı yüksek hassasiyet, bilgisayar türlerine (donanımlarına) olası bağımlılık.
Karma donanım/yazılım, donanım ve yazılım ile aynı işlevleri ayrı ayrı uygular ve ara özelliklere sahiptir.
Organizasyonel araçlar, organizasyonel ve teknik (bilgisayarlı odaların hazırlanması, kablo sisteminin döşenmesi, erişimin kısıtlanması gerekliliklerinin dikkate alınması vb.) ve organizasyonel ve yasal (ulusal mevzuat ve bir işletmenin yönetimi tarafından oluşturulan çalışma kuralları) oluşur. belirli işletme). Organizasyon araçlarının avantajları, çok çeşitli sorunları çözmenize izin vermesi, uygulanmasının kolay olması, ağdaki istenmeyen eylemlere hızlı tepki vermesi ve sınırsız değişiklik ve geliştirme olanaklarına sahip olmasıdır.
Dağıtım ve kullanılabilirlik derecesine göre yazılım tahsis edilir. Ek bir bilgi koruması seviyesinin gerekli olduğu durumlarda diğer araçlar kullanılır.
.Uçak bilgi sızıntı kanalları
Olası bilgi sızıntısı kanalları, sistem öğelerine erişim ve bileşenlerinin yapısındaki değişikliklerle ilişkili kanallardır. İkinci grup şunları içerir:
diğer kullanıcıların dosyalarından kasıtlı olarak veri okunması;
artık bilgileri, yani görevleri tamamladıktan sonra manyetik ortamda kalan verileri okumak;
bilgi taşıyıcılarının kopyalanması;
terminal bilgilerine erişmek için kasıtlı kullanım
kayıtlı kullanıcılar;
Şifreleri ve işleme sistemlerinde kullanılan bilgilere erişimi farklılaştıran diğer ayrıntıları çalarak kayıtlı bir kullanıcı gibi görünmek;
bilgiye erişim için sözde "kapaklar", delikler ve "boşluklar" kullanımı, yani sistem genelindeki bileşenlerin kusurundan kaynaklanan erişim kontrol mekanizmasını atlama olasılıkları yazılım(işletim sistemleri, veri tabanı yönetim sistemleri vb.) ve otomatik veri işleme sistemlerinde kullanılan programlama dillerindeki belirsizlikler.
.Silahlı Kuvvetlerde bilgi güvenliği yöntemleri
Basit bilgi depolama ve iletme araçlarının varlığında, onu kasıtlı erişimden korumak için aşağıdaki yöntemler mevcuttu ve şimdiye kadar önemini kaybetmedi: erişim kısıtlaması; erişim farklılaşması; erişimin ayrılması (ayrıcalıklar); bilginin kriptografik dönüşümü; erişim kontrolü ve muhasebe; yasal önlemler.
Bu yöntemler tamamen organizasyonel olarak veya teknik araçların yardımıyla gerçekleştirildi.
Otomatik bilgi işlemenin ortaya çıkmasıyla birlikte, fiziksel bilgi ortamı değişti ve yeni türlerle desteklendi ve işlenmesinin teknik araçları daha karmaşık hale geldi.
Bu bağlamda, bilgi işlem sistemlerinde bilgiyi korumanın eski ve yeni yöntemleri gelişmektedir:
arızaların, donanım arızalarının ve insan hatalarının yanı sıra yazılım hatalarının tespitini ve teşhisini sağlayan fonksiyonel kontrol yöntemleri;
bilginin güvenilirliğini artırma yöntemleri;
bilgileri acil durumlardan koruma yöntemleri;
ekipmanın, iletişim hatlarının ve teknolojik kontrollerin dahili kurulumuna erişim kontrolü yöntemleri;
bilgiye erişimi sınırlama ve kontrol etme yöntemleri;
kullanıcıların, teknik araçların, medyanın ve belgelerin kimlik ve kimlik doğrulama yöntemleri;
Bilgileri kurcalamaya karşı koruma yöntemleri 4 türe ayrılabilir
2.1 Fiziksel ve veri erişimi
Veri erişim kontrol kuralları, yukarıda tartışılan bireysel tanımlama gereksinimlerine ulaşmak için mevcut olan tek yöntemdir. En iyi erişim denetimi politikası, "en az gerekli ayrıcalık" politikasıdır. Başka bir deyişle, kullanıcı yalnızca işinde ihtiyaç duyduğu bilgilere erişebilir. Gizli (veya eşdeğeri) ve üzeri olarak sınıflandırılan bilgiler zaman zaman değiştirilebilir ve onaylanabilir.
Bir düzeyde (en azından kayıtlı gizli veya eşdeğeri), değişikliklerin kaydının yanı sıra bir kontrol ve erişim kontrolü sistemi olmalıdır. Verilerde ve programlarda yapılan tüm değişikliklerin sorumluluğunu tanımlamak için kurallar mevcut olmalıdır. Veriler ve programlar gibi kaynaklara yetkisiz erişim girişimlerini tespit etmek için bir mekanizma oluşturulmalıdır. Kaynak sahibi, birim yöneticileri ve güvenlik personeli, gizli anlaşmayı önlemek için olası ihlallerden haberdar edilmelidir.
2 Donanım erişim kontrolü
İç tesisata, iletişim hatlarına ve teknolojik kontrollere erişimi kontrol etmek için, ekipmanın açılmasını izlemek için ekipman kullanılır. Bu, ekipmanın ve teknolojik elemanların ve kontrol panellerinin dahili kurulumunun, sensörün monte edildiği kapaklar, kapılar veya kasalarla kapatıldığı anlamına gelir. Sensörler, ekipman açıldığında tetiklenir ve toplama devreleri aracılığıyla merkezi bir kontrol cihazına beslenen elektrik sinyalleri üretir. Böyle bir sistemin kurulumu, yazılım indirme araçları, bilgisayar kontrol paneli ve donanıma dahil olan donanımın harici kablo konektörleri dahil olmak üzere, ekipmana yönelik tüm teknolojik yaklaşımların daha eksiksiz bir şekilde örtüşmesiyle mantıklıdır. bilgi işlem sistemi... İdeal olarak, bilgi koruma verimliliği için artan gereksinimleri olan sistemler için, kapakların bir sensörle mekanik bir kilit altında kapatılması veya aktivasyonun da kontrol edilmesi tavsiye edilir. personel kaynakları oturum açma - kullanıcı terminalleri.
Ekipman kurcalama kontrolü, yalnızca bilgileri kurcalamaya karşı korumak için değil, aynı zamanda bilgi işlem sisteminin normal çalışmasını sağlamak için teknolojik disiplini sürdürmek için de gereklidir, çünkü genellikle çalışma sırasında, temel sorunların çözülmesine paralel olarak, ekipman onarılır veya engelledi ve yanlışlıkla kabloyu bağlamayı unuttuğunuz veya bilgisayar konsolunun bilgi işleme programını değiştirdiği ortaya çıkabilir. Bilgileri yetkisiz erişime karşı koruma açısından, donanım kurcalama kontrolü aşağıdaki eylemlere karşı koruma sağlar:
değişim ve yıkım şematik diyagram bilgi işlem sistemi ve ekipmanı;
harici bir cihaz bağlama;
teknolojik konsolları ve kontrolleri kullanarak bilgi işlem sisteminin algoritmasını değiştirmek;
yabancı programları indirmek ve yazılım "virüslerini" sisteme sokmak;
terminallerin yetkisiz kişiler tarafından kullanılması vb.
Ekipman açma kontrol sistemlerinin ana görevi, çalışma süresi boyunca ekipmana tüm standart olmayan ve teknolojik yaklaşımları örtüştürmektir. Sistemin çalışması sırasında ikincisine ihtiyaç duyulursa, çalışmaya başlamadan önce onarım veya bakım için alınan ekipmanın, korumaya tabi bilgi alışverişinin çalışma devresinden bağlantısı kesilir ve çalışma devresine gözetim ve kontrolü altında verilir. bilgi güvenliğinden sorumlu kişiler.
2.3 Bilginin kriptografik dönüşümü
Verileri şifreleme ile korumak bunlardan biridir. olası çözümler güvenliklerinin sorunları. Şifrelenmiş veriler yalnızca şifresinin nasıl çözüleceğini bilen birinin kullanımına sunulur ve bu nedenle şifrelenmiş verilerin çalınması yetkisiz kullanıcılar için tamamen anlamsızdır. Kriptografi, yalnızca bilginin gizliliğini değil, aynı zamanda gerçekliğini de sağlar. Gizlilik, bireysel mesajların veya tüm dosyanın şifrelenmesiyle sağlanır. Bilgilerin gerçekliği, yazarın kimliğini doğrulamak için alıcı tarafından doğrulanan tüm bilgileri içeren özel bir kodla şifrelenerek onaylanır. Yalnızca bilginin kaynağını onaylamakla kalmaz, aynı zamanda değişmezliğini de garanti eder. Bilginin basit bir dönüşümü bile, anlamını vasıfsız ihlalcilerin çoğundan gizlemenin çok etkili bir yoludur.
Kriptografi bugün tek bilinen bir şekilde gizliliği sağlamak ve uydulardan iletilen bilgilerin gerçekliğini doğrulamak. DES veri şifreleme standardının doğası öyledir ki, algoritması herkese açıktır, yalnızca anahtarın gizli olması gerekir. Ayrıca bilgilerin şifrelenmesi, şifresinin çözülmesi için aynı anahtarlar kullanılmalıdır, aksi takdirde okunması imkansız olacaktır.
Şifreleme ilkesi, metni bir anahtar kullanarak kodlamaktır. Geleneksel şifreleme sistemlerinde, kodlama ve kod çözme için aynı anahtar kullanılmıştır. Açık anahtarlı veya asimetrik şifrelemeli yeni sistemlerde, anahtarlar eşleştirilir: biri kodlama için, diğeri bilgi kodunu çözmek için kullanılır. Böyle bir sistemde, her kullanıcı benzersiz bir çift anahtara sahiptir. "Genel" olarak adlandırılan bir anahtar herkes tarafından bilinir ve mesajları kodlamak için kullanılır. "Gizli" olarak adlandırılan başka bir anahtar, sıkı bir gizlilik içinde tutulur ve gelen mesajların şifresini çözmek için kullanılır. Böyle bir sistemi uygularken, bir başkasına mesaj göndermesi gereken bir kullanıcı, mesajı sonrakinin açık anahtarıyla şifreleyebilir. Yalnızca özel anahtarın sahibi şifreyi çözebilir, bu nedenle müdahale riski hariç tutulur. Bu sistem, sahte dijital imzalara karşı koruma oluşturmak için de kullanılabilir.
Güvenli İnternet ve intranet şifrelemesinin pratik kullanımı, geleneksel simetrik ve yeni asimetrik şemaları birleştirir. Genel anahtar şifrelemesi, daha sonra gerçek verileri şifrelemek için kullanılan gizli bir simetrik anahtar üzerinde anlaşmak için kullanılır. Şifreleme en çok yüksek seviye veri güvenliği. Hem donanım hem de yazılım geçerlidir çeşitli algoritmalarşifreleme.
4 Kontrol ve erişim kontrolü
Bilgisayarın bilgilerine olası yetkisiz iletişim kanallarının çakıştırılması için, belirtilenlere ek olarak başka yöntemler ve koruma araçları uygulanabilir. Çok kullanıcılı modda bir PC kullanırken, içinde kontrol ve erişim kontrolü için bir program uygulamak gerekir. Kullanıcıların sıklıkla geliştirdikleri birçok benzer program vardır. Bununla birlikte, PC yazılımının çalışmasının özellikleri, klavyesinin yardımıyla, yeterince nitelikli bir davetsiz misafir programcının bu tür korumayı kolayca atlayabilmesidir. Bu nedenle, bu önlem yalnızca vasıfsız bir suçluya karşı koruma sağlamak için etkilidir. Profesyonel bir davetsiz misafire karşı korunmak için bir dizi yazılım ve donanım yardımcı olacaktır. Örneğin, boş bir PC yuvasına yerleştirilen özel bir elektronik anahtar ve yalnızca kullanıcının bildiği bir algoritmaya göre elektronik anahtarla etkileşime giren PC uygulama programlarına yerleştirilen özel program parçaları. Anahtar olmadığında bu programlar çalışmaz. Bununla birlikte, PC sistem birimini her açmanız gerektiğinden, böyle bir anahtarın kullanılması sakıncalıdır. Bu bağlamda, değişken kısmı - şifre - asıl anahtar haline gelen ayrı bir cihazda görüntülenir ve okuyucu, sistem biriminin ön paneline kurulur veya ayrı bir uzak cihaz olarak gerçekleştirilir. Bu şekilde hem PC önyüklemesini hem de kontrol ve erişim kontrol programını engelleyebilirsiniz.
Örneğin, iki Amerikan şirketinin en popüler elektronik anahtarları şu özelliklere sahiptir: Rainbow Technologies (RT) ve Yazılım Güvenliği (SSI) İç piyasada bir dizi elektronik anahtar sunulmaktadır: NovexKey - by NOVEX, HASP ve Plug - by ALADDIN, vb. Bunların çoğu, bir yazılım ürününün izinsiz kopyalanmasına karşı koruma sağlamayı, yani yaratılması için telif hakkını korumayı, dolayısıyla başka bir amaç için tasarlanmıştır. Ancak bu durumda, görüntüleme kanalları, dokümantasyon, yazılım ve bilgi ortamı, sahte elektromanyetik radyasyon ve bilgi toplama her zaman korunmaz. Örtüşmeleri zaten bilinen yöntemler ve araçlarla sağlanır: bir bilgisayarı güvenli bir odaya yerleştirmek, bilgi taşıyıcılarını metal dolaplarda ve kasalarda muhasebeleştirmek ve depolamak, şifreleme.
Erişim kontrol sistemi (ADS), entegre bir bilgi güvenliği sisteminin ana bileşenlerinden biridir. Bu sistemde, aşağıdaki bileşenler ayırt edilebilir:
erişim konusunun kimliğini doğrulamak için araçlar;
bir bilgisayar sisteminin teknik cihazlarına erişimi sınırlama araçları;
programlara ve verilere erişimi farklılaştırma araçları;
yetkisiz eylemleri engelleme araçları;
olayların kayıt araçları;
erişim kontrol sisteminin görevli operatörü.
Erişim kontrol sisteminin verimliliği, büyük ölçüde kimlik doğrulama mekanizmalarının güvenilirliği ile belirlenir. Özellikle önemli olan, kriptografik yöntemler kullanılarak her zaman var olan uzak işlemlerin etkileşiminde kimlik doğrulamadır. Kimlik doğrulama mekanizmalarını çalıştırırken, ana görevler şunlardır:
tanımlayıcıların oluşturulması veya üretilmesi, bunların muhasebeleştirilmesi ve saklanması, tanımlayıcıların kullanıcıya iletilmesi ve bilgisayar sistemindeki (CS) kimlik doğrulama prosedürlerinin doğruluğu üzerinde kontrol. Erişim öznitelikleri (şifre, kişisel kod vb.) tehlikeye girerse, izin verilenler listesinden acilen çıkarılmalıdır. Bu eylemler, erişim kontrol sisteminin görevli operatörü tarafından gerçekleştirilmelidir.
Büyük dağıtılmış CS'de, tanımlama özniteliklerini ve şifreleme anahtarlarını oluşturma ve sunma sorunu önemsiz bir iş değildir. Bu nedenle, örneğin, gizli şifreleme anahtarlarının dağıtımı, korunan bilgisayar sisteminin dışında yapılmalıdır. Kullanıcı kimliği değerleri sistemde açık metin olarak saklanmamalı ve iletilmemelidir. Tanımlayıcıların girilmesi ve karşılaştırılması sırasında, parola seti üzerinde casusluğa ve aşağıdakiler gibi kötü niyetli programların etkisine karşı korunmak için özel önlemler uygulamak gerekir. tuş kaydediciler ve SRD'nin yazılım simülatörleri. Teknik araçlara erişimi sınırlandıran araçlar, izinsiz giriş yapan kişinin teknik bir aracı açma, işletim sistemi yükleme, bilgi giriş-çıkış, standart olmayan cihazlar kullanma vb. yetkisiz eylemlerini önler. Erişim sınırlaması DRS operatörü tarafından gerçekleştirilir. donanım ve yazılım kullanımı yoluyla. Böylece, SRD operatörü, güç kaynağı kilitlerinden doğrudan teknik cihaza veya ayrı bir odada bulunan tüm cihazlara anahtarların kullanımını kontrol edebilir, cihaza giden güç kaynağının veya işletim sistemi önyüklemesinin engellenmesini uzaktan kontrol edebilir. Donanım veya yazılım düzeyinde operatör, belirli bir kullanıcı tarafından kullanılabilecek araçların teknik yapısını değiştirebilir.
Programlara ve verilere erişimi farklılaştırma araçları en yoğun şekilde kullanılır ve DSS'nin özelliklerini büyük ölçüde belirler. Bu araçlar donanım ve yazılımdır. Bilgi güvenliği birimi yetkilileri tarafından yapılandırılır ve kullanıcının yetkisi değiştiğinde veya program ve bilgi yapısı değiştiğinde değişirler. Dosya erişimi, erişim yöneticisi tarafından kontrol edilir. Veritabanı dosyalarındaki kayıtlara ve bireysel kayıt alanlarına erişim de veritabanı yönetim sistemleri tarafından düzenlenir.
