Software at teknikal na antas ng proteksyon. Mga pangunahing kaalaman sa seguridad ng impormasyon. Authority Access Control

Mga hakbang sa software at hardware, ibig sabihin, mga hakbang na naglalayong kontrolin ang mga entidad ng computer - kagamitan, programa at/o data, ang pinakahuli at pinakamahalagang hangganan seguridad ng impormasyon. Alalahanin natin na ang pinsala ay pangunahing sanhi ng mga aksyon ng mga legal na gumagamit, na may kaugnayan sa kung kanino ang mga regulator ng pamamaraan ay hindi epektibo. Ang pangunahing mga kaaway ay ang kawalan ng kakayahan at kawalang-ingat sa pagganap ng mga opisyal na tungkulin, at tanging ang mga hakbang sa software at hardware ang makakalaban sa kanila.

Nakatulong ang mga computer na i-automate ang maraming bahagi ng aktibidad ng tao. Parang natural lang na gustong ipagkatiwala sa kanila ang sariling seguridad. Kahit na ang pisikal na proteksyon ay lalong ipinagkatiwala hindi sa mga security guard, ngunit sa pinagsama-samang mga sistema ng computer, na ginagawang posible na sabay na subaybayan ang mga paggalaw ng mga empleyado kapwa sa buong organisasyon at sa buong espasyo ng impormasyon.

Gayunpaman, dapat itong isaalang-alang na ang mabilis na pag-unlad ng teknolohiya ng impormasyon ay hindi lamang nagbibigay sa mga tagapagtanggol ng mga bagong pagkakataon, ngunit talagang ginagawang mahirap na tiyakin ang maaasahang proteksyon kung ang isa ay umaasa lamang sa mga hakbang sa antas ng software at hardware. Mayroong ilang mga dahilan para dito:

    ang pagtaas ng bilis ng microcircuits, ang pag-unlad ng mga arkitektura na may mataas na antas ng parallelism ay ginagawang posible na pagtagumpayan ang mga hadlang (pangunahin ang cryptographic) gamit ang malupit na puwersa, na dati ay tila hindi malalampasan;

    ang pag-unlad ng mga network at teknolohiya ng network, ang pagtaas ng bilang ng mga koneksyon sa pagitan ng mga sistema ng impormasyon, at ang pagtaas ng kapasidad ng channel ay nagpapalawak sa bilog ng mga umaatake na may teknikal na kakayahan upang ayusin ang mga pag-atake;

    paglitaw ng bago mga serbisyo ng impormasyon humahantong sa pagbuo ng mga bagong kahinaan sa parehong "loob" na mga serbisyo at sa kanilang mga interface;

    pinipilit ng kumpetisyon sa mga tagagawa ng software na bawasan ang oras ng pag-unlad, na humahantong sa pagbaba sa kalidad ng pagsubok at pagpapalabas ng mga produktong may mga depekto sa seguridad;

    Ang paradigm ng patuloy na pagtaas ng lakas ng hardware at software na ipinapataw sa mga consumer ay nagpapahirap na manatili sa loob ng mga limitasyon ng maaasahan, napatunayang mga pagsasaayos nang matagal at, bilang karagdagan, ay sumasalungat sa mga hadlang sa badyet, na binabawasan ang bahagi ng mga alokasyon sa seguridad.

Ang mga nakalistang pagsasaalang-alang ay muling binibigyang-diin ang kahalagahan ng isang pinagsamang diskarte sa seguridad ng impormasyon, pati na rin ang pangangailangan para sa isang nababaluktot na posisyon kapag pumipili at nagpapanatili ng software at hardware regulators.

Ang sentro sa antas ng software at hardware ay ang konsepto ng isang serbisyo sa seguridad.

Kasunod ng object-oriented na diskarte, kapag isinasaalang-alang ang isang sistema ng impormasyon na may isang antas ng detalye, makikita natin ang kabuuan ng mga serbisyo ng impormasyon na ibinibigay nito. Tawagin natin silang basic. Upang gumana ang mga ito at magkaroon ng mga kinakailangang katangian, kailangan ang ilang antas ng karagdagang (auxiliary) na serbisyo - mula sa DBMS at mga monitor ng transaksyon hanggang sa kernel at hardware ng operating system.

Kasama sa mga pantulong na serbisyo ang mga serbisyong panseguridad (natagpuan na namin ang mga ito kapag isinasaalang-alang ang mga pamantayan at mga detalye sa larangan ng seguridad ng impormasyon); Kabilang sa mga ito, pangunahing magiging interesado tayo sa mga serbisyong unibersal at mataas na antas na magagamit ng iba't ibang mga pangunahing at pantulong na serbisyo. Susunod na titingnan natin ang mga sumusunod na serbisyo:

    pagkakakilanlan at pagpapatunay;

    kontrol sa pag-access;

    pag-log at pag-audit;

    pag-encrypt;

    kontrol sa integridad;

    kalasag;

    pagsusuri sa seguridad;

    tinitiyak ang pagpapahintulot sa kasalanan;

    seguridad ligtas na paggaling;

    tunneling;

    Ang mga hakbang sa software at hardware na naglalayong kontrolin ang mga kagamitan sa computer, mga programa at nakaimbak na data ay bumubuo sa pinakahuli, ngunit hindi gaanong mahalagang hangganan ng seguridad ng impormasyon. Sa antas na ito, hindi lamang positibo, kundi pati na rin negatibong kahihinatnan mabilis na pag-unlad ng teknolohiya ng impormasyon. Una, karagdagang mga tampok lumilitaw hindi lamang sa mga espesyalista sa seguridad ng impormasyon, kundi pati na rin sa mga umaatake. Pangalawa, ang mga sistema ng impormasyon ay patuloy na ginagawang moderno, itinatayo muli, at hindi sapat na nasubok na mga bahagi (pangunahin ang software) ay idinagdag sa kanila, na nagpapahirap sa pagsunod sa rehimeng pangseguridad.

    Ang sentro sa antas ng software at hardware ay ang konsepto ng isang serbisyo sa seguridad. Ang mga naturang serbisyo para sa mga institusyon at kumpanya ay kinabibilangan ng: pampublikong sektor kasama ang:

    • pagkakakilanlan at pagpapatunay;
    • kontrol sa pag-access;
    • pag-log at pag-audit;
    • pag-encrypt;
    • kontrol sa integridad;
    • kalasag;
    • pagsusuri sa seguridad;
    • tinitiyak ang pagpapahintulot sa kasalanan;
    • pagtiyak ng ligtas na pagbawi;
    • tunneling;
    • kontrol.

    Sa kasalukuyan, ang pagtaas ng antas ng seguridad ng impormasyon ng mga negosyong pag-aari ng estado ay maaaring makamit sa pamamagitan ng pagpapatupad makabagong teknolohiya proteksyon, na nailalarawan sa pamamagitan ng pagtaas ng functionality, versatility at ang kakayahang ma-port sa anumang platform. Sa lugar teknikal na proteksyon mapagkukunan ng impormasyon, maaari nating makilala ang tatlong pangunahing lugar kung saan nagpapatakbo ang mga negosyong pag-aari ng estado ng Russia:

    • proteksyon sa panloob na network;
    • proteksyon ng pag-access sa Internet at internasyonal pagpapalitan ng impormasyon;
    • proteksyon ng pakikipag-ugnayan sa mga malalayong yunit.

    Kasabay nito, naaalala namin na ang mga ahensya ng gobyerno at mga organisasyon ng gobyerno ay gumagamit lamang ng mga tool sa seguridad ng impormasyon na sertipikado ng FSTEC o ng FSB ng Russian Federation. Upang protektahan ang mga panloob na mapagkukunan, karamihan sa mga ahensya ng pederal at rehiyonal na pamahalaan ay gumagamit ng pagpapatunay ng user at mga mekanismo ng awtorisasyon na binuo sa mga operating system. Ang ilang mga departamento ay may mga espesyal na certified system para sa pagprotekta laban sa hindi awtorisadong pag-access at mga elektronikong kandado, gaya ng "Labyrinth-M", "Accord", SecretNet. Bilang isang patakaran, ang mga lihim na susi sa proteksyon ng impormasyon na "CryptoPro" o matagal nang kilala at sikat pa rin na mga sistema ng pamilyang "Verba" ay naka-install bilang paraan ng pag-encrypt.

