มาตรการด้านซอฟต์แวร์และฮาร์ดแวร์ กล่าวคือ มาตรการที่มุ่งควบคุมหน่วยงานคอมพิวเตอร์ - อุปกรณ์ โปรแกรม และ/หรือข้อมูล ก่อให้เกิดขอบเขตสุดท้ายและสำคัญที่สุด ความปลอดภัยของข้อมูล- ขอให้เราจำไว้ว่าความเสียหายส่วนใหญ่เกิดจากการกระทำของผู้ใช้ที่ถูกกฎหมายซึ่งเกี่ยวข้องกับผู้ที่หน่วยงานกำกับดูแลขั้นตอนไม่มีประสิทธิภาพ ศัตรูหลักคือความไร้ความสามารถและความประมาทในการปฏิบัติหน้าที่ราชการ และมีเพียงมาตรการด้านซอฟต์แวร์และฮาร์ดแวร์เท่านั้นที่จะตอบโต้ได้
คอมพิวเตอร์ช่วยให้กิจกรรมต่างๆ ของมนุษย์เป็นไปโดยอัตโนมัติ ดูเหมือนเป็นเรื่องธรรมดาที่อยากจะฝากความปลอดภัยของตนเองไว้กับพวกเขา แม้แต่การป้องกันทางกายภาพก็ยังได้รับความไว้วางใจมากขึ้นเรื่อยๆ ไม่ใช่ให้กับเจ้าหน้าที่รักษาความปลอดภัย แต่รวมถึงระบบคอมพิวเตอร์แบบบูรณาการ ซึ่งทำให้สามารถติดตามความเคลื่อนไหวของพนักงานทั้งทั่วทั้งองค์กรและทั่วทั้งพื้นที่ข้อมูลได้พร้อมๆ กัน
อย่างไรก็ตาม ควรคำนึงว่าการพัฒนาอย่างรวดเร็วของเทคโนโลยีสารสนเทศไม่เพียงแต่ให้โอกาสใหม่ๆ แก่ผู้ปกป้องเท่านั้น แต่ยังทำให้ยากต่อการรับรองการป้องกันที่เชื่อถือได้หากอาศัยมาตรการซอฟต์แวร์และฮาร์ดแวร์เพียงอย่างเดียว มีสาเหตุหลายประการสำหรับสิ่งนี้:
การเพิ่มความเร็วของวงจรขนาดเล็กการพัฒนาสถาปัตยกรรมที่มีความขนานในระดับสูงทำให้สามารถเอาชนะอุปสรรค (โดยหลักคือการเข้ารหัสลับ) โดยใช้กำลังดุร้ายซึ่งก่อนหน้านี้ดูเหมือนจะไม่สามารถเข้าถึงได้
การพัฒนาเครือข่ายและเทคโนโลยีเครือข่าย การเพิ่มจำนวนการเชื่อมต่อระหว่างระบบข้อมูล และการเพิ่มความจุของช่องสัญญาณ กำลังขยายกลุ่มผู้โจมตีที่มีความสามารถทางเทคนิคในการจัดระเบียบการโจมตี
การเกิดขึ้นของใหม่ บริการข้อมูลนำไปสู่การก่อตัวของช่องโหว่ใหม่ทั้งบริการ "ภายใน" และที่อินเทอร์เฟซ
การแข่งขันระหว่างผู้ผลิตซอฟต์แวร์บังคับให้เวลาในการพัฒนาลดลงซึ่งส่งผลให้คุณภาพการทดสอบและการเปิดตัวผลิตภัณฑ์ที่มีข้อบกพร่องด้านความปลอดภัยลดลง
กระบวนทัศน์ของพลังงานฮาร์ดแวร์และซอฟต์แวร์ที่เพิ่มขึ้นอย่างต่อเนื่องที่กำหนดให้กับผู้บริโภคไม่อนุญาตให้มีการรักษาการกำหนดค่าที่เชื่อถือได้และผ่านการพิสูจน์แล้วในระยะยาว และยิ่งไปกว่านั้น ยังขัดแย้งกับข้อจำกัดด้านงบประมาณ ซึ่งช่วยลดส่วนแบ่งของการจัดสรรความปลอดภัย
ข้อควรพิจารณาที่ระบุไว้เน้นย้ำถึงความสำคัญของแนวทางบูรณาการในการรักษาความปลอดภัยของข้อมูล ตลอดจนความต้องการตำแหน่งที่ยืดหยุ่นในการเลือกและบำรุงรักษาหน่วยงานกำกับดูแลซอฟต์แวร์และฮาร์ดแวร์
ศูนย์กลางของระดับซอฟต์แวร์และฮาร์ดแวร์คือแนวคิดของบริการรักษาความปลอดภัย
ตามแนวทางเชิงวัตถุ เมื่อพิจารณาระบบข้อมูลที่มีรายละเอียดเพียงระดับเดียว เราจะเห็นบริการข้อมูลทั้งหมดที่มีให้ มาเรียกพวกเขาว่าพื้นฐานกันดีกว่า เพื่อให้สามารถทำงานได้และมีคุณสมบัติที่ต้องการ จำเป็นต้องมีบริการ (เสริม) เพิ่มเติมหลายระดับ ตั้งแต่ DBMS และการตรวจสอบธุรกรรม ไปจนถึงเคอร์เนลและฮาร์ดแวร์ของระบบปฏิบัติการ
บริการเสริม ได้แก่ บริการรักษาความปลอดภัย (เราพบแล้วเมื่อพิจารณามาตรฐานและข้อกำหนดในด้านความปลอดภัยข้อมูล) ในหมู่พวกเขา เราจะสนใจบริการระดับสูงที่เป็นสากลเป็นหลัก ซึ่งบริการหลักและบริการเสริมต่างๆ สามารถนำไปใช้ได้ ต่อไปเราจะมาดูกัน บริการต่อไปนี้:
- การระบุตัวตนและการรับรองความถูกต้อง
- การควบคุมการเข้าถึง
- การบันทึกและการตรวจสอบ
- การเข้ารหัส;
- การควบคุมความสมบูรณ์
- ป้องกัน;
- การวิเคราะห์ความปลอดภัย
- สร้างความมั่นใจในความทนทานต่อความผิดพลาด
- รับประกันการฟื้นตัวอย่างปลอดภัย
- การขุดอุโมงค์;
- ควบคุม.
- การป้องกันเครือข่ายภายใน
- การป้องกันการเข้าถึงอินเทอร์เน็ตและระหว่างประเทศ การแลกเปลี่ยนข้อมูล;
- ป้องกันการโต้ตอบกับหน่วยระยะไกล
- จากเทคโนโลยีการประมวลผลข้อมูลเฉพาะ
- จากด้านเทคนิคและ ซอฟต์แวร์;
- จากที่ตั้งขององค์กร
การระบุตัวตนและการรับรองความถูกต้อง
การควบคุมการเข้าถึง
การบันทึกและการตรวจสอบ
การเข้ารหัส;
การควบคุมความสมบูรณ์
ป้องกัน;
การวิเคราะห์ความปลอดภัย
สร้างความมั่นใจในความทนทานต่อความผิดพลาด
ความปลอดภัย การกู้คืนที่ปลอดภัย;
การขุดอุโมงค์;
มาตรการซอฟต์แวร์และฮาร์ดแวร์ที่มุ่งเป้าไปที่การควบคุมอุปกรณ์คอมพิวเตอร์ โปรแกรม และข้อมูลที่จัดเก็บในรูปแบบสุดท้าย แต่ไม่ท้ายสุดของความปลอดภัยของข้อมูล ในระดับนี้ ไม่เพียงแต่ด้านบวกเท่านั้น แต่ยังรวมถึง ผลกระทบด้านลบความก้าวหน้าอย่างรวดเร็วของเทคโนโลยีสารสนเทศ ประการแรก คุณสมบัติเพิ่มเติมไม่เพียงปรากฏในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเท่านั้น แต่ยังปรากฏในหมู่ผู้โจมตีด้วย ประการที่สอง ระบบข้อมูลได้รับการปรับปรุงให้ทันสมัย สร้างใหม่ และมีการเพิ่มส่วนประกอบที่ได้รับการทดสอบไม่เพียงพอ (โดยหลักคือซอฟต์แวร์) ซึ่งทำให้ยากต่อการปฏิบัติตามระบบการรักษาความปลอดภัย
ศูนย์กลางของระดับซอฟต์แวร์และฮาร์ดแวร์คือแนวคิดของบริการรักษาความปลอดภัย บริการดังกล่าวสำหรับสถาบันและบริษัทได้แก่: ภาครัฐรวมถึง:
ปัจจุบันการเพิ่มระดับความปลอดภัยของข้อมูลของรัฐวิสาหกิจสามารถทำได้โดยการดำเนินการ เทคโนโลยีที่ทันสมัยการป้องกันโดดเด่นด้วยการเพิ่มฟังก์ชันการทำงาน ความคล่องตัว และความสามารถในการพอร์ตไปยังแพลตฟอร์มใดๆ ในพื้นที่ การป้องกันทางเทคนิคแหล่งข้อมูลเราสามารถแยกแยะได้สามส่วนหลักที่รัฐวิสาหกิจของรัสเซียดำเนินการ:
ในเวลาเดียวกัน เราจำได้ว่าหน่วยงานภาครัฐและองค์กรภาครัฐใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ได้รับการรับรองโดย FSTEC หรือ FSB ของสหพันธรัฐรัสเซียเท่านั้น เพื่อปกป้องทรัพยากรภายใน หน่วยงานรัฐบาลกลางและระดับภูมิภาคส่วนใหญ่ใช้กลไกการตรวจสอบสิทธิ์และการอนุญาตผู้ใช้ที่สร้างไว้ในระบบปฏิบัติการ บางแผนกมีระบบที่ได้รับการรับรองพิเศษเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและ ล็อคอิเล็กทรอนิกส์เช่น “Labyrinth-M”, “Accord”, SecretNet ตามกฎแล้ว คีย์การป้องกันข้อมูลลับ "CryptoPro" หรือระบบที่รู้จักกันมานานและยังคงเป็นที่นิยมของตระกูล "Verba" ได้รับการติดตั้งเป็นวิธีการเข้ารหัส
