Proteksyon laban sa hindi awtorisadong pag-access. Proteksyon ng impormasyon mula sa hindi awtorisadong pag-access

Hindi awtorisadong pag-access sa impormasyon (UAI)- ito ay pag-access sa data na lumalabag sa mga patakaran ng kontrol sa pag-access sa pagpapatupad ng ilang mga paraan na teknolohiya ng computer o mga automated system. Ayon sa mga eksperto, ang mga paraan ng hindi awtorisadong pag-access ay:

  • Ang hilig makipagtulungan
  • Inisyatiba kooperasyon
  • Probing, prying out
  • Nakikinig
  • Pagnanakaw
  • Pagmamasid
  • Peke (pagbabago)
  • Kopyahin
  • Pagkawasak
  • pagharang
  • Ilegal na koneksyon
  • Pagkuha ng larawan
  • Lihim na pagkakakilala

Inisyatiba kooperasyon madalas na nagpapakita ng sarili sa ilang mga sitwasyon kapag ang mga hindi nasisiyahang indibidwal ay handang gumawa ng mga ilegal na aksyon para sa kapakanan ng kita. Ang mga dahilan ay maaaring ibang-iba, kabilang ang pananalapi, moral, pampulitika, atbp. Ang gayong tao ay madaling makumbinsi na makipagtulungan sa pagbibigay ng kumpidensyal na impormasyon ng negosyo, kung, siyempre, mayroon siyang access.

Ang hilig makipagtulungan- kadalasan ang mga ito ay marahas na pamamaraan sa bahagi ng mga umaatake. Ang mga ganitong pamamaraan ay batay sa pananakot, panunuhol o blackmail. Ang pag-uudyok sa mga empleyado ay isinasagawa sa pamamagitan ng mga tunay na banta at blackmail. Ito ang pinaka-agresibong pamamaraan na umiiral, dahil ang mapayapang pagbisita ay maaaring maging marahas na aksyon na may layuning pananakot.

Sinisilip, sinisilip- ito ay isang uri ng aktibidad na nakabatay sa pagtatanong sa isang empleyado ng walang muwang na mga tanong upang makakuha ng ilang impormasyon. Maaari ka ring mangikil ng data sa pamamagitan ng maling trabaho o iba pang aksyon.

Nakikinig- ito ay isang paraan para sa pang-industriyang paniniktik o pagmamanman, na ginagamit ng mga espesyal na tao (mga tagamasid, impormante) gamit ang mga espesyal na paraan ng pag-eavesdropping. Ang pag-eavesdrop ay maaaring magawa nang direkta sa pamamagitan ng pagdama ng mga acoustic wave o sa pamamagitan ng mga espesyal na paraan sa malayo.

Pagmamasid- Ito ay isang paraan ng katalinuhan tungkol sa katayuan ng aktibidad ng naobserbahan. Ang pamamaraang ito ay isinasagawa gamit ang mga optical na instrumento. Ang ganitong proseso ay tumatagal ng maraming oras at pera, kaya ang pamamaraang ito ay karaniwang ipinapatupad nang may layunin, sa isang tiyak na oras, kasama ang mga kwalipikadong tao.

Pagnanakaw— Ito ay ang sadyang pagkuha ng mga mapagkukunan ng ibang tao, mga dokumento, atbp. Sa halos pagsasalita, ninanakaw nila ang lahat ng bagay na hindi maganda, kaya kailangan mong mag-ingat sa mga kumpidensyal na carrier ng data.

Kopyahin— Karaniwang kinokopya ang mga dokumentong naglalaman ng mahalagang impormasyon. Ang pag-access ay ilegal na nakuha, kadalasan dahil sa mahinang seguridad ng impormasyon.

peke- ito ay isang pagbabago sa data na, sa mga katotohanan ng kompetisyon, ay nasa malaking sukat. Ginawa nila ang lahat para makakuha ng mahalagang data.

Pagkawasak— Pagtanggal ng data sa teknikal na storage media. Mas abstractly, ang mga tao, mga dokumento at iba pang mga elemento ng sistema ng impormasyon na may ilang mga kahulugan ay nawasak.

Ilegal na koneksyon— maunawaan ang contactless o contact connection sa iba't ibang wire para sa iba't ibang layunin.

pagharang ay ang pagkuha ng impormasyon ng katalinuhan sa pamamagitan ng pagtanggap ng mga signal ng electromagnetic na enerhiya gamit ang mga pamamaraan ng passive na pagtanggap. Ang anumang signal sa radyo o wired na komunikasyon ay napapailalim sa pagharang.