    Upang protektahan ang mga workstation at mga panloob na server ng network mula sa mga nakakahamak na programa (mga virus, worm, Mga kabayong Trojan) ang karamihan sa mga organisasyon ng pamahalaan ay gumagamit ng antivirus software software. Kadalasan ito ay ang Russian Kaspersky Anti-Virus o Dr.Web. Gayunpaman, mayroon ding mga solusyon Trend Micro, Symantec, McAfee, Eset.


    Ang paghahati ng network sa mga segment na may iba't ibang mga kinakailangan sa seguridad ng impormasyon ay isinasagawa gamit ang mga mekanismo ng pag-filter ng MAC at IP address sa mga aktibong kagamitan sa network at mga mekanismo ng VLAN. Mga sistema ng pagsubaybay sa patakaran sa seguridad na naghahambing kasalukuyang mga setting mga mekanismo ng proteksyon at subsystem na may mga halaga ng sanggunian (Cisco, "Uryadnik").

    Upang maprotektahan ang perimeter ng network, ang mga ahensya ng gobyerno ay karaniwang gumagamit ng iba't ibang mga sertipikadong mga firewall. Ang mga ito ay pangunahing mga solusyon mula sa Cisco, Aladdin at Check Point. Ngunit mayroon ding mga produkto mula sa iba pang mga tagagawa, lalo na, Novell Border Manager, Microsoft ISA Server, SSPT-1 at SSPT-1M mula sa Central Research Institute ng RTK, Zastava mula sa Elvis-Plus.

    Sa ngayon, ang mga sistema ng pagtuklas at pag-iwas sa pag-atake (tinatawag na HIPS) ay ipinatupad sa napakakaunting organisasyon ng pamahalaan. Karaniwan, ang mga solusyon mula sa Symantec, S.N. Safe'n'Software at Cisco. Sa mga ahensya ng pederal na pamahalaan, ang iba't ibang sistema ng pagsubaybay ay nagbibigay ng proteksyon laban sa spam at pang-aabuso sa Internet. email at trapiko sa web, gaya ng eSafe Gateway, MAILsweeper, WEBsweeper at Websense.

    Sa mga channel ng komunikasyon na may mga malalayong yunit, lamang Mga sistemang Ruso proteksyon ng cryptographic impormasyon at VPN - “Zastava”, VipNet o “Kontinente”.

    11. Legal na balangkas proteksyon ng organisasyon. Mga mapagkukunan ng batas sa larangan ng seguridad ng impormasyon. Mga uri mga dokumento ng regulasyon. Mga halimbawa ng domestic at foreign legislative documents.

    SA Russian Federation Ang mga regulasyong ligal na aksyon sa larangan ng seguridad ng impormasyon ay kinabibilangan ng:

    · Mga batas ng pederal na batas:

    · Mga internasyonal na kasunduan ng Russian Federation;

    · Konstitusyon ng Russian Federation;

    · Mga batas sa pederal na antas (kabilang ang mga pederal na batas sa konstitusyon, mga code);

    · Mga Dekreto ng Pangulo ng Russian Federation;

    · Mga Dekreto ng Pamahalaan ng Russian Federation;

    · Mga regulasyong ligal ng mga pederal na ministri at mga departamento;

    · Mga regulasyong ligal na aksyon ng mga nasasakupang entity ng Russian Federation, mga lokal na pamahalaan, atbp.

    Kasama sa mga dokumento ng regulasyon at pamamaraan

    1. Mga dokumentong pamamaraan mga ahensya ng gobyerno Russia:

    · Doktrina ng seguridad ng impormasyon ng Russian Federation;

    · Mga gabay na dokumento ng FSTEC (State Technical Commission of Russia);

    · Mga order sa FSB;

    2. Mga pamantayan sa seguridad ng impormasyon, kung saan ang mga sumusunod ay nakikilala:

    · Mga internasyonal na pamantayan;

    · Mga pamantayan ng estado (pambansa) ng Russian Federation;

    · Mga tagubiling pamamaraan.

    Mga uri ng mga dokumento ng regulasyon:

    · Mga regulasyong ligal na kilos: Mga Batas ng Russian Federation (Sa seguridad), Pederal na batas (Sa personal na data, Sa impormasyon at mga teknolohiya ng impormasyon, Sa mga elektronikong digital na lagda), Dekreto ng Pangulo ng Russian Federation (Sa pag-apruba ng listahan ng impormasyon kumpidensyal), Dekreto ng Pamahalaan (Sa Certification of Information Security Tools, On Licensing);

    · Mga dokumentong pang-regulatoryo, pamamaraan at pamamaraan: Doktrina, Mga Kautusan ng FSTEC, Mga Regulasyon sa sertipikasyon ng mga kagamitang pang-proteksyon ayon sa mga kinakailangan sa kaligtasan, Mga regulasyon sa sertipikasyon ng mga bagay, Mga probisyon ng modelo, Mga dokumento sa paggabay, Mga Paraan (pagtatasa ng seguridad), Dokumento ng regulasyon at pamamaraan;

    · Mga Pamantayan: GOST, RD, SanPin (Mga kinakailangan sa kalinisan para sa mga terminal ng pagpapakita ng video), SNiP (proteksyon sa ingay).

    Halimbawa ng mga dokumentong pambatasan sa ibang bansa:

    Estados Unidos ng Amerika

    Sa ngayon, ang Estados Unidos ang nasasakupan ng ang pinakamalaking bilang mga dokumento sa System (higit sa 12,000 mga dokumento).

    Kasama sa database ang mga dokumento mula sa dalawang pangunahing pederal na mapagkukunang legal ng Amerika: ang US Code (USC) at ang Code of Federal Regulations (CFR). Ang una ay isang sistematikong hanay ng pederal na batas ayon sa batas at binubuo ng 52 mga seksyon na nakatuon sa regulasyon ng ilang mga legal na sangay o institusyon.

    Kasama sa System ang tatlong seksyon ng US Code: Title 26 - US Internal Revenue Code, Title 12 - Banks and Banking, at Title 15 - Commerce and Trade, na kinabibilangan ng mga aktibidad sa pagsasaayos sa securities market. Ang Kodigo ay muling ibinibigay ng Kongreso bawat 6 na taon at inilathala ng US Code Service. Hindi tulad ng karamihan mga mapagkukunan na magagamit sa publiko, ang sistema ng WBL ay naglalaman hindi lamang ng teksto ng mga dokumentong ito, kundi pati na rin ang kasaysayan ng lahat ng mga susog na ginawa sa kanila, pati na rin ang mga tala at ang pinakamahalagang hudisyal na mga nauna sa lugar na ito.

    Kasama rin sa System ang mga by-law na inisyu ng mga pederal na awtoridad sangay ng ehekutibo at kasama sa Code of Federal Regulations Ang mga ito ay nai-publish Federal Register(Federal Register) - isang organ ng National Archives Administration.

    12. Pagbuo ng isang patakaran sa seguridad. Mga pangunahing probisyon ng seguridad ng impormasyon. Saklaw ng aplikasyon. Mga layunin at layunin ng pagtiyak ng seguridad ng impormasyon. Pamamahagi ng mga tungkulin at responsibilidad. Pangkalahatang responsibilidad.

    Pag-unlad.

    Una kailangan mong magsagawa ng pag-audit mga proseso ng impormasyon mga kumpanya, kilalanin nang kritikal mahalagang impormasyon na kailangang protektahan. Ang pag-audit ng mga proseso ng impormasyon ay dapat magtapos sa pagtukoy sa listahan kumpidensyal na impormasyon mga negosyo, mga lugar kung saan ipinakalat ang impormasyong ito, mga taong pinapayagang ma-access ito, pati na rin ang mga kahihinatnan ng pagkawala (pagbabaluktot) ng impormasyong ito. Matapos ipatupad ang yugtong ito, nagiging malinaw kung ano ang protektahan, kung saan protektahan at kanino: pagkatapos ng lahat, sa napakaraming mga insidente, ang mga lumalabag ay magiging - kusa o ayaw - ang mga empleyado ng kumpanya mismo. At walang magagawa tungkol dito: kailangan mong tanggapin ito para sa ipinagkaloob. Ang iba't ibang banta sa seguridad ay maaaring magtalaga ng isang halaga ng posibilidad para sa kanilang paglitaw. Sa pamamagitan ng pagpaparami ng posibilidad ng isang banta na matanto sa pinsalang dulot ng pagpapatupad na ito, nakukuha natin ang panganib ng banta. Pagkatapos nito, dapat kang magsimulang bumuo ng isang patakaran sa seguridad.

