ซอฟต์แวร์และระดับการป้องกันทางเทคนิค พื้นฐานของการรักษาความปลอดภัยของข้อมูล การควบคุมการเข้าถึงของผู้มีอำนาจ

มาตรการด้านซอฟต์แวร์และฮาร์ดแวร์ กล่าวคือ มาตรการที่มุ่งควบคุมหน่วยงานคอมพิวเตอร์ - อุปกรณ์ โปรแกรม และ/หรือข้อมูล ก่อให้เกิดขอบเขตสุดท้ายและสำคัญที่สุด ความปลอดภัยของข้อมูล- ขอให้เราจำไว้ว่าความเสียหายส่วนใหญ่เกิดจากการกระทำของผู้ใช้ที่ถูกกฎหมายซึ่งเกี่ยวข้องกับผู้ที่หน่วยงานกำกับดูแลขั้นตอนไม่มีประสิทธิภาพ ศัตรูหลักคือความไร้ความสามารถและความประมาทในการปฏิบัติหน้าที่ราชการ และมีเพียงมาตรการด้านซอฟต์แวร์และฮาร์ดแวร์เท่านั้นที่จะตอบโต้ได้

คอมพิวเตอร์ช่วยให้กิจกรรมต่างๆ ของมนุษย์เป็นไปโดยอัตโนมัติ ดูเหมือนเป็นเรื่องธรรมดาที่อยากจะฝากความปลอดภัยของตนเองไว้กับพวกเขา แม้แต่การป้องกันทางกายภาพก็ยังได้รับความไว้วางใจมากขึ้นเรื่อยๆ ไม่ใช่ให้กับเจ้าหน้าที่รักษาความปลอดภัย แต่รวมถึงระบบคอมพิวเตอร์แบบบูรณาการ ซึ่งทำให้สามารถติดตามความเคลื่อนไหวของพนักงานทั้งทั่วทั้งองค์กรและทั่วทั้งพื้นที่ข้อมูลได้พร้อมๆ กัน

อย่างไรก็ตาม ควรคำนึงว่าการพัฒนาอย่างรวดเร็วของเทคโนโลยีสารสนเทศไม่เพียงแต่ให้โอกาสใหม่ๆ แก่ผู้ปกป้องเท่านั้น แต่ยังทำให้ยากต่อการรับรองการป้องกันที่เชื่อถือได้หากอาศัยมาตรการซอฟต์แวร์และฮาร์ดแวร์เพียงอย่างเดียว มีสาเหตุหลายประการสำหรับสิ่งนี้:

    การเพิ่มความเร็วของวงจรขนาดเล็กการพัฒนาสถาปัตยกรรมที่มีความขนานในระดับสูงทำให้สามารถเอาชนะอุปสรรค (โดยหลักคือการเข้ารหัสลับ) โดยใช้กำลังดุร้ายซึ่งก่อนหน้านี้ดูเหมือนจะไม่สามารถเข้าถึงได้

    การพัฒนาเครือข่ายและเทคโนโลยีเครือข่าย การเพิ่มจำนวนการเชื่อมต่อระหว่างระบบข้อมูล และการเพิ่มความจุของช่องสัญญาณ กำลังขยายกลุ่มผู้โจมตีที่มีความสามารถทางเทคนิคในการจัดระเบียบการโจมตี

    การเกิดขึ้นของใหม่ บริการข้อมูลนำไปสู่การก่อตัวของช่องโหว่ใหม่ทั้งบริการ "ภายใน" และที่อินเทอร์เฟซ

    การแข่งขันระหว่างผู้ผลิตซอฟต์แวร์บังคับให้เวลาในการพัฒนาลดลงซึ่งส่งผลให้คุณภาพการทดสอบและการเปิดตัวผลิตภัณฑ์ที่มีข้อบกพร่องด้านความปลอดภัยลดลง

    กระบวนทัศน์ของพลังงานฮาร์ดแวร์และซอฟต์แวร์ที่เพิ่มขึ้นอย่างต่อเนื่องที่กำหนดให้กับผู้บริโภคไม่อนุญาตให้มีการรักษาการกำหนดค่าที่เชื่อถือได้และผ่านการพิสูจน์แล้วในระยะยาว และยิ่งไปกว่านั้น ยังขัดแย้งกับข้อจำกัดด้านงบประมาณ ซึ่งช่วยลดส่วนแบ่งของการจัดสรรความปลอดภัย

ข้อควรพิจารณาที่ระบุไว้เน้นย้ำถึงความสำคัญของแนวทางบูรณาการในการรักษาความปลอดภัยของข้อมูล ตลอดจนความต้องการตำแหน่งที่ยืดหยุ่นในการเลือกและบำรุงรักษาหน่วยงานกำกับดูแลซอฟต์แวร์และฮาร์ดแวร์

ศูนย์กลางของระดับซอฟต์แวร์และฮาร์ดแวร์คือแนวคิดของบริการรักษาความปลอดภัย

ตามแนวทางเชิงวัตถุ เมื่อพิจารณาระบบข้อมูลที่มีรายละเอียดเพียงระดับเดียว เราจะเห็นบริการข้อมูลทั้งหมดที่มีให้ มาเรียกพวกเขาว่าพื้นฐานกันดีกว่า เพื่อให้สามารถทำงานได้และมีคุณสมบัติที่ต้องการ จำเป็นต้องมีบริการ (เสริม) เพิ่มเติมหลายระดับ ตั้งแต่ DBMS และการตรวจสอบธุรกรรม ไปจนถึงเคอร์เนลและฮาร์ดแวร์ของระบบปฏิบัติการ

บริการเสริม ได้แก่ บริการรักษาความปลอดภัย (เราพบแล้วเมื่อพิจารณามาตรฐานและข้อกำหนดในด้านความปลอดภัยข้อมูล) ในหมู่พวกเขา เราจะสนใจบริการระดับสูงที่เป็นสากลเป็นหลัก ซึ่งบริการหลักและบริการเสริมต่างๆ สามารถนำไปใช้ได้ ต่อไปเราจะมาดูกัน บริการต่อไปนี้:

    การระบุตัวตนและการรับรองความถูกต้อง

    การควบคุมการเข้าถึง

    การบันทึกและการตรวจสอบ

    การเข้ารหัส;

    การควบคุมความสมบูรณ์

    ป้องกัน;

    การวิเคราะห์ความปลอดภัย

    สร้างความมั่นใจในความทนทานต่อความผิดพลาด

    ความปลอดภัย การกู้คืนที่ปลอดภัย;

    การขุดอุโมงค์;

    มาตรการซอฟต์แวร์และฮาร์ดแวร์ที่มุ่งเป้าไปที่การควบคุมอุปกรณ์คอมพิวเตอร์ โปรแกรม และข้อมูลที่จัดเก็บในรูปแบบสุดท้าย แต่ไม่ท้ายสุดของความปลอดภัยของข้อมูล ในระดับนี้ ไม่เพียงแต่ด้านบวกเท่านั้น แต่ยังรวมถึง ผลกระทบด้านลบความก้าวหน้าอย่างรวดเร็วของเทคโนโลยีสารสนเทศ ประการแรก คุณสมบัติเพิ่มเติมไม่เพียงปรากฏในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเท่านั้น แต่ยังปรากฏในหมู่ผู้โจมตีด้วย ประการที่สอง ระบบข้อมูลได้รับการปรับปรุงให้ทันสมัย ​​สร้างใหม่ และมีการเพิ่มส่วนประกอบที่ได้รับการทดสอบไม่เพียงพอ (โดยหลักคือซอฟต์แวร์) ซึ่งทำให้ยากต่อการปฏิบัติตามระบบการรักษาความปลอดภัย

    ศูนย์กลางของระดับซอฟต์แวร์และฮาร์ดแวร์คือแนวคิดของบริการรักษาความปลอดภัย บริการดังกล่าวสำหรับสถาบันและบริษัทได้แก่: ภาครัฐรวมถึง:

    • การระบุตัวตนและการรับรองความถูกต้อง
    • การควบคุมการเข้าถึง
    • การบันทึกและการตรวจสอบ
    • การเข้ารหัส;
    • การควบคุมความสมบูรณ์
    • ป้องกัน;
    • การวิเคราะห์ความปลอดภัย
    • สร้างความมั่นใจในความทนทานต่อความผิดพลาด
    • รับประกันการฟื้นตัวอย่างปลอดภัย
    • การขุดอุโมงค์;
    • ควบคุม.

    ปัจจุบันการเพิ่มระดับความปลอดภัยของข้อมูลของรัฐวิสาหกิจสามารถทำได้โดยการดำเนินการ เทคโนโลยีที่ทันสมัยการป้องกันโดดเด่นด้วยการเพิ่มฟังก์ชันการทำงาน ความคล่องตัว และความสามารถในการพอร์ตไปยังแพลตฟอร์มใดๆ ในพื้นที่ การป้องกันทางเทคนิคแหล่งข้อมูลเราสามารถแยกแยะได้สามส่วนหลักที่รัฐวิสาหกิจของรัสเซียดำเนินการ:

    • การป้องกันเครือข่ายภายใน
    • การป้องกันการเข้าถึงอินเทอร์เน็ตและระหว่างประเทศ การแลกเปลี่ยนข้อมูล;
    • ป้องกันการโต้ตอบกับหน่วยระยะไกล

    ในเวลาเดียวกัน เราจำได้ว่าหน่วยงานภาครัฐและองค์กรภาครัฐใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ได้รับการรับรองโดย FSTEC หรือ FSB ของสหพันธรัฐรัสเซียเท่านั้น เพื่อปกป้องทรัพยากรภายใน หน่วยงานรัฐบาลกลางและระดับภูมิภาคส่วนใหญ่ใช้กลไกการตรวจสอบสิทธิ์และการอนุญาตผู้ใช้ที่สร้างไว้ในระบบปฏิบัติการ บางแผนกมีระบบที่ได้รับการรับรองพิเศษเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและ ล็อคอิเล็กทรอนิกส์เช่น “Labyrinth-M”, “Accord”, SecretNet ตามกฎแล้ว คีย์การป้องกันข้อมูลลับ "CryptoPro" หรือระบบที่รู้จักกันมานานและยังคงเป็นที่นิยมของตระกูล "Verba" ได้รับการติดตั้งเป็นวิธีการเข้ารหัส

    เพื่อปกป้องเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่ายภายในจากโปรแกรมที่เป็นอันตราย (ไวรัส เวิร์ม ม้าโทรจัน) องค์กรภาครัฐส่วนใหญ่ใช้ซอฟต์แวร์ป้องกันไวรัส ซอฟต์แวร์- ส่วนใหญ่มักเป็น Russian Kaspersky Anti-Virus หรือ Dr.Web อย่างไรก็ตาม ยังมีวิธีแก้ปัญหาอยู่ เทรนด์ไมโคร, ไซแมนเทค, McAfee, Eset