Lihim na pagkakakilala ay isang paraan ng pagkuha ng data kung saan ang paksa ay walang access, ngunit sa ilalim ng ilang mga pangyayari ay maaaring matuto ng isang bagay. Halimbawa, tumingin sa screen ng PC o magbukas ng dokumentong nakalatag sa mesa.

Pagkuha ng larawan- isang paraan ng pagkuha ng mga larawan ng mga bagay sa photographic na materyal. Ang isang espesyal na tampok ng pamamaraan ay nakakakuha ito ng detalyadong data kapag nagde-decrypt ng isang imahe.

Ayon sa mga eksperto, ang naturang listahan ay hindi intersecting at independiyente sa isang tiyak na antas ng abstraction. Ito ay nagpapahintulot sa iyo na isaalang-alang ang isang tiyak na hanay ng mga sample ng naturang mga pamamaraan nang magkasama. Ipinapakita ng Figure 1 ang isang pangkalahatang modelo ng mga pamamaraan ng NSD sa mga mapagkukunan ng kumpidensyal na impormasyon.

Hindi lihim na ang mga serbisyo ng paniktik ay malapit na sinusubaybayan ang kanilang mga singil, gamit ang iba't ibang mga tool sa counterintelligence. Kasabay nito, kailangan mong maunawaan sa pamamagitan ng kung anong paraan ng pagkuha ng impormasyon na mayroong hindi awtorisadong pag-access. Paraan ay isang pamamaraan o pamamaraan na humahantong sa pagsasakatuparan ng isang layunin. Hindi awtorisadong paraan ng pag-access(NSD method) ay isang hanay ng mga aksyon at diskarte para sa layunin ng pagkuha ng data nang ilegal na may karagdagang impluwensya sa impormasyong ito.

Sa ngayon, ang mga paraan ng pag-access ng data sa data ay iba: ang pagpapatupad ng mga espesyal na teknikal na paraan, ang paggamit ng mga error sa mga system, o iba pa, tulad ng ipinapakita sa Fig. 1. Bilang karagdagan, ang mga pamamaraan ng NSD ay direktang nauugnay sa mga katangian ng pinagmulan ng kumpidensyal na data.
Ang pagkakaroon ng isang set pinagmumulan impormasyon at isang hanay ng mga pamamaraan ng NSD para sa kanila, maaari mong kalkulahin ang posibilidad at bumuo ng isang modelo ng kanilang koneksyon. Maraming mga pamamaraan ang nalalapat sa mga mapagkukunan - teknolohiya sa pagproseso at mga tao. Kahit na ang ibang mga pamamaraan ay hindi nakakaapekto sa mga karaniwang pinagmumulan, ang kanilang panganib ay maaaring mas malaki pa.

Ang antas ng panganib ng paraan ng NSD ay tinutukoy ng pinsalang dulot. Kung gaano ang impormasyon ngayon ay may sariling presyo, ang mismong katotohanan ng pagkuha ng impormasyon ay katumbas ng pagtanggap ng pera. Ang umaatake ay may tatlong layunin:

  • kumuha ng data para sa mga kakumpitensya at ibenta.
  • baguhin ang data sa network ng impormasyon. Disinformation.
  • Wasakin ang data.

Figure - 1 (upang tingnan, i-click ang larawan)

Ang pangunahing layunin ay upang makakuha ng impormasyon tungkol sa katayuan, komposisyon at mga aktibidad ng mga bagay ng mga kumpidensyal na interes para sa kanilang sariling mga layunin o pagpapayaman. Ang isa pang layunin ay baguhin ang impormasyong umiiral sa network ng impormasyon. Ang pamamaraang ito ay maaaring humantong sa maling impormasyon sa ilang partikular na lugar ng aktibidad at baguhin ang kinalabasan ng mga nakatalagang gawain. Kasabay nito, napakahirap ipatupad ang gayong pamamaraan ng disinformation; Ang pinaka-mapanganib na layunin ay ang pagkasira ng data. Ang pagpili ng mga aksyon at ang kanilang mga katangian ng husay o dami ay nakasalalay sa mga gawain.

Mga pamamaraan ng NSD para sa pag-access ng impormasyon gamit ang mga teknikal na paraan

Ang anumang elektronikong sistema na naglalaman ng isang hanay ng mga node, elemento at konduktor at kasabay nito ay may mga mapagkukunan ng signal ng impormasyon ay isang channel para sa pagtagas ng kumpidensyal na impormasyon. Ang mga pamamaraan ng NSD at mga channel ng pagtagas ay may layuning nauugnay. Ang mga opsyon sa koneksyon ay ipinapakita sa Talahanayan. 1.