เพื่อปกป้องเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่ายภายในจากโปรแกรมที่เป็นอันตราย (ไวรัส เวิร์ม ม้าโทรจัน) องค์กรภาครัฐส่วนใหญ่ใช้ซอฟต์แวร์ป้องกันไวรัส ซอฟต์แวร์- ส่วนใหญ่มักเป็น Russian Kaspersky Anti-Virus หรือ Dr.Web อย่างไรก็ตาม ยังมีวิธีแก้ปัญหาอยู่ เทรนด์ไมโคร, ไซแมนเทค, McAfee, Eset
การแบ่งเครือข่ายออกเป็นส่วนๆ ที่มีข้อกำหนดด้านความปลอดภัยข้อมูลที่แตกต่างกันดำเนินการโดยใช้กลไกการกรองที่อยู่ MAC และ IP บนอุปกรณ์เครือข่ายที่ใช้งานอยู่และกลไก VLAN ระบบตรวจสอบนโยบายความปลอดภัยที่เปรียบเทียบ การตั้งค่าปัจจุบันกลไกการป้องกันและระบบย่อยที่มีค่าอ้างอิง (Cisco, “Uryadnik”)
เพื่อปกป้องขอบเขตเครือข่ายหน่วยงานของรัฐมักจะใช้ใบรับรองต่างๆ ไฟร์วอลล์- สิ่งเหล่านี้ส่วนใหญ่เป็นโซลูชันจาก Cisco, Aladdin และ จุดตรวจ- แต่ก็มีผลิตภัณฑ์จากผู้ผลิตรายอื่นด้วย โดยเฉพาะ Novell Border Manager, Microsoft ISA Server, SSPT-1 และ SSPT-1M จาก Central Research Institute of RTK, Zastava จาก Elvis-Plus
จนถึงขณะนี้ระบบตรวจจับและป้องกันการโจมตี (ที่เรียกว่า HIPS) ได้ถูกนำไปใช้ในองค์กรภาครัฐเพียงไม่กี่แห่ง โดยทั่วไป คุณจะพบโซลูชันจาก Symantec, S.N. ที่นี่ Safe'n'Software และ Cisco ในหน่วยงานรัฐบาลกลาง ระบบตรวจสอบต่างๆ ช่วยป้องกันสแปมและการละเมิดบนอินเทอร์เน็ต อีเมลและการรับส่งข้อมูลเว็บ เช่น eSafe Gateway, MAILsweeper, WEBsweeper และ Websense
ในช่องสื่อสารกับเครื่องระยะไกลเท่านั้น ระบบของรัสเซีย การป้องกันการเข้ารหัสข้อมูลและ VPN - "Zastava", VipNet หรือ "ทวีป"
11. กรอบกฎหมาย การคุ้มครององค์กร- แหล่งที่มาของกฎหมายในด้านการรักษาความปลอดภัยข้อมูล ประเภท เอกสารกำกับดูแล- ตัวอย่างเอกสารทางกฎหมายในประเทศและต่างประเทศ
ใน สหพันธรัฐรัสเซียการดำเนินการทางกฎหมายด้านกฎระเบียบในด้านความปลอดภัยของข้อมูล ได้แก่:
· พระราชบัญญัติของรัฐบาลกลาง:
· สนธิสัญญาระหว่างประเทศของสหพันธรัฐรัสเซีย
· รัฐธรรมนูญแห่งสหพันธรัฐรัสเซีย
· กฎหมายในระดับรัฐบาลกลาง (รวมถึงกฎหมายรัฐธรรมนูญของรัฐบาลกลาง ประมวลกฎหมาย)
· คำสั่งของประธานาธิบดีแห่งสหพันธรัฐรัสเซีย
· กฤษฎีกาของรัฐบาลสหพันธรัฐรัสเซีย
· การดำเนินการทางกฎหมายตามกฎระเบียบของกระทรวงและหน่วยงานของรัฐบาลกลาง
· การดำเนินการทางกฎหมายตามกฎระเบียบของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซีย รัฐบาลท้องถิ่น ฯลฯ
เอกสารด้านกฎระเบียบและระเบียบวิธีประกอบด้วย
1. เอกสารระเบียบวิธี หน่วยงานภาครัฐรัสเซีย:
· หลักคำสอนด้านความปลอดภัยข้อมูลของสหพันธรัฐรัสเซีย
·เอกสารแนวทางของ FSTEC (คณะกรรมการเทคนิคแห่งรัฐรัสเซีย)
· คำสั่งเอฟเอสบี
2. มาตรฐานการรักษาความปลอดภัยของข้อมูลซึ่งมีความโดดเด่นดังต่อไปนี้:
· มาตรฐานสากล;
· มาตรฐานของรัฐ (ระดับชาติ) ของสหพันธรัฐรัสเซีย
· คำแนะนำระเบียบวิธี
ประเภทของเอกสารกำกับดูแล:
· การดำเนินการทางกฎหมายตามกฎระเบียบ: กฎหมายของสหพันธรัฐรัสเซีย (ว่าด้วยความปลอดภัย), กฎหมายของรัฐบาลกลาง (เกี่ยวกับข้อมูลส่วนบุคคล, เกี่ยวกับเทคโนโลยีสารสนเทศและสารสนเทศ, ในลายเซ็นดิจิทัลอิเล็กทรอนิกส์), พระราชกฤษฎีกาของประธานาธิบดีแห่งสหพันธรัฐรัสเซีย (เมื่อได้รับอนุมัติรายการข้อมูล เป็นความลับ), พระราชกฤษฎีกาของรัฐบาล (เกี่ยวกับการรับรองเครื่องมือรักษาความปลอดภัยข้อมูล, การออกใบอนุญาต);
· เอกสารด้านกฎระเบียบ วิธีการ และระเบียบวิธี: หลักคำสอน คำสั่งของ FSTEC ข้อบังคับเกี่ยวกับการรับรองอุปกรณ์ป้องกันตามข้อกำหนดด้านความปลอดภัย ข้อบังคับเกี่ยวกับการรับรองวัตถุ บทบัญญัติของแบบจำลอง เอกสารแนวทาง วิธีการ (การประเมินความปลอดภัย) เอกสารด้านกฎระเบียบและระเบียบวิธี
· มาตรฐาน: GOST, RD, SanPin (ข้อกำหนดด้านสุขอนามัยสำหรับเทอร์มินัลการแสดงผลวิดีโอ), SNiP (การป้องกันเสียงรบกวน)
ตัวอย่างเอกสารทางกฎหมายต่างประเทศ:
สหรัฐอเมริกา
ณ วันนี้สหรัฐอเมริกาเป็นเขตอำนาจศาลด้วย จำนวนที่ใหญ่ที่สุดเอกสารในระบบ (มากกว่า 12,000 เอกสาร)
ฐานข้อมูลประกอบด้วยเอกสารจากแหล่งที่มาทางกฎหมายของรัฐบาลกลางอเมริกันหลักสองแห่ง ได้แก่ US Code (USC) และ Code of Federal Regulations (CFR) ประการแรกคือชุดกฎหมายของรัฐบาลกลางที่เป็นระบบ และประกอบด้วย 52 ส่วนที่อุทิศให้กับการควบคุมสาขาหรือสถาบันกฎหมายบางแห่ง
ระบบประกอบด้วยสามส่วนของรหัสของสหรัฐอเมริกา: หัวข้อ 26 - ประมวลรัษฎากรภายในของสหรัฐอเมริกา, หัวข้อ 12 - ธนาคารและการธนาคาร และหัวข้อ 15 - การค้าและการค้า ซึ่งรวมถึงกฎหมายที่ควบคุมกิจกรรมในตลาดหลักทรัพย์ ประมวลกฎหมายจะออกใหม่โดยสภาคองเกรสทุกๆ 6 ปี และเผยแพร่โดย US Code Service ไม่เหมือนส่วนใหญ่ แหล่งที่มาที่เปิดเผยต่อสาธารณะระบบ WBL ไม่เพียงแต่ประกอบด้วยข้อความในเอกสารเหล่านี้เท่านั้น แต่ยังรวมถึงประวัติของการแก้ไขทั้งหมดที่ทำกับเอกสารเหล่านั้น ตลอดจนบันทึกย่อและแบบอย่างการพิจารณาคดีที่สำคัญที่สุดในพื้นที่นี้
ระบบยังรวมถึงข้อบังคับที่ออกโดยหน่วยงานรัฐบาลกลางด้วย สาขาผู้บริหารและรวมอยู่ในประมวลกฎหมายของรัฐบาลกลางที่มีการเผยแพร่ ทะเบียนของรัฐบาลกลาง(ทะเบียนกลาง) - องค์กรหนึ่งของสำนักหอจดหมายเหตุแห่งชาติ
12. การพัฒนานโยบายการรักษาความปลอดภัย ข้อกำหนดพื้นฐานของการรักษาความปลอดภัยของข้อมูล ขอบเขตการใช้งาน เป้าหมายและวัตถุประสงค์ของการรับรองความปลอดภัยของข้อมูล การกระจายบทบาทและความรับผิดชอบ ความรับผิดชอบทั่วไป
การพัฒนา.