    Ang patakaran sa seguridad ay isang "nangungunang" antas ng dokumento, na dapat magpahiwatig ng:

    · mga taong responsable para sa kaligtasan ng kumpanya;

    · kapangyarihan at pananagutan ng mga departamento at serbisyo tungkol sa seguridad;

    · pag-aayos ng pagpasok ng mga bagong empleyado at ang kanilang pagpapaalis;

    · mga panuntunan para sa paglilimita sa access ng empleyado sa mga mapagkukunan ng impormasyon;

    · organisasyon ng access control, pagpaparehistro ng mga empleyado at mga bisita;

    · paggamit ng mga tool sa proteksyon ng software at hardware;

    · iba pang pangkalahatang pangangailangan.

    Ang mga gastos sa pagtiyak ng seguridad ng impormasyon ay hindi dapat mas malaki kaysa sa halaga ng potensyal na pinsala mula sa pagkawala nito. Ang pagsusuri sa panganib na isinagawa sa yugto ng pag-audit ay nagbibigay-daan sa amin na i-ranggo ang mga ito ayon sa laki at protektahan una sa lahat hindi lamang ang mga pinaka-mahina, kundi pati na rin ang mga nagpoproseso ng karamihan. mahalagang impormasyon mga plot. Pamantayan ng ISO Binibigyang-daan ka ng 17799 na makuha quantification komprehensibong seguridad:

    Ang pagbuo ng isang patakaran sa seguridad ay nagsasangkot ng ilang mga paunang hakbang:

    · pagtatasa ng personal (subjective) na saloobin sa mga panganib ng negosyo ng mga may-ari at tagapamahala nito na responsable para sa paggana at pagganap ng negosyo bilang isang buo o indibidwal na mga lugar ng aktibidad nito;

    · pagsusuri ng mga potensyal na mahina mga bagay ng impormasyon;

    · pagtukoy ng mga banta sa mahahalagang bagay ng impormasyon (impormasyon, mga sistema ng impormasyon, proseso ng pagproseso ng impormasyon) at pagtatasa ng mga kaukulang panganib.

    Kapag bumubuo ng mga patakaran sa seguridad sa lahat ng antas, dapat kang sumunod sa mga sumusunod na pangunahing panuntunan:

    · Mga patakaran sa seguridad para sa higit pa mababang antas dapat ganap na sumunod sa mga nauugnay na patakaran pinakamataas na antas, pati na rin ang kasalukuyang batas at mga kinakailangan ng mga ahensya ng gobyerno.

    · Ang teksto ng patakaran sa seguridad ay dapat na naglalaman lamang ng malinaw at hindi malabo na wika na hindi nagpapahintulot ng dobleng interpretasyon.

    · Ang teksto ng patakaran sa seguridad ay dapat na maunawaan ng mga empleyado kung kanino ito tinutugunan.

    Heneral ikot ng buhay Kasama sa patakaran sa seguridad ng impormasyon ang ilang pangunahing hakbang.

    · Pagsasagawa ng isang paunang pag-aaral ng estado ng seguridad ng impormasyon.

    · Ang aktwal na pagbuo ng isang patakaran sa seguridad.

    · Pagpapatupad ng mga binuong patakaran sa seguridad.

    · Pagsusuri ng pagsunod sa mga kinakailangan ng ipinatupad na patakaran sa seguridad at pagbabalangkas ng mga kinakailangan para sa karagdagang pagpapabuti nito (bumalik sa unang yugto, sa isang bagong yugto ng pagpapabuti).

    Patakaran sa Seguridad ng Organisasyon(Ingles) mga patakaran sa seguridad ng organisasyon) - isang hanay ng mga alituntunin, tuntunin, pamamaraan at mga praktikal na pamamaraan sa larangan ng seguridad, na kumokontrol sa pamamahala, proteksyon at pamamahagi ng mahalagang impormasyon.

    Sa pangkalahatang kaso, ang naturang hanay ng mga panuntunan ay kumakatawan sa isang tiyak na pag-andar produkto ng software, na kinakailangan para sa paggamit nito sa isang partikular na organisasyon. Kung lalapit tayo sa patakaran sa seguridad nang mas pormal, kung gayon ito ay isang hanay ng ilang mga kinakailangan para sa paggana ng sistema ng seguridad, na nakapaloob sa mga dokumento ng departamento.

    Ang patakaran sa seguridad ay nakasalalay sa:

    • mula sa isang partikular na teknolohiya sa pagpoproseso ng impormasyon;
    • mula sa teknikal at software;
    • mula sa lokasyon ng organisasyon;

    Ang proteksyon ng isang malaking sistema ng impormasyon ay hindi malulutas nang walang mahusay na binuo na dokumentasyon ng seguridad ng impormasyon - Nakakatulong ang Patakaran sa Seguridad

    · Tiyakin na walang mahalagang bagay ang napapansin;

    · magtatag ng malinaw na mga panuntunan sa kaligtasan.

    Tanging isang komprehensibo at matipid na sistema ng proteksyon ang magiging epektibo, at ang sistema ng impormasyon mismo sa kasong ito ay magiging ligtas.

    Dapat ilarawan ng dokumento ng patakaran sa seguridad ang mga layunin at layunin ng seguridad ng impormasyon, pati na rin ang mahahalagang asset ng kumpanya na nangangailangan ng proteksyon. Mga layunin sa seguridad ng impormasyon, bilang panuntunan, ay upang matiyak ang pagiging kompidensiyal, integridad at pagkakaroon ng mga asset ng impormasyon, pati na rin ang pagtiyak sa pagpapatuloy ng negosyo ng kumpanya.

    Mga layunin sa seguridad ng impormasyon ay ang lahat ng mga aksyon na kailangang gawin upang makamit ang mga layunin. Sa partikular, kinakailangan upang malutas ang mga problema tulad ng pagsusuri at pamamahala mga panganib sa impormasyon, pagsisiyasat ng mga insidente sa seguridad ng impormasyon, pagbuo at pagpapatupad ng mga plano sa pagpapatuloy ng negosyo, advanced na pagsasanay ng mga empleyado ng kumpanya sa larangan ng seguridad ng impormasyon, atbp.

    Ang pag-uuri ng mga hakbang sa proteksyon ay maaaring iharap sa anyo ng tatlong Antas.

    Legislative level. Ang Criminal Code ng Russian Federation ay mayroong Kabanata 28. Mga krimen sa larangan ng impormasyon sa computer. Naglalaman ito ng sumusunod na tatlong artikulo:

    Artikulo 272. Ilegal na pag-access sa impormasyon sa computer;

    Artikulo 273. Paglikha, paggamit at pamamahagi ng mga malisyosong programa sa kompyuter;

    Artikulo 274. Paglabag sa mga patakaran para sa pagpapatakbo ng mga computer, computer system o kanilang mga network.

    Administratibo at mga antas ng pamamaraan. Sa mga antas ng administratibo at pamamaraan, isang patakaran sa seguridad at isang hanay ng mga pamamaraan ay nabuo na tumutukoy sa mga aksyon ng mga tauhan sa normal at kritikal na mga sitwasyon. Ang antas na ito ay naitala sa mga alituntuning inisyu ng State Technical Commission ng Russian Federation at FAPSI.

    Antas ng software at hardware. Kasama sa antas na ito ang software at hardware na bumubuo sa teknolohiya ng seguridad ng impormasyon. Kabilang dito ang pagkakakilanlan ng user, kontrol sa pag-access, cryptography, shielding, at marami pang iba.

    At kung ang pambatasan at administratibong antas ng proteksyon ay hindi nakasalalay sa isang partikular na gumagamit kagamitan sa kompyuter, pagkatapos ay software teknikal na antas Ang bawat gumagamit ay maaari at dapat ayusin ang proteksyon ng impormasyon sa kanilang computer.

    1.3. Antas ng proteksyon ng software at hardware

    Hindi namin isasaalang-alang ang umiiral na kumplikadong software at hardware na mga cryptographic system na naglilimita sa pag-access sa impormasyon sa pamamagitan ng mga cipher, gayundin ang mga lihim na programa sa pagsulat na maaaring "matunaw" ang mga kumpidensyal na materyales sa malalaking graphic at sound file. Ang paggamit ng mga naturang programa ay mabibigyang katwiran lamang sa mga pambihirang kaso.