Talahanayan - 1

Ang bawat mapagkukunan ay lumilikha ng isang channel ng pagtagas ng data, habang ang mga partikular na parameter nito ay pinag-aaralan at ang mga paraan ng pag-atake ay sinusuri sa mga laboratoryo. Ang mga aksyon ay maaaring maging aktibo o pasibo. Kasama sa mga passive channel ang pagpapatupad ng mga teknikal na channel para sa pagtagas ng impormasyon nang walang direktang kontak o koneksyon. Ang mga pamamaraan ay karaniwang nakatuon sa data. Ang mga aktibong pamamaraan ay kumokonekta sa mga linya ng komunikasyon. Ang mga linya ng komunikasyon ay maaaring:

  • Naka-wire (fiber optic).
  • Wireless (Wi-Fi).

Mga pamamaraan ng NSD sa mga linya ng komunikasyon

Kadalasan ang mga linya ng telepono o fiber optic na linya ay ginagamit bilang mga linya ng komunikasyon. Ang mga pamamaraan para sa pagtapik sa mga linya ng telepono ay ipinapakita sa Fig. 2.

Larawan - 2

Mayroon ding mga line tapping system na hindi nangangailangan ng direktang pakikipag-ugnayan sa linya ng telepono. Ang ganitong mga sistema ay gumagamit ng pasaklaw na paraan ng pagkuha ng data. Ang ganitong mga sistema ay hindi malawakang ginagamit, dahil ang mga ito ay napakalaki dahil sa nilalaman ng ilang mga yugto ng pagpapalakas ng isang mahina na signal ng mababang dalas at, bilang karagdagan, isang panlabas na mapagkukunan ng kuryente.

Ngunit ngayon ang mga linya ng fiber optic ay may mas malawak na hanay ng mga pagpapatupad. Ang impormasyon sa pamamagitan ng naturang channel ay ipinapadala sa anyo ng isang pulsating light stream, na hindi apektado ng magnetic at electrical interference. Mas mahirap ding harangin ang data sa pamamagitan ng naturang channel, na nagpapataas ng seguridad ng transmission. Sa kasong ito, ang bilis ng paglipat ay umaabot sa Gigabytes/segundo. Upang kumonekta sa naturang channel ng komunikasyon, ang mga proteksiyon na layer ng cable ay tinanggal. Pagkatapos ay alisan ng balat ang reflective sheath at ibaluktot ang cable sa isang espesyal na anggulo upang makuha ang impormasyon. Sa kasong ito, ang lakas ng signal ay agad na bababa nang kapansin-pansin. Maaari ka ring kumonekta sa isang channel ng komunikasyon nang walang contact, ngunit para dito kailangan mong magkaroon ng isang tiyak na antas ng kaalaman at pagsasanay.

Mga pamamaraan ng NSD para sa mga wireless na linya ng komunikasyon

Ang pagdadala ng data gamit ang high-frequency na MHF at VHF na mga banda ay ginagawang posible na ipatupad ang paglilipat ng impormasyon at isang network ng computer kung saan mahirap mag-install ng mga kumbensyonal na wired na channel. Sa ganitong mga channel ng komunikasyon, ang paglipat ng impormasyon ay posible sa bilis na hanggang 2 Mbit/s. Sa kasong ito, may posibilidad ng interference at interception ng impormasyon. Gumagana ang data interception batay sa interception ng electromagnetic radiation na may karagdagang pagsusuri at decryption. Ang pagharang ng impormasyon sa pamamagitan ng naturang mga channel ay may sariling mga katangian:

  • ang data ay maaaring makuha nang walang direktang pakikipag-ugnay sa pinagmulan;
  • Ang signal ay hindi apektado ng oras ng taon/araw;
  • ang data ay natanggap sa real time;
  • Ang pagharang ay isinasagawa nang palihim.
  • ang hanay ng interception ay limitado lamang sa pamamagitan ng mga katangian ng mga propagation wave.

Proteksyon laban sa hindi awtorisadong pag-access

Mayroong isang kuwento tungkol sa kung paano dapat itago ang impormasyon. Ito ay dapat na nasa isang kopya sa isang computer na matatagpuan sa isang armored safe, na disconnect mula sa lahat ng mga network at de-energized. Ang pamamaraang ito, upang ilagay ito nang mahinahon, ay napakalupit, ngunit may mga ganitong kaso. Upang maprotektahan ang data mula sa hindi awtorisadong pag-access, kailangan mong maunawaan kung ano ang itinuturing na awtorisado at kung ano ang hindi. Upang gawin ito kailangan mo:

  • hatiin ang impormasyon sa mga klase na naproseso o nakaimbak sa isang PC
  • hatiin ang mga user sa mga klase batay sa pag-access ng data
  • ayusin ang mga klase na ito sa mga partikular na relasyon sa pagpapalitan ng data sa isa't isa