ก่อนอื่นคุณต้องดำเนินการตรวจสอบ กระบวนการข้อมูลบริษัท ระบุอย่างมีวิจารณญาณ ข้อมูลสำคัญซึ่งจำเป็นต้องได้รับการปกป้อง การตรวจสอบกระบวนการข้อมูลควรสิ้นสุดด้วยการกำหนดรายการ ข้อมูลที่เป็นความลับองค์กร พื้นที่ที่มีการเผยแพร่ข้อมูลนี้ บุคคลที่ได้รับอนุญาตให้เข้าถึงข้อมูล รวมถึงผลที่ตามมาจากการสูญเสีย (การบิดเบือน) ของข้อมูลนี้ หลังจากดำเนินการขั้นตอนนี้ จะเห็นได้ชัดว่าควรปกป้องอะไร จะปกป้องที่ไหน และจากใคร ในเหตุการณ์ส่วนใหญ่ที่ท่วมท้น ผู้ฝ่าฝืนจะเป็นพนักงานของบริษัทเองทั้งด้วยความเต็มใจหรือไม่เต็มใจ และไม่มีอะไรสามารถทำได้เกี่ยวกับเรื่องนี้: คุณต้องยอมรับมัน ภัยคุกคามความปลอดภัยต่างๆ สามารถกำหนดค่าความน่าจะเป็นสำหรับการเกิดขึ้นได้ ด้วยการคูณความน่าจะเป็นที่ภัยคุกคามจะรับรู้ด้วยความเสียหายที่เกิดจากการดำเนินการนี้ เราจึงได้รับความเสี่ยงจากภัยคุกคาม หลังจากนี้คุณควรเริ่มพัฒนานโยบายความปลอดภัย
นโยบายความปลอดภัยถือเป็นเอกสารระดับ "บนสุด" ซึ่งควรระบุ:
· บุคคลที่รับผิดชอบด้านความปลอดภัยของบริษัท
· อำนาจและความรับผิดชอบของหน่วยงานและบริการเกี่ยวกับการรักษาความปลอดภัย
· จัดให้มีการรับพนักงานใหม่และการเลิกจ้าง
· กฎสำหรับการจำกัดการเข้าถึงทรัพยากรสารสนเทศของพนักงาน
· องค์กรควบคุมการเข้าถึง การลงทะเบียนของพนักงานและผู้เยี่ยมชม
· การใช้เครื่องมือป้องกันซอฟต์แวร์และฮาร์ดแวร์
· ข้อกำหนดทั่วไปอื่นๆ
ค่าใช้จ่ายในการรับรองความปลอดภัยของข้อมูลไม่ควรมากกว่าจำนวนความเสียหายที่อาจเกิดขึ้นจากการสูญเสีย การวิเคราะห์ความเสี่ยงที่ดำเนินการในขั้นตอนการตรวจสอบทำให้สามารถจัดอันดับตามขนาดและปกป้องอันดับแรก ไม่เพียงแต่ผู้ที่มีความเสี่ยงมากที่สุดเท่านั้น แต่ยังรวมถึงผู้ที่ประมวลผลมากที่สุดด้วย ข้อมูลอันมีค่าแปลง มาตรฐานไอเอสโอ 17799 ให้คุณได้ ปริมาณการรักษาความปลอดภัยที่ครอบคลุม:
การพัฒนานโยบายความปลอดภัยเกี่ยวข้องกับขั้นตอนเบื้องต้นหลายประการ:
·การประเมินทัศนคติส่วนบุคคล (ส่วนตัว) ต่อความเสี่ยงขององค์กรของเจ้าของและผู้จัดการที่รับผิดชอบในการทำงานและการปฏิบัติงานขององค์กรโดยรวมหรือแต่ละด้านของกิจกรรม
· การวิเคราะห์ความเสี่ยงที่อาจเกิดขึ้น วัตถุข้อมูล;
· การระบุภัยคุกคามต่อวัตถุข้อมูลที่สำคัญ (ข้อมูล ระบบข้อมูล กระบวนการประมวลผลข้อมูล) และการประเมินความเสี่ยงที่เกี่ยวข้อง
เมื่อพัฒนานโยบายความปลอดภัยในทุกระดับ คุณต้องปฏิบัติตามกฎพื้นฐานต่อไปนี้:
· นโยบายความปลอดภัยเพิ่มเติม ระดับต่ำจะต้องปฏิบัติตามนโยบายที่เกี่ยวข้องอย่างเต็มที่ ระดับบนสุดตลอดจนกฎหมายและข้อกำหนดปัจจุบันของหน่วยงานภาครัฐ
· ข้อความของนโยบายความปลอดภัยควรมีเฉพาะภาษาที่ชัดเจนและไม่คลุมเครือซึ่งไม่อนุญาตให้ตีความซ้ำซ้อน
· ข้อความของนโยบายความปลอดภัยจะต้องสามารถเข้าใจได้สำหรับพนักงานเหล่านั้นที่ได้รับการกล่าวถึง
ทั่วไป วงจรชีวิตนโยบายความปลอดภัยของข้อมูลประกอบด้วยขั้นตอนพื้นฐานหลายขั้นตอน
· ดำเนินการศึกษาเบื้องต้นเกี่ยวกับสถานะความปลอดภัยของข้อมูล
· การพัฒนานโยบายความปลอดภัยที่เกิดขึ้นจริง
· การดำเนินการตามนโยบายความปลอดภัยที่พัฒนาขึ้น
· การวิเคราะห์การปฏิบัติตามข้อกำหนดของนโยบายความปลอดภัยที่นำไปใช้และการกำหนดข้อกำหนดสำหรับการปรับปรุงเพิ่มเติม (กลับสู่ขั้นตอนแรก สู่วงจรการปรับปรุงใหม่)
นโยบายการรักษาความปลอดภัยขององค์กร(ภาษาอังกฤษ) นโยบายความปลอดภัยขององค์กร) - ชุดแนวปฏิบัติ กฎเกณฑ์ ขั้นตอน และ เทคนิคการปฏิบัติในด้านการรักษาความปลอดภัย ซึ่งควบคุมการจัดการ การป้องกัน และการเผยแพร่ข้อมูลอันมีค่า
ในกรณีทั่วไป ชุดของกฎดังกล่าวแสดงถึงการทำงานบางอย่าง ผลิตภัณฑ์ซอฟต์แวร์ซึ่งจำเป็นสำหรับการใช้งานในองค์กรเฉพาะ หากเราเข้าใกล้นโยบายความปลอดภัยอย่างเป็นทางการมากขึ้น ก็จะเป็นข้อกำหนดบางประการสำหรับการทำงานของระบบรักษาความปลอดภัยซึ่งประดิษฐานอยู่ในเอกสารของแผนก
นโยบายความปลอดภัยขึ้นอยู่กับ:
การป้องกันระบบข้อมูลขนาดใหญ่ไม่สามารถแก้ไขได้หากไม่มีเอกสารความปลอดภัยของข้อมูลที่ได้รับการพัฒนาอย่างดี - นโยบายความปลอดภัยช่วย
· ตรวจสอบให้แน่ใจว่าไม่มีอะไรสำคัญที่ถูกมองข้าม
· กำหนดกฎเกณฑ์ความปลอดภัยที่ชัดเจน
เฉพาะระบบการป้องกันที่ครอบคลุมและเป็นไปได้ทางเศรษฐกิจเท่านั้นที่จะมีประสิทธิภาพและระบบข้อมูลในกรณีนี้จะปลอดภัย
เอกสารนโยบายความปลอดภัยควรอธิบายถึงเป้าหมายและวัตถุประสงค์ของการรักษาความปลอดภัยข้อมูล ตลอดจนทรัพย์สินอันมีค่าของบริษัทที่ต้องมีการป้องกัน เป้าหมายความปลอดภัยของข้อมูลตามกฎแล้วคือการรับรองความลับ ความสมบูรณ์ และความพร้อมของสินทรัพย์ข้อมูล ตลอดจนรับประกันความต่อเนื่องของธุรกิจของบริษัท
วัตถุประสงค์การรักษาความปลอดภัยของข้อมูลคือการกระทำทั้งหมดที่ต้องทำเพื่อให้บรรลุเป้าหมาย โดยเฉพาะอย่างยิ่งจำเป็นต้องแก้ไขปัญหาเช่นการวิเคราะห์และการจัดการ ความเสี่ยงด้านข้อมูลการสืบสวนเหตุการณ์ด้านความปลอดภัยของข้อมูล การพัฒนาและการดำเนินการตามแผนความต่อเนื่องทางธุรกิจ การฝึกอบรมขั้นสูงของพนักงานบริษัทในด้านความปลอดภัยของข้อมูล เป็นต้น
การจำแนกประเภทของมาตรการคุ้มครองสามารถแสดงได้เป็น 3 ระดับ
ระดับนิติบัญญัติ ประมวลกฎหมายอาญาของสหพันธรัฐรัสเซียมีบทที่ 28 อาชญากรรมในด้านข้อมูลคอมพิวเตอร์ ประกอบด้วยบทความ 3 บทความดังต่อไปนี้
มาตรา 272 การเข้าถึงข้อมูลคอมพิวเตอร์อย่างผิดกฎหมาย
มาตรา 273 การสร้าง การใช้ และการเผยแพร่โปรแกรมคอมพิวเตอร์ที่เป็นอันตราย
มาตรา 274 การละเมิดกฎในการใช้งานคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือเครือข่าย
ฝ่ายบริหารและ ระดับขั้นตอน- ในระดับบริหารและขั้นตอน จะมีการจัดทำนโยบายความปลอดภัยและชุดขั้นตอนที่กำหนดการกระทำของบุคลากรในสถานการณ์ปกติและวิกฤติ ระดับนี้บันทึกไว้ในแนวทางที่ออกโดยคณะกรรมการเทคนิคแห่งรัฐของสหพันธรัฐรัสเซียและ FAPSI
ระดับซอฟต์แวร์และฮาร์ดแวร์ ระดับนี้รวมถึงซอฟต์แวร์และฮาร์ดแวร์ที่ประกอบขึ้นเป็นเทคโนโลยีความปลอดภัยของข้อมูล ซึ่งรวมถึงการระบุผู้ใช้ การควบคุมการเข้าถึง การเข้ารหัส การป้องกัน และอื่นๆ อีกมากมาย
และหากระดับการคุ้มครองทางกฎหมายและการบริหารไม่ได้ขึ้นอยู่กับผู้ใช้รายใดรายหนึ่ง อุปกรณ์คอมพิวเตอร์จากนั้นซอฟต์แวร์ ระดับเทคนิคผู้ใช้ทุกคนสามารถและควรจัดระเบียบการปกป้องข้อมูลบนคอมพิวเตอร์ของตน