    การแบ่งเครือข่ายออกเป็นส่วนๆ ที่มีข้อกำหนดด้านความปลอดภัยข้อมูลที่แตกต่างกันดำเนินการโดยใช้กลไกการกรองที่อยู่ MAC และ IP บนอุปกรณ์เครือข่ายที่ใช้งานอยู่และกลไก VLAN ระบบตรวจสอบนโยบายความปลอดภัยที่เปรียบเทียบ การตั้งค่าปัจจุบันกลไกการป้องกันและระบบย่อยที่มีค่าอ้างอิง (Cisco, “Uryadnik”)

    เพื่อปกป้องขอบเขตเครือข่ายหน่วยงานของรัฐมักจะใช้ใบรับรองต่างๆ ไฟร์วอลล์- สิ่งเหล่านี้ส่วนใหญ่เป็นโซลูชันจาก Cisco, Aladdin และ จุดตรวจ- แต่ก็มีผลิตภัณฑ์จากผู้ผลิตรายอื่นด้วย โดยเฉพาะ Novell Border Manager, Microsoft ISA Server, SSPT-1 และ SSPT-1M จาก Central Research Institute of RTK, Zastava จาก Elvis-Plus

    จนถึงขณะนี้ระบบตรวจจับและป้องกันการโจมตี (ที่เรียกว่า HIPS) ได้ถูกนำไปใช้ในองค์กรภาครัฐเพียงไม่กี่แห่ง โดยทั่วไป คุณจะพบโซลูชันจาก Symantec, S.N. ที่นี่ Safe'n'Software และ Cisco ในหน่วยงานรัฐบาลกลาง ระบบตรวจสอบต่างๆ ช่วยป้องกันสแปมและการละเมิดบนอินเทอร์เน็ต อีเมลและการรับส่งข้อมูลเว็บ เช่น eSafe Gateway, MAILsweeper, WEBsweeper และ Websense

    ในช่องสื่อสารกับเครื่องระยะไกลเท่านั้น ระบบของรัสเซีย การป้องกันการเข้ารหัสข้อมูลและ VPN - "Zastava", VipNet หรือ "ทวีป"

    11. กรอบกฎหมาย การคุ้มครององค์กร- แหล่งที่มาของกฎหมายในด้านการรักษาความปลอดภัยข้อมูล ประเภท เอกสารกำกับดูแล- ตัวอย่างเอกสารทางกฎหมายในประเทศและต่างประเทศ

    ใน สหพันธรัฐรัสเซียการดำเนินการทางกฎหมายด้านกฎระเบียบในด้านความปลอดภัยของข้อมูล ได้แก่:

    · พระราชบัญญัติของรัฐบาลกลาง:

    · สนธิสัญญาระหว่างประเทศของสหพันธรัฐรัสเซีย

    · รัฐธรรมนูญแห่งสหพันธรัฐรัสเซีย

    · กฎหมายในระดับรัฐบาลกลาง (รวมถึงกฎหมายรัฐธรรมนูญของรัฐบาลกลาง ประมวลกฎหมาย)

    · คำสั่งของประธานาธิบดีแห่งสหพันธรัฐรัสเซีย

    · กฤษฎีกาของรัฐบาลสหพันธรัฐรัสเซีย

    · การดำเนินการทางกฎหมายตามกฎระเบียบของกระทรวงและหน่วยงานของรัฐบาลกลาง

    · การดำเนินการทางกฎหมายตามกฎระเบียบของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซีย รัฐบาลท้องถิ่น ฯลฯ

    เอกสารด้านกฎระเบียบและระเบียบวิธีประกอบด้วย

    1. เอกสารระเบียบวิธี หน่วยงานภาครัฐรัสเซีย:

    · หลักคำสอนด้านความปลอดภัยข้อมูลของสหพันธรัฐรัสเซีย

    ·เอกสารแนวทางของ FSTEC (คณะกรรมการเทคนิคแห่งรัฐรัสเซีย)

    · คำสั่งเอฟเอสบี

    2. มาตรฐานการรักษาความปลอดภัยของข้อมูลซึ่งมีความโดดเด่นดังต่อไปนี้:

    · มาตรฐานสากล;

    · มาตรฐานของรัฐ (ระดับชาติ) ของสหพันธรัฐรัสเซีย

    · คำแนะนำระเบียบวิธี

    ประเภทของเอกสารกำกับดูแล:

    · การดำเนินการทางกฎหมายตามกฎระเบียบ: กฎหมายของสหพันธรัฐรัสเซีย (ว่าด้วยความปลอดภัย), กฎหมายของรัฐบาลกลาง (เกี่ยวกับข้อมูลส่วนบุคคล, เกี่ยวกับเทคโนโลยีสารสนเทศและสารสนเทศ, ในลายเซ็นดิจิทัลอิเล็กทรอนิกส์), พระราชกฤษฎีกาของประธานาธิบดีแห่งสหพันธรัฐรัสเซีย (เมื่อได้รับอนุมัติรายการข้อมูล เป็นความลับ), พระราชกฤษฎีกาของรัฐบาล (เกี่ยวกับการรับรองเครื่องมือรักษาความปลอดภัยข้อมูล, การออกใบอนุญาต);

    · เอกสารด้านกฎระเบียบ วิธีการ และระเบียบวิธี: หลักคำสอน คำสั่งของ FSTEC ข้อบังคับเกี่ยวกับการรับรองอุปกรณ์ป้องกันตามข้อกำหนดด้านความปลอดภัย ข้อบังคับเกี่ยวกับการรับรองวัตถุ บทบัญญัติของแบบจำลอง เอกสารแนวทาง วิธีการ (การประเมินความปลอดภัย) เอกสารด้านกฎระเบียบและระเบียบวิธี

    · มาตรฐาน: GOST, RD, SanPin (ข้อกำหนดด้านสุขอนามัยสำหรับเทอร์มินัลการแสดงผลวิดีโอ), SNiP (การป้องกันเสียงรบกวน)

    ตัวอย่างเอกสารทางกฎหมายต่างประเทศ:

    สหรัฐอเมริกา

    ณ วันนี้สหรัฐอเมริกาเป็นเขตอำนาจศาลด้วย จำนวนที่ใหญ่ที่สุดเอกสารในระบบ (มากกว่า 12,000 เอกสาร)

    ฐานข้อมูลประกอบด้วยเอกสารจากแหล่งที่มาทางกฎหมายของรัฐบาลกลางอเมริกันหลักสองแห่ง ได้แก่ US Code (USC) และ Code of Federal Regulations (CFR) ประการแรกคือชุดกฎหมายของรัฐบาลกลางที่เป็นระบบ และประกอบด้วย 52 ส่วนที่อุทิศให้กับการควบคุมสาขาหรือสถาบันกฎหมายบางแห่ง

    ระบบประกอบด้วยสามส่วนของรหัสของสหรัฐอเมริกา: หัวข้อ 26 - ประมวลรัษฎากรภายในของสหรัฐอเมริกา, หัวข้อ 12 - ธนาคารและการธนาคาร และหัวข้อ 15 - การค้าและการค้า ซึ่งรวมถึงกฎหมายที่ควบคุมกิจกรรมในตลาดหลักทรัพย์ ประมวลกฎหมายจะออกใหม่โดยสภาคองเกรสทุกๆ 6 ปี และเผยแพร่โดย US Code Service ไม่เหมือนส่วนใหญ่ แหล่งที่มาที่เปิดเผยต่อสาธารณะระบบ WBL ไม่เพียงแต่ประกอบด้วยข้อความในเอกสารเหล่านี้เท่านั้น แต่ยังรวมถึงประวัติของการแก้ไขทั้งหมดที่ทำกับเอกสารเหล่านั้น ตลอดจนบันทึกย่อและแบบอย่างการพิจารณาคดีที่สำคัญที่สุดในพื้นที่นี้

    ระบบยังรวมถึงข้อบังคับที่ออกโดยหน่วยงานรัฐบาลกลางด้วย สาขาผู้บริหารและรวมอยู่ในประมวลกฎหมายของรัฐบาลกลางที่มีการเผยแพร่ ทะเบียนของรัฐบาลกลาง(ทะเบียนกลาง) - องค์กรหนึ่งของสำนักหอจดหมายเหตุแห่งชาติ

    12. การพัฒนานโยบายการรักษาความปลอดภัย ข้อกำหนดพื้นฐานของการรักษาความปลอดภัยของข้อมูล ขอบเขตการใช้งาน เป้าหมายและวัตถุประสงค์ของการรับรองความปลอดภัยของข้อมูล การกระจายบทบาทและความรับผิดชอบ ความรับผิดชอบทั่วไป

    การพัฒนา.

    ก่อนอื่นคุณต้องดำเนินการตรวจสอบ กระบวนการข้อมูลบริษัท ระบุอย่างมีวิจารณญาณ ข้อมูลสำคัญซึ่งจำเป็นต้องได้รับการปกป้อง การตรวจสอบกระบวนการข้อมูลควรสิ้นสุดด้วยการกำหนดรายการ ข้อมูลที่เป็นความลับองค์กร พื้นที่ที่มีการเผยแพร่ข้อมูลนี้ บุคคลที่ได้รับอนุญาตให้เข้าถึงข้อมูล รวมถึงผลที่ตามมาจากการสูญเสีย (การบิดเบือน) ของข้อมูลนี้ หลังจากดำเนินการขั้นตอนนี้ จะเห็นได้ชัดว่าควรปกป้องอะไร จะปกป้องที่ไหน และจากใคร ในเหตุการณ์ส่วนใหญ่ที่ท่วมท้น ผู้ฝ่าฝืนจะเป็นพนักงานของบริษัทเองทั้งด้วยความเต็มใจหรือไม่เต็มใจ และไม่มีอะไรสามารถทำได้เกี่ยวกับเรื่องนี้: คุณต้องยอมรับมัน ภัยคุกคามความปลอดภัยต่างๆ สามารถกำหนดค่าความน่าจะเป็นสำหรับการเกิดขึ้นได้ ด้วยการคูณความน่าจะเป็นที่ภัยคุกคามจะรับรู้ด้วยความเสียหายที่เกิดจากการดำเนินการนี้ เราจึงได้รับความเสี่ยงจากภัยคุกคาม หลังจากนี้คุณควรเริ่มพัฒนานโยบายความปลอดภัย

    นโยบายความปลอดภัยถือเป็นเอกสารระดับ "บนสุด" ซึ่งควรระบุ:

    · บุคคลที่รับผิดชอบด้านความปลอดภัยของบริษัท

    · อำนาจและความรับผิดชอบของหน่วยงานและบริการเกี่ยวกับการรักษาความปลอดภัย

    · จัดให้มีการรับพนักงานใหม่และการเลิกจ้าง

    · กฎสำหรับการจำกัดการเข้าถึงทรัพยากรสารสนเทศของพนักงาน

    · องค์กรควบคุมการเข้าถึง การลงทะเบียนของพนักงานและผู้เยี่ยมชม

    · การใช้เครื่องมือป้องกันซอฟต์แวร์และฮาร์ดแวร์

    · ข้อกำหนดทั่วไปอื่นๆ

    ค่าใช้จ่ายในการรับรองความปลอดภัยของข้อมูลไม่ควรมากกว่าจำนวนความเสียหายที่อาจเกิดขึ้นจากการสูญเสีย การวิเคราะห์ความเสี่ยงที่ดำเนินการในขั้นตอนการตรวจสอบทำให้สามารถจัดอันดับตามขนาดและปกป้องอันดับแรก ไม่เพียงแต่ผู้ที่มีความเสี่ยงมากที่สุดเท่านั้น แต่ยังรวมถึงผู้ที่ประมวลผลมากที่สุดด้วย ข้อมูลอันมีค่าแปลง มาตรฐานไอเอสโอ 17799 ให้คุณได้ ปริมาณการรักษาความปลอดภัยที่ครอบคลุม:

    การพัฒนานโยบายความปลอดภัยเกี่ยวข้องกับขั้นตอนเบื้องต้นหลายประการ:

    ·การประเมินทัศนคติส่วนบุคคล (ส่วนตัว) ต่อความเสี่ยงขององค์กรของเจ้าของและผู้จัดการที่รับผิดชอบในการทำงานและการปฏิบัติงานขององค์กรโดยรวมหรือแต่ละด้านของกิจกรรม

    · การวิเคราะห์ความเสี่ยงที่อาจเกิดขึ้น วัตถุข้อมูล;

    · การระบุภัยคุกคามต่อวัตถุข้อมูลที่สำคัญ (ข้อมูล ระบบข้อมูล กระบวนการประมวลผลข้อมูล) และการประเมินความเสี่ยงที่เกี่ยวข้อง

    เมื่อพัฒนานโยบายความปลอดภัยในทุกระดับ คุณต้องปฏิบัติตามกฎพื้นฐานต่อไปนี้:

    · นโยบายความปลอดภัยเพิ่มเติม ระดับต่ำจะต้องปฏิบัติตามนโยบายที่เกี่ยวข้องอย่างเต็มที่ ระดับบนสุดตลอดจนกฎหมายและข้อกำหนดปัจจุบันของหน่วยงานภาครัฐ

    · ข้อความของนโยบายความปลอดภัยควรมีเฉพาะภาษาที่ชัดเจนและไม่คลุมเครือซึ่งไม่อนุญาตให้ตีความซ้ำซ้อน

    · ข้อความของนโยบายความปลอดภัยจะต้องสามารถเข้าใจได้สำหรับพนักงานเหล่านั้นที่ได้รับการกล่าวถึง

    ทั่วไป วงจรชีวิตนโยบายความปลอดภัยของข้อมูลประกอบด้วยขั้นตอนพื้นฐานหลายขั้นตอน

    · ดำเนินการศึกษาเบื้องต้นเกี่ยวกับสถานะความปลอดภัยของข้อมูล

    · การพัฒนานโยบายความปลอดภัยที่เกิดขึ้นจริง

    · การดำเนินการตามนโยบายความปลอดภัยที่พัฒนาขึ้น

    · การวิเคราะห์การปฏิบัติตามข้อกำหนดของนโยบายความปลอดภัยที่นำไปใช้และการกำหนดข้อกำหนดสำหรับการปรับปรุงเพิ่มเติม (กลับสู่ขั้นตอนแรก สู่วงจรการปรับปรุงใหม่)

    นโยบายการรักษาความปลอดภัยขององค์กร(ภาษาอังกฤษ) นโยบายความปลอดภัยขององค์กร) - ชุดแนวปฏิบัติ กฎเกณฑ์ ขั้นตอน และ เทคนิคการปฏิบัติในด้านการรักษาความปลอดภัย ซึ่งควบคุมการจัดการ การป้องกัน และการเผยแพร่ข้อมูลอันมีค่า

    ในกรณีทั่วไป ชุดของกฎดังกล่าวแสดงถึงการทำงานบางอย่าง ผลิตภัณฑ์ซอฟต์แวร์ซึ่งจำเป็นสำหรับการใช้งานในองค์กรเฉพาะ หากเราเข้าใกล้นโยบายความปลอดภัยอย่างเป็นทางการมากขึ้น ก็จะเป็นข้อกำหนดบางประการสำหรับการทำงานของระบบรักษาความปลอดภัยซึ่งประดิษฐานอยู่ในเอกสารของแผนก

    นโยบายความปลอดภัยขึ้นอยู่กับ:

    • จากเทคโนโลยีการประมวลผลข้อมูลเฉพาะ
    • จากด้านเทคนิคและ ซอฟต์แวร์;
    • จากที่ตั้งขององค์กร

    การป้องกันระบบข้อมูลขนาดใหญ่ไม่สามารถแก้ไขได้หากไม่มีเอกสารความปลอดภัยของข้อมูลที่ได้รับการพัฒนาอย่างดี - นโยบายความปลอดภัยช่วย

    · ตรวจสอบให้แน่ใจว่าไม่มีอะไรสำคัญที่ถูกมองข้าม

    · กำหนดกฎเกณฑ์ความปลอดภัยที่ชัดเจน

    เฉพาะระบบการป้องกันที่ครอบคลุมและเป็นไปได้ทางเศรษฐกิจเท่านั้นที่จะมีประสิทธิภาพและระบบข้อมูลในกรณีนี้จะปลอดภัย

    เอกสารนโยบายความปลอดภัยควรอธิบายถึงเป้าหมายและวัตถุประสงค์ของการรักษาความปลอดภัยข้อมูล ตลอดจนทรัพย์สินอันมีค่าของบริษัทที่ต้องมีการป้องกัน เป้าหมายความปลอดภัยของข้อมูลตามกฎแล้วคือการรับรองความลับ ความสมบูรณ์ และความพร้อมของสินทรัพย์ข้อมูล ตลอดจนรับประกันความต่อเนื่องของธุรกิจของบริษัท

    วัตถุประสงค์การรักษาความปลอดภัยของข้อมูลคือการกระทำทั้งหมดที่ต้องทำเพื่อให้บรรลุเป้าหมาย โดยเฉพาะอย่างยิ่งจำเป็นต้องแก้ไขปัญหาเช่นการวิเคราะห์และการจัดการ ความเสี่ยงด้านข้อมูลการสืบสวนเหตุการณ์ด้านความปลอดภัยของข้อมูล การพัฒนาและการดำเนินการตามแผนความต่อเนื่องทางธุรกิจ การฝึกอบรมขั้นสูงของพนักงานบริษัทในด้านความปลอดภัยของข้อมูล เป็นต้น

    การจำแนกประเภทของมาตรการคุ้มครองสามารถแสดงได้เป็น 3 ระดับ

    ระดับนิติบัญญัติ ประมวลกฎหมายอาญาของสหพันธรัฐรัสเซียมีบทที่ 28 อาชญากรรมในด้านข้อมูลคอมพิวเตอร์ ประกอบด้วยบทความ 3 บทความดังต่อไปนี้

    มาตรา 272 การเข้าถึงข้อมูลคอมพิวเตอร์อย่างผิดกฎหมาย

    มาตรา 273 การสร้าง การใช้ และการเผยแพร่โปรแกรมคอมพิวเตอร์ที่เป็นอันตราย

    มาตรา 274 การละเมิดกฎในการใช้งานคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือเครือข่าย

    ฝ่ายบริหารและ ระดับขั้นตอน- ในระดับบริหารและขั้นตอน จะมีการจัดทำนโยบายความปลอดภัยและชุดขั้นตอนที่กำหนดการกระทำของบุคลากรในสถานการณ์ปกติและวิกฤติ ระดับนี้บันทึกไว้ในแนวทางที่ออกโดยคณะกรรมการเทคนิคแห่งรัฐของสหพันธรัฐรัสเซียและ FAPSI

    ระดับซอฟต์แวร์และฮาร์ดแวร์ ระดับนี้รวมถึงซอฟต์แวร์และฮาร์ดแวร์ที่ประกอบขึ้นเป็นเทคโนโลยีความปลอดภัยของข้อมูล ซึ่งรวมถึงการระบุผู้ใช้ การควบคุมการเข้าถึง การเข้ารหัส การป้องกัน และอื่นๆ อีกมากมาย

    และหากระดับการคุ้มครองทางกฎหมายและการบริหารไม่ได้ขึ้นอยู่กับผู้ใช้รายใดรายหนึ่ง อุปกรณ์คอมพิวเตอร์จากนั้นซอฟต์แวร์ ระดับเทคนิคผู้ใช้ทุกคนสามารถและควรจัดระเบียบการปกป้องข้อมูลบนคอมพิวเตอร์ของตน

    1.3. ระดับการป้องกันซอฟต์แวร์และฮาร์ดแวร์

    เราจะไม่พิจารณาระบบการเข้ารหัสซอฟต์แวร์และฮาร์ดแวร์ที่ซับซ้อนที่มีอยู่ซึ่งจำกัดการเข้าถึงข้อมูลผ่านการเข้ารหัส เช่นเดียวกับโปรแกรมการเขียนลับที่สามารถ "ละลาย" เนื้อหาที่เป็นความลับในไฟล์กราฟิกและเสียงขนาดใหญ่ การใช้โปรแกรมดังกล่าวสามารถทำได้เฉพาะในกรณีพิเศษเท่านั้น

    ตามกฎแล้ว ผู้ใช้ทั่วไปเช่นคุณและฉันไม่ใช่นักเข้ารหัสหรือโปรแกรมเมอร์มืออาชีพ ดังนั้นเราจึงสนใจเครื่องมือรักษาความปลอดภัยข้อมูลแบบ "ชั่วคราว" มาดูเครื่องมือรักษาความปลอดภัยข้อมูลแล้วลองประเมินความน่าเชื่อถือ ท้ายที่สุดแล้ว การรู้จุดอ่อนของการป้องกันสามารถช่วยเราให้พ้นจากปัญหาต่างๆ มากมายได้

    สิ่งแรกที่ผู้ใช้คอมพิวเตอร์ส่วนบุคคลมักจะทำคือตั้งรหัสผ่านสองรหัส: รหัสผ่านหนึ่งรหัสในการตั้งค่า BIOS และอีกรหัสผ่านหนึ่งบนโปรแกรมรักษาหน้าจอ การป้องกันในระดับ BIOS คุณจะต้องป้อนรหัสผ่านเมื่อคุณบูตคอมพิวเตอร์ และการป้องกันบนโปรแกรมรักษาหน้าจอจะบล็อกการเข้าถึงข้อมูลหลังจากผ่านช่วงระยะเวลาหนึ่งที่คุณระบุเมื่อคอมพิวเตอร์ไม่ได้ใช้งาน

    การตั้งรหัสผ่านที่ระดับ BIOS เป็นกระบวนการที่ค่อนข้างละเอียดอ่อนซึ่งต้องใช้ทักษะบางอย่างในการทำงานกับการตั้งค่าคอมพิวเตอร์ ดังนั้นจึงแนะนำให้ตั้งกับเพื่อนร่วมงานที่มีประสบการณ์เพียงพอในกิจกรรมดังกล่าว การตั้งรหัสผ่านสำหรับโปรแกรมรักษาหน้าจอนั้นไม่ใช่เรื่องยากและผู้ใช้สามารถตั้งค่าเองได้

    ในการตั้งรหัสผ่านสำหรับสกรีนเซฟเวอร์ คุณต้องทำตามขั้นตอนต่อไปนี้: คลิกปุ่มเริ่ม เลือกการตั้งค่าและแผงควบคุม ดับเบิลคลิกที่ไอคอนหน้าจอ และในหน้าต่างคุณสมบัติการแสดงผลที่เปิดขึ้น ให้เลือกแท็บสกรีนเซฟเวอร์ ตั้งค่าประเภทสกรีนเซฟเวอร์ กำหนดช่วงเวลา (สมมติว่า 1 นาที) ทำเครื่องหมายที่ช่องรหัสผ่าน และคลิกปุ่มเปลี่ยน

    ในหน้าต่างเปลี่ยนรหัสผ่านที่เปิดขึ้น ให้ป้อนรหัสผ่านของโปรแกรมรักษาหน้าจอ จากนั้นป้อนอีกครั้งเพื่อยืนยันและคลิกตกลง

    หากคุณตัดสินใจที่จะลบรหัสผ่านสำหรับสกรีนเซฟเวอร์ด้วยตัวเองให้ทำตามขั้นตอนข้างต้นทั้งหมดเฉพาะในหน้าต่างเปลี่ยนรหัสผ่านที่คุณไม่ควรพิมพ์อะไรเลย แต่เพียงคลิกที่ปุ่มตกลง รหัสผ่านจะถูกลบออก

    วิธีแรกคือใช้ช่องโหว่ที่ผู้ผลิตเมนบอร์ดมักมีให้ ซึ่งเรียกว่า "รหัสผ่านสากลสำหรับคนขี้ลืม" ผู้ใช้ทั่วไปซึ่งตามปกติแล้วเราเป็นไม่ทราบ

    คุณสามารถใช้วิธีที่สองในการแฮ็กข้อมูลความลับ: ถอดเคสคอมพิวเตอร์ ถอดแบตเตอรี่ลิเธียมบนเมนบอร์ดออกประมาณ 20...30 นาที จากนั้นใส่กลับเข้าไป หลังจากการดำเนินการนี้ BIOS จะลืมรหัสผ่านและการตั้งค่าผู้ใช้ทั้งหมด 99% อย่างไรก็ตามหากคุณลืมรหัสผ่านซึ่งเกิดขึ้นบ่อยครั้งในทางปฏิบัติคุณสามารถใช้วิธีนี้ได้

    วิธีที่สามสำหรับบุคคลภายนอกในการค้นหาข้อมูลที่ได้รับการคุ้มครองของเราคือการถอดฮาร์ดไดรฟ์ออกจากคอมพิวเตอร์และเชื่อมต่อกับคอมพิวเตอร์เครื่องอื่นเป็นอุปกรณ์ตัวที่สอง จากนั้นคุณก็สามารถอ่านและคัดลอกความลับของผู้อื่นได้โดยไม่มีปัญหา ด้วยทักษะบางอย่าง ขั้นตอนนี้ใช้เวลา 15...20 นาที

    ดังนั้น ในระหว่างที่คุณไม่อยู่เป็นเวลานาน พยายามป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าไปในห้องซึ่งมีคอมพิวเตอร์อยู่

    มาตรการด้านซอฟต์แวร์และฮาร์ดแวร์มุ่งเป้าไปที่การตรวจสอบอุปกรณ์ โปรแกรม ข้อมูล และแบบฟอร์ม พรมแดนสุดท้ายไอบี. ศูนย์กลางของระดับซอฟต์แวร์และฮาร์ดแวร์คือแนวคิดของบริการรักษาความปลอดภัย มีบริการดังต่อไปนี้:
    1) การระบุและการรับรองความถูกต้อง
    2) การควบคุมการเข้าถึง
    3) การบันทึกและการตรวจสอบ
    4) การเข้ารหัส
    5) การควบคุมความซื่อสัตย์
    6) การป้องกัน
    7) การวิเคราะห์ความปลอดภัย
    8) รับประกันความทนทานต่อความผิดพลาด
    9) รับรองการฟื้นตัวอย่างปลอดภัย
    10) การขุดอุโมงค์
    11) การจัดการ
    ชุดบริการที่กล่าวข้างต้นสามารถเรียกได้ ชุดเต็มและเชื่อว่าเพียงพอที่จะให้การป้องกันที่เชื่อถือได้ในระดับซอฟต์แวร์ บริการรักษาความปลอดภัยจำแนกตาม บางประเภท.
    การระบุและการรับรองความถูกต้อง- การระบุตัวตนทำให้ผู้ถูกทดสอบสามารถตั้งชื่อตัวเองได้ การรับรองความถูกต้องช่วยให้แน่ใจว่าหัวเรื่องเป็นคนที่เขาบอกว่าเขาเป็น (การรับรองความถูกต้อง) การรับรองความถูกต้องอาจเป็นแบบทางเดียว - เมื่อไคลเอนต์พิสูจน์ความถูกต้องหรือแบบสองทาง บริการที่เป็นปัญหามี 2 ด้าน: 1) สิ่งที่ทำหน้าที่เป็นตัวตรวจสอบความถูกต้อง 2) และการแลกเปลี่ยนข้อมูลการตรวจสอบความถูกต้องและการระบุตัวตนได้รับการปกป้องอย่างไร
    ตัวตรวจสอบความถูกต้องของผู้ใช้สามารถเป็นหนึ่งในเอนทิตีต่อไปนี้: 1) สิ่งที่เขารู้ (รหัสผ่าน, คีย์); 2) สิ่งที่เขาเป็นเจ้าของ (การ์ดเข้าถึง); 3) สิ่งที่เป็นส่วนหนึ่งของตัวเขาเอง (ลายนิ้วมือ)
    การตรวจสอบรหัสผ่าน
    รูปแบบการป้องกันที่เป็นมิตรต่อผู้ใช้มากที่สุด มีเทคนิคมาตรฐานจำนวนหนึ่งที่ผู้โจมตีใช้เพื่อเลี่ยงผ่าน การป้องกันด้วยรหัสผ่าน- สำหรับแต่ละเทคนิคเหล่านี้ ได้มีการพัฒนามาตรการรับมือ ขึ้นอยู่กับกลไกเหล่านี้ สามารถกำหนดกฎการเลือกได้ รหัสผ่านที่ปลอดภัยและทำงานร่วมกับเขา
    วิธีการโจมตีด้วยรหัสผ่าน:
    1) เกินกำลัง การโจมตีรหัสผ่านที่ง่ายที่สุดโดยลองใช้ชุดค่าผสมและอักขระที่เป็นไปได้ทั้งหมด วิธีการที่ทันสมัยสามารถลองรหัสผ่าน 5-6 ตัวอักษรได้ภายในไม่กี่วินาที บางระบบไม่อนุญาตให้มีการโจมตีดังกล่าวเนื่องจากระบบจะตอบสนองต่อความพยายามรหัสผ่านที่ไม่ถูกต้องหลายครั้ง
    กลไกความปลอดภัย: ความยาวรหัสผ่าน รหัสผ่านสมัยใหม่ต้องมีความยาวอย่างน้อย 12 ตัวอักษร
    2) ค้นหาในช่วงที่จำกัด เป็นที่ทราบกันดีว่าผู้ใช้หลายคนเมื่อเลือกรหัสผ่านให้ใช้อักขระที่อยู่ในช่วงเดียวกัน รหัสผ่านดังกล่าวจำง่ายกว่ามาก แต่งานของศัตรูนั้นง่ายกว่ามาก ให้ n=70 เป็นจำนวนอักขระที่สามารถใช้ในรหัสผ่านได้ ในจำนวนนี้มี 10 ตัวเป็นตัวเลข 30 – ตัวอักษรของตัวอักษรรัสเซีย 30 – ตัวอักษรของตัวอักษรอื่น ให้รหัสผ่านมีความยาว m=4 จำนวนชุดค่าผสมคือ 70^4 = 24010000
    10^4+30^4+30^4= 1630000.
    ดังนั้นหากผู้โจมตีพูดถูก จำนวนชุดค่าผสมก็ลดลง 140 เท่า โปรแกรมเดารหัสผ่านมีตัวเลือกที่ช่วยให้คุณสามารถใช้ตัวเลขในการเดารหัสผ่านได้
    กลไกการรักษาความปลอดภัย: ใช้อักขระจาก ช่วงต่างๆ.
    3) การโจมตีพจนานุกรม ไร้จุดหมายอย่างแน่นอน รหัสผ่านแบบสุ่มจดจำได้ยาก และสำหรับผู้ใช้จำนวนมาก การลืมรหัสผ่านมีแนวโน้มมากกว่าการถูกโจมตี ดังนั้นจึงมักเลือกคำใดคำหนึ่ง ในกรณีนี้ ผู้โจมตีจะใช้งาน Brute Force ได้ง่ายขึ้นมาก เนื่องจากโปรแกรมเลือกอัตโนมัติสามารถเลือกคำที่มีอยู่ในไฟล์พจนานุกรมได้ มีพจนานุกรมหลายประเภทมากมาย ภาษาที่แตกต่างกัน- ตรวจสอบพจนานุกรมและคำ 200,000 คำในไม่กี่วินาที ผู้ใช้หลายท่านเชื่อว่าหากทาบาง การแปลงอย่างง่าย(เขียนถอยหลังด้วยตัวอักษรรัสเซียค่ะ เค้าโครงภาษาอังกฤษ) สิ่งนี้จะเพิ่มความปลอดภัย แต่เมื่อเทียบกับการใช้กำลังดุร้ายธรรมดา การเลือกคำที่มีการเปลี่ยนแปลงจะทำให้งานนี้เป็นไปได้
    รหัสผ่านที่แข็งแกร่ง- ไม่ควรขึ้นอยู่กับคำพูด ภาษาธรรมชาติ
    4) โจมตีโดย พจนานุกรมส่วนตัว- ผู้โจมตีสามารถใช้ประโยชน์จากข้อเท็จจริงที่ว่าเพื่อให้จดจำได้ง่ายขึ้น ผู้ใช้บางรายจึงเลือกข้อมูลส่วนบุคคล หากผู้โจมตีจำเป็นต้องเลี่ยงรหัสผ่าน เขาสามารถรวบรวมพจนานุกรมข้อมูลส่วนบุคคลได้
    รหัสผ่านที่รัดกุมไม่ควรมีความหมายโดยสิ้นเชิง
    5) การรวบรวมรหัสผ่านที่จัดเก็บไว้ในพื้นที่สาธารณะที่เข้าถึงได้ ในหลายองค์กร ผู้ดูแลระบบจะสร้างและแจกจ่ายรหัสผ่าน อย่างไรก็ตาม เนื่องจากรหัสผ่านนั้นจำยาก ผู้ใช้จึงมักจะจดรหัสผ่านไว้ในมือ ปัญหาคือผู้ใช้มักไม่ให้ความสำคัญกับการรักษาความปลอดภัยของรหัสผ่านบริการของตนอย่างจริงจัง พวกเขาเชื่อว่าเนื่องจากทุกคนในองค์กรเป็นของตัวเอง การจัดเก็บอย่างไม่ระมัดระวังจึงไม่ก่อให้เกิดอันตราย
    ไม่ควรเก็บรหัสผ่านไว้ในที่สาธารณะ ตัวเลือกที่เหมาะสมที่สุดคือการจดจำและไม่เก็บไว้ที่ใด
    6) วิศวกรรมสังคม หลอกล่อผู้คนให้เจาะระบบที่ได้รับการคุ้มครอง หากรหัสผ่านไม่สามารถเดาหรือขโมยได้ ผู้โจมตีอาจพยายามบังคับให้ผู้ใช้เปิดเผยรหัสผ่านด้วยตนเอง กลยุทธ์คลาสสิก วิศวกรรมสังคม: โทรหาผู้เสียหายในนามของบุคคลที่มีสิทธิทราบข้อมูลที่ร้องขอ โดยวิธีการทางสังคม วิศวกรรมศาสตร์คือ การล่อลวงไปยังไซต์ปลอม การเปิดลิงก์ เทคนิคที่ผู้โจมตีใช้อาจแตกต่างกันมาก
    กฎความปลอดภัย: คุณไม่สามารถเปิดเผยรหัสผ่านของคุณแก่บุคคลที่สาม แม้ว่าบุคคลนั้นจะมีสิทธิ์ทราบก็ตาม
    7) ฟิชชิ่ง ขั้นตอนการแตกรหัสผ่านของผู้ใช้อินเทอร์เน็ตแบบสุ่ม โดยปกติจะเกี่ยวข้องกับการสร้างไซต์ปลอมที่หลอกให้ผู้ใช้ป้อนรหัสผ่าน เช่น รับรหัสผ่านสำหรับ บัญชีธนาคารสามารถสร้างเว็บไซต์ได้ด้วยการออกแบบเว็บไซต์เดียวกัน สามารถส่งอีเมลที่มีเนื้อหา เช่น ตรวจสอบบัญชีของคุณ ซึ่งมีลิงก์ไปยังเว็บไซต์ปลอมได้ เมื่อลูกค้าเข้าสู่เว็บไซต์ของผู้โจมตี เขาจะได้รับแจ้งให้ป้อนชื่อผู้ใช้และรหัสผ่านด้วย ข้อมูลนี้ถูกเก็บไว้ในฐานข้อมูลของผู้โจมตี หลังจากนั้นลูกค้าจะถูกส่งไปที่ หน้าแรกของไซต์นี้
    ผู้ใช้หลายคนใช้รหัสผ่านเดียวกันสำหรับทรัพยากรที่แตกต่างกัน ผลก็คือ ด้วยการโจมตีทรัพยากรที่มีการป้องกันน้อย คุณจะสามารถเข้าถึงทรัพยากรที่มีการป้องกันมากขึ้นได้ ตัวอย่างเช่น มีการสร้างเว็บไซต์ที่น่าสนใจสำหรับผู้ใช้บางกลุ่ม ข้อมูลเกี่ยวกับไซต์นี้จะถูกสื่อสารไปยังผู้ที่อาจเป็นเหยื่อ ผู้ใช้ลงทะเบียนและสร้างรหัสผ่าน จากนั้นผู้โจมตีจะต้องดูว่ารหัสผ่านนี้เหมาะสมกับทรัพยากรอื่นหรือไม่
    เพื่อต่อสู้กับภัยคุกคามฟิชชิ่ง คุณต้องตรวจสอบที่อยู่เว็บไซต์ก่อนที่จะป้อนรหัสผ่าน เป็นการดีกว่าที่จะบุ๊กมาร์กที่อยู่ไว้และไม่คลิกลิงก์จากอีเมล แนะนำให้ใช้ รหัสผ่านที่แตกต่างกันเพื่อเข้าถึง ไปยังบริการต่างๆ.
    ดังนั้นเราจึงระบุมาตรการเพื่อเพิ่มความน่าเชื่อถือของการป้องกัน:
    1) การกำหนดข้อจำกัดทางเทคนิค เกี่ยวกับความยาวและเนื้อหาของรหัสผ่าน
    2) การจัดการรหัสผ่านหมดอายุและการเปลี่ยนแปลงเป็นระยะ
    3) การจำกัดการเข้าถึงในแง่ของรหัสผ่าน
    4) เพิ่มจำนวนการเข้าสู่ระบบที่ล้มเหลว
    5) การฝึกอบรมผู้ใช้
    6) การใช้ซอฟต์แวร์สร้างรหัสผ่าน
    รหัสผ่านที่กล่าวถึงข้างต้นสามารถเรียกได้ว่านำมาใช้ซ้ำได้ การเปิดเผยข้อมูลทำให้ผู้โจมตีสามารถดำเนินการในนามของผู้ใช้ที่ถูกต้องตามกฎหมายได้ มากกว่า การรักษาที่แข็งแกร่งจากมุมมองด้านความปลอดภัย มีการใช้รหัสผ่านแบบใช้ครั้งเดียว



    รหัสผ่านแบบใช้ครั้งเดียวรหัสผ่านแบบครั้งเดียว – รหัสผ่านที่ถูกต้องสำหรับเซสชันการรับรองความถูกต้องหนึ่งครั้ง ความถูกต้องของรหัสผ่านแบบใช้ครั้งเดียวสามารถจำกัดได้ในช่วงระยะเวลาหนึ่ง ข้อดีของรหัสผ่านดังกล่าวคือไม่สามารถใช้ซ้ำได้ บุคคลไม่สามารถจำรหัสผ่านแบบครั้งเดียวได้ ดังนั้นจึงจำเป็นต้องมีเทคโนโลยีเพิ่มเติมเพื่อใช้กลไกนี้
    วิธีสร้างและแจกจ่ายรหัสผ่านแบบใช้ครั้งเดียว:
    มีการใช้อัลกอริทึมสำหรับการสร้างรหัสผ่านแบบครั้งเดียว ตัวเลขสุ่ม- นี่เป็นสิ่งจำเป็นเพื่อไม่ให้คาดเดารหัสผ่านถัดไปได้ อัลกอริธึมเฉพาะสำหรับการสร้างรหัสผ่านดังกล่าวอาจมีรายละเอียดที่แตกต่างกันอย่างมาก
    หากต้องการสร้างรหัสผ่านแบบใช้ครั้งเดียว สามารถแยกแยะแนวทางหลักได้ดังต่อไปนี้:
    1) อัลกอริทึมที่ใช้อัลกอริทึมทางคณิตศาสตร์เพื่อสร้างรหัสผ่านใหม่
    2) แนวทางที่อิงตามการซิงโครไนซ์เวลาระหว่างเซิร์ฟเวอร์และไคลเอนต์
    3) รหัสผ่านโดยใช้อัลกอริธึม Mat โดยที่ รหัสผ่านใหม่แบบสอบถามหรือตามเคาน์เตอร์
    มี วิธีต่างๆบอกรหัสผ่านต่อไปนี้แก่ผู้ใช้ บางระบบใช้โทเค็นอิเล็กทรอนิกส์พิเศษที่ผู้ใช้พกติดตัวไปด้วย ระบบยังสามารถใช้โปรแกรมที่ผู้ใช้เปิดจากโทรศัพท์มือถือได้ บางระบบสร้างรหัสผ่านแบบใช้ครั้งเดียวบนเซิร์ฟเวอร์ จากนั้นส่งรหัสผ่านให้กับผู้ใช้โดยใช้ช่องทางบุคคลที่สาม เช่น SMS
    การสร้างรหัสผ่านแบบครั้งเดียวตาม อัลกอริธึมทางคณิตศาสตร์.
    ลองพิจารณาแนวทางโดยใช้ฟังก์ชันทางเดียว f ระบบเริ่มทำงานจากเลขเริ่มต้น s รหัสผ่าน f(s), f(f(s)), f(f(f(s))) ถูกสร้างขึ้น รหัสผ่านแต่ละอันจะถูกแจกจ่ายในลำดับย้อนกลับ โดยเริ่มจากรหัสผ่านสุดท้ายและลงท้ายด้วย f(s) หากผู้โจมตีจัดการเพื่อรับรหัสผ่านแบบใช้ครั้งเดียว เพื่อคำนวณรหัสผ่านถัดไปในห่วงโซ่ จำเป็นต้องหาวิธีคำนวณฟังก์ชันผกผัน และเพราะว่า f เป็นด้านเดียว แล้วนี่เป็นไปไม่ได้ ถ้า f เป็นฟังก์ชันแคชการเข้ารหัสลับ ซึ่งเป็นฟังก์ชันที่ใช้กันทั่วไป ฟังก์ชันนี้จะเป็นไปไม่ได้ในทางเทคนิค
    การซิงโครไนซ์เวลา
    เชื่อมโยงกับโทเค็นฮาร์ดแวร์ทางกายภาพ นาฬิกาที่แม่นยำถูกสร้างขึ้นภายในโทเค็น ซึ่งซิงโครไนซ์กับนาฬิกาบนเซิร์ฟเวอร์ และในระบบดังกล่าว เวลาเป็นส่วนสำคัญของอัลกอริธึมการสร้างรหัสผ่านแบบครั้งเดียว เนื่องจากการสร้างรหัสผ่านจะขึ้นอยู่กับเวลาปัจจุบัน นอกจากนี้ยังสามารถใช้รหัสผ่านแบบครั้งเดียวที่ซิงโครไนซ์ได้ โทรศัพท์มือถือ- การใช้รหัสผ่านแบบครั้งเดียวกับการท้าทายกำหนดให้ผู้ใช้ต้องระบุการท้าทายที่ซิงโครไนซ์เวลา
    บริการตรวจสอบสิทธิ์ Kerberos
    เซิร์ฟเวอร์ได้รับการออกแบบมาเพื่อแก้ไขปัญหาต่อไปนี้: มีเครือข่ายแบบเปิดและไม่ปลอดภัยในโหนดซึ่งมีหัวข้ออยู่ แต่ละวิชามีรหัสลับ เพื่อให้ผู้ทดลอง A พิสูจน์ความถูกต้องของตนต่อผู้ทดลอง B เขาต้องไม่เพียงแต่ระบุตัวตนเท่านั้น แต่ยังต้องแสดงความรู้เกี่ยวกับกุญแจลับด้วย A ไม่สามารถบอก B รหัสลับของเขาได้ง่ายๆ เพราะเครือข่ายเปิดอยู่และ A ไม่รู้ จำเป็นต้องมีวิธีแสดงความรู้เกี่ยวกับรหัสลับบางอย่าง และระบบ Kerberos เป็นบุคคลที่สามที่เก็บคีย์ลับของตัวการทั้งหมดและช่วยในการตรวจสอบสิทธิ์แบบคู่
    ในการเข้าถึง B นั้น A จะส่งคำขอที่มีข้อมูลเกี่ยวกับเขาและบริการที่ร้องขอ ในการตอบสนอง Kerberos จะส่งตั๋วที่เรียกว่าเข้ารหัสด้วยคีย์ส่วนตัวของเซิร์ฟเวอร์ และสำเนาของตั๋วบางส่วนที่เข้ารหัสด้วยคีย์ส่วนตัวของ A ต้องถอดรหัสข้อมูล 2 ชิ้นและส่งไปยังเซิร์ฟเวอร์ เซิร์ฟเวอร์ที่ถอดรหัสตั๋วแล้วสามารถเปรียบเทียบเนื้อหาด้วยได้ ข้อมูลเพิ่มเติมส่งโดยไคลเอนต์ A ผลการแข่งขันบ่งชี้ว่า A สามารถถอดรหัสข้อมูลที่มีไว้สำหรับเขาได้ นั่นคือเขาแสดงให้เห็นถึงความรู้เกี่ยวกับรหัสลับ ซึ่งหมายความว่าคือใครที่เขาอ้างว่าเป็น กุญแจลับที่นี่ไม่ได้ส่งผ่านเครือข่าย แต่ใช้เพื่อการตรวจสอบเท่านั้น
    การรับรองความถูกต้องและการระบุตัวตนโดยใช้ข้อมูลไบโอเมตริกซ์
    ไบโอเมตริกคือชุดของการตรวจสอบและระบุตัวตนตามลักษณะทางสรีรวิทยาและพฤติกรรม ลักษณะทางสรีรวิทยา ได้แก่ ลายนิ้วมือ จอประสาทตา ลักษณะการทำงาน ได้แก่: ลายเซ็นด้วยตนเอง, สไตล์การทำงานกับแป้นพิมพ์ จุดตัดของสรีรวิทยาและพฤติกรรมคือคุณลักษณะของการรู้จำเสียงพูดและคำพูด
    โดยทั่วไปการทำงานกับข้อมูลไบโอเมตริกซ์มีการจัดดังนี้: ขั้นแรกสร้างและบำรุงรักษาฐานข้อมูลคุณลักษณะของผู้มีโอกาสเป็นผู้ใช้ เมื่อต้องการทำเช่นนี้ จะต้องนำคุณลักษณะทางไบโอเมตริกซ์มาประมวลผล และบันทึกผลลัพธ์ลงในฐานข้อมูล ในอนาคต สำหรับการตรวจสอบสิทธิ์ กระบวนการรวบรวมและประมวลผลข้อมูลจะถูกทำซ้ำ หลังจากนั้นจะทำการค้นหาในฐานข้อมูลเทมเพลต หากการค้นหาสำเร็จ ข้อมูลประจำตัวจะถูกสร้างขึ้น วิธีการไบโอเมตริกซ์ไม่น่าเชื่อถือไปกว่าฐานข้อมูลเทมเพลต ข้อมูลไบโอเมตริกซ์ของบุคคลมีการเปลี่ยนแปลงและจำเป็นต้องดูแลรักษาฐานข้อมูลเทมเพลต

    รูปแบบการควบคุมการเข้าถึง
    โมเดลการรักษาความปลอดภัยมีบทบาทสำคัญในวิธีการพัฒนาระบบอย่างเป็นทางการ กำหนดการไหลของข้อมูลที่อนุญาตในระบบและกฎเกณฑ์ในการเข้าถึงข้อมูลนี้
    ลองพิจารณา 3 รุ่น:
    1) รูปแบบการเข้าถึงตามดุลยพินิจ ภายในกรอบงานของโมเดลนี้ มีการควบคุมการเข้าถึงหัวข้อ (ผู้ใช้ แอปพลิเคชัน) ไปยังอ็อบเจ็กต์ (ไฟล์ แอปพลิเคชัน) สำหรับแต่ละอ็อบเจ็กต์จะมีหัวเรื่องของเจ้าของ ซึ่งกำหนดว่าใครมีสิทธิ์เข้าถึงอ็อบเจ็กต์ รวมถึงสิทธิ์ที่ได้รับอนุญาต การดำเนินการเข้าถึงหลักคือ อ่าน เขียน และดำเนินการ ดังนั้น รูปแบบการเข้าถึงตามดุลยพินิจจึงสร้างชุดการดำเนินการที่ได้รับอนุญาตสำหรับคู่หัวเรื่องและวัตถุแต่ละคู่ เมื่อมีการร้องขอการเข้าถึงออบเจ็กต์ ระบบจะค้นหาหัวเรื่องในรายการสิทธิ์การเข้าถึงของออบเจ็กต์ และอนุญาตการเข้าถึงหากมีหัวเรื่องอยู่ในรายการ และประเภทการเข้าถึงที่อนุญาตนั้นรวมประเภทที่ต้องการด้วย ระบบคลาสสิกการเข้าถึงตามดุลยพินิจถูกปิดเช่น ในตอนแรกวัตถุนั้นไม่สามารถเข้าถึงได้โดยใครก็ตาม และรายการเข้าถึงจะอธิบายชุดสิทธิ์ โมเดลการเข้าถึงนี้มีอยู่ในระบบปฏิบัติการ Windows และ Linux ข้อเสียประการหนึ่งของโมเดลนี้คือไม่ใช่ทุกออบเจ็กต์ที่สามารถกำหนดเจ้าของได้ นอกจากนี้ เมื่อมีวัตถุหัวเรื่องในระบบจำนวนมาก การบริหารระบบก็เกิดขึ้น ปริมาณมากคู่ดังกล่าวซึ่งทำให้งานยาก
    2) รุ่น Bell-LaPadula (การควบคุมการเข้าถึงที่จำเป็น) โมเดลนี้ให้คำจำกัดความของวัตถุ หัวเรื่อง และสิทธิ์ในการเข้าถึง ตลอดจนเครื่องมือทางคณิตศาสตร์สำหรับคำอธิบาย แบบจำลองนี้รู้จักกฎความปลอดภัย 2 กฎเป็นหลัก กฎหนึ่งเกี่ยวข้องกับการอ่าน และอีกกฎเกี่ยวข้องกับการเขียนข้อมูล ปล่อยให้มีไฟล์ 2 ประเภทในระบบ: เป็นความลับและไม่ใช่ความลับ และผู้ใช้อยู่ใน 2 หมวดหมู่: ด้วยระดับการเข้าถึงไฟล์ที่ไม่เป็นความลับ (ไม่เป็นความลับ) ถึงระดับลับ (ลับ) กฎข้อที่ 1: ผู้ใช้ที่ไม่เป็นความลับหรือกระบวนการที่ทำงานในนามของเขาไม่สามารถอ่านข้อมูลจากไฟล์ลับได้
    กฎข้อที่ 2: ผู้ใช้ที่มีระดับการเข้าถึงไฟล์ที่เป็นความลับไม่สามารถเขียนข้อมูลไปยังไฟล์ที่ไม่เป็นความลับได้ ไฟล์ลับ.
    กฎที่พิจารณานั้นสามารถแจกจ่ายได้อย่างง่ายดายในระบบซึ่งมีระดับการเข้าถึงมากกว่า 2 ระดับ
    กฎทั่วไป: ผู้ใช้สามารถอ่านเอกสารได้จนถึงระดับความปลอดภัยเท่านั้น และไม่สามารถสร้างเอกสารที่ต่ำกว่าระดับความปลอดภัยได้
    รุ่นนี้ทางคณิตศาสตร์ ความสำคัญหลักคือการรักษาความลับ
    3) รูปแบบการควบคุมการเข้าถึงตามบทบาท วิธีการตามบทบาทจะควบคุมการเข้าถึงข้อมูลของผู้ใช้ตามประเภทของกิจกรรมที่พวกเขามีในระบบ (บทบาท) บทบาทเป็นที่เข้าใจกันว่าเป็นชุดของการกระทำและความรับผิดชอบที่เกี่ยวข้องกับกิจกรรมบางประเภท ตัวอย่างบทบาท: นักบัญชี ผู้ดูแลระบบ ฯลฯ ผู้ใช้แต่ละคนมีการกำหนดค่าบทบาทของตัวเอง บทบาทของวัตถุ ในบางกรณี ผู้ใช้จะได้รับอนุญาตให้ดำเนินการหลายบทบาทพร้อมกันได้ ในกรณีนี้มีบทบาท โครงสร้างลำดับชั้น- ข้อดีหลักของแบบอย่าง: ก) ง่ายต่อการบริหารจัดการ ไม่จำเป็นต้องกำหนดกฎเกณฑ์สำหรับแต่ละวัตถุในหัวข้อ แต่กำหนดวัตถุบทบาทแทน เมื่อความรับผิดชอบของผู้ใช้เปลี่ยนไป บทบาทของผู้ใช้ก็จะเปลี่ยนไปด้วย ลำดับชั้นของบทบาททำให้การดูแลระบบง่ายขึ้น B) หลักการสิทธิพิเศษน้อยที่สุด ลงทะเบียนในระบบโดยมีบทบาทขั้นต่ำที่จำเป็นในการปฏิบัติงาน

    การบันทึกและการตรวจสอบ
    Logging หมายถึง การรวบรวมและสะสมข้อมูลที่เกิดขึ้นในระบบ ในกรณีนี้ เหตุการณ์ของแต่ละบริการสามารถแบ่งออกเป็น: ภายนอก ภายใน และไคลเอนต์
    การตรวจสอบคือการวิเคราะห์ข้อมูลที่สะสม ดำเนินการทันทีแบบเรียลไทม์หรือเป็นระยะ เอกสารการปฏิบัติงานที่มีการตอบกลับอัตโนมัติต่อสถานการณ์ผิดปกติที่ระบุเรียกว่าใช้งานอยู่
    การบันทึกและการตรวจสอบช่วยแก้ปัญหาต่อไปนี้: การตรวจสอบความรับผิดชอบของผู้ใช้และผู้ดูแลระบบ ให้ความสามารถในการสร้างลำดับเหตุการณ์ขึ้นมาใหม่ การตรวจจับความพยายามที่จะละเมิดความปลอดภัยของข้อมูล การให้ข้อมูลเพื่อระบุและวิเคราะห์ปัญหา
    ต้องมีการบันทึก สามัญสำนึกเพื่อตอบคำถามว่าเหตุการณ์ใดในระบบที่ต้องลงทะเบียนและมีรายละเอียดระดับใดในขณะเดียวกันก็รับประกันว่าบรรลุเป้าหมายด้านความปลอดภัยและไม่ใช้ทรัพยากรมากเกินไป ไม่มีคำตอบที่เป็นสากล แต่สามารถเน้นคำแนะนำบางประการได้ ในส่วนที่เกี่ยวข้องกับระบบปฏิบัติการ ขอแนะนำให้บันทึกเหตุการณ์: การเข้าสู่ระบบ การออกจากระบบ การเข้าถึงระบบระยะไกล การทำงานของไฟล์ การเปลี่ยนแปลงสิทธิ์ และคุณสมบัติความปลอดภัยอื่น ๆ เมื่อทำการบันทึก แนะนำให้บันทึก: รอยสักและเวลา รหัสผู้ใช้และการกระทำ ประเภทของเหตุการณ์ ผลลัพธ์ของการกระทำ แหล่งที่มาของคำขอ ชื่อของวัตถุที่ได้รับผลกระทบ และคำอธิบายของการเปลี่ยนแปลง การรับรองความรับผิดชอบเป็นสิ่งสำคัญในฐานะเครื่องยับยั้ง การตรวจจับความพยายามที่จะละเมิดความปลอดภัยของข้อมูลถือเป็นฟังก์ชันการตรวจสอบที่ใช้งานอยู่ การตรวจสอบเป็นประจำสามารถตรวจจับการโจมตีที่ล่าช้าได้
    * การตรวจสอบที่ใช้งานอยู่ กิจกรรมที่น่าสงสัยคือพฤติกรรมของผู้ใช้หรือส่วนประกอบของระบบที่น่าสงสัยจากมุมมองของกฎบางอย่างหรือไม่ใช่เรื่องปกติ เป้าหมายของการตรวจสอบเชิงรุกคือการระบุกิจกรรมที่น่าสงสัยอย่างรวดเร็วและจัดเตรียมเครื่องมือตอบกลับอัตโนมัติ ในกรณีนี้ ขอแนะนำให้แบ่งกิจกรรมออกเป็นการโจมตีที่มีเป้าหมายเพื่อให้ได้มาซึ่งอำนาจอย่างผิดกฎหมาย เพื่ออธิบายและระบุการโจมตี จะใช้วิธีลายเซ็น ลายเซ็นการโจมตีคือชุดของเงื่อนไขที่เกิดการโจมตีและกระตุ้นให้เกิดการตอบสนอง การกระทำที่ดำเนินการภายในขอบเขตอำนาจแต่ละเมิดนโยบายความปลอดภัยเรียกว่าการใช้อำนาจในทางที่ผิด พฤติกรรมที่ไม่ปกติมักจะถูกระบุโดยใช้วิธีทางสถิติ มีการใช้ระบบเกณฑ์ ซึ่งส่วนเกินนั้นน่าสงสัย ในส่วนที่เกี่ยวข้องกับเครื่องมือตรวจสอบที่ใช้งานอยู่ จะมีความแตกต่างระหว่างข้อผิดพลาดประเภท 1 และประเภท 2: การโจมตีที่ไม่ได้รับและการเตือนที่ผิดพลาด ข้อดีของวิธีลายเซ็นคือข้อผิดพลาดประเภท 2 จำนวนน้อย (การแจ้งเตือนที่ผิดพลาดจำนวนน้อย) ข้อเสียคือการไม่สามารถตรวจจับการโจมตีใหม่ได้ ศักดิ์ศรี วิธีการทางสถิติ– นี่คือความเก่งกาจ ความสามารถในการตรวจจับการโจมตีที่ไม่รู้จัก ข้อเสียคือข้อผิดพลาดประเภท 2 มีสัดส่วนสูง

    การเข้ารหัส
    การเข้ารหัสคือการแปลงข้อความธรรมดา (ต้นฉบับ) แบบย้อนกลับได้โดยใช้อัลกอริธึมลับหรือคีย์ไปเป็นข้อความที่เข้ารหัส (ปิด) การเข้ารหัสเป็นวิธีหนึ่งในการรับรองความลับของข้อมูล
    อัลกอริธึมการเข้ารหัสแบ่งออกเป็น 2 กลุ่ม:
    1) อัลกอริธึมแบบสมมาตรคีย์ K เดียวกันใช้สำหรับการเข้ารหัสและถอดรหัส M'=EnGrypt(M,K) ฟังก์ชันการเข้ารหัส M=DeCrypt(M',K) ถอดรหัส
    อัลกอริธึมการเข้ารหัสแบบสมมาตรทั้งหมดสามารถแบ่งออกเป็น 3 กลุ่ม:
    A) การทดแทน B) การเรียงสับเปลี่ยน C) บล็อกยันต์.
    * อัลกอริธึมการทดแทน ทำงานบนหลักการต่อไปนี้: อักขระแต่ละตัวในข้อความต้นฉบับจะถูกแทนที่ด้วยอักขระอื่นหรือลำดับของอักขระ ในกรณีนี้ สามารถใช้อักขระจากตัวอักษรที่แตกต่างกันได้ หากใช้อักขระ 1 ตัวแทน การแทนที่จะเรียกว่าอักษรเดี่ยว อักขระหลายตัว – การทดแทนตัวอักษรหลายตัว
    - การทดแทนที่ง่ายที่สุดคือรหัสซีซาร์ ตัวอักษรแต่ละตัวในข้อความต้นฉบับจะถูกแทนที่ด้วยตัวอักษรที่อยู่ 3 ตำแหน่งหลังจากนั้นในตัวอักษร ลักษณะเฉพาะของรหัสซีซาร์คือไม่มีรหัส หมายเลข 3 ไม่ใช่รหัส แต่เป็นส่วนหนึ่งของอัลกอริทึม ในปัจจุบัน กฎข้อแรกของการเข้ารหัสคือ จุดแข็งของการเข้ารหัสอยู่ที่ความจริงที่ว่าฝ่ายตรงข้ามรู้กลไกการเข้ารหัสอย่างถ่องแท้ และข้อมูลเดียวที่เขาไม่มีคือกุญแจ รหัส Caesar จะกลายเป็นรหัสเต็มเปี่ยมพร้อมคีย์หากไม่ได้ระบุหมายเลข 3 แต่เลือกโดยพลการตามข้อตกลง สามารถเลือกได้เฉพาะตัวเลขตั้งแต่ 1 ถึง 32 เป็นคีย์เท่านั้น ดังนั้นรหัสซีซาร์ที่ได้รับการดัดแปลงจึงไม่ทนต่อการแคร็กโดยใช้วิธีเดรัจฉานแบบคีย์
    - รหัสทดแทนที่เรียบง่าย อักขระแต่ละตัวของตัวอักษรข้อความล้วนได้รับการกำหนดอักขระที่สอดคล้องกันของตัวอักษรเดียวกันหรือตัวอักษรอื่น กุญแจสำคัญในการเข้ารหัสนี้คือตารางการติดต่อ จำนวนคีย์ทั้งหมดเท่ากับการเรียงสับเปลี่ยนกำลังตัวอักษร 33! รหัสนี้คล้อยตามการเข้ารหัสได้ง่ายโดยการกำหนดความถี่ของการเกิดสัญลักษณ์ ดังนั้น การเข้ารหัสแบบตัวอักษรเดี่ยวจึงมีจุดอ่อนที่ร้ายแรงโดยพิจารณาจากลักษณะทางสถิติของข้อความต้นฉบับ ซึ่งสืบทอดข้อความไซเฟอร์เท็กซ์มา
    - ตัวอย่างของการแทนที่หลายตัวอักษรของรหัส Gronsfeld เป็นการดัดแปลงรหัสซีซาร์ ลำดับของตัวเลขที่มีความยาวคงที่ตามอำเภอใจจะถูกนำมาใช้เป็นคีย์ M=สารสนเทศ K=123. อักขระคีย์แต่ละตัวจะถูกเขียนไว้ใต้ข้อความต้นฉบับ หากความยาวของคีย์น้อยกว่าข้อความต้นฉบับ จะถูกเขียนซ้ำแบบวนซ้ำ K=12312312. M'=YPCHTPLBALLV. รหัสนี้เป็นของตระกูลรหัสหลายตัวอักษร ดังนั้น, คุณสมบัติทางสถิติของข้อความนี้จะปรากฏขึ้นพร้อมกับความยาว n-key ที่เป็นวงจร (=3) ในกรณีนี้ ตารางความถี่จะแสดงข้อผิดพลาด และการกู้คืนข้อความจะทำไม่ได้
    * อัลกอริธึมการเรียงสับเปลี่ยน อักขระข้อความธรรมดาจะเปลี่ยนลำดับตามกฎและคีย์
    - ตัวอย่างคลาสสิกคือการจัดเรียงตัวอักษรใหม่ตามกฎเกณฑ์บางประการในตาราง ขนาดที่กำหนด- ข้อความเขียนเป็นคอลัมน์และอ่านเป็นแถว
    * บล็อกยันต์ การเข้ารหัสแบบสมมาตรใช้ทั้งการทดแทนและการเรียงสับเปลี่ยน มาตรฐานในทางปฏิบัติคือการเข้ารหัสหลายรอบโดยใช้คีย์ที่แตกต่างกันซึ่งสร้างขึ้นจากคีย์ที่ใช้ร่วมกัน 1 อัน ส่วนใหญ่ อัลกอริธึมที่ทันสมัยมีโครงสร้างคล้ายกับโครงสร้างของเครือข่าย Feistel (อิงจาก Chenon) อัลกอริธึมการเข้ารหัสที่รัดกุมต้องมีคุณสมบัติ 2 ประการ: การแพร่กระจายและการแพร่กระจาย การแพร่กระจาย - ข้อความธรรมดาทุกบิตต้องมีอิทธิพลต่อไซเฟอร์เท็กซ์ทุกบิต สาระสำคัญของการแพร่กระจายคือการกระจายตัวของลักษณะทางสถิติของข้อความธรรมดาภายในไซเฟอร์เท็กซ์ ความสับสนคือการไม่มีความสัมพันธ์ทางสถิติระหว่างคีย์และไซเฟอร์เท็กซ์ แม้ว่าศัตรูจะกำหนดลักษณะทางสถิติของข้อความ แต่ก็ไม่ควรเพียงพอที่จะถอดรหัส
    พิจารณาโครงสร้างของเครือข่าย Feistel
    2) อัลกอริธึมคีย์สาธารณะ

    เพื่อให้ความคุ้มครองจาก การโจมตีเครือข่ายการตั้งค่าที่ใช้กันอย่างแพร่หลายและมีประสิทธิภาพที่สุดคือ:

    1. ระบบป้องกันคลาสที่ครอบคลุม ด่านหน้าให้การปกป้องระบบข้อมูลองค์กรในระดับเครือข่ายโดยใช้เทคโนโลยีเครือข่ายส่วนตัวเสมือน (VPN) และไฟร์วอลล์แบบกระจาย (ME, FW)

    2. ตัวเข้ารหัส IP ฮาร์ดแวร์ "บรอดแบนด์" คลาส หน้าจอ"คือตัวเข้ารหัส IP ฮาร์ดแวร์บรอดแบนด์แกนหลักในประเทศที่ออกแบบมาเพื่อการปกป้องข้อมูลการเข้ารหัสในระบบโทรคมนาคมสมัยใหม่

    3. หมายถึง การป้องกันที่ครอบคลุมข้อมูล - SZI จาก NSD ซีเคร็ตเน็ต 7.

    มาดูรายละเอียดผลิตภัณฑ์เหล่านี้กันดีกว่า

    ผลิตภัณฑ์ซาสตาวาทำงานบนแพลตฟอร์มฮาร์ดแวร์ต่าง ๆ ที่ใช้ระบบปฏิบัติการยอดนิยมมากมาย มีการใช้ทั้งในระบบขนาดใหญ่ที่มีการกระจายทางภูมิศาสตร์ ซึ่งตัวแทน ZASTAVA หลายพันคนทำงานพร้อมกัน และในระบบของธุรกิจขนาดเล็กและขนาดกลาง ซึ่งจำเป็นต้องมีการป้องกันสำหรับคอมพิวเตอร์เพียงไม่กี่เครื่อง แพคเกจซอฟต์แวร์"VPN/FW "ZASTAVA" เวอร์ชัน 5.3 ให้การปกป้องข้อมูลองค์กรและทรัพยากรการประมวลผลในระดับเครือข่ายโดยใช้เทคโนโลยีเครือข่ายส่วนตัวเสมือน (VPN) และไฟร์วอลล์แบบกระจาย (ME)

    ZASTAVA 5.3 ให้:

    · การป้องกัน คอมพิวเตอร์แต่ละเครื่องรวมถึงอุปกรณ์เคลื่อนที่จากการโจมตีจากเครือข่าย การใช้งานสาธารณะและอินเทอร์เน็ต

    · การป้องกันระบบข้อมูลองค์กรหรือส่วนต่างๆ ของระบบจากการโจมตีจากภายนอก

    เวอร์ชันของผลิตภัณฑ์ที่ได้รับการรับรองโดย FSB ของสหพันธรัฐรัสเซียนั้นมอบให้กับลูกค้า โซลูชั่นสำเร็จรูปช่วยให้ผลิตภัณฑ์สามารถรวมเข้ากับระบบข้อมูลใด ๆ ได้อย่างราบรื่นโดยไม่จำเป็นต้องได้รับข้อสรุปเพิ่มเติมเกี่ยวกับความถูกต้องของการบูรณาการและรับรองความถูกต้องตามกฎหมายโดยสมบูรณ์ของการใช้เพื่อปกป้องข้อมูลที่เป็นความลับรวมถึงข้อมูลส่วนบุคคล ใบรับรองสามารถใช้ได้ตั้งแต่วันที่ 30 มีนาคม 2554 ถึงวันที่ 30 มีนาคม 2557

    สิ่งกีดขวางการเข้ารหัส- นี่คือสมบูรณ์ โซลูชันฮาร์ดแวร์- ทั้งหมด ฟังก์ชั่นการเข้ารหัสและการโต้ตอบของเครือข่ายถูกนำมาใช้โดยใช้วงจรมากกว่าวิธีซอฟต์แวร์ ทางเลือกของการใช้ฮาร์ดแวร์ซึ่งตรงกันข้ามกับอุปกรณ์ทั่วไป (เราเตอร์ crypto) ที่ใช้พีซี วัตถุประสงค์ทั่วไปเกิดจากความต้องการที่จะเอาชนะข้อจำกัดของสถาปัตยกรรมของคอมพิวเตอร์ดังกล่าว ประการแรกคือข้อจำกัดของบัสทั่วไปที่การ์ดอินเทอร์เฟซเครือข่ายเชื่อมต่ออยู่ ถึงอย่างไรก็ตาม ความเร็วสูงการทำงานของบัส PCI และ PCI-X ที่ทันสมัย ​​ลักษณะเฉพาะของการทำงานของตัวเข้ารหัสเครือข่าย (การรับและการส่งแพ็กเก็ตที่สัมพันธ์กับเวลาโดยมีการเปลี่ยนแปลงตามเวลาของการเข้ารหัส/ถอดรหัส) ไม่อนุญาตให้ใช้แบนด์วิดท์ทั้งหมด

    โดยทั่วไป หากคุณต้องการเชื่อมต่อเครือข่ายคอมพิวเตอร์ในพื้นที่โดยใช้ช่องทางการสื่อสารที่ไม่ปลอดภัย โดยไม่ต้องกลัวว่าจะละเมิดการรักษาความลับของข้อมูลในระหว่างการส่ง และโดยไม่ต้องใช้ความพยายามอย่างมากในการรับรองความเข้ากันได้ของแอปพลิเคชันเมื่อทำงานบนช่องทางที่เข้ารหัส แผงกั้นได้รับการออกแบบให้เป็นอุปกรณ์ที่ “โปร่งใส” จากมุมมองของเครือข่าย ด้วยเหตุนี้ ในกรณีส่วนใหญ่ เพียงกำหนดค่าตัวเข้ารหัสและรวมไว้ "ในช่วงพัก" ของการเชื่อมต่อของตัวเข้ารหัสก็เพียงพอแล้ว เครือข่ายท้องถิ่นกับ ช่องภายนอกการสื่อสาร

    SZI จาก NSD Secret Net 7ออกแบบมาเพื่อป้องกันการเข้าถึงเวิร์กสเตชันและเซิร์ฟเวอร์ที่ทำงานในเครือข่ายท้องถิ่นที่ต่างกันโดยไม่ได้รับอนุญาต ระบบเสริมด้วยกลไกการป้องกันซึ่งเป็นวิธีการป้องกันมาตรฐานของระบบปฏิบัติการและด้วยเหตุนี้จึงเพิ่มความปลอดภัยของระบบข้อมูลอัตโนมัติทั้งหมดขององค์กรโดยรวมโดยมอบโซลูชั่นให้กับงานต่อไปนี้:

    v การจัดการสิทธิ์การเข้าถึงและการควบคุมการเข้าถึงข้อมูลที่ได้รับการคุ้มครอง ทรัพยากรซอฟต์แวร์และฮาร์ดแวร์

    v ควบคุมการเข้าถึงข้อมูลที่เป็นความลับตามหมวดหมู่ความเป็นส่วนตัว

    v การเข้ารหัสไฟล์ที่เก็บไว้ในดิสก์

    การควบคุมความสมบูรณ์ของข้อมูล

    v การควบคุมการกำหนดค่าฮาร์ดแวร์

    v การควบคุมการเข้าถึงอุปกรณ์คอมพิวเตอร์ตามดุลยพินิจ

    v การลงทะเบียนและการบัญชีเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยของข้อมูล

    v การตรวจสอบสถานะของระบบข้อมูลอัตโนมัติ

    v การแบ่งแยกอำนาจของผู้ใช้ตามบทบาท

    v การตรวจสอบการกระทำของผู้ใช้ (รวมถึงผู้ดูแลระบบและผู้ตรวจสอบ)

    v การบล็อกคอมพิวเตอร์ชั่วคราว

    v ลบข้อมูลที่เหลือบน ดิสก์ในเครื่องคอมพิวเตอร์.

    ระบบ Secret Net 7 ประกอบด้วยสามส่วนการทำงาน:

    · กลไกการป้องกันที่ติดตั้งอยู่ในคอมพิวเตอร์ที่ได้รับการป้องกันทั้งหมด ระบบอัตโนมัติ(AC) และแสดงถึงชุดคุณสมบัติความปลอดภัยเพิ่มเติมที่ขยายคุณสมบัติความปลอดภัยของ Windows OS

    · เครื่องมือการจัดการกลไกการรักษาความปลอดภัยที่ให้การจัดการระบบแบบรวมศูนย์และแบบท้องถิ่น

    · เครื่องมือการจัดการการดำเนินงานที่ดำเนินการควบคุมการดำเนินงาน (การตรวจสอบ การจัดการ) ของเวิร์กสเตชัน ตลอดจนการรวบรวม การจัดเก็บ และการเก็บถาวรบันทึกของระบบแบบรวมศูนย์

    Secret Net 7 ประกอบด้วยสามองค์ประกอบ:

    1. ระบบรักษาความปลอดภัยข้อมูล Secret Net 7 - ไคลเอนต์ ติดตั้งบนคอมพิวเตอร์ที่ได้รับการป้องกันทั้งหมด ซอฟต์แวร์นี้มีส่วนประกอบดังต่อไปนี้:

    · กลไกการรักษาความปลอดภัยคือชุดของซอฟต์แวร์และฮาร์ดแวร์ที่ปรับแต่งได้ ซึ่งปกป้องทรัพยากรข้อมูลคอมพิวเตอร์จากการเข้าถึงโดยไม่ได้รับอนุญาต อิทธิพลที่เป็นอันตรายหรือไม่ได้ตั้งใจ

    · โมดูลสำหรับการใช้นโยบายกลุ่ม

    · ตัวแทนเซิร์ฟเวอร์ความปลอดภัย

    · เครื่องมือการจัดการในพื้นที่เป็นความสามารถมาตรฐาน ระบบปฏิบัติการเสริมด้วยเครื่องมือ Secret Net 7 สำหรับจัดการการทำงานของคอมพิวเตอร์และผู้ใช้ตลอดจนการตั้งค่ากลไกการป้องกัน

    2. SZI Secret 7 - เซิร์ฟเวอร์ความปลอดภัย รวมถึง:

    · เซิร์ฟเวอร์ความปลอดภัยที่แท้จริง

    · เครื่องมือสำหรับการทำงานกับฐานข้อมูล

    3. ระบบรักษาความปลอดภัยข้อมูล Secret Net 7 - เครื่องมือการจัดการ รวมถึง:

    · โปรแกรมตรวจสอบ โปรแกรมนี้ได้รับการติดตั้งในที่ทำงานของผู้ดูแลระบบการจัดการการปฏิบัติงาน - พนักงานที่ได้รับอนุญาตให้ตรวจสอบและแก้ไขสถานะของคอมพิวเตอร์ที่ได้รับการป้องกันอย่างรวดเร็วแบบเรียลไทม์

    บริษัทต้องการการนำเทคโนโลยีที่คล้ายกันมาใช้



บทความที่เกี่ยวข้อง