Ang sistema ng proteksyon ng data laban sa hindi awtorisadong pag-access ay dapat na sumusuporta sa pagpapatupad ng mga sumusunod na function:

  • pagpapatunay
  • pagkakakilanlan
  • paghihigpit sa pag-access ng user sa mga computer
  • paghihigpit ng access ng user sa mga kakayahan ng impormasyon
  • pangangasiwa:
    • pagpoproseso ng log
    • pagtukoy ng mga karapatan sa pag-access sa mga mapagkukunan
    • paglulunsad ng isang sistema ng proteksyon sa isang computer
    • natanggal ang mga sistema ng proteksyon ng computer
  • Konklusyon sa mga pagtatangka sa NSD
  • pagpaparehistro ng kaganapan:
    • mga paglabag sa pag-access
    • login/logout ng user
  • pagsubaybay sa pagganap at integridad ng mga sistema ng proteksyon
  • pagpapanatili ng seguridad ng impormasyon sa panahon ng maintenance at repair work at emergency na sitwasyon

Ang mga karapatan ng user na mag-access ng mga mapagkukunan ay naglalarawan sa mga talahanayan batay sa kung saan ang pagpapatunay ng user ay na-verify sa pamamagitan ng pag-access. Kung hindi makuha ng Gumagamit ang hiniling na mga karapatan sa pag-access, kung gayon ang katotohanan ng hindi awtorisadong pag-access ay nakarehistro at ang ilang mga aksyon ay gagawin.

Pagpapatunay at Pagkakakilanlan ng User

Para ma-access ng isang user ang mga mapagkukunan ng system, kailangan niyang dumaan sa sumusunod na proseso:

  • Pagkakakilanlan- ang proseso ng isang user na nagbibigay sa system ng kanyang pangalan o iba pang identifier
  • Pagpapatunay- ang proseso ng pagkumpirma ng system ng isang user batay sa isang identifier at password o iba pang impormasyon (tingnan,)

Batay dito, upang maisagawa ang mga pamamaraang ito, kailangan mong:

  • nagkaroon ng authentication program
  • ang gumagamit ay may natatanging impormasyon na magagamit

Mayroong dalawang paraan ng pag-iimbak ng data ng pagkakakilanlan ng user: panloob (record sa database) o panlabas (card). Ang anumang carrier ng impormasyon na kailangang matukoy ng system ay may sulat sa sistema ng pagpapatunay:

  • ID i - hindi nababagong identifier ng i-th user, na para sa system ay kahalintulad sa user name
  • K i - data ng pagpapatunay ng user

Mayroong dalawang tipikal na authentication at identification scheme. Unang scheme:

Sa ganitong pamamaraan E i = F (ID i, K i), kung saan hindi na mababawi Ang K i ay itinuturing bilang isang tiyak na threshold ng labor intensity T 0 para sa pagpapanumbalik ng K i mula sa E i at ID i . Para sa isang pares K i at K j mayroong isang posibleng pagkakataon ng mga halaga ng E. Kaugnay ng sitwasyong ito, ang posibilidad maling pagpapatunay ang mga gumagamit ng system ay hindi dapat lumampas sa isang tiyak na threshold P 0 . Sa pagsasagawa, ibinibigay nila ang mga sumusunod na halaga: T 0 = 10 20 ....10 30, P 0 = 10 -7 ....10 -9.

Para sa gayong pamamaraan, mayroong isang authentication at identification protocol:

  • Ang gumagamit ay nagbibigay ng kanyang ID
  • Ang halaga E = F(ID, K) ay kinakalkula

Sa isa pang scheme, E i = F(S i , K i), kung saan ang S ay isang random na vector na tinukoy kapag gumagawa ng user ID. Ang F ay isang function na may aspeto irreparability mga halaga ng K i ng E i at S i .

Protocol para sa pangalawang authentication at identification scheme:

  • Ipinapakita ng user sa system ang kanyang ID
  • Kung mayroong ganoong ID i , kung saan ID=ID i , kung gayon ang pagkakakilanlan ng user ay matagumpay, kung hindi, hindi.
  • Ang Vector S ay inilalaan ng ID
  • Hinihiling ng algorithm ng pagpapatunay sa user na ipasok ang kanyang authenticator na K
  • Ang halaga E = F(S, K) ay kinakalkula
  • Kung E = E 1 pagkatapos ay pumasa ang pagpapatunay, kung hindi man ay hindi.

Ang pangalawang scheme ay ginagamit sa UNIX OS. Ipinasok ng user ang kanyang pangalan (Login) bilang isang identifier, at isang password bilang isang authenticator. Ang Function F ay ang DES encryption algorithm. (cm.)