    Ang isang ordinaryong user, tulad mo at ako, bilang panuntunan, ay hindi isang propesyonal na encryptor o programmer, kaya kami ay interesado sa "improvised" na mga tool sa seguridad ng impormasyon. Tingnan natin ang mga tool sa seguridad ng impormasyon at subukang suriin ang pagiging maaasahan ng mga ito. Pagkatapos ng lahat, ang pag-alam sa mga mahihinang punto ng depensa ay makapagliligtas sa atin mula sa maraming kaguluhan.

    Ang unang bagay na karaniwang ginagawa ng isang gumagamit ng personal na computer ay magtakda ng dalawang password: isang password sa mga setting ng BIOS at ang isa sa screen saver. Ang proteksyon sa antas ng BIOS ay mangangailangan sa iyo na magpasok ng isang password kapag nag-boot ka sa computer, at ang proteksyon sa screen saver ay hahadlang sa pag-access sa impormasyon pagkatapos ng isang tiyak na tagal ng panahon na iyong itinakda ay lumipas kapag ang computer ay hindi aktibo.

    Ang pagtatakda ng isang password sa antas ng BIOS ay isang medyo maselan na proseso na nangangailangan ng ilang mga kasanayan sa pagtatrabaho sa mga setting ng computer, kaya ipinapayong itakda ito sa isang kasamahan na may sapat na karanasan sa mga naturang aktibidad. Ang pagtatakda ng password para sa screen saver ay hindi napakahirap, at maaaring itakda ito mismo ng user.

    Upang magtakda ng password para sa screensaver, dapat mong gawin ang mga sumusunod na hakbang: i-click ang Start button, piliin ang Mga Setting at Control Panel, i-double click ang icon ng Screen at sa window ng Display Properties na bubukas, piliin ang tab na Screensaver. Itakda ang uri ng screensaver, itakda ang agwat ng oras (ipagpalagay na 1 minuto), lagyan ng tsek ang checkbox ng Password at i-click ang pindutang Baguhin.

    Sa bubukas na window ng Change Password, ilagay ang screen saver password, pagkatapos ay ipasok itong muli upang kumpirmahin at i-click ang OK.

    Kung magpasya kang alisin ang password para sa screensaver sa iyong sarili, pagkatapos ay sundin ang lahat ng mga pamamaraan sa itaas, tanging sa window ng Change Password ay hindi ka dapat mag-type ng anuman, ngunit i-click lamang ang OK na pindutan. Aalisin ang password.

    Ang unang paraan ay ang paggamit ng isa sa mga butas na kadalasang ibinibigay ng mga tagagawa ng motherboard, ang tinatawag na "unibersal na password para sa mga taong malilimot." Ang isang ordinaryong gumagamit, na kung saan kami, bilang panuntunan, ay hindi alam ito.

    Maaari mong gamitin ang pangalawang paraan ng pag-hack ng lihim: tanggalin ang casing ng computer, alisin ang baterya ng lithium sa system board nang humigit-kumulang 20...30 minuto, at pagkatapos ay ipasok ito pabalik. Pagkatapos ng operasyong ito, 99% ay malilimutan ng BIOS ang lahat ng mga password at setting ng user. Sa pamamagitan ng paraan, kung ikaw mismo ay nakalimutan ang iyong password, na madalas na nangyayari sa pagsasanay, maaari mong gamitin ang pamamaraang ito.

    Ang ikatlong paraan para malaman ng isang tagalabas ang aming protektadong impormasyon ay alisin ang hard drive mula sa computer at ikonekta ito sa isa pang computer bilang pangalawang device. At pagkatapos ay maaari mong basahin at kopyahin ang mga lihim ng ibang tao nang walang anumang problema. Sa isang tiyak na kasanayan, ang pamamaraang ito ay tumatagal ng 15...20 minuto.

    Kaya, sa iyong mahabang pagkawala, subukang pigilan lamang ang mga hindi awtorisadong tao na makapasok sa silid kung saan matatagpuan ang computer.