1.3. ระดับการป้องกันซอฟต์แวร์และฮาร์ดแวร์
เราจะไม่พิจารณาระบบการเข้ารหัสซอฟต์แวร์และฮาร์ดแวร์ที่ซับซ้อนที่มีอยู่ซึ่งจำกัดการเข้าถึงข้อมูลผ่านการเข้ารหัส เช่นเดียวกับโปรแกรมการเขียนลับที่สามารถ "ละลาย" เนื้อหาที่เป็นความลับในไฟล์กราฟิกและเสียงขนาดใหญ่ การใช้โปรแกรมดังกล่าวสามารถทำได้เฉพาะในกรณีพิเศษเท่านั้น
ตามกฎแล้ว ผู้ใช้ทั่วไปเช่นคุณและฉันไม่ใช่นักเข้ารหัสหรือโปรแกรมเมอร์มืออาชีพ ดังนั้นเราจึงสนใจเครื่องมือรักษาความปลอดภัยข้อมูลแบบ "ชั่วคราว" มาดูเครื่องมือรักษาความปลอดภัยข้อมูลแล้วลองประเมินความน่าเชื่อถือ ท้ายที่สุดแล้ว การรู้จุดอ่อนของการป้องกันสามารถช่วยเราให้พ้นจากปัญหาต่างๆ มากมายได้
สิ่งแรกที่ผู้ใช้คอมพิวเตอร์ส่วนบุคคลมักจะทำคือตั้งรหัสผ่านสองรหัส: รหัสผ่านหนึ่งรหัสในการตั้งค่า BIOS และอีกรหัสผ่านหนึ่งบนโปรแกรมรักษาหน้าจอ การป้องกันในระดับ BIOS คุณจะต้องป้อนรหัสผ่านเมื่อคุณบูตคอมพิวเตอร์ และการป้องกันบนโปรแกรมรักษาหน้าจอจะบล็อกการเข้าถึงข้อมูลหลังจากผ่านช่วงระยะเวลาหนึ่งที่คุณระบุเมื่อคอมพิวเตอร์ไม่ได้ใช้งาน
การตั้งรหัสผ่านที่ระดับ BIOS เป็นกระบวนการที่ค่อนข้างละเอียดอ่อนซึ่งต้องใช้ทักษะบางอย่างในการทำงานกับการตั้งค่าคอมพิวเตอร์ ดังนั้นจึงแนะนำให้ตั้งกับเพื่อนร่วมงานที่มีประสบการณ์เพียงพอในกิจกรรมดังกล่าว การตั้งรหัสผ่านสำหรับโปรแกรมรักษาหน้าจอนั้นไม่ใช่เรื่องยากและผู้ใช้สามารถตั้งค่าเองได้
ในการตั้งรหัสผ่านสำหรับสกรีนเซฟเวอร์ คุณต้องทำตามขั้นตอนต่อไปนี้: คลิกปุ่มเริ่ม เลือกการตั้งค่าและแผงควบคุม ดับเบิลคลิกที่ไอคอนหน้าจอ และในหน้าต่างคุณสมบัติการแสดงผลที่เปิดขึ้น ให้เลือกแท็บสกรีนเซฟเวอร์ ตั้งค่าประเภทสกรีนเซฟเวอร์ กำหนดช่วงเวลา (สมมติว่า 1 นาที) ทำเครื่องหมายที่ช่องรหัสผ่าน และคลิกปุ่มเปลี่ยน
ในหน้าต่างเปลี่ยนรหัสผ่านที่เปิดขึ้น ให้ป้อนรหัสผ่านของโปรแกรมรักษาหน้าจอ จากนั้นป้อนอีกครั้งเพื่อยืนยันและคลิกตกลง
หากคุณตัดสินใจที่จะลบรหัสผ่านสำหรับสกรีนเซฟเวอร์ด้วยตัวเองให้ทำตามขั้นตอนข้างต้นทั้งหมดเฉพาะในหน้าต่างเปลี่ยนรหัสผ่านที่คุณไม่ควรพิมพ์อะไรเลย แต่เพียงคลิกที่ปุ่มตกลง รหัสผ่านจะถูกลบออก
วิธีแรกคือใช้ช่องโหว่ที่ผู้ผลิตเมนบอร์ดมักมีให้ ซึ่งเรียกว่า "รหัสผ่านสากลสำหรับคนขี้ลืม" ผู้ใช้ทั่วไปซึ่งตามปกติแล้วเราเป็นไม่ทราบ
คุณสามารถใช้วิธีที่สองในการแฮ็กข้อมูลความลับ: ถอดเคสคอมพิวเตอร์ ถอดแบตเตอรี่ลิเธียมบนเมนบอร์ดออกประมาณ 20...30 นาที จากนั้นใส่กลับเข้าไป หลังจากการดำเนินการนี้ BIOS จะลืมรหัสผ่านและการตั้งค่าผู้ใช้ทั้งหมด 99% อย่างไรก็ตามหากคุณลืมรหัสผ่านซึ่งเกิดขึ้นบ่อยครั้งในทางปฏิบัติคุณสามารถใช้วิธีนี้ได้
วิธีที่สามสำหรับบุคคลภายนอกในการค้นหาข้อมูลที่ได้รับการคุ้มครองของเราคือการถอดฮาร์ดไดรฟ์ออกจากคอมพิวเตอร์และเชื่อมต่อกับคอมพิวเตอร์เครื่องอื่นเป็นอุปกรณ์ตัวที่สอง จากนั้นคุณก็สามารถอ่านและคัดลอกความลับของผู้อื่นได้โดยไม่มีปัญหา ด้วยทักษะบางอย่าง ขั้นตอนนี้ใช้เวลา 15...20 นาที
ดังนั้น ในระหว่างที่คุณไม่อยู่เป็นเวลานาน พยายามป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าไปในห้องซึ่งมีคอมพิวเตอร์อยู่
มาตรการด้านซอฟต์แวร์และฮาร์ดแวร์มุ่งเป้าไปที่การตรวจสอบอุปกรณ์ โปรแกรม ข้อมูล และแบบฟอร์ม พรมแดนสุดท้ายไอบี. ศูนย์กลางของระดับซอฟต์แวร์และฮาร์ดแวร์คือแนวคิดของบริการรักษาความปลอดภัย มีบริการดังต่อไปนี้:
1) การระบุและการรับรองความถูกต้อง
2) การควบคุมการเข้าถึง
3) การบันทึกและการตรวจสอบ
4) การเข้ารหัส
5) การควบคุมความซื่อสัตย์
6) การป้องกัน
7) การวิเคราะห์ความปลอดภัย
8) รับประกันความทนทานต่อความผิดพลาด
9) รับรองการฟื้นตัวอย่างปลอดภัย
10) การขุดอุโมงค์
11) การจัดการ
ชุดบริการที่กล่าวข้างต้นสามารถเรียกได้ ชุดเต็มและเชื่อว่าเพียงพอที่จะให้การป้องกันที่เชื่อถือได้ในระดับซอฟต์แวร์ บริการรักษาความปลอดภัยจำแนกตาม บางประเภท.
การระบุและการรับรองความถูกต้อง- การระบุตัวตนทำให้ผู้ถูกทดสอบสามารถตั้งชื่อตัวเองได้ การรับรองความถูกต้องช่วยให้แน่ใจว่าหัวเรื่องเป็นคนที่เขาบอกว่าเขาเป็น (การรับรองความถูกต้อง) การรับรองความถูกต้องอาจเป็นแบบทางเดียว - เมื่อไคลเอนต์พิสูจน์ความถูกต้องหรือแบบสองทาง บริการที่เป็นปัญหามี 2 ด้าน: 1) สิ่งที่ทำหน้าที่เป็นตัวตรวจสอบความถูกต้อง 2) และการแลกเปลี่ยนข้อมูลการตรวจสอบความถูกต้องและการระบุตัวตนได้รับการปกป้องอย่างไร
ตัวตรวจสอบความถูกต้องของผู้ใช้สามารถเป็นหนึ่งในเอนทิตีต่อไปนี้: 1) สิ่งที่เขารู้ (รหัสผ่าน, คีย์); 2) สิ่งที่เขาเป็นเจ้าของ (การ์ดเข้าถึง); 3) สิ่งที่เป็นส่วนหนึ่งของตัวเขาเอง (ลายนิ้วมือ)
การตรวจสอบรหัสผ่าน
รูปแบบการป้องกันที่เป็นมิตรต่อผู้ใช้มากที่สุด มีเทคนิคมาตรฐานจำนวนหนึ่งที่ผู้โจมตีใช้เพื่อเลี่ยงผ่าน การป้องกันด้วยรหัสผ่าน- สำหรับแต่ละเทคนิคเหล่านี้ ได้มีการพัฒนามาตรการรับมือ ขึ้นอยู่กับกลไกเหล่านี้ สามารถกำหนดกฎการเลือกได้ รหัสผ่านที่ปลอดภัยและทำงานร่วมกับเขา
วิธีการโจมตีด้วยรหัสผ่าน:
1) เกินกำลัง การโจมตีรหัสผ่านที่ง่ายที่สุดโดยลองใช้ชุดค่าผสมและอักขระที่เป็นไปได้ทั้งหมด วิธีการที่ทันสมัยสามารถลองรหัสผ่าน 5-6 ตัวอักษรได้ภายในไม่กี่วินาที บางระบบไม่อนุญาตให้มีการโจมตีดังกล่าวเนื่องจากระบบจะตอบสนองต่อความพยายามรหัสผ่านที่ไม่ถูกต้องหลายครั้ง
กลไกความปลอดภัย: ความยาวรหัสผ่าน รหัสผ่านสมัยใหม่ต้องมีความยาวอย่างน้อย 12 ตัวอักษร
2) ค้นหาในช่วงที่จำกัด เป็นที่ทราบกันดีว่าผู้ใช้หลายคนเมื่อเลือกรหัสผ่านให้ใช้อักขระที่อยู่ในช่วงเดียวกัน รหัสผ่านดังกล่าวจำง่ายกว่ามาก แต่งานของศัตรูนั้นง่ายกว่ามาก ให้ n=70 เป็นจำนวนอักขระที่สามารถใช้ในรหัสผ่านได้ ในจำนวนนี้มี 10 ตัวเป็นตัวเลข 30 – ตัวอักษรของตัวอักษรรัสเซีย 30 – ตัวอักษรของตัวอักษรอื่น ให้รหัสผ่านมีความยาว m=4 จำนวนชุดค่าผสมคือ 70^4 = 24010000
10^4+30^4+30^4= 1630000.
ดังนั้นหากผู้โจมตีพูดถูก จำนวนชุดค่าผสมก็ลดลง 140 เท่า โปรแกรมเดารหัสผ่านมีตัวเลือกที่ช่วยให้คุณสามารถใช้ตัวเลขในการเดารหัสผ่านได้
กลไกการรักษาความปลอดภัย: ใช้อักขระจาก ช่วงต่างๆ.