Kamakailan, ang mga biometric na pamamaraan ng pagkakakilanlan at pagpapatunay ay nakakakuha ng momentum, na pinadali ng:

  • Mataas na antas ng tiwala batay sa mga katangian dahil sa kanilang pagiging natatangi
  • Mahirap i-peke ang mga palatandaang ito

Ang mga sumusunod ay maaaring gamitin bilang mga katangian ng user:

  • mga fingerprint
  • pattern ng retina at iris
  • hugis kamay
  • hugis ng tainga
  • hugis ng mukha
  • mga tampok ng boses
  • sulat-kamay

Kapag nagrerehistro, dapat ipakita ng user ang kanyang biometric na katangian. Ang na-scan na imahe ay inihambing sa imahe na umiiral sa database. Mga sistema ng pagkilala sa mata may posibilidad na maulit ang mga katangiang ito - 10 -78. Ang mga system na ito ay ang pinaka-maaasahan sa iba pang mga biometric system. Ang ganitong mga sistema ay ginagamit sa mga lugar ng depensiba at mga pasilidad ng militar. Mga sistema ng pagkakakilanlan ng fingerprint ang pinakakaraniwan. Ang dahilan para sa katanyagan nito ay mayroong isang malaking database ng mga fingerprint. Salamat sa pulis. Mga sistema ng pagkilala sa mukha at boses ang pinaka-accessible dahil sa kanilang mababang gastos. Ang ganitong mga sistema ay ginagamit para sa malayuang pagkakakilanlan, halimbawa sa mga network.

Dapat pansinin na ang paggamit ng mga biometric na katangian upang makilala ang mga paksa ay hindi pa nakakatanggap ng sapat na suporta sa regulasyon sa anyo ng mga pamantayan. Samakatuwid, pinapayagan lamang ang paggamit ng mga naturang sistema kung saan pinoproseso ang data na bumubuo ng isang komersyal o opisyal na lihim.

Mutual user authentication

Ang mga partidong pumapasok sa isang pagpapalitan ng impormasyon ay nangangailangan ng mutual authentication. Ang prosesong ito ay karaniwang ipinapatupad sa simula ng exchange session. Upang i-verify ang pagiging tunay, may mga paraan:

  • mekanismo ng time stamp ( selyo ng oras)
  • mekanismo ng kahilingan-tugon

Ang mekanismo ng paghiling-tugon ay nagpapahiwatig ng isang sitwasyon kung saan gustong matiyak ng user A na hindi peke ang data na ipinadala ng user B. Upang gawin ito, ang user A ay nagpapadala ng hindi nahuhulaang elemento − humiling ng X, kung saan kailangang magsagawa ng paunang napagkasunduang operasyon ang user B, at ipadala ang resulta sa user A. Sinusuri ng User A ang resulta kung ano dapat ang output. Ang kawalan ng pamamaraang ito ay posible na ibalik ang pattern sa pagitan ng kahilingan at tugon.

Kasama sa mekanismo ng timestamp ang pagtatala ng oras para sa bawat mensaheng ipinadala. Sa kasong ito, maaaring matukoy ng gumagamit ng network kung magkano lipas na sa panahon mensahe. Sa parehong mga kaso, ang pag-encrypt ay dapat na mailapat din.

meron din mekanismo ng pagkakamay, na nakabatay sa nakaraang dalawang mekanismo at binubuo ng mutual verification ng mga susi na ginagamit ng mga partido sa palitan. Ang prinsipyong ito ay ginagamit upang lumikha ng isang koneksyon sa pagitan ng isang host computer at iba pa sa mga network.

Bilang halimbawa, isaalang-alang ang dalawang user na A at B na nagbabahagi ng parehong sikretong key K AB.

  • Sinimulan ng User A ang mekanismo at ipinapadala sa user B ang kanyang ID A sa open form
  • Ang User B ay tumatanggap ng ID A, hinahanap ang key K AB para sa karagdagang paggamit
  • Binubuo ng user A ang sequence S gamit ang generator PG at ipinapadala ito sa user B bilang isang cryptogram E K AB S
  • Idini-decrypt ng User B ang cryptogram na ito
  • Binago ng dalawang user ang sequence S, gamit ang one-way function na f
  • Ini-encrypt ng user B ang mensaheng f(S), at ipinapadala ang cryptogram E K AB (f(S)) sa user A
  • Ang User A ay nagde-decrypt ng naturang cryptogram at nagkukumpara sa f(S) sa orihinal at sa na-decrypt. Kung sila ay pantay, kung gayon ang pagiging tunay ng user B para sa user A ay napatunayan.

