Ulinzi wa habari katika mifumo ya kompyuta na mitandao. Vitisho na udhaifu wa mitandao ya ushirika yenye waya Usalama wa mtandao wa shirika

Usalama wa mtandao na habari

Kuhakikisha usalama wa mtandao wa shirika

Usalama wa hali ya juu na uzingatiaji wa udhibiti ni lazima katika miradi ya mitandao ya biashara.

Ili kulinda rasilimali zao za habari, makampuni ya biashara hutekeleza ufumbuzi wa usalama wa mtandao katika miundombinu yao, kuhakikisha usalama wa mtandao na data ya kibiashara katika ngazi zote:

  • firewall
  • mitandao ya VPN inayosimamiwa
  • kugundua na kuzuia majaribio ya kuingilia mtandao
  • kulinda vituo vya kubadilishana trafiki
  • mfumo wa antivirus wa kampuni.

Usalama wa muunganisho

Kwa wafanyikazi kwenye safari za biashara au kufanya kazi kutoka nyumbani, ufikiaji wa mbali kwa mtandao wa ushirika umekuwa hitaji la kazi.

Mashirika zaidi na zaidi yanaruhusu washirika kufikia mitandao yao wakiwa mbali ili kupunguza gharama za matengenezo ya mfumo. Kwa hiyo, kulinda vituo vya kubadilishana trafiki ni mojawapo ya kazi muhimu zaidi katika kuhakikisha usalama wa mtandao wa kampuni.

Maeneo ambayo mtandao wa shirika huunganisha kwenye Mtandao ni eneo la usalama wa mtandao. Trafiki zinazoingia na kutoka hukatiza katika sehemu hizi. Trafiki ya watumiaji wa kampuni huvuka mipaka ya mtandao, na maombi ya mtandao kutoka kwa watumiaji wa nje ya kufikia programu za wavuti na barua pepe huingia kwenye mtandao wa kampuni.

Kwa sababu sehemu za mwisho zina muunganisho endelevu kwa Mtandao, ambao kwa kawaida huruhusu trafiki ya nje kuingia kwenye mtandao wa shirika, ni lengo kuu la washambuliaji.

Wakati wa kujenga mtandao wa usalama wa data wa kampuni, firewalls huwekwa kwenye kando ya mtandao kwenye pointi za kufikia mtandao. Vifaa hivi vinakuwezesha kuzuia na kuzuia vitisho vya nje wakati wa kukomesha vichuguu vya VPN (ona Mchoro 1).


Mtini.1 Mzunguko wa usalama wa mtandao wa shirika

Seti ya Cisco Systems ya suluhu zilizounganishwa za muunganisho salama huhakikisha faragha yako. Mtandao unachunguza ncha zote na mbinu za kufikia katika mitandao yote ya kampuni: LAN, WAN na mtandao wa simu zisizo na waya

Upatikanaji kamili wa firewall na huduma za VPN huhakikishwa. Vipengele vya ngome hutoa uchujaji wa hali ya juu wa safu ya programu kwa trafiki inayoingia na kutoka, ufikiaji salama wa nje kwa watumiaji, na mtandao wa DMZ kwa seva zinazohitaji kufikiwa kutoka kwa Mtandao.

Kiunganishi cha mfumo IC "Telecom-Service" huunda mitandao ya usalama ya kampuni kulingana na vifaa vya usalama vyenye kazi nyingi kutoka kwa Mifumo ya Cisco, Mitandao ya Juniper na Teknolojia ya Huawei, ikiruhusu kupunguza idadi ya vifaa vinavyohitajika kwenye mtandao.

Ufumbuzi wa kina wa usalama wa mtandao wa kampuni kutoka kwa Mifumo ya Cisco, Mitandao ya Juniper na Teknolojia ya Huawei ina faida kadhaa ambazo ni muhimu kwa biashara yenye ufanisi:

  • kupunguza bajeti ya IT kwa uendeshaji na matengenezo ya programu na maunzi
  • kuongeza kubadilika kwa mtandao
  • kupunguza gharama za utekelezaji
  • kupunguzwa kwa jumla ya gharama ya umiliki
  • kuimarisha udhibiti kupitia usimamizi wa umoja na kuanzishwa kwa sera za usalama
  • kuongeza faida na kuongeza viashiria vya ufanisi wa biashara
  • kupunguza vitisho vya usalama kwa mtandao na mifumo ya uhifadhi
  • utumiaji wa sera madhubuti za usalama na sheria kwenye nodi za mwisho za mtandao: Kompyuta, PDA na seva
  • kupunguza muda wa kutekeleza masuluhisho mapya ya usalama
  • kuzuia ufanisi wa kuingilia mtandao
  • ushirikiano na programu kutoka kwa watengenezaji wengine katika uwanja wa usalama na usimamizi.
  • udhibiti kamili wa ufikiaji wa mtandao

Bidhaa za usalama za Cisco katika viwango vyote vya mtandao

Usalama wa Mwisho: Programu ya Wakala wa Usalama wa Cisco hulinda kompyuta na seva kutokana na mashambulizi ya minyoo.

Firewalls zilizojengwa ndani: Kifaa cha Usalama cha PIX, Moduli ya Huduma za Firewall ya Catalyst 6500, na seti ya kipengele cha ngome hulinda mtandao ndani na kwenye eneo.

Ulinzi wa kuingilia mtandao: Sensa za 4200 za IPS, Moduli za Huduma za IDS za Catalyst 6500 (IDSM-2), au IOS IPS hutambua, kuchanganua na kuzuia trafiki hasidi isiyoombwa.

Kugundua na kuondoa mashambulizi ya DDoS: Cisco Traffic Anomaly Detector XT na Guard XT huhakikisha utendakazi wa kawaida katika tukio la mashambulizi ya kukatizwa kwa huduma. Huduma za Kigunduzi cha Cisco Traffic Anomaly na moduli za Cisco Guard hutoa ulinzi mkali dhidi ya mashambulizi ya DDoS kwenye swichi za Catalyst 6500 Series na vipanga njia 7600 vya Mfululizo.

Usalama wa Maudhui: Moduli ya kifaa Fikia Injini ya Maudhui ya Kisambaza data hulinda programu za biashara zinazofanya kazi na Mtandao na kuhakikisha uwasilishaji bila hitilafu wa maudhui ya wavuti.

Mtandao wenye akili na huduma za usimamizi wa usalama: Trafiki na programu zisizohitajika hupatikana na kuzuiwa katika vipanga njia na swichi za Cisco.

Usimamizi na ufuatiliaji:

Bidhaa:

  • CiscoWorks VPN/Suluhisho la Usimamizi wa Usalama (VMS)
  • CiscoWorksSecurity Information Management System (SIMS) - mfumo wa usimamizi wa habari za usalama
    • Vidhibiti vya vifaa vilivyojengewa ndani: Kidhibiti cha Kisambaza data cha Cisco na Kidhibiti cha Kifaa cha Usalama (SDM), Kidhibiti cha Kifaa cha PIX (PDM), Kidhibiti cha Kifaa Kinachobadilika (ASDM) fuatilia kwa haraka na kwa ufanisi, fuatilia huduma za usalama na shughuli za mtandao.

    Teknolojia ya Udhibiti wa Uandikishaji wa Mtandao (NAC) kutoka Cisco

    Udhibiti wa Uandikishaji wa Mtandao (NAC) ni seti ya teknolojia na suluhisho kulingana na mpango wa sekta nzima unaoongozwa na Cisco Systems.

    NAC hutumia miundombinu ya mtandao kutekeleza sera za usalama kwenye vifaa vyote vinavyotaka kufikia rasilimali za mtandao. Hii inapunguza uharibifu unaowezekana kwa mtandao kutokana na vitisho vya usalama.

    Vifaa vya usalama vinavyofanya kazi nyingi hutoa ufikiaji salama wa mbali kwa VPN ya shirika kwa wafanyikazi na washirika wanaotumia itifaki za SSL na IPsec VPN, huduma za kuzuia zilizojumuishwa ili kuzuia na kuzuia kuingiliwa kwa IPS.

    Mtandao wa Kujilinda - mkakati wa mtandao wa kujilinda kutoka kwa Cisco

    Mtandao wa Kujilinda ni mkakati wa siku zijazo kutoka kwa Cisco. Teknolojia inakuwezesha kulinda michakato ya biashara ya biashara kwa kugundua na kuzuia mashambulizi, kukabiliana na vitisho vya ndani na nje vya mtandao.

    Biashara zinaweza kutumia kwa ufanisi zaidi uwezo wa kiakili wa rasilimali za mtandao, kuboresha michakato ya biashara na kupunguza gharama.

    Cisco Usalama Management Suite

    Cisco Security Management Suite ni seti ya bidhaa na teknolojia iliyoundwa ili kutoa usimamizi mbaya na utekelezaji wa sera za usalama kwa mtandao wa Cisco unaojilinda.

    Bidhaa iliyojumuishwa ya Cisco hukuruhusu kugeuza kazi za usimamizi wa usalama kiotomatiki kwa kutumia vipengee muhimu: meneja wa usimamizi na Cisco Usalama MARS - mfumo wa ufuatiliaji, uchambuzi na majibu.

    Meneja wa Usimamizi wa Usalama wa Cisco hutoa kiolesura rahisi cha kusanidi ngome, VPN, na mfumo wa ulinzi wa kuingilia (IPS) kwenye vifaa vya usalama vya Cisco, ngome, vipanga njia, na swichi.

    Mifumo ya habari ambayo vifaa vya kusambaza data ni vya kampuni moja na hutumiwa tu kwa mahitaji ya kampuni hii kawaida huitwa mtandao wa kiwango cha biashara - mtandao wa kompyuta wa kampuni (CN). CS ni mtandao wa ndani wa kibinafsi wa shirika unaochanganya rasilimali za kompyuta, mawasiliano na habari za shirika hili na unakusudiwa kuhamisha data ya kielektroniki, ambayo inaweza kuwa habari yoyote. Kwa hivyo, kwa kuzingatia hapo juu, tunaweza kusema kwamba ndani ya CS sera maalum imefafanuliwa inayoelezea maunzi na programu, sheria za kupata watumiaji ufikiaji wa rasilimali za mtandao, sheria za usimamizi wa mtandao, udhibiti wa matumizi ya rasilimali na maendeleo zaidi ya mtandao. Mtandao wa ushirika ni mtandao wa shirika la mtu binafsi.

    Ufafanuzi fulani unaofanana unaweza kutengenezwa kulingana na dhana ya mtandao wa ushirika iliyotolewa katika kazi ya Olifer V.G. na Oliver N.D. "Mitandao ya kompyuta: kanuni, teknolojia, itifaki": shirika lolote ni mkusanyiko wa mambo ya kuingiliana (mgawanyiko), ambayo kila mmoja inaweza kuwa na muundo wake. Vipengele vinaunganishwa kwa kazi, i.e. wanafanya aina fulani za kazi ndani ya mfumo wa mchakato wa biashara moja, pamoja na habari, kubadilishana nyaraka, faksi, maagizo ya maandishi na ya mdomo, nk. Kwa kuongeza, vipengele hivi vinaingiliana na mifumo ya nje, na mwingiliano wao unaweza pia kuwa wa habari na wa kazi. Na hali hii ni kweli kwa karibu mashirika yote, haijalishi ni aina gani ya shughuli wanayofanya - kwa wakala wa serikali, benki, biashara ya viwandani, kampuni ya kibiashara, nk.

    Mtazamo kama huo wa jumla wa shirika unaturuhusu kuunda kanuni za jumla za kuunda mifumo ya habari ya shirika, i.e. mifumo ya habari katika shirika.

    Mtandao wa ushirika ni mfumo ambao hutoa uhamishaji wa taarifa kati ya programu mbalimbali zinazotumiwa katika mfumo wa shirika. Mtandao wa shirika ni mtandao wowote unaofanya kazi kwa kutumia itifaki ya TCP/IP na kutumia viwango vya mawasiliano ya Intaneti, pamoja na programu za huduma zinazotoa uwasilishaji wa data kwa watumiaji wa mtandao. Kwa mfano, kampuni inaweza kuunda seva ya Wavuti ili kuchapisha matangazo, ratiba za uzalishaji na hati zingine rasmi. Wafanyikazi hufikia hati zinazohitajika kwa kutumia zana za kuvinjari kwenye Wavuti.

    Seva za wavuti kwenye mtandao wa shirika zinaweza kuwapa watumiaji huduma zinazofanana na huduma za Intaneti, kama vile kufanya kazi na kurasa za maandishi ya hali ya juu (zilizo na maandishi, viungo, michoro na sauti), kutoa nyenzo zinazohitajika kwa maombi kutoka kwa wateja wa Wavuti, na kufikia hifadhidata. Katika mwongozo huu, huduma zote za uchapishaji zinarejelewa kama "Huduma za Mtandao," bila kujali zinatumika wapi (kwenye Mtandao au mtandao wa shirika).

    Mtandao wa ushirika, kama sheria, unasambazwa kijiografia, i.e. kuunganisha ofisi, mgawanyiko na miundo mingine iko katika umbali mkubwa kutoka kwa kila mmoja. Kanuni ambazo mtandao wa ushirika hujengwa ni tofauti kabisa na zile zinazotumiwa wakati wa kuunda mtandao wa ndani. Kizuizi hiki ni cha msingi, na wakati wa kuunda mtandao wa ushirika, hatua zote zinapaswa kuchukuliwa ili kupunguza kiasi cha data zinazopitishwa. Vinginevyo, mtandao wa ushirika haupaswi kuweka vikwazo juu ya maombi gani na jinsi ya kuchakata taarifa zinazohamishwa juu yake. Kipengele cha tabia ya mtandao kama huo ni kwamba inafanya kazi vifaa kutoka kwa wazalishaji na vizazi anuwai, na vile vile programu nyingi ambazo hazielekezwi kwa usindikaji wa pamoja wa data.

    Ili kuunganisha watumiaji wa mbali kwenye mtandao wa ushirika, chaguo rahisi zaidi na cha bei nafuu ni kutumia mawasiliano ya simu. Mitandao ya ISDN inaweza kutumika inapowezekana. Ili kuunganisha nodes za mtandao mara nyingi, mitandao ya data ya kimataifa hutumiwa. Hata pale ambapo inawezekana kuweka mistari ya kujitolea (kwa mfano, ndani ya jiji moja), matumizi ya teknolojia ya kubadili pakiti hufanya iwezekanavyo kupunguza idadi ya njia muhimu za mawasiliano na, muhimu, kuhakikisha utangamano wa mfumo na mitandao iliyopo ya kimataifa.

    Kuunganisha mtandao wa shirika lako kwenye Mtandao kunahalalishwa ikiwa unahitaji ufikiaji wa huduma zinazofaa. Katika kazi nyingi, kuna maoni kuhusu kuunganisha kwenye Mtandao: Inafaa kutumia Intaneti kama njia ya upokezaji wa data tu wakati mbinu zingine hazipatikani na masuala ya kifedha yanazidi mahitaji ya kutegemewa na usalama. Ikiwa utatumia mtandao tu kama chanzo cha habari, ni bora kutumia teknolojia ya kupiga simu unapohitaji, i.e. njia hii ya uunganisho, wakati uunganisho kwenye node ya mtandao imeanzishwa tu kwa mpango wako na kwa muda unaohitaji. Hii inapunguza kwa kiasi kikubwa hatari ya kuingia bila idhini kwenye mtandao wako kutoka nje.

    Ili kuhamisha data ndani ya mtandao wa ushirika, inafaa pia kutumia njia za kawaida za mitandao ya kubadilisha pakiti. Faida kuu za njia hii ni uchangamano, kubadilika, usalama

    Kama matokeo ya kusoma muundo wa mitandao ya habari (IS) na teknolojia ya usindikaji wa data, dhana ya usalama wa habari wa IS inatengenezwa. Dhana hiyo inaakisi mambo makuu yafuatayo:

    • 1) Shirika la mtandao wa shirika
    • 2) vitisho vilivyopo kwa usalama wa habari, uwezekano wa utekelezaji wao na uharibifu unaotarajiwa kutoka kwa utekelezaji huu;
    • 3) shirika la uhifadhi wa habari katika IS;
    • 4) shirika la usindikaji wa habari;
    • 5) udhibiti wa upatikanaji wa wafanyakazi kwa hili au habari hiyo;
    • 6) jukumu la wafanyikazi katika kuhakikisha usalama.

    Kuendeleza mada hii, kwa kuzingatia dhana ya usalama wa habari wa IS iliyotolewa hapo juu, mpango wa usalama unapendekezwa, muundo ambao lazima ukidhi masharti yafuatayo:

    Ulinzi dhidi ya kupenya bila ruhusa kwenye mtandao wa ushirika na uwezekano wa uvujaji wa habari kupitia njia za mawasiliano.

    Ufafanuzi wa habari unapita kati ya sehemu za mtandao.

    Kulinda rasilimali muhimu za mtandao.

    Ulinzi wa Cryptographic wa rasilimali za habari.

    Kwa kuzingatia kwa kina hali ya juu ya usalama, inashauriwa kutoa maoni: kulinda dhidi ya kupenya bila ruhusa na uvujaji wa habari, inapendekezwa kutumia firewalls au firewalls. Kwa kweli, firewall ni lango ambalo hufanya kazi za kulinda mtandao kutoka kwa upatikanaji usioidhinishwa kutoka nje (kwa mfano, kutoka kwa mtandao mwingine).

    Kuna aina tatu za firewalls:

    Lango la kiwango cha programu Lango la kiwango cha programu mara nyingi huitwa seva mbadala - hufanya kazi kama upeanaji data kwa idadi ndogo ya programu za mtumiaji. Hiyo ni, ikiwa lango haliunga mkono programu fulani, basi huduma inayolingana haitolewa, na data ya aina inayolingana haiwezi kupita kwenye firewall.

    Kipanga njia cha kuchuja. Kipanga njia cha chujio. Kwa usahihi zaidi, ni kipanga njia ambacho kazi zake za ziada ni pamoja na kipanga njia cha kuchuja pakiti. Inatumika kwenye mitandao iliyobadilishwa kwa pakiti katika modi ya datagramu. Hiyo ni, katika teknolojia hizo za kupeleka habari kwenye mitandao ya mawasiliano ambayo ndege ya kuashiria (uanzishwaji wa awali wa uhusiano kati ya UI na UE) haipo (kwa mfano, IP V 4). Katika kesi hii, uamuzi wa kusambaza pakiti ya data inayoingia kwenye mtandao inategemea maadili ya sehemu za kichwa cha safu ya usafirishaji. Kwa hivyo, ukuta wa moto wa aina hii kawaida hutekelezwa kama orodha ya sheria zinazotumika kwa maadili ya uwanja wa kichwa cha safu ya usafirishaji.

    Badili lango la safu. Kubadilisha lango la ngazi - ulinzi unatekelezwa katika ndege ya udhibiti (katika kiwango cha kuashiria) kwa kuruhusu au kukataza miunganisho fulani.

    Mahali maalum hupewa ulinzi wa siri wa rasilimali za habari katika mitandao ya ushirika. Kwa kuwa usimbaji fiche ni mojawapo ya njia za kuaminika zaidi za kulinda data kutoka kwa ufikiaji usioidhinishwa. Kipengele maalum cha matumizi ya zana za kriptografia ni udhibiti mkali wa sheria. Hivi sasa, katika mitandao ya ushirika imewekwa tu kwenye vituo vya kazi ambapo habari ya kiwango cha juu sana cha umuhimu huhifadhiwa.

    Kwa hivyo, kulingana na uainishaji wa njia za ulinzi wa siri wa rasilimali za habari katika mitandao ya ushirika, zimegawanywa katika:

    Mifumo ya siri ya ufunguo mmoja mara nyingi huitwa mifumo ya siri ya kitamaduni, linganifu au ya ufunguo mmoja. Mtumiaji huunda ujumbe wazi ambao vipengele vyake ni wahusika wa alfabeti yenye ukomo. Kitufe cha usimbaji huzalishwa ili kusimba ujumbe ulio wazi. Ujumbe uliosimbwa kwa njia fiche hutengenezwa kwa kutumia algoriti ya usimbaji fiche

    Mfano hapo juu hutoa kwamba ufunguo wa usimbuaji hutolewa mahali sawa na ujumbe wenyewe. Hata hivyo, suluhisho jingine la kuunda ufunguo linawezekana - ufunguo wa encryption huundwa na mtu wa tatu (kituo cha usambazaji muhimu), ambacho kinaaminiwa na watumiaji wote wawili. Katika kesi hii, mtu wa tatu anajibika kwa kutoa ufunguo kwa watumiaji wote wawili. Kwa ujumla, suluhisho hili linapingana na kiini cha cryptography - kuhakikisha usiri wa habari za mtumiaji zinazopitishwa.

    Mifumo ya siri ya ufunguo mmoja hutumia kanuni za uingizwaji (ubadilishaji), upitishaji (ubadilishaji), na utungaji. Ubadilishaji hubadilisha herufi mahususi katika ujumbe wazi na wahusika wengine. Usimbaji fiche kwa kutumia kanuni ya uidhinishaji unahusisha kubadilisha mpangilio wa herufi katika ujumbe ulio wazi. Ili kuongeza uaminifu wa usimbaji fiche, ujumbe uliosimbwa kwa njia fiche uliopokewa kwa kutumia msimbo fulani unaweza kusimbwa tena kwa kutumia msimbo tofauti. Wanasema kwamba katika kesi hii mbinu ya utunzi ilitumiwa. Kwa hivyo, mifumo ya siri ya ulinganifu (ya ufunguo mmoja) inaweza kuainishwa katika mifumo inayotumia vibadala, vibali na misimbo ya utunzi.

    Mfumo wa siri wa ufunguo wa umma. Hii hutokea tu ikiwa watumiaji wanatumia vitufe tofauti vya KO na KZ wakati wa kusimba na kusimbua. Mfumo huu wa crypto unaitwa asymmetric, ufunguo-mbili au ufunguo wa umma.

    Mpokeaji wa ujumbe (mtumiaji 2) hutoa jozi muhimu zinazohusiana:

    KO ni ufunguo wa umma ambao unapatikana kwa umma na hivyo unapatikana kwa mtumaji wa ujumbe (mtumiaji 1);

    KS ni ufunguo wa siri, wa kibinafsi ambao unabaki kujulikana tu kwa mpokeaji wa ujumbe (mtumiaji 1).

    Mtumiaji 1, akiwa na ufunguo wa usimbaji fiche wa KO, hutumia algoriti fulani ya usimbaji kutoa maandishi ya siri.

    Mtumiaji 2, anayemiliki ufunguo wa siri Kс, ana fursa ya kufanya kitendo kinyume.

    Katika kesi hii, mtumiaji 1 huandaa ujumbe kwa mtumiaji 2 na, kabla ya kutuma, husimba ujumbe huu kwa kutumia ufunguo wa kibinafsi wa KS. Mtumiaji 2 anaweza kusimbua ujumbe huu kwa kutumia kitufe cha umma cha KO. Kwa kuwa ujumbe ulisimbwa kwa njia fiche kwa ufunguo binafsi wa mtumaji, unaweza kufanya kazi kama sahihi ya dijitali. Kwa kuongeza, katika kesi hii haiwezekani kubadili ujumbe bila upatikanaji wa ufunguo wa kibinafsi wa mtumiaji 1, hivyo ujumbe pia hutatua tatizo la kutambua mtumaji na uadilifu wa data.

    Hatimaye, ningependa kusema kwamba kwa kufunga hatua za usalama za cryptographic, inawezekana kulinda kwa uaminifu mahali pa kazi ya mfanyakazi wa shirika ambaye anafanya kazi moja kwa moja na habari ambayo ni ya umuhimu hasa kwa kuwepo kwa shirika hili kutoka kwa upatikanaji usioidhinishwa.

    Utambulisho/uthibitishaji (IA) wa waendeshaji lazima ufanyike katika maunzi kabla ya hatua ya kuwasha Mfumo wa Uendeshaji. Database ya IA lazima ihifadhiwe katika kumbukumbu isiyo na tete ya mifumo ya usalama wa habari (IPS), iliyoandaliwa kwa namna ambayo upatikanaji wake kwa njia ya PC hauwezekani, i.e. Kumbukumbu isiyo tete lazima iwe nje ya nafasi ya anwani ya Kompyuta.

    Utambulisho/uthibitishaji wa watumiaji wa mbali, kama katika kesi ya awali, inahitaji utekelezaji wa maunzi. Uthibitishaji unawezekana kwa njia mbalimbali, ikiwa ni pamoja na sahihi ya kielektroniki ya kidijitali (EDS). Mahitaji ya "uthibitishaji ulioimarishwa" inakuwa ya lazima, i.e. mara kwa mara kurudia utaratibu wakati wa operesheni kwa muda wa vipindi vidogo vya kutosha ili ikiwa ulinzi unashindwa, mshambuliaji hawezi kusababisha uharibifu mkubwa.

    2. Ulinzi wa vifaa vya kiufundi kutoka kwa ufikiaji usioidhinishwa

    Njia za kulinda kompyuta kutoka kwa ufikiaji usioidhinishwa zinaweza kugawanywa katika kufuli za elektroniki (EL) na moduli za boot zinazoaminika za vifaa (THM). Tofauti yao kuu ni jinsi udhibiti wa uadilifu unavyotekelezwa. Kufuli za kielektroniki hutekeleza taratibu za I/A za mtumiaji katika maunzi na hutumia programu ya nje kutekeleza taratibu za udhibiti wa uadilifu. ASMD hutekeleza katika maunzi kazi zote za usalama za kielektroniki na kazi za ufuatiliaji wa uadilifu na kazi za usimamizi.

    Kufuatilia uadilifu wa muundo wa kiufundi wa Kompyuta na LAN. Kufuatilia uadilifu wa muundo wa kiufundi wa PC lazima ufanyike na mtawala wa SZI kabla ya kupakia OS. Hii lazima idhibiti rasilimali zote zinazoweza (uwezekano) kushirikiwa, ikiwa ni pamoja na CPU, BIOS ya mfumo, diski kuu, diski kuu na CD-ROM.

    Uadilifu wa muundo wa kiufundi wa LAN lazima uhakikishwe kwa utaratibu wa uthibitishaji ulioimarishwa wa mtandao. Utaratibu lazima ufanyike katika hatua ya kuunganisha PC zilizoidhinishwa kwenye mtandao na kisha kwa vipindi vya muda vilivyopangwa na msimamizi wa usalama.

    Kufuatilia uadilifu wa OS, i.e. ufuatiliaji wa uadilifu wa maeneo ya mfumo na faili za OS lazima zifanywe na mtawala kabla ya kupakia OS ili kuhakikisha kuwa data halisi inasomwa. Kwa kuwa mifumo mbalimbali ya uendeshaji inaweza kutumika katika usimamizi wa hati za elektroniki, programu iliyojengwa ndani ya mtawala inapaswa kutoa msaada kwa mifumo maarufu zaidi ya faili.

    Kufuatilia uadilifu wa programu ya programu (ASW) na data inaweza kufanywa na vifaa na vifaa vya programu vya mfumo wa usalama wa habari.

    3. Kuzuia upatikanaji wa nyaraka, PC na rasilimali za mtandao

    Mifumo ya kisasa ya uendeshaji inazidi kuwa na zana za udhibiti wa ufikiaji zilizojengwa. Kwa kawaida, zana hizi hutumia vipengele vya mfumo maalum wa faili (FS) na hutegemea sifa zinazohusiana na moja ya safu za API za mfumo wa uendeshaji. Katika kesi hii, shida mbili zifuatazo zinaibuka.


    Kufunga kwa vipengele vya mfumo wa faili. Mifumo ya kisasa ya uendeshaji, kama sheria, haitumii moja, lakini mifumo kadhaa ya faili - mpya na ya zamani. Kawaida, kwenye FS mpya, udhibiti wa ufikiaji uliojengwa kwenye OS hufanya kazi, lakini kwenye FS ya zamani, haiwezi kufanya kazi, kwani hutumia tofauti kubwa katika FS mpya.

    Hali hii kwa kawaida haijaelezwa moja kwa moja kwenye cheti, jambo ambalo linaweza kupotosha mtumiaji. Ni kwa madhumuni ya kuhakikisha utangamano kwamba mifumo ya faili ya zamani imejumuishwa katika OS mpya katika kesi hii.

    Kufunga kwa API ya mfumo wa uendeshaji. Kama sheria, mifumo ya uendeshaji inabadilika haraka sana - mara moja kila mwaka na nusu. Inawezekana kwamba watabadilika hata mara nyingi zaidi. Ikiwa sifa za udhibiti wa ufikiaji zinaonyesha muundo wa API, na mpito hadi toleo la kisasa la OS itakuwa muhimu kufanya upya mipangilio ya mfumo wa usalama, kuwafundisha wafanyikazi, nk.

    Kwa hivyo, tunaweza kuunda mahitaji ya jumla - mfumo mdogo wa udhibiti wa ufikiaji lazima uwekwe juu ya mfumo wa uendeshaji na kwa hivyo kuwa huru kutoka kwa mfumo wa faili. Bila shaka, utungaji wa sifa unapaswa kutosha kwa madhumuni ya kuelezea sera ya usalama, na maelezo yanapaswa kufanyika si kwa mujibu wa API ya OS, lakini kwa namna ambayo wasimamizi wa usalama wa mfumo wamezoea kufanya kazi.

    4.Ulinzi wa hati za elektroniki

    Kulinda ubadilishanaji wa habari za kielektroniki ni pamoja na madarasa mawili ya kazi:

    Kuhakikisha usawa wa hati wakati wa mzunguko wa maisha kwa kiwango cha awali cha hati ya elektroniki;

    Kuhakikisha usawa wa teknolojia za kielektroniki zinazotumika na zile za marejeleo.

    Madhumuni ya ulinzi wowote ni kuhakikisha uthabiti wa mali maalum ya kitu kilicholindwa katika sehemu zote za mzunguko wa maisha. Usalama wa kitu hupatikana kwa kulinganisha kiwango (kitu katika hatua ya awali ya nafasi na wakati) na matokeo (kitu wakati wa uchunguzi). Kwa mfano, ikiwa katika hatua ya uchunguzi (kupokea hati ya elektroniki) kuna habari ndogo sana ya muktadha kuhusu kiwango (yaliyomo kwenye hati ya asili ya elektroniki), lakini kuna habari kamili juu ya matokeo (hati iliyozingatiwa), basi hii ina maana kwamba hati ya elektroniki lazima iwe na sifa zinazothibitisha kufuata mahitaji ya kiufundi na teknolojia, yaani, kutoweza kubadilika kwa ujumbe katika hatua zote za uzalishaji na usafiri wa hati. Moja ya chaguo za sifa inaweza kuwa misimbo ya uthibitishaji wa usalama (SCA).

    Kulinda hati wakati wa uundaji wake. Wakati wa kuunda hati, msimbo wa uthibitishaji wa usalama lazima uzalishwe na maunzi. Kurekodi nakala ya hati ya elektroniki kwenye vyombo vya habari vya nje kabla ya maendeleo ya ZKA inapaswa kutengwa. Ikiwa hati ya elektroniki inazalishwa na operator, basi ZKA lazima iunganishwe na operator. Ikiwa EL inazalishwa na sehemu ya programu ya AS, basi ZKA lazima izalishwe kuhusiana na sehemu hii ya programu.

    Kulinda hati wakati wa maambukizi. Ulinzi wa hati inapopitishwa kupitia njia za mawasiliano za nje (wazi) lazima ufanyike kulingana na matumizi ya njia za siri za kuthibitishwa, ikiwa ni pamoja na matumizi ya saini ya kielektroniki ya dijiti (EDS) kwa kila hati iliyopitishwa. Chaguo jingine pia linawezekana - safu ya hati imesainiwa kwa kutumia saini ya dijiti ya elektroniki, na kila hati ya mtu binafsi inathibitishwa na analog nyingine ya saini iliyoandikwa kwa mkono (HSA), kwa mfano, ZKA.

    Ulinzi wa hati wakati wa usindikaji, uhifadhi na utekelezaji wake. Katika hatua hizi, ulinzi wa hati unafanywa kwa kutumia vidhibiti viwili vya usalama - pembejeo na pato kwa kila hatua. Katika kesi hiyo, ZKA inapaswa kuzalishwa katika vifaa na ZKA iliyounganishwa na utaratibu wa usindikaji (hatua ya teknolojia ya habari). Kwa hati iliyopokelewa (pamoja na ZKA na saini ya dijiti), ZKA ya pili inazalishwa na kisha tu saini ya dijiti inaondolewa.

    Kulinda hati inapopatikana kutoka kwa mazingira ya nje. Kulinda hati wakati wa kuipata kutoka kwa mazingira ya nje inajumuisha taratibu mbili zilizoelezwa tayari - kitambulisho / uthibitishaji wa watumiaji wa mbali na kizuizi cha upatikanaji wa nyaraka, rasilimali za PC na mtandao.

    5. Ulinzi wa data katika njia za mawasiliano

    Kijadi, ili kulinda data katika kituo cha mawasiliano, encryptors za kituo hutumiwa na sio data tu, lakini pia ishara za udhibiti hupitishwa.

    6. Ulinzi wa teknolojia ya habari

    Licha ya kufanana fulani, njia za kulinda data ya kielektroniki yenyewe kama kitu (nambari, data) na kulinda data ya dijiti kama mchakato (kazi, mazingira ya kompyuta) ni tofauti kabisa. Wakati wa kulinda teknolojia ya habari, tofauti na kulinda data za elektroniki, sifa za teknolojia ya kiwango kinachohitajika zinajulikana kwa uaminifu, lakini kuna taarifa ndogo kuhusu utimilifu wa mahitaji haya kwa teknolojia inayotumiwa kweli, i.e. matokeo. Kitu pekee ambacho kinaweza kubeba taarifa kuhusu teknolojia halisi (kama mlolongo wa shughuli) ni ED yenyewe, au tuseme sifa zilizojumuishwa ndani yake. Kama hapo awali, moja ya aina ya sifa hizi inaweza kuwa ZKA. Usawa wa teknolojia unaweza kuanzishwa kwa usahihi zaidi, idadi kubwa ya shughuli za kazi zinazohusiana na ujumbe kupitia PCA. Taratibu hazitofautiani na zile zinazotumika kulinda data za kielektroniki. Kwa kuongezea, tunaweza kudhani kuwa uwepo wa ZKA maalum ni sifa ya uwepo wa operesheni inayolingana katika mchakato wa kiteknolojia, na thamani ya ZKA ina sifa ya uadilifu wa ujumbe katika hatua fulani ya mchakato wa kiteknolojia.

    7. Udhibiti wa ufikiaji wa mitiririko ya data

    Kwa madhumuni ya kuzuia ufikiaji wa mitiririko ya data, vipanga njia vinavyotumia hatua za usalama za kriptografia kawaida hutumiwa. Katika hali hiyo, tahadhari maalumu hulipwa kwa mfumo muhimu na uaminifu wa hifadhi muhimu. Masharti ya ufikiaji ya kuweka mipaka ya mitiririko hutofautiana na yale ya kuzuia ufikiaji wa faili na saraka. Hapa tu utaratibu rahisi unawezekana - ufikiaji unaruhusiwa au kukataliwa.

    Utimilifu wa mahitaji yaliyoorodheshwa huhakikisha kiwango cha kutosha cha usalama kwa hati za kielektroniki kama aina muhimu zaidi ya ujumbe unaochakatwa katika mifumo ya habari.

    Kama njia ya kiufundi ya kulinda habari, moduli ya boot inayoaminika ya vifaa (TLM) kwa sasa imetengenezwa, ambayo inahakikisha upakiaji wa OS, bila kujali aina yake, kwa mtumiaji aliyeidhinishwa na utaratibu wa usalama. Matokeo ya maendeleo ya mfumo wa ulinzi wa habari NSD "Mkataba" (iliyotengenezwa na OKB SAPR) huzalishwa kwa wingi na leo ni njia maarufu zaidi za kulinda kompyuta kutoka kwa upatikanaji usioidhinishwa nchini Urusi. Wakati wa maendeleo, maalum ya eneo la maombi yalitumiwa, yalijitokeza katika familia ya vifaa kwa ajili ya usalama wa habari katika usimamizi wa hati za elektroniki, ambazo hutumia kanuni za uthibitishaji (AC) katika ngazi mbalimbali. Hebu tuangalie mifano ya kutumia vifaa.

    1. Katika madaftari ya fedha (CCM), CA hutumika kama njia ya kuthibitisha hundi kama mojawapo ya aina za hati za kielektroniki. Kila rejista ya pesa lazima iwe na kitengo cha kumbukumbu cha fedha cha akili (FP), ambacho, pamoja na kazi za kukusanya data juu ya matokeo ya mauzo, hufanya kazi kadhaa:

    Hutoa ulinzi kwa programu ya rejista ya pesa na data kutoka kwa ufikiaji usioidhinishwa;

    Huzalisha misimbo ya uthibitishaji kwa rejista ya pesa na kila hundi;

    Inasaidia kiolesura cha kawaida cha mwingiliano na moduli ya mkaguzi wa kodi;

    Hutoa ukusanyaji wa data ya fedha kwa ajili ya kuwasilishwa kwa ofisi ya kodi wakati huo huo na mizania.

    Kizuizi cha FP kilichotengenezwa "Accord-FP" kinafanywa kwa misingi ya mfumo wa usalama wa habari wa Accord. Ni sifa ya sifa zifuatazo:

    Kazi za mfumo wa usalama wa habari wa NSD zimeunganishwa na kazi za FP;

    Kizuizi cha FP pia kinajumuisha rejista zisizo na tete za PFC;

    Taratibu za moduli ya mkaguzi wa kodi pia zimeunganishwa kama sehemu muhimu ya kizuizi cha Accord-FP.

    2. Katika mfumo wa ufuatiliaji wa uadilifu na kuthibitisha uaminifu wa nyaraka za elektroniki (SKTSPD) katika mfumo wa automatiska katika ngazi ya shirikisho au kikanda, tofauti ya msingi ni uwezo wa kulinda kila hati ya mtu binafsi. Mfumo huu uliruhusu udhibiti bila kuongeza trafiki kwa kiasi kikubwa. Msingi wa kuunda mfumo kama huo ulikuwa kidhibiti cha Accord-S B/KA - kichakataji chenye utendakazi wa hali ya juu ambacho hutekeleza majukumu ya kutoa/kuthibitisha misimbo ya uthibitishaji.

    Kituo cha habari na kompyuta cha kikanda (RICC) kinahakikisha usimamizi wa shughuli za SKTsPD kwa ujumla, kuingiliana na vituo vyote vya kazi vya otomatiki vya chombo cha anga - vituo vya kiotomatiki vya waendeshaji wanaoshiriki walio na vifaa vya programu na vifaa "Accord-SB/KA" ( A-SB/KA) na programu ya SKTSPD. RIVC inapaswa kujumuisha vituo viwili vya kazi vya kiotomatiki - AWP-K ya kutengeneza funguo, AWP-R ya kuandaa usambazaji wa data ya uthibitishaji.

    3. Utumiaji wa nambari za uthibitishaji katika mifumo ndogo ya ulinzi wa habari ya kiteknolojia ya data ya elektroniki. Msingi wa utekelezaji wa usalama wa habari wa vifaa inaweza kuwa "Accord SB" na "Accord AMDZ" (kwa njia ya ulinzi dhidi ya upatikanaji usioidhinishwa). Misimbo ya uthibitishaji hutumiwa kulinda teknolojia. Nambari za uthibitishaji wa hati za elektroniki katika mfumo mdogo wa usalama wa habari za kiteknolojia zinazalishwa na kuthibitishwa kwenye seva za nambari za uthibitishaji (ACA) kwa kutumia majedwali muhimu (meza za kuegemea) zilizohifadhiwa kwenye kumbukumbu ya ndani ya vichakataji vya Accord-SB vilivyowekwa kwenye ACA. Jedwali la kuaminika, lililofungwa kwenye funguo za utoaji, hutolewa kwa SKA na kupakiwa kwenye kumbukumbu ya ndani ya washiriki, ambapo hufunguliwa. Vifunguo vya uwasilishaji huzalishwa na kusajiliwa kwenye kituo maalum cha kazi cha kiotomatiki cha ARM-K na kupakiwa kwenye vichakataji vishirikishi katika hatua ya awali katika mchakato wa ubinafsishaji wao.

    Uzoefu wa matumizi makubwa ya vitendo ya moduli zaidi ya 100,000 za usalama wa vifaa vya aina ya Accord katika mifumo ya kompyuta ya mashirika mbalimbali nchini Urusi na nchi jirani inaonyesha kwamba lengo la ufumbuzi wa programu na vifaa lilichaguliwa kwa usahihi, kwa kuwa ina fursa kubwa zaidi. maendeleo na uboreshaji.

    hitimisho

    Kupunguza shida zinazohusiana na usalama wa habari kunaweza kusababisha uharibifu mkubwa.

    Ukuaji wa uhalifu wa kompyuta unatulazimisha kujali usalama wa habari.

    Matumizi katika mazoezi ya Kirusi ya aina moja ya programu na vifaa vya wingi (kwa mfano, kompyuta za kibinafsi zinazoendana na IBM; mifumo ya uendeshaji - Dirisha, Unix, MS DOS, Netware, nk) huunda, kwa kiasi fulani, hali kwa washambuliaji.

    Mkakati wa kujenga mfumo wa usalama wa habari unapaswa kutegemea masuluhisho ya kina, juu ya ujumuishaji wa teknolojia ya habari na mifumo ya usalama, juu ya utumiaji wa mbinu na zana za hali ya juu, na juu ya teknolojia ya usalama ya habari ya aina ya viwanda.

    Maswali ya kujidhibiti

    1. Taja aina za vitisho kwa habari, toa ufafanuzi wa tishio.

    2. Ni njia gani za kulinda habari zilizopo?

    3. Eleza udhibiti wa ufikiaji kama njia ya kulinda habari. Jukumu na umuhimu wake ni nini?

    4. Kusudi la mbinu za siri za kulinda habari ni nini? Ziorodheshe.

    5. Toa dhana ya uthibitishaji na sahihi ya dijiti. Asili yao ni nini?

    6. Jadili matatizo ya usalama wa habari katika mitandao na uwezekano wa kuyatatua.

    7. Fichua vipengele vya mkakati wa ulinzi wa habari kwa kutumia mbinu ya utaratibu, ufumbuzi jumuishi na kanuni ya ushirikiano katika teknolojia ya habari.

    8. Orodhesha hatua za kuunda mifumo ya usalama wa habari.

    9. Ni hatua gani zinazohitajika kutekeleza ulinzi wa kiufundi wa teknolojia za usimamizi wa hati za elektroniki?

    10. Nini kiini cha mbinu ya kuzidisha?

    11. Ni taratibu gani zinazopaswa kufuatwa ili kulinda mfumo wa usimamizi wa hati za kielektroniki?

    12. Firewall hufanya kazi gani?

    Uchunguzi wa Ch. 5

    Jaza dhana na misemo inayokosekana.

    1. Matukio au vitendo vinavyoweza kusababisha matumizi yasiyoidhinishwa, rushwa au uharibifu wa taarifa huitwa...

    2. Kati ya vitisho kwa usalama wa habari, aina mbili zinapaswa kutofautishwa: ...

    3. Aina zilizoorodheshwa za kukabiliana na vitisho kwa usalama wa habari: kizuizi, udhibiti wa ufikiaji, usimbaji fiche, udhibiti, shurutisho na ushawishi unahusiana na... kuhakikisha usalama wa habari.

    4. Mbinu zifuatazo za kukabiliana na vitisho vya usalama: kimwili, maunzi, programu, shirika, sheria, maadili na maadili, kimwili yanahusiana na... kuhakikisha usalama wa taarifa.


    5. Mbinu za kriptografia za ulinzi wa habari zinatokana na...

    6. Kukabidhi jina la kipekee kwa mtumiaji ili kuthibitisha utiifu wake kunaitwa...

    7. Kuthibitisha mtumiaji ili kuthibitisha utiifu wake kunaitwa...

    8. Tishio kubwa kwa mitandao ya ushirika ni kuhusiana na:

    a) na utofauti wa rasilimali za habari na teknolojia;

    b) na programu na vifaa;

    c) na kushindwa kwa vifaa. Chagua majibu sahihi.

    9. Kiwango cha busara cha usalama wa habari katika mitandao ya ushirika huchaguliwa kimsingi kwa kuzingatia mambo yafuatayo:

    a) uainishaji wa njia za ulinzi;

    b) uwezekano wa kiuchumi;

    c) mikakati ya ulinzi.

    10. Programu ya mkazi ambayo iko kwenye kumbukumbu ya kompyuta kabisa na inadhibiti shughuli zinazohusiana na kubadilisha habari kwenye diski za sumaku inaitwa:

    a) detector;

    c) mlinzi;

    d) mkaguzi.

    11. Bidhaa za antivirus zimekusudiwa:

    a) kupima mfumo;

    b) kulinda programu kutoka kwa virusi;

    c) kuangalia mipango ya kuwepo kwa virusi na matibabu yao;

    d) kufuatilia mfumo.

    Katika hatua ya awali ya maendeleo ya teknolojia ya mtandao, uharibifu kutoka kwa virusi na aina nyingine za mashambulizi ya kompyuta ilikuwa ndogo, kwani utegemezi wa uchumi wa dunia kwenye teknolojia ya habari ulikuwa mdogo. Hivi sasa, katika muktadha wa utegemezi mkubwa wa biashara kwenye njia za kielektroniki za ufikiaji na ubadilishanaji wa habari na idadi inayoongezeka ya mashambulio, uharibifu kutoka kwa mashambulio madogo zaidi yanayoongoza kwa wakati uliopotea wa kompyuta inakadiriwa kuwa mamilioni ya dola, na jumla uharibifu wa kila mwaka kwa uchumi wa dunia ni sawa na makumi ya mabilioni ya dola.

    Habari iliyochakatwa kwenye mitandao ya ushirika iko hatarini sana, ambayo inawezeshwa na:

    • kuongeza kiasi cha habari kusindika, kupitishwa na kuhifadhiwa kwenye kompyuta;
    • mkusanyiko wa taarifa za viwango mbalimbali vya umuhimu na usiri katika hifadhidata;
    • kupanua ufikiaji wa mduara wa watumiaji kwa habari iliyohifadhiwa kwenye hifadhidata na rasilimali za mtandao wa kompyuta;
    • kuongeza idadi ya kazi za mbali;
    • matumizi makubwa ya mtandao wa kimataifa na njia mbalimbali za mawasiliano;
    • otomatiki ya kubadilishana habari kati ya kompyuta za watumiaji.

    Uchanganuzi wa vitisho vya kawaida ambavyo mitandao ya kisasa ya kampuni inayotumia waya inakabiliwa unaonyesha kuwa vyanzo vya vitisho vinaweza kutofautiana kutoka kwa uvamizi usioidhinishwa na washambuliaji hadi virusi vya kompyuta, wakati hitilafu ya kibinadamu ni tishio kubwa sana la usalama. Inahitajika kuzingatia kwamba vyanzo vya vitisho vya usalama vinaweza kupatikana ndani ya CIS - vyanzo vya ndani, na nje - vyanzo vya nje. Mgawanyiko huu una haki kabisa kwa sababu kwa tishio sawa (kwa mfano, wizi), hatua za kukabiliana na vyanzo vya nje na vya ndani ni tofauti. Ujuzi wa vitisho vinavyowezekana, pamoja na udhaifu wa CIS, ni muhimu kuchagua hatua za usalama za ufanisi zaidi.

    Mara kwa mara na hatari zaidi (kwa suala la kiasi cha uharibifu) ni makosa yasiyo ya kukusudia ya watumiaji, waendeshaji na wasimamizi wa mfumo wanaohudumia CIS. Wakati mwingine makosa hayo husababisha uharibifu wa moja kwa moja (data iliyoingia vibaya, hitilafu katika programu ambayo imesababisha mfumo kuacha au kuanguka), na wakati mwingine huunda udhaifu ambao unaweza kutumiwa na washambuliaji (haya kawaida ni makosa ya utawala).

    Kulingana na Taasisi ya Kitaifa ya Viwango na Teknolojia ya Marekani (NIST), 55% ya ukiukaji wa usalama wa IP ni matokeo ya makosa yasiyokusudiwa. Kufanya kazi katika mfumo wa habari wa kimataifa hufanya jambo hili kuwa muhimu sana, na chanzo cha uharibifu kinaweza kuwa vitendo vya watumiaji wa shirika na watumiaji wa mtandao wa kimataifa, ambayo ni hatari sana. Katika Mtini. Mchoro 2.4 unaonyesha chati ya pai inayoonyesha data ya takwimu kwenye vyanzo vya ukiukaji wa usalama katika CIS.

    Wizi na kughushi ni katika nafasi ya pili katika suala la uharibifu. Katika kesi nyingi zilizochunguzwa, wahalifu waligeuka kuwa wafanyikazi wa wakati wote wa mashirika ambao walikuwa wakijua vizuri ratiba ya kazi na hatua za kinga. Uwepo wa njia ya habari yenye nguvu ya mawasiliano na mitandao ya kimataifa kwa kukosekana kwa udhibiti sahihi juu ya uendeshaji wake inaweza kuwezesha zaidi shughuli hizo.

    Si mwaminifu

    Mashambulizi kutoka nje

    Kuchukizwa

    Makosa ya mtumiaji na wafanyikazi

    Virusi 4%.

    Mchele. 2.4. Vyanzo vya Ukiukaji wa Usalama

    wafanyakazi

    Matatizo

    kimwili

    usalama

    Wafanyikazi waliokasirika, hata wale wa zamani, wanajua taratibu za shirika na wanaweza kusababisha madhara kwa ufanisi sana. Kwa hiyo, wakati mfanyakazi anafukuzwa kazi, haki zake za upatikanaji wa rasilimali za habari lazima zifutwe.

    Majaribio ya kimakusudi ya kupata ufikiaji usioidhinishwa kupitia mawasiliano ya nje huchangia takriban 10% ya ukiukaji wote unaowezekana. Ingawa nambari hii inaweza isionekane kuwa muhimu, uzoefu wa Mtandao unaonyesha kuwa karibu kila seva ya Mtandao ina majaribio ya kuingiliwa mara kadhaa kwa siku. Majaribio ya Wakala wa Ulinzi wa Mifumo ya Taarifa (Marekani) yalionyesha kuwa 88% ya kompyuta ina udhaifu katika suala la usalama wa taarifa ambayo inaweza kutumika kikamilifu kupata ufikiaji usioidhinishwa. Kwa kando, kesi za ufikiaji wa mbali kwa miundo ya habari ya shirika inapaswa kuzingatiwa.

    Kabla ya kuunda sera ya usalama, ni muhimu kutathmini hatari ambazo mazingira ya kompyuta ya shirika yanakabiliwa na kuchukua hatua zinazofaa. Ni dhahiri kwamba gharama za shirika za kufuatilia na kuzuia vitisho vya usalama zisizidi hasara inayotarajiwa.

    Takwimu zinazotolewa zinaweza kuwaambia wasimamizi na wafanyikazi wa shirika ambapo juhudi zinapaswa kuelekezwa ili kupunguza tishio la usalama kwa mtandao na mfumo wa shirika. Kwa kweli, ni muhimu kushughulikia maswala ya usalama wa mwili na hatua za kupunguza athari mbaya kwa usalama wa makosa ya kibinadamu, lakini wakati huo huo, ni muhimu kulipa kipaumbele zaidi kutatua shida za usalama wa mtandao ili kuzuia shambulio dhidi ya shirika. mtandao na mfumo, kutoka nje na kutoka ndani ya mfumo.

    Haya ndiyo matokeo yaliyotolewa na uchunguzi wa zaidi ya wakuu 1,000 wa idara za IT wa makampuni makubwa na ya kati ya Ulaya, ulioagizwa na Intel Corporation. Madhumuni ya uchunguzi huo yalikuwa kubaini tatizo ambalo linawatia wasiwasi zaidi wataalam wa sekta hiyo. Jibu lilitarajiwa kabisa; zaidi ya nusu ya waliohojiwa walitaja tatizo la usalama wa mtandao, tatizo ambalo linahitaji ufumbuzi wa haraka. Matokeo mengine ya uchunguzi pia yanatarajiwa kabisa. Kwa mfano, sababu ya usalama wa mtandao inaongoza kati ya matatizo mengine katika uwanja wa teknolojia ya habari; umuhimu wake umeongezeka kwa asilimia 15 ikilinganishwa na hali ilivyokuwa miaka mitano iliyopita.
    Kulingana na matokeo ya utafiti, wataalam wa IT waliohitimu sana hutumia zaidi ya 30% ya muda wao kutatua masuala ya usalama. Hali katika makampuni makubwa (yenye wafanyakazi zaidi ya 500) inatisha zaidi - karibu robo ya waliohojiwa hutumia nusu ya muda wao kutatua masuala haya.

    Usawa wa vitisho na ulinzi

    Ole, suala la usalama wa mtandao linahusishwa kwa njia isiyoweza kutenganishwa na teknolojia za kimsingi zinazotumiwa katika mawasiliano ya kisasa ya simu. Ilifanyika tu kwamba wakati wa kuendeleza familia ya itifaki za IP, kipaumbele kilitolewa kwa kuaminika kwa mtandao kwa ujumla. Wakati wa kuonekana kwa itifaki hizi, usalama wa mtandao ulihakikishwa kwa njia tofauti kabisa, ambazo hazikuwa za kweli kutumia katika muktadha wa Mtandao wa Ulimwenguni. Unaweza kulalamika kwa sauti kubwa juu ya mtazamo mfupi wa watengenezaji, lakini ni vigumu sana kubadili hali hiyo. Sasa unahitaji tu kuwa na uwezo wa kujikinga na vitisho vinavyoweza kutokea.
    Kanuni kuu katika ujuzi huu inapaswa kuwa usawa kati ya vitisho vinavyowezekana kwa usalama wa mtandao na kiwango cha ulinzi kinachohitajika. Ulinganifu lazima uhakikishwe kati ya gharama za usalama na gharama ya uharibifu unaowezekana kutokana na vitisho vinavyopatikana.
    Kwa makampuni makubwa ya kisasa na ya kati, teknolojia ya habari na mawasiliano imekuwa msingi wa kufanya biashara. Kwa hivyo, waligeuka kuwa nyeti zaidi kwa athari za vitisho. Kadiri mtandao unavyokuwa mkubwa na mgumu zaidi, ndivyo juhudi zaidi inavyohitaji kuulinda. Zaidi ya hayo, gharama ya kuunda vitisho ni amri za ukubwa chini ya gharama ya kuzibadilisha. Hali hii ya mambo inalazimisha makampuni kupima kwa uangalifu matokeo ya hatari zinazowezekana kutoka kwa vitisho mbalimbali na kuchagua mbinu zinazofaa za ulinzi dhidi ya hatari zaidi.
    Hivi sasa, vitisho vikubwa kwa miundombinu ya ushirika hutoka kwa vitendo vinavyohusiana na ufikiaji usioidhinishwa wa rasilimali za ndani na kuzuia uendeshaji wa kawaida wa mtandao. Kuna idadi kubwa ya vitisho kama hivyo, lakini kila moja inategemea mchanganyiko wa mambo ya kiufundi na ya kibinadamu. Kwa mfano, kupenya kwa programu mbaya kwenye mtandao wa ushirika kunaweza kutokea sio tu kwa sababu ya kupuuza kwa msimamizi wa mtandao kwa sheria za usalama, lakini pia kwa sababu ya udadisi mwingi wa mfanyakazi wa kampuni ambaye anaamua kuchukua fursa ya kiungo kinachojaribu kutoka kwa barua taka. barua. Kwa hivyo, haifai kutumaini kuwa hata suluhisho bora zaidi za kiufundi katika uwanja wa usalama zitakuwa suluhisho la shida zote.

    Suluhisho za darasa la UTM

    Usalama daima ni dhana ya jamaa. Ikiwa ni nyingi sana, basi inakuwa vigumu zaidi kutumia mfumo wenyewe ambao tutaulinda. Kwa hiyo, maelewano ya busara inakuwa chaguo la kwanza katika kuhakikisha usalama wa mtandao. Kwa makampuni ya biashara ya ukubwa wa kati kwa viwango vya Kirusi, uchaguzi huo unaweza kusaidiwa na maamuzi ya darasa UTM (Usimamizi Mmoja wa Tishio au Usimamizi wa Tishio la Umoja), zimewekwa kama mtandao wa kazi nyingi na vifaa vya usalama wa habari. Katika msingi wao, ufumbuzi huu ni programu na mifumo ya vifaa vinavyochanganya kazi za vifaa tofauti: firewall, mfumo wa kugundua na kuzuia kuingilia (IPS), pamoja na kazi za lango la kupambana na virusi (AV). Mara nyingi miundo hii ina jukumu la kutatua kazi za ziada, kama vile kuelekeza, kubadili, au kusaidia mitandao ya VPN.
    Mara nyingi, watoa huduma za UTM hutoa suluhisho kwa biashara ndogo ndogo. Pengine njia hii ina haki kwa sehemu. Lakini bado, ni rahisi na nafuu kwa biashara ndogo ndogo katika nchi yetu kutumia huduma ya usalama kutoka kwa mtoaji wao wa mtandao.
    Kama suluhisho lolote la ulimwengu wote, vifaa vya UTM vina faida na hasara zake. Ya kwanza ni pamoja na kuokoa gharama na wakati kwa utekelezaji ikilinganishwa na kupanga ulinzi wa kiwango sawa kutoka kwa vifaa tofauti vya usalama. UTM pia ni suluhu iliyosawazishwa awali na iliyojaribiwa ambayo inaweza kutatua matatizo mbalimbali ya usalama kwa urahisi. Hatimaye, ufumbuzi wa darasa hili hauhitajiki sana juu ya kiwango cha sifa za wafanyakazi wa kiufundi. Mtaalam yeyote anaweza kushughulikia usanidi wao, usimamizi na matengenezo.
    Hasara kuu ya UTM ni ukweli kwamba utendaji wowote wa ufumbuzi wa ulimwengu wote mara nyingi hauna ufanisi kuliko utendakazi sawa wa suluhisho maalum. Ndiyo maana, wakati utendaji wa juu au kiwango cha juu cha usalama kinahitajika, wataalam wa usalama wanapendelea kutumia ufumbuzi kulingana na ushirikiano wa bidhaa za kibinafsi.
    Hata hivyo, licha ya hasara hii, ufumbuzi wa UTM unazidi kuhitajika na mashirika mengi ambayo yanatofautiana sana kwa kiwango na aina ya shughuli. Kwa mujibu wa Teknolojia ya Rainbow, ufumbuzi huo ulitekelezwa kwa ufanisi, kwa mfano, kulinda seva ya moja ya maduka ya mtandaoni ya vifaa vya nyumbani, ambayo ilikuwa chini ya mashambulizi ya mara kwa mara ya DDoS. Suluhisho la UTM pia lilifanya iwezekane kupunguza kwa kiasi kikubwa kiasi cha barua taka katika mfumo wa barua wa moja ya umiliki wa gari. Mbali na kutatua matatizo ya ndani, tuna uzoefu katika kujenga mifumo ya usalama kulingana na ufumbuzi wa UTM kwa mtandao uliosambazwa unaofunika ofisi kuu ya kampuni ya pombe na matawi yake.

    Watengenezaji wa UTM na bidhaa zao

    Soko la Kirusi la vifaa vya darasa la UTM linaundwa tu na mapendekezo kutoka kwa wazalishaji wa kigeni. Kwa bahati mbaya, hakuna wazalishaji wa ndani bado wameweza kutoa ufumbuzi wao wenyewe katika darasa hili la vifaa. Isipokuwa ni suluhisho la programu ya Eset NOD32 Firewall, ambayo, kulingana na kampuni hiyo, iliundwa na watengenezaji wa Urusi.
    Kama ilivyoelezwa tayari, katika soko la Kirusi, ufumbuzi wa UTM unaweza kuwa wa manufaa kwa makampuni ya ukubwa wa kati ambao mtandao wa ushirika una kazi hadi 100-150. Wakati wa kuchagua vifaa vya UTM vitakavyowasilishwa katika hakiki, kigezo kikuu cha uteuzi kilikuwa utendakazi wake katika njia mbalimbali za uendeshaji, ambazo zinaweza kuhakikisha uzoefu wa mtumiaji mzuri. Watengenezaji mara nyingi hubainisha vipimo vya utendakazi vya Njia za Kuzuia Mlipuko, Kinga ya Uingiliaji wa IPS, na hali za Ulinzi wa Virusi vya AV.

    Suluhisho Cheki Point inaitwa UTM-1 Edge na ni kifaa cha usalama kilichounganishwa ambacho huchanganya ngome, mfumo wa kuzuia uvamizi, lango la kuzuia virusi, pamoja na VPN na zana za ufikiaji wa mbali. Firewall iliyojumuishwa katika udhibiti wa suluhisho hufanya kazi na idadi kubwa ya maombi, itifaki na huduma, na pia ina utaratibu wa kuzuia trafiki ambayo kwa uwazi haifai katika kitengo cha maombi ya biashara. Kwa mfano, ujumbe wa papo hapo (IM) na trafiki ya peer-to-peer (P2P). Lango la kuzuia virusi hukuruhusu kufuatilia msimbo hasidi katika ujumbe wa barua pepe, trafiki ya FTP na HTTP. Katika kesi hii, hakuna vikwazo juu ya ukubwa wa faili na uharibifu wa faili za kumbukumbu unafanywa "kwa kuruka".
    Suluhisho la UTM-1 Edge lina uwezo wa hali ya juu wa kufanya kazi katika mitandao ya VPN. Uelekezaji wa nguvu wa OSPF na miunganisho ya mteja wa VPN inatumika. Muundo wa UTM-1 Edge W unapatikana na sehemu ya ufikiaji ya WiFi ya IEEE 802.11b/g iliyojengewa ndani.
    Wakati matumizi makubwa yanahitajika, UTM-1 Edge inaunganishwa kwa urahisi na Check Point SMART ili kurahisisha usimamizi wa usalama kwa kiasi kikubwa.

    Kampuni ya Cisco jadi hulipa kipaumbele kwa masuala ya usalama wa mtandao na hutoa vifaa mbalimbali muhimu. Kwa ukaguzi, tuliamua kuchagua mfano Cisco ASA 5510, ambayo inalenga kuhakikisha usalama wa mzunguko wa mtandao wa ushirika. Kifaa hiki ni sehemu ya mfululizo wa ASA 5500, unaojumuisha mifumo ya kawaida ya ulinzi ya darasa la UTM. Njia hii hukuruhusu kurekebisha mfumo wa usalama kwa upekee wa utendaji wa mtandao wa biashara fulani.
    Cisco ASA 5510 inakuja katika vifaa vinne kuu - ngome, zana za VPN, mfumo wa kuzuia uvamizi, pamoja na zana za kuzuia virusi na za kuzuia taka. Suluhisho linajumuisha vipengele vya ziada, kama vile mfumo wa Meneja wa Usalama wa kuunda miundombinu ya usimamizi kwa mtandao mpana wa kampuni, na mfumo wa Cisco MARS, iliyoundwa kufuatilia mazingira ya mtandao na kujibu ukiukaji wa usalama kwa wakati halisi.

    Kislovakia Kampuni ya Eset hutoa kifurushi cha programu Weka Firewall ya NOD32 Darasa la UTM, ambalo linajumuisha, pamoja na utendakazi wa ngome za shirika, mfumo wa ulinzi wa kizuia virusi wa Eset NOD32, barua (kinga-barua taka) na zana za kuchuja trafiki ya wavuti, IDS na mifumo ya kugundua mashambulizi ya mtandao ya IPS na kuzuia. Suluhisho linasaidia uundaji wa mitandao ya VPN. Mchanganyiko huu umejengwa kwenye jukwaa la seva inayoendesha Linux. Sehemu ya programu ya kifaa imetengenezwa kampuni ya ndani Leta IT, inayodhibitiwa na ofisi ya mwakilishi wa Urusi ya Eset.
    Suluhisho hili hukuruhusu kufuatilia trafiki ya mtandao kwa wakati halisi, na inasaidia uchujaji wa maudhui kwa kategoria za rasilimali za wavuti. Hutoa ulinzi dhidi ya mashambulizi ya DDoS na kuzuia majaribio ya kukagua lango. Suluhisho la Firewall la Eset NOD32 linajumuisha usaidizi kwa seva za DNS, DHCP na udhibiti wa mabadiliko katika kipimo data cha chaneli. Trafiki ya itifaki za barua za SMTP na POP3 inadhibitiwa.
    Suluhisho hili pia linajumuisha uwezo wa kuunda mitandao ya ushirika iliyosambazwa kwa kutumia miunganisho ya VPN. Wakati huo huo, njia mbalimbali za kuunganisha mtandao, uthibitishaji na algorithms ya usimbuaji husaidiwa.

    Kampuni ya Fortinet inatoa familia nzima ya vifaa FortiGate Darasa la UTM, likiweka suluhisho zake kama uwezo wa kutoa ulinzi wa mtandao wakati wa kudumisha kiwango cha juu cha utendaji, pamoja na uendeshaji wa kuaminika na wa uwazi wa mifumo ya habari ya biashara kwa wakati halisi. Kwa ukaguzi tulichagua mfano FortiGate-224B, ambayo inalenga kulinda mzunguko wa mtandao wa ushirika na watumiaji 150 - 200.
    Vifaa vya FortiGate-224B ni pamoja na utendaji wa ngome, seva ya VPN, uchujaji wa trafiki ya wavuti, mifumo ya kuzuia uingilizi, pamoja na kinga ya virusi na ya kuzuia taka. Muundo huu una swichi ya LAN ya Tabaka 2 iliyojengewa ndani na violesura vya WAN, hivyo basi kuondoa hitaji la uelekezaji wa nje na kubadili vifaa. Kwa kusudi hili, kuelekeza kwa kutumia itifaki za RIP, OSPF na BGP kunasaidiwa, pamoja na itifaki za uthibitishaji wa mtumiaji kabla ya kutoa huduma za mtandao.

    Kampuni ya SonicWALL inatoa uteuzi mpana wa vifaa vya UTM, ambavyo suluhisho lilijumuishwa katika hakiki hii NSA 240. Kifaa hiki ni mfano mdogo kwenye mstari, unaolenga kutumika kama mfumo wa usalama kwa mtandao wa ushirika wa biashara za ukubwa wa kati na matawi ya makampuni makubwa.
    Mstari huu unategemea matumizi ya njia zote za ulinzi dhidi ya vitisho vinavyoweza kutokea. Hizi ni firewall, mfumo wa ulinzi wa kuingilia, anti-virusi na lango la kupambana na spyware. Kuna uchujaji wa trafiki ya wavuti kwa kategoria 56 za tovuti.
    Kama mojawapo ya mambo muhimu ya suluhisho lake, SonicWALL inabainisha teknolojia ya skanning ya kina na uchambuzi wa trafiki inayoingia. Ili kuepuka uharibifu wa utendaji, teknolojia hii hutumia usindikaji wa data sambamba kwenye msingi wa multiprocessor.
    Kifaa hiki kinaauni VPN, kina uwezo wa juu wa kuelekeza na inasaidia itifaki mbalimbali za mtandao. Pia, suluhisho kutoka kwa SonicWALL linaweza kutoa kiwango cha juu cha usalama wakati wa kuhudumia trafiki ya VoIP kwa kutumia itifaki za SIP na H.323.

    Kutoka kwa mstari wa bidhaa Kampuni ya WatchGuard suluhisho lilichaguliwa kwa ukaguzi Firebox X550e, ambayo imewekwa kama mfumo wenye utendaji wa hali ya juu wa kuhakikisha usalama wa mtandao na unalenga kutumika katika mitandao ya biashara ndogo na za kati.
    Ufumbuzi wa darasa la UTM wa mtengenezaji huyu ni msingi wa kanuni ya ulinzi dhidi ya mashambulizi ya mtandao mchanganyiko. Ili kufikia hili, vifaa vinasaidia firewall, mfumo wa kuzuia mashambulizi, lango la kupambana na virusi na lango la spam, uchujaji wa rasilimali za mtandao, pamoja na mfumo wa kupambana na spyware.
    Kifaa hiki hutumia kanuni ya ulinzi wa pamoja, kulingana na ambayo trafiki ya mtandao iliyoangaliwa na kigezo fulani katika ngazi moja ya ulinzi haitaangaliwa na kigezo sawa katika ngazi nyingine. Mbinu hii inaruhusu utendaji wa juu wa vifaa.
    Faida nyingine ya ufumbuzi wake, mtengenezaji huita msaada kwa teknolojia ya Siku ya Zero, ambayo inahakikisha uhuru wa usalama kutoka kwa uwepo wa saini. Kipengele hiki ni muhimu wakati aina mpya za matishio zinapoibuka ambazo bado hazijakabiliwa kikamilifu. Kwa kawaida, "dirisha la mazingira magumu" hudumu kutoka saa kadhaa hadi siku kadhaa. Unapotumia teknolojia ya Siku ya Sifuri, uwezekano wa matokeo mabaya kutoka kwa kidirisha cha kuathiriwa hupunguzwa sana.

    Kampuni ya ZyXEL inatoa ufumbuzi wake wa ngome ya darasa la UTM, inayolenga kutumika katika mitandao ya ushirika na hadi watumiaji 500. Hii Suluhisho la ZyWALL 1050 iliyoundwa ili kujenga mfumo wa usalama wa mtandao, ikiwa ni pamoja na ulinzi kamili wa virusi, kuzuia uvamizi na usaidizi kwa mitandao pepe ya kibinafsi. Kifaa kina milango mitano ya Gigabit Ethernet, ambayo inaweza kusanidiwa kutumika kama violesura vya WAN, LAN, DMZ na WLAN kulingana na usanidi wa mtandao.
    Kifaa hiki kinaauni utumaji wa trafiki ya maombi ya VoIP kupitia itifaki za SIP na H.323 kwenye ngome na kiwango cha NAT, pamoja na utumaji wa trafiki ya simu ya pakiti katika vichuguu vya VPN. Wakati huo huo, utendaji wa taratibu za kuzuia mashambulizi na vitisho kwa aina zote za trafiki, ikiwa ni pamoja na trafiki ya VoIP, uendeshaji wa mfumo wa kupambana na virusi na hifadhidata kamili ya saini, uchujaji wa maudhui kwa makundi 60 ya tovuti na ulinzi wa barua taka huhakikishwa.
    Suluhisho la ZyWALL 1050 linaauni topolojia mbalimbali za mtandao wa kibinafsi, hufanya kazi katika hali ya kizingatiaji cha VPN, na kuchanganya mitandao pepe katika maeneo yenye sera zinazofanana za usalama.

    Tabia kuu za UTM

    Maoni ya wataalam

    Dmitry Kostrov, Mkurugenzi wa Mradi wa Kurugenzi ya Ulinzi wa Teknolojia ya Kituo cha Biashara cha MTS OJSC

    Upeo wa ufumbuzi wa UTM hutumika hasa kwa makampuni yaliyoainishwa kama biashara ndogo na za kati. Dhana yenyewe ya Usimamizi wa Tishio Pamoja (UTM), kama darasa tofauti la vifaa vya kulinda rasilimali za mtandao, ilianzishwa na shirika la kimataifa la IDC, kulingana na ambayo ufumbuzi wa UTM ni programu nyingi na mifumo ya maunzi inayochanganya kazi za vifaa tofauti. Kawaida hizi ni pamoja na ngome, VPN, ugunduzi wa uingiliaji wa mtandao na mifumo ya kuzuia, pamoja na lango la kuzuia virusi na lango la barua taka na vichujio vya URL.
    Ili kufikia ulinzi madhubuti wa kweli, kifaa lazima kiwe cha viwango vingi, tendaji na kiwe kimeunganishwa. Wakati huo huo, wazalishaji wengi wa vifaa vya usalama tayari wana anuwai ya bidhaa zinazohusiana na UTM. Urahisi wa kutosha wa uwekaji wa mfumo, pamoja na mfumo wa yote kwa moja, hufanya soko la vifaa hivi kuvutia kabisa. Gharama ya jumla ya umiliki na kurudi kwa uwekezaji wakati wa kutekeleza vifaa hivi inaonekana kuvutia sana.
    Lakini suluhisho hili la UTM ni kama "kisu cha Uswizi" - kuna zana kwa kila hali, lakini kutoboa shimo kwenye ukuta unahitaji kuchimba visima halisi. Pia kuna uwezekano kwamba kuibuka kwa ulinzi dhidi ya mashambulizi mapya, uppdatering saini, nk. haitakuwa haraka, tofauti na usaidizi wa vifaa vya mtu binafsi katika mpango wa ulinzi wa mtandao wa "classic" wa kampuni. Pia bado kuna tatizo la hatua moja ya kushindwa.



    MAKALA INAYOHUSIANA