DSS'nin verimliliği, harici depolama aygıtlarında depolanan dosyaların şifrelenmesinin yanı sıra, dosyalar yok edildiklerinde tamamen silinerek ve geçici dosyaların silinmesiyle artırılabilir. Saldırgan, örneğin yetkisiz kopyalama yoluyla makine ortamına erişim sağlasa bile, şifreleme anahtarı olmadan bilgiye erişim sağlayamaz.
Dağıtılmış CS'de, örneğin uzak LAN'lar gibi alt sistemler arasındaki erişim, güvenlik duvarları tarafından düzenlenir. Güvenli ve güvenli olmayan bilgisayar sistemleri arasındaki iletişimi kontrol etmek için bir güvenlik duvarı kullanılmalıdır. Aynı zamanda, erişim hem korumasız bir CS'den korunan bir CS'ye hem de korumalı bir sistemden korumasız olana erişim düzenlenir. KSZI operatörünün işyerine güvenlik duvarı işlevlerini uygulayan bir bilgisayarın yerleştirilmesi tavsiye edilir.
Erişim konularının yetkisiz eylemlerini engelleme araçları, RDS'nin ayrılmaz bir bileşenidir. Erişim konusunun niteliklerine veya eylemlerinin algoritmasına bu konu için izin verilmiyorsa, bu tür bir davetsiz misafirin CS'sinde daha fazla çalışma, CSIS operatörü müdahale edene kadar sonlandırılır. Kilitleme olanakları, erişim özelliklerinin otomatik seçimini dışlar veya büyük ölçüde engeller.
Olay kaydetme olanakları da RDS'nin zorunlu bir bileşenidir. Olay günlükleri OVC'de bulunur. Bu tür günlükler, kullanıcının sisteme giriş ve çıkış yapması, tüm yetkisiz eylemler gerçekleştirme girişimleri, belirli kaynaklara erişim vb. hakkında verileri kaydeder. Günlük, belirli olayları kaydetmek ve içeriğini görev başındaki operatör tarafından periyodik olarak analiz etmek üzere yapılandırılır. - OBI biriminden rütbeli görevliler. Günlüğü yapılandırma ve analiz etme sürecini programlı olarak otomatikleştirmeniz önerilir.
DRS'nin doğrudan kontrolü, kural olarak COP'un görevli yöneticisinin işlevlerini de yerine getiren KSZI'nin görevli operatörü tarafından gerçekleştirilir. İşletim sistemini yükler, CS'nin gerekli yapılandırmasını ve çalışma modlarını sağlar, kullanıcı kimlik bilgileri ve öznitelikleri ile SRD'ye girer, CS kaynaklarına kullanıcı erişimini izler ve yönetir.
.Bilgisayar sistemlerinde bilgi güvenliği araçları
1APS SZI türleri
Yukarıdakilerin hepsinden, yazılım ve donanım bilgi güvenliği araçları birkaç türe ayrılabilir:
Bilgileri yetkisiz kopyalamaya karşı korumak için yazılım ve donanım araçları.
Veri taşıyıcılarında depolandığında ve iletişim kanalları aracılığıyla iletildiğinde bilgilerin kriptografik ve stenografik olarak korunmasına (bilgi maskeleme araçları dahil) yönelik yazılım ve donanım araçları.
Erişim kurallarının ihlali durumunda kullanıcının programını kesintiye uğratmak için yazılım ve donanım araçları.
Aşağıdakiler dahil, verileri silmek için yazılım ve donanım araçları:
Bilgiye yetkisiz erişim girişiminde bulunulduğunda alarm veren yazılım ve donanım araçları.
Yazılım ve yazılım ve donanım sekmelerinin eylemlerini algılamak ve yerelleştirmek için yazılım ve donanım araçları.
2 "Stack-N" sabit manyetik disklerdeki bilgilerin hızlı bir şekilde imha edilmesi için bir cihaz
Hem kullanımda hem de silinme anında kullanımda olmayan sabit manyetik disklere kaydedilen bilgilerin hızlı (acil) silinmesi için tasarlanmıştır.
"Stack" serisi ürünlerin ana özellikleri:
mümkün olan maksimum bilgi imha hızı;
performansı bozmadan süresiz olarak eğilme yeteneği;
otonom güç kaynağına sahip uzaktan kumandalı sistemlerde kullanım imkanı;
hareketli parça yok;
manyetik bir ortama kaydedilen bilgilerin silinmesi, fiziksel olarak yok edilmeden gerçekleşir, ancak diskin sonraki kullanımı yine sorunludur.
Cihaz üç temel model şeklinde üretilmektedir: "Stack-HCl", "Stack-HC2", "Stack-HA1".
"Stack-HCl" modeli, çok sayıda sabit sürücüdeki bilgileri atmadan önce hızla silmek için bir çalışma alanı oluşturmaya odaklanmıştır. Yalnızca ana güç kaynağına sahiptir ve bir sonraki silme işleminden sonra "Hazır" moduna kısa bir geçiş süresi ile karakterize edilir. Modelin maliyeti düşüktür ve kullanımı son derece kolaydır (Şekil 1).
"Stack-HC2" modeli, bilgisayar verileri için sabit bilgi kasalarının oluşturulmasına odaklanmıştır, yalnızca ana güç kaynağına sahiptir. HDD'nin sıcaklık rejimini korumak, kendi kendini test etmek için sistemlerle donatılmıştır ve ayrıca bir uzaktan başlatma modülü ile sonradan donatılabilir (Şekil 2).
"Stack-HAl" modeli, bilgisayar verileri için taşınabilir bilgi kasalarının oluşturulmasına odaklanmıştır, bir ağa ve otonom güç kaynağına sahiptir. Kendi kendine test sistemi ve uzaktan başlatma modülü ile donatılmıştır.
Cihaz, 145x105x41mm çalışma odasına uyan ve benzer özelliklere sahip diğer ortam türlerinden bilgileri silmek için kullanılabilir.
Ürün, manyetik bir ortama kaydedilen faydalı ve servis bilgilerinin silinmesini sağlar. Bu nedenle taşıyıcı sadece özel ekipmanlarla kullanılabilir. Ek olarak, bazı durumlarda ana ünitenin yanlış hizalanması mümkündür.
Stack-HC1'in (2) temel özelliklerini sıralayalım:
Cihazın "Hazır" moduna geçişinin maksimum süresi 7-10 s'dir.
Ürün güç kaynağı - 220 V, 50 Hz.
Maksimum dağılan termal güç 8 W'tır.
"Şarj Et" / "Sil" döngüsünde - 0,5 saatten az değil.
Boyutlar - 235x215x105 mm.
Stack-HA1'in temel özelliklerini sıralayalım:
Cihazın "Hazır" moduna geçişinin maksimum süresi 15 ... 30 s'den fazla değildir.
Bir diskteki bilgileri silme süresi 300 ms'dir.
Ürün güç kaynağı - 220 V, 50 Hz veya harici batarya 12 B.
Ürünün izin verilen sürekli çalışma süresi:
"Hazır" modunda - sınırlı değil;
"Şarj" / "Sil" döngüsünde - 0,5 saat boyunca en az 30 kez.
Boyutlar - 235x215x105 mm.
3 LAN (Yerel Alan Ağı) bağlantı dedektörü FLUKE
karşı önlemler bilgisayar ağları gözlem becerisi gerektiren ve arka planda çalışan çok özel bir görevdir. Bu hizmet türünde birkaç cihaz kullanılır:
el tipi osiloskop;
"serbest hat" üzerinde çalışma için geçici bağlantıların analizi ile zaman alanı reflektometresi;
ağ trafiği analizörü / protokol analizörü;
özel algılama yazılım paketine sahip bir bilgisayar;
taşınabilir spektrum analizörü
Bu aletler osiloskoplar, spektrum analizörleri, multimetreler, arama alıcıları, X-ray makineleri ve diğer karşı önlemlere ek olarak kullanılır.Karşı gözetleme komutları için bir araçtır (Şekil 2). “Temel Araç”, yüksek kaliteli Time Domain Reflektometre işlevleri de dahil olmak üzere bir kablo tarayıcının tüm işlevlerini sağlar. Trafik analizi yetenekleri, ağ kesintilerini, korsan izinsiz girişlerini tanımlamak ve izlemek ve yerel bir ağda gizlenmiş gözetim cihazlarının varlığını tespit etmek için gereklidir. LANMeter ayrıca ağ denetimleri ve denetimleri için de kullanılır.
FLUKE DSP-2000 \ DSP-4000 kablo analizörü ve FLUKE 105B parametre ölçer de karşı önlem denetimlerini gerçekleştirmek için gerekli araçlardır ve LANmetreyi tamamlar.
İncelemeler sırasında, genel değerlendirme için ağa bağlı bir osiloskop, genellikle dalga biçimini ve bunların varlığını gözlemlemenizi sağlar. Dağıtılmış bir spektruma sahip yetkisiz gözetim cihazları ağı olması durumunda, osiloskop bu gerçeğin hızlı bir şekilde belirlenmesini ve ayrıca voltajların, RF gürültüsünün varlığının ve geçici olaylar hakkında sınırlı bilgilerin bir göstergesini sağlayacaktır.
Bir ağın RF spektrumunu hızlı bir şekilde görüntülemek için elde taşınabilir bir spektrum analizörü kullanılır. Test edilen ağ için tipik olmayan sinyaller izlenmelidir. Ağ kablolarının tüm kombinasyonları, yabancı sinyallerin varlığı için dikkatlice kontrol edildiğinde (bir osiloskop ve spektrum analizörü kullanılarak), her belirli segmentte (veya kablo girişinde) meydana gelen herhangi bir aktiviteyi izlemek için bir ağ trafiği analizörü kullanılır. Bu, ağ trafiğinde özel yazılım kullanımını, yetkisiz gözetimi veya bir güvenlik ihlalini gösterebilecek herhangi bir anormalliği belirlemek içindir.
Bir ağ trafiği analizcisi genellikle yalnızca paket başlıklarını değerlendirir ve kullanıcıya PING, Rota İzleme, DNS aramaları ve bulunan veya etkin ağ adreslerinin listelerini sağlama gibi birkaç temel ağ işlevi sağlayabilir. Bu bakış açısından, karşı önlem uzmanı tüm ağ nesnelerinin bir listesini alacak ve bu liste daha sonra fiziksel listeye göre kontrol edilebilecektir.
Bir karşı ölçücü, bir ağ segmentinin bağlantısını kesebilir (genellikle bir yönlendiriciyi veya anahtarı kapatarak) ve tüm kablo bağlantısını kesebilir. Bu, bilgisayar grubunu ve bazı kabloları ağın geri kalanından izole edecek ve incelemenin geri kalanı için yeterli koruma sağlayacaktır. Fiziksel kablolama, gözetim cihazları veya anormallikler için kontrol edilebilir.
4 Bilgi güvenliği sistemi Secret Net 6.0
Net, bilgileri yetkisiz erişime karşı korumanın sertifikalı bir yoludur ve otomatik sistemleri düzenleyici belgelerin gereksinimlerine uygun hale getirmenize olanak tanır:
98-FZ ("Ticari sırlar hakkında")
152-FZ ("Kişisel veriler hakkında")
5485-1-FZ ("Devlet sırları hakkında")
STO BR (Rusya Bankası Standardı)
FSTEC of Russia sertifikaları, aşağıdakileri korumak için NSD Secret Net'in bilgi güvenliği sisteminin kullanılmasına izin verir:
1B sınıfına kadar otomatik sistemlerdeki gizli bilgiler ve devlet sırları;
K1 sınıfına kadar kişisel veri bilgi sistemleri.
İş istasyonlarının ve ağ sunucularının güvenliği için çeşitli koruma mekanizmaları kullanılır:
gelişmiş tanımlama ve kimlik doğrulama;
yetkili ve seçici erişim kontrolü;
kapalı yazılım ortamı;
kriptografik veri koruması;
diğer koruma mekanizmaları.
Güvenlik yöneticisine, tüm koruma mekanizmalarını yönetmek için tek bir araç sağlanır ve bu, güvenlik ilkesi gereksinimlerine uygunluğu merkezi olarak yönetmenize ve izlemenize olanak tanır.
Güvenlikle ilgili bilgi sistemindeki olaylarla ilgili tüm bilgiler tek bir kayıt defterine kaydedilir. Güvenlik yöneticisi, kullanıcılar tarafından yasa dışı eylemler gerçekleştirme girişimlerini hemen öğrenecektir.
Rapor oluşturma, günlükleri ön işleme, uzak iş istasyonlarının operasyonel yönetimi için araçlar vardır.
Gizli Ağ sistemi üç bileşenden oluşur: istemci kısmı, güvenlik sunucusu ve kontrol alt sistemi (Şekil 3).
Gizli Ağ sisteminin bir özelliği, sunucu bölümünün güvenlik sisteminin verilerinin merkezi olarak depolanmasını ve işlenmesini sağladığı ve istemci bölümünün bir iş istasyonunun veya sunucunun kaynaklarını koruduğu ve kontrol bilgilerini kendi içinde sakladığı bir istemci-sunucu mimarisidir. veri tabanı.
Koruma sisteminin istemci kısmı (hem bağımsız hem de ağ bağlantılı), aşağıdakileri içeren bir bilgisayara kurulur: önemli bilgi, ağdaki bir iş istasyonu veya bir tür sunucu (bir güvenlik sunucusu dahil) olup olmadığı.
İstemci tarafının temel amacı:
bilgisayar kaynaklarının yetkisiz erişime karşı korunması ve kayıtlı kullanıcıların haklarının farklılaştırılması;
bir iş istasyonunda veya ağ sunucusunda meydana gelen olayların kaydı ve bilgilerin güvenlik sunucusuna aktarılması;
güvenlik yöneticisinin merkezi ve merkezi olmayan kontrol eylemlerinin yürütülmesi.
Secret Net istemcileri donanım desteğiyle donatılmıştır (kullanıcıları elektronik tanımlayıcılarla tanımlamak ve harici medyadan indirmeleri yönetmek için).
Security Server, ayrılmış bir bilgisayara veya etki alanı denetleyicisine kurulur ve aşağıdaki görevleri sağlar:
Oracle 8.0 Personal Edition DBMS'nin kontrolü altında çalışan ve güvenlik sisteminin çalışması için gerekli bilgileri içeren güvenlik sisteminin merkezi veritabanının (CDB) bakımı;
tüm Secret Net istemcilerinden devam eden olaylarla ilgili bilgilerin tek bir kayıt günlüğünde toplanması ve işlenen bilgilerin kontrol alt sistemine aktarılması;
kontrol alt sistemi ile etkileşim ve yönetici kontrol komutlarının koruma sisteminin istemci kısmına iletilmesi.
Gizli Ağ yönetim alt sistemi, güvenlik yöneticisinin iş istasyonuna kurulur ve ona aşağıdaki özellikleri sağlar:
Kullanıcı doğrulama.
korunan bilgi ve cihazlara erişimin sınırlandırılmasının sağlanması.
güvenilir bilgi ortamı.
gizli bilgilerin yayılması için kanalların kontrolü.
gizli bilgilerin sızmasını hariç tutan merkezi politikalara dayalı olarak bilgisayar cihazlarının ve yabancılaştırılmış depolama ortamının kontrolü.
merkezi yönetim güvenlik politikaları, yetkisiz saldırılara hızlı bir şekilde yanıt vermenizi sağlar.
operasyonel izleme ve güvenlik denetimi.
ölçeklenebilir güvenlik sistemi, çok sayıda şubesi olan bir kuruluşta Gizli Ağ (ağ seçeneği) kullanma yeteneği.
Gizli Net 6 Dağıtım Seçenekleri
Çevrimdışı mod - az sayıda (20-25'e kadar) iş istasyonunu ve sunucuyu korumak için tasarlanmıştır. Ayrıca, her makine yerel olarak yönetilir.
Ağ modu (merkezi yönetim ile) - Active Directory ile bir etki alanı ağında dağıtım için tasarlanmıştır. Bu seçenek, merkezileştirilmiş yönetim araçlarına sahiptir ve kuruluş genelinde güvenlik ilkeleri uygulamanıza olanak tanır. Gizli Net ağ varyantı, karmaşık etki alanı ağına başarıyla dağıtılabilir
Secret Net'te uygulanan kontrol şeması, bilgi güvenliğini gerçek bir konu alanı açısından yönetmenize ve ağ yöneticisi ile güvenlik yöneticisinin yetkilerinin tam olarak ayrılmasını sağlamanıza olanak tanır.
3.5 Elektronik kilit "Samur"
Bilgisayar kaynaklarını yetkisiz erişimden korumak için tasarlanmıştır.
Elektronik kilit (EZ) "Sobol", Rusya FSTEC tarafından onaylanmıştır. 14 Mart 2008 tarih ve 1574 sayılı Sertifika, ürünün Rusya Devlet Teknik Komisyonu “Bilgiye yetkisiz erişime karşı koruma” Kılavuz Belgesinin gerekliliklerine uygunluğunu teyit eder. Bölüm 1. Bilgi güvenliği için yazılım. Beyan edilmemiş yeteneklerin yokluğunun kontrol düzeyine göre sınıflandırma "ve 1B'ye kadar güvenlik sınıfına sahip otomatik sistemler için koruma sistemlerinin geliştirilmesinde kullanılmasına izin verir.
Sobol elektronik kilidi, otonom bir bilgisayarı koruyan bir cihaz ve yerel alan ağının parçası olan bir iş istasyonu veya sunucu olarak kullanılabilir.