Pinapatunayan ng User B ang pagkakakilanlan ni A sa parehong paraan. Ang bentahe ng naturang mekanismo ay ang mga kalahok sa komunikasyon ay hindi tumatanggap ng anumang lihim na impormasyon sa panahon ng mekanismo.

Maaari mo ring gamitin ang mga DLP system. Ang ganitong mga sistema ay batay sa pagsusuri ng mga daloy ng data na sumasalubong sa data ng protektadong sistema ng impormasyon. Kapag ang lagda ay na-trigger, ang aktibong elemento ng system ay na-trigger, at ang pagpapadala ng packet, stream, o session ay naharang. Ang ganitong mga sistema ay batay sa dalawang pamamaraan. Ang unang sumusuri sa mga pormal na katangian ng impormasyon. Halimbawa, ang mga label, mga halaga ng hash function, atbp. Nagbibigay-daan sa iyo ang paraang ito na maiwasan ang mga maling positibo (mga error sa uri 1), ngunit para dito, kailangang iproseso ang mga dokumento na may karagdagang pag-uuri. Ang isa pang paraan ay ang pagsusuri ng nilalaman. Pinapayagan nito ang mga maling positibo, ngunit ginagawang posible na makita ang paglilipat ng kumpidensyal na data hindi lamang sa mga naprosesong dokumento. Ang pangunahing gawain ng naturang mga sistema ay upang maiwasan ang paglilipat ng kumpidensyal na data sa labas ng sistema ng impormasyon. Ang nasabing pagtagas ay maaaring sinadya o hindi sinasadya. Ipinapakita ng pagsasanay na 75% ng mga insidente ay hindi sinasadya, ngunit dahil sa mga pagkakamali, kapabayaan o kawalan ng pansin ng mga empleyado mismo. Ang mga naturang pagtagas ay hindi mahirap matukoy ang mga espesyal na pag-atake; Ang kinalabasan ng labanan ay nakasalalay sa maraming mga parameter, at imposibleng magarantiya ang 100% na tagumpay.

Upang buod, dapat tandaan na ang NSD ay isang sadyang banta na may access sa . Mayroong maraming mga paraan upang gawin ito. Ang serbisyo sa seguridad ng impormasyon ay kailangang maingat na subaybayan ang mga daloy ng impormasyon pati na rin ang mga gumagamit ng sistema ng impormasyon. Sa pag-unlad ng teknolohiya, lumilitaw ang mga bagong pamamaraan ng NSD at ang kanilang pagpapatupad. Ang pamamahala ay kailangang maglaan ng mga mapagkukunan upang i-update at pagbutihin ang sistema ng seguridad ng sistema ng impormasyon, dahil sa paglipas ng panahon ito ay nagiging lipas na at nawawala ang kakayahang maiwasan ang mga bagong pag-atake. Dapat nating tandaan na walang ganap na proteksyon, ngunit dapat nating pagsikapan ito.

Mayroong isang talinghaga tungkol sa pinaka-maaasahang paraan ng pag-imbak ng impormasyon: Ang impormasyon ay dapat nasa isang kopya sa isang computer na matatagpuan sa isang armored safe, nakadiskonekta sa lahat ng mga network at de-energized.

Malinaw na ang pagtatrabaho sa naturang impormasyon ay, sa madaling salita, hindi maginhawa. Kasabay nito, gusto kong protektahan ang mga programa at data mula sa hindi awtorisadong pag-access (UNA). At para maging awtorisado ang pag-access, kailangan mong magpasya kung sino ang makakagawa kung ano at kung ano ang hindi.

Upang gawin ito kailangan mo:

  1. hatiin ang impormasyon na nakaimbak at naproseso sa isang computer sa mga klase;
  2. hatiin ang mga gumagamit ng impormasyong ito sa mga klase;
  3. ilagay ang mga resultang klase ng impormasyon at mga user sa isang tiyak na pagsusulatan sa isa't isa.

Ang pag-access ng gumagamit sa iba't ibang klase ng impormasyon ay dapat isagawa ayon sa isang sistema ng password, na maaaring:

  • regular na mga password;
  • tunay na mga kandado at susi;
  • mga espesyal na pagsubok sa pagkakakilanlan ng gumagamit;
  • mga espesyal na algorithm para sa pagtukoy ng mga PC, floppy disk, at software.