    Ang mga hakbang sa software at hardware ay naglalayong masubaybayan ang mga kagamitan, programa, data at form ang huling hangganan IB. Ang sentro sa antas ng software at hardware ay ang konsepto ng isang serbisyo sa seguridad. Ang mga sumusunod na serbisyo ay umiiral:
    1) Pagkilala at pagpapatunay
    2) Kontrol sa pag-access
    3) Pag-log at pag-audit
    4) Pag-encrypt
    5) Kontrol sa integridad
    6) Panangga
    7) Pagsusuri ng seguridad
    8) Pagtitiyak ng fault tolerance
    9) Tiyakin ang ligtas na paggaling
    10) Tunneling
    11) Pamamahala
    Maaaring tawagan ang hanay ng mga serbisyong nakalista sa itaas buong set at ito ay pinaniniwalaan na ito ay sapat na upang magbigay ng maaasahang proteksyon sa antas ng software. Ang mga serbisyo sa seguridad ay inuri ayon sa ilang uri.
    Identification at Authentication. Ang pagkakakilanlan ay nagpapahintulot sa paksa na pangalanan ang kanyang sarili. Tinitiyak ng authentication na ang paksa ay kung sino ang sinasabi niyang siya (authentication). Maaaring one-way ang pagpapatunay - kapag napatunayan ng kliyente ang pagiging tunay nito, o two-way. Ang serbisyong pinag-uusapan ay may 2 aspeto: 1) kung ano ang nagsisilbing isang authenticator 2) at kung paano pinoprotektahan ang pagpapalitan ng data ng pagpapatunay at pagkakakilanlan.
    Ang isang user authenticator ay maaaring isa sa mga sumusunod na entity: 1) isang bagay na alam niya (password, key); 2) isang bagay na pag-aari niya (access card); 3) isang bagay na bahagi ng kanyang sarili (mga fingerprint).
    Pagpapatunay ng password.
    Ang pinaka-user-friendly na paraan ng proteksyon. Mayroong ilang mga karaniwang pamamaraan na ginagamit ng isang umaatake upang i-bypass proteksyon ng password. Para sa bawat isa sa mga diskarteng ito, isang countermeasure ang binuo. Batay sa mga mekanismong ito, maaaring buuin ang mga panuntunan sa pagpili secure na password at nagtatrabaho sa kanya.
    Mga paraan ng pag-atake ng password:
    1) Overkill. Ang pinakasimpleng pag-atake sa isang password, sinusubukan ang lahat ng posibleng kumbinasyon at mga character. Modernong paraan maaaring sumubok ng password na 5-6 na character sa loob ng ilang segundo. Ang ilang mga sistema ay hindi pinapayagan ang gayong pag-atake na maisagawa dahil ang mga ito ay tumutugon sa ilang mga maling pagtatangka ng password.
    Mekanismo ng seguridad: haba ng password. Ang isang modernong password ay dapat na hindi bababa sa 12 character ang haba.
    2) Maghanap sa isang limitadong hanay. Alam na maraming mga gumagamit, kapag pumipili ng isang password, ay gumagamit ng mga character na nasa parehong hanay. Ang ganitong password ay mas madaling matandaan, ngunit ang gawain ng kaaway ay lubos na pinasimple. Hayaang n=70 ang bilang ng mga character na maaaring gamitin sa password. Sa mga ito, 10 ay mga numero. 30 - mga titik ng alpabetong Ruso 30 - mga titik ng isa pang alpabeto. Hayaang ang haba ng password ay m=4. Pagkatapos ang bilang ng mga kumbinasyon ay 70^4 = 24010000.
    10^4+30^4+30^4= 1630000.
    Kaya, kung ang umaatake ay naging tama, kung gayon ang bilang ng mga kumbinasyon ay nabawasan ng 140 beses. Kasama sa mga programa sa paghula ng password ang isang opsyon na nagbibigay-daan sa iyong gumamit ng mga numero kapag nanghuhula ng password.
    Mekanismo ng Seguridad: Gumamit ng mga character mula sa iba't ibang saklaw.
    3) Pag-atake sa diksyunaryo. Ganap na walang kabuluhan random na password mahirap matandaan, at para sa maraming user, ang pagkalimot ng password ay mas malamang kaysa sa pag-atake. Samakatuwid, ang isang salita ay madalas na pinipili. Sa kasong ito, ang brute force na gawain ay lubos na pinasimple para sa umaatake, dahil ang programa ng awtomatikong pagpili ay maaaring pumili ng mga salita na nilalaman sa file ng diksyunaryo. Mayroong isang malaking bilang ng mga diksyunaryo ng iba't ibang uri, iba't ibang wika. Ang isang diksyunaryo at 200 libong mga salita ay nasuri sa loob ng ilang segundo. Maraming mga gumagamit ang naniniwala na kung ilalapat mo ang ilan simpleng conversion(sumulat nang paatras, sa mga letrang Ruso sa English na layout), ito ay magpapataas ng seguridad, ngunit kumpara sa simpleng brute force, ang pagpili ng mga salita na may pagbabago ay ginagawang magagawa ang gawain.
    Malakas na password- hindi dapat batay sa mga salita natural na wika
    4) Pag-atake ni personal na diksyunaryo. Maaaring samantalahin ng isang umaatake ang katotohanan na para mas madaling matandaan, pinipili ng ilang user ang personal na data. Kung kailangang i-bypass ng isang attacker ang isang password, maaari siyang mag-compile ng diksyunaryo ng personal na data.
    Ang isang malakas na password ay dapat na ganap na walang kahulugan.
    5) Koleksyon ng mga password na nakaimbak sa mga lugar na naa-access ng publiko. Sa maraming organisasyon, ang mga password ay nilikha at ipinamamahagi ng administrator. Gayunpaman, dahil mahirap matandaan ang password, madalas itong isulat ng mga user sa kamay. Ang problema ay madalas na hindi sineseryoso ng mga user ang seguridad ng kanilang password ng serbisyo. Naniniwala sila na dahil ang bawat isa sa organisasyon ay kanilang sarili, ang walang ingat na pag-iimbak ay hindi magdudulot ng pinsala.
    Ang password ay hindi dapat itago sa isang lugar na naa-access ng publiko. Ang perpektong opsyon ay tandaan at hindi iimbak ito kahit saan.
    6) Social engineering. Pagmamanipula ng mga tao upang tumagos sa mga protektadong sistema. Kung hindi mahulaan o manakaw ang isang password, maaaring subukan ng isang attacker na pilitin ang user na ibunyag ang password mismo. Mga klasikong taktika social engineering: pagtawag sa biktima, sa ngalan ng isang taong may karapatang malaman ang hinihinging impormasyon. Sa pamamaraang panlipunan ang engineering ay: pag-akit sa isang pekeng site, pagbubukas ng link. Ang mga diskarte na ginagamit ng mga umaatake ay maaaring ibang-iba.
    Mga panuntunan sa seguridad: hindi mo maaaring ibunyag ang iyong password sa mga hindi awtorisadong tao, kahit na ang taong iyon ay may karapatang malaman ito.
    7) Phishing. Ang pamamaraan para sa pagkuha ng password ng mga random na gumagamit ng Internet. Karaniwan itong nagsasangkot ng paglikha ng mga pekeng site na nanlinlang sa gumagamit sa pagpasok ng kanilang password. Halimbawa, para makuha ang password para sa account sa bangko, ang isang website ay maaaring gawin gamit ang disenyo ng parehong website. Ang mga email na may nilalaman gaya ng check sa iyong account, na naglalaman ng link sa isang pekeng site, ay maaari ding ipadala. Kapag napunta ang isang kliyente sa website ng umaatake, sinenyasan din siyang magpasok ng username at password. Ang impormasyong ito ay nakaimbak sa database ng umaatake. Pagkatapos nito ay ipinadala ang kliyente sa home page ng site na ito.
    Maraming user ang gumagamit ng parehong password para sa iba't ibang mapagkukunan. Bilang resulta, sa pamamagitan ng pagsasagawa ng isang pag-atake sa isang hindi gaanong protektadong mapagkukunan, maaari kang makakuha ng access sa isang mas protektado. Halimbawa, ang isang website ay ginagawa na kawili-wili sa isang partikular na lupon ng mga user. Ang impormasyon tungkol sa site na ito ay ipinapaalam sa mga potensyal na biktima. Ang gumagamit ay nagrerehistro at nag-isip ng isang password. Pagkatapos ay kailangang makita ng umaatake kung ang password na ito ay angkop para sa iba pang mga mapagkukunan.
    Upang labanan ang mga banta sa phishing, kailangan mong suriin ang mga address ng website bago ilagay ang iyong password. Mas mainam na i-bookmark ang address at hindi mag-click sa mga link mula sa mga email. Inirerekomenda na gamitin iba't ibang mga password para ma-access sa iba't ibang serbisyo.
    Kaya, ipinapahiwatig namin ang mga hakbang upang madagdagan ang pagiging maaasahan ng proteksyon:
    1) Pagpapataw ng mga teknikal na paghihigpit. Sa haba at nilalaman ng password
    2) Pamamahala ng pag-expire ng password at pana-panahong pagbabago.
    3) Paghihigpit sa pag-access sa mga tuntunin ng password.
    4) Tumaas na bilang ng mga nabigong login
    5) Pagsasanay sa gumagamit
    6) Paggamit ng software password generators.
    Ang mga password na tinalakay sa itaas ay matatawag na magagamit muli. Ang kanilang pagsisiwalat ay nagpapahintulot sa isang umaatake na kumilos sa ngalan ng isang lehitimong user. Higit pa malakas na lunas mula sa punto ng seguridad, ginagamit ang isang beses na password.



    Mga minsanang password. Mga isang beses na password – valid ang mga password para sa isang session ng pagpapatunay. Ang bisa ng isang beses na password ay maaaring limitado sa isang tiyak na tagal ng panahon. Ang bentahe ng naturang password ay hindi na ito magagamit muli. Ang isang tao ay hindi matandaan ang isang beses na password, kaya ang mga karagdagang teknolohiya ay kinakailangan upang ipatupad ang mekanismong ito.
    Mga pamamaraan para sa paglikha at pamamahagi ng isang beses na password:
    Ginagamit ang mga algorithm para sa paglikha ng isang beses na password random na mga numero. Ito ay kinakailangan upang imposibleng mahulaan ang susunod na password. Ang mga partikular na algorithm para sa paglikha ng mga naturang password ay maaaring mag-iba nang malaki sa detalye.
    Upang lumikha ng isang beses na mga password, ang mga sumusunod na pangunahing diskarte ay maaaring makilala:
    1) Mga algorithm na gumagamit ng mga mathematical algorithm upang lumikha ng bagong password.
    2) Mga diskarte batay sa pag-synchronize ng oras sa pagitan ng server at client.
    3) Mga password gamit ang mat algorithm, kung saan Bagong Password query o counter based.
    meron iba't ibang paraan sabihin sa user ang sumusunod na password. Gumagamit ang ilang system ng mga espesyal na electronic token na dala ng mga user. Ang mga system ay maaari ding gumamit ng mga program na inilulunsad ng user mula sa isang mobile phone. Ang ilang mga system ay bumubuo ng isang beses na password sa server, pagkatapos ay ipadala ang mga ito sa user gamit ang mga third-party na channel, gaya ng SMS.
    Paglikha ng isang beses na password batay sa mga algorithm ng matematika.
    Isaalang-alang natin ang isang diskarte gamit ang isang one-way na function f. Nagsisimulang gumana ang system mula sa inisyal na numero s. Ang password na f(s), f(f(s)), f(f(f(s))) ay nabuo. Ang bawat password ay ipinamamahagi sa reverse order, simula sa huli at nagtatapos sa f(s). Kung ang isang umaatake ay namamahala upang makakuha ng isang beses na password, pagkatapos ay upang kalkulahin ang susunod na password sa chain, ito ay kinakailangan upang makahanap ng isang paraan upang makalkula ang kabaligtaran na function. At dahil f ay isang panig, kung gayon ito ay imposible. Kung ang f ay isang cryptographic cache function, na siyang karaniwang ginagamit, kung gayon ito ay isang teknikal na imposibleng gawain.
    Pag-synchronize ng oras.
    Nauugnay sa mga pisikal na token ng hardware. Ang isang tumpak na orasan ay binuo sa loob ng token, na naka-synchronize sa orasan sa server. At sa ganitong mga sistema, ang oras ay isang mahalagang bahagi ng isang beses na algorithm ng pagbuo ng password, dahil ang pagbuo ng password ay batay sa kasalukuyang oras. Gayundin para sa naka-synchronize na isang beses na mga password ay maaaring gamitin mga mobile phone. Ang paggamit ng isang beses na password na may hamon ay nangangailangan ng user na magbigay ng time-synchronized na hamon.
    Serbisyo sa pagpapatunay ng Kerberos.
    Ang server ay idinisenyo upang malutas ang sumusunod na problema: Mayroong isang bukas, hindi secure na network sa mga node kung saan mayroong mga paksa. Ang bawat paksa ay may sikretong susi. Upang mapatunayan ng paksang A ang kanyang pagiging tunay sa paksang B, hindi lamang niya dapat kilalanin ang kanyang sarili, kundi pati na rin ipakita ang kaalaman sa sikretong susi. Hindi basta basta sasabihin ni A kay B ang kanyang sikretong susi, dahil bukas ang network at hindi ito alam ni A. Ang ilang paraan ng pagpapakita ng kaalaman sa sikretong susi ay kinakailangan. At ang Kerberos system ay isang 3rd party na may hawak ng mga lihim na susi ng lahat ng mga punong-guro at tumutulong sa kanila sa pairwise na pagpapatotoo.
    Upang makakuha ng access sa B, nagpapadala si A ng kahilingan na naglalaman ng impormasyon tungkol sa kanya at sa hiniling na serbisyo. Bilang tugon, nagpapadala si Kerberos ng tinatawag na ticket, na naka-encrypt gamit ang pribadong key ng server, at isang kopya ng bahagi ng ticket, na naka-encrypt gamit ang pribadong key ni A ay dapat mag-decrypt ng 2 piraso ng data at ipadala ito sa server. Ang server, na na-decrypt ang tiket, ay maaaring ihambing ang mga nilalaman nito karagdagang impormasyon, na ipinadala ng kliyenteng A. Ipinapahiwatig ng tugma na nagawang i-decrypt ni A ang data na inilaan para sa kanya, iyon ay, ipinakita niya ang kaalaman sa lihim na susi. Ibig sabihin, ibig sabihin, kung sino ang sinasabi niyang siya. Mga lihim na susi dito sila ay hindi ipinadala sa network, ngunit ginamit lamang para sa pag-verify.
    Pagpapatunay at pagkakakilanlan gamit ang biometric data.
    Ang biometrics ay isang hanay ng pagpapatunay at pagkakakilanlan batay sa kanilang mga katangiang pisyolohikal at asal. Ang mga katangian ng physiological ay kinabibilangan ng: mga fingerprint, retina. Kasama sa mga katangian ng pag-uugali ang: manu-manong lagda, istilo ng pagtatrabaho gamit ang keyboard. Sa intersection ng pisyolohiya at pag-uugali ay ang mga tampok ng pagkilala sa boses at pagsasalita.
    Sa pangkalahatan, ang pagtatrabaho sa biometric data ay isinaayos tulad ng sumusunod: Una, ang isang database ng mga katangian ng mga potensyal na user ay nilikha at pinananatili. Upang gawin ito, ang mga biometric na katangian ay kinuha, pinoproseso, at ang mga resulta ay ipinasok sa database. Sa hinaharap, para sa pagpapatunay, ang proseso ng pagkolekta at pagproseso ng data ay paulit-ulit, pagkatapos nito ang isang paghahanap ay magaganap sa database ng template. Kung matagumpay ang paghahanap, naitatag ang pagkakakilanlan. Mga pamamaraan ng biometric hindi mas maaasahan kaysa sa mga database ng template. Ang biometric data ng isang tao ay nagbabago at ang template database ay kailangang mapanatili.