3) การโจมตีพจนานุกรม ไร้จุดหมายอย่างแน่นอน รหัสผ่านแบบสุ่มจดจำได้ยาก และสำหรับผู้ใช้จำนวนมาก การลืมรหัสผ่านมีแนวโน้มมากกว่าการถูกโจมตี ดังนั้นจึงมักเลือกคำใดคำหนึ่ง ในกรณีนี้ ผู้โจมตีจะใช้งาน Brute Force ได้ง่ายขึ้นมาก เนื่องจากโปรแกรมเลือกอัตโนมัติสามารถเลือกคำที่มีอยู่ในไฟล์พจนานุกรมได้ มีพจนานุกรมหลายประเภทมากมาย ภาษาที่แตกต่างกัน- ตรวจสอบพจนานุกรมและคำ 200,000 คำในไม่กี่วินาที ผู้ใช้หลายท่านเชื่อว่าหากทาบาง การแปลงอย่างง่าย(เขียนถอยหลังด้วยตัวอักษรรัสเซียค่ะ เค้าโครงภาษาอังกฤษ) สิ่งนี้จะเพิ่มความปลอดภัย แต่เมื่อเทียบกับการใช้กำลังดุร้ายธรรมดา การเลือกคำที่มีการเปลี่ยนแปลงจะทำให้งานนี้เป็นไปได้
รหัสผ่านที่แข็งแกร่ง- ไม่ควรขึ้นอยู่กับคำพูด ภาษาธรรมชาติ
4) โจมตีโดย พจนานุกรมส่วนตัว- ผู้โจมตีสามารถใช้ประโยชน์จากข้อเท็จจริงที่ว่าเพื่อให้จดจำได้ง่ายขึ้น ผู้ใช้บางรายจึงเลือกข้อมูลส่วนบุคคล หากผู้โจมตีจำเป็นต้องเลี่ยงรหัสผ่าน เขาสามารถรวบรวมพจนานุกรมข้อมูลส่วนบุคคลได้
รหัสผ่านที่รัดกุมไม่ควรมีความหมายโดยสิ้นเชิง
5) การรวบรวมรหัสผ่านที่จัดเก็บไว้ในพื้นที่สาธารณะที่เข้าถึงได้ ในหลายองค์กร ผู้ดูแลระบบจะสร้างและแจกจ่ายรหัสผ่าน อย่างไรก็ตาม เนื่องจากรหัสผ่านนั้นจำยาก ผู้ใช้จึงมักจะจดรหัสผ่านไว้ในมือ ปัญหาคือผู้ใช้มักไม่ให้ความสำคัญกับการรักษาความปลอดภัยของรหัสผ่านบริการของตนอย่างจริงจัง พวกเขาเชื่อว่าเนื่องจากทุกคนในองค์กรเป็นของตัวเอง การจัดเก็บอย่างไม่ระมัดระวังจึงไม่ก่อให้เกิดอันตราย
ไม่ควรเก็บรหัสผ่านไว้ในที่สาธารณะ ตัวเลือกที่เหมาะสมที่สุดคือการจดจำและไม่เก็บไว้ที่ใด
6) วิศวกรรมสังคม หลอกล่อผู้คนให้เจาะระบบที่ได้รับการคุ้มครอง หากรหัสผ่านไม่สามารถเดาหรือขโมยได้ ผู้โจมตีอาจพยายามบังคับให้ผู้ใช้เปิดเผยรหัสผ่านด้วยตนเอง กลยุทธ์คลาสสิก วิศวกรรมสังคม: โทรหาผู้เสียหายในนามของบุคคลที่มีสิทธิทราบข้อมูลที่ร้องขอ โดยวิธีการทางสังคม วิศวกรรมศาสตร์คือ การล่อลวงไปยังไซต์ปลอม การเปิดลิงก์ เทคนิคที่ผู้โจมตีใช้อาจแตกต่างกันมาก
กฎความปลอดภัย: คุณไม่สามารถเปิดเผยรหัสผ่านของคุณแก่บุคคลที่สาม แม้ว่าบุคคลนั้นจะมีสิทธิ์ทราบก็ตาม
7) ฟิชชิ่ง ขั้นตอนการแตกรหัสผ่านของผู้ใช้อินเทอร์เน็ตแบบสุ่ม โดยปกติจะเกี่ยวข้องกับการสร้างไซต์ปลอมที่หลอกให้ผู้ใช้ป้อนรหัสผ่าน เช่น รับรหัสผ่านสำหรับ บัญชีธนาคารสามารถสร้างเว็บไซต์ได้ด้วยการออกแบบเว็บไซต์เดียวกัน สามารถส่งอีเมลที่มีเนื้อหา เช่น ตรวจสอบบัญชีของคุณ ซึ่งมีลิงก์ไปยังเว็บไซต์ปลอมได้ เมื่อลูกค้าเข้าสู่เว็บไซต์ของผู้โจมตี เขาจะได้รับแจ้งให้ป้อนชื่อผู้ใช้และรหัสผ่านด้วย ข้อมูลนี้ถูกเก็บไว้ในฐานข้อมูลของผู้โจมตี หลังจากนั้นลูกค้าจะถูกส่งไปที่ หน้าแรกของไซต์นี้
ผู้ใช้หลายคนใช้รหัสผ่านเดียวกันสำหรับทรัพยากรที่แตกต่างกัน ผลก็คือ ด้วยการโจมตีทรัพยากรที่มีการป้องกันน้อย คุณจะสามารถเข้าถึงทรัพยากรที่มีการป้องกันมากขึ้นได้ ตัวอย่างเช่น มีการสร้างเว็บไซต์ที่น่าสนใจสำหรับผู้ใช้บางกลุ่ม ข้อมูลเกี่ยวกับไซต์นี้จะถูกสื่อสารไปยังผู้ที่อาจเป็นเหยื่อ ผู้ใช้ลงทะเบียนและสร้างรหัสผ่าน จากนั้นผู้โจมตีจะต้องดูว่ารหัสผ่านนี้เหมาะสมกับทรัพยากรอื่นหรือไม่
เพื่อต่อสู้กับภัยคุกคามฟิชชิ่ง คุณต้องตรวจสอบที่อยู่เว็บไซต์ก่อนที่จะป้อนรหัสผ่าน เป็นการดีกว่าที่จะบุ๊กมาร์กที่อยู่ไว้และไม่คลิกลิงก์จากอีเมล แนะนำให้ใช้ รหัสผ่านที่แตกต่างกันเพื่อเข้าถึง ไปยังบริการต่างๆ.
ดังนั้นเราจึงระบุมาตรการเพื่อเพิ่มความน่าเชื่อถือของการป้องกัน:
1) การกำหนดข้อจำกัดทางเทคนิค เกี่ยวกับความยาวและเนื้อหาของรหัสผ่าน
2) การจัดการรหัสผ่านหมดอายุและการเปลี่ยนแปลงเป็นระยะ
3) การจำกัดการเข้าถึงในแง่ของรหัสผ่าน
4) เพิ่มจำนวนการเข้าสู่ระบบที่ล้มเหลว
5) การฝึกอบรมผู้ใช้
6) การใช้ซอฟต์แวร์สร้างรหัสผ่าน
รหัสผ่านที่กล่าวถึงข้างต้นสามารถเรียกได้ว่านำมาใช้ซ้ำได้ การเปิดเผยข้อมูลทำให้ผู้โจมตีสามารถดำเนินการในนามของผู้ใช้ที่ถูกต้องตามกฎหมายได้ มากกว่า การรักษาที่แข็งแกร่งจากมุมมองด้านความปลอดภัย มีการใช้รหัสผ่านแบบใช้ครั้งเดียว
รหัสผ่านแบบใช้ครั้งเดียวรหัสผ่านแบบครั้งเดียว – รหัสผ่านที่ถูกต้องสำหรับเซสชันการรับรองความถูกต้องหนึ่งครั้ง ความถูกต้องของรหัสผ่านแบบใช้ครั้งเดียวสามารถจำกัดได้ในช่วงระยะเวลาหนึ่ง ข้อดีของรหัสผ่านดังกล่าวคือไม่สามารถใช้ซ้ำได้ บุคคลไม่สามารถจำรหัสผ่านแบบครั้งเดียวได้ ดังนั้นจึงจำเป็นต้องมีเทคโนโลยีเพิ่มเติมเพื่อใช้กลไกนี้
วิธีสร้างและแจกจ่ายรหัสผ่านแบบใช้ครั้งเดียว:
มีการใช้อัลกอริทึมสำหรับการสร้างรหัสผ่านแบบครั้งเดียว ตัวเลขสุ่ม- นี่เป็นสิ่งจำเป็นเพื่อไม่ให้คาดเดารหัสผ่านถัดไปได้ อัลกอริธึมเฉพาะสำหรับการสร้างรหัสผ่านดังกล่าวอาจมีรายละเอียดที่แตกต่างกันอย่างมาก
หากต้องการสร้างรหัสผ่านแบบใช้ครั้งเดียว สามารถแยกแยะแนวทางหลักได้ดังต่อไปนี้:
1) อัลกอริทึมที่ใช้อัลกอริทึมทางคณิตศาสตร์เพื่อสร้างรหัสผ่านใหม่
2) แนวทางที่อิงตามการซิงโครไนซ์เวลาระหว่างเซิร์ฟเวอร์และไคลเอนต์
3) รหัสผ่านโดยใช้อัลกอริธึม Mat โดยที่ รหัสผ่านใหม่แบบสอบถามหรือตามเคาน์เตอร์
มี วิธีต่างๆบอกรหัสผ่านต่อไปนี้แก่ผู้ใช้ บางระบบใช้โทเค็นอิเล็กทรอนิกส์พิเศษที่ผู้ใช้พกติดตัวไปด้วย ระบบยังสามารถใช้โปรแกรมที่ผู้ใช้เปิดจากโทรศัพท์มือถือได้ บางระบบสร้างรหัสผ่านแบบใช้ครั้งเดียวบนเซิร์ฟเวอร์ จากนั้นส่งรหัสผ่านให้กับผู้ใช้โดยใช้ช่องทางบุคคลที่สาม เช่น SMS
การสร้างรหัสผ่านแบบครั้งเดียวตาม อัลกอริธึมทางคณิตศาสตร์.