Ang mga sistema ng proteksyon ng impormasyon laban sa hindi awtorisadong pag-access ay nagbibigay ng mga sumusunod na function:

  1. pagkakakilanlan, i.e. pagtatalaga ng mga natatanging katangian - mga identifier, kung saan ang system ay kasunod na nagsasagawa ng pagpapatunay;
  2. pagpapatunay, i.e. authentication batay sa paghahambing sa mga reference identifier;
  3. paghihigpit sa pag-access ng gumagamit sa mga PC;
  4. pagkakaiba-iba ng pag-access ng gumagamit batay sa mga operasyon sa mga mapagkukunan (mga programa, data, atbp.);
  5. pangangasiwa:
    • pagtukoy ng mga karapatan sa pag-access sa mga protektadong mapagkukunan,
    • pagproseso ng mga tala ng pagpaparehistro,
    • pag-install ng isang sistema ng seguridad sa isang PC,
    • pag-alis ng sistema ng proteksyon mula sa PC;
  6. pagpaparehistro ng kaganapan:
    • login ng user,
    • logout ng user,
    • mga paglabag sa pag-access;
  7. reaksyon sa mga pagtatangka ng NSD;
  8. pagsubaybay sa integridad at pagganap ng mga sistema ng proteksyon;
  9. pagtiyak ng seguridad ng impormasyon sa panahon ng maintenance at repair work;
  10. pagtiyak ng seguridad ng impormasyon sa mga sitwasyong pang-emergency.

Ang mga karapatan ng user na ma-access ang mga programa at data ay inilalarawan ng mga talahanayan batay sa kung saan isinasagawa ang kontrol at delimitasyon ng pag-access sa mga mapagkukunan. Ang pag-access ay dapat na kontrolado ng software ng seguridad. Kung ang hiniling na pag-access ay hindi tumutugma sa kung ano ang magagamit sa talahanayan ng mga karapatan sa pag-access, ang sistema ng seguridad ay nagrerehistro ng katotohanan ng hindi awtorisadong pag-access at nagpasimula ng isang naaangkop na tugon.

Pagkakakilanlan at Pagpapatunay ng User

Bago mag-access ng mga mapagkukunan, dapat dumaan ang user sa isang proseso ng pagsusumite sa computer system, na kinabibilangan ng dalawang yugto:

  • pagkakakilanlan- ipinaalam ng user ang system sa kahilingan nito ng kanyang pangalan (identifier);
  • pagpapatunay- kinukumpirma ng user ang pagkakakilanlan sa pamamagitan ng pagpasok sa system ng natatanging impormasyon tungkol sa kanyang sarili na hindi alam ng ibang mga user (halimbawa, isang password).

Upang maisagawa ang mga pamamaraan ng pagkakakilanlan at pagpapatunay ng user, dapat mayroon kang:

  • mga programa sa pagpapatunay;
  • natatanging impormasyon tungkol sa gumagamit.

Mayroong dalawang paraan ng pag-iimbak ng impormasyon tungkol sa gumagamit: panlabas (halimbawa, isang plastic card o ulo ng gumagamit) at panloob (halimbawa, isang talaan sa isang database). Naturally, ang impormasyon na nakaimbak sa ulo at ang impormasyon sa database ay dapat na magkapareho sa semantiko. Ang problema sa matakaw na kapatid ni Ali Baba na si Kasim ay nangyari dahil sa pagkakaiba sa pagitan ng panlabas at panloob na mga anyo: ang sim-sim ay hindi magkapareho sa mga gisantes, bigas, atbp.

Tingnan natin ang mga istruktura at protocol ng data para sa pagkakakilanlan at pagpapatunay ng user.

Halos anumang pangunahing carrier ng impormasyon na ginagamit para sa pagkakakilanlan ay tumutugma sa sumusunod na istraktura ng data ng user:

  • ID i - hindi nababagong identifier ng i-th user, na kahalintulad sa isang pangalan at ginagamit upang kilalanin ang user;
  • K i - impormasyon sa pagpapatunay ng user, na maaaring baguhin at ginagamit para sa pagpapatunay (halimbawa, password P i = K i).

Kaya, para sa media tulad ng mga plastic card, ang hindi nababagong impormasyon ID i at isang bagay sa istraktura ng file ng card na naglalaman ng K i ay inilalaan.

Ang pinagsama-samang impormasyon sa pangunahing daluyan ay maaaring tawaging pangunahing impormasyon sa pagpapatunay ng i-th user. Malinaw, ang panloob na bagay na nagpapatunay ay hindi dapat umiral sa system sa loob ng mahabang panahon (higit pa sa oras ng pagtatrabaho ng isang partikular na user). Halimbawa, naglagay ka ng password, na ipinasok ng programa sa pagpapatotoo sa isang variable para sa paghahambing sa mga nakaimbak sa database. Dapat na i-reset ang variable na ito nang hindi lalampas sa pagtatapos mo ng iyong session. Para sa pangmatagalang imbakan, ang data ay dapat gamitin sa isang secure na form.