Bu durumda, aşağıdaki koruma mekanizmaları kullanılır:
kullanıcıların tanımlanması ve doğrulanması; bir bilgisayara erişim girişimlerinin kaydı;
çıkarılabilir ortamdan işletim sistemi yüklenmesinin yasaklanması; yazılım ortamının bütünlüğünün kontrolü.
yazılım ortamının bütünlüğünün kontrolü
sistem bütünlüğünü izlemek Windows kayıt defteri
bekçi köpeği
PC'ye erişim girişimlerinin kaydı
konfigürasyon kontrolü
Kullanıcıları tanımlama ve doğrulama olanakları ve ayrıca bir PC'ye erişim girişimlerinin kaydı, kullanılan işletim sisteminin türüne bağlı değildir.
"Sobol" elektronik kilidinin görevi, sisteme girmeye çalışırken kullanıcının kişisel tanımlayıcısını ve şifresini kontrol etmektir. Kayıtlı olmayan bir kullanıcının sisteme girme girişimi olması durumunda, elektronik kilit girişimi kaydeder ve 4 cihaza kadar donanım engellemesi gerçekleştirilir (örneğin: FDD, CD-ROM, ZIP, LPT, SCSI portları). Elektronik kilit, kişisel tanımlayıcılar kullanarak tanımlama ve gelişmiş (iki faktörlü) kullanıcı kimlik doğrulaması kullanır. Aşağıdakiler, kullanıcıların kişisel tanımlayıcıları olarak kullanılabilir:
eToken PRO (Java).
Athena ASEDrive IIIe USB V2 aracılığıyla eToken PRO akıllı kart.
İşletim sistemini şuradan önyükleme hard disk sadece kayıtlı tanımlayıcının sunumundan sonra gerçekleştirilir. Kullanıcı kaydı ile ilgili hizmet bilgileri (adı, atanan kişisel tanımlayıcının numarası vb.) elektronik kilidin kalıcı belleğinde saklanır. Elektronik kilit, kayıtları özel bir kalıcı bellekte saklanan bir sistem günlüğü tutar. Sistem günlüğü, kullanıcı oturum açmalarını, oturum açma girişimlerini, kurcalama girişimlerini ve sistem güvenliğiyle ilgili diğer olayları kaydeder. Aşağıdaki bilgileri depolar: olayın tarihi ve saati, kullanıcı adı ve olayın türüyle ilgili bilgiler (örneğin, bir kullanıcının oturum açmış olması, yanlış parola girmesi, kayıtsız bir kullanıcı kimliği sunması, oturum açma sayısının aşılması). girişimleri, diğer olaylar).
Böylece, "Sobol" elektronik kilidi, yöneticiye PC'ye erişmeye yönelik tüm girişimler hakkında bilgi sağlar.
Sobol kompleksinde kullanılan bütünlük kontrol mekanizması, dosyaların ve fiziksel verilerin değişmezliğini kontrol etmenizi sağlar. zor sektörlerİşletim sistemini yüklemeden önce disk. Bu amaçla, kontrol edilen nesnelerin bazı kontrol değerleri hesaplanır ve bu nesnelerin her biri için daha önce hesaplanmış referans değerleri ile karşılaştırılır. Kontrol edilen her dosyaya giden yolun ve kontrol edilen her sektörün koordinatlarının bir göstergesi ile kontrol edilecek nesnelerin bir listesinin oluşturulması, bütünlük kontrolü şablonlarını yönetme programı kullanılarak gerçekleştirilir. Bütünlük denetimi, şu dosya sistemlerini kullanan işletim sistemleri altında çalışır: NTFS5, NTFS, FAT32, FAT16, FAT12, UFS, EXT2 ve EXT3. Yönetici, kontrol edilen dosyaların bütünlüğü ihlal edildiğinde kullanıcıların sisteme girmesini engelleyecek olan elektronik kilidin çalışma modunu ayarlama yeteneğine sahiptir. Disket ve CD önyükleme yasağı alt sistemi, yönetici dışındaki tüm kullanıcıların işletim sistemini bu çıkarılabilir ortamlardan başlatmasının yasaklanmasını sağlar. Yönetici, bireysel bilgisayar kullanıcılarının işletim sistemini çıkarılabilir ortamdan başlatmasına izin verebilir.
Sable elektronik kilidini yapılandırmak için yönetici, kullanıcı parolasının minimum uzunluğunu, maksimum başarısız kullanıcı oturum açma sayısını tanımlama, kullanıcı ekleme ve kaldırma, kullanıcının bilgisayarda çalışmasını engelleme, oluşturma yedekler kişisel tanımlayıcılar.
Sobol elektronik kilidi, şifreleme anahtarları ve dijital imzalar oluşturmak için Secret Net bilgi güvenlik sisteminin bir parçası olarak kullanılabilir. Ayrıca, EZ "Sobol"u Secret Net'in bir parçası olarak kullanırken, yeteneklerinin birleşik bir merkezi yönetimi sağlanır. Gizli Ağ yönetim alt sisteminin yardımıyla, güvenlik yöneticisi çalışanların kişisel tanımlayıcılarının durumunu yönetebilir: elektronik tanımlayıcılar atayabilir, bunları geçici olarak engelleyebilir, geçersiz kılabilir, bu da çalışanların kuruluşun otomatik sisteminin bilgisayarlarına erişimini kontrol etmeyi mümkün kılar. .
Sable-PCI elektronik kilidinin temel seti şunları içerir (Şekil 4):
Sobol-PCI denetleyicisi;
Bellek okuyucu'ya dokunun;
iki DS-1992 tanımlayıcısı;
FDD'den önyüklemeyi engellemek için arayüz;
CD-ROM'dan önyüklemeyi engellemek için arabirim;
kontrollü programların listelerini oluşturmak için yazılım;
belgeler.
6 Kurumsal bilgi koruma sistemi Secret Disk Server NG
Gizli bilgileri, kurumsal veri tabanlarını korumak için tasarlanmıştır (Şekil 5).
Sistem, Windows NT 4.0 Server / Workstation / 2000 Professional SP2 / XP Professional / Server 2000 SP2 / Server 2003'te çalışacak şekilde tasarlanmıştır. Güçlü şifreleme algoritmaları kullanarak bilgilerin şeffaf şifreleme yöntemini kullanmak, ilk veriler sırasında çalışmayı durdurmamanızı sağlar. şifreleme.
Geniş bir sürücü yelpazesi için destek, bireysel korumayı sağlar sabit sürücüler sunucular, herhangi bir disk dizisi (SAN, yazılım ve donanım RAID dizileri) ve ayrıca çıkarılabilir diskler.
Sistem yalnızca gizli verileri güvenilir bir şekilde korumakla kalmaz, aynı zamanda varlıklarını da gizler.
Secret Disk Server NG'yi kurarken, seçilen mantıksal sürücüler şifrelenir. Ağ kullanıcıları için bunlara erişim hakları ayarlandı Windows araçları NT.
Şifreleme, yazılımda çekirdek modu sürücüsü tarafından gerçekleştirilir.
128 bit anahtar uzunluğuna sahip verileri dönüştürmek için yerleşik algoritmaya ek olarak, Secret Disk Server NG, harici modüller kriptografik koruma, örneğin, sertifikalı Rus kriptografik bilgi koruma araçları CryptoPro CSP sürüm 2.0 / 3.0 ve 256 bit anahtar uzunluğuyla en güçlü Rus şifreleme algoritması GOST 28147-89'u uygulayan Signal-COM CSP. Şifreleme hızı çok yüksektir, bu nedenle çok az kişi işlerinde hafif bir yavaşlama fark edecektir.
Şifreleme anahtarları, siz korumalı bölümlerle çalışmaya başlamadan önce (veya sunucu önyüklendiğinde) Secret Disk Server NG sürücüsüne girilir. Bunun için PIN kodu ile korunan mikroişlemcili kartlar (akıllı kartlar) kullanılmaktadır. Kodu bilmeden kartı kullanamazsınız. Üç kez yanlış kod girme girişimi kartı bloke edecektir. Sunucu çalışırken akıllı karta gerek yoktur ve güvenli bir yerde saklanabilir.
Sistem çalışması sırasında, şifreleme anahtarları rasgele erişim belleği sunucular ve takas dosyasındaki diske asla ulaşmayın. PIN kodunun ve şifreleme anahtarlarının oluşturulması, kullanıcının kendisi tarafından yapılır. Oluştururken, fare hareketinin yörüngesine ve rastgele tuşlara basmanın zaman özelliklerine göre oluşturulan bir rasgele sayılar dizisi kullanılır.Disk Server NG, bir "alarm" sinyali vermek için açık bir arayüze sahiptir ve çeşitli sensörleri ve erişim kontrol cihazları (kapıları, pencereleri, hareketi, hacim değişikliklerini, elektronik ve şifreli kilitleri açmak için sensörler).
Güvenli sürücüler bağlandığında, otomatik başlatma mümkündür gerekli programlar ve yapılandırma dosyasında listelenen hizmetler. Sunucuyu bir akıllı kart sunmadan veya başka bir bilgisayardaki diskleri okumaya çalışmadan yeniden başlattıktan sonra, korunan bölümler, okunamayan biçimlendirilmemiş alanlar olarak "görünür" olacaktır. Bir tehlike ortaya çıktığında, bilgileri anında "yok edebilir", korunan bölümleri "görünmez" hale getirebilirsiniz. Teslimat bir kurulum CD'si içerir, evrensel cihaz akıllı kartlarla (harici), bir dizi kabloyla, özel bir Hardlock kartıyla, Rusça belgelerle, 3 akıllı kartla çalışmak için.
7 Gizli bilgileri koruma sistemi Gizli Disk
Disk, çok çeşitli bilgisayar kullanıcıları için gizli bilgileri korumaya yönelik bir sistemdir: yöneticiler, yöneticiler, muhasebeciler, denetçiler, avukatlar vb.
Gizli Disk sistemini kurarken, bilgisayarda yeni bir sanal mantıksal disk (bir veya birkaç) belirir. Ona yazılan her şey otomatik olarak şifrelenir ve okunduğunda şifresi çözülür. Bu mantıksal sürücünün içeriği, özel bir kapsayıcıda saklanır - şifreli bir dosya. Gizli bir disk dosyası, bir bilgisayarın sabit diskinde, bir sunucuda, Zip, Jaz, CD-ROM veya manyeto-optik gibi çıkarılabilir ortamlarda bulunabilir.Disk, böyle bir disk veya bilgisayarın kendisi olsa bile veri koruma sağlar. kaldırıldı. Gizli bir sürücü kullanmak, çalıştırdığınız tüm uygulamalara şifreleme özellikleri yerleştirmekle eşdeğerdir.
Gizli bir diski bağlamak ve şifreli verilerle çalışmak, ancak giriş kullanıcısının donanım doğrulamasından ve doğru paroladan sonra mümkündür. Kimlik doğrulama için elektronik bir tanımlayıcı kullanılır - bir akıllı kart, elektronik anahtar veya anahtarlık. Gizli diski bağladıktan sonra ameliyathanede "görünür" hale gelir. Windows sistemi başka biri gibi HDD, ve üzerine kaydedilen dosyalar herhangi bir program tarafından kullanılabilir. Elektronik tanımlayıcı olmadan ve parolayı bilmeden gizli bir disk bağlayamazsınız - yabancılar için bu yalnızca rastgele bir adla şifrelenmiş bir dosya olarak kalacaktır (örneğin, game.exe veya girl.tif).
Herhangi bir fiziksel disk gibi, güvenli bir disk sağlanabilir. paylaşmak yerel ağda. Diskin bağlantısını kestikten sonra, üzerinde kayıtlı tüm dosyalara ve programlara erişilemez hale gelecektir.
Ana özelliklerin listesi:
Profesyonel şifreleme algoritmaları kullanarak gizli verilerin korunması (harici şifreleme kitaplıklarına bağlanma yeteneği).
Kullanıcının kendisi tarafından şifreleme anahtarlarının oluşturulması.
Elektronik anahtarlıklar, akıllı kartlar, PCMCIA kartları veya elektronik anahtarlar aracılığıyla donanım kullanıcı kimlik doğrulaması.
Çift koruma. Her gizli disk, bu diske erişmek için kişisel bir elektronik kullanıcı kimliği ve parolası ile korunmaktadır.
Şifreli arşivlerle çalışma. Bilgiler kendiniz gibi sıkıştırılabilir ve şifrelenebilir (bir elektronik tanımlayıcı kullanarak),
ve iş arkadaşlarınızla güvenli alışveriş için (bir şifre ile).
Bilgisayarı kilitleme Gizli Disk, elektronik tanımlayıcı kapatıldığında, belirli bir tuş kombinasyonuna basıldığında veya kullanıcı uzun süre hareketsiz kaldığında ekranı kapatmanıza ve klavyeyi kilitlemenize olanak tanır. Sistem kilitlenirken gizli diskler devre dışı bırakılmaz, çalışan uygulamalar korunan verilerin kullanılması normal şekilde çalışmaya devam eder ve ağdaki gizli bir sürücüde paylaşılan diğer kullanıcıların çalışmaları kesintiye uğramaz.
Çalışma şekli baskı altındadır. Kritik bir durumda, özel bir acil durum şifresi girebilirsiniz. Bu durumda sistem bir süre diski bağlayacak, elektronik tanımlayıcıdaki özel şifreleme anahtarını yok edecek (bu gelecekte diske erişimi imkansız hale getirecek) ve daha sonra bilinenlerden birini taklit edecektir. Windows hataları.
Elektronik tanımlayıcının kaybolması (veya kasıtlı olarak zarar görmesi) veya parolanın kaybolması durumunda veri kurtarma imkanı.
Basit ve kullanışlı kullanıcı arayüzü.
Şifreleme algoritmalarındaki farklılıklar (ihtiyaca göre yerleşik algoritmalardan biri kullanılabilir):
128 bit anahtar uzunluğuna sahip yerleşik şifreleme algoritması;
Windows 95, 98'de yerleşik 40 bit RC4 şifreleme algoritması (ABD dışı sürüm için);
256 bit anahtar uzunluğuna sahip şifreleme algoritması GOST 28147-89 (Kripton kartının veya Kripton kartının yazılım öykünücüsü).
"Krypton" kurulu, ANKAD tarafından ayrı bir talep üzerine sağlanan devlet sırlarının korunması sertifikasına sahiptir.
DeLuxe versiyonu - donanım korumalı önyükleme bilgisayar.
8 Donanım ve yazılım koruma kompleksi "Accord-AMDZ" anlamına gelir
SZI NSD Akkord-AMDZ, yerel ağdaki IBM uyumlu PC sunucuları ve iş istasyonları için cihazları ve bilgi kaynaklarını yetkisiz erişime karşı koruyan bir güvenilir yükleme (AMDZ) donanım modülüdür.
Kompleks, Rusya'nın FSTEC (Devlet Teknik Komisyonu) “Bilgiye yetkisiz erişime karşı koruma” yönergelerine uygun olarak yetkisiz erişime karşı bilgi koruma sistemleri oluşturmak için geçerlidir. Bölüm 1. Bilgi güvenliği için yazılım. Beyan edilmemiş yeteneklerin yokluğunun kontrol düzeyine göre sınıflandırma "- 3. kontrol düzeyine göre" Otomatik sistemler. Bilgiye yetkisiz erişime karşı koruma. Otomatik sistemlerin sınıflandırılması ve bilgi koruma gereksinimleri "güvenlik sınıfı 1D'ye göre ve kullanıcıların kimlik / kimlik doğrulama aracı olarak kullanım için, karşılayan otomatik sistemler oluştururken bir PC'nin (PC) yazılım ve donanım ortamının bütünlüğünün kontrolü Rusya'nın FSTEC (Devlet Teknik Komisyonu) kılavuz belgesinin gereklilikleri" Otomatik sistemler. Bilgiye yetkisiz erişime karşı koruma. Otomatik sistemlerin sınıflandırılması ve bilgi koruması için gereksinimler "sınıf 1B'ye kadar dahil.
Kompleks, aşağıdakilere dayalı olarak bir kişisel bilgisayarın (PC) yetkisiz veri iletimine karşı korumanın temel işlevlerinin uygulanmasını sağlayan bir dizi donanım ve yazılım aracıdır:
kişisel kullanıcı tanımlayıcılarının kullanımı;
şifre mekanizması;
işletim sisteminin çıkarılabilir medyadan yüklenmesini engelleme;
bir kişisel bilgisayarın (PC) donanım ve yazılımının (genel, uygulama yazılımı ve veri dosyaları) bütünlüğünün kontrolü;
kişisel bir bilgisayara (PC) kurulu işletim sistemlerinin güvenilir yükleme modunun sağlanması.
Tanımlama ve kimlik doğrulama araçları, bir kişisel bilgisayarın (PC) donanım ve yazılım araçlarının bütünlüğünü izleme araçları, kullanıcı eylemlerini kaydetme araçları ve ayrıca yönetim araçları (donanım yazılımı ayarları) ve denetim dahil olmak üzere kompleksin yazılım kısmı ( kayıt defteri ile çalışma), kompleksin imalatında kalıcı bellek (EMP) denetleyicisinde bulunur. Kompleksin yönetim ve denetim araçlarına erişim yalnızca BI yöneticisine sağlanır.
Kullanıcıların tanımlanması ve doğrulanması, bir kişisel bilgisayarın (PC) donanım ve yazılımının bütünlüğünün kontrolü, kişisel bilgisayara (PC) kurulu işletim sistemini yüklemeden önce kompleksin kontrolörü tarafından gerçekleştirilir. Sistem yazılımını değiştirirken, denetleyiciyi değiştirmek gerekli değildir. Bu, koruma seviyesini düşürmeden kontrolörün özel bir programlama modu için destek sağlar.