    Mga modelo ng kontrol sa pag-access
    Ang modelo ng seguridad ay gumaganap ng isang malaking papel sa pormal na paraan ng pagbuo ng system. Tinutukoy nito ang daloy ng impormasyong pinapayagan sa system at ang mga patakaran para sa pag-access sa impormasyong ito.
    Isaalang-alang natin ang 3 mga modelo:
    1) Discretionary access model. Sa loob ng balangkas ng modelong ito, ang pag-access ng mga paksa (mga user, application) sa mga bagay (mga file, application) ay kinokontrol. Para sa bawat bagay mayroong isang paksa ng may-ari, na tumutukoy kung sino ang may access sa bagay, pati na rin ang mga karapatan na pinapayagan. Ang mga pangunahing operasyon sa pag-access ay basahin, isulat at isagawa. Kaya, ang discretionary access model para sa bawat subject-object pair ay nagtatatag ng isang set ng mga pinapahintulutang operasyon. Kapag hiniling ang pag-access sa isang bagay, hinahanap ng system ang paksa sa listahan ng mga karapatan sa pag-access ng object at pinapayagan ang pag-access kung ang paksa ay nasa listahan at kasama sa pinapayagang uri ng pag-access ang kinakailangang uri. Klasikong sistema sarado ang discretionary access, i.e. ang bagay sa una ay hindi naa-access ng sinuman, at ang listahan ng pag-access ay naglalarawan ng isang hanay ng mga pahintulot. Ang access model na ito ay makikita sa Windows at Linux operating system. Ang isa sa mga disadvantages ng modelo ay hindi lahat ng bagay ay maaaring italaga ng isang may-ari. Gayundin, na may malaking bilang ng mga paksang bagay sa system, nangyayari ang pangangasiwa malaking dami tulad ng mga pares, na nagpapahirap sa trabaho.
    2) Bell-LaPadula model (mandatory access control). Ang modelong ito ay nagbibigay ng mga kahulugan ng isang bagay, paksa at mga karapatan sa pag-access, pati na rin ang mathematical apparatus para sa kanilang paglalarawan. Ang modelong ito ay pangunahing kilala para sa 2 panuntunan sa seguridad, ang isa ay nauugnay sa pagbabasa at ang isa sa pagsusulat ng data. Hayaang mayroong 2 uri ng mga file sa system: lihim at hindi lihim. At ang gumagamit ay kabilang sa 2 kategorya: na may antas ng pag-access sa mga hindi lihim na file (hindi lihim), sa lihim (lihim). Panuntunan 1: Ang isang hindi lihim na user o isang prosesong tumatakbo sa ngalan niya ay hindi makakabasa ng data mula sa isang lihim na file.
    Panuntunan 2: Ang isang user na may lihim na antas ng pag-access sa file ay hindi maaaring magsulat ng data sa mga hindi lihim na file. mga sikretong file.
    Ang isinasaalang-alang na mga panuntunan ay madaling ipamahagi sa isang sistema kung saan mayroong higit sa 2 antas ng pag-access.
    Pangkalahatang tuntunin: Mababasa lamang ng mga user ang mga dokumento hanggang sa kanilang antas ng seguridad at hindi makakagawa ng mga dokumentong mas mababa sa kanilang antas ng seguridad.
    Ang modelong ito mathematical. Ang pangunahing diin ay sa pagiging kompidensiyal.
    3) Modelo ng access control na nakabatay sa papel. Kinokontrol ng paraan na nakabatay sa tungkulin ang pag-access ng user sa impormasyon batay sa uri ng aktibidad na mayroon sila sa system (mga tungkulin). Ang isang tungkulin ay nauunawaan bilang isang hanay ng mga aksyon at responsibilidad na nauugnay sa isang partikular na uri ng aktibidad. Mga halimbawang tungkulin: accountant, administrator, atbp. Ang bawat user ay may kani-kanilang mga tungkulin na na-configure. Object-role. Sa ilang mga kaso, pinapayagan ang isang user na gumanap ng maraming tungkulin nang sabay-sabay. Sa kasong ito, ang mga tungkulin ay mayroon hierarchical na istraktura. Ang pangunahing bentahe ng huwaran: A) kadalian ng pangangasiwa, hindi na kailangang magreseta ng mga patakaran para sa bawat bagay ng paksa sa halip, isang bagay na ginagampanan ang inireseta. Kapag nagbago ang mga responsibilidad ng isang user, nagbabago rin ang kanilang tungkulin. Pinapasimple ng isang hierarchy ng mga tungkulin ang pangangasiwa. B) Prinsipyo ng hindi bababa sa pribilehiyo. Magrehistro sa system na may pinakamababang papel na kinakailangan upang maisagawa ang mga gawain.