Isaalang-alang natin ang dalawang karaniwang mga scheme ng pagkakakilanlan at pagpapatunay.

Scheme 1.

Dito E i = F(ID i, K i), kung saan ang "non-recoverability" ng K i ay tinatantya ng isang tiyak na threshold complexity T 0 ng paglutas sa problema ng pagpapanumbalik ng K i mula sa E i at ID i. Bilang karagdagan, para sa isang pares K i at K j ang mga katumbas na halaga ng E ay maaaring magkasabay maling pagpapatunay ang mga user ay hindi dapat higit sa isang tiyak na halaga ng threshold P 0 . Sa pagsasagawa, itinakda nila ang T 0 = 10 20 ...10 30, P 0 = 10 -7 ...10 -9.

Identification at authentication protocol (para sa scheme 1).

  1. Ang halaga E = F(ID, K) ay kinakalkula.

Scheme 2 (binago). Ang mga tindahan ng computer system:

Dito E i = F(S i , K i), kung saan ang S ay isang random na vector na tinukoy kapag gumagawa ng user ID; Ang F ay isang function na may pag-aari ng "hindi mabawi" ng halaga ng K i mula sa E i at S i .

Identification at authentication protocol (para sa scheme 2).

  1. Ipinapakita ng user ang kanyang ID.
  2. Kung mayroong i = 1...n para sa kung aling ID = ID i , matagumpay na nakilala ng user ang kanyang sarili. Kung hindi, ang gumagamit ay hindi pinapayagang magtrabaho.
  3. Ang vector S ay inilalaan batay sa ID.
  4. Ang authentication module ay humihingi sa user ng kanyang authenticator na K.
  5. Ang halaga E = F(S, K) ay kinakalkula.
  6. Kung E = E i , matagumpay ang pagpapatunay. Kung hindi, ang gumagamit ay hindi pinapayagang magtrabaho.

Ang pangalawang pamamaraan ng pagpapatunay ay ginagamit sa OC UNIX. Ang username (hiniling ng Login) ay ginagamit bilang isang identifier, at ang user password (hiniling ng Password) ay ginagamit bilang isang authenticator. Kinakatawan ng Function F ang DES encryption algorithm. Ang mga pamantayan sa pagkakakilanlan at pagpapatunay ay nakapaloob sa Etc/passwd file.

Dapat tandaan na ang isang kinakailangang kinakailangan para sa katatagan ng mga scheme ng pagkakakilanlan at pagpapatunay upang mabawi ang impormasyon K i ay isang random, pantay na posibilidad na pagpili ng K i mula sa isang hanay ng mga posibleng halaga.

Ang pinakasimpleng paraan ng paglalapat ng password ay batay sa paghahambing ng ipinakitang password sa orihinal na halaga na nakaimbak sa memorya. Kung ang mga halaga ay tumutugma, ang password ay itinuturing na tunay at ang gumagamit ay itinuturing na lehitimo. Dapat na naka-encrypt ang password bago ipadala sa isang hindi secure na channel. Kung nalaman ng umaatake ang password at numero ng pagkakakilanlan ng lehitimong user, magkakaroon siya ng access sa system.

Sa halip na ipadala ang plain form ng password na P, mas mainam na ipadala ang representasyong nakuha gamit ang one-way function na f(P). Ang pagbabagong ito ay dapat tiyakin na ang password ay hindi mabubunyag sa pamamagitan ng pagpapakita nito. Kaya't ang kaaway ay nakatagpo ng isang hindi malulutas na problema sa numero.

Halimbawa, ang function na f ay maaaring tukuyin bilang mga sumusunod:

f(P) = E P (ID) ,
kung saan ang P ay ang password, ang ID ay ang identifier, ang E P ay ang pamamaraan ng pag-encrypt na isinagawa gamit ang password bilang susi.

Sa pagsasagawa, ang password ay binubuo ng ilang mga titik. Ngunit ang isang maikling password ay mahina sa isang malupit na pag-atake. Upang maiwasan ang gayong pag-atake, ang function na f ay tinukoy sa ibang paraan:

f(P) = E P + K (ID) ,
kung saan ang K ang susi (Toch-memory tablet, USB key, atbp.)

Ang mga pamamaraan ng pagkakakilanlan at pagpapatunay ng gumagamit ay maaaring batay hindi lamang sa lihim na impormasyon na mayroon ang gumagamit (password, lihim na susi, personal na pagkakakilanlan, atbp.). Kamakailan, ang biometric na pagkakakilanlan at pagpapatotoo ay naging lalong laganap, na ginagawang posible na kumpiyansa na makilala ang isang potensyal