Bescherming tegen ongeautoriseerde toegang. Bescherming van informatie tegen ongeoorloofde toegang

Ongeautoriseerde toegang tot informatie (UAI)- dit is toegang tot gegevens die in strijd is met de regels van toegangscontrole met de implementatie van bepaalde middelen die computertechnologie of geautomatiseerde systemen zijn. Volgens deskundigen zijn de methoden voor ongeautoriseerde toegang:

  • Zin om mee te werken
  • Initiatieve samenwerking
  • Proberen, uitpluizen
  • Afluisteren
  • Diefstal
  • Observatie
  • Vals (wijzigen)
  • Kopiëren
  • Verwoesting
  • Onderschepping
  • Illegale verbinding
  • Fotograferen
  • Geheime kennis

Initiatieve samenwerking manifesteert zich vaak in bepaalde situaties waarin ontevreden individuen bereid zijn illegale acties te ondernemen uit winstbejag. De redenen kunnen heel verschillend zijn, inclusief financieel, moreel, politiek, enz. Zo iemand kan gemakkelijk worden overtuigd om mee te werken aan het verstrekken van vertrouwelijke informatie over de onderneming, als hij daar uiteraard toegang toe heeft.

Zin om mee te werken- meestal gaat het om gewelddadige methoden van aanvallers. Dergelijke methoden zijn gebaseerd op intimidatie, omkoping of chantage. Het aanzetten van werknemers gebeurt door middel van reële bedreigingen en chantage. Dit is de meest agressieve methode die er bestaat, aangezien een vreedzaam bezoek kan uitmonden in gewelddadige acties met als doel intimidatie.

Nieuwsgierig, nieuwsgierig- dit is een soort activiteit die gebaseerd is op het stellen van naïeve vragen aan een medewerker om bepaalde informatie te verkrijgen. U kunt gegevens ook afpersen door middel van valse tewerkstelling of andere acties.

Afluisteren- dit is een methode voor industriële spionage of inlichtingen, die wordt gebruikt door bijzondere personen (waarnemers, informanten) die gebruik maken van speciale afluistermiddelen. Afluisteren kan rechtstreeks worden bereikt door de waarneming van akoestische golven of door speciale middelen op afstand.

Observatie- Dit is een methode om informatie te krijgen over de status van de activiteit van de waargenomen persoon. Deze methode wordt uitgevoerd met behulp van optische instrumenten. Zo'n proces kost veel tijd en geld, dus deze methode wordt meestal doelbewust, op een bepaald moment, met gekwalificeerde mensen geïmplementeerd.

Diefstal— Dit is het opzettelijk wegnemen van de hulpbronnen, documenten, enz. van anderen. Grofweg gezegd wordt alles wat in slecht bezit is gestolen, dus je moet voorzichtig zijn met vertrouwelijke gegevensdragers.

Kopiëren— Documenten die waardevolle informatie bevatten, worden doorgaans gekopieerd. Toegang wordt op illegale wijze verkregen, vaak als gevolg van slechte informatiebeveiliging.

Nep- dit is een verandering in de gegevens die, in de realiteit van de concurrentie, op grote schaal plaatsvindt. Ze vervalsen alles om waardevolle gegevens te verkrijgen.

Verwoesting— Gegevens op technische opslagmedia verwijderen. Meer abstract worden mensen, documenten en andere elementen van het informatiesysteem die enige betekenis hebben, vernietigd.

Illegale verbinding- begrijp contactloze of contactverbindingen met verschillende draden voor verschillende doeleinden.

Onderschepping is het verwerven van inlichtingen door het ontvangen van elektromagnetische energiesignalen met behulp van passieve ontvangstmethoden. Alle signalen in radio- of bekabelde communicatie kunnen worden onderschept.

Geheime kennis is een methode om gegevens te verkrijgen waartoe de proefpersoon geen toegang heeft, maar onder bepaalde omstandigheden wel iets kan leren. Kijk bijvoorbeeld naar een pc-scherm of open een document dat op tafel ligt.

Fotograferen- een methode om afbeeldingen van objecten op fotografisch materiaal te verkrijgen. Een bijzonder kenmerk van de methode is dat deze gedetailleerde gegevens verkrijgt bij het decoderen van een afbeelding.

Volgens deskundigen is een dergelijke lijst op een bepaald abstractieniveau niet-doorsnijdend en onafhankelijk. Hiermee kunt u een bepaalde reeks voorbeelden van dergelijke methoden samen bekijken. Figuur 1 toont een gegeneraliseerd model van NSD-methoden voor bronnen van vertrouwelijke informatie.

Het is geen geheim dat inlichtingendiensten hun aanklachten nauwlettend in de gaten houden, met behulp van verschillende contraspionage-instrumenten. Tegelijkertijd moet u begrijpen via welke methode om informatie te verkrijgen ongeautoriseerde toegang is. Manier is een techniek of procedure die leidt tot de realisatie van een doel. Ongeautoriseerde toegangsmethode(NSD-methode) is een geheel van handelingen en technieken met als doel het illegaal verkrijgen van gegevens met extra invloed op deze informatie.

Tegenwoordig zijn de methoden voor gegevenstoegang tot gegevens anders: de implementatie van speciale technische middelen, het gebruik van fouten in systemen of andere, zoals weergegeven in figuur 1. Bovendien houden NSD-methoden rechtstreeks verband met de kenmerken van de bron van vertrouwelijke gegevens.
Een setje hebben bronnen informatie en een reeks NSD-methoden daarvoor, kunt u de waarschijnlijkheid berekenen en een model van hun verband bouwen. Er zijn veel methoden van toepassing op bronnen: verwerkingstechnologie en mensen. Hoewel andere methoden dergelijke algemene bronnen niet beïnvloeden, kan het gevaar ervan nog groter zijn.

De mate van gevaar van de NSD-methode wordt bepaald door de veroorzaakte schade. Hoewel informatie tegenwoordig zijn eigen prijs heeft, staat het verwerven van informatie gelijk aan het ontvangen van geld. De aanvaller heeft drie doelen:

  • gegevens verkrijgen voor concurrenten en verkopen.
  • gegevens in het informatienetwerk wijzigen. Desinformatie.
  • Gegevens vernietigen.

Figuur - 1 (om te bekijken, klik op de foto)

Het belangrijkste doel is het verkrijgen van informatie over de status, samenstelling en activiteiten van objecten van vertrouwelijk belang voor hun eigen doeleinden of verrijking. Een ander doel is het veranderen van de informatie die in het informatienetwerk aanwezig is. Deze methode kan leiden tot verkeerde informatie op bepaalde activiteitengebieden en de uitkomst van de toegewezen taken veranderen. Tegelijkertijd is het erg moeilijk om een ​​dergelijk desinformatieplan ten uitvoer te leggen; je moet een hele reeks acties ondernemen en veel gebeurtenissen voorzien. Het gevaarlijkste doel is gegevensvernietiging. De keuze van acties en hun kwalitatieve of kwantitatieve kenmerken zijn afhankelijk van de taken.

NSD-methoden voor toegang tot informatie met behulp van technische middelen

Elk elektronisch systeem dat een reeks knooppunten, elementen en geleiders bevat en tegelijkertijd bronnen van een informatiesignaal heeft, is een kanaal voor het lekken van vertrouwelijke informatie. NSD-methoden en lekkanalen zijn objectief gerelateerd. Verbindingsopties worden weergegeven in de tabel. 1.

tafel 1

Elke bron creëert een datalekkanaal, terwijl de specifieke parameters ervan worden bestudeerd en aanvalsmethoden worden getest in laboratoria. Acties kunnen actief of passief zijn. Passieve kanalen omvatten de implementatie van technische kanalen voor het lekken van informatie zonder direct contact of verbinding. De methoden zijn doorgaans datagericht. Actieve methoden maken verbinding met communicatielijnen. Communicatielijnen kunnen zijn:

  • Bedraad (glasvezel).
  • Draadloos (wifi).

NSD-methoden voor communicatielijnen

Als communicatielijnen worden vaak telefoonlijnen of glasvezellijnen gebruikt. Methoden voor het afluisteren van telefoonlijnen worden getoond in figuur 2.

Figuur 2

Er zijn ook lijnaftakkingssystemen waarbij geen direct contact met de telefoonlijn nodig is. Dergelijke systemen maken gebruik van inductieve data-acquisitiemethoden. Dergelijke systemen worden niet veel gebruikt, omdat ze erg groot zijn vanwege de inhoud van verschillende versterkingsniveaus van een zwak laagfrequent signaal en bovendien een externe stroombron.

Maar tegenwoordig hebben glasvezellijnen een breder scala aan implementaties. Informatie via een dergelijk kanaal wordt verzonden in de vorm van een pulserende lichtstroom, die niet wordt beïnvloed door magnetische en elektrische interferentie. Ook is het moeilijker om gegevens via een dergelijk kanaal te onderscheppen, wat de veiligheid van de verzending vergroot. In dit geval bereikt de overdrachtssnelheid gigabytes/seconde. Om verbinding te maken met een dergelijk communicatiekanaal worden de beschermlagen van de kabel verwijderd. Vervolgens trekken ze het reflecterende omhulsel eraf en buigen de kabel in een speciale hoek om de informatie vast te leggen. In dit geval zal de signaalsterkte onmiddellijk merkbaar afnemen. Je kunt ook contactloos verbinding maken met een communicatiekanaal, maar hiervoor moet je wel over een bepaald kennis- en opleidingsniveau beschikken.

NSD-methoden voor draadloze communicatielijnen

Het transporteren van gegevens met behulp van hoogfrequente MHF- en VHF-banden maakt het mogelijk om informatieoverdracht en een computernetwerk te implementeren waar het moeilijk is om conventionele bekabelde kanalen te installeren. Via dergelijke communicatiekanalen is informatieoverdracht mogelijk met snelheden tot 2 Mbit/s. In dit geval bestaat de mogelijkheid van interferentie en onderschepping van informatie. Het onderscheppen van gegevens werkt op basis van het onderscheppen van elektromagnetische straling met verdere analyse en decodering. Het onderscheppen van informatie via dergelijke kanalen heeft zijn eigen kenmerken:

  • gegevens kunnen worden verkregen zonder direct contact met de bron;
  • Het signaal wordt niet beïnvloed door de tijd van het jaar/de dag;
  • gegevens worden in realtime ontvangen;
  • Het onderscheppen gebeurt in het geheim.
  • het onderscheppingsbereik wordt alleen beperkt door de kenmerken van de voortplantingsgolven.

Bescherming tegen ongeautoriseerde toegang

Er is een verhaal over hoe informatie moet worden opgeslagen. Het moet in één kopie staan ​​op een computer die zich in een gepantserde kluis bevindt, losgekoppeld van alle netwerken en spanningsloos. Deze methode is, op zijn zachtst gezegd, erg wreed, maar er zijn dergelijke gevallen geweest. Om gegevens tegen ongeoorloofde toegang te beschermen, moet u begrijpen welke toegang als geautoriseerd wordt beschouwd en welke niet. Om dit te doen heb je nodig:

  • verdeel informatie in klassen die worden verwerkt of opgeslagen op een pc
  • verdeel gebruikers in klassen op basis van gegevenstoegang
  • rangschik deze klassen in specifieke gegevensuitwisselingsrelaties met elkaar

Het gegevensbeschermingssysteem tegen ongeoorloofde toegang moet de implementatie van de volgende functies ondersteunen:

  • authenticatie
  • identificatie
  • beperking van de toegang van gebruikers tot computers
  • beperking van de toegang van gebruikers tot informatiemogelijkheden
  • administratie:
    • logboekverwerking
    • het bepalen van toegangsrechten tot bronnen
    • het starten van een beveiligingssysteem op een computer
    • ontmantelde computerbeveiligingssystemen
  • Conclusie over NSD-pogingen
  • evenementregistratie:
    • toegangsschendingen
    • gebruiker inloggen/uitloggen
  • het monitoren van de prestaties en integriteit van beveiligingssystemen
  • het handhaven van de informatiebeveiliging tijdens reparatie- en onderhoudswerkzaamheden en noodsituaties

Gebruikersrechten voor toegang tot bronnen beschrijven de tabellen op basis waarvan gebruikersauthenticatie wordt geverifieerd door toegang. Indien de Gebruiker de gevraagde toegangsrechten niet kan verkrijgen, wordt het feit van ongeautoriseerde toegang geregistreerd en worden bepaalde acties ondernomen.

Gebruikersauthenticatie en -identificatie

Om toegang te krijgen tot systeembronnen moet een gebruiker het volgende proces doorlopen:

  • Identificatie- het proces waarbij een gebruiker het systeem voorziet van zijn naam of een andere identificatie
  • Authenticatie- het proces van bevestiging door het systeem van een gebruiker op basis van een identificatie en wachtwoord of andere informatie (zie,)

Op basis hiervan moet u, om deze procedures uit te voeren:

  • er was een authenticatieprogramma
  • de gebruiker beschikte over unieke informatie

Er zijn twee manieren om gebruikersidentificatiegegevens op te slaan: intern (record in de database) of extern (kaart). Elke informatiedrager die door het systeem geïdentificeerd moet worden, heeft een correspondentie in het authenticatiesysteem:

  • ID i - onveranderlijke identificatie van de i-de gebruiker, die voor het systeem analoog is aan de gebruikersnaam
  • K i — gebruikersauthenticatiegegevens

Er zijn twee typische authenticatie- en identificatieschema's. Eerste schema:

In een dergelijk schema E i = F (ID i, K i), waarbij onherstelbaarheid Ki wordt beschouwd als een bepaalde drempel van de arbeidsintensiteit To voor het herstellen van Ki uit Ei en IDi. Voor een paar K i en K j is er een mogelijk samenvallen van de waarden van E. In verband met deze situatie is de waarschijnlijkheid valse authenticatie systeemgebruikers mogen een bepaalde drempel P 0 niet overschrijden. In de praktijk geven ze de volgende waarden: T 0 = 10 20 ....10 30, P 0 = 10 -7 ....10 -9.

Voor een dergelijk schema is er een authenticatie- en identificatieprotocol:

  • De gebruiker geeft zijn ID op
  • De waarde E = F(ID, K) wordt berekend

In een ander schema is E i = F(Si, K i), waarbij S een willekeurige vector is die wordt gespecificeerd bij het aanmaken van een gebruikers-ID. F is een functie die een aspect heeft onherstelbaarheid waarden van K i door E i en Si .

Protocol voor het tweede authenticatie- en identificatieschema:

  • De gebruiker toont het systeem zijn ID
  • Als er een ID i is waarbij ID=ID i , dan is de gebruikersidentificatie gelukt, anders niet.
  • Vector S wordt toegewezen op basis van ID
  • Het authenticatiealgoritme vraagt ​​de gebruiker om zijn authenticator K in te voeren
  • De waarde E = F(S, K) wordt berekend
  • Als E = E 1 dan is de authenticatie geslaagd, anders niet.

Het tweede schema wordt gebruikt in UNIX OS. De gebruiker voert zijn naam (Login) in als identificatiemiddel en een wachtwoord als authenticator. Functie F is het DES-coderingsalgoritme. (cm. )

De laatste tijd zijn biometrische identificatie- en authenticatiemethoden in opkomst, mogelijk gemaakt door:

  • Hoge mate van vertrouwen op basis van kenmerken vanwege hun uniekheid
  • Moeilijk om deze tekens te vervalsen

Het volgende kan als gebruikersattributen worden gebruikt:

  • vingerafdrukken
  • netvlies- en irispatroon
  • handvorm
  • oor vorm
  • gezichtsvorm
  • stemfuncties
  • handschrift

Bij registratie moet de gebruiker zijn biometrische kenmerken tonen. De gescande afbeelding wordt vergeleken met de afbeelding die in de database aanwezig is. Oogidentificatiesystemen hebben een kans om deze kenmerken te herhalen - 10 -78. Deze systemen zijn het meest betrouwbaar onder andere biometrische systemen. Dergelijke systemen worden gebruikt in gebieden met defensieve en militaire faciliteiten. Vingerafdrukidentificatiesystemen de meest voorkomende. De reden voor zijn populariteit is dat er een grote database met vingerafdrukken is. Dankzij de politie. Gezichts- en stemidentificatiesystemen het meest toegankelijk vanwege hun lage kosten. Dergelijke systemen worden gebruikt voor identificatie op afstand, bijvoorbeeld in netwerken.

Opgemerkt moet worden dat het gebruik van biometrische kenmerken om proefpersonen te identificeren nog geen adequate wettelijke ondersteuning heeft gekregen in de vorm van standaarden. Daarom is het gebruik van dergelijke systemen alleen toegestaan ​​als er gegevens worden verwerkt die een commercieel of officieel geheim vormen.

Wederzijdse gebruikersauthenticatie

Partijen die een informatie-uitwisseling aangaan, hebben wederzijdse authenticatie nodig. Dit proces wordt meestal aan het begin van de uitwisselingssessie geïmplementeerd. Er zijn manieren om de authenticiteit te verifiëren:

  • tijdstempelmechanisme ( tijdstempel)
  • verzoek-antwoordmechanisme

Het verzoek-antwoordmechanisme impliceert een situatie waarin gebruiker A er zeker van wil zijn dat de door gebruiker B verzonden gegevens niet nep zijn. Om dit te doen, stuurt gebruiker A een onvoorspelbaar element − verzoek X, waarop gebruiker B een vooraf afgesproken bewerking moet uitvoeren, en het resultaat naar gebruiker A moet sturen. Gebruiker A controleert het resultaat met wat er had moeten worden uitgevoerd. Het nadeel van deze methode is dat het mogelijk is om het patroon tussen het verzoek en het antwoord te herstellen.

Het tijdstempelmechanisme omvat het registreren van de tijd voor elk verzonden bericht. In dit geval kan de netwerkgebruiker bepalen hoeveel verouderd bericht. In beide gevallen moet aanvullend encryptie worden toegepast.

Er is ook handdrukmechanisme, dat is gebaseerd op de vorige twee mechanismen en bestaat uit wederzijdse verificatie van de sleutels die door de partijen bij de uitwisseling worden gebruikt. Dit principe wordt gebruikt om een ​​verbinding tot stand te brengen tussen een hostcomputer enzovoort in netwerken.

Beschouw als voorbeeld twee gebruikers A en B die dezelfde geheime sleutel KAB delen.

  • Gebruiker A initieert het mechanisme en stuurt gebruiker B zijn ID A in open vorm
  • Gebruiker B ontvangt ID A, vindt sleutel K AB voor verder gebruik
  • Gebruiker A genereert de reeks S met behulp van de generator PG en stuurt deze als cryptogram E K AB S naar gebruiker B
  • Gebruiker B decodeert dit cryptogram
  • Beide gebruikers veranderen de reeks S met behulp van de eenrichtingsfunctie f
  • Gebruiker B codeert het bericht f(S) en stuurt het cryptogram E K AB (f(S)) naar gebruiker A
  • Gebruiker A decodeert zo'n cryptogram en vergelijkt f(S) het origineel en het gedecodeerde. Als ze gelijk zijn, dan is de authenticiteit van gebruiker B voor gebruiker A bewezen.

Gebruiker B bewijst de identiteit van A op dezelfde manier. Het voordeel van een dergelijk mechanisme is dat de communicatiedeelnemers tijdens het mechanisme geen geheime informatie ontvangen.

U kunt ook gebruik maken van DLP-systemen. Dergelijke systemen zijn gebaseerd op de analyse van gegevensstromen die de gegevens van het beschermde informatiesysteem kruisen. Wanneer de handtekening wordt geactiveerd, wordt het actieve element van het systeem geactiveerd en wordt de verzending van het pakket, de stream of de sessie geblokkeerd. Dergelijke systemen zijn gebaseerd op twee methoden. De eerste die de formele kenmerken van informatie analyseerde. Bijvoorbeeld labels, hashfunctiewaarden, etc. Met deze methode kunt u valse positieven (type 1-fouten) voorkomen, maar hiervoor moeten documenten met extra classificatie worden verwerkt. Een andere manier is inhoudsanalyse. Het maakt valse positieven mogelijk, maar maakt het mogelijk om de overdracht van vertrouwelijke gegevens niet alleen tussen verwerkte documenten te detecteren. De belangrijkste taak van dergelijke systemen is het voorkomen van de overdracht van vertrouwelijke gegevens buiten het informatiesysteem. Een dergelijke lekkage kan opzettelijk of onopzettelijk zijn. De praktijk leert dat 75% van de incidenten niet met opzet plaatsvindt, maar door fouten, nalatigheid of onoplettendheid van de medewerkers zelf. Dergelijke lekken zijn niet moeilijk te detecteren; speciale aanvallen zijn moeilijker te detecteren. De uitkomst van het gevecht hangt van veel parameters af en het is onmogelijk om 100% succes te garanderen.

Samenvattend moet worden opgemerkt dat NSD een opzettelijke bedreiging is met toegang tot . Er zijn veel manieren om dit te doen. De informatiebeveiligingsdienst moet zowel de informatiestromen als de gebruikers van het informatiesysteem zorgvuldig monitoren. Met de ontwikkeling van technologie verschijnen nieuwe NSD-methoden en hun implementatie. Het management moet middelen toewijzen om het beveiligingssysteem van het informatiesysteem bij te werken en te verbeteren, aangezien het na verloop van tijd verouderd raakt en zijn vermogen verliest om nieuwe aanvallen te voorkomen. We moeten niet vergeten dat er geen absolute bescherming bestaat, maar we moeten er wel naar streven.

Er is een gelijkenis over de meest betrouwbare manier om informatie op te slaan: informatie moet in één kopie op een computer staan ​​die zich in een gepantserde kluis bevindt, losgekoppeld van alle netwerken en spanningsloos.

Het is duidelijk dat het werken met dergelijke informatie, op zijn zachtst gezegd, lastig is. Tegelijkertijd wil ik programma's en gegevens beschermen tegen ongeoorloofde toegang (UNA). En om toegang te kunnen verlenen, moet u beslissen wie wat kan doen en wat niet.

Om dit te doen heb je nodig:

  1. verdeel informatie die is opgeslagen en verwerkt in een computer in klassen;
  2. verdeel de gebruikers van deze informatie in klassen;
  3. breng de resulterende klassen van informatie en gebruikers in een bepaalde correspondentie met elkaar.

Gebruikerstoegang tot verschillende soorten informatie moet worden uitgevoerd volgens een wachtwoordsysteem, dat kan zijn:

  • gewone wachtwoorden;
  • echte sloten en sleutels;
  • speciale gebruikersidentificatietests;
  • speciale algoritmen voor het identificeren van pc's, diskettes en software.

Informatiebeveiligingssystemen tegen ongeautoriseerde toegang bieden de volgende functies:

  1. identificatie, d.w.z. toewijzing van unieke kenmerken - identificatiegegevens, waarmee het systeem vervolgens authenticatie uitvoert;
  2. authenticatie, d.w.z. authenticatie gebaseerd op vergelijking met referentie-identificatoren;
  3. beperking van gebruikerstoegang tot pc's;
  4. differentiatie van gebruikerstoegang op basis van bewerkingen op bronnen (programma's, gegevens, enz.);
  5. administratie:
    • het bepalen van toegangsrechten tot beschermde bronnen,
    • verwerking van registratielogboeken,
    • installatie van een beveiligingssysteem op een pc,
    • het beveiligingssysteem van de pc verwijderen;
  6. evenementregistratie:
    • gebruiker login,
    • gebruiker uitloggen,
    • toegangsschendingen;
  7. reactie op NSD-pogingen;
  8. het monitoren van de integriteit en prestaties van beveiligingssystemen;
  9. het waarborgen van informatiebeveiliging tijdens onderhouds- en reparatiewerkzaamheden;
  10. het garanderen van informatiebeveiliging in noodsituaties.

Gebruikersrechten voor toegang tot programma's en gegevens worden beschreven door tabellen op basis waarvan de controle en afbakening van de toegang tot bronnen wordt uitgevoerd. De toegang moet worden gecontroleerd door beveiligingssoftware. Als de gevraagde toegang niet overeenkomt met wat beschikbaar is in de toegangsrechtentabel, registreert het beveiligingssysteem het feit van ongeautoriseerde toegang en initieert een passend antwoord.

Gebruikersidentificatie en authenticatie

Voordat de gebruiker toegang krijgt tot bronnen, moet hij een indieningsproces bij het computersysteem doorlopen, dat twee fasen omvat:

  • identificatie- de gebruiker informeert het systeem op verzoek over zijn naam (identificator);
  • authenticatie- de gebruiker bevestigt zijn identificatie door unieke informatie over zichzelf in het systeem in te voeren die niet bekend is bij andere gebruikers (bijvoorbeeld een wachtwoord).

Om gebruikersidentificatie- en authenticatieprocedures uit te voeren, moet u beschikken over:

  • authenticatieprogramma's;
  • unieke informatie over de gebruiker.

Er zijn twee vormen van opslag van informatie over de gebruiker: extern (bijvoorbeeld een plastic kaart of het hoofd van de gebruiker) en intern (bijvoorbeeld een record in een database). Uiteraard moeten de informatie die in het hoofd is opgeslagen en de informatie in de database semantisch identiek zijn. Het probleem met Ali Baba's hebzuchtige broer Kasim ontstond juist vanwege de discrepantie tussen de externe en interne vormen: sim-sim is niet identiek aan erwten, rijst, enz.

Laten we eens kijken naar datastructuren en protocollen voor gebruikersidentificatie en authenticatie.

Vrijwel elke voor identificatie gebruikte sleutelinformatiedrager komt overeen met de volgende gebruikersdatastructuur:

  • ID i - onveranderlijke identificatie van de i-de gebruiker, die analoog is aan een naam en wordt gebruikt om de gebruiker te identificeren;
  • K i - gebruikersauthenticatie-informatie, die kan worden gewijzigd en wordt gebruikt voor authenticatie (bijvoorbeeld wachtwoord P i = K i).

Voor media zoals plastic kaarten worden dus de onveranderlijke informatie ID i en een object in de bestandsstructuur van de kaart dat Ki bevat toegewezen.

De geaggregeerde informatie in het sleutelmedium kan de primaire authenticatie-informatie van de i-de gebruiker worden genoemd. Het is duidelijk dat het interne authenticatieobject gedurende langere tijd niet in het systeem mag bestaan ​​(meer dan de werktijd van een bepaalde gebruiker). U hebt bijvoorbeeld een wachtwoord ingevoerd, dat het authenticatieprogramma in een variabele heeft ingevoerd ter vergelijking met de wachtwoorden die in de database zijn opgeslagen. Deze variabele moet uiterlijk bij het beëindigen van uw sessie opnieuw worden ingesteld. Voor langdurige opslag moeten gegevens in een veilige vorm worden gebruikt.

Laten we twee typische identificatie- en authenticatieschema's bekijken.

Schema 1.

Hier E i = F(ID i, K i), waarbij de “niet-herstelbaarheid” van K i wordt geschat op basis van een bepaalde drempelcomplexiteit To 0 voor het oplossen van het probleem van het herstellen van K i uit E i en ID i. Bovendien kunnen voor een paar K i en K j de overeenkomstige waarden van E samenvallen, in dit opzicht de waarschijnlijkheid valse authenticatie gebruikers mogen niet hoger zijn dan een bepaalde drempelwaarde P 0 . In de praktijk stellen ze T 0 = 10 20 ...10 30, P 0 = 10 -7 ...10 -9 in.

Identificatie- en authenticatieprotocol (voor schema 1).

  1. De waarde E = F(ID, K) wordt berekend.

Schema 2 (gewijzigd). Het computersysteem slaat op:

Hier is E i = F(Si, K i), waarbij S een willekeurige vector is die is opgegeven bij het aanmaken van een gebruikers-ID; F is een functie die de eigenschap heeft van “niet-herstelbaarheid” van de waarde van Ki uit E i en Si.

Identificatie- en authenticatieprotocol (voor schema 2).

  1. De gebruiker presenteert zijn ID.
  2. Als er i = 1...n is waarvoor ID = ID i , dan heeft de gebruiker zichzelf succesvol geïdentificeerd. Anders mag de gebruiker niet werken.
  3. De vector S wordt toegewezen op basis van de ID.
  4. De authenticatiemodule vraagt ​​de gebruiker naar zijn authenticator K.
  5. De waarde E = F(S, K) wordt berekend.
  6. Als E = E i, dan was de authenticatie succesvol. Anders mag de gebruiker niet werken.

Het tweede authenticatieschema wordt gebruikt in OC UNIX. De gebruikersnaam (opgevraagd door Login) wordt gebruikt als identificatie, en het gebruikerswachtwoord (opgevraagd door Wachtwoord) wordt gebruikt als authenticator. Functie F vertegenwoordigt het DES-coderingsalgoritme. Identificatie- en authenticatiestandaarden zijn opgenomen in het Etc/passwd-bestand.

Opgemerkt moet worden dat een noodzakelijke vereiste voor de stabiliteit van identificatie- en authenticatieschema's om informatie Ki te herstellen een willekeurige, even waarschijnlijke selectie van Ki uit een reeks mogelijke waarden is.

De eenvoudigste methode om een ​​wachtwoord toe te passen is gebaseerd op het vergelijken van het gepresenteerde wachtwoord met de oorspronkelijke waarde die in het geheugen is opgeslagen. Als de waarden overeenkomen, wordt het wachtwoord als echt beschouwd en wordt de gebruiker als legitiem beschouwd. Het wachtwoord moet gecodeerd zijn voordat het via een onveilig kanaal wordt verzonden. Als de aanvaller op de een of andere manier het wachtwoord en het identificatienummer van de legitieme gebruiker te weten komt, krijgt hij toegang tot het systeem.

In plaats van de gewone vorm van het wachtwoord P te verzenden, is het beter om de representatie ervan te verzenden die is verkregen met behulp van de eenrichtingsfunctie f(P). Deze transformatie moet ervoor zorgen dat het wachtwoord niet kan worden onthuld door het weer te geven. De vijand stuit dus op een onoplosbaar numeriek probleem.

De functie f kan bijvoorbeeld als volgt worden gedefinieerd:

f(P) = EP (ID) ,
waarbij P het wachtwoord is, ID de identificatie en EP de coderingsprocedure is die wordt uitgevoerd met het wachtwoord als sleutel.

In de praktijk bestaat het wachtwoord uit meerdere letters. Maar een kort wachtwoord is kwetsbaar voor een brute-force-aanval. Om een ​​dergelijke aanval te voorkomen, wordt de functie f anders gedefinieerd:

f(P) = EP + K (ID) ,
waarbij K de sleutel is (Toch-geheugentablet, USB-sleutel, enz.)

Procedures voor gebruikersidentificatie en authenticatie kunnen niet alleen gebaseerd zijn op geheime informatie waarover de gebruiker beschikt (wachtwoord, geheime sleutel, persoonlijke identificatie, enz.). De laatste tijd zijn biometrische identificatie en authenticatie steeds wijdverspreider geworden, waardoor het mogelijk is om met vertrouwen een potentiële gebruiker te identificeren door de fysiologische parameters en kenmerken van een persoon en de kenmerken van zijn gedrag te meten.

Belangrijkste voordelen biometrische methoden identificatie en authenticatie:

  • hoge mate van betrouwbaarheid van identificatie op basis van biometrische kenmerken vanwege hun uniekheid;
  • onscheidbaarheid van biometrische kenmerken van een bekwaam persoon;
  • problemen bij het vervalsen van biometrische kenmerken.

De biometrische kenmerken die kunnen worden gebruikt om een ​​potentiële gebruiker te identificeren zijn:

  • patroon van de iris en het netvlies;
  • vingerafdrukken;
  • geometrische handvorm;
  • gezichtsvorm en -grootte;
  • gezichtsthermogram;
  • oorvorm;
  • stemfuncties;
  • biomechanische kenmerken van een handgeschreven handtekening;
  • biomechanische kenmerken van "toetsenbordhandschrift".

Bij registratie dient de gebruiker één of meerdere keren zijn karakteristieke biometrische kenmerken aan te tonen. Deze attributen (bekend als echt) worden door het systeem geregistreerd als een controle-"image" van de legitieme gebruiker. Deze gebruikersafbeelding wordt elektronisch opgeslagen en wordt gebruikt om de identiteit te verifiëren van iedereen die zich voordoet als de overeenkomstige legitieme gebruiker.

Identificatiesystemen op basis van iris- en netvliespatronen kan in twee klassen worden verdeeld:

  • gebruik makend van het patroon van de iris;
  • met behulp van het patroon van bloedvaten in het netvlies.

Omdat de waarschijnlijkheid van herhaling van deze parameters 10 -78 bedraagt, zijn deze systemen het meest betrouwbaar van alle biometrische systemen. Dergelijke middelen worden bijvoorbeeld in de VS gebruikt in gebieden met militaire en defensiefaciliteiten.

Vingerafdrukidentificatiesystemen zijn de meest voorkomende. Een van de belangrijkste redenen voor het wijdverbreide gebruik van dergelijke systemen is de beschikbaarheid van grote vingerafdrukdatabanken. De belangrijkste gebruikers van dergelijke systemen over de hele wereld zijn de politie, verschillende overheidsorganisaties en enkele banken.

Identificatiesystemen gebaseerd op de geometrische vorm van de hand gebruik handvormscanners, meestal gemonteerd op muren. Opgemerkt moet worden dat de overgrote meerderheid van de gebruikers de voorkeur geeft aan systemen van dit specifieke type.

Gezichts- en stemidentificatiesystemen zijn het meest toegankelijk vanwege hun lage kosten, aangezien de meeste moderne computers over video- en audiomogelijkheden beschikken. Systemen van deze klasse worden veel gebruikt voor identificatie op afstand in telecommunicatienetwerken.

Identificatiesystemen gebaseerd op de dynamiek van handgeschreven handtekeningen rekening houden met de intensiteit van elke inspanning van de ondertekenaar, de frequentiekarakteristieken van het schrijven van elk element van de handtekening en de stijl van de handtekening als geheel.

Identificatiesystemen gebaseerd op biomechanische kenmerken van “toetsenbordhandschrift” zijn gebaseerd op het feit dat de momenten waarop toetsen worden ingedrukt en losgelaten bij het typen op het toetsenbord aanzienlijk variëren tussen verschillende gebruikers. Dit dynamische typeritme (“toetsenbordhandschrift”) maakt het mogelijk om redelijk betrouwbare identificatiemiddelen te bouwen.

Opgemerkt moet worden dat het gebruik van biometrische parameters bij het identificeren van toegangspersonen tot geautomatiseerde systemen nog geen adequate steun van de regelgeving heeft gekregen, met name in de vorm van normen. Daarom is het gebruik van biometrische identificatiesystemen alleen toegestaan ​​in systemen die persoonlijke gegevens verwerken en opslaan die commerciële en officiële geheimen vormen.

Wederzijdse gebruikersauthenticatie

Meestal vereisen partijen die een informatie-uitwisseling aangaan, wederzijdse authenticatie. Dit proces wordt uitgevoerd aan het begin van een communicatiesessie.

Voor authenticatie worden de volgende methoden gebruikt:

  • verzoek-antwoordmechanisme;
  • tijdstempelmechanisme.

Verzoek-antwoordmechanisme. Als gebruiker A er zeker van wil zijn dat de berichten die hij van gebruiker B ontvangt niet vals zijn, neemt hij een onvoorspelbaar element op in het bericht dat hij naar B stuurt: verzoek X (bijvoorbeeld een willekeurig getal). Bij het beantwoorden moet gebruiker B een vooraf bepaalde bewerking op dit nummer uitvoeren (bijvoorbeeld een functie f(X) berekenen). Dit kan niet van tevoren worden gedaan, omdat gebruiker B niet weet welk willekeurig getal X in het verzoek zal voorkomen. Nadat gebruiker A een antwoord heeft ontvangen met het resultaat van actie B, kan hij er zeker van zijn dat B echt is. Het nadeel van deze methode is de mogelijkheid om een ​​patroon vast te stellen tussen het verzoek en het antwoord.

Tijdstempelmechanisme omvat het registreren van de tijd voor elk bericht. In dit geval kan elke netwerkgebruiker bepalen hoe “verouderd” het binnenkomende bericht is en het niet accepteren, omdat het mogelijk vals is.

In beide gevallen moet encryptie worden gebruikt om het controlemechanisme te beschermen en ervoor te zorgen dat het antwoord niet door een aanvaller is verzonden.

Er is een probleem bij het gebruik van tijdstempels toegestane vertragingstijdsinterval om de sessie te authenticeren. Een bericht met een ‘time stamp’ kan immers in principe niet direct worden verzonden. Bovendien kunnen de computerklokken van de ontvanger en de afzender niet absoluut worden gesynchroniseerd.

Voor wederzijdse authenticatie is het gebruikelijk om te gebruiken handdrukprocedure, dat gebaseerd is op de hierboven genoemde mechanismen en bestaat uit wederzijdse verificatie van de door de partijen gebruikte sleutels. Met andere woorden: de partijen erkennen elkaar als legitieme partners als ze elkaar bewijzen dat ze over de juiste sleutels beschikken. De “handshake”-procedure wordt in computernetwerken gebruikt bij het organiseren van de communicatie tussen gebruikers, een gebruiker en een hostcomputer, tussen hostcomputers, enz.

Beschouw als voorbeeld de handshake-procedure voor twee gebruikers A en B. Laat een symmetrisch cryptosysteem worden gebruikt. Gebruikers A en B delen dezelfde geheime sleutel K AB.

  • Gebruiker A initieert een handdruk door gebruiker B zijn ID A in duidelijke vorm te sturen.
  • Gebruiker B, die ID A heeft ontvangen, vindt de geheime sleutel KAB in de database en voert deze in zijn cryptosysteem in.
  • Ondertussen genereert gebruiker A een willekeurige reeks S met behulp van een pseudo-willekeurige generator PG en stuurt deze naar gebruiker B als het cryptogram E K AB (S).
  • Gebruiker B decodeert dit cryptogram en onthult de oorspronkelijke vorm van de reeks S.
  • Beide gebruikers transformeren vervolgens de reeks S met behulp van de eenrichtingsfunctie f.
  • Gebruiker B codeert het bericht f(S) en stuurt het cryptogram E K AB (f(S)) naar gebruiker A.
  • Tenslotte decodeert gebruiker A dit cryptogram en vergelijkt het ontvangen bericht f"(S) met het originele f(S). Als deze berichten gelijk zijn, herkent gebruiker A de identiteit van gebruiker B.

Gebruiker A authenticeert gebruiker B op dezelfde manier. Beide procedures vormen een "handshake"-procedure, die gewoonlijk helemaal aan het begin van elke communicatiesessie tussen twee partijen in computernetwerken wordt uitgevoerd.

Het voordeel van het handshakemodel is dat geen van de communicatiedeelnemers tijdens de authenticatieprocedure geheime informatie ontvangt.

Soms willen gebruikers gedurende de gehele communicatiesessie continue afzenderauthenticatie. Laten we eens kijken naar een van de eenvoudigste methoden voor continue authenticatie.

Om een ​​bericht naar M te sturen, verzendt gebruiker A het cryptogram EK (ID A, M). De ontvanger decodeert het en onthult het paar (ID A, M). Als de ontvangen ID A overeenkomt met de opgeslagen ID, houdt de ontvanger rekening met dit bericht.

In plaats van identificatiegegevens kunt u geheime wachtwoorden gebruiken die vooraf zijn opgesteld en bij beide partijen bekend zijn. Vervolg: Identificatieprotocollen zonder kennisoverdracht

Literatuur

  1. Romanets Yu.V., Timofeev PA, Shangin VF Bescherming van informatie in computersystemen en netwerken. Ed. V.F. Shangina. - 2e druk, herzien. en extra - M.: Radio en Communicatie, 2001. - 376 p.: ill.

Bescherming tegen ongeoorloofde toegang (bescherming tegen ongeoorloofde toegang) is het voorkomen of aanzienlijk moeilijk maken van ongeoorloofde toegang.

Een hulpmiddel voor het beschermen van informatie tegen ongeautoriseerde toegang (IPS van NSD) is een software-, hardware- of software-hardware-tool die is ontworpen om ongeautoriseerde toegang te voorkomen of aanzienlijk te belemmeren.

Doel en algemene classificatie van.

Informatiebeschermingssystemen van NSD kunnen worden onderverdeeld in universele en gespecialiseerde (per toepassingsgebied), in particuliere en complexe oplossingen (door het geheel van opgeloste taken), in ingebouwde systeemtools en aanvullende (per implementatiemethode) .

Classificatie is uiterst belangrijk, omdat ontwikkelaars bij het bouwen van informatiebeveiligingssystemen van elk type totaal verschillende problemen formuleren en oplossen (soms tegenstrijdig met elkaar). Het concept van het beschermen van universele systeemtools is dus gebaseerd op de principes van ‘volledig vertrouwen in de gebruiker’; hun bescherming is grotendeels nutteloos in bedrijfssystemen, bijvoorbeeld bij het oplossen van problemen bij het tegengaan van interne IT-bedreigingen. De overgrote meerderheid van de informatiebeveiligingssystemen van vandaag de dag zijn gemaakt om de beveiligingsmechanismen te versterken die zijn ingebouwd in universele besturingssystemen voor gebruik in een bedrijfsomgeving. Als we het hebben over een reeks taken die moeten worden opgelost, dan moeten we het hebben over de integratie van mechanismen, zowel in termen van het effectief oplossen van een specifiek beschermingsprobleem, als in termen van het oplossen van een reeks problemen.

De consumenteneigenschappen (doel) van een aanvullend informatiebeveiligingssysteem van NSD worden bepaald door de mate waarin het aanvullende hulpmiddel de architectonische tekortkomingen elimineert van de beveiligingsmechanismen die in het besturingssysteem zijn ingebouwd met betrekking tot het oplossen van de vereiste taken in bedrijfsapplicaties, en hoe uitgebreid (effectief) het lost deze reeks informatiebeschermingsproblemen op.

Vragen voor het beoordelen van de effectiviteit van informatiebeschermingssystemen van NSD

De effectiviteit van informatiebeveiliging tegen non-discriminatie kan worden beoordeeld door onderzoek te doen naar de kwesties van de correcte implementatie van beschermingsmechanismen en de toereikendheid van een reeks beschermingsmechanismen in relatie tot de praktische gebruiksomstandigheden.

Het beoordelen van de juistheid van de implementatie van beschermingsmechanismen

Op het eerste gezicht is een dergelijke beoordeling niet moeilijk uit te voeren, maar in de praktijk is dit niet altijd het geval. Een voorbeeld: in NTFS kan een bestandsobject op verschillende manieren worden geïdentificeerd: bestandsobjecten die zijn gespecificeerd met een lange naam zijn toegankelijk via een korte naam (de map "Program files" is bijvoorbeeld toegankelijk via de korte naam "Progra~1 "), en sommige programma's Bestandsobjecten zijn niet toegankelijk op naam, maar op basis van ID. Als het beveiligingsinformatiesysteem dat in het informatiesysteem is geïnstalleerd niet slechts één soortgelijke methode voor toegang tot een bestandsobject onderschept en analyseert, wordt het over het algemeen volkomen nutteloos (vroeg of laat zal een aanvaller dit beveiligingslek identificeren en profiteren van Het). Laten we ook vermelden dat bestandsobjecten die niet tussen gebruikers worden gedeeld door het systeem en applicaties kunnen dienen als een “kanaal” voor het downgraden van een document, wat de bescherming van vertrouwelijke informatie teniet doet. Er zijn veel soortgelijke voorbeelden te geven.

Vereisten voor de correcte implementatie van beschermingsmechanismen zijn gedefinieerd in het regelgevingsdocument “State Technical Commission of Russia. Leidraad document. Computerfaciliteiten. Bescherming tegen ongeoorloofde toegang tot informatie. Indicatoren van beveiliging tegen ongeoorloofde toegang tot informatie”; het wordt gebruikt voor de certificering van informatiebeveiligingssystemen van NSD.

Deze vereisten zijn in de vereiste mate aanwezig in het document, ze zijn correct, maar geformuleerd in een algemene vorm (hoe kan het ook anders, anders zou het nodig zijn om voor elke besturingssysteemfamilie en mogelijk voor elk besturingssysteem een ​​eigen regelgevingsdocument op te stellen implementatie van dezelfde familie), en voor Om aan één vereiste te voldoen, kan het nodig zijn om verschillende beschermingsmechanismen te implementeren. Het gevolg hiervan is de dubbelzinnigheid van de interpretatie van deze vereisten (in termen van benaderingen van hun implementatie) en de mogelijkheid van fundamenteel verschillende benaderingen van de implementatie van beschermingsmechanismen in informatiebeveiligingssystemen tegen ongeoorloofde toegang door ontwikkelaars. Het resultaat is dat de effectiviteit van informatiebeschermingssystemen verschilt van die van niet-beschrijvende informatie bij fabrikanten die dezelfde geformaliseerde vereisten implementeren. Maar het niet voldoen aan een van deze vereisten kan alle inspanningen om de informatiebeveiliging te garanderen tenietdoen.

Het beoordelen van de toereikendheid (volledigheid) van een reeks beschermingsmechanismen

Vereisten voor de toereikendheid (volledigheid, in relatie tot de gebruiksvoorwaarden) van de reeks beschermingsmechanismen worden gedefinieerd in het document “State Technical Commission of Russia. Leidraad document. Geautomatiseerde systemen. Bescherming tegen ongeoorloofde toegang tot informatie. Indicators of security from NSD to information”, die wordt gebruikt bij de certificering van informatiseringsobjecten, ook bij gebruik in geautomatiseerde informatiebeveiligingssystemen van NSD. Hier is de situatie echter grotendeels vergelijkbaar met die hierboven beschreven.

Het zou dus raadzaam zijn om de formulering van de eis voor de toereikendheid van mechanismen in het informatiebeveiligingssysteem van de NSD uit te breiden om vertrouwelijke gegevens in regelgevingsdocumenten te beschermen, waarin er onduidelijkheid bestaat bij het bepalen van wat bijvoorbeeld als beschermde bronnen wordt geclassificeerd. , als volgt: “Er moet controle zijn over de verbinding van bronnen, in het bijzonder apparaten, in overeenstemming met de voorwaarden voor praktisch gebruik van de beschermde computerfaciliteit, en controle over de toegang van proefpersonen tot beschermde bronnen, in het bijzonder tot apparaten die zijn toegestaan verbinding."

Houd er rekening mee dat toegangscontrolemechanismen voor bronnen die altijd aanwezig zijn in het systeem - bestandsobjecten, OS-registerobjecten, enz. - a priori beschermd, en ze moeten in ieder geval aanwezig zijn in het informatiebeveiligingssysteem van de NSD, en wat externe bronnen betreft, rekening houdend met het doel van het informatiebeveiligingssysteem. Als het doel van het informatiebeveiligingssysteem is om computers op het netwerk te beschermen, dan moet het beschikken over toegangscontrolemechanismen tot netwerkbronnen; als het dient om offline computers te beschermen, moet het controle (verbod) bieden op het verbinden van netwerkbronnen met de computer. Deze regel is naar onze mening zonder uitzondering van toepassing op alle bronnen en kan worden gebruikt als basisvereiste voor een reeks beveiligingsmechanismen bij het certificeren van informatieobjecten.

Kwesties van de toereikendheid van beschermingsmechanismen moeten niet alleen in relatie tot de set van middelen worden bekeken, maar ook in relatie tot de informatiebeveiligingsproblemen die worden opgelost. Er zijn slechts twee vergelijkbare taken bij het garanderen van computerbeveiliging: het tegengaan van interne en externe IT-bedreigingen.

De algemene taak van het tegengaan van interne IT-bedreigingen is het waarborgen van differentiatie van de toegang tot bronnen in overeenstemming met de vereisten voor het verwerken van gegevens van verschillende vertrouwelijkheidscategorieën. Er zijn verschillende benaderingen om onderscheid te maken: per account, per proces, op basis van de categorie van het gelezen document. Elk van hen stelt zijn eigen eisen aan toereikendheid. In het eerste geval moet u dus het klembord tussen gebruikers isoleren; in de tweede - tussen processen; voor het derde geval is het over het algemeen noodzakelijk om het hele restrictieve toegangsbeleid tot alle bronnen radicaal te heroverwegen, aangezien dezelfde gebruiker, die dezelfde applicatie gebruikt, gegevens van verschillende vertrouwelijkheidscategorieën kan verwerken.

Er zijn tientallen manieren voor communicatie tussen processen (benoemde kanalen, geheugensectoren, enz.), dus het is noodzakelijk om de sluiting van de softwareomgeving te garanderen - om de mogelijkheid te voorkomen dat een programma wordt gelanceerd dat een dergelijk uitwisselingskanaal implementeert. Er rijzen ook vragen over bronnen die niet worden gedeeld door het systeem en de applicaties, controle over de juistheid van de identificatie van het toegangssubject, bescherming van de informatiebeveiliging zelf tegen ongeoorloofde toegang (de lijst met noodzakelijke beschermingsmechanismen om dit probleem effectief op te lossen is zeer indrukwekkend). De meeste daarvan worden niet expliciet vermeld in de regelgevingsdocumenten.

De taak van het effectief tegengaan van externe IT-bedreigingen kan naar onze mening alleen worden opgelost als er een demarcatiebeleid wordt vastgesteld voor het onderwerp ‘proces’ (dat wil zeggen dat het ‘proces’ moet worden beschouwd als een onafhankelijk onderwerp van toegang tot hulpbronnen). Dit komt door het feit dat hij degene is die de dreiging van een externe aanval met zich meedraagt. Een dergelijke vereiste bestaat niet expliciet in regelgevingsdocumenten, maar in dit geval vereist het oplossen van het probleem van informatiebescherming een radicale herziening van de basisprincipes voor het implementeren van het restrictieve beleid van toegang tot hulpbronnen.

Als de kwesties van de toereikendheid van beschermingsmechanismen met betrekking tot een reeks beschermde bronnen op de een of andere manier nog steeds vatbaar zijn voor formalisering, dan is het met betrekking tot informatiebeveiligingstaken niet mogelijk om dergelijke vereisten te formaliseren.

In dit geval kunnen informatiebeveiligingssystemen van NSD van verschillende fabrikanten die voldoen aan de geformaliseerde vereisten van regelgevingsdocumenten ook fundamentele verschillen vertonen, zowel in de geïmplementeerde benaderingen en technische oplossingen, als in de effectiviteit van deze tools in het algemeen.

Concluderend merken we op dat men het belang van de taak van het selecteren van informatiebeveiligingssystemen uit niet-discriminerende apparaten niet kan onderschatten, aangezien dit een speciale klasse van technische middelen is waarvan de effectiviteit niet hoog of laag kan zijn. Rekening houdend met de complexiteit van het beoordelen van de werkelijke effectiviteit van informatiebeschermingssystemen van NSD, raden we aan dat de consument specialisten (bij voorkeur uit ontwikkelaars die deze problemen in de praktijk tegenkomen) betrekt in de fase van het kiezen van informatiebeschermingssystemen van NSD.

Onbevoegde toegang - het lezen, bijwerken of vernietigen van informatie zonder de juiste autoriteit om dit te doen.

Ongeautoriseerde toegang wordt in de regel uitgevoerd door de naam van iemand anders te gebruiken, de fysieke adressen van apparaten te wijzigen, informatie te gebruiken die overblijft na het oplossen van problemen, software en informatie te wijzigen, opslagmedia te stelen, opnameapparatuur te installeren.

Om uw informatie succesvol te beschermen, moet de gebruiker een absoluut duidelijk inzicht hebben in de mogelijkheden manieren van ongeoorloofde toegang. We noemen de belangrijkste typische manieren om zonder toestemming informatie te verkrijgen:

· diefstal van opslagmedia en productieafval;

· opslagmedia kopiëren door beveiligingsmaatregelen te omzeilen;

· vermommen als geregistreerde gebruiker;

· hoax (vermomd als systeemverzoeken);

· het exploiteren van de tekortkomingen van besturingssystemen en programmeertalen;

· gebruik van softwarebladwijzers en softwareblokken van het type “Trojaans paard”;

· onderschepping van elektronische straling;

· onderschepping van akoestische straling;

· fotografie op afstand;

· gebruik van afluisterapparatuur;

· kwaadwillig uitschakelen van beveiligingsmechanismen, enz.

Om informatie tegen ongeoorloofde toegang te beschermen, wordt het volgende gebruikt:

1) organisatorische evenementen;

2) technische middelen;

3) software;

4) encryptie.

Organisatorische evenementen erbij betrekken:

· toegangsmodus;

· opslag van media en apparaten in een kluis (floppy disks, monitor, toetsenbord, etc.);

· beperking van de toegang van personen tot computerruimtes, enz.

Technische middelen erbij betrekken:

· filters, schermen voor apparatuur;

· sleutel om het toetsenbord te vergrendelen;

· authenticatieapparaten – voor het lezen van vingerafdrukken, handvorm, iris, typsnelheid en -technieken, enz.;

· elektronische sleutels op microschakelingen, enz.

Software erbij betrekken:

· wachtwoordtoegang – instellen van gebruikersrechten;

· vergrendel het scherm en het toetsenbord met een toetsencombinatie in het hulpprogramma Diskreet uit het Norton Utilites-pakket;

· gebruik van BIOS-wachtwoordbeveiligingstools - op het BIOS zelf en op de pc als geheel, enz.

Encryptie Dit is de transformatie (codering) van open informatie naar gecodeerde informatie die niet toegankelijk is voor buitenstaanders. Encryptie wordt voornamelijk gebruikt om gevoelige informatie via onbeveiligde communicatiekanalen te verzenden. U kunt alle informatie coderen: teksten, afbeeldingen, geluid, databases, enz. De mensheid maakt gebruik van encryptie sinds het moment dat er geheime informatie bestond die verborgen moest blijven voor vijanden. Het eerste gecodeerde bericht dat de wetenschap kent, is een Egyptische tekst, waarin andere karakters werden gebruikt in plaats van de toen aanvaarde hiërogliefen. Wetenschap bestudeert methoden voor het coderen en decoderen van berichten. cryptologie , waarvan de geschiedenis ongeveer vierduizend jaar teruggaat. Het bestaat uit twee takken: cryptografie en cryptanalyse.

Cryptografie is de wetenschap van manieren om informatie te versleutelen. Cryptoanalyse is de wetenschap van methoden en technieken voor het kraken van cijfers.

Meestal wordt aangenomen dat het versleutelingsalgoritme zelf bij iedereen bekend is, maar de sleutel ervan is onbekend, zonder welke het bericht niet kan worden ontsleuteld. Dit is het verschil tussen encryptie en eenvoudige codering, waarbij het voor het herstellen van een bericht voldoende is om alleen het coderingsalgoritme te kennen.

Sleutel- dit is een parameter van het coderingsalgoritme (cijfer), waarmee u één specifieke transformatie kunt selecteren uit alle opties die door het algoritme worden geboden. Als u de sleutel kent, kunt u berichten vrijelijk coderen en decoderen.

Alle cijfers (encryptiesystemen) zijn verdeeld in twee groepen: symmetrisch en asymmetrisch (met een openbare sleutel). Symmetrisch cijfer betekent dat dezelfde sleutel wordt gebruikt om berichten te versleutelen en te ontsleutelen. Op systemen met publieke sleutel Er worden twee sleutels gebruikt: openbaar en privé, die aan elkaar gerelateerd zijn met behulp van enkele wiskundige afhankelijkheden. Informatie wordt gecodeerd met een openbare sleutel, die voor iedereen beschikbaar is, en gedecodeerd met een privésleutel die alleen bekend is bij de ontvanger van het bericht.

Cijfersterkte is de weerstand van een cijfer tegen decodering zonder de sleutel te kennen. Een algoritme wordt als resistent beschouwd als het voor een succesvolle openbaarmaking van de vijand onbereikbare computerbronnen, een onbereikbaar volume aan onderschepte berichten of een zodanige tijd nodig heeft dat de beschermde informatie na het verstrijken ervan niet langer relevant zal zijn.

Een van de beroemdste en oudste cijfers is Caesar-cijfer. In dit cijfer wordt elke letter vervangen door een andere, die zich in het alfabet op een bepaald aantal posities k rechts ervan bevindt. Het alfabet is in een ring gesloten, zodat de laatste tekens door de eerste worden vervangen. Het Caesarcijfer verwijst naar eenvoudige vervangingscijfers, aangezien elk teken van het oorspronkelijke bericht wordt vervangen door een ander teken uit hetzelfde alfabet. Dergelijke cijfers kunnen gemakkelijk worden opgelost met behulp van frequentieanalyse, omdat in elke taal de frequentie waarmee letters voorkomen ongeveer constant is voor elke voldoende grote tekst.

Veel moeilijker te breken Vigenère-cijfer, wat een natuurlijke ontwikkeling werd van het Caesarcijfer. Om het Vigenère-cijfer te gebruiken, wordt een trefwoord gebruikt dat een variabele verschuivingswaarde specificeert. Het Vigenère-cijfer heeft een aanzienlijk hogere cryptografische kracht dan het Caesar-cijfer. Dit betekent dat het moeilijker is om het te openen - om het juiste trefwoord te kiezen. Theoretisch gezien kan het Vigenère-cijfer niet worden verbroken als de sleutellengte gelijk is aan de berichtlengte en elke sleutel slechts één keer wordt gebruikt.

Het gebruik van computers en geautomatiseerde technologieën creëert een aantal problemen voor het management van een organisatie. Computers, vaak in een netwerk, kunnen toegang bieden tot enorme hoeveelheden uiteenlopende gegevens. Daarom maken mensen zich zorgen over informatiebeveiliging en de risico's die gepaard gaan met automatisering en het bieden van veel meer toegang tot vertrouwelijke, persoonlijke of andere kritieke gegevens. Elektronische opslagmedia zijn zelfs nog kwetsbaarder dan papieren: de gegevens die erop zijn opgeslagen, kunnen worden vernietigd, gekopieerd en stilletjes gewijzigd.

Het aantal computercriminaliteit neemt toe en ook de omvang van computermisbruik neemt toe. Volgens Amerikaanse experts neemt de schade als gevolg van computercriminaliteit jaarlijks met 35 procent toe. Eén reden is de hoeveelheid geld die door de misdaad wordt gegenereerd: terwijl de gemiddelde computercriminaliteit $560.000 kost, kost een bankoverval slechts $19.000.

Volgens de Universiteit van Minnesota ging 93% van de bedrijven die langer dan tien dagen geen toegang meer hadden tot hun gegevens failliet en werd de helft onmiddellijk failliet verklaard.

Het aantal werknemers in een organisatie met toegang tot computerapparatuur en informatietechnologie groeit voortdurend. De toegang tot informatie is niet langer beperkt tot slechts een kleine kring van mensen aan de top van de organisatie. Hoe meer mensen toegang krijgen tot informatietechnologie en computerapparatuur, hoe meer mogelijkheden er zijn om computercriminaliteit te plegen.

Iedereen kan een computercrimineel zijn.

De typische computercrimineel is geen jonge hacker die de telefoon en de thuiscomputer gebruikt om toegang te krijgen tot grote computers. De typische computercrimineel is een werknemer die toegang krijgt tot een systeem waarvan hij een niet-technische gebruiker is. In de Verenigde Staten zijn wverantwoordelijk voor 70 tot 80 procent van de jaarlijkse computergerelateerde verliezen.

Tekens computercriminaliteit:

· diefstal van computeronderdelen;

· programmadiefstal;

· fysieke vernietiging van apparatuur;

· vernietiging van gegevens of programma's;

Dit zijn slechts de meest voor de hand liggende signalen waar u op moet letten bij het identificeren van computercriminaliteit. Soms geven deze signalen aan dat er al een misdrijf is gepleegd of dat beschermende maatregelen niet worden gevolgd. Ook kunnen ze kwetsbaarheden signaleren en aangeven waar lacunes in de beveiliging liggen. Hoewel signalen misdaad of misbruik kunnen helpen identificeren, kunnen beschermende maatregelen dit helpen voorkomen.

Gegevensbescherming – dit is een activiteit om het verlies en het lekken van beschermde informatie te voorkomen.

Informatiebeveiliging maatregelen oproepen om informatie te beschermen tegen ongeoorloofde toegang, vernietiging, wijziging, openbaarmaking en vertragingen in de toegang. Informatiebeveiliging omvat maatregelen om de processen van gegevenscreatie, -invoer, -verwerking en -uitvoer te beschermen.

Informatiebeveiliging zorgt ervoor dat het volgende wordt bereikt: doelen:

· vertrouwelijkheid van kritische informatie;

· integriteit van informatie en daaraan gerelateerde processen (creatie, input, verwerking en output);

· beschikbaarheid van informatie wanneer dat nodig is;

· boekhouding van alle processen die verband houden met informatie.

Onder kritisch gegevens verwijst naar gegevens die bescherming vereisen vanwege de waarschijnlijkheid van schade en de omvang ervan in het geval dat de gegevens per ongeluk of opzettelijk openbaar worden gemaakt, gewijzigd of vernietigd. Kritieke gegevens omvatten ook gegevens die, indien misbruikt of openbaar gemaakt, een negatieve invloed kunnen hebben op het vermogen van de organisatie om haar missies te volbrengen; persoonlijke gegevens en andere gegevens waarvan de bescherming vereist is door decreten van de president van de Russische Federatie, wetten van de Russische Federatie en andere statuten.

Elk beveiligingssysteem kan in principe worden gehackt. Bescherming wordt als effectief beschouwd als de kosten van hacken in verhouding staan ​​tot de waarde van de verkregen informatie.

Met betrekking tot de beschermingsmiddelen tegen ongeoorloofde toegang zijn zeven beveiligingsklassen (1 - 7) van computerapparatuur en negen klassen (1A, 1B, 1B, 1G, 1D, 2A, 2B, 3A, 3B) van geautomatiseerde systemen gedefinieerd. Voor computerapparatuur is klasse 7 de laagste en voor geautomatiseerde systemen 3B.

Technische, organisatorische en softwarematige middelen om de veiligheid en bescherming tegen ongeoorloofde toegang te garanderen

Er zijn vier beschermingsniveaus voor computer- en informatiebronnen:

Preventiegaat ervan uit dat alleen geautoriseerd personeel toegang heeft tot beschermde informatie en technologie.

Detectieomvat het vroegtijdig opsporen van misdaden en misbruiken, zelfs als beschermingsmechanismen zijn omzeild.

Beperkingvermindert de hoeveelheid verliezen als er toch een misdrijf plaatsvindt, ondanks maatregelen om dit te voorkomen en op te sporen.

HerstelZorgt voor een effectieve reconstructie van informatie met gedocumenteerde en geverifieerde herstelplannen.

Beschermingsmaatregelen- dit zijn maatregelen die door het management zijn ingevoerd om de veiligheid van informatie te waarborgen. Beschermingsmaatregelen omvatten de ontwikkeling van administratieve richtlijnen, de installatie van hardwareapparaten of aanvullende programma's, met als hoofddoel het voorkomen van misdaad en misbruik.

Het vormen van een informatiebeveiligingsregime is een complex probleem. Maatregelen om het op te lossen kunnen worden onderverdeeld in vier niveaus:

- wetgevend: wetten, voorschriften, normen, etc.;

- administratief: algemene acties ondernomen door het management van de organisatie;

- procedureel: specifieke veiligheidsmaatregelen met betrekking tot mensen;

- software en hardware: specifieke technische maatregelen.

Momenteel is het meest gedetailleerde wetgevingsdocument in Rusland op het gebied van informatiebeveiliging het Wetboek van Strafrecht. In de sectie “Misdaden tegen de openbare veiligheid” bevindt zich een hoofdstuk “Misdaden op het gebied van computerinformatie”. Het bevat drie artikelen: “Illegale toegang tot computerinformatie”, “Creatie, gebruik en distributie van kwaadaardige computerprogramma’s” en “Overtreding van de regels voor het besturen van computers, computersystemen of hun netwerken”. Het Wetboek van Strafrecht bewaakt alle aspecten van informatiebeveiliging: beschikbaarheid, integriteit, vertrouwelijkheid, en voorziet in straffen voor "vernietiging, blokkering, wijziging en kopiëren van informatie, verstoring van de werking van een computer, computersysteem of hun netwerk."

Laten we een aantal maatregelen overwegen om de informatiebeveiliging van computersystemen te beschermen.

1. Gebruikersverificatie. Deze maatregel vereist dat gebruikers computeraanmeldingsprocedures voltooien als identificatiemiddel bij het starten van hun werk. Om de identiteit van elke gebruiker te verifiëren, moeten voor de gebruiker unieke wachtwoorden worden gebruikt, die geen combinaties zijn van persoonlijke gegevens van de gebruiker. Het is noodzakelijk om veiligheidsmaatregelen te implementeren bij het beheren van wachtwoorden en om gebruikers vertrouwd te maken met de meest voorkomende fouten die het mogelijk maken een computermisdaad te plegen. Als uw computer een ingebouwd standaardwachtwoord heeft, moet u dit wijzigen.

Een nog betrouwbaardere oplossing is het organiseren van toegangscontrole tot gebouwen of tot een specifieke computer op het netwerk met behulp van plastic identificatiekaarten met een ingebouwde microschakeling - de zogenaamde microprocessorkaarten (smartcards). Hun betrouwbaarheid is voornamelijk te danken aan de onmogelijkheid om op een zelfgemaakte manier te kopiëren of na te maken. Installatie van een speciale lezer voor dergelijke kaarten is niet alleen mogelijk bij de ingang van het pand waar computers staan, maar ook rechtstreeks op werkstations en netwerkservers.

Er zijn ook verschillende apparaten om een ​​persoon te identificeren aan de hand van biometrische informatie: iris, vingerafdrukken, handgrootte, enz.

2. Wachtwoordbeveiliging.

De volgende regels zijn handig voor wachtwoordbeveiliging:

· U kunt uw wachtwoord met niemand delen;

· het wachtwoord moet moeilijk te raden zijn;

· om een ​​wachtwoord aan te maken, moet u kleine en hoofdletters gebruiken, of beter nog: u moet de computer het wachtwoord zelf laten genereren;

· het verdient de voorkeur om lange wachtwoorden te gebruiken, omdat deze veiliger zijn; het is het beste als het wachtwoord uit 6 of meer tekens bestaat;

· het wachtwoord mag niet op het computerscherm worden weergegeven wanneer u het invoert;

· wachtwoorden mogen niet op afdrukken worden vermeld;

· u kunt geen wachtwoorden op een tafel, muur of terminal schrijven; deze moeten in het geheugen worden bewaard;

· het wachtwoord moet periodiek worden gewijzigd en niet volgens een schema;

· de functie van wachtwoordbeheerder moet de meest betrouwbare persoon zijn;

· bij vertrek van een medewerker is het noodzakelijk het wachtwoord te wijzigen;

· medewerkers moeten tekenen voor wachtwoorden.

Een organisatie die kritische data verwerkt, moet autorisatieprocedures ontwikkelen en implementeren die bepalen welke gebruikers toegang moeten hebben tot welke informatie en applicaties.

De organisatie moet een procedure vaststellen waarbij de toestemming van bepaalde leidinggevenden vereist is voor het gebruik van computerbronnen, het verkrijgen van toestemming voor toegang tot informatie en applicaties, en het verkrijgen van een wachtwoord.

Als informatie wordt verwerkt in een groot computercentrum, is het noodzakelijk om de fysieke toegang tot computerapparatuur te controleren. Methoden zoals logboeken, sloten en pasjes, en bewakers kunnen geschikt zijn. De persoon die verantwoordelijk is voor de informatiebeveiliging moet weten wie het recht heeft om met computerapparatuur toegang te krijgen tot het pand en onbevoegde personen daar te kunnen verwijderen.

4. Voorzorgsmaatregelen tijdens gebruik.

· schakel ongebruikte terminals uit;

· sluit de ruimtes waar de terminals zich bevinden;

· computerschermen zo draaien dat ze niet zichtbaar zijn vanaf deuren, ramen en andere plaatsen die niet worden bediend;

· installeer speciale apparatuur die het aantal mislukte toegangspogingen beperkt, of terugbelt om de identiteit te verifiëren van gebruikers die telefoons gebruiken om toegang te krijgen tot de computer

· gebruik programma's om de terminal af te sluiten na een bepaalde periode van niet-gebruik;

· schakel het systeem uit buiten werktijd;

· gebruik systemen die het mogelijk maken dat een gebruiker, nadat hij is ingelogd, hem op de hoogte stelt van het tijdstip van zijn laatste sessie en het aantal mislukte pogingen om daarna een sessie tot stand te brengen. Hierdoor wordt de gebruiker een integraal onderdeel van het houtinspectiesysteem.

5. Fysieke beveiliging.

Beschermde computersystemen moeten stappen ondernemen om schade als gevolg van brand, overstromingen, vervuiling, hitte en stroompieken te voorkomen, detecteren en minimaliseren.

Brandalarmen en brandblussystemen moeten regelmatig worden gecontroleerd. Pc's kunnen worden beschermd met hoezen, zodat ze niet worden beschadigd door het brandblussysteem. In deze computerruimtes mogen geen brandbare materialen worden opgeslagen.

De kamertemperatuur kan worden geregeld door airconditioners en ventilatoren, evenals een goede ventilatie in de kamer. Problemen met te hoge temperaturen kunnen optreden in rekken van randapparatuur of door geblokkeerde ventilatieopeningen in terminals of pc's, dus regelmatige inspectie is noodzakelijk.

Het is raadzaam om luchtfilters te gebruiken, die de lucht helpen reinigen van stoffen die computers en schijven kunnen beschadigen. Roken, eten en drinken in de buurt van de pc moet verboden worden.

Computers moeten zo ver mogelijk van bronnen met grote hoeveelheden water, zoals pijpleidingen, worden geplaatst.

6. Mediabescherming (originele documenten, tapes, cartridges, schijven, afdrukken).

· bijhouden, bewaken en controleren van registers van informatiedragers;

· gebruikers trainen in de juiste methoden voor het reinigen en vernietigen van opslagmedia;

· markeringen aanbrengen op opslagmedia die de mate van kritiek weerspiegelen van de informatie die ze bevatten;

· opslagmedia vernietigen in overeenstemming met het plan van de organisatie;

· alle bestuursdocumenten doorgeven aan werknemers;

· bewaar schijven in enveloppen, dozen, metalen kluizen;

· Raak de oppervlakken van schijven met informatie niet aan

· plaats de schijven voorzichtig in de computer en houd ze uit de buurt van bronnen van magnetische velden en zonlicht;

· verwijder schijven en tapes waarmee momenteel niet wordt gewerkt;

· bewaar schijven die in een bepaalde volgorde op planken zijn gerangschikt;

· geef geen media met cruciale informatie aan onbevoegde personen;

· gooi beschadigde schijven met kritieke informatie pas weg of geef ze weg nadat ze zijn gedemagnetiseerd of via een vergelijkbare procedure;

· kritische informatie op schijven vernietigen door deze te demagnetiseren of fysiek te vernietigen in overeenstemming met de procedure in de organisatie;

· vernietig afdrukken en inktlinten van printers met kritische informatie in overeenstemming met de procedures van de organisatie;

· Zorg voor de veiligheid van afdrukken van wachtwoorden en andere informatie die toegang tot de computer mogelijk maakt.

7. Betrouwbare apparatuur selecteren.

De prestaties en fouttolerantie van een informatiesysteem zijn grotendeels afhankelijk van de prestaties van de servers. Als het nodig is om 24 uur per dag ononderbroken werking van het informatiesysteem te garanderen, worden speciale fouttolerante computers gebruikt, dat wil zeggen computers waarvan het falen van een afzonderlijk onderdeel niet tot een machinestoring leidt.

De betrouwbaarheid van informatiesystemen wordt negatief beïnvloed door de aanwezigheid van apparaten die zijn samengesteld uit componenten van lage kwaliteit en het gebruik van software zonder licentie. Buitensporige besparingen op de opleiding van personeel, de aanschaf van gelicentieerde software en hoogwaardige apparatuur leiden tot een afname van de uptime en aanzienlijke kosten voor het daaropvolgende systeemherstel.

8. Ononderbroken stroomvoorziening.

Een computersysteem is energie-intensief en daarom is de eerste voorwaarde voor het functioneren ervan een ononderbroken levering van elektriciteit. Een noodzakelijk onderdeel van het informatiesysteem moet een ononderbroken stroomvoorziening zijn voor servers en, indien mogelijk, voor alle lokale werkstations. Het wordt ook aanbevolen om de stroomvoorziening te dupliceren met behulp van verschillende stadsstations. Om het probleem radicaal op te lossen, kunt u reservestroomleidingen installeren vanaf de eigen generator van de organisatie.

9. Ontwikkel adequate bedrijfscontinuïteits- en herstelplannen.

Het doel van bedrijfscontinuïteit- en herstelplannen is ervoor te zorgen dat gebruikers hun meest essentiële verantwoordelijkheden kunnen blijven uitvoeren in het geval van een verstoring van de informatietechnologie. Onderhoudspersoneel moet weten hoe zij met deze plannen verder moeten gaan.

Bedrijfscontinuïteits- en herstelplannen (CRP’s) moeten worden geschreven, beoordeeld en regelmatig aan werknemers worden gecommuniceerd. De procedures van het plan moeten geschikt zijn voor het niveau van beveiliging en kriticiteit van de informatie. Het NRT-plan kan worden gebruikt in tijden van verwarring en paniek, dus het personeel moet regelmatig worden getraind.

10. Back-up.

Een van de belangrijkste punten om systeemherstel in geval van een ramp te garanderen, is het maken van back-ups van werkende programma's en gegevens. In lokale netwerken waar meerdere servers zijn geïnstalleerd, wordt het back-upsysteem meestal rechtstreeks in de vrije slots van de servers geïnstalleerd. In grote bedrijfsnetwerken wordt de voorkeur gegeven aan een speciale gespecialiseerde archiveringsserver, die automatisch informatie archiveert van de harde schijven van servers en werkstations op een bepaald tijdstip dat is ingesteld door de netwerkbeheerder, en een rapport uitbrengt over de uitgevoerde back-up.

Voor archiefinformatie van bijzondere waarde wordt aanbevolen om een ​​beveiligingsruimte te voorzien. Het is beter om duplicaten van de meest waardevolle gegevens in een ander gebouw of zelfs in een andere stad op te slaan. Deze laatste maatregel maakt de gegevens onkwetsbaar in geval van brand of een andere natuurramp.

11. Duplicatie, multiplexing en redundantie van kantoren.

Naast de back-up, die wordt uitgevoerd in geval van nood of volgens een vooraf ingesteld schema, worden speciale technologieën gebruikt om een ​​grotere veiligheid van gegevens op harde schijven te garanderen: schijfspiegeling en het maken van RAID-arrays, die een combinatie van meerdere harde schijven. Bij het opnemen wordt de informatie gelijkelijk over hen verdeeld, zodat als een van de schijven uitvalt, de gegevens daarop kunnen worden hersteld met behulp van de inhoud van de andere.

Clusteringtechnologie houdt in dat meerdere computers als één geheel functioneren. In de regel zijn servers geclusterd. Eén van de clusterservers kan in de hot standby-modus werken en is volledig gereed om de functies van de hoofdmachine uit te voeren als deze uitvalt. Een voortzetting van clusteringtechnologie is gedistribueerde clustering, waarbij verschillende clusterservers die over een lange afstand zijn gescheiden, worden verenigd via een mondiaal netwerk.

Gedistribueerde clusters komen dicht in de buurt van het concept van back-upkantoren, gericht op het verzekeren van de levensduur van een onderneming in het geval van de vernietiging van haar centrale gebouwen. Back-upkantoren zijn onderverdeeld in koude kantoren, waarin communicatiebedrading is uitgevoerd, maar er is geen apparatuur, en warme kantoren, wat een back-upcomputercentrum kan zijn dat alle informatie ontvangt van het centrale kantoor, een filiaal, een kantoor aan de andere kant van de weg. wielen, enz.

12. Reservering van communicatiekanalen.

Bij gebrek aan communicatie met de buitenwereld en haar afdelingen raakt het kantoor verlamd, daarom is redundantie van externe en interne communicatiekanalen van groot belang. Bij het maken van reserveringen wordt aanbevolen om verschillende soorten communicatie te combineren: kabellijnen en radiokanalen, bovengrondse en ondergrondse communicatie, enz.

Naarmate bedrijven steeds meer gebruik maken van internet, wordt hun bedrijfsvoering steeds afhankelijker van het functioneren van de internetprovider. Netwerktoegangsproviders hebben soms behoorlijk ernstige ongelukken, dus het is belangrijk om alle belangrijke applicaties op het interne netwerk van het bedrijf op te slaan en contracten te hebben met verschillende lokale providers. Denk ook vooraf na over de wijze waarop u strategische klanten op de hoogte kunt stellen van een wijziging in het e-mailadres en van de aanbieder kunt eisen dat hij maatregelen neemt om na calamiteiten de dienstverlening snel te kunnen herstellen.

12. Gegevensbescherming tegen onderschepping.

Voor elk van de drie belangrijkste technologieën voor het verzenden van informatie is er een interceptietechnologie: voor kabellijnen - verbinding maken met een kabel, voor satellietcommunicatie - een antenne gebruiken om een ​​signaal van een satelliet te ontvangen, voor radiogolven - radio-interceptie. Russische veiligheidsdiensten verdelen de communicatie in drie klassen. De eerste heeft betrekking op lokale netwerken die zich in een veiligheidszone bevinden, dat wil zeggen gebieden met beperkte toegang en afgeschermde elektronische apparatuur en communicatielijnen, en zonder toegang tot communicatiekanalen daarbuiten. De tweede klasse omvat communicatiekanalen buiten de veiligheidszone, beschermd door organisatorische en technische maatregelen, en de derde klasse omvat onbeschermde openbare communicatiekanalen. Het gebruik van tweederangscommunicatie verkleint de kans op het onderscheppen van gegevens aanzienlijk.

Om informatie in een extern communicatiekanaal te beschermen, worden de volgende apparaten gebruikt: scramblers voor het beschermen van steminformatie, encryptors voor omroepcommunicatie en cryptografische hulpmiddelen die zorgen voor de encryptie van digitale gegevens.



GERELATEERDE ARTIKELEN