Kompleks, hem yerel bir PC'nin bir parçası olarak hem de bir LAN'ın iş istasyonlarında kurcalamaya karşı korumanın ana işlevlerinin, kurulum, izleme ve kontrol dahil olmak üzere bir LAN ile kurcalamaya karşı entegre bir koruma sisteminin parçası olarak uygulanmasını sağlar. kompleksin.
Temel özellikleri:
İşletim sistemi (OS) yüklenene kadar kişisel tanımlayıcılar DS 199x ile PC kullanıcılarının tanımlanmasıyla PC kaynaklarının üzerinde çalışmasına izin verilmeyen kişilerden korunması.
Klavyeden girilen 12 karaktere kadar bir parola kullanarak PC kullanıcılarının kimlik doğrulaması (parolanın uzunluğu, bir kullanıcı kaydedilirken BI yöneticisi tarafından belirlenir), parolanın ifşasına karşı korumalı - işletim sistemi (OS) sağlanana kadar yüklendi.
Yabancılaştırılmış medyadan önyüklemeyi engelleme.
İşletim sistemini uygulama ile yüklemeden önce donanım, yazılım, kişisel bilgisayarın (PC) şartlı olarak kalıcı bilgilerinin bütünlüğünün kontrolü adım adım algoritma kontrol. Bu, yıkıcı programatik etkilerin (RPV) girişine karşı koruma sağlar.
FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX, VMFS dosya sistemleri için destek. Bunlar özellikle MS DOS, Windows, QNX, OS / 2, UNIX, LINUX, BSD, vSphere, vb. ailelerin işletim sistemidir.
16 kullanıcıya kadar kişisel bilgisayarda (PC) kayıt.
Kontrol edilen olayların, kontrolörün kalıcı belleğinde bulunan sistem günlüğüne kaydı.
Kullanıcı yetki düzeyine bağlı olarak, çevre birimlerinin kontrol sinyallerinin fiziksel olarak anahtarlanması imkanı, yabancılaştırılmış fiziksel ortam ve veri işleme cihazlarına bilgi giriş / çıkışını kontrol etmeyi sağlar.
Kompleksin gömülü yazılımının yönetimi (kullanıcıların ve kişisel tanımlayıcıların kaydı, bütünlük kontrolü için dosyaların atanması, PC donanımının kontrolü, sistem günlüğünün görüntülenmesi).
Programların ve verilerin bütünlüğünün kontrolü, yetkisiz değişikliklere karşı korunmaları.
LAN'a yetkisiz erişime karşı koruma sistemi açısından bir kişisel bilgisayarda (PC) meydana gelen olaylarla ilgili verilerin kaydedilmesi, toplanması, depolanması ve teslimi.
Kullanıcıların ve PC programlarının donanım cihazlarına erişimlerinin yetki seviyelerine göre farklılaştırılması.
Accord-AMDZ, çeşitli kontrolörlerde uygulanabilir. Şunlar olabilir: PCI-X - Accord-5MX veya Accord-5.5 kontrolörleri (Şek.6B) ekspres - Accord-5.5.e veya Accord-GX kontrolörleri (Şek.6A)
Mini PCI-express - Accord-GXM (Şekil 6B) PCI-express yarım kart - Accord-GXMH denetleyici
9 Donanım ve yazılım kompleksi IP Safe-PRO
Genel ağlara (İnternet dahil) dayalı güvenli sanal özel IP ağları oluşturmak için tasarlanmıştır.
İki Ethernet arabirimine sahip IBM PC uyumlu bir bilgisayar temelinde yapılmıştır ( temel yapılandırma) FreeBSD işletim sistemi ile (Şekil 7).
Ek özellikler:
Statik yönlendirme ve güvenlik duvarı işlevleri (spoofing'e karşı koruma, adresler, bağlantı noktaları, protokoller vb. tarafından veri işleme);
G.703, G.704, V.35, RS-232, vb. arayüz standartlarını destekleme yeteneği;
sıcak bekleme sistemi;
senkron ve asenkron modlarda çalışır.
IPsec ailesinin kullanılan protokolü tünel modunda ESP'dir (Güvenlik Yükünü Kapsama, RFC 2406): gizlilik ve veri bütünlüğü, veri kaynağı kimlik doğrulaması, yerel şirket ağlarının topolojisini gizleme, trafiğe karşı koruma analiz).
Anahtar sistem simetriktir (merkezi ve merkezi olmayan yönetim olasılığı ile).
Kriptoalgoritmalar - GOST 28147, RC5, 3DES, DES, SHA-1, MD5.
10 Donanım-yazılım şifreleme kompleksi CONTINENT 3.6 (Şekil 8)
Kompleks, aralarında açık iletişim kanalları üzerinden iletilen bilgilerin (GOST 28147-89 uyarınca) kriptografik olarak korunmasını sağlar. oluşturan parçalar Yerel alan ağları, segmentleri ve bireysel bilgisayarlar olabilen VPN.
Her paketin benzersiz bir anahtarla şifrelenmesini gerçekleştiren modern anahtar şeması, ele geçirilen verilerin şifresinin çözülme olasılığına karşı garantili koruma sağlar.
Continent 3.6 kompleksi, genel ağlardan sızmaya karşı koruma sağlamak için alınan ve iletilen paketlerin çeşitli kriterlere göre (gönderen ve alıcı adresleri, protokoller, port numaraları, ek paket alanları, vb.) filtrelenmesini sağlar. Ağ yapısını gizlemek için VoIP, video konferans, ADSL, Dial-Up ve uydu iletişim kanalları, NAT/PAT teknolojisi desteği sağlar.
Kıta 3.6'nın temel özellikleri ve özellikleri:
.GOST 28147-89 uyarınca iletilen verilerin kriptografik koruması
APKSH "Continent" 3.6'da, her paketin benzersiz bir anahtar üzerinde şifrelenmesini sağlayan modern bir anahtar şeması kullanılır. Bu, müdahale durumunda şifrenin çözülmesine karşı yüksek derecede veri koruması sağlar.
Veri şifreleme, GOST 28147-89'a göre geri bildirimli gama modunda gerçekleştirilir. Bozulmaya karşı veri koruması, taklit ekleme modunda GOST 28147-89'a göre gerçekleştirilir. Şifreleme anahtarları merkezi olarak NCC'den yönetilir.
.Güvenlik duvarı - dahili ağ bölümlerinin yetkisiz erişime karşı korunması
Kripto ağ geçidi "Kıta" 3.6, alınan ve iletilen paketlerin çeşitli kriterlere göre (gönderici ve alıcı adresleri, protokoller, port numaraları, ek paket alanları, vb.) filtrelenmesini sağlar. Bu, dahili ağ segmentlerini genel ağlardan sızmaya karşı korumanıza olanak tanır.
.Uzak kullanıcılar için VPN kaynaklarına güvenli erişim
APKSH "Continent" 3.6'nın bir parçası olan özel yazılım "Continent AP", uzak bilgisayarlardan kurumsal VPN ağına güvenli erişim düzenlemenizi sağlar.
.Erişimin bölünmesiyle bilgi alt sistemlerinin oluşturulması fiziksel seviye
APKSH "Continent" 3.6'da her bir kripto ağ geçidine 1 harici ve 3-9 dahili arayüz bağlamak mümkündür. Bu, kullanıcının ağı kurumsal güvenlik politikasına göre yapılandırma yeteneğini büyük ölçüde geliştirir. Özellikle, birkaç dahili arayüzün varlığı, seviyede ayırmayı mümkün kılar. ağ kartları organizasyonun bölümlerinin alt ağları ve aralarında gerekli etkileşim derecesini oluşturur.
.Ortak iletişim kanalları için destek
Çevirmeli bağlantılar, doğrudan kripto ağ geçidine bağlı ADSL ekipmanı ve uydu iletişim kanalları aracılığıyla çalışın.
.Tüm uygulamalar ve ağ hizmetleri için "Şeffaflık"
Kripto ağ geçitleri "Kıta" 3.6, IP telefonu ve video konferans gibi multimedya hizmetleri de dahil olmak üzere TCP / IP protokolü üzerinden çalışan tüm uygulamalar ve ağ hizmetleri için "şeffaftır".
.Yüksek öncelikli trafikle çalışma
Continent 3.6 trafik önceliklendirme mekanizmasında uygulanan trafik önceliklendirme mekanizması, iletişim kalitesini kaybetmeden ses (VoIP) trafiğini ve video konferansı korumanıza olanak tanır.
.Belirli hizmetler için garantili bant genişliği ayırma
Belirli hizmetler için garantili bant genişliği rezervasyonu, trafiğin geçişini sağlar E-posta, doküman yönetim sistemleri vb. IP telefonunun düşük hızlı iletişim kanallarında aktif kullanımıyla bile.
VLAN desteği
VLAN desteği, APCS'nin sanal segmentlere ayrılmış ağ altyapısına kolay entegrasyonunu sağlar.
.Dahili ağı gizleyin. NAT / PAT teknolojileri için destek
NAT / PAT teknolojisi desteği, açık trafiği iletirken korunan ağ bölümlerinin iç yapısını gizlemenize ve ayrıca askerden arındırılmış bölgeleri ve bölüm korumalı ağları düzenlemenize olanak tanır.
Kurumsal ağın korunan bölümlerinin iç yapısının gizlenmesi gerçekleştirilir:
iletilen paketlerin kapsüllenmesi yöntemiyle (trafiği şifrelerken);
kamu kaynaklarıyla çalışırken ağ adresi çevirisi (NAT) teknolojisini kullanma.
11. Saldırı tespit sistemleri ile entegre olabilme
Her kripto ağ geçidinde, yetkisiz erişim girişimleri (ağ saldırıları) için KSH'den geçen trafiği kontrol etmek için arayüzlerden birini özel olarak seçmek mümkündür. Bunu yapmak için, "SPAN bağlantı noktası" gibi bir arabirim tanımlamanız ve buna bir bilgisayar bağlamanız gerekir. kurulu sistem saldırıların tespiti (örneğin, RealSecure). Bundan sonra kripto ağ geçidinin paket filtresinin girişine gelen tüm paketler bu arayüze aktarılmaya başlar.
3.11 SHADOW K1 taşıma çantası
"SHADOW K1" dizüstü bilgisayarların veya sabit ve manyetik disklerdeki (HDD'ler) (streamer kartuşlar, ZIP diskler) ayrı sürücülerin, kurcalanmaya çalışıldığında bilgilerin acil olarak imha edilmesi olasılığıyla taşınması için tasarlanmıştır (Şekil 11).
Yapısal olarak kompleks, dizüstü bilgisayarın taşınacağı toz, nem ve patlamaya dayanıklı bir kasaya monte edilmiştir. Korumalı bilgiler, özel bir bölmede dizüstü bilgisayardan ayrı bir kutuda bulunan ve ona harici bir arabirim kablosuyla bağlanan ek bir sabit diske yerleştirilir.
Bilgilerin acil imhası gerçekleştirilir:
davanın yetkisiz açılması girişimleri üzerine otomatik olarak;
korunan sabit diskin bulunduğu bölmeyi yetkisiz açma girişimleri üzerine otomatik olarak;
24 saatlik pil ömründen sonra otomatik olarak;
kullanıcının komutuyla uzaktan. İmha süreci dizüstü bilgisayarın performansını etkilemez ve işin yapılıp yapılmadığına bağlı değildir;
şu anda bilgi ile ya da değil. Ulaşım için bir kompleks üretme seçeneği mümkündür sabit sürücüler, disketler, ses, video, flama kasetleri.
Kompleks iki modda olabilir: bekleme modu (RO) ve güvenlik modu (P1).
RO modunda tüm ana ünitelerin, blokların ve sensörlerin testi yapılır. Bir dizüstü bilgisayara veya manyetik ortama ücretsiz erişim sağlanmaktadır.
P1 modunda, bir kurcalama veya kullanıcı herhangi bir zamanda radyo kanalı aracılığıyla (100 metreye kadar menzil) girişimde bulunduğunda bilgiler otomatik olarak yok edilir. Devre dışı bırakma - kurma, temassız bir elektronik Yakınlık kartı kullanılarak gerçekleştirilir.
Complex SHADOW, 24 saate kadar kesintisiz çalışma sağlayan otonom bir güç kaynağına sahiptir.
Ek özellikler:
kullanıcının komutuyla herhangi bir şekilde bilgilerin imha edilmesi cep telefonu GSM kanalı üzerinden;
yanlış açma ve delme hariç kasanın tam koruması;
Gerçek zamanlı olarak tam çalışma günlüğü, kalıcı bellekteki son 96 olayı ayrıntılı bir açıklama ile sabitler.
12 Mesajların kriptografik koruması için donanım ve yazılım sistemi SX-1
SX-1 donanım ve yazılım sistemi, PC'ler arasında iletişim kanalları aracılığıyla iletilen mesajların veya PC belleğinde saklanan mesajların kriptografik olarak korunması için tasarlanmıştır (Şekil 9).
Yerli ve yabancı kriptografik uygulamada ilk kez SX-1 sistemi kaotik akış şifresi.
SX-1 sistemi şunları sağlar:
iletilen (alınan) veya oluşturulan metin ve (veya) grafik mesajların dosya biçiminde kriptografik dönüşümü ve bunların sabit veya disketlere kaydedilmesi;
izinsiz giriş yapanların ve donanım ve yazılıma hizmet eden personelin herhangi bir eylemi altında önemli verilerin tehlikeye girmesine karşı yüksek direnç;
sistem anahtarını değiştirmeden en az 2 yıl boyunca belirtilen işlevlerin garantili performansı.
SX-1 sistemi şunları içerir:
Bir IBM PC / AT'nin ISA yuvasına takılı (veya 140x110x35 mm boyutunda ayrı bir kaba yerleştirilmiş) ve COM konektörü kullanılarak PC'ye bağlanan tek çipli bir bilgisayara (OEVM) sahip bir kart;
Windows işletim sistemine sahip bir bilgisayara yüklenen özel yazılım (SPO).
Sistemin ana özellikleri:
k. denemeden sistem anahtarını tahmin etme olasılığı k2-240'tan fazla değil .
k. denemeden oturum anahtarını tahmin etme olasılığı k10-10'dan fazla değil .
Kriptografik dönüşüm oranı - 190.000 bit / s'den az değil.
128 bit anahtar uzunluğuna sahip veri şifreleme için kriptografik olarak güçlü şifreleme algoritmalarının kullanılması;
"Ankad" şirketi tarafından üretilen FAPSI tarafından onaylanan "Krypton" şifreleme modülünü veya 256 bit anahtar uzunluğuna sahip GOST 28147-89 şifreleme algoritmasını uygulayan "Krypton" kartını bağlama imkanı;
Rastgele sayılar dizisine dayalı benzersiz şifreleme anahtarlarının oluşturulması.
Sistemi kurmak için ihtiyacınız olan:
SX-1 sistemini, PC ekranında sırayla gösterilen talimatları kesinlikle takip ederek verilen disketten kurun.
Birlikte verilen adaptörden gelen güç kablosunu ve birlikte verilen kabloyu, kabı PC'ye bağlamak için tasarlanmış tek çipli bir bilgisayarla kabın konektörlerine bağlayın.
Kabı bir kabloyla COM konektörüne bağlayın.
Adaptörü 220 V 50 Hz AC şebekeye bağlayın.
13 Güvenlik duvarı ve IP akışları kodlayıcı FPSU-IP
Genel ağlarda sanal özel ağlar (Sanal Özel Ağ) oluştururken güvenlik duvarı ve kriptografik veri koruması için tasarlanmıştır (Şekil 10).
Kişisel güvenlik duvarı "FPSU-IP / İstemci", güvenlik duvarları için RD'ye göre 5. güvenlik sınıfı için ve temel güvenlik duvarı "FPSU-IP" (FSTEC sertifikası No. 31.10.2011 tarihli 1091.) - 3. güvenlik sınıfına göre. Sertifikalı bir FSB (Sertifika No. СФ / 124-1906, 13 Ağustos 2012, КС1 seviyesine göre) kripto-çekirdek olarak, kriptografik bilgi koruması "Tünel 2.0" aracı olarak kullanılır.
Bu donanım ve yazılım sistemi, uzak bir abone istasyonu (iş istasyonu) ile açık veri iletim ağları aracılığıyla "FPSU-IP" kompleksi tarafından korunan bir ağ arasında güvenli bilgi alışverişi sağlar. FPSU-IP / İstemci kompleksi, uzak bir kullanıcının iş istasyonuna kurulur ve bilgi etkileşimleri "iş istasyonları - korumalı sunucular" için bir güvenlik duvarı ve VPN oluşturucu işlevlerini yerine getirir. Bu, iş istasyonu ve FPSU-IP merkezi kompleksi arasında bir VPN bağlantısı oluşturarak FPSU-IP kompleksi tarafından korunan sunuculara kimliği doğrulanmış ve güvenli erişim sağlar. Tüm VPN bağlantılarının idari yönetimi, kontrolü ve denetimi, "Uzaktan Kontrol" AWS kullanılarak merkezi olarak gerçekleştirilir, aynı anda 4 adede kadar AWP kullanılabilir, uygun yetkilere sahip, bu da çapraz bağlantı olasılığı ile yönetimin yüksek kararlılığını ve güvenilirliğini önceden belirler. -yönetim denetimi.
ME "FPSU-IP / İstemci", kullanıcının yazılımının yanı sıra benzersiz bir istemci tanımlayıcı, anahtar ve hizmet bilgilerini depolayan aktif bir USB cihazı "VPN-anahtarından" (Şekil 11) oluşur ve özünde, sanal bir mikro- Uygun bir mimariye sahip bir bilgisayar.
Bilginin sıkıştırılması nedeniyle, kompleks, veri aktarım hızında gözle görülür bir artış sağlar, aynı anda 1024'e kadar kriptografik olarak korunan bağlantıyı, 90 Mbit'e kadar "geçişte" toplam IP akışının şifreleme hızında destekleme yeteneğine sahiptir / s. Kompleks, yalnızca tüm TCP / IP protokol yığınlarının kendi uygulamalarını, komplekslerin otomatik kontrolü için algoritmaları ve bunlara gömülü kripto koruma araçlarını kullanır.
"FPSU-IP / Client", Windows XP / Vista / 7 / Server 2003 / Server 2008, Linux, MacOS ailesinin işletim sistemleri altında çalışır. Bir iş istasyonunda (PC) güvenli iletişim kurmak için, FPSU-IP / İstemci kullanıcı yazılımını önceden kurmak, VPN anahtarını PC'nin USB portuna takmak ve açılır daveti takip etmek (bağlandıktan sonra) gereklidir. VPN anahtarı) uygun PIN'i girmek için.
Bundan sonra, FPSU-IP / İstemci ve FPSU-IP kompleksleri (FPSU-IP / İstemci komplekslerinin ilgili hizmet alt sistemini içerir) güvenli bir bağlantı kurar ve kullanıcı doğrulama ve yetkilendirme gerçekleştirir. Kimlik doğrulama, FPSU-IP / İstemci ve FPSU-IP kompleksi arasında bir VPN tüneli oluşturulurken gerçekleşir. "FPSU-IP" kompleksi tarafından kimlik doğrulamasından sonra istemci yetkilendirilir. Ayrıca, müşterinin gerçek IP adresi, korunan ağın IP adresine çevrilir.
İkinci aşamada, FPSU-IP / İstemci ve FPSU-IP kompleksleri, şifreli verileri VPN kanalı üzerinden istemciden FPSU-IP kompleksine filtreler ve aktarır. Ek olarak, iletilen verilerin miktarını önemli ölçüde azaltan ve etkileşim hızını artıran, iletilen verilerin doğrudan sıkıştırmasını gerçekleştirebilirsiniz.
Bağlantı, kullanıcının isteği üzerine veya USB bağlantı noktasından "VPN anahtarı" kaldırıldığında kesilir.
FPSU-IP / İstemci teknolojisinin bir özelliği, kullanıcının ağdaki PC'nin keyfi bir konumundan, yani. belirli bir IP adresine bağlanma gerekli değildir ve aynı zamanda RS ve FPSU-IP arasındaki tüm etkileşimlerin kesin iki yönlü kimlik doğrulaması sağlanır. Kullanıcı kimliği, kullanıcının dört basamaklı bir dijital PIN kodu ile gerçekleştirilir, giriş deneme sayısı sınırlıdır (10 basamaklı bir PUK kodu kullanma ihtiyacına daha fazla geçiş ile). Kullanıcı yetkilendirme ve kimlik doğrulama, FPSU-IP kompleksi aracılığıyla sağlanır.
FPSU-IP ve FPSU-IP / İstemci komplekslerinin uzaktan yönetimi ve izlenmesi için sistem şunları sağlar: tam kontrol ve korunan ağın izlenmesi. Denetim sisteminin yetenekleri, belirli PC'ler ve FPSU-IP kompleksleri arasında iletilen veri hacimlerinin ayrı bir hesaplanmasını sağlar, bu da abonelerin çalışmaları üzerinde kesin kontrol organize etmeyi mümkün kılar.
FPSU-IP / İstemci kompleksi, tüm standart İnternet protokolleri için kesinlikle şeffaftır ve IS kaynaklarına erişim sağlayan herhangi bir yazılımla birlikte kullanılabilir.
Daha fazla güvenlik sağlamak için, FPSU-IP / İstemci kullanıcılarının korumalı kaynaklarla çalışırken ağ segmentlerini açmaları için tam bir yasaklamaya kadar erişimi idari olarak (uzaktan veya yerel olarak) kısıtlamak mümkündür.
Başlıca özelliklerini sıralayalım:
Performans - 65'ten IP akışlarının iletim hızı
Tüm koruma modları etkinken Mbps ve üzeri (filtreleme + sıkıştırma + şifreleme).
Şifreleme algoritması - GOST 28147-89
Anahtar sistemi / merkezi anahtar dağıtımı - simetrik / merkezi.
İşletim Sistemi / protokol yığını - 32 bit DOS benzeri / yerel.
İşlenen EMVOS seviyeleri ağ + taşıma, oturum ve uygulamadır (isteğe bağlı).
Arayüzlerin tipi ve sayısı - 2; 10/100Ethernet, FDDI.
VPN protokolü / artıklık / veri sıkıştırma - yerel / paket başına en fazla 22 bayt / doğrudan veri sıkıştırması nedeniyle, bilgi etkileşimlerini hızlandırmanın etkisi elde edilir.
QoS hizmetleri desteği - bilgi akışlarının önceliklendirilmesiyle ikili bağlantılar çerçevesinde 8 bağımsız VPN tüneline kadar organizasyonu.
Komplekslerin yönetimi ve izlenmesi - yerel ve uzak, "geri alma" arıza mekanizmaları. Bir iş istasyonu için 1024'e kadar kompleks. Korunan ağların durumunun görsel (grafik) bir gösterimini, anormal olayların sinyalizasyonunu, toplam bilgi denetimi ve yönetim etkileşimlerini sağlar.
Karmaşık Uzaktan Kontrol Protokolü, X.509'a göre güçlü iki yönlü kimlik doğrulamaya sahip tescilli bir tünel protokolüdür.
Kendi güvenliği - olayların ve personel eylemlerinin tam denetimi, iButton ve USB-Key kullanarak erişim kontrolü. Sistemlerin kararlılığını (hayatta kalma) artırmak için özel yönlendirme prosedürlerinin kullanılması ve uyarlamalı veri akışı kontrolünün kullanılmasıyla VPN tünelleri için destek.
İstihbarat niteliğindeki aktif ve pasif bilgi etkilerine karşı etkili karşı koyma - VPN, NAT'ın gerçek topolojisini gizleme, kompleks kullanımının gerçeklerini gizleme, SMNP / SMNP-Trap, Telnet, TFTP, sınır yönlendiricilerinin HTTP yönetimi protokollerini proxy yapma, kullanılmış ancak gizli adreslerin ve hizmetlerin yokluğunun doğru öykünmesi.
Kompleksleri basamaklandırma olasılığı - bireysel ağ bölümlerinin artan güvenlikli izole alanlara tahsis edilmesini sağlar.
uzak istemci("FPSU-IP" + USB-Key ile sayaç çalışması için yazılım) - Windows 98, NT, 2000 için.
bilgi şifreleme teknik yazılımı
3.14 kriptografik bilgi koruma aracı CryptoPro CSP
CryptoPro CSP şunlar için tasarlanmıştır:
GOST R 34.10-94, GOST R 34.11-94 ulusal standartlarına uygun olarak bir elektronik dijital imzanın (EDS) oluşturulması ve doğrulanması için prosedürlerin kullanılması yoluyla, elektronik belgelerin kullanıcılar arasında değiş tokuşunda yetkilendirilmesi ve yasal öneminin sağlanması, GOST R34.10-2001;
GOST 28147-89 uyarınca şifreleme ve taklit koruması yoluyla bilgilerin gizliliğinin ve bütünlüğünün kontrolünün sağlanması; TLS bağlantılarının özgünlüğünü, gizliliğini ve taklit korumasının sağlanması;
yetkisiz değişikliklerden veya doğru işleyişin ihlalinden korumak için sistem ve uygulama yazılımının bütünlüğünün kontrolü;
koruyucu ekipman yönetmeliklerine uygun olarak sistemin kilit unsurlarının yönetimi.
Özellikler:
Yerel Winlogon desteği
CryptoPro CSP 3.6, OCSP yanıtları aracılığıyla çalışan bir İptal Sağlayıcı içerir
x64 platformu için destek uygulandı EAP / TLS protokolünü uyguladı
GOST R 34.10-94 standardını kullanma olasılığı hariç tutulmuştur.
Uygulanan algoritmalar:
Karma işlevinin değerini üretme algoritması, GOST R 34.11 94 "Bilgi teknolojisi. Bilginin kriptografik koruması. Karma işlevi" gereksinimlerine uygun olarak uygulanır.
EDS oluşturma ve doğrulama algoritmaları, gereksinimlere uygun olarak uygulanır:
GOST R 34.10 94 "Bilgi teknolojisi. Kriptografik bilgi koruması. Asimetrik kriptografik algoritmaya dayalı elektronik dijital imza sistemi";
GOST R 34.10 94 ve GOST R 34.10-2001 "Bilgi teknolojisi. Kriptografik bilgi koruması. Elektronik dijital imza oluşturma ve doğrulama işlemleri".
Veri şifreleme / şifre çözme algoritması ve taklit ekin hesaplanması, GOST 28147 89 "Bilgi işleme sistemleri. Kriptografik koruma" gereksinimlerine uygun olarak uygulanır. Özel ve genel anahtarlar oluşturulurken, GOST R 34.10-94 ve GOST R 34.10-2001'e göre farklı parametrelerle üretilmesi mümkündür. Karma işlevinin ve şifrelemenin değerini oluştururken, GOST R 34.11-94 ve GOST 28147-89'a göre çeşitli değiştirme düğümleri kullanmak mümkündür.
Çözüm
Otomatik veri işleme sistemleri örneğini kullanarak olası tehditleri, olası yetkisiz erişim kanallarını, bilgi koruma yöntemlerini ve araçlarını ve bunların donanım ve yazılım çözümlerini inceledik ve analiz ettik. Doğal olarak, belirtilen koruma araçları ve tarımsal sanayi kompleksi her zaman güvenilir değildir, çünkü günümüzde sadece teknoloji (bizim durumumuzda, bilgisayar teknolojisi) hızla gelişmekle kalmıyor, sadece bilginin kendisi sürekli olarak geliştirilmiyor, aynı zamanda bu bilgilerin elde edilmesini sağlayan yöntemler de geliştiriliyor. Çağımız genellikle bilgi çağı olarak adlandırılır ve ekonomik büyüme ve teknolojik yeniliklerle bağlantılı muazzam fırsatları beraberinde getirir. Açık şu an bilgi çağının en büyük değeri haline gelen elektronik veriye sahip olmak, sahiplerine bunların kullanımını kontrol etme hak ve yükümlülüklerini yükler. Disklerde depolanan ve iletişim kanalları aracılığıyla gönderilen dosyalar ve mesajlar bazen bilgisayarların ve disklerin kendisinden daha değerlidir. Bu nedenle, bilgi çağının beklentileri, ancak giderek daha gizli hale gelen veya özel öneme sahip bilgilere sahip olan bireyler, işletmeler ve diğer bölümler, mülklerini her türlü tehdide karşı yeterince koruyabilirse, bu tür bir koruma düzeyini seçerse gerçekleştirilebilir. depolanan mülkün tehdit ve değerinin analizine dayalı güvenlik gereksinimleri.
bibliyografya
1.Zaitsev A.P., Golubyatnikov I.V., Meshcheryakov R.V., Shelupanov A.A. Bilgi güvenliği yazılımı ve donanımı: öğretici... 2. baskı rev. ve Ekle. - E.: Mashinostroenie-1, 2006 .-- 260 s.
2.Vainshtein Yu.V., Demin S.L., Kirko I.N. ve diğerleri "Bilgi Güvenliğinin Temelleri", "Bilgi Güvenliği ve Bilgi Güvenliği" disiplinleri üzerine ders kitabı. - Krasnoyarsk, 2007 .-- 303 s.
Varlataya S.K., Shakhanova M.V. Donanım ve yazılım araçları ve bilgi koruma yöntemleri: Ders kitabı. - Vladivostok: Uzak Doğu Devlet Teknik Üniversitesi yayınevi, 2007 .-- 318 s.
Http://www.accord.ru/amdz.html
Http://signal-com.ru/ru/prod/tele/ipsafe/
Http://www.amicon.ru/fpsu_ip.php?link=fpsu-ip
Http://www.cryptopro.ru/products/csp/overview
Http://www.securitycode.ru/products/pak_sobol/abilities/
Http://www.securitycode.ru/products/secret_net/
Http://www.aladdin-rd.ru/catalog/secret_disk/server/
11. 13 Kasım 1999 tarihli Rusya Federasyonu Federal Güvenlik Servisi'nin emriyle onaylanan, devlet sırrı oluşturan bilgiler için güvenlik gereksinimleri (sertifika sistemi SZI-GT) için bilgi güvenliği araçlarının sertifikasyon sistemine ilişkin Yönetmeliğin Ek 1'i Hayır 564 "Devlet sırrını oluşturan bilgiler için güvenlik gereksinimleri ve uygunluk işaretleri hakkında güvenlik ekipmanı bilgilerinin sertifikasyon sistemine ilişkin hükümlerin onaylanması üzerine"
İş emri
Uzmanlarımız, "Antiplagiat" sisteminde benzersizlik için zorunlu bir kontrol içeren bir çalışma yazmanıza yardımcı olacaktır.
İstek gönder Maliyet ve yazma olasılığını öğrenmek için şu anda gereksinimleri ile.
İşin içeriği Bilgi koruması. Bilgiye yetkisiz erişime karşı koruma. 1. Şifre koruması. Şifre koruması. 2. Biyometrik güvenlik sistemleri. Biyometrik güvenlik sistemleri. Disklerdeki verilerin fiziksel olarak korunması. Malware koruması. 1. Kötü niyetli ve antivirüs yazılımı... Kötü amaçlı yazılım ve antivirüs programları. 2. Bilgisayar virüsleri ve bunlara karşı koruma. Bilgisayar virüsleri ve bunlara karşı koruma. 3. Ağ solucanları ve onlara karşı koruma. Ağ solucanları ve onlara karşı koruma. 4. Truva atları ve bunlara karşı koruma. Truva atları ve onlara karşı koruma. 5. Hacking programları ve bunlara karşı koruma. Yardımcı programları kesmek ve bunlara karşı koruma. Çözüm.
Bilginin korunması Koruma, devlet sırlarını ve ticari sırları korumak için güvenliği sağlamaya yönelik bir önlemler sistemidir. Gizlilik rejimine uyum, güvenlik alarm ve gözetim sistemlerinin kullanılması, şifre ve şifrelerin kullanılması ile koruma sağlanır.
Bilgi güvenliği, bilgi ortamının güvenlik durumudur. Hesaplamada güvenlik kavramı, bilgisayarın güvenilirliğini, değerli verilerin güvenliğini, bilgilerin yetkisiz kişiler tarafından değiştirilmesinden korunmasını, elektronik iletişimde yazışma gizliliğinin korunmasını ifade eder. Tüm medeni ülkelerde yasalar vatandaşların güvenliği üzerinedir, ancak bilgisayar teknolojisinde kolluk uygulamaları henüz geliştirilmemiştir ve yasa yapma süreci teknolojinin gelişimine ayak uyduramamakta ve bilgisayar sistemlerinin güvenilirliği büyük ölçüde dayanmaktadır. kendini savunma önlemleri.
Yetkisiz erişim Yetkisiz erişim - kayıtlı olmayan ve bu kaynakları tanıma veya bunlarla çalışma hakkına sahip olmayan aboneler tarafından alınan programlara ve verilere erişim için yerleşik prosedürü veya farklılaşma kurallarını ihlal eden eylemler. Yetkisiz erişimi önlemek için erişim kontrolü uygulanır.
Parola koruması Parolalar, bilgisayarınızda depolanan programlara ve verilere yetkisiz erişime karşı koruma sağlamak için kullanılır. Bilgisayar, kaynaklarına yalnızca kayıtlı ve girilen kullanıcılara erişim sağlar. doğru şifre... Her belirli kullanıcının yalnızca belirli bilgi kaynaklarına erişmesine izin verilebilir. Bu durumda, tüm yetkisiz erişim girişimlerinin kaydı yapılabilir.
İşletim sistemi yüklenirken parola koruması kullanılır Programda parola girişi ayarlanabilir BIOS kurulumu, bilgisayar, doğru parola girilmedikçe işletim sistemini yüklemeye başlamaz. Bu tür savunmaların üstesinden gelmek kolay değildir. Yerel bilgisayarın her diski, her klasörü, her dosyası yetkisiz erişime karşı korunabilir. Onlar için belirli erişim hakları ayarlanabilir. tam erişim, değişiklik yapabilme, sadece okuma, yazma vb. Haklar farklı kullanıcılar için farklı olabilir.
Biyometrik güvenlik sistemleri Şu anda, bilgilere yetkisiz erişime karşı koruma sağlamak için biyometrik tanımlama sistemleri giderek daha fazla kullanılmaktadır. Bu sistemlerde kullanılan özellikler, bir kişinin kişiliğinin devredilemez nitelikleridir ve bu nedenle kaybolamaz ve tahrif edilemez. Biyometrik bilgi güvenliği sistemleri, tanımlama sistemlerini içerir: parmak izi ile; konuşmanın özelliklerine göre; gözün irisi boyunca; yüzün görüntüsü ile; avuç içi geometrisi üzerinde.
Parmak izi tanımlama Optik parmak izi okuyucuları dizüstü bilgisayarlara, farelere, klavyelere, flash sürücülere kurulur ve ayrıca ayrı olarak kullanılır. harici cihazlar ve terminaller (örneğin, havaalanlarında ve bankalarda). Parmak izinin deseni, bilgiye kabul edilen kullanıcının deseni ile eşleşmiyorsa bilgiye erişim mümkün değildir.
Konuşma özellikleriyle tanımlama Bir kişinin sesle tanımlanması, geleneksel tanıma yöntemlerinden biridir, bu yönteme ilgi, aynı zamanda ses arayüzlerinin uygulanmasının tahminleriyle de ilişkilidir. işletim sistemi... Sesli tanımlama temassızdır ve konuşmanın frekans analizine dayalı bilgilere erişimi kısıtlamak için sistemler vardır.
Gözün irisiyle tanımlama Gözün irisiyle tanımlama için bilgisayara bağlı özel tarayıcılar kullanılır. İris, her kişiye özgü biyometrik bir özelliktir. Göz görüntüsü yüz görüntüsünden çıkarılır ve ona özel bir barkod maskesi uygulanır. Sonuç, her kişi için ayrı bir matristir.
Yüz tanıma Yüz tanıma teknolojileri genellikle bir kişiyi tanımlamak için kullanılır. Bir kişinin tanınması uzaktan gerçekleşir. Tanımlama işaretleri, yüzün şeklini, rengini ve saçın rengini dikkate alır. Önemli özellikler ayrıca kontrast değişikliğine karşılık gelen yerlerde (kaşlar, gözler, burun, kulaklar, ağız ve oval) yüzün noktalarının koordinatlarını da içerir. Şu anda, sahibinin dijital bir fotoğrafının saklandığı mikro devrede yeni pasaportların verilmesi başlıyor.
Avuç içi ile tanımlama Biyometride, tanımlama amacıyla elin basit geometrisi, boyutu ve şekli ile elin arkasındaki bazı bilgi işaretleri (parmakların falanksları arasındaki kıvrımlardaki görüntüler, kan damarlarının yerleşim paternleri). Palm ID tarayıcıları bazı havaalanlarında, bankalarda ve nükleer santrallerde kuruludur.
Disklerdeki verilerin fiziksel olarak korunması Sabit disklerde daha hızlı okuma, yazma ve depolama güvenilirliği sağlamak için RAID dizileri (Yedekli Bağımsız Disk Dizileri) kullanılır. RAID denetleyicisine birden çok sabit sürücü bağlanır ve bu onları tek bir mantıksal depolama ortamı olarak görür.
Bir RAID Dizisi Donanımı Uygulama Yöntemleri Bir donanım disk dizisi, ayrılmış bir RAID denetleyici kartı tarafından yönetilen birkaç sabit sürücüden oluşur. Yazılım Yazılım RAID, özel bir sürücü kullanılarak uygulanır. Disk bölümleri, hem diskin tamamını hem de bir kısmını kaplayabilen yazılım dizisinde düzenlenir. Yazılım RAID'leri genellikle donanım RAID'inden daha az güvenilirdir ancak daha hızlı veri işleme sağlar. Güvenilirlik için ödenmesi gereken bedel, aslında disk alanını yarıya indirmektir.
Kötü amaçlı yazılım (kötü amaçlı yazılım, kötü amaçlı yazılım ve yazılım kelimesinin İngilizce çevirisi, "kötü amaçlı yazılım", "malovar", "sabun üreticisi" ve hatta "sabun fabrikası" için argo adlar) kötü niyetli program, yani kötü niyetli niyetle oluşturulmuş bir program ve/veya kötü niyetler. Malware koruması
Antivirüs programları Modern antivirüs programları, bilgisayardaki programların ve verilerin her türlü kötü amaçlı programdan ve bunların bilgisayara sızma yöntemlerinden kapsamlı bir şekilde korunmasını sağlar: İnternet, yerel alan ağı, e-posta, çıkarılabilir medya. Antivirüs, her tür kötü amaçlı yazılıma karşı koruma sağlamak için ayrı bileşenler sağlar. Virüsten koruma programlarının çalışma prensibi, dosyaları, disklerin ve RAM'in önyükleme sektörlerini taramaya ve bunlarda bilinen ve yeni kötü amaçlı programları aramaya dayanır.
Antivirüs programları İmzalar, bilinen kötü amaçlı yazılımları aramak için kullanılır. İmza, belirli bir kötü amaçlı programa özgü sabit bir program kodu dizisidir. Virüsten koruma programı herhangi bir dosyada böyle bir dizi tespit ederse, dosyaya virüs bulaştığı kabul edilir ve temizlenmeli veya silinmelidir. Yeni virüsleri aramak için buluşsal tarama algoritmaları, yani taranan nesnedeki komut dizisinin analizi kullanılır. "Şüpheli" bir komut dizisi algılanırsa, virüsten koruma programı nesneye olası bir bulaşma hakkında bir mesaj görüntüler.
Çoğu antivirüs programı, gerçek zamanlı koruma işlevlerini (antivirüs monitörü) ve isteğe bağlı koruma işlevlerini (antivirüs tarayıcısı) birleştirir. Virüsten koruma monitörü, işletim sisteminin başlangıcında otomatik olarak başlar ve arka plan olarak çalışır sistem süreci kötü amaçlı yazılım için diğer programlar tarafından gerçekleştirilen eylemleri kontrol ederek. Virüsten koruma monitörünün ana görevi, bilgisayar yavaşlamasını en aza indirirken kötü amaçlı yazılımlara karşı maksimum koruma sağlamaktır. Anti-virüs tarayıcısı, önceden seçilmiş bir programa göre veya kullanıcı tarafından herhangi bir zamanda başlatılır. Virüsten koruma tarayıcısı, RAM'deki kötü amaçlı programları, ayrıca sabit ve ağ sürücüleri bilgisayar.
Bilgisayar enfeksiyonu belirtileri; beklenmeyen mesajların veya görüntülerin görüntülenmesi; istenmeyen ses sinyallerinin sunulması; CD / DVD sürücü tepsisinin beklenmedik şekilde açılması ve kapanması; bilgisayardaki herhangi bir programın keyfi olarak başlatılması; bilgisayarın sık sık donması ve arızalanması; programları başlatırken yavaş bilgisayar performansı; dosya ve klasörlerin kaybolması veya değiştirilmesi; sabit diske sık erişim (ışık yanıyor) sistem birimi); donma veya beklenmeyen tarayıcı davranışı (örneğin, program penceresi kapatılamaz). E-posta yoluyla bir ağ virüsü bulaşmasının bazı tipik belirtileri: arkadaşlar veya tanıdıklar, sizden alınan ve sizin göndermediğiniz mesajlar hakkında konuşurlar; senin içinde posta kutusu dönüş adresi ve başlığı olmayan çok sayıda mesaj var.
Bilgisayarınızda enfeksiyon belirtileri varsa yapılacaklar dış ortam(disket, CD veya DVD, flash kart, vb.). Ardından, şunları yapmanız gerekir: eğer bağlıysa, bilgisayarın yerel ağdan ve İnternet'ten bağlantısını kesin; enfeksiyon belirtisi bilgisayarın sabit diskinden önyüklemenin imkansız olmasıysa (bilgisayar açtığınızda hata verir), kilitlenme koruma modunda veya acil durum diskinden başlatmayı deneyin Windows önyüklemesi; bir antivirüs programı çalıştırın.
Bilgisayar virüsleri ve bunlara karşı koruma Bilgisayar virüsleri, "çoğalabilen" (kendi kendine kopyalayabilen) ve kopyalarını gizlice dosyalara, disk önyükleme sektörlerine ve belgelere gömebilen kötü amaçlı programlardır. Bir bilgisayar virüsünün etkinleştirilmesi programları ve verileri yok edebilir. ile ilgili olarak "virüs" adı bilgisayar programları biyolojiden tam olarak kendini yeniden üretme yeteneği temelinde geldi. Virüsler "habitat"larına göre önyükleme, dosya ve makro virüslere ayrılabilir.
Önyükleme virüsleri Önyükleme virüsleri, bir disketin veya sabit diskin önyükleme sektörüne bulaşır. Önyükleme virüslerinin çalışma prensibi, bilgisayar açıldığında veya yeniden başlatıldığında işletim sistemini başlatmak için kullanılan algoritmalara dayanır. Disklere bulaşırken, önyükleme virüsleri, sistem önyüklendiğinde kontrolü alan program yerine kodlarını "değiştirir" ve kontrolü orijinal önyükleyici koduna değil, virüs koduna verir. Bir diske virüs bulaştığında, virüs çoğu durumda orijinal önyükleme sektörünü diskin başka bir kesimine aktarır. Önyükleme virüslerine karşı önleyici koruma, işletim sistemini disketlerden başlatmayı reddetmekten ve bilgisayarınızın BIOS'una koruma yüklemekten oluşur. önyükleme sektörü değişikliklerden.
Dosya virüsleri Dosya virüsleri, yürütülebilir dosyalara çeşitli şekillerde enjekte edilir ve genellikle başlatıldıklarında etkinleştirilir. Virüs bulaşmış bir dosya başlatıldıktan sonra, virüs bilgisayarın RAM'inde kalır ve bilgisayar kapatılana veya işletim sistemi yeniden başlatılıncaya kadar etkin kalır (yani diğer dosyalara bulaşabilir). Hemen hemen tüm önyükleme ve dosya virüsleri bellekte yerleşiktir (disklerdeki verileri silin, adları ve dosyaların diğer özelliklerini değiştirin, vb.). Yerleşik virüsleri iyileştirmek zordur, çünkü virüslü dosyaları disklerden sildikten sonra bile virüs RAM'de kalır ve dosyalara yeniden bulaşabilir. Dosya virüslerine karşı önleyici koruma, şüpheli kaynaklardan elde edilen ve daha önce antivirüs programları tarafından kontrol edilmeyen yürütme dosyalarının çalıştırılmasının tavsiye edilmemesidir.
Makro virüsler Tümleşik ofis uygulaması Microsoft Office için makro virüsleri vardır. Makro virüsleri aslında bir belgeye yerleştirilen, gömülü programlama dili Visual Basic for Applications'ta makrolardır (makrolar). Makro virüsleri standart makrolar içerir, bunun yerine çağrılır ve açılan veya kaydedilen her belgeye bulaşır. Makrovirüsler sınırlı yerleşiktir. Makro virüslere karşı önleyici koruma, virüsün başlatılmasının önlenmesinden oluşur. Microsoft Office uygulamalarında bir belge açtığınızda, içlerinde makroların (potansiyel virüsler) bulunduğu konusunda bilgilendirilirsiniz ve bunların indirilmesini yasaklamanız önerilir. Makro indirme yasağının seçilmesi, bilgisayarınızı makro virüslerinin bulaşmasına karşı güvenilir bir şekilde koruyacak, ancak belgede bulunan faydalı makroları da devre dışı bırakacaktır.
Ağ solucanları ve bunlara karşı koruma Ağ solucanları, bilgisayar ağlarının hizmetlerini kullanarak bir bilgisayara sızan kötü amaçlı programlardır. Bir ağ solucanının etkinleştirilmesi, programların ve verilerin yok edilmesine ve ayrıca kullanıcının kişisel verilerinin çalınmasına neden olabilir. Ağ solucanları yayılmaları için küresel ve yerel bilgisayar ağlarının çeşitli hizmetlerini kullanır: World Wide Web, e-posta, vb. Solucan türlerini ayırt eden ana özellik, solucanın yayılma şekli, kopyasını uzak bilgisayara nasıl aktardığıdır. bilgisayarlar. Ancak birçok ağ solucanı, kopyalarını yerel ve küresel ağlardaki bilgisayarlar üzerinden yaymak için birden fazla yöntem kullanır.
Web solucanları Ayrı bir kategori, dağıtımları için web sunucularını kullanan solucanlardır. Enfeksiyon iki aşamada gerçekleşir. İlk olarak, solucan sunucu bilgisayarına girer ve sunucunun web sayfalarını değiştirir. Ardından solucan, virüslü sunucudan bilgi isteyen (örneğin, virüslü bir web sayfasını tarayıcıda açan) ziyaretçileri "bekler" ve böylece ağdaki diğer bilgisayarlara nüfuz eder. Bir tür Web solucanı, JavaScript veya VBScript'te etkin öğeler (programlar) yazıyor. Web solucanlarına karşı önleyici koruma, tarayıcının aktif öğeleri almasını engelleyebilmenizdir. yerel bilgisayar... Daha da etkili olan, bir güvenlik duvarı ve bir JavaScript veya VBScript komut dosyası denetleyicisi içeren Web antivirüs programlarıdır.
Güvenlik Duvarı Güvenlik duvarı bir yazılımdır veya Donanım bu, bilgisayara yerel ağdan veya İnternet'ten giren bilgileri kontrol eder ve ardından güvenlik duvarı ayarlarına bağlı olarak ya reddeder ya da bilgisayara girmesine izin verir. Güvenlik duvarı, kullanıcının bilgisayarına gelen tüm web sayfalarını kontrol eder. Her web sayfası, kötü amaçlı kodun varlığı için bir güvenlik duvarı tarafından ele geçirilir ve analiz edilir. Kötü amaçlı yazılım, güvenlik duvarının çalışmasında kullanılan veritabanlarına ve buluşsal bir algoritma kullanılarak tanınır. Veritabanları, şu anda bilinen tüm kötü amaçlı programların bir tanımını ve bunları etkisiz hale getirme yöntemlerini içerir. Sezgisel algoritma, veritabanlarında henüz tanımlanmamış yeni virüslerin tespit edilmesini sağlar.
Posta solucanları Posta solucanları yayılmak için e-posta kullanır. Solucan ya kendisinin bir kopyasını e-posta eki olarak gönderir ya da bir ağ kaynağında bulunan dosyasına bir bağlantı gönderir. İlk durumda, solucanın kodu, virüslü bir ek açıldığında (başlatıldığında), ikinci durumda, virüslü bir dosyanın bağlantısı açıldığında etkinleştirilir. Her iki durumda da solucan kodu aynı şekilde etkinleştirilir. Bilgisayara bulaştıktan sonra solucan kendini kullanıcının adres defterindeki tüm e-posta adreslerine göndermeye başlar. Posta solucanlarına karşı önleyici koruma, şüpheli kaynaklardan alınan posta iletilerine eklenmiş dosyaların açılmasının tavsiye edilmemesidir. İşletim sisteminiz ve uygulamalarınız için güvenlik güncellemelerini zamanında indirip kurmanız önerilir.
Truva atları ve bunlara karşı koruma Truva atları, bir Truva atı, bir bilgisayarın kontrolünü yetkisiz bir kullanıcıya devreden kötü niyetli bir program uzak kullanıcı, ayrıca bilgileri silme, değiştirme, toplama ve üçüncü taraflara iletme eylemleri.
Uzaktan Yönetim Truva Atları Bu sınıfın Truva atları, bir ağdaki bilgisayarların uzaktan yönetimi için yardımcı programlardır. Gizli denetim yardımcı programları, dosyaları almanıza veya göndermenize, bunları başlatmanıza ve yok etmenize, mesajları görüntülemenize, bilgileri silmenize, bilgisayarı yeniden başlatmanıza vb. izin verir. Başlatıldığında, Truva Atı sisteme kendini kurar ve ardından onu izler, kullanıcı herhangi bir şey almaz. sistemdeki Truva atı programlarının eylemleri hakkında mesajlar. Sonuç olarak, bu Truva atının “kullanıcısı”, bilgisayarı uzaktan kontrole açıkken sistemdeki varlığının farkında olmayabilir. Kötü amaçlı yazılımların en tehlikeli türlerinden biridir.
Casus Yazılım Truva Atları Casus Yazılım Truva Atları, virüs bulaşmış bir bilgisayarın kullanıcısı üzerinde elektronik casusluk gerçekleştirir: klavyeden girilen bilgiler, ekran görüntüleri, etkin uygulamaların bir listesi ve bunlarla yapılan kullanıcı eylemleri diskteki bir dosyaya kaydedilir ve periyodik olarak saldırgana gönderilir. Bu Truva Atı türü genellikle kullanıcı bilgilerini çalmak için kullanılır. farklı sistemlerçevrimiçi ödemeler ve bankacılık sistemleri.
Reklam Yazılımı Reklam Yazılımı: Reklam reklamcılığı ve Yazılım yazılımı, reklamları ana faydalı programa yerleştirir ve Truva atı görevi görebilir. Adware, bir bilgisayar kullanıcısı hakkında gizlice çeşitli bilgiler toplayabilir ve ardından bu bilgileri bir saldırgana gönderebilir. Truva atı koruması. Truva atları genellikle bilgisayar ve yüklü yazılım hakkındaki tüm bilgileri içeren işletim sistemi kayıt defterindeki girdileri değiştirir. Bunları kaldırmak için sistem kayıt defterini geri yüklemeniz gerekir, böylece geri yükleyen bileşen sistem kayıt defteri, modern işletim sistemlerine dahildir.
Yardımcı programları hackleme ve bunlardan korunma Uzak sunuculara yönelik ağ saldırıları, aşağıdakiler kullanılarak gerçekleştirilir: özel programlar bu onlara çok sayıda istek gönderir. Bu, saldırıya uğrayan sunucunun kaynakları gelen tüm istekleri işlemek için yetersizse, hizmet reddine (sunucu askıda kalmasına) yol açar. Bazı bilgisayar korsanlığı araçları, ölümcül ağ saldırıları uygular. Bu tür yardımcı programlar, işletim sistemlerindeki ve uygulamalardaki güvenlik açıklarından yararlanır ve ağdaki saldırıya uğrayan bilgisayarlara özel olarak tasarlanmış istekler gönderir. Sonuç olarak, ağ isteği özel çeşit saldırıya uğrayan uygulamada kritik bir hataya neden olur ve sistem çalışmayı durdurur. Ağ saldırıları
Uzak bilgisayarlar için bilgisayar korsanlığı yardımcı programları, onları daha fazla kontrol etmek (uzaktan yönetim yardımcı programları gibi Truva atı yöntemlerini kullanarak) veya diğer kötü amaçlı programları tehlikeye atılmış bir sisteme enjekte etmek için uzak bilgisayarlara sızmak için tasarlanmıştır. Uzak bilgisayarlar için bilgisayar korsanlığı araçları, genellikle saldırıya uğrayan bilgisayarda yüklü olan işletim sistemlerindeki veya uygulamalardaki güvenlik açıklarından yararlanır. Bu tür korsan yardımcı programlarına karşı önleyici koruma, işletim sistemi ve uygulamalar için güvenlik güncellemelerinin İnternet'ten zamanında indirilmesinden oluşur. yardımcı programları kesmek uzak bilgisayarlar
Rootkit (İngilizce kök kitinden "almak için bir set kök hakları») Güvenliği ihlal edilmiş bir sistemin kontrolünü gizlice ele geçirmek için bir program veya bir dizi program. Bunlar, kötü amaçlı etkinlikleri gizlemek için kullanılan yardımcı programlardır. kılık değiştiriyorlar kötü amaçlı yazılım Virüsten koruma yazılımı tarafından algılanmayı önlemek için. Rootkit'ler, bir bilgisayardaki işletim sistemini değiştirir ve kendi varlıklarını ve bir saldırganın virüslü bir bilgisayarda gerçekleştirdiği eylemleri gizlemek için temel işlevlerini değiştirir. Rootkit'ler
Hacker saldırılarına, ağ solucanlarına ve Truva atlarına karşı koruma. Bilgisayar ağlarının veya bireysel bilgisayarların yetkisiz erişime karşı korunması, bir güvenlik duvarı kullanılarak gerçekleştirilebilir. Güvenlik duvarı şunları yapmanızı sağlar: belirli sunuculardan (belirli IP adresleri veya etki alanı adları) gelen ağ paketlerinin korunan bilgisayara gönderilmesine izin vermeyerek korsan DoS saldırılarını engelleme; ağ solucanlarının (posta, Web vb.) korunan bilgisayara sızmasını önlemek; Truva atlarının kullanıcı ve bilgisayar hakkında gizli bilgiler göndermesini engeller.
Bilgi bugün pahalıdır ve korunması gerekir. Toplu uygulama kişisel bilgisayarlar ne yazık ki, bilgisayarın normal çalışmasını engelleyen, disklerin dosya yapısını bozan ve bilgisayarda depolanan bilgilere zarar veren kendi kendini kopyalayan virüslerin ortaya çıkmasıyla ilişkili olduğu ortaya çıktı.
43 Koruma türü Koruma yöntemi Donanım arızalarına karşı Dosya arşivleme (sıkıştırmalı veya sıkıştırmasız); dosyaları yedekleme Bilgisayarda saklanan bilgilerin kazara kaybolmasına veya bozulmasına karşı Dosyaları değiştiren komutların yürütülmesinin onaylanması talebi; Kurulum özel nitelikler belgeler ve programlar; yanlış bir eylemi geri alma veya yanlışlıkla geri yükleme yeteneği uzak dosya; kaynaklara kullanıcı erişiminin farklılaşması dosya sistemi Bilgi koruma türleri ve yöntemleri
Kasıtlı bozulmalardan, vandalizmden (bilgisayar virüsleri) Genel bilgi koruma yöntemleri; önleyici tedbirler; anti-virüs programlarının kullanımı Bilgiye yetkisiz (yasadışı) erişimden (kullanımı, değiştirilmesi, dağıtımı) Şifreleme; şifre koruması; "Elektronik kilitler"; bir dizi idari ve kanun yaptırımı önlemi Bilgi koruma türleri ve yöntemleri Koruma türü Koruma yöntemi
Özetle, firmaların (yalnızca yabancıların değil) kendi aralarında gerçek "casus savaşları" yürüttüğü, ticari sır teşkil eden bilgilere onlar aracılığıyla erişmek için bir rakibin çalışanlarını işe aldığı pek çok durum olduğunu belirtmek gerekir. Rusya'da ticari sırlarla ilgili konuların düzenlenmesi henüz yeterince gelişmemiştir. Mevcut mevzuat, ticari sırlarla ilgili olanlar da dahil olmak üzere belirli konuların modern gerçeklere uygun olarak düzenlenmesini hala sağlamamaktadır. Aynı zamanda, ticari sırların ifşa edilmesinin neden olduğu zararın genellikle çok önemli olduğunun (eğer tahmin edilebiliyorsa) bilinmelidir. Cezai sorumluluk da dahil olmak üzere sorumlulukla ilgili normların varlığı, çalışanlara bu alandaki ihlallere karşı bir uyarı görevi görebilir, bu nedenle tüm çalışanların ihlallerin sonuçları hakkında ayrıntılı olarak bilgilendirilmesi tavsiye edilir. Ülkede oluşturulan bilgi koruma sisteminin ve uygulanması için bir dizi önlemin oluşturulmasının, ortaya çıkan tüm dünya ile bilgi ve entelektüel birlikteliğin yolunda geri dönüşü olmayan sonuçlara yol açmayacağını umuyorum. Rusya'da. Çözüm
Literatür Lepekhin A.N. Bilgi güvenliğine karşı suçların araştırılması. Teorik, yasal ve uygulamalı yönler. M.: Theseus, s. Ugrinovich N.D. Bilişim ve BİT. 11. sınıf ders kitabı. M.: BİNOM. Bilgi laboratuvarı, s. Shcherbakov A. Yu Modern bilgisayar güvenliği. Teorik temel. Pratik yönler. M.: Kitap dünyası, s. Wikipedia jpg jpg Rand% 20HandKey% 20ID3D-R.gif Rand% 20HandKey% 20ID3D-R.gif gif
Altında Yetkisiz Erişim bilgiye kullanıcıları için kurulmuş bir bilgisayar sisteminin bilgi kaynaklarının kullanımına ilişkin kuralları ihlal eden erişim anlamına gelir. Yetkisiz erişim, bilgi ve bilgisayar güvenliğine yönelik kasıtlı bir tehdidin uygulanmasıdır ve genellikle şu şekilde ifade edilir: saldırı veya saldırı bilgisayar sistemine.
Bilgi güvenliği alanındaki başarı, yalnızca dört seviyeli önlemleri birleştiren entegre bir yaklaşım getirebilir:
yasama;
Yönetim;
prosedürel;
Yazılım ve teknik.
yasama düzeyi bilgi güvenliğinin sağlanması açısından önemlidir. Bilgi güvenliği sorununun önemini mümkün olan her şekilde vurgulamak, kaynakları en önemli araştırma alanlarına yoğunlaştırmak gerekir; koordinat Eğitim faaliyetleri; bilgi güvenliğini ihlal edenlere karşı olumsuz bir tutum oluşturmak ve sürdürmek - tüm bunlar yasama düzeyinin işlevleridir. Yasama düzeyinde, yasal düzenlemeler ve standartlar özel ilgiyi hak ediyor.
Tedbirlerin ana görevi idari seviye- bilgi güvenliği alanında bir çalışma programı oluşturmak ve gerekli kaynakları tahsis ederek ve durumu izleyerek uygulanmasını sağlamak. Programın özü, kuruluşun bilgi varlıklarını korumaya yönelik yaklaşımını yansıtan bir güvenlik politikasıdır. Bir güvenlik politikası ve programının geliştirilmesi, ilk adımı sırayla en yaygın tehditlere aşina olmak olan bir risk analizi ile başlar. Başlıca tehditler, bilgi sisteminin iç karmaşıklığı, personel kullanıcıları, operatörler, sistem yöneticileri ve bilgi sistemlerine hizmet veren diğer kişilerin kasıtsız hatalarıdır. Hırsızlık ve dolandırıcılık zarar açısından ikinci sırada yer almaktadır. Yangınlar ve destekleyici altyapının diğer arızaları gerçek bir tehlike oluşturur. Dış saldırıların toplam ihlal sayısındaki payı artıyor, ancak asıl hasar hala "kendimiz" den kaynaklanıyor.
Miktar prosedürel seviye insanlara odaklanır (teknik araçlara değil) ve aşağıdaki türlere ayrılır:
Personel Yönetimi;
Fiziksel koruma;
Performansı sürdürmek;
Güvenlik ihlallerine yanıt vermek;
Kurtarma planlaması.
Bilgi güvenliği büyük ölçüde aşağıdakileri içeren günlük işlerin doğru yürütülmesine bağlıdır:
Kullanıcı desteği;
Yazılım desteği;
Konfigürasyon yönetimi;
Medya yöneticisi;
Belgeler;
Rutin çalışma.
Ancak olağanüstü olaylara yani bilgi güvenliği ihlallerine önceden hazırlanmak gerekir. Güvenlik ihlallerine karşı iyi düşünülmüş bir yanıtın üç ana hedefi vardır:
Olayın lokalizasyonu ve sebep olunan hasarın azaltılması;
Suçlunun kimliği;
Tekrarlanan ihlallerin önlenmesi.
Ciddi bir kaza durumunda, onarım çalışmaları gereklidir. Bu tür işler için planlama süreci aşağıdaki aşamalara ayrılabilir:
Kuruluşun kritik işlevlerinin belirlenmesi, önceliklerin belirlenmesi;
Kritik işlevleri yerine getirmek için gereken kaynakların belirlenmesi;
Olası kazaların listesinin belirlenmesi;
Bir kurtarma stratejisinin geliştirilmesi;
Seçilen stratejinin uygulanması için hazırlık;
Strateji kontrolü.
Yazılım ve teknik önlemler, yani bilgisayar varlıklarını - ekipman, programlar ve / veya veriler - kontrol etmeyi amaçlayan önlemler, bilgi güvenliğinin son ve en önemli satırını oluşturur.
Bu dönüm noktasında, hızlı ilerlemenin sadece olumlu değil, olumsuz sonuçları da ortaya çıkıyor. Bilişim Teknolojileri... İlk olarak, yalnızca bilgi güvenliği uzmanları için değil, siber suçlular için de ek fırsatlar ortaya çıkıyor. İkincisi, bilgi sistemleri sürekli olarak modernize edilmekte, yeniden oluşturulmakta, yetersiz test edilmiş bileşenler (öncelikle yazılım) bunlara eklenmekte ve bu da güvenlik rejimine uymayı zorlaştırmaktadır.
Yazılım ve donanım seviyesinin merkezinde bir güvenlik hizmeti kavramı vardır. Bu hizmetler şunları içerir:
Tanımlama / Kimlik Doğrulama;
Giriş kontrolu;
Günlüğe kaydetme ve denetim;
Şifreleme;
ekranlama;
tünel açma;
Bütünlük kontrolü;
Güvenlik kontrolü;
Arıza tespiti ve çevrimiçi kurtarma;
Kontrol.
Bu hizmetler, heterojen bileşenlerle açık bir ağ ortamında çalışmalı, yani ilgili tehditlere karşı dayanıklı olmalı ve kullanımları kullanıcılar ve yöneticiler için uygun olmalıdır.
Tanımlama ve Kimlik Doğrulama . Tanımlama ve kimlik doğrulama, güvenlik yazılımı ve donanımının bel kemiği olarak kabul edilebilir. Kimlik- bir sayı, şifre, kod vb. şeklinde benzersiz bir tanımlayıcının erişim konularına ve nesnelerine atama. bilgiye ulaşmak için. kimlik doğrulama- kullanıcının, örneğin sisteme giriş yaparken sunduğu tanımlayıcıya göre kimlik doğrulaması. Kimlik doğrulama bazen kimlik doğrulama ile eşanlamlı olarak kullanılır.
Kimlik doğrulama tek yönlü (genellikle istemci kimliğini sunucuya kanıtlar) ve iki yönlü (karşılıklı) olabilir. Tek yönlü kimlik doğrulamaya bir örnek, kullanıcı oturum açma prosedürüdür.
Bir özne, aşağıdaki varlıklardan en az birini sunarak kimliğini kanıtlayabilir:
Bildiği bir şey (şifre, kişisel kimlik numarası, şifreleme anahtarı vb.):
Sahip olduğu bir şey (kişisel bir kart veya benzer amaçlı başka bir cihaz);
Ana ve en yaygın olarak kullanılan kullanıcı kimlik doğrulama yöntemleri, parola tabanlı yöntemlerdir. . Altında parola bu durumda, bir bilgisayar sistemine erişirken belirli bir karakter dizisi anlaşılır, gizli tutulur ve sunulur. Şifre genellikle klavyeden girilir.
Parola doğrulamanın ana avantajı basitlik ve aşinalıktır. Parolalar uzun süredir işletim sistemlerinde ve diğer hizmetlerde yerleşiktir. Doğru kullanıldığında, parolalar birçok kuruluş için kabul edilebilir bir güvenlik düzeyi sağlayabilir. Ancak, karakteristik kombinasyonları açısından, kimlik doğrulamanın en zayıf araçları olarak kabul edilmelidirler.
Aşağıdaki önlemler, parola korumasının güvenilirliğini önemli ölçüde artırabilir:
Teknik kısıtlamaların uygulanması (şifre çok kısa olmamalı, harfler, sayılar, noktalama işaretleri vb. içermelidir);
Parola süre sonu yönetimi, bunların periyodik değişimi;
Şifre dosyasına erişimi kısıtlamak;
Başarısız giriş denemelerinin sayısını sınırlamak (bu, şifreyi tahmin etmeyi zorlaştıracaktır);
Yazılım şifre oluşturucularını kullanma.
Parolalarla birlikte başka kimlik doğrulama yöntemleri kullanılsa bile, her zaman yukarıdaki önlemlerin kullanılması tavsiye edilir.
Kullanıcılar için bir bilgi sistemine giriş yaparken mevcut şifre doğrulama yöntemleri iki gruba ayrılabilir:
Kimlik doğrulama yöntemlerine dayalı basit şifre;
Dinamik parola doğrulama yöntemleri.
Basit bir parola kullanıldığında kullanıcı doğrulama parolası, güvenlik yöneticisi tarafından belirlenen kullanım ömrü boyunca oturumdan oturuma değişmez.
Dinamik olarak değişen bir şifre kullanıldığında, her yeni oturum için kullanıcının şifresi veya bir şifrenin yeni geçerlilik süresi, kullanılan yönteme bağlı olarak kurallara göre değiştirilir. Dinamik şifre uygulaması hem donanım hem de yazılım tarafından yapılabilir.
İnsanların fizyolojik ve davranışsal özelliklerine göre kimlik doğrulamasının biyometrik yöntemlerinin kullanılmasıyla ek kolaylık sağlanır. Fizyolojik özellikler, parmak izi, retina ve kornea, el ve yüz geometrisi vb. özelliklerini içerir. Davranışsal özellikler, imza dinamiklerini (manuel), klavye stilini içerir. Fizyoloji ve davranış kavşağında, ses ve konuşma tanıma özelliklerinin analizi bulunur.
Giriş kontrolu. Erişim kontrolü, bilgi güvenliğinin en çok araştırılan alanıdır. Geleneksel bir bakış açısından, erişim kontrolleri, öznelerin (kullanıcılar ve süreçler) nesneler (bilgi ve diğer bilgisayar kaynakları) üzerinde gerçekleştirebilecekleri eylemleri belirlemenize ve kontrol etmenize olanak tanır. Bu durumda, fizikselden farklı olarak yazılım tarafından uygulanan mantıksal erişim kontrolünden bahsediyoruz. Mantıksal erişim kontrolü- nesnelerin gizliliğini ve bütünlüğünü ve bir dereceye kadar kullanılabilirliğini sağlamak için tasarlanmış çok kullanıcılı sistemlerin ana mekanizması (yetkisiz kullanıcılara hizmeti yasaklayarak). Mantıksal erişim kontrolünün görevi, her bir "özne-nesne" çifti için bir dizi izin verilen işlemi (belki de bazı ek koşullara bağlı olarak) belirlemek ve yerleşik düzenin uygulanmasını kontrol etmektir.
Şu anda, erişim kontrolünün yalnızca kötü niyetli kullanıcılara karşı korumayı amaçladığı hükmünün geçersiz olduğu (veya en azından gerçekle tamamen tutarlı olmadığı) kabul edilmelidir. Modern bilgi sistemleri son derece karmaşıktır ve iç hataları daha az tehlikeli değildir.
Günlüğe kaydetme ve denetleme. Altında Kerestecilik bilgi sisteminde meydana gelen olaylarla ilgili bilgilerin toplanması ve toplanması anlaşılır. Her hizmetin kendi olası olayları vardır, ancak her durumda, bunlar harici (diğer hizmetlerin eylemlerinden kaynaklanan), dahili (hizmetin eylemlerinden kaynaklanan) ve müşteriye (hizmetin eylemlerinden kaynaklanan) ayrılabilir. kullanıcılar ve yöneticiler).
Denetim- Derhal, gerçek zamanlı veya periyodik olarak (örneğin günde bir kez) gerçekleştirilen birikmiş bilgilerin analizi. Pasif denetim- bilgi güvenliği ihlallerinin sonuçlarının analizi ve davetsiz misafirlerin belirlenmesi. Belirlenen anormal durumlara otomatik yanıt veren operasyonel denetime denir. aktif.
Günlüğe kaydetme ve denetlemenin uygulanması aşağıdaki görevleri çözer:
Kullanıcıların ve yöneticilerin hesap verebilirliğini sağlamak;
Olayların sırasını yeniden yapılandırma yeteneğinin sağlanması;
Bilgi güvenliğini ihlal etme girişimlerinin tespiti;
Sorunları tanımlamak ve analiz etmek için bilgi sağlamak.
Günlüğe kaydederken, bir yandan yukarıdaki hedeflere ulaşıldığından ve diğer yandan kaynak tüketiminin izin verilen aralıkta kaldığından emin olmak gerekir. Çok kapsamlı veya ayrıntılı günlük kaydı, yalnızca hizmetlerin performansını düşürmekle kalmaz (kullanılabilirliği olumsuz etkiler), aynı zamanda denetimi karmaşıklaştırır, yani bilgi güvenliğini artırmaz, ancak azaltır.
Etkinliğin tarihi ve saati;
Kullanıcının benzersiz tanımlayıcısı - eylemin başlatıcısı;
Etkinlik tipi;
Eylemin sonucu (başarılı veya başarısız);
İstek kaynağı (örneğin, terminal adı);
Etkilenen nesnelerin adları (örneğin, açılacak veya silinecek dosyalar);
Güvenlik veritabanlarında yapılan değişikliklerin açıklaması (örneğin, yeni bir nesne güvenlik etiketi).
Hesap verebilirliğin sağlanması, öncelikle caydırıcı olarak önemlidir. Kullanıcılar ve yöneticiler tüm eylemlerinin kayıt altına alındığını bilirlerse yasa dışı işlemlerden kaçınabilirler. Açıkçası, bir kullanıcının sahtekârlığından şüphelenmek için bir neden varsa, her tuş vuruşuna kadar tüm eylemlerini kaydedebilirsiniz. Bu, yalnızca güvenlik ihlallerini araştırma yeteneği sağlamakla kalmaz, aynı zamanda yanlış değişikliklerin geri alınmasını da sağlar (protokol değişiklikten önce ve sonra veri içeriyorsa). Bu, bilgilerin bütünlüğünü korur.
Şifreleme. Şifreleme, gizliliği sağlamanın en önemli aracı ve aynı zamanda bilgi güvenliğinin en çelişkili alanıdır. Bilgisayar kriptografisinin iki tarafı vardır - bilgi sisteminin diğer bölümleriyle arayüz oluşturmanıza izin veren uygun şifreleme ve arayüz. Arayüzlerin yeterli işlevsel zenginliği ve standardizasyonunun olması önemlidir.
Modern şifrelemenin hem teknik hem de düzenleyici dahili sorunları vardır. En acil teknik sorun performanstır.
Koruyucu. Güvenlik hizmeti olarak ekranlama aşağıdaki işlevleri yerine getirir:
İletilen verileri filtreleyerek İnternet erişiminin farklılaştırılması;
İletilen verilerin dönüştürülmesi.
güvenlik duvarı- bir cihaz, verileri önceden tanımlanmış bir kural tabanına göre filtreleyen ve çok daha esnek bir güvenlik politikası uygulamanıza izin veren bir program. Ağ, taşıma ve uygulama katmanlarını kapsayan karmaşık filtreleme ile kurallar, ağ adreslerini, aktarılan veri miktarını, uygulama katmanı işlemlerini, ortam parametrelerini vb. içerebilir.
İletilen verilerin dönüştürülmesi, hem paketlerin hizmet alanlarını hem de uygulama verilerini etkileyebilir. İlk durumda, genellikle, korunan sistemin topolojisini gizlemeye yardımcı olan adres çevirisini kastediyoruz. Bu, belirli erişimcilerin varlığını gizlemek için kaçan hizmetin benzersiz bir özelliğidir. Veri dönüştürme, örneğin şifrelemelerinden oluşabilir.
Tünel açma. Tünel açma bağımsız bir güvenlik hizmeti olarak görülmelidir. Özü, iletilen veri parçasını hizmet alanlarıyla birlikte yeni bir "zarf" içine "paketlemektir". Tünel açma ve sarma, tünel açma ile eş anlamlı olarak kullanılabilir.
Tünel açma birkaç amaç için kullanılabilir:
Bu ağda desteklenmeyen bir protokole ait paketlerin ağ üzerinden iletimi;
Gerçek adresleri ve diğer hizmet bilgilerini gizleyerek zayıf bir gizlilik (öncelikle trafik gizliliği) sağlamak;
Kriptografik hizmetlerle birlikte kullanıldığında iletilen verilerin gizliliğini ve bütünlüğünü sağlamak.
Tünel açma hem ağ hem de uygulama katmanlarında uygulanabilir.
Özel ağ geçitlerinde tünel oluşturma ve şifreleme (gerekli kriptografik altyapı ile birlikte) ve ağ hizmeti sağlayıcılarının yönlendiricilerinde koruma ("ev" ve "yabancı" ağ adreslerinin alanlarını VLAN'ların ruhuna göre ayırmak için) kombinasyonu, size izin verir. sanal özel ağlar gibi modern koşullarda böylesine önemli bir güvenlik önlemi uygulamak. Genellikle İnternet'in üzerine yerleştirilen bu tür ağlar, kuruluşun özel kanallar üzerine kurulmuş kendi ağlarından önemli ölçüde daha ucuz ve çok daha güvenlidir. İletişimleri tüm uzunlukları boyunca fiziksel olarak korumak imkansızdır, bu nedenle başlangıçta güvenlik açığı varsayımından yola çıkmak ve buna göre koruma sağlamak daha iyidir.
Bütünlük kontrolü. Sistem bütünlüğü- her koşulda tam bir garantinin olduğu sistemin durumu bilgisayar sistemi koruyucu mekanizmaların çalışmasını, mantıksal doğruluğu ve güvenilirliği sağlayan mantıksal olarak eksiksiz donanım ve yazılıma dayanmaktadır. Modern sistemlerde bütünlük denetimi yalnızca tek tek veri parçalarına, donanıma veya yazılım bileşenlerine yayılmamalıdır. örtmek için gereklidir dağıtılmış konfigürasyonlar, veri akışlarını yetkisiz değişikliklerden koruyun.
Şu anda hem sistemlerin bütünlüğünü hem de ağ odağını izlemek için yeterli çözümler var (genellikle izleme uygulamalara şeffaf bir şekilde yapılır).
Güvenlik kontrolü. Güvenlik kontrolü, aslında, sistemin korunmasındaki olası zayıflıkları tespit etmek için kuruluşun kendisi veya yetkili kişiler tarafından gerçekleştirilen bir bilgi sistemini "hackleme" girişimidir. Bu hizmetin amacı, güvenlik açıklarını saldırganlardan önce tespit etmektir. Her şeyden önce, mimari (ortadan kaldırılması zor) değil, yönetim hataları veya yazılım sürümlerinin güncellenmesine dikkat edilmemesi sonucu ortaya çıkan "operasyonel" boşlukları kastediyorum.
Hem ticari hem de ücretsiz güvenlik izleme ürünleri vardır. Bunları sadece bir kez edinmek ve kurmak değil, aynı zamanda güvenlik açığı veritabanını sürekli güncellemek de önemlidir. Bu, yeni saldırılara ve önerilen karşı önlemlere göz kulak olmak kadar kolay olabilir.
Arıza tespiti ve çevrimiçi kurtarma. Arıza tespiti ve çevrimiçi kurtarma, yüksek kullanılabilirlik (kullanılabilirlik) sağlayan hizmetler arasındadır. Çalışmaları, mimari güvenlik unsurlarına, yani donanım ve yazılım konfigürasyonunda fazlalığın varlığına dayanmaktadır. Küme konfigürasyonları, donanım ve yazılım ürünleri arasında standart hale geldi. Veri kurtarma, uygulamalar için şeffaf, gerçekten hızlı bir şekilde (onlarca saniye, en az dakika) yapılır.
Kontrol. Yönetim, bileşenlerin ve güvenlik araçlarının normal çalışmasını sağlayan altyapı hizmetleri olarak ifade edilebilir. Modern sistemlerin karmaşıklığı, uygun şekilde organize edilmiş bir yönetim olmadan, hem verimlilik hem de güvenlik açısından yavaş yavaş bozulur.
Bir başka yönetim görüşü mümkündür - bütünleştirici bir kabuk olarak bilgi hizmetleri ve güvenlik hizmetleri (yüksek kullanılabilirlik araçları dahil), bilgi sistemi yöneticisinin kontrolü altında normal, tutarlı işleyişini sağlar.
Kontrol sistemleri şunları yapmalıdır:
Yöneticilerin bilgi hizmetlerinin kullanımını planlamalarına, organize etmelerine, kontrol etmelerine ve hesap vermelerine izin verin;
Değişen gereksinimlere cevap verme yeteneği sağlamak;
Bilgi hizmetlerinin öngörülebilir davranışını sağlamak;
Bilgi güvenliğini sağlayın.
Başka bir deyişle, yönetim yeterince zengin bir işlevselliğe sahip olmalı, verimli, esnek ve bilgi açısından güvenli olmalıdır.
Beş işlevsel yönetim alanı ayırt edilebilir:
Konfigürasyon yönetimi (normal çalışma için parametrelerin ayarlanması, bileşenlerin başlatılması ve durdurulması, sistemin mevcut durumu hakkında bilgi toplanması, çalışma koşullarındaki önemli değişiklikler hakkında bildirimlerin alınması, sistem konfigürasyonunun değiştirilmesi);
Arıza yönetimi (arızaların tespiti, izolasyonu ve sistem performansının restorasyonu);
Performans yönetimi (istatistiksel bilgilerin toplanması ve analizi, normal ve anormal koşullar altında sistem performansının belirlenmesi, sistemin çalışma modunun değiştirilmesi);
Güvenlik yönetimi (hizmetleri ve güvenlik mekanizmalarını oluşturarak, silerek ve değiştirerek, ilgili bilgileri yayarak ve olaylara yanıt vererek güvenlik politikasının uygulanması);
Hesap bilgileri yönetimi.
Bilgi, herhangi bir şirketin en değerli kaynaklarından biridir, bu nedenle bilginin korunmasını sağlamak öncelikli görevlerden biridir. Bilginin önemi ve değeri arttıkça onu korumanın önemi de artmaktadır.
Bilginin bütünlüğünü ve gizliliğini sağlamak için, bilgileri kazara yok edilmekten veya yetkisiz erişimden korumak gerekir. Bütünlük, bilgilerin değiştirilmesinin yanı sıra yetkisiz veya kazara imha edilmesinin imkansızlığı anlamına gelir. Bilginin gizliliği, bir saldırgan tarafından saklanan, gönderilen veya alınan bilgilere yetkisiz olarak el konulmasının imkansızlığı anlamına gelir.
Yetkisiz Erişim bir saldırganın gizli bilgilere erişmesinin bir sonucu olarak yasa dışı eylemlere atıfta bulunur. Yani, Yetkisiz Erişim- bunlar, sahibinin rızası olmadan başka birinin bilgilerine erişim sağlama olasılığını yaratan aktif eylemlerdir. Son Dakika- bilgiye erişmek için bir bilgisayar ağına veya başka birinin bilgisayarına yetkisiz giriş.
Sistemlerde ve ağlarda birçok olası bilgi sızıntısı yönü ve buna yetkisiz erişim yolları vardır:
- bilgilerin ele geçirilmesi;
- bilgilerin değiştirilmesi, yani üzerinde değişiklik yapmak;
- bir saldırgan sizin adınıza bir mektup veya belge gönderebildiğinde, bilgilerin yazarlığının değiştirilmesi;
- yanlış mesajlar oluşturmak;
- gizli bilgilere yetkisiz erişim;
- bilgisayar virüslerinin tanıtılması vb.
Bu tür tehditler, bilgilere yetkisiz erişimle bağlantılı olarak ortaya çıkabilir.
Bilgilerin yetkisiz erişime karşı korunması (kimlik doğrulama ve yetkilendirme)
Bilgi sisteminin kaynaklarına erişmek için üç prosedürün gerçekleştirilmesi gerekir: tanımlama, doğrulama ve yetkilendirme.
Altında Tanılama kullanıcılara (nesneler veya kaynakların özneleri) benzersiz adların ve kodların (tanımlayıcılar) atanmasıdır.
kimlik doğrulama(kimlik doğrulama), girilen bir tanımlayıcıya göre bir kullanıcının (veya varlığın) kimliğini doğrulama prosedürüdür. Örneğin: girdiği parolayı veritabanındaki parolayla karşılaştırarak kullanıcı kimlik doğrulaması; mektubun dijital imzasını doğrulayarak e-postanın gerçekliğinin onaylanması; dosyanın sağlama toplamının bu dosyanın yazarı tarafından beyan edilen miktara uygunluğunun kontrol edilmesi. Rusça'da bu terim esas olarak bilgi teknolojisi alanında kullanılmaktadır.
Kimlik doğrulama ile karıştırılmamalıdır yetki... Yetkilendirme, yetkinin kontrol edilmesi veya kullanıcının belirli kaynaklara erişme ve bunlar üzerinde belirli işlemleri gerçekleştirme hakkının kontrol edilmesi anlamına gelir. Ağ ve bilgisayar kaynaklarına erişim haklarını ayırt etmek için yetkilendirme yapılır.
Basit kullanıcı kimlik doğrulama algoritması aşağıdaki adımlardan oluşur:
- kullanıcı kendi parametrelerini girer hesap(giriş / şifre) ve doğrulama için sunucuya gönderir;
- kimlik doğrulama sunucusu, alınan değerleri kural olarak veritabanında depolanan referans değerlerle karşılaştırır;
- veriler referans ile çakışıyorsa, kimlik doğrulama başarılı olarak tanınır ve kullanıcı bilgi sistemine erişim sağlar; veriler referans değerlerle eşleşmezse kullanıcı 1. adıma döner.
Kullanıcı hesabı parolası, sunucuda karma biçimde saklanmalıdır. Bu durumda, kimlik doğrulama sunucusu, belirli bir kullanıcı adı değerine ve bir parola karma koduna sahip bir giriş olup olmadığını veritabanında kontrol eder.
Kullanıcıları belirlemek için, kullanıcının bireysel parametrelerinin (parmak izleri, el çizgileri, iris, ses tınısı) analizine dayalı olarak kimlik doğrulamasını sağlayan, teknik uygulama açısından karmaşık sistemler kullanılabilir. Katı ortamla ilişkili fiziksel tanımlama yöntemleri yaygınlaşıyor - geçiş kontrol sistemlerinde geçiş, pasif plastik kartlarözel cihazlar tarafından okunabilir; yerleşik bir mikro devre içeren aktif plastik kartlar.
Elektronik dijital imza
Bilgi güvenliğini sağlamanın en yaygın kullanılan yollarından biri, elektronik dijital imzaya dayalı belgelerin gerçekliğini belirlemektir. Asimetrik anahtarlar, dijital imzalarla çalışmak için kullanılır. Sahibi, mesajını/belgesini özel bir anahtar (PrivateKey) ile şifreler ve açık anahtara (PublicKey) sahip olan kullanıcılar mesajın/belgenin şifresini çözebilir ve okuyabilir. Özel anahtarın sahibi yalnızca yazara ait olduğundan, mesajı yalnızca o şifreleyebilir. Bu, mesajın sahipliğini onaylar.
Bazen dijital imza kullanılır mesaj özeti PrivateKey ile şifrelenir. Alıcı, PublicKey'i kullanarak mesaj özetini alabilir, bunu mesaj özetinin kendisiyle karşılaştırabilir ve mesajın gerçek olduğunu doğrulayabilir, yani. bütünlüğü içinde ve gönderene aittir.
Bilgisayar ağlarında bilgi koruması
Yerel şirket ağları çok sık internete bağlıdır. Yerel şirket ağlarını korumak için kural olarak güvenlik duvarları kullanılır - güvenlik duvarları. Güvenlik duvarı, ağı iki bölüme ayırmanıza izin veren bir erişim kontrol aracıdır (sınır, yerel ağ ve İnternet) ve paketlerin bir bölümden diğerine geçiş koşullarını belirleyen bir dizi kural oluşturur. Ekranlar hem donanım hem de yazılım olarak uygulanabilir.
Ekranlar, bir şirketin bilgisayar ağlarında koruma sağlayabilir. Ancak bilgiler genellikle korumasız bir tarayıcıya nesneler olarak gönderilir. Bu durumda, bir Java sınıfı şeklindeki nesneler seri hale getirilmelidir. Nesne serileştirme güvenli değil. Serileştirilmiş nesne şirket için bir değere sahipse, serileştirme ve seri durumdan çıkarma adımları sırasında da korunabilir. Serileştirilmiş bir nesnenin korunması bir örnekle ayrıntılı olarak açıklanmıştır.
Not: Bilgi güvenliği konusunda söylenecek çok şey var. Ayrıca bilgisayar virüslerini ve antivirüs programlarını da hatırlayabilirsiniz. Ancak burada sadece sitede ele alınan ve Java programcılarının ilgisini çeken yönler üzerinde durdum. Zamanla şifreleme ve dijital sertifikalarla ilgili bilgilerin de ortaya çıkması gerektiğine inanıyorum.