    Pagre-record at pag-audit.
    Ang pag-log ay tumutukoy sa koleksyon at akumulasyon ng impormasyon na naganap sa system. Sa kasong ito, ang mga kaganapan ng bawat serbisyo ay maaaring nahahati sa: panlabas, panloob at kliyente.
    Ang audit ay isang pagsusuri ng naipon na impormasyon, na isinasagawa kaagad sa real time o pana-panahon. Ang isang dokumento sa pagpapatakbo na may awtomatikong tugon sa mga natukoy na hindi pangkaraniwang sitwasyon ay tinatawag na aktibo.
    Ang pag-log at pag-audit ay malulutas ang mga sumusunod na problema: Pagtitiyak ng pananagutan ng user at administrator. Pagbibigay ng kakayahang muling buuin ang pagkakasunod-sunod ng mga pangyayari. Pagtuklas ng mga pagtatangka na labagin ang seguridad ng impormasyon. Pagbibigay ng impormasyon upang matukoy at masuri ang mga problema.
    Ang pag-log ay nangangailangan bait, upang sagutin kung aling mga kaganapan sa system ang irerehistro at sa anong antas ng detalye, habang tinitiyak na ang mga layunin sa seguridad ay natutugunan at ang mga mapagkukunan ay hindi nagagamit nang labis. Walang pangkalahatang sagot, ngunit maaaring i-highlight ang ilang rekomendasyon. Kaugnay ng operating system, inirerekumenda na i-record ang mga kaganapan: pag-log in sa mga system, pag-log out, pag-access sa isang malayuang sistema, mga pagpapatakbo ng file, pagbabago ng mga pribilehiyo at iba pang mga katangian ng seguridad. Kapag nagla-log, inirerekumenda na i-record ang: tattoo at oras, user ID at aksyon, uri ng kaganapan, resulta ng aksyon, pinagmulan ng kahilingan, mga pangalan ng mga apektadong bagay at paglalarawan ng mga pagbabago. Ang pagtiyak ng pananagutan ay mahalaga bilang isang hadlang. Ang pagtuklas ng mga pagtatangka na lumabag sa seguridad ng impormasyon ay isang aktibong function ng pag-audit. Maaaring hulihin ng regular na pag-audit ang mga pag-atake.
    *Aktibong pag-audit. Ang kahina-hinalang aktibidad ay pag-uugali ng isang user o bahagi ng system na kahina-hinala mula sa punto ng view ng ilang partikular na panuntunan o hindi karaniwan. Ang layunin ng aktibong pag-audit ay upang mabilis na matukoy ang kahina-hinalang aktibidad at magbigay ng mga awtomatikong tool sa pagtugon. Sa kasong ito, ipinapayong hatiin ang aktibidad sa mga pag-atake na naglalayong iligal na makakuha ng awtoridad. Upang ilarawan at tukuyin ang mga pag-atake, ginagamit ang paraan ng lagda. Ang lagda ng pag-atake ay isang hanay ng mga kundisyon kung saan nangyayari ang isang pag-atake na nagti-trigger ng tugon. Ang mga aksyon na ginagawa sa loob ng saklaw ng awtoridad ngunit lumalabag sa patakaran sa seguridad ay tinatawag na pang-aabuso sa awtoridad. Karaniwang natutukoy ang hindi karaniwang pag-uugali gamit ang mga istatistikal na pamamaraan. Ginagamit ang isang sistema ng mga threshold, na ang labis ay kahina-hinala. Kaugnay ng mga aktibong tool sa pag-audit, ang mga error ng uri 1 at 2 ay nakikilala: mga hindi nakuhang pag-atake at mga maling alarma. Ang bentahe ng pamamaraan ng lagda ay ang maliit na bilang ng mga error sa uri 2 (maliit na bilang ng mga maling alarma). Ang kawalan ay ang kawalan ng kakayahang makakita ng mga bagong pag-atake. dangal istatistikal na paraan– ito ay versatility, ang kakayahang makakita ng mga hindi kilalang pag-atake. Ang downside ay isang mataas na proporsyon ng mga type 2 error.

    Pag-encrypt.
    Ang pag-encrypt ay isang mababawi na pagbabago ng plain (orihinal) na teksto batay sa isang lihim na algorithm o key sa naka-encrypt (sarado) na teksto. Ang pag-encrypt ay isang paraan ng pagtiyak ng pagiging kompidensyal ng impormasyon.
    Ang mga algorithm ng pag-encrypt ay nahahati sa 2 pangkat:
    1) Symmetric algorithm. Ang parehong key K ay ginagamit para sa pag-encrypt at pag-decryption. M'=EnGrypt(M,K) encryption function M=DeCrypt(M',K) decryption.
    Ang lahat ng symmetric encryption algorithm ay maaaring nahahati sa 3 grupo:
    A) Pagpapalit B) Permutasyon C) I-block ang mga cipher.
    * Mga algorithm ng pagpapalit. Gumagana ang mga ito sa sumusunod na prinsipyo: ang bawat karakter ng pinagmulang teksto ay pinapalitan ng isa pang karakter o pagkakasunod-sunod ng mga character. Sa kasong ito, maaaring gamitin ang mga character mula sa iba't ibang mga alpabeto. Kung ang mga character ng 1 alpabeto ay ginagamit para sa pagpapalit, ang pagpapalit ay tinatawag na mono-alphabetic. Maraming mga character - poly alphabetical substitution.
    - Ang pinakasimpleng pagpapalit ay Caesar ciphers. Ang bawat titik ng orihinal na mensahe ay pinapalitan ng titik na matatagpuan 3 posisyon pagkatapos nito sa alpabeto. Ang kakaiba ng Caesar ciphers ay na walang susi ang numero 3 ay hindi isang susi, ngunit bahagi ng algorithm. Sa kasalukuyan, ang unang tuntunin ng cryptography ay: ang lakas ng anumang cipher ay nakasalalay sa katotohanan na ang kalaban ay ganap na nakakaalam ng mekanismo ng pag-encrypt at ang tanging impormasyon na wala siya ay ang susi. Ang Caesar cipher ay nagiging isang ganap na cipher na may susi kung ang numero 3 ay hindi tinukoy, ngunit pinili nang arbitraryo, ayon sa isang kasunduan. Mga numero lamang mula 1 hanggang 32 ang maaaring piliin bilang isang susi. Kaya, ang binagong Caesar cipher ay hindi lumalaban sa pag-crack gamit ang isang pangunahing paraan ng brute force.
    - Simpleng kapalit na cipher. Ang bawat karakter ng plaintext na alpabeto ay itinalaga ng kaukulang karakter ng pareho o ibang alpabeto. Ang susi sa cipher na ito ay ang talahanayan ng pagsusulatan. Ang kabuuang bilang ng mga key ay katumbas ng mga permutasyon ng alphabet power 33! Ang cipher na ito ay medyo madaling pumayag sa cryptanalysis sa pamamagitan ng pagtukoy sa dalas ng paglitaw ng mga simbolo. Kaya, ang mga mono-alphabetic cipher ay may malubhang kahinaan batay sa mga istatistikal na katangian ng orihinal na teksto, na nagmamana ng ciphertext.
    - Isang halimbawa ng multi-alphabetic na pagpapalit ng Gronsfeld cipher. Ito ay isang pagbabago ng Caesar cipher. Ang isang pagkakasunud-sunod ng mga digit ng arbitrary na nakapirming haba ay ginagamit bilang isang susi. M=INFORMATICS K=123. Ang bawat key character ay nakasulat sa ilalim ng source na text kung ang haba ng key ay mas mababa sa source text, ito ay paulit-ulit na paikot. K=12312312. M'=YPCHTPLBALLV. Ang cipher na ito ay kabilang sa multi-alphabetic cipher family. kaya, mga tampok na istatistika lalabas ang text na ito na may cyclicity n-key na haba (=3). Sa kasong ito, ang talahanayan ng dalas ay nagbibigay ng isang error, at ang pagbawi ng teksto ay nagiging imposible.
    * Mga algorithm ng permutation. Ang mga plaintext na character ay nagbabago ng pagkakasunud-sunod ayon sa panuntunan at susi.
    - Ang isang klasikong halimbawa ay ang muling pagsasaayos ng mga titik ayon sa isang tiyak na tuntunin sa isang talahanayan, ibinigay na sukat. Ang teksto ay nakasulat sa mga hanay at binabasa sa mga hilera.
    * I-block ang mga cipher. Symmetric encryption gumagamit ng parehong pagpapalit at permutasyon. Ang praktikal na pamantayan ay maraming round ng encryption na may iba't ibang key na nabuo mula sa 1 nakabahaging key. Karamihan modernong mga algorithm magkaroon ng istraktura na katulad ng istraktura ng Feistel network (batay sa Chenon). Ang isang malakas na algorithm ng pag-encrypt ay dapat matugunan ang 2 katangian: diffusion at coffusion. Pagsasabog - Ang bawat bit ng plaintext ay dapat makaimpluwensya sa bawat bit ng ciphertext. Ang esensya ng diffusion ay ang pagpapakalat ng mga istatistikal na katangian ng plaintext sa loob ng ciphertext. Ang pagkalito ay ang kawalan ng istatistikal na kaugnayan sa pagitan ng susi at ng ciphertext. Kahit na tinutukoy ng kaaway ang mga istatistikal na katangian ng teksto, hindi dapat sapat ang mga ito para i-decrypt.
    Isaalang-alang natin ang istraktura ng Feistel network.
    2) Mga pampublikong key algorithm.

    Upang magbigay ng proteksyon mula sa pag-atake ng network Ang pinakalawak na ginagamit at epektibo ay ang setting:

    1. Komprehensibong sistema ng proteksyon ng klase OUTPOST, pagbibigay ng proteksyon ng mga corporate information system sa antas ng network gamit ang virtual private networks (VPN) na teknolohiya at distributed firewalling (ME, FW).

    2. Class "Broadband" hardware IP encryptor screen" ay isang domestic backbone broadband hardware IP encryptor na idinisenyo para sa proteksyon ng cryptographic na impormasyon sa mga modernong sistema ng telekomunikasyon.

    3. Ibig sabihin komprehensibong proteksyon impormasyon - SZI MULA NSD Secret Net 7.

    Tingnan natin ang mga produktong ito nang mas detalyado.

    Mga Produkto ng ZASTAVA gumana sa iba't ibang mga platform ng hardware, na nagpapatakbo ng maraming sikat na operating system. Ginagamit ang mga ito kapwa sa malalaking, geographically distributed system, kung saan ang libu-libong ahente ng ZASTAVA ay gumagana nang sabay-sabay, at sa mga system ng maliliit at katamtamang laki ng mga negosyo, kung saan kinakailangan ang proteksyon para sa ilang computer lang. Pakete ng software Ang "VPN/FW "ZASTAVA", bersyon 5.3, ay nagbibigay ng proteksyon ng corporate information at computing resources sa antas ng network gamit ang virtual private networks (VPN) na teknolohiya at distributed firewalling (ME).

    Nagbibigay ang ZASTAVA 5.3 ng:

    · proteksyon mga indibidwal na computer, kabilang ang mga mobile, mula sa mga pag-atake mula sa mga network pampublikong gamit at Internet;

    · proteksyon ng corporate information system o mga bahagi nito mula sa mga panlabas na pag-atake;

    Ang bersyon ng produkto na na-certify ng FSB ng Russian Federation ay ibinibigay sa mga customer handa na solusyon, na nagpapahintulot sa produkto na maayos na maisama sa anumang mga sistema ng impormasyon nang hindi nangangailangan ng karagdagang mga konklusyon tungkol sa kawastuhan ng pagsasama at pagtiyak ng ganap na pagiging lehitimo ng paggamit nito upang maprotektahan ang kumpidensyal na impormasyon, kabilang ang personal na data. Ang mga sertipiko ay may bisa mula Marso 30, 2011 hanggang Marso 30, 2014.

    Encryptor Barrier- ito ay ganap solusyon sa hardware. Lahat mga pag-andar ng cryptographic at ang pakikipag-ugnayan sa network ay ipinapatupad dito gamit ang circuitry sa halip na mga pamamaraan ng software. Ang pagpili ng pagpapatupad ng hardware, sa kaibahan sa mga karaniwang device (crypto routers) batay sa isang PC pangkalahatang layunin, ay dahil sa pangangailangang malampasan ang mga limitasyon ng arkitektura ng naturang mga computer. Ito ay, una sa lahat, mga limitasyon ng karaniwang bus kung saan nakakonekta ang mga network interface card. Sa kabila mataas na bilis ang pagpapatakbo ng mga modernong PCI at PCI-X na mga bus, ang mga kakaibang katangian ng pagpapatakbo ng mga network encryptors (time-correlated na pagtanggap at paghahatid ng isang packet na may shift sa oras ng pag-encrypt/decryption) ay hindi pinapayagan ang paggamit ng lahat ng kanilang bandwidth.

    Sa pangkalahatan, kung gusto mong ikonekta ang mga lokal na network ng computer gamit ang hindi secure na mga channel ng komunikasyon, nang walang takot na lumabag sa pagiging kompidensiyal ng data sa panahon ng paghahatid at nang hindi gumagasta ng makabuluhang pagsisikap upang matiyak ang pagiging tugma ng application kapag nagtatrabaho sa mga naka-encrypt na channel. Ang hadlang ay idinisenyo bilang isang aparato na "transparent" mula sa punto ng view ng network. Para sa kadahilanang ito, sa karamihan ng mga kaso ito ay sapat lamang upang i-configure ang encryptor at isama ito "sa break" ng koneksyon ng protektado lokal na network Sa panlabas na channel mga komunikasyon.

    SZI MULA sa NSD Secret Net 7 idinisenyo upang maiwasan ang hindi awtorisadong pag-access sa mga workstation at server na tumatakbo sa magkakaibang mga lokal na network ng lugar. Ang system ay umaakma sa mga mekanismo ng proteksiyon nito sa karaniwang proteksiyon na paraan ng mga operating system at sa gayon ay pinapataas ang seguridad ng buong awtomatikong sistema ng impormasyon ng negosyo sa kabuuan, na nagbibigay ng solusyon sa mga sumusunod na gawain:

    v pamamahala ng mga karapatan sa pag-access at kontrol ng pag-access ng paksa sa protektadong impormasyon, software at mga mapagkukunan ng hardware;

    v kontrolin ang access sa kumpidensyal na impormasyon batay sa mga kategorya ng privacy;

    v pag-encrypt ng mga file na nakaimbak sa mga disk;

    v kontrol sa integridad ng data;

    v kontrol sa pagsasaayos ng hardware;

    v discretionary access control sa mga computer device;

    v pagpaparehistro at accounting ng mga kaganapan na may kaugnayan sa seguridad ng impormasyon;

    v pagsubaybay sa estado ng awtomatikong sistema ng impormasyon;

    v batay sa tungkulin na paghihiwalay ng mga kapangyarihan ng gumagamit;

    v audit ng mga aksyon ng user (kabilang ang mga administrator at auditor);

    v pansamantalang pagharang ng mga computer;

    v binubura ang natitirang impormasyon sa mga lokal na disk kompyuter.

    Ang Secret Net 7 system ay binubuo ng tatlong functional na bahagi:

    · mga mekanismo ng proteksyon na naka-install sa lahat ng protektadong computer awtomatikong sistema(AC) at kumakatawan sa isang hanay ng mga karagdagang tampok ng seguridad na nagpapalawak ng mga tampok ng seguridad ng Windows OS.

    · Mga tool sa pamamahala ng mekanismo ng seguridad na nagbibigay ng sentralisado at lokal na pamamahala ng system.

    · mga tool sa pamamahala sa pagpapatakbo na nagsasagawa ng kontrol sa pagpapatakbo (pagsubaybay, pamamahala) ng mga workstation, pati na rin ang sentralisadong koleksyon, imbakan at pag-archive ng mga log ng system.

    Ang Secret Net 7 ay binubuo ng tatlong bahagi:

    1. Sistema ng seguridad ng impormasyon Secret Net 7 - Kliyente. Naka-install sa lahat ng protektadong computer. Kasama sa software na ito ang mga sumusunod na bahagi:

    · Ang mga mekanismo ng seguridad ay isang hanay ng mga nako-customize na software at hardware na nagpoprotekta sa mga mapagkukunan ng impormasyon ng computer mula sa hindi awtorisadong pag-access, nakakahamak o hindi sinasadyang impluwensya.

    · Module para sa paglalapat ng mga patakaran ng grupo.

    · Ahente ng Security Server.

    · Ang mga lokal na tool sa pamamahala ay karaniwang mga kakayahan operating system, na dinagdagan ng mga tool ng Secret Net 7 para sa pamamahala ng pagpapatakbo ng computer at ng mga user nito, pati na rin para sa pag-set up ng mga mekanismo ng proteksyon.

    2. SZI Secret 7 - Server ng Seguridad. May kasamang:

    · Ang aktwal na server ng seguridad.

    · Mga tool para sa pagtatrabaho sa isang database.

    3. Sistema ng seguridad ng impormasyon Secret Net 7 - Mga tool sa pamamahala. May kasamang:

    · Subaybayan ang programa. Ang program na ito ay naka-install sa lugar ng trabaho ng operational management administrator - isang empleyadong pinahintulutan na subaybayan at mabilis na itama ang katayuan ng mga protektadong computer sa real time.

    Ang kumpanya ay nangangailangan ng pagpapakilala ng mga katulad na teknolohiya.



MGA KAUGNAY NA ARTIKULO