ลองพิจารณาแนวทางโดยใช้ฟังก์ชันทางเดียว f ระบบเริ่มทำงานจากเลขเริ่มต้น s รหัสผ่าน f(s), f(f(s)), f(f(f(s))) ถูกสร้างขึ้น รหัสผ่านแต่ละอันจะถูกแจกจ่ายในลำดับย้อนกลับ โดยเริ่มจากรหัสผ่านสุดท้ายและลงท้ายด้วย f(s) หากผู้โจมตีจัดการเพื่อรับรหัสผ่านแบบใช้ครั้งเดียว เพื่อคำนวณรหัสผ่านถัดไปในห่วงโซ่ จำเป็นต้องหาวิธีคำนวณฟังก์ชันผกผัน และเพราะว่า f เป็นด้านเดียว แล้วนี่เป็นไปไม่ได้ ถ้า f เป็นฟังก์ชันแคชการเข้ารหัสลับ ซึ่งเป็นฟังก์ชันที่ใช้กันทั่วไป ฟังก์ชันนี้จะเป็นไปไม่ได้ในทางเทคนิค
การซิงโครไนซ์เวลา
เชื่อมโยงกับโทเค็นฮาร์ดแวร์ทางกายภาพ นาฬิกาที่แม่นยำถูกสร้างขึ้นภายในโทเค็น ซึ่งซิงโครไนซ์กับนาฬิกาบนเซิร์ฟเวอร์ และในระบบดังกล่าว เวลาเป็นส่วนสำคัญของอัลกอริธึมการสร้างรหัสผ่านแบบครั้งเดียว เนื่องจากการสร้างรหัสผ่านจะขึ้นอยู่กับเวลาปัจจุบัน นอกจากนี้ยังสามารถใช้รหัสผ่านแบบครั้งเดียวที่ซิงโครไนซ์ได้ โทรศัพท์มือถือ- การใช้รหัสผ่านแบบครั้งเดียวกับการท้าทายกำหนดให้ผู้ใช้ต้องระบุการท้าทายที่ซิงโครไนซ์เวลา
บริการตรวจสอบสิทธิ์ Kerberos
เซิร์ฟเวอร์ได้รับการออกแบบมาเพื่อแก้ไขปัญหาต่อไปนี้: มีเครือข่ายแบบเปิดและไม่ปลอดภัยในโหนดซึ่งมีหัวข้ออยู่ แต่ละวิชามีรหัสลับ เพื่อให้ผู้ทดลอง A พิสูจน์ความถูกต้องของตนต่อผู้ทดลอง B เขาต้องไม่เพียงแต่ระบุตัวตนเท่านั้น แต่ยังต้องแสดงความรู้เกี่ยวกับกุญแจลับด้วย A ไม่สามารถบอก B รหัสลับของเขาได้ง่ายๆ เพราะเครือข่ายเปิดอยู่และ A ไม่รู้ จำเป็นต้องมีวิธีแสดงความรู้เกี่ยวกับรหัสลับบางอย่าง และระบบ Kerberos เป็นบุคคลที่สามที่เก็บคีย์ลับของตัวการทั้งหมดและช่วยในการตรวจสอบสิทธิ์แบบคู่
ในการเข้าถึง B นั้น A จะส่งคำขอที่มีข้อมูลเกี่ยวกับเขาและบริการที่ร้องขอ ในการตอบสนอง Kerberos จะส่งตั๋วที่เรียกว่าเข้ารหัสด้วยคีย์ส่วนตัวของเซิร์ฟเวอร์ และสำเนาของตั๋วบางส่วนที่เข้ารหัสด้วยคีย์ส่วนตัวของ A ต้องถอดรหัสข้อมูล 2 ชิ้นและส่งไปยังเซิร์ฟเวอร์ เซิร์ฟเวอร์ที่ถอดรหัสตั๋วแล้วสามารถเปรียบเทียบเนื้อหาด้วยได้ ข้อมูลเพิ่มเติมส่งโดยไคลเอนต์ A ผลการแข่งขันบ่งชี้ว่า A สามารถถอดรหัสข้อมูลที่มีไว้สำหรับเขาได้ นั่นคือเขาแสดงให้เห็นถึงความรู้เกี่ยวกับรหัสลับ ซึ่งหมายความว่าคือใครที่เขาอ้างว่าเป็น กุญแจลับที่นี่ไม่ได้ส่งผ่านเครือข่าย แต่ใช้เพื่อการตรวจสอบเท่านั้น
การรับรองความถูกต้องและการระบุตัวตนโดยใช้ข้อมูลไบโอเมตริกซ์
ไบโอเมตริกคือชุดของการตรวจสอบและระบุตัวตนตามลักษณะทางสรีรวิทยาและพฤติกรรม ลักษณะทางสรีรวิทยา ได้แก่ ลายนิ้วมือ จอประสาทตา ลักษณะการทำงาน ได้แก่: ลายเซ็นด้วยตนเอง, สไตล์การทำงานกับแป้นพิมพ์ จุดตัดของสรีรวิทยาและพฤติกรรมคือคุณลักษณะของการรู้จำเสียงพูดและคำพูด
โดยทั่วไปการทำงานกับข้อมูลไบโอเมตริกซ์มีการจัดดังนี้: ขั้นแรกสร้างและบำรุงรักษาฐานข้อมูลคุณลักษณะของผู้มีโอกาสเป็นผู้ใช้ เมื่อต้องการทำเช่นนี้ จะต้องนำคุณลักษณะทางไบโอเมตริกซ์มาประมวลผล และบันทึกผลลัพธ์ลงในฐานข้อมูล ในอนาคต สำหรับการตรวจสอบสิทธิ์ กระบวนการรวบรวมและประมวลผลข้อมูลจะถูกทำซ้ำ หลังจากนั้นจะทำการค้นหาในฐานข้อมูลเทมเพลต หากการค้นหาสำเร็จ ข้อมูลประจำตัวจะถูกสร้างขึ้น วิธีการไบโอเมตริกซ์ไม่น่าเชื่อถือไปกว่าฐานข้อมูลเทมเพลต ข้อมูลไบโอเมตริกซ์ของบุคคลมีการเปลี่ยนแปลงและจำเป็นต้องดูแลรักษาฐานข้อมูลเทมเพลต
รูปแบบการควบคุมการเข้าถึง
โมเดลการรักษาความปลอดภัยมีบทบาทสำคัญในวิธีการพัฒนาระบบอย่างเป็นทางการ กำหนดการไหลของข้อมูลที่อนุญาตในระบบและกฎเกณฑ์ในการเข้าถึงข้อมูลนี้
ลองพิจารณา 3 รุ่น:
1) รูปแบบการเข้าถึงตามดุลยพินิจ ภายในกรอบงานของโมเดลนี้ มีการควบคุมการเข้าถึงหัวข้อ (ผู้ใช้ แอปพลิเคชัน) ไปยังอ็อบเจ็กต์ (ไฟล์ แอปพลิเคชัน) สำหรับแต่ละอ็อบเจ็กต์จะมีหัวเรื่องของเจ้าของ ซึ่งกำหนดว่าใครมีสิทธิ์เข้าถึงอ็อบเจ็กต์ รวมถึงสิทธิ์ที่ได้รับอนุญาต การดำเนินการเข้าถึงหลักคือ อ่าน เขียน และดำเนินการ ดังนั้น รูปแบบการเข้าถึงตามดุลยพินิจจึงสร้างชุดการดำเนินการที่ได้รับอนุญาตสำหรับคู่หัวเรื่องและวัตถุแต่ละคู่ เมื่อมีการร้องขอการเข้าถึงออบเจ็กต์ ระบบจะค้นหาหัวเรื่องในรายการสิทธิ์การเข้าถึงของออบเจ็กต์ และอนุญาตการเข้าถึงหากมีหัวเรื่องอยู่ในรายการ และประเภทการเข้าถึงที่อนุญาตนั้นรวมประเภทที่ต้องการด้วย ระบบคลาสสิกการเข้าถึงตามดุลยพินิจถูกปิดเช่น ในตอนแรกวัตถุนั้นไม่สามารถเข้าถึงได้โดยใครก็ตาม และรายการเข้าถึงจะอธิบายชุดสิทธิ์ โมเดลการเข้าถึงนี้มีอยู่ในระบบปฏิบัติการ Windows และ Linux ข้อเสียประการหนึ่งของโมเดลนี้คือไม่ใช่ทุกออบเจ็กต์ที่สามารถกำหนดเจ้าของได้ นอกจากนี้ เมื่อมีวัตถุหัวเรื่องในระบบจำนวนมาก การบริหารระบบก็เกิดขึ้น ปริมาณมากคู่ดังกล่าวซึ่งทำให้งานยาก
2) รุ่น Bell-LaPadula (การควบคุมการเข้าถึงที่จำเป็น) โมเดลนี้ให้คำจำกัดความของวัตถุ หัวเรื่อง และสิทธิ์ในการเข้าถึง ตลอดจนเครื่องมือทางคณิตศาสตร์สำหรับคำอธิบาย แบบจำลองนี้รู้จักกฎความปลอดภัย 2 กฎเป็นหลัก กฎหนึ่งเกี่ยวข้องกับการอ่าน และอีกกฎเกี่ยวข้องกับการเขียนข้อมูล ปล่อยให้มีไฟล์ 2 ประเภทในระบบ: เป็นความลับและไม่ใช่ความลับ และผู้ใช้อยู่ใน 2 หมวดหมู่: ด้วยระดับการเข้าถึงไฟล์ที่ไม่เป็นความลับ (ไม่เป็นความลับ) ถึงระดับลับ (ลับ) กฎข้อที่ 1: ผู้ใช้ที่ไม่เป็นความลับหรือกระบวนการที่ทำงานในนามของเขาไม่สามารถอ่านข้อมูลจากไฟล์ลับได้
กฎข้อที่ 2: ผู้ใช้ที่มีระดับการเข้าถึงไฟล์ที่เป็นความลับไม่สามารถเขียนข้อมูลไปยังไฟล์ที่ไม่เป็นความลับได้ ไฟล์ลับ.
กฎที่พิจารณานั้นสามารถแจกจ่ายได้อย่างง่ายดายในระบบซึ่งมีระดับการเข้าถึงมากกว่า 2 ระดับ
กฎทั่วไป: ผู้ใช้สามารถอ่านเอกสารได้จนถึงระดับความปลอดภัยเท่านั้น และไม่สามารถสร้างเอกสารที่ต่ำกว่าระดับความปลอดภัยได้
รุ่นนี้ทางคณิตศาสตร์ ความสำคัญหลักคือการรักษาความลับ
3) รูปแบบการควบคุมการเข้าถึงตามบทบาท วิธีการตามบทบาทจะควบคุมการเข้าถึงข้อมูลของผู้ใช้ตามประเภทของกิจกรรมที่พวกเขามีในระบบ (บทบาท) บทบาทเป็นที่เข้าใจกันว่าเป็นชุดของการกระทำและความรับผิดชอบที่เกี่ยวข้องกับกิจกรรมบางประเภท ตัวอย่างบทบาท: นักบัญชี ผู้ดูแลระบบ ฯลฯ ผู้ใช้แต่ละคนมีการกำหนดค่าบทบาทของตัวเอง บทบาทของวัตถุ ในบางกรณี ผู้ใช้จะได้รับอนุญาตให้ดำเนินการหลายบทบาทพร้อมกันได้ ในกรณีนี้มีบทบาท โครงสร้างลำดับชั้น- ข้อดีหลักของแบบอย่าง: ก) ง่ายต่อการบริหารจัดการ ไม่จำเป็นต้องกำหนดกฎเกณฑ์สำหรับแต่ละวัตถุในหัวข้อ แต่กำหนดวัตถุบทบาทแทน เมื่อความรับผิดชอบของผู้ใช้เปลี่ยนไป บทบาทของผู้ใช้ก็จะเปลี่ยนไปด้วย ลำดับชั้นของบทบาททำให้การดูแลระบบง่ายขึ้น B) หลักการสิทธิพิเศษน้อยที่สุด ลงทะเบียนในระบบโดยมีบทบาทขั้นต่ำที่จำเป็นในการปฏิบัติงาน
การบันทึกและการตรวจสอบ
Logging หมายถึง การรวบรวมและสะสมข้อมูลที่เกิดขึ้นในระบบ ในกรณีนี้ เหตุการณ์ของแต่ละบริการสามารถแบ่งออกเป็น: ภายนอก ภายใน และไคลเอนต์
การตรวจสอบคือการวิเคราะห์ข้อมูลที่สะสม ดำเนินการทันทีแบบเรียลไทม์หรือเป็นระยะ เอกสารการปฏิบัติงานที่มีการตอบกลับอัตโนมัติต่อสถานการณ์ผิดปกติที่ระบุเรียกว่าใช้งานอยู่
การบันทึกและการตรวจสอบช่วยแก้ปัญหาต่อไปนี้: การตรวจสอบความรับผิดชอบของผู้ใช้และผู้ดูแลระบบ ให้ความสามารถในการสร้างลำดับเหตุการณ์ขึ้นมาใหม่ การตรวจจับความพยายามที่จะละเมิดความปลอดภัยของข้อมูล การให้ข้อมูลเพื่อระบุและวิเคราะห์ปัญหา
ต้องมีการบันทึก สามัญสำนึกเพื่อตอบคำถามว่าเหตุการณ์ใดในระบบที่ต้องลงทะเบียนและมีรายละเอียดระดับใดในขณะเดียวกันก็รับประกันว่าบรรลุเป้าหมายด้านความปลอดภัยและไม่ใช้ทรัพยากรมากเกินไป ไม่มีคำตอบที่เป็นสากล แต่สามารถเน้นคำแนะนำบางประการได้ ในส่วนที่เกี่ยวข้องกับระบบปฏิบัติการ ขอแนะนำให้บันทึกเหตุการณ์: การเข้าสู่ระบบ การออกจากระบบ การเข้าถึงระบบระยะไกล การทำงานของไฟล์ การเปลี่ยนแปลงสิทธิ์ และคุณสมบัติความปลอดภัยอื่น ๆ เมื่อทำการบันทึก แนะนำให้บันทึก: รอยสักและเวลา รหัสผู้ใช้และการกระทำ ประเภทของเหตุการณ์ ผลลัพธ์ของการกระทำ แหล่งที่มาของคำขอ ชื่อของวัตถุที่ได้รับผลกระทบ และคำอธิบายของการเปลี่ยนแปลง การรับรองความรับผิดชอบเป็นสิ่งสำคัญในฐานะเครื่องยับยั้ง การตรวจจับความพยายามที่จะละเมิดความปลอดภัยของข้อมูลถือเป็นฟังก์ชันการตรวจสอบที่ใช้งานอยู่ การตรวจสอบเป็นประจำสามารถตรวจจับการโจมตีที่ล่าช้าได้
* การตรวจสอบที่ใช้งานอยู่ กิจกรรมที่น่าสงสัยคือพฤติกรรมของผู้ใช้หรือส่วนประกอบของระบบที่น่าสงสัยจากมุมมองของกฎบางอย่างหรือไม่ใช่เรื่องปกติ เป้าหมายของการตรวจสอบเชิงรุกคือการระบุกิจกรรมที่น่าสงสัยอย่างรวดเร็วและจัดเตรียมเครื่องมือตอบกลับอัตโนมัติ ในกรณีนี้ ขอแนะนำให้แบ่งกิจกรรมออกเป็นการโจมตีที่มีเป้าหมายเพื่อให้ได้มาซึ่งอำนาจอย่างผิดกฎหมาย เพื่ออธิบายและระบุการโจมตี จะใช้วิธีลายเซ็น ลายเซ็นการโจมตีคือชุดของเงื่อนไขที่เกิดการโจมตีและกระตุ้นให้เกิดการตอบสนอง การกระทำที่ดำเนินการภายในขอบเขตอำนาจแต่ละเมิดนโยบายความปลอดภัยเรียกว่าการใช้อำนาจในทางที่ผิด พฤติกรรมที่ไม่ปกติมักจะถูกระบุโดยใช้วิธีทางสถิติ มีการใช้ระบบเกณฑ์ ซึ่งส่วนเกินนั้นน่าสงสัย ในส่วนที่เกี่ยวข้องกับเครื่องมือตรวจสอบที่ใช้งานอยู่ จะมีความแตกต่างระหว่างข้อผิดพลาดประเภท 1 และประเภท 2: การโจมตีที่ไม่ได้รับและการเตือนที่ผิดพลาด ข้อดีของวิธีลายเซ็นคือข้อผิดพลาดประเภท 2 จำนวนน้อย (การแจ้งเตือนที่ผิดพลาดจำนวนน้อย) ข้อเสียคือการไม่สามารถตรวจจับการโจมตีใหม่ได้ ศักดิ์ศรี วิธีการทางสถิติ– นี่คือความเก่งกาจ ความสามารถในการตรวจจับการโจมตีที่ไม่รู้จัก ข้อเสียคือข้อผิดพลาดประเภท 2 มีสัดส่วนสูง
การเข้ารหัส
การเข้ารหัสคือการแปลงข้อความธรรมดา (ต้นฉบับ) แบบย้อนกลับได้โดยใช้อัลกอริธึมลับหรือคีย์ไปเป็นข้อความที่เข้ารหัส (ปิด) การเข้ารหัสเป็นวิธีหนึ่งในการรับรองความลับของข้อมูล
อัลกอริธึมการเข้ารหัสแบ่งออกเป็น 2 กลุ่ม:
1) อัลกอริธึมแบบสมมาตรคีย์ K เดียวกันใช้สำหรับการเข้ารหัสและถอดรหัส M'=EnGrypt(M,K) ฟังก์ชันการเข้ารหัส M=DeCrypt(M',K) ถอดรหัส
อัลกอริธึมการเข้ารหัสแบบสมมาตรทั้งหมดสามารถแบ่งออกเป็น 3 กลุ่ม:
A) การทดแทน B) การเรียงสับเปลี่ยน C) บล็อกยันต์.
* อัลกอริธึมการทดแทน ทำงานบนหลักการต่อไปนี้: อักขระแต่ละตัวในข้อความต้นฉบับจะถูกแทนที่ด้วยอักขระอื่นหรือลำดับของอักขระ ในกรณีนี้ สามารถใช้อักขระจากตัวอักษรที่แตกต่างกันได้ หากใช้อักขระ 1 ตัวแทน การแทนที่จะเรียกว่าอักษรเดี่ยว อักขระหลายตัว – การทดแทนตัวอักษรหลายตัว
- การทดแทนที่ง่ายที่สุดคือรหัสซีซาร์ ตัวอักษรแต่ละตัวในข้อความต้นฉบับจะถูกแทนที่ด้วยตัวอักษรที่อยู่ 3 ตำแหน่งหลังจากนั้นในตัวอักษร ลักษณะเฉพาะของรหัสซีซาร์คือไม่มีรหัส หมายเลข 3 ไม่ใช่รหัส แต่เป็นส่วนหนึ่งของอัลกอริทึม ในปัจจุบัน กฎข้อแรกของการเข้ารหัสคือ จุดแข็งของการเข้ารหัสอยู่ที่ความจริงที่ว่าฝ่ายตรงข้ามรู้กลไกการเข้ารหัสอย่างถ่องแท้ และข้อมูลเดียวที่เขาไม่มีคือกุญแจ รหัส Caesar จะกลายเป็นรหัสเต็มเปี่ยมพร้อมคีย์หากไม่ได้ระบุหมายเลข 3 แต่เลือกโดยพลการตามข้อตกลง สามารถเลือกได้เฉพาะตัวเลขตั้งแต่ 1 ถึง 32 เป็นคีย์เท่านั้น ดังนั้นรหัสซีซาร์ที่ได้รับการดัดแปลงจึงไม่ทนต่อการแคร็กโดยใช้วิธีเดรัจฉานแบบคีย์
- รหัสทดแทนที่เรียบง่าย อักขระแต่ละตัวของตัวอักษรข้อความล้วนได้รับการกำหนดอักขระที่สอดคล้องกันของตัวอักษรเดียวกันหรือตัวอักษรอื่น กุญแจสำคัญในการเข้ารหัสนี้คือตารางการติดต่อ จำนวนคีย์ทั้งหมดเท่ากับการเรียงสับเปลี่ยนกำลังตัวอักษร 33! รหัสนี้คล้อยตามการเข้ารหัสได้ง่ายโดยการกำหนดความถี่ของการเกิดสัญลักษณ์ ดังนั้น การเข้ารหัสแบบตัวอักษรเดี่ยวจึงมีจุดอ่อนที่ร้ายแรงโดยพิจารณาจากลักษณะทางสถิติของข้อความต้นฉบับ ซึ่งสืบทอดข้อความไซเฟอร์เท็กซ์มา
- ตัวอย่างของการแทนที่หลายตัวอักษรของรหัส Gronsfeld เป็นการดัดแปลงรหัสซีซาร์ ลำดับของตัวเลขที่มีความยาวคงที่ตามอำเภอใจจะถูกนำมาใช้เป็นคีย์ M=สารสนเทศ K=123. อักขระคีย์แต่ละตัวจะถูกเขียนไว้ใต้ข้อความต้นฉบับ หากความยาวของคีย์น้อยกว่าข้อความต้นฉบับ จะถูกเขียนซ้ำแบบวนซ้ำ K=12312312. M'=YPCHTPLBALLV. รหัสนี้เป็นของตระกูลรหัสหลายตัวอักษร ดังนั้น, คุณสมบัติทางสถิติของข้อความนี้จะปรากฏขึ้นพร้อมกับความยาว n-key ที่เป็นวงจร (=3) ในกรณีนี้ ตารางความถี่จะแสดงข้อผิดพลาด และการกู้คืนข้อความจะทำไม่ได้
* อัลกอริธึมการเรียงสับเปลี่ยน อักขระข้อความธรรมดาจะเปลี่ยนลำดับตามกฎและคีย์
- ตัวอย่างคลาสสิกคือการจัดเรียงตัวอักษรใหม่ตามกฎเกณฑ์บางประการในตาราง ขนาดที่กำหนด- ข้อความเขียนเป็นคอลัมน์และอ่านเป็นแถว
* บล็อกยันต์ การเข้ารหัสแบบสมมาตรใช้ทั้งการทดแทนและการเรียงสับเปลี่ยน มาตรฐานในทางปฏิบัติคือการเข้ารหัสหลายรอบโดยใช้คีย์ที่แตกต่างกันซึ่งสร้างขึ้นจากคีย์ที่ใช้ร่วมกัน 1 อัน ส่วนใหญ่ อัลกอริธึมที่ทันสมัยมีโครงสร้างคล้ายกับโครงสร้างของเครือข่าย Feistel (อิงจาก Chenon) อัลกอริธึมการเข้ารหัสที่รัดกุมต้องมีคุณสมบัติ 2 ประการ: การแพร่กระจายและการแพร่กระจาย การแพร่กระจาย - ข้อความธรรมดาทุกบิตต้องมีอิทธิพลต่อไซเฟอร์เท็กซ์ทุกบิต สาระสำคัญของการแพร่กระจายคือการกระจายตัวของลักษณะทางสถิติของข้อความธรรมดาภายในไซเฟอร์เท็กซ์ ความสับสนคือการไม่มีความสัมพันธ์ทางสถิติระหว่างคีย์และไซเฟอร์เท็กซ์ แม้ว่าศัตรูจะกำหนดลักษณะทางสถิติของข้อความ แต่ก็ไม่ควรเพียงพอที่จะถอดรหัส
พิจารณาโครงสร้างของเครือข่าย Feistel
2) อัลกอริธึมคีย์สาธารณะ
เพื่อให้ความคุ้มครองจาก การโจมตีเครือข่ายการตั้งค่าที่ใช้กันอย่างแพร่หลายและมีประสิทธิภาพที่สุดคือ:
1. ระบบป้องกันคลาสที่ครอบคลุม ด่านหน้าให้การปกป้องระบบข้อมูลองค์กรในระดับเครือข่ายโดยใช้เทคโนโลยีเครือข่ายส่วนตัวเสมือน (VPN) และไฟร์วอลล์แบบกระจาย (ME, FW)
2. ตัวเข้ารหัส IP ฮาร์ดแวร์ "บรอดแบนด์" คลาส หน้าจอ"คือตัวเข้ารหัส IP ฮาร์ดแวร์บรอดแบนด์แกนหลักในประเทศที่ออกแบบมาเพื่อการปกป้องข้อมูลการเข้ารหัสในระบบโทรคมนาคมสมัยใหม่
3. หมายถึง การป้องกันที่ครอบคลุมข้อมูล - SZI จาก NSD ซีเคร็ตเน็ต 7.
มาดูรายละเอียดผลิตภัณฑ์เหล่านี้กันดีกว่า
ผลิตภัณฑ์ซาสตาวาทำงานบนแพลตฟอร์มฮาร์ดแวร์ต่าง ๆ ที่ใช้ระบบปฏิบัติการยอดนิยมมากมาย มีการใช้ทั้งในระบบขนาดใหญ่ที่มีการกระจายทางภูมิศาสตร์ ซึ่งตัวแทน ZASTAVA หลายพันคนทำงานพร้อมกัน และในระบบของธุรกิจขนาดเล็กและขนาดกลาง ซึ่งจำเป็นต้องมีการป้องกันสำหรับคอมพิวเตอร์เพียงไม่กี่เครื่อง แพคเกจซอฟต์แวร์"VPN/FW "ZASTAVA" เวอร์ชัน 5.3 ให้การปกป้องข้อมูลองค์กรและทรัพยากรการประมวลผลในระดับเครือข่ายโดยใช้เทคโนโลยีเครือข่ายส่วนตัวเสมือน (VPN) และไฟร์วอลล์แบบกระจาย (ME)
ZASTAVA 5.3 ให้:
· การป้องกัน คอมพิวเตอร์แต่ละเครื่องรวมถึงอุปกรณ์เคลื่อนที่จากการโจมตีจากเครือข่าย การใช้งานสาธารณะและอินเทอร์เน็ต
· การป้องกันระบบข้อมูลองค์กรหรือส่วนต่างๆ ของระบบจากการโจมตีจากภายนอก
เวอร์ชันของผลิตภัณฑ์ที่ได้รับการรับรองโดย FSB ของสหพันธรัฐรัสเซียนั้นมอบให้กับลูกค้า โซลูชั่นสำเร็จรูปช่วยให้ผลิตภัณฑ์สามารถรวมเข้ากับระบบข้อมูลใด ๆ ได้อย่างราบรื่นโดยไม่จำเป็นต้องได้รับข้อสรุปเพิ่มเติมเกี่ยวกับความถูกต้องของการบูรณาการและรับรองความถูกต้องตามกฎหมายโดยสมบูรณ์ของการใช้เพื่อปกป้องข้อมูลที่เป็นความลับรวมถึงข้อมูลส่วนบุคคล ใบรับรองสามารถใช้ได้ตั้งแต่วันที่ 30 มีนาคม 2554 ถึงวันที่ 30 มีนาคม 2557
สิ่งกีดขวางการเข้ารหัส- นี่คือสมบูรณ์ โซลูชันฮาร์ดแวร์- ทั้งหมด ฟังก์ชั่นการเข้ารหัสและการโต้ตอบของเครือข่ายถูกนำมาใช้โดยใช้วงจรมากกว่าวิธีซอฟต์แวร์ ทางเลือกของการใช้ฮาร์ดแวร์ซึ่งตรงกันข้ามกับอุปกรณ์ทั่วไป (เราเตอร์ crypto) ที่ใช้พีซี วัตถุประสงค์ทั่วไปเกิดจากความต้องการที่จะเอาชนะข้อจำกัดของสถาปัตยกรรมของคอมพิวเตอร์ดังกล่าว ประการแรกคือข้อจำกัดของบัสทั่วไปที่การ์ดอินเทอร์เฟซเครือข่ายเชื่อมต่ออยู่ ถึงอย่างไรก็ตาม ความเร็วสูงการทำงานของบัส PCI และ PCI-X ที่ทันสมัย ลักษณะเฉพาะของการทำงานของตัวเข้ารหัสเครือข่าย (การรับและการส่งแพ็กเก็ตที่สัมพันธ์กับเวลาโดยมีการเปลี่ยนแปลงตามเวลาของการเข้ารหัส/ถอดรหัส) ไม่อนุญาตให้ใช้แบนด์วิดท์ทั้งหมด
โดยทั่วไป หากคุณต้องการเชื่อมต่อเครือข่ายคอมพิวเตอร์ในพื้นที่โดยใช้ช่องทางการสื่อสารที่ไม่ปลอดภัย โดยไม่ต้องกลัวว่าจะละเมิดการรักษาความลับของข้อมูลในระหว่างการส่ง และโดยไม่ต้องใช้ความพยายามอย่างมากในการรับรองความเข้ากันได้ของแอปพลิเคชันเมื่อทำงานบนช่องทางที่เข้ารหัส แผงกั้นได้รับการออกแบบให้เป็นอุปกรณ์ที่ “โปร่งใส” จากมุมมองของเครือข่าย ด้วยเหตุนี้ ในกรณีส่วนใหญ่ เพียงกำหนดค่าตัวเข้ารหัสและรวมไว้ "ในช่วงพัก" ของการเชื่อมต่อของตัวเข้ารหัสก็เพียงพอแล้ว เครือข่ายท้องถิ่นกับ ช่องภายนอกการสื่อสาร
SZI จาก NSD Secret Net 7ออกแบบมาเพื่อป้องกันการเข้าถึงเวิร์กสเตชันและเซิร์ฟเวอร์ที่ทำงานในเครือข่ายท้องถิ่นที่ต่างกันโดยไม่ได้รับอนุญาต ระบบเสริมด้วยกลไกการป้องกันซึ่งเป็นวิธีการป้องกันมาตรฐานของระบบปฏิบัติการและด้วยเหตุนี้จึงเพิ่มความปลอดภัยของระบบข้อมูลอัตโนมัติทั้งหมดขององค์กรโดยรวมโดยมอบโซลูชั่นให้กับงานต่อไปนี้:
v การจัดการสิทธิ์การเข้าถึงและการควบคุมการเข้าถึงข้อมูลที่ได้รับการคุ้มครอง ทรัพยากรซอฟต์แวร์และฮาร์ดแวร์
v ควบคุมการเข้าถึงข้อมูลที่เป็นความลับตามหมวดหมู่ความเป็นส่วนตัว
v การเข้ารหัสไฟล์ที่เก็บไว้ในดิสก์
การควบคุมความสมบูรณ์ของข้อมูล
v การควบคุมการกำหนดค่าฮาร์ดแวร์
v การควบคุมการเข้าถึงอุปกรณ์คอมพิวเตอร์ตามดุลยพินิจ
v การลงทะเบียนและการบัญชีเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยของข้อมูล
v การตรวจสอบสถานะของระบบข้อมูลอัตโนมัติ
v การแบ่งแยกอำนาจของผู้ใช้ตามบทบาท
v การตรวจสอบการกระทำของผู้ใช้ (รวมถึงผู้ดูแลระบบและผู้ตรวจสอบ)
v การบล็อกคอมพิวเตอร์ชั่วคราว
v ลบข้อมูลที่เหลือบน ดิสก์ในเครื่องคอมพิวเตอร์.
ระบบ Secret Net 7 ประกอบด้วยสามส่วนการทำงาน:
· กลไกการป้องกันที่ติดตั้งอยู่ในคอมพิวเตอร์ที่ได้รับการป้องกันทั้งหมด ระบบอัตโนมัติ(AC) และแสดงถึงชุดคุณสมบัติความปลอดภัยเพิ่มเติมที่ขยายคุณสมบัติความปลอดภัยของ Windows OS
· เครื่องมือการจัดการกลไกการรักษาความปลอดภัยที่ให้การจัดการระบบแบบรวมศูนย์และแบบท้องถิ่น
· เครื่องมือการจัดการการดำเนินงานที่ดำเนินการควบคุมการดำเนินงาน (การตรวจสอบ การจัดการ) ของเวิร์กสเตชัน ตลอดจนการรวบรวม การจัดเก็บ และการเก็บถาวรบันทึกของระบบแบบรวมศูนย์
Secret Net 7 ประกอบด้วยสามองค์ประกอบ:
1. ระบบรักษาความปลอดภัยข้อมูล Secret Net 7 - ไคลเอนต์ ติดตั้งบนคอมพิวเตอร์ที่ได้รับการป้องกันทั้งหมด ซอฟต์แวร์นี้มีส่วนประกอบดังต่อไปนี้:
· กลไกการรักษาความปลอดภัยคือชุดของซอฟต์แวร์และฮาร์ดแวร์ที่ปรับแต่งได้ ซึ่งปกป้องทรัพยากรข้อมูลคอมพิวเตอร์จากการเข้าถึงโดยไม่ได้รับอนุญาต อิทธิพลที่เป็นอันตรายหรือไม่ได้ตั้งใจ
· โมดูลสำหรับการใช้นโยบายกลุ่ม
· ตัวแทนเซิร์ฟเวอร์ความปลอดภัย
· เครื่องมือการจัดการในพื้นที่เป็นความสามารถมาตรฐาน ระบบปฏิบัติการเสริมด้วยเครื่องมือ Secret Net 7 สำหรับจัดการการทำงานของคอมพิวเตอร์และผู้ใช้ตลอดจนการตั้งค่ากลไกการป้องกัน
2. SZI Secret 7 - เซิร์ฟเวอร์ความปลอดภัย รวมถึง:
· เซิร์ฟเวอร์ความปลอดภัยที่แท้จริง
· เครื่องมือสำหรับการทำงานกับฐานข้อมูล
3. ระบบรักษาความปลอดภัยข้อมูล Secret Net 7 - เครื่องมือการจัดการ รวมถึง:
· โปรแกรมตรวจสอบ โปรแกรมนี้ได้รับการติดตั้งในที่ทำงานของผู้ดูแลระบบการจัดการการปฏิบัติงาน - พนักงานที่ได้รับอนุญาตให้ตรวจสอบและแก้ไขสถานะของคอมพิวเตอร์ที่ได้รับการป้องกันอย่างรวดเร็วแบบเรียลไทม์
บริษัทต้องการการนำเทคโนโลยีที่คล้ายกันมาใช้