Şəbəkə və informasiya təhlükəsizliyi

Korporativ şəbəkə təhlükəsizliyinin təmin edilməsi

Müəssisə şəbəkəsi layihələrində yüksək təhlükəsizlik və qaydalara uyğunluq mütləqdir.

Öz informasiya resurslarını qorumaq üçün müəssisələr öz infrastrukturlarına şəbəkə təhlükəsizliyi həlləri tətbiq edir, şəbəkənin və kommersiya məlumatlarının bütün səviyyələrdə təhlükəsizliyinə zəmanət verirlər:

• firewall
• idarə olunan VPN şəbəkələri
• şəbəkəyə müdaxilə cəhdlərinin aşkarlanması və bloklanması
• trafik mübadiləsinin son nöqtələrini qorumaq
• korporativ antivirus sistemi.

Bağlantı təhlükəsizliyi

İşgüzar səfərdə olan və ya evdən işləyən işçilər üçün korporativ şəbəkəyə uzaqdan giriş iş zərurətinə çevrilib.

Getdikcə daha çox təşkilat tərəfdaşlara sistemə texniki xidmət xərclərini azaltmaq üçün öz şəbəkələrinə uzaqdan daxil olmağa icazə verir. Buna görə də, trafik mübadiləsinin son nöqtələrinin qorunması şirkət şəbəkəsinin təhlükəsizliyinin təmin edilməsində ən vacib vəzifələrdən biridir.

Korporativ şəbəkənin İnternetə qoşulduğu yerlər şəbəkənin təhlükəsizlik perimetridir. Gələn və gedən nəqliyyat bu nöqtələrdə kəsişir. Korporativ istifadəçi trafiki şəbəkə sərhədlərini keçir və veb və e-poçt proqramlarına daxil olmaq üçün xarici istifadəçilərin İnternet sorğuları şirkət şəbəkəsinə daxil olur.

Son nöqtələrin adətən xarici trafikin korporativ şəbəkəyə daxil olmasına imkan verən davamlı İnternet bağlantısı olduğundan, bu, təcavüzkarlar üçün əsas hədəfdir.

Korporativ məlumatların təhlükəsizliyi şəbəkəsini qurarkən İnternetə çıxış nöqtələrində şəbəkənin kənarlarında firewall quraşdırılır. Bu qurğular VPN tunellərini dayandırarkən xarici təhlükələrin qarşısını almağa və bloklamağa imkan verir (bax. Şəkil 1).

Fig.1 Korporativ şəbəkənin təhlükəsizlik perimetri

Cisco Systems-in inteqrasiya olunmuş təhlükəsiz qoşulma həlləri dəsti məxfiliyinizi təmin edir. Şəbəkə bütün şirkət şəbəkələrində bütün son nöqtələri və giriş üsullarını araşdırır: LAN, WAN və simsiz mobil şəbəkə

Firewall və VPN xidmətlərinin tam əlçatanlığı təmin edilir. Firewall xüsusiyyətləri daxil olan və gedən trafik üçün statuslu tətbiq təbəqəsinin filtrlənməsini, istifadəçilər üçün təhlükəsiz çıxış girişini və İnternetdən daxil olmaq lazım olan serverlər üçün DMZ şəbəkəsini təmin edir.

Sistem inteqratoru IC "Telecom-Service" şəbəkədə tələb olunan cihazların sayını azaltmağa imkan verən Cisco Systems, Juniper Networks və Huawei Technologies şirkətlərinin çoxfunksiyalı təhlükəsizlik cihazları əsasında korporativ təhlükəsizlik şəbəkələrini qurur.

Cisco Systems, Juniper Networks və Huawei Technologies-dən hərtərəfli korporativ şəbəkə təhlükəsizliyi həlləri effektiv biznes üçün vacib olan bir sıra üstünlüklərə malikdir:

• proqram təminatı və texniki vasitələrin istismarı və saxlanması üçün İT büdcələrinin azaldılması
• şəbəkə elastikliyinin artırılması
• icra xərclərinin azaldılması
• ümumi mülkiyyət dəyərinin azalması
• vahid idarəetmə və təhlükəsizlik siyasətinin tətbiqi yolu ilə nəzarətin gücləndirilməsi
• mənfəətin artırılması və müəssisənin səmərəliliyinin yüksəldilməsi
• şəbəkə və saxlama sistemləri üçün təhlükəsizlik təhdidlərinin azaldılması
• şəbəkənin son qovşaqlarında effektiv təhlükəsizlik siyasəti və qaydalarının tətbiqi: fərdi kompüterlər, PDA-lar və serverlər
• yeni təhlükəsizlik həllərinin tətbiqi üçün vaxtın azaldılması
• effektiv şəbəkə müdaxiləsinin qarşısının alınması
• təhlükəsizlik və idarəetmə sahəsində digər tərtibatçıların proqram təminatı ilə inteqrasiya.
• tam miqyaslı şəbəkə girişinə nəzarət

Bütün şəbəkə səviyyələrində Cisco təhlükəsizlik məhsulları

Son nöqtə təhlükəsizliyi: Cisco Security Agent proqramı kompüterləri və serverləri qurd hücumlarından qoruyur.

Daxili firewalllar: PIX Security Appliance, Catalyst 6500 Firewall Services Module və firewall funksiya dəsti şəbəkəni daxili və perimetrdə qoruyur.

Şəbəkəyə müdaxilədən qorunma: 4200 Series IPS sensorlar, Catalyst 6500 IDS Services Modules (IDSM-2) və ya IOS IPS zərərli istenmeyen trafiki müəyyən edir, təhlil edir və bloklayır.

DDoS hücumlarının aşkarlanması və aradan qaldırılması: Cisco Traffic Anomaly Detector XT və Guard XT xidmətin dayandırılması hücumları zamanı normal işləməyi təmin edir. Cisco Traffic Anomaly Detector Services və Cisco Guard modulları Catalyst 6500 Series açarlarına və 7600 Series marşrutlaşdırıcılarına DDoS hücumlarına qarşı güclü müdafiə təmin edir.

Məzmun Təhlükəsizliyi: Cihaz modulu Access Router Content Engine modulu İnternetlə işləyən biznes proqramlarını qoruyur və veb məzmunun xətasız çatdırılmasını təmin edir.

Ağıllı şəbəkə və təhlükəsizlik idarəetmə xidmətləri: İstənməyən trafik və proqramlar Cisco marşrutlaşdırıcılarında və açarlarında tapılır və bloklanır.

İdarəetmə və monitorinq:

Məhsullar:

CiscoWorks VPN/Təhlükəsizlik İdarəetmə Həlli (VMS)

CiscoWorksSecurity Information Management System (SIMS) - təhlükəsizlik məlumatlarının idarə edilməsi sistemi

Quraşdırılmış cihaz menecerləri: Cisco Router və Təhlükəsizlik Qurğu Meneceri (SDM), PIX Cihaz Meneceri (PDM), Adaptiv Təhlükəsizlik Qurğu Meneceri (ASDM) təhlükəsizlik xidmətlərini və şəbəkə fəaliyyətini tez və səmərəli şəkildə izləyir, nəzarət edir.

Cisco-dan Network Admission Control (NAC) texnologiyası

Şəbəkəyə Qəbul Nəzarəti (NAC) Cisco Systems tərəfindən idarə olunan sənaye miqyaslı təşəbbüsə əsaslanan texnologiyalar və həllər toplusudur.

NAC şəbəkə resurslarına daxil olmaq istəyən bütün cihazlarda təhlükəsizlik siyasətlərini tətbiq etmək üçün şəbəkə infrastrukturundan istifadə edir. Bu, təhlükəsizlik təhdidlərindən şəbəkəyə mümkün zərəri azaldır.

Çoxfunksiyalı təhlükəsizlik cihazları SSL və IPsec VPN protokollarından istifadə edən işçilərə və partnyorlara korporativ VPN-ə təhlükəsiz uzaqdan girişi, IPS müdaxilələrinin qarşısını almaq və qarşısını almaq üçün daxili bloklama xidmətlərindən təmin edir.

Self-Defending Network - Cisco-dan özünü müdafiə edən şəbəkə strategiyası

Özünü Müdafiə Şəbəkəsi Cisco-nun inkişaf edən gələcək strategiyasıdır. Texnologiya hücumların aşkarlanması və qarşısının alınması, daxili və xarici şəbəkə təhdidlərinə uyğunlaşma yolu ilə müəssisənin biznes proseslərini qorumağa imkan verir.

Müəssisələr şəbəkə resurslarının intellektual imkanlarından daha səmərəli istifadə edə, biznes proseslərini optimallaşdıra və xərcləri azalda bilər.

Cisco Təhlükəsizlik İdarəetmə Paketi

Cisco Security Management Suite özünümüdafiə edən Cisco şəbəkəsi üçün miqyaslana bilən idarəetməni və təhlükəsizlik siyasətlərinin həyata keçirilməsini təmin etmək üçün nəzərdə tutulmuş məhsullar və texnologiyalar toplusudur.

İnteqrasiya edilmiş Cisco məhsulu əsas komponentlərdən istifadə etməklə təhlükəsizliyin idarə edilməsi tapşırıqlarını avtomatlaşdırmağa imkan verir: idarəetmə meneceri və Cisco Security MARS - monitorinq, təhlil və cavab sistemi.

Cisco Təhlükəsizlik İdarəetmə Meneceri Cisco təhlükəsizlik cihazlarında, firewalllarda, marşrutlaşdırıcılarda və açarlarda firewall, VPN və müdaxilədən qorunma sistemini (IPS) konfiqurasiya etmək üçün sadə interfeys təqdim edir.

Məlumatların ötürülməsi vasitələrinin bir şirkətə məxsus olduğu və yalnız bu şirkətin ehtiyacları üçün istifadə edilən informasiya sistemləri adətən müəssisə miqyaslı şəbəkə - korporativ kompüter şəbəkəsi (KN) adlanır. CS bu təşkilatın hesablama, rabitə və informasiya resurslarını özündə birləşdirən və hər hansı bir məlumat ola bilən elektron məlumatların ötürülməsi üçün nəzərdə tutulmuş təşkilatın daxili özəl şəbəkəsidir CS aparat və proqram təminatını, istifadəçilərin şəbəkə resurslarına çıxışını təmin etmək qaydalarını, şəbəkə idarəetmə qaydalarını, resurslardan istifadəyə nəzarəti və şəbəkənin gələcək inkişafını təsvir edən xüsusi siyasət müəyyən edilmişdir. Korporativ şəbəkə fərdi bir təşkilatın şəbəkəsidir.

Bir qədər oxşar tərif Olifer V.G.-nin işində verilmiş korporativ şəbəkə konsepsiyasına əsaslanaraq tərtib edilə bilər. və Olifer N.D. "Kompüter şəbəkələri: prinsiplər, texnologiyalar, protokollar": hər hansı bir təşkilat qarşılıqlı əlaqədə olan elementlərin (bölmələrin) məcmusudur, hər biri öz strukturuna malik ola bilər. Elementlər funksional olaraq bir-birinə bağlıdır, yəni. onlar vahid iş prosesi çərçivəsində müəyyən növ işləri yerinə yetirirlər, o cümlədən məlumat mübadiləsi, sənədlərin, faksların, yazılı və şifahi sifarişlərin və s. Bundan əlavə, bu elementlər xarici sistemlərlə qarşılıqlı əlaqədə olur və onların qarşılıqlı əlaqəsi həm də həm informasiya, həm də funksional ola bilər. Və bu vəziyyət, demək olar ki, bütün təşkilatlar üçün, hansı fəaliyyət növü ilə məşğul olmasından asılı olmayaraq - dövlət qurumu, bank, sənaye müəssisəsi, kommersiya firması və s.

Təşkilatın belə ümumi görünüşü bizə korporativ informasiya sistemlərinin qurulması üçün bəzi ümumi prinsipləri formalaşdırmağa imkan verir, yəni. bütün təşkilatda informasiya sistemləri.

Korporativ şəbəkə korporasiyanın sistemində istifadə olunan müxtəlif proqramlar arasında məlumat ötürülməsini təmin edən sistemdir. Korporativ şəbəkə TCP/IP protokolu üzərində işləyən və İnternet rabitə standartlarından, həmçinin şəbəkə istifadəçilərinə məlumatların çatdırılmasını təmin edən xidmət proqramlarından istifadə edən istənilən şəbəkədir. Məsələn, şirkət elanları, istehsal cədvəllərini və digər rəsmi sənədləri dərc etmək üçün Veb server yarada bilər. İşçilər lazımi sənədlərə İnternetdə baxış alətlərindən istifadə edərək daxil olurlar.

Korporativ şəbəkədəki veb-serverlər istifadəçilərə hipermətn səhifələri (tərkibində mətn, hiperlinklər, qrafiklər və audio olan) ilə işləmək, Veb-klientlərin sorğuları üçün lazımi resursları təmin etmək və verilənlər bazasına daxil olmaq kimi İnternet xidmətlərinə oxşar xidmətlər təqdim edə bilər. Bu təlimatda, harada istifadə olunmasından (İnternetdə və ya korporativ şəbəkədə) asılı olmayaraq, bütün nəşriyyat xidmətləri “İnternet xidmətləri” adlanır.

Korporativ şəbəkə, bir qayda olaraq, coğrafi olaraq paylanmışdır, yəni. bir-birindən xeyli məsafədə yerləşən idarələri, şöbələri və digər strukturları birləşdirən. Korporativ şəbəkənin qurulması prinsipləri yerli şəbəkə yaratarkən istifadə olunanlardan tamamilə fərqlidir. Bu məhdudiyyət əsasdır və korporativ şəbəkənin layihələndirilməsi zamanı ötürülən məlumatların həcmini minimuma endirmək üçün bütün tədbirlər görülməlidir. Əks halda, korporativ şəbəkə onun üzərindən ötürülən məlumatları hansı proqramlara və onların necə emal etməsinə məhdudiyyətlər qoymamalıdır. Belə bir şəbəkənin xarakterik xüsusiyyəti ondan ibarətdir ki, onun tərkibində müxtəlif istehsalçıların və nəsillərin avadanlığı, həmçinin ilkin olaraq verilənlərin birgə işlənməsinə yönəlməyən heterojen proqram təminatı var.

Uzaqdan olan istifadəçiləri korporativ şəbəkəyə qoşmaq üçün ən sadə və sərfəli variant telefon rabitəsindən istifadə etməkdir. ISDN şəbəkələri mümkün olduqda istifadə edilə bilər. Əksər hallarda şəbəkə qovşaqlarını birləşdirmək üçün qlobal məlumat şəbəkələrindən istifadə olunur. Hətta xüsusi xətlərin çəkilməsi mümkün olan yerlərdə (məsələn, eyni şəhər daxilində) paket kommutasiya texnologiyalarından istifadə zəruri rabitə kanallarının sayını azaltmağa və ən əsası sistemin mövcud qlobal şəbəkələrlə uyğunluğunu təmin etməyə imkan verir.

Müvafiq xidmətlərə çıxışa ehtiyacınız olduqda korporativ şəbəkənizi İnternetə qoşmaq əsaslandırılır. Bir çox əsərdə İnternetə qoşulma ilə bağlı bir fikir var: İnternetdən məlumat ötürmə vasitəsi kimi yalnız başqa üsullar mövcud olmadıqda və maliyyə mülahizələri etibarlılıq və təhlükəsizlik tələblərini üstələdikdə istifadə etməyə dəyər. İnternetdən yalnız məlumat mənbəyi kimi istifadə edəcəksinizsə, tələb-on-demand texnologiyasından istifadə etmək daha yaxşıdır, yəni. bu əlaqə üsulu, İnternet qovşağına qoşulma yalnız sizin təşəbbüsünüzlə və sizə lazım olan vaxt üçün qurulduqda. Bu, kənardan şəbəkənizə icazəsiz daxil olma riskini kəskin şəkildə azaldır.

Korporativ şəbəkə daxilində məlumat ötürmək üçün paket kommutasiya şəbəkələrinin virtual kanallarından da istifadə etməyə dəyər. Bu yanaşmanın əsas üstünlükləri çox yönlülük, çeviklik, təhlükəsizlikdir

İnformasiya şəbəkələrinin (İS) strukturunun və məlumatların emalı texnologiyasının öyrənilməsi nəticəsində İS informasiya təhlükəsizliyi konsepsiyası hazırlanır. Konsepsiya aşağıdakı əsas məqamları əks etdirir:

• 1) Təşkilatın şəbəkəsinin təşkili
• 2) informasiya təhlükəsizliyinə mövcud təhlükələr, onların həyata keçirilməsinin mümkünlüyü və bu həyata keçirilməsindən gözlənilən zərər;
• 3) İS-də məlumatın saxlanmasının təşkili;
• 4) informasiya emalının təşkili;
• 5) kadrların bu və ya digər məlumatlara çıxışının tənzimlənməsi;
• 6) təhlükəsizliyin təmin edilməsi üçün personalın məsuliyyəti.

Bu mövzunu inkişaf etdirərək, yuxarıda verilmiş İS informasiya təhlükəsizliyi konsepsiyasına əsaslanaraq, strukturu aşağıdakı şərtlərə cavab verməli olan təhlükəsizlik sxemi təklif olunur:

Korporativ şəbəkəyə icazəsiz daxil olmaqdan və rabitə kanalları vasitəsilə məlumat sızması ehtimalından qorunma.

Şəbəkə seqmentləri arasında informasiya axınlarının müəyyənləşdirilməsi.

Kritik şəbəkə resurslarının qorunması.

İnformasiya resurslarının kriptoqrafik mühafizəsi.

Yuxarıda göstərilən təhlükəsizlik şərtlərini ətraflı nəzərdən keçirmək üçün rəy vermək məqsədəuyğundur: icazəsiz nüfuzdan və məlumat sızmasından qorunmaq üçün firewall və ya firewalllardan istifadə etmək təklif olunur. Əslində, firewall şəbəkəni kənardan (məsələn, başqa şəbəkədən) icazəsiz girişdən qorumaq funksiyalarını yerinə yetirən bir şlüzdür.

Üç növ firewall var:

Tətbiq səviyyəli şlüz Tətbiq səviyyəli şlüz tez-tez proxy server adlanır - o, məhdud sayda istifadəçi proqramları üçün məlumat ötürülməsi rolunu oynayır. Yəni, şlüz müəyyən bir tətbiqi dəstəkləmirsə, müvafiq xidmət təmin edilmir və müvafiq tipli məlumatlar firewalldan keçə bilməz.

Filtrləmə marşrutlaşdırıcısı. Router filtri. Daha doğrusu, əlavə funksiyalarına paket filtrləmə marşrutlaşdırıcısı daxil olan bir marşrutlaşdırıcıdır. Datagram rejimində paket kommutasiyalı şəbəkələrdə istifadə olunur. Yəni, siqnal müstəvisinin (UI və UE arasında əlaqənin ilkin qurulması) olmadığı rabitə şəbəkələrində məlumat ötürmə texnologiyalarında (məsələn, IP V 4). Bu halda, daxil olan məlumat paketini şəbəkə üzərindən ötürmək qərarı onun daşıma səviyyəsinin başlıq sahələrinin dəyərlərinə əsaslanır. Buna görə də, bu tip firewalllar adətən nəqliyyat qatının başlıq sahələrinin dəyərlərinə tətbiq olunan qaydaların siyahısı kimi həyata keçirilir.

Qat şlüzünü dəyişdirin. Kommutasiya səviyyəsi şlüzü - mühafizə müəyyən birləşmələrə icazə vermək və ya qadağan etməklə idarəetmə müstəvisində (siqnal səviyyəsində) həyata keçirilir.

Korporativ şəbəkələrdə informasiya ehtiyatlarının kriptoqrafik mühafizəsinə xüsusi yer verilir. Şifrələmə məlumatları icazəsiz girişdən qorumaq üçün ən etibarlı yollardan biri olduğundan. Kriptoqrafik vasitələrin istifadəsinin xüsusi bir xüsusiyyəti ciddi qanunvericilik tənzimləməsidir. Hal-hazırda, korporativ şəbəkələrdə onlar yalnız çox yüksək dərəcədə vacib məlumatların saxlandığı iş stansiyalarında quraşdırılır.

Beləliklə, korporativ şəbəkələrdə informasiya ehtiyatlarının kriptoqrafik mühafizə vasitələrinin təsnifatına görə onlar aşağıdakılara bölünür:

Tək açarlı kriptosistemlər çox vaxt ənənəvi, simmetrik və ya tək açarlı kriptosistemlər adlanır. İstifadəçi elementləri sonlu əlifbanın simvolları olan açıq mesaj yaradır. Açıq mesajı şifrələmək üçün şifrələmə açarı yaradılır. Şifrələnmiş mesaj şifrələmə alqoritmi ilə yaradılır

Yuxarıdakı model şifrələmə açarının mesajın özü ilə eyni yerdə yaradılmasını təmin edir. Bununla belə, açar yaratmaq üçün başqa bir həll mümkündür - şifrələmə açarı hər iki istifadəçinin etibar etdiyi üçüncü tərəf (açar paylama mərkəzi) tərəfindən yaradılır. Bu halda, üçüncü tərəf açarın hər iki istifadəçiyə çatdırılmasına cavabdehdir. Ümumiyyətlə, bu həll kriptoqrafiyanın mahiyyətinə ziddir - ötürülən istifadəçi məlumatlarının məxfiliyini təmin edir.

Tək açarlı kriptosistemlər əvəzetmə (əvəz etmə), permutasiya (transpozisiya) və kompozisiya prinsiplərindən istifadə edir. Əvəzetmə açıq mesajdakı fərdi simvolları digər simvollarla əvəz edir. Permutasiya prinsipindən istifadə edərək şifrələmə aydın mesajdakı simvolların sırasının dəyişdirilməsini nəzərdə tutur. Şifrələmənin etibarlılığını artırmaq üçün müəyyən bir şifrə istifadə edərək alınan şifrəli mesaj başqa bir şifrə istifadə edərək yenidən şifrələnə bilər. Deyirlər ki, bu halda kompozisiya yanaşmasından istifadə olunub. Buna görə də simmetrik (bir açarlı) kriptosistemləri əvəzetmə, dəyişdirmə və kompozisiya şifrələrindən istifadə edən sistemlərə təsnif etmək olar.

Açıq açar kriptosistemi. Bu, yalnız istifadəçilər şifrələmə və şifrəni açarkən müxtəlif KO və KZ açarlarından istifadə etdikdə baş verir. Bu kriptosistem asimmetrik, iki açarlı və ya açıq açar adlanır.

Mesajın alıcısı (istifadəçi 2) əlaqəli açar cütünü yaradır:

KO ictimaiyyətə açıq olan və beləliklə, mesajı göndərən (istifadəçi 1) üçün açıq olan açıq açardır;

KS yalnız mesajı alan şəxsə (istifadəçi 1) məlum olan gizli, şəxsi açardır.

KO şifrələmə açarına malik olan istifadəçi 1 şifrəli mətn yaratmaq üçün müəyyən şifrələmə alqoritmindən istifadə edir.

Kс məxfi açarına sahib olan 2-ci istifadəçi əks hərəkəti yerinə yetirmək imkanına malikdir.

Bu halda 1-ci istifadəçi 2-ci istifadəçiyə mesaj hazırlayır və göndərməzdən əvvəl KS gizli açarından istifadə edərək bu mesajı şifrələyir. İstifadəçi 2 açıq KO açarından istifadə edərək bu mesajı deşifrə edə bilər. Mesaj göndərənin şəxsi açarı ilə şifrələndiyi üçün o, rəqəmsal imza kimi çıxış edə bilər. Bundan əlavə, bu halda 1-ci istifadəçinin şəxsi açarına daxil olmadan mesajı dəyişmək mümkün deyil, ona görə də mesaj həm də göndəricinin müəyyən edilməsi və məlumatların bütövlüyü problemini həll edir.

Sonda onu da deyim ki, kriptoqrafik təhlükəsizlik tədbirləri qurmaqla bu qurumun mövcudluğu üçün xüsusi əhəmiyyət kəsb edən informasiya ilə birbaşa işləyən təşkilat əməkdaşının iş yerini icazəsiz girişdən etibarlı şəkildə qorumaq mümkündür.

Operatorların identifikasiyası/identifikasiyası (İA) OS yükləmə mərhələsindən əvvəl aparatda həyata keçirilməlidir. IA verilənlər bazaları informasiya təhlükəsizliyi sistemlərinin (IPS) qeyri-sabit yaddaşında saxlanılmalıdır ki, ona fərdi kompüter vasitəsilə daxil olmaq mümkün olmasın, yəni. Qeyri-uçucu yaddaş PC ünvan məkanından kənarda yerləşdirilməlidir.

Uzaqdan olan istifadəçilərin identifikasiyası/identifikasiyası, əvvəlki halda olduğu kimi, aparat təminatının həyata keçirilməsini tələb edir. Doğrulama müxtəlif yollarla, o cümlədən elektron rəqəmsal imza (EDS) mümkündür. “Gücləndirilmiş autentifikasiya” tələbi məcburi olur, yəni. əməliyyat zamanı proseduru kifayət qədər kiçik vaxt intervallarında vaxtaşırı təkrarlamaq, belə ki, qorunma aradan qaldırılsa, təcavüzkar əhəmiyyətli zərər verə bilməz.

2. Texniki avadanlıqların icazəsiz girişdən qorunması

Kompüterləri icazəsiz girişdən qoruyan vasitələr elektron kilidlərə (EL) və hardware etibarlı yükləmə modullarına (THM) bölünə bilər. Onların əsas fərqi bütövlük nəzarətinin həyata keçirilmə üsuludur. Elektron qıfıllar aparatda istifadəçi I/A prosedurlarını yerinə yetirir və bütövlüyə nəzarət prosedurlarını yerinə yetirmək üçün xarici proqram təminatından istifadə edir. ASMD aparatda həm elektron təhlükəsizlik funksiyalarını, həm də bütövlüyün monitorinqi funksiyalarını və idarəetmə funksiyalarını həyata keçirir.

PC və LAN-ların texniki tərkibinin bütövlüyünün monitorinqi. PC-nin texniki tərkibinin bütövlüyünün monitorinqi ƏS-ni yükləməzdən əvvəl SZI nəzarətçisi tərəfindən aparılmalıdır. Bu, CPU, sistem BIOS, disketlər, sabit disklər və CD-ROMlar da daxil olmaqla (potensial olaraq) paylaşıla bilən bütün resurslara nəzarət etməlidir.

LAN-ın texniki tərkibinin bütövlüyü gücləndirilmiş şəbəkə autentifikasiyası proseduru ilə təmin edilməlidir. Prosedur təsdiqlənmiş fərdi kompüterlərin şəbəkəyə qoşulması mərhələsində və sonra təhlükəsizlik inzibatçısı tərəfindən əvvəlcədən müəyyən edilmiş vaxt intervallarında həyata keçirilməlidir.

ƏS-nin bütövlüyünün monitorinqi, yəni. real məlumatların oxunmasını təmin etmək üçün sistem sahələrinin və ƏS fayllarının bütövlüyünün monitorinqi ƏS-ni yükləməzdən əvvəl nəzarətçi tərəfindən həyata keçirilməlidir. Elektron sənəd idarəetməsində müxtəlif əməliyyat sistemləri istifadə oluna bildiyi üçün nəzarətçiyə daxil edilmiş proqram təminatı ən populyar fayl sistemlərinə dəstək verməlidir.

Tətbiqi proqram təminatının (ASW) və məlumatların bütövlüyünün monitorinqi informasiya təhlükəsizliyi sisteminin həm aparat, həm də proqram komponentləri tərəfindən yerinə yetirilə bilər.

3. Sənədlərə, PC və şəbəkə resurslarına girişin məhdudlaşdırılması

Müasir əməliyyat sistemləri getdikcə daha çox daxilə nəzarət alətlərini ehtiva edir. Tipik olaraq, bu alətlər xüsusi fayl sisteminin (FS) xüsusiyyətlərindən istifadə edir və əməliyyat sisteminin API qatlarından biri ilə əlaqəli atributlara əsaslanır. Bu halda aşağıdakı iki problem qaçılmaz olaraq ortaya çıxır.

Fayl sisteminin xüsusiyyətlərinə bağlanma. Müasir əməliyyat sistemləri, bir qayda olaraq, bir deyil, bir neçə fayl sistemindən istifadə edir - həm yeni, həm də köhnəlmiş. Adətən, yeni FS-də OS-də quraşdırılmış giriş nəzarəti işləyir, lakin köhnə FS-də işləməyə bilər, çünki yeni FS-də əhəmiyyətli fərqlərdən istifadə edir.

Bu hal adətən sertifikatda birbaşa göstərilmir ki, bu da istifadəçini çaşdıra bilər. Uyğunluğu təmin etmək məqsədi ilə köhnə fayl sistemləri bu halda yeni OS-yə daxil edilir.

Əməliyyat sistemi API ilə əlaqə. Bir qayda olaraq, əməliyyat sistemləri indi çox tez dəyişir - ildə bir dəfə. Onların daha tez-tez dəyişməsi mümkündür. Girişə nəzarət atributları API-nin tərkibini əks etdirirsə, ƏS-nin müasir versiyasına keçidlə təhlükəsizlik sisteminin parametrlərini yenidən düzəltmək, heyəti yenidən hazırlamaq və s.

Beləliklə, biz ümumi bir tələbi formalaşdıra bilərik - girişə nəzarət alt sistemi əməliyyat sisteminin üzərinə qoyulmalı və bununla da fayl sistemindən müstəqil olmalıdır. Əlbəttə ki, atributların tərkibi təhlükəsizlik siyasətini təsvir etmək məqsədi ilə kifayət qədər olmalıdır və təsvir ƏS API baxımından deyil, sistem təhlükəsizliyi administratorlarının işləməyə öyrəşdiyi baxımından aparılmalıdır.

4.Elektron sənədlərin mühafizəsi

Elektron məlumat mübadiləsinin qorunması iki vəzifə sinfini əhatə edir:

Sənədin həyat dövrü ərzində ilkin elektron sənəd standartına ekvivalentliyinin təmin edilməsi;

Tətbiq olunan elektron texnologiyaların istinad texnologiyaları ilə ekvivalentliyinin təmin edilməsi.

İstənilən mühafizənin məqsədi həyat dövrünün bütün nöqtələrində qorunan obyektin göstərilən xassələrinin sabitliyini təmin etməkdir. Obyektin təhlükəsizliyi standartı (məkanın və zamanın ilkin nöqtəsindəki obyekt) və nəticəni (müşahidə anındakı obyekt) müqayisə etməklə həyata keçirilir. Məsələn, əgər müşahidə nöqtəsində (elektron sənədin qəbulu) standart haqqında çox məhdud kontekstual məlumat (əsl elektron sənədin məzmunu) varsa, lakin nəticə (müşahidə edilmiş sənəd) haqqında tam məlumat varsa, onda bu o deməkdir ki, elektron sənədə texniki və texnoloji tələblərə uyğunluğu təsdiq edən atributlar, yəni sənədin istehsalı və daşınmasının bütün mərhələlərində mesajın dəyişməzliyi olmalıdır. Atribut seçimlərindən biri təhlükəsizlik identifikasiyası kodları (SCA) ola bilər.

Sənədin yaradılması zamanı onun qorunması. Sənəd yaratarkən təhlükəsizlik identifikasiyası kodu hardware tərəfindən yaradılmalıdır. ZKA-nın hazırlanmasından əvvəl elektron sənədin surətinin xarici daşıyıcılarda qeyd edilməsi istisna edilməlidir. Elektron sənəd operator tərəfindən yaradılıbsa, ZKA operatorla əlaqələndirilməlidir. Əgər EL AS proqram təminatı komponenti tərəfindən yaradılıbsa, ZKA bu proqram komponenti ilə əlaqədar yaradılmalıdır.

Sənədin ötürülməsi zamanı qorunması. Xarici (açıq) rabitə kanalları ilə ötürülən sənədin mühafizəsi sertifikatlaşdırılmış kriptoqrafik vasitələrin, o cümlədən hər bir ötürülən sənəd üçün elektron rəqəmsal imzanın (EDS) istifadəsi əsasında həyata keçirilməlidir. Başqa bir seçim də mümkündür - sənədlər yığını elektron rəqəmsal imzadan istifadə edərək imzalanır və hər bir fərdi sənəd əlyazma imzasının (HSA) başqa bir analoqu, məsələn, ZKA ilə təsdiqlənir.

Sənədin işlənməsi, saxlanması və icrası zamanı mühafizəsi. Bu mərhələlərdə sənədlərin qorunması iki təhlükəsizlik nəzarətindən istifadə etməklə həyata keçirilir - hər bir mərhələ üçün giriş və çıxış. Bu halda, ZKA emal proseduru (informasiya texnologiyası mərhələsi) ilə əlaqəli ZKA ilə aparatda yaradılmalıdır. Qəbul edilmiş sənəd üçün (ZKA və rəqəmsal imza ilə) ikinci bir ZKA yaradılır və yalnız bundan sonra rəqəmsal imza çıxarılır.

Xarici mühitdən daxil olduqda sənədin qorunması. Xarici mühitdən sənədə daxil olarkən mühafizəyə artıq təsvir edilmiş iki mexanizm daxildir - uzaq istifadəçilərin identifikasiyası/identifikasiyası və sənədlərə, PC resurslarına və şəbəkəyə girişin məhdudlaşdırılması.

5. Rabitə kanallarında məlumatların qorunması

Ənənəvi olaraq, rabitə kanalında məlumatların qorunması üçün kanal şifrələyicilərindən istifadə olunur və yalnız məlumat deyil, həm də nəzarət siqnalları ötürülür.

6. İnformasiya texnologiyalarının qorunması

Müəyyən oxşarlıqlara baxmayaraq, elektron məlumatın özünü obyekt (nömrə, verilənlər) və rəqəmsal məlumatların proses (funksiya, hesablama mühiti) kimi mühafizə mexanizmləri kökündən fərqlidir. İnformasiya texnologiyalarını qoruyarkən, elektron məlumatların qorunmasından fərqli olaraq, tələb olunan standart texnologiyanın xüsusiyyətləri etibarlı şəkildə məlumdur, lakin bu tələblərin faktiki istifadə olunan texnologiya tərəfindən yerinə yetirilməsi haqqında məhdud məlumat var, yəni. nəticə. Faktiki texnologiya haqqında məlumat daşıya bilən yeganə obyekt (əməliyyatlar ardıcıllığı kimi) ED-nin özü, daha doğrusu, ona daxil olan atributlardır. Əvvəlki kimi, bu atributların növlərindən biri ZKA ola bilər. Texnologiyaların ekvivalentliyi daha dəqiq müəyyən edilə bilər, PCA vasitəsilə mesajla əlaqəli funksional əməliyyatların sayı bir o qədər çox olar. Mexanizmlər elektron məlumatları qorumaq üçün istifadə olunanlardan fərqlənmir. Üstəlik, güman edə bilərik ki, konkret ZKA-nın olması texnoloji prosesdə müvafiq əməliyyatın mövcudluğunu, ZKA-nın dəyəri isə texnoloji prosesin müəyyən mərhələsində mesajın bütövlüyünü xarakterizə edir.

7. Məlumat axınlarına giriş nəzarəti

Məlumat axınlarına girişi məhdudlaşdırmaq üçün adətən kriptoqrafik təhlükəsizlik tədbirlərindən istifadə edən marşrutlaşdırıcılardan istifadə olunur. Belə hallarda açar sisteminə və açarın saxlanmasının etibarlılığına xüsusi diqqət yetirilir. Axınları məhdudlaşdırmaq üçün giriş tələbləri fayl və qovluqlara girişin məhdudlaşdırılması tələblərindən fərqlidir. Burada yalnız ən sadə mexanizm mümkündür - girişə icazə verilir və ya rədd edilir.

Sadalanan tələblərin yerinə yetirilməsi informasiya sistemlərində emal edilən mesajların ən mühüm növü kimi elektron sənədlərin təhlükəsizliyinin kifayət qədər səviyyəsini təmin edir.

Məlumatın mühafizəsinin texniki vasitəsi kimi hal-hazırda təhlükəsizlik mexanizmi ilə autentifikasiya olunmuş istifadəçi üçün növündən asılı olmayaraq ƏS-nin yüklənməsini təmin edən hardware etibarlı yükləmə modulu (TLM) hazırlanmışdır. NSD "Accord" məlumat mühafizə sisteminin inkişafının nəticələri (OKB SAPR tərəfindən hazırlanmışdır) kütləvi istehsal olunur və bu gün Rusiyada kompüterləri icazəsiz girişdən qorumaq üçün ən məşhur vasitədir. İnkişaf zamanı müxtəlif səviyyələrdə autentifikasiya kodlarından (AC) istifadə edən elektron sənəd dövriyyəsində informasiya təhlükəsizliyi üçün aparat ailəsində əks olunan tətbiq sahəsinin xüsusiyyətlərindən istifadə edilmişdir. Aparatdan istifadə nümunələrinə baxaq.

1. Nəzarət-kassa aparatlarında (MKM) elektron sənədlərin növlərindən biri kimi çeklərin autentifikasiyası vasitəsi kimi CA-lardan istifadə olunur. Hər bir kassa aparatı satış nəticələri haqqında məlumatların toplanması funksiyalarına əlavə olaraq bir sıra funksiyaları yerinə yetirən intellektual fiskal yaddaş (FP) qurğusu ilə təchiz olunmalıdır:

Kassa aparatlarının proqram təminatının və məlumatların icazəsiz girişdən qorunmasını təmin edir;

Həm kassa aparatı, həm də hər bir çek üçün autentifikasiya kodlarını yaradır;

Vergi müfəttişi modulu ilə qarşılıqlı əlaqə üçün standart interfeysi dəstəkləyir;

Balans hesabatı ilə eyni vaxtda vergi orqanına təqdim edilmək üçün fiskal məlumatların toplanmasını təmin edir.

Hazırlanmış FP bloku “Accord-FP” Accord informasiya təhlükəsizliyi sistemi əsasında hazırlanmışdır. Aşağıdakı xüsusiyyətlərlə xarakterizə olunur:

NSD-nin informasiya təhlükəsizliyi sisteminin funksiyaları FP-nin funksiyaları ilə inteqrasiya olunur;

FP blokuna həmçinin uçucu olmayan PFC registrləri daxildir;

Vergi müfəttişi modulunun prosedurları da Accord-FP blokunun tərkib hissəsi kimi inteqrasiya olunub.

2. Federal və ya regional səviyyədə avtomatlaşdırılmış sistemdə elektron sənədlərin (SKTSPD) bütövlüyünün monitorinqi və etibarlılığının təsdiqlənməsi sistemində əsas fərq hər bir fərdi sənədi qorumaq qabiliyyətidir. Bu sistem trafiki əhəmiyyətli dərəcədə artırmadan nəzarət etməyə imkan verdi. Belə bir sistemin yaradılması üçün əsas Accord-S B/KA nəzarətçisi idi - autentifikasiya kodlarının yaradılması/yoxlanması funksiyalarını həyata keçirən yüksək performanslı təhlükəsizlik koprosessoru.

Regional İnformasiya və Hesablama Mərkəzi (RICC) bütövlükdə SKTsPD-nin fəaliyyətinin idarə edilməsini təmin edir, kosmik gəminin bütün avtomatlaşdırılmış iş stansiyaları ilə - iştirakçı operatorların "Accord-SB/KA" proqram və aparat kompleksləri ilə təchiz olunmuş avtomatlaşdırılmış iş stansiyaları ilə qarşılıqlı əlaqə yaradır. A-SB/KA) və proqram təminatı SKTSPD. RIVC-yə iki avtomatlaşdırılmış iş stansiyası daxil edilməlidir - açarların hazırlanması üçün AWP-K, yoxlama məlumatlarının yayılması üçün AWP-R.

3. Elektron məlumatların texnoloji informasiya mühafizəsinin alt sistemlərində autentifikasiya kodlarının tətbiqi. Aparat məlumat təhlükəsizliyinin həyata keçirilməsi üçün əsas "Accord SB" və "Accord AMDZ" ola bilər (icazəsiz girişdən qorunma vasitələri baxımından). Doğrulama kodları texnologiyaları qorumaq üçün istifadə olunur. Texnoloji informasiya təhlükəsizliyi altsistemində elektron sənədlərin autentifikasiya kodları ACA-da quraşdırılmış Accord-SB soprosessorlarının daxili yaddaşında saxlanılan əsas cədvəllərdən (etibarlılıq cədvəllərindən) istifadə etməklə autentifikasiya kodu serverlərində (ACA) yaradılır və yoxlanılır. Çatdırılma açarları ilə bağlanmış etibarlılıq cədvəlləri SKA-ya çatdırılır və onların açıldığı koprosessorların daxili yaddaşına yüklənir. Çatdırılma açarları ARM-K ixtisaslaşdırılmış avtomatlaşdırılmış iş stansiyasında yaradılır və qeydiyyata alınır və onların fərdiləşdirilməsi prosesinin ilkin mərhələsində köməkçi prosessorlara yüklənir.

Rusiyada və qonşu ölkələrdə müxtəlif təşkilatların kompüter sistemlərində 100.000-dən çox Akkord tipli aparat təhlükəsizlik modullarının genişmiqyaslı praktiki tətbiqi təcrübəsi göstərir ki, proqram təminatı və aparat həllinə diqqət düzgün seçilib, çünki onun gələcək inkişafı üçün böyük imkanları var. inkişaf və təkmilləşdirmə.

nəticələr

İnformasiya təhlükəsizliyi ilə bağlı problemlərin düzgün qiymətləndirilməməsi böyük ziyana səbəb ola bilər.

Kompüter cinayətlərinin artması bizi informasiya təhlükəsizliyinə diqqət yetirməyə məcbur edir.

Rusiya praktikasında eyni tipli kütləvi proqram və texniki vasitələrin istifadəsi (məsələn, IBM-ə uyğun fərdi kompüterlər; əməliyyat sistemləri - Window, Unix, MS DOS, Netware və s.) müəyyən dərəcədə təcavüzkarlar üçün şərait yaradır.

İnformasiya təhlükəsizliyi sisteminin qurulması strategiyası hərtərəfli həllərə, informasiya texnologiyaları və təhlükəsizlik sistemlərinin inteqrasiyasına, qabaqcıl texnika və alətlərdən istifadəyə, universal sənaye tipli informasiya təhlükəsizliyi texnologiyalarına əsaslanmalıdır.

Özünə nəzarət üçün suallar

1. İnformasiyaya təhlükənin növlərini adlandırın, təhlükənin tərifini verin.

2. İnformasiyanın qorunmasının hansı üsulları mövcuddur?

3. Giriş nəzarətini informasiyanın mühafizəsi üsulu kimi təsvir edin. Onun rolu və əhəmiyyəti nədir?

4. İnformasiyanın mühafizəsi üçün kriptoqrafik üsulların məqsədi nədir? Onları sadalayın.

5. Autentifikasiya və rəqəmsal imza anlayışını verin. Onların mahiyyəti nədir?

6. Şəbəkələrdə informasiya təhlükəsizliyi problemləri və onların həlli imkanlarını müzakirə edin.

7. Sistemli yanaşmadan, inteqrasiya olunmuş həllərdən və informasiya texnologiyalarında inteqrasiya prinsipindən istifadə etməklə informasiyanın mühafizəsi strategiyasının xüsusiyyətlərini üzə çıxarmaq.

8. İnformasiya təhlükəsizliyi sistemlərinin yaradılması mərhələlərini sadalayın.

9. Elektron sənəd dövriyyəsi texnologiyalarının texniki mühafizəsini həyata keçirmək üçün hansı tədbirlər lazımdır?

10. Multiplikativ yanaşmanın mahiyyəti nədir?

11. Elektron sənəd dövriyyəsi sistemini qorumaq üçün hansı prosedurlara əməl edilməlidir?

12. Firewall hansı funksiyaları yerinə yetirir?

Ch üçün testlər. 5

Çatışmayan anlayışları və ifadələri doldurun.

1. İnformasiyanın icazəsiz istifadəsinə, pozulmasına və ya məhvinə səbəb ola biləcək hadisələr və ya hərəkətlər...

2. İnformasiya təhlükəsizliyinə təhdidlər arasında iki növü ayırd etmək lazımdır: ...

3. İnformasiya təhlükəsizliyinə qarşı təhdidlərə qarşı mübarizənin sadalanan növləri: maneə, girişə nəzarət, şifrələmə, tənzimləmə, məcburetmə və təhrik... informasiya təhlükəsizliyinin təmin edilməsinə aiddir.

4. Təhlükəsizlik təhdidlərinə qarşı mübarizənin aşağıdakı üsulları: fiziki, texniki, proqram təminatı, təşkilati, qanunvericilik, mənəvi və etik, fiziki... informasiya təhlükəsizliyinin təmin edilməsinə aiddir.

5. İnformasiyanın mühafizəsinin kriptoqrafik üsulları onun...

6. Uyğunluğunu təsdiqləmək üçün istifadəçiyə unikal təyinat təyin etmək adlanır...

7. Uyğunluğunu yoxlamaq üçün istifadəçinin autentifikasiyası adlanır...

8. Korporativ şəbəkələr üçün ən böyük təhlükə aşağıdakılarla bağlıdır:

a) informasiya resurslarının və texnologiyalarının heterojenliyi ilə;

b) proqram təminatı və texniki vasitələrlə;

c) avadanlıqların nasazlığı ilə. Düzgün cavabları seçin.

9. Korporativ şəbəkələrdə informasiya təhlükəsizliyinin rasional səviyyəsi ilk növbədə aşağıdakı mülahizələrə əsasən seçilir:

a) mühafizə üsullarının spesifikasiyası;

b) iqtisadi məqsədəuyğunluq;

c) müdafiə strategiyaları.

10. Kompüterin yaddaşında daimi yerləşmiş və maqnit disklərində məlumatın dəyişdirilməsi ilə bağlı əməliyyatları idarə edən rezident proqram adlanır:

a) detektor;

c) gözətçi;

d) auditor.

11. Antivirus məhsulları nəzərdə tutulub:

a) sistemi sınaqdan keçirmək;

b) proqramı viruslardan qorumaq;

c) proqramları virusların mövcudluğu və onların müalicəsi üçün yoxlamaq;

d) sistemə nəzarət etmək.

Şəbəkə texnologiyalarının inkişafının ilkin mərhələsində dünya iqtisadiyyatının informasiya texnologiyalarından asılılığı az olduğundan virus və digər növ kompüter hücumlarının vurduğu zərər az idi. Hal-hazırda, biznesin elektron giriş və məlumat mübadiləsi vasitələrindən əhəmiyyətli dərəcədə asılılığı və hücumların sayının getdikcə artması kontekstində kompüter vaxtının itkisinə səbəb olan ən kiçik hücumlardan gələn zərər milyonlarla dollarla qiymətləndirilir və qlobal iqtisadiyyata dəyən ümumi illik zərər on milyardlarla dollar təşkil edir.

Korporativ şəbəkələrdə emal olunan məlumatlar xüsusilə həssasdır, buna aşağıdakılar kömək edir:

• kompüterlərdə emal edilən, ötürülən və saxlanılan informasiyanın həcminin artırılması;
• verilənlər bazalarında müxtəlif səviyyəli əhəmiyyətli və məxfi məlumatların cəmlənməsi;
• istifadəçilər dairəsinin verilənlər bazalarında saxlanılan məlumatlara və kompüter şəbəkəsi resurslarına çıxışının genişləndirilməsi;
• uzaq iş yerlərinin sayının artırılması;
• qlobal internetdən və müxtəlif rabitə kanallarından geniş istifadə;
• istifadəçi kompüterləri arasında məlumat mübadiləsinin avtomatlaşdırılması.

Müasir simli korporativ şəbəkələrin məruz qaldığı ən çox yayılmış təhlükələrin təhlili göstərir ki, təhlükə mənbələri təcavüzkarlar tərəfindən icazəsiz müdaxilələrdən tutmuş kompüter viruslarına qədər müxtəlif ola bilər, halbuki insan səhvi çox əhəmiyyətli təhlükəsizlik təhdididir. Nəzərə almaq lazımdır ki, təhlükəsizlik təhdidlərinin mənbələri həm MDB daxilində - daxili mənbələrdə, həm də ondan kənarda - xarici mənbələrdə yerləşə bilər. Bu bölgü tamamilə haqlıdır, çünki eyni təhlükə (məsələn, oğurluq) üçün xarici və daxili mənbələr üçün əks tədbirlər fərqlidir. Ən effektiv təhlükəsizlik tədbirlərini seçmək üçün mümkün təhlükələr, eləcə də MDB-nin zəiflikləri haqqında biliklər lazımdır.

Ən tez-tez və təhlükəli (zərər miqdarı baxımından) MDB-yə xidmət göstərən istifadəçilərin, operatorların və sistem administratorlarının qəsdən səhvləridir. Bəzən belə xətalar birbaşa zədələnməyə səbəb olur (səhv daxil edilmiş məlumatlar, sistemin dayanmasına və ya çökməsinə səbəb olan proqramdakı xəta), bəzən isə təcavüzkarlar tərəfindən istifadə edilə bilən zəifliklər yaradır (bunlar adətən inzibati xətalardır).

ABŞ Milli Standartlar və Texnologiya İnstitutunun (NIST) məlumatına görə, ƏM təhlükəsizliyi pozuntularının 55%-i qəsdən səhvlərin nəticəsidir. Qlobal informasiya sistemində işləmək bu amili olduqca aktual edir və zərər mənbəyi həm təşkilatın istifadəçilərinin, həm də qlobal şəbəkə istifadəçilərinin hərəkətləri ola bilər ki, bu da xüsusilə təhlükəlidir. Şəkildə. Şəkil 2.4-də MDB-də təhlükəsizlik pozuntularının mənbələri üzrə statistik məlumatları əks etdirən dairəvi diaqram göstərilir.

Zərərlərə görə oğurluq və saxtakarlıq ikinci yerdədir. Araşdırılan işlərin əksəriyyətində təqsirkarların iş rejiminə və mühafizə tədbirlərinə yaxşı bələd olan təşkilatların ştatlı işçiləri olduğu üzə çıxıb. Qlobal şəbəkələrlə rabitənin güclü informasiya kanalının olması onun fəaliyyətinə lazımi nəzarətin olmaması bu cür fəaliyyətləri daha da asanlaşdıra bilər.

vicdansız

Kənardan hücumlar

İncik

İstifadəçi və kadr səhvləri

4% viruslar

düyü. 2.4. Təhlükəsizlik pozuntularının mənbələri

işçilər

Problemlər

fiziki

təhlükəsizlik

İncimiş işçilər, hətta keçmiş işçilər də təşkilatdakı prosedurlarla tanışdırlar və çox təsirli şəkildə zərər verə bilirlər. Odur ki, işçi işdən çıxarıldıqda onun informasiya resurslarına giriş hüququ ləğv edilməlidir.

Xarici rabitə vasitəsilə icazəsiz giriş əldə etmək üçün qəsdən cəhdlər bütün mümkün pozuntuların təxminən 10%-ni təşkil edir. Bu rəqəm əhəmiyyətli görünməsə də, İnternet təcrübəsi göstərir ki, demək olar ki, hər bir İnternet serveri gündə bir neçə dəfə müdaxilə cəhdlərinə məruz qalır. İnformasiya Sistemlərinin Mühafizəsi Agentliyinin (ABŞ) testləri göstərdi ki, kompüterlərin 88%-nin icazəsiz giriş əldə etmək üçün fəal şəkildə istifadə oluna bilən informasiya təhlükəsizliyi baxımından zəif cəhətləri var. Ayrı-ayrılıqda, təşkilatın informasiya strukturlarına uzaqdan giriş halları nəzərdən keçirilməlidir.

Təhlükəsizlik siyasətini qurmazdan əvvəl təşkilatın kompüter mühitinin məruz qaldığı riskləri qiymətləndirmək və müvafiq tədbirlər görmək lazımdır. Aydındır ki, təşkilatın təhlükəsizlik təhdidlərinin monitorinqi və qarşısının alınması üçün xərcləri gözlənilən itkilərdən çox olmamalıdır.

Təqdim olunan statistik məlumatlar təşkilatın rəhbərliyinə və işçilərinə korporativ şəbəkə və sistem üçün təhlükəsizlik təhdidlərinin effektiv şəkildə azaldılması üçün səylərin hara yönəldilməli olduğunu söyləyə bilər. Əlbəttə ki, fiziki təhlükəsizlik məsələlərini həll etmək və insan səhvlərinin təhlükəsizliyinə mənfi təsirləri azaltmaq üçün tədbirlər görmək lazımdır, lakin eyni zamanda, korporativ hücumların qarşısını almaq üçün şəbəkə təhlükəsizliyi problemlərinin həllinə ən ciddi diqqət yetirmək lazımdır. şəbəkə və sistem həm xaricdən, həm də sistem daxilindən.

Bu, Intel korporasiyasının sifarişi ilə iri və orta Avropa şirkətlərinin 1000-dən çox İT departamentinin rəhbərləri arasında keçirilən sorğunun verdiyi nəticədir. Sorğunun məqsədi sənaye mütəxəssislərini ən çox narahat edən problemi müəyyən etmək olub. Cavab olduqca gözlənilən idi. Respondentlərin yarıdan çoxu dərhal həllini tələb edən şəbəkə təhlükəsizliyi problemini adlandırdı. Digər sorğu nəticələri də olduqca gözlənilir. Məsələn, şəbəkə təhlükəsizliyi faktoru informasiya texnologiyaları sahəsində digər problemlər arasında liderlik edir; onun əhəmiyyəti beş il əvvəlki vəziyyətlə müqayisədə 15% artıb.
Sorğunun nəticələrinə görə, yüksək ixtisaslı İT mütəxəssisləri vaxtlarının 30%-dən çoxunu təhlükəsizlik məsələlərinin həllinə sərf edirlər. İri şirkətlərdə (500-dən çox işçisi olan) vəziyyət daha qorxuludur - respondentlərin təxminən dörddə biri vaxtının yarısını bu məsələlərin həllinə sərf edir.

Təhdidlər və qorunma balansı

Təəssüf ki, şəbəkə təhlükəsizliyi məsələsi müasir telekommunikasiyada istifadə olunan fundamental texnologiyalarla ayrılmaz şəkildə bağlıdır. Elə oldu ki, IP protokolları ailəsini hazırlayarkən bütövlükdə şəbəkənin etibarlılığına üstünlük verildi. Bu protokolların ortaya çıxması zamanı şəbəkə təhlükəsizliyi tamamilə fərqli üsullarla təmin edilirdi ki, bunlardan Qlobal Şəbəkə kontekstində istifadə etmək sadəcə olaraq qeyri-real idi. Tərtibatçıların uzaqgörənliyindən yüksək səslə şikayət edə bilərsiniz, lakin vəziyyəti kökündən dəyişdirmək demək olar ki, mümkün deyil. İndi sadəcə özünüzü potensial təhlükələrdən qoruya bilməlisiniz.
Bu bacarıqda əsas prinsip olmalıdır şəbəkə təhlükəsizliyinə potensial təhdidlər və tələb olunan qorunma səviyyəsi arasında balans. Təhlükəsizlik xərcləri ilə reallaşan təhdidlərdən mümkün zərərin dəyəri arasında mütənasiblik təmin edilməlidir.
Müasir iri və orta müəssisələr üçün informasiya və telekommunikasiya texnologiyaları biznesin aparılmasının əsasına çevrilib. Buna görə də, təhdidlərin təsirlərinə ən həssas olduqları ortaya çıxdı. Şəbəkə nə qədər böyük və mürəkkəb olsa, onu qorumaq üçün bir o qədər çox səy tələb olunur. Üstəlik, təhdidlərin yaradılmasının dəyəri onların zərərsizləşdirilməsinin dəyərindən azdır. Bu vəziyyət şirkətləri müxtəlif təhlükələrdən yarana biləcək mümkün risklərin nəticələrini diqqətlə ölçməyə və ən təhlükəli olanlardan müvafiq qorunma üsullarını seçməyə məcbur edir.
Hazırda korporativ infrastruktur üçün ən böyük təhlükələr daxili resurslara icazəsiz giriş və şəbəkənin normal fəaliyyətinin bloklanması ilə bağlı hərəkətlərdən qaynaqlanır. Bu cür təhdidlərin sayı kifayət qədər çoxdur, lakin onların hər biri texniki və insan faktorlarının birləşməsinə əsaslanır. Məsələn, korporativ şəbəkəyə zərərli proqramın daxil olması təkcə şəbəkə administratorunun təhlükəsizlik qaydalarına etinasız yanaşması nəticəsində deyil, həm də spamdan cəlbedici linkdən istifadə etməyə qərar verən şirkət əməkdaşının həddən artıq marağı nəticəsində baş verə bilər. poçt. Buna görə də, təhlükəsizlik sahəsində ən yaxşı texniki həllərin belə bütün xəstəliklər üçün panacea olacağına ümid etməməlisiniz.

UTM sinif həlləri

Təhlükəsizlik həmişə nisbi anlayışdır. Əgər bu həddən artıq çoxdursa, qoruyacağımız sistemin özündən istifadə etmək nəzərəçarpacaq dərəcədə çətinləşir. Buna görə ağlabatan kompromis şəbəkə təhlükəsizliyini təmin etmək üçün ilk seçim olur. Rusiya standartlarına uyğun olaraq orta müəssisələr üçün belə bir seçimə sinif qərarları kömək edə bilər UTM (Vahid Təhdid İdarəetmə və ya Birləşmiş Təhdid İdarəetmə), çoxfunksiyalı şəbəkə və informasiya təhlükəsizliyi cihazları kimi yerləşdirilir. Özündə bu həllər müxtəlif cihazların funksiyalarını birləşdirən proqram və aparat sistemləridir: firewall, müdaxilənin aşkarlanması və qarşısının alınması sistemi (IPS), həmçinin antivirus şlüzünün (AV) funksiyaları. Çox vaxt bu komplekslərə marşrutlaşdırma, keçid və ya VPN şəbəkələrini dəstəkləmək kimi əlavə vəzifələri həll etmək tapşırılır.
Çox vaxt UTM həll təminatçıları kiçik biznes üçün həllər təklif edirlər. Bəlkə də bu yanaşma qismən haqlıdır. Amma yenə də ölkəmizdə kiçik biznes üçün öz internet provayderinin mühafizə xidmətindən istifadə etmək həm asan, həm də ucuzdur.
Hər hansı universal həll kimi, UTM avadanlığının da müsbət və mənfi cəhətləri var. Birincisi, ayrı-ayrı təhlükəsizlik cihazlarından oxşar səviyyəli mühafizənin təşkili ilə müqayisədə həyata keçirmək üçün xərc və vaxta qənaət daxildir. UTM həm də geniş spektrli təhlükəsizlik problemlərini asanlıqla həll edə bilən əvvəlcədən balanslaşdırılmış və sınaqdan keçirilmiş həlldir. Nəhayət, bu sinifin həlləri texniki personalın ixtisas səviyyəsinə o qədər də tələbkar deyil. İstənilən mütəxəssis onların quraşdırılması, idarə edilməsi və saxlanması ilə məşğul ola bilər.
UTM-in əsas çatışmazlığı universal həllin hər hansı funksionallığının ixtisaslaşdırılmış həllin eyni funksionallığından daha az effektiv olmasıdır. Buna görə yüksək performans və ya yüksək dərəcədə təhlükəsizlik tələb olunduqda, təhlükəsizlik mütəxəssisləri fərdi məhsulların inteqrasiyasına əsaslanan həllərdən istifadə etməyə üstünlük verirlər.
Bununla belə, bu çatışmazlığa baxmayaraq, UTM həlləri miqyası və fəaliyyət növü ilə çox fərqlənən bir çox təşkilat tərəfindən tələb olunur. Rainbow Technologies şirkətinin məlumatına görə, bu cür həllər, məsələn, müntəzəm DDoS hücumlarına məruz qalan məişət texnikası onlayn mağazalarından birinin serverini qorumaq üçün uğurla tətbiq edilib. UTM həlli həmçinin avtomobil holdinqlərindən birinin poçt sistemində spamın həcmini əhəmiyyətli dərəcədə azaltmağa imkan verdi. Yerli problemlərin həlli ilə yanaşı, pivə istehsalı şirkətinin mərkəzi ofisini və onun filiallarını əhatə edən paylanmış şəbəkə üçün UTM həlləri əsasında təhlükəsizlik sistemlərinin yaradılması təcrübəmiz var.

UTM istehsalçıları və onların məhsulları

UTM sinif avadanlıqları üçün Rusiya bazarı yalnız xarici istehsalçıların təklifləri ilə formalaşır. Təəssüf ki, yerli istehsalçıların heç biri hələ də bu sinif avadanlıqlarda öz həll yollarını təklif edə bilməyib. İstisna Eset NOD32 Firewall proqram həllidir, şirkətə görə, Rusiya tərtibatçıları tərəfindən yaradılmışdır.
Artıq qeyd edildiyi kimi, Rusiya bazarında UTM həlləri əsasən korporativ şəbəkəsində 100-150 iş yeri olan orta şirkətlər üçün maraqlı ola bilər. İcmalda təqdim olunacaq UTM avadanlığını seçərkən əsas seçim meyarı onun müxtəlif iş rejimlərində işləməsi idi ki, bu da rahat istifadəçi təcrübəsini təmin edə bilərdi. İstehsalçılar tez-tez Firewall, IPS Intrusion Prevention və AV Virus Protection rejimləri üçün performans xüsusiyyətlərini müəyyənləşdirirlər.

Həll Yoxlama nöqtəsi adlanır UTM-1 Edge və firewall, müdaxilənin qarşısının alınması sistemi, antivirus şlüzünü, həmçinin VPN və uzaqdan giriş alətlərini birləşdirən vahid təhlükəsizlik cihazıdır. Həll nəzarətinə daxil olan firewall çoxlu sayda proqramlar, protokollar və xidmətlərlə işləyir, həmçinin biznes tətbiqləri kateqoriyasına açıq şəkildə uyğun gəlməyən trafiki bloklamaq üçün mexanizmə malikdir. Məsələn, ani mesajlaşma (IM) və peer-to-peer (P2P) trafiki. Antivirus şlüzü e-poçt mesajlarında, FTP və HTTP trafikində zərərli kodu izləməyə imkan verir. Bu halda, faylların ölçüsündə heç bir məhdudiyyət yoxdur və arxiv fayllarının açılması "tezliklə" həyata keçirilir.
UTM-1 Edge həlli VPN şəbəkələrində işləmək üçün qabaqcıl imkanlara malikdir. OSPF dinamik marşrutlaşdırma və VPN müştəri əlaqələri dəstəklənir. UTM-1 Edge W modeli daxili IEEE 802.11b/g WiFi giriş nöqtəsi ilə mövcuddur.
Geniş miqyaslı yerləşdirmə tələb olunduqda, UTM-1 Edge təhlükəsizlik idarəçiliyini xeyli asanlaşdırmaq üçün Check Point SMART ilə problemsiz şəkildə inteqrasiya olunur.

Cisco şirkətiənənəvi olaraq şəbəkə təhlükəsizliyi məsələlərinə daha çox diqqət yetirir və geniş çeşiddə zəruri cihazları təklif edir. Baxış üçün modeli seçmək qərarına gəldik Cisco ASA 5510, bu, korporativ şəbəkə perimetrinin təhlükəsizliyinin təmin edilməsinə yönəlmişdir. Bu avadanlıq modul UTM sinif mühafizə sistemlərini özündə birləşdirən ASA 5500 seriyasının bir hissəsidir. Bu yanaşma təhlükəsizlik sistemini müəyyən bir müəssisənin şəbəkəsinin işləmə xüsusiyyətlərinə uyğunlaşdırmağa imkan verir.
Cisco ASA 5510 dörd əsas dəstdə təqdim olunur - firewall, VPN alətləri, müdaxilənin qarşısının alınması sistemi, həmçinin antivirus və anti-spam alətləri. Həll geniş korporativ şəbəkə üçün idarəetmə infrastrukturunun yaradılması üçün Təhlükəsizlik Meneceri sistemi və şəbəkə mühitinə nəzarət etmək və real vaxt rejimində təhlükəsizlik pozuntularına cavab vermək üçün nəzərdə tutulmuş Cisco MARS sistemi kimi əlavə komponentləri əhatə edir.

slovak Eset şirkəti proqram paketini təmin edir Eset NOD32 Firewall Korporativ təhlükəsizlik divarı funksiyalarına əlavə olaraq, Eset NOD32 antivirus mühafizə sistemi, poçt (anti-spam) və veb trafiki filtrləmə alətləri, IDS və IPS şəbəkə hücumlarının aşkarlanması və qarşısının alınması sistemlərini özündə birləşdirən UTM sinfi. Həll VPN şəbəkələrinin yaradılmasını dəstəkləyir. Bu kompleks Linux ilə işləyən server platformasında qurulub. Cihazın proqram hissəsi hazırlanmışdır yerli şirkət Leta IT, Esetin Rusiya nümayəndəliyi tərəfindən idarə olunur.
Bu həll sizə real vaxt rejimində şəbəkə trafikinə nəzarət etməyə imkan verir və veb resursların kateqoriyaları üzrə məzmunun filtrlənməsini dəstəkləyir. DDoS hücumlarına qarşı qoruma təmin edir və port skan etmə cəhdlərini bloklayır. Eset NOD32 Firewall həllinə DNS serverləri, DHCP dəstəyi və kanal genişliyindəki dəyişikliklərə nəzarət daxildir. SMTP və POP3 poçt protokollarının trafikinə nəzarət edilir.
Bu həll VPN bağlantılarından istifadə edərək paylanmış korporativ şəbəkələr yaratmaq qabiliyyətini də əhatə edir. Eyni zamanda, şəbəkə birləşməsinin müxtəlif rejimləri, autentifikasiya və şifrələmə alqoritmləri dəstəklənir.

Fortinet şirkəti bütün cihazlar ailəsini təklif edir FortiGate UTM sinfi, öz həllərini yüksək performans səviyyəsini qoruyarkən şəbəkənin qorunmasını, habelə real vaxt rejimində müəssisə informasiya sistemlərinin etibarlı və şəffaf işləməsini təmin edə bilən kimi yerləşdirir. Baxış üçün seçdik model FortiGate-224B, 150 - 200 istifadəçisi olan korporativ şəbəkənin perimetrinin qorunmasına yönəlib.
FortiGate-224B avadanlığına firewall funksionallığı, VPN serveri, veb-trafikin filtrasiyası, müdaxilənin qarşısının alınması sistemləri, həmçinin antivirus və anti-spam mühafizəsi daxildir. Bu model xarici marşrutlaşdırma və keçid cihazlarına ehtiyacı aradan qaldıran daxili Layer 2 LAN keçidinə və WAN interfeyslərinə malikdir. Bu məqsədlə RIP, OSPF və BGP protokollarından istifadə edərək marşrutlaşdırma, həmçinin şəbəkə xidmətlərini təqdim etməzdən əvvəl istifadəçinin autentifikasiyası protokolları dəstəklənir.

SonicWALL şirkəti həlli bu baxışa daxil edilmiş UTM cihazlarının geniş seçimini təklif edir NSA 240. Bu avadanlıq orta müəssisələrin və iri şirkətlərin filiallarının korporativ şəbəkəsi üçün təhlükəsizlik sistemi kimi istifadəyə yönəlmiş xətt üzrə kiçik modeldir.
Bu xətt potensial təhlükələrdən qorunmaq üçün bütün vasitələrdən istifadəyə əsaslanır. Bunlar firewall, müdaxilədən qorunma sistemi, antivirus və anti-casus şlüzlərdir. 56 sayt kateqoriyası üzrə veb-trafikin filtrasiyası mövcuddur.
Həllinin əsas məqamlarından biri kimi, SonicWALL daxil olan trafikin dərin skan edilməsi və təhlili texnologiyasını qeyd edir. Performansın pisləşməsinin qarşısını almaq üçün bu texnologiya çoxprosessorlu nüvədə paralel məlumat emalından istifadə edir.
Bu avadanlıq VPN-i dəstəkləyir, qabaqcıl marşrutlaşdırma imkanlarına malikdir və müxtəlif şəbəkə protokollarını dəstəkləyir. Həmçinin, SonicWALL-dan olan həll SIP və H.323 protokollarından istifadə edərək VoIP trafikinə xidmət zamanı yüksək səviyyəli təhlükəsizlik təmin etməyə qadirdir.

Məhsul xəttindən WatchGuard şirkəti nəzərdən keçirmək üçün həll yolu seçildi Firebox X550e, şəbəkə təhlükəsizliyini təmin etmək üçün qabaqcıl funksionallığı olan bir sistem kimi yerləşdirilən və kiçik və orta müəssisələrin şəbəkələrində istifadəyə yönəldilib.
Bu istehsalçının UTM sinif həlləri qarışıq şəbəkə hücumlarından qorunma prinsipinə əsaslanır. Buna nail olmaq üçün avadanlıq firewall, hücumların qarşısının alınması sistemi, antivirus və antispam şlüzləri, veb-resursların filtrasiyası, həmçinin anti-casus proqram sistemini dəstəkləyir.
Bu avadanlıq birgə qorunma prinsipindən istifadə edir, buna görə bir qoruma səviyyəsində müəyyən bir meyarla yoxlanılan şəbəkə trafiki digər səviyyədə eyni meyarla yoxlanılmayacaq. Bu yanaşma yüksək avadanlıq performansına imkan verir.
Onun həllinin başqa bir üstünlüyü istehsalçı, imzaların mövcudluğundan təhlükəsizliyin müstəqilliyini təmin edən Zero Day texnologiyasına dəstək çağırır. Bu xüsusiyyət hələ effektiv şəkildə qarşısı alınmamış yeni təhdid növləri ortaya çıxdıqda vacibdir. Tipik olaraq, "zəiflik pəncərəsi" bir neçə saatdan bir neçə günə qədər davam edir. Zero Day texnologiyasından istifadə edərkən zəiflik pəncərəsindən mənfi nəticələrin olma ehtimalı nəzərəçarpacaq dərəcədə azalır.

ZyXEL şirkəti 500-ə qədər istifadəçisi olan korporativ şəbəkələrdə istifadəyə yönəlmiş UTM sinifli firewall həllini təklif edir. Bu ZyWALL 1050 həlli tam virusdan qorunma, müdaxilənin qarşısının alınması və virtual özəl şəbəkələrə dəstək daxil olmaqla, şəbəkə təhlükəsizliyi sisteminin qurulması üçün nəzərdə tutulmuşdur. Cihazda şəbəkə konfiqurasiyasından asılı olaraq WAN, LAN, DMZ və WLAN interfeysləri kimi istifadə üçün konfiqurasiya edilə bilən beş Gigabit Ethernet portu var.
Qurğu təhlükəsizlik divarı və NAT səviyyəsində SIP və H.323 protokolları vasitəsilə VoIP tətbiqi trafikinin ötürülməsini, həmçinin VPN tunellərində paket telefoniya trafikinin ötürülməsini dəstəkləyir. Eyni zamanda, VoIP trafiki də daxil olmaqla, bütün trafik növləri üzrə hücum və təhdidlərin qarşısının alınması mexanizmlərinin işləməsi, tam imza bazasına malik antivirus sisteminin işləməsi, 60 veb-sayt kateqoriyası üzrə məzmunun filtrasiyası və spamdan mühafizə təmin edilir.
ZyWALL 1050 həlli müxtəlif özəl şəbəkə topologiyalarını dəstəkləyir, VPN konsentrator rejimində işləyir və virtual şəbəkələri vahid təhlükəsizlik siyasətləri ilə zonalarda birləşdirir.

UTM-nin əsas xüsusiyyətləri

Ekspert rəyi

Dmitri Kostrov, MTS ASC Korporativ Mərkəzinin Texnoloji Mühafizə Direktorluğunun Layihə Direktoru

UTM həllərinin əhatə dairəsi əsasən kiçik və orta biznes kimi təsnif edilən şirkətlərə aiddir. Şəbəkə resurslarının mühafizəsi üçün ayrıca avadanlıq sinfi kimi Vahid Təhdid İdarəetmə konsepsiyası (UTM) beynəlxalq agentliyi IDC tərəfindən təqdim edilmişdir, buna görə UTM həlləri müxtəlif cihazların funksiyalarını birləşdirən çoxfunksiyalı proqram və aparat sistemləridir. Adətən bunlara firewall, VPN, şəbəkə müdaxiləsinin aşkarlanması və qarşısının alınması sistemləri, həmçinin antivirus və antispam şlüz və URL filtrləmə funksiyaları daxildir.
Həqiqətən effektiv mühafizəyə nail olmaq üçün cihaz çox səviyyəli, aktiv və inteqrasiya olunmuş olmalıdır. Eyni zamanda, bir çox təhlükəsizlik avadanlığı istehsalçıları artıq UTM ilə əlaqəli kifayət qədər geniş məhsul çeşidinə malikdirlər. Sistemin yerləşdirilməsinin kifayət qədər sadəliyi, eləcə də hamısı bir yerdə sistem bu cihazlar üçün bazarı olduqca cəlbedici edir. Bu cihazların tətbiqi zamanı ümumi mülkiyyət dəyəri və investisiyanın qaytarılması çox cəlbedici görünür.
Ancaq bu UTM həlli "İsveçrə bıçağı" kimidir - hər vəziyyət üçün bir alət var, ancaq divarda bir deşik açmaq üçün əsl qazma lazımdır. Yeni hücumlara qarşı müdafiənin yaranması, imzaların yenilənməsi və s. “klassik” korporativ şəbəkə mühafizəsi sxemində fərdi cihazların dəstəyindən fərqli olaraq, o qədər də sürətli olmayacaq. Tək bir uğursuzluq nöqtəsi problemi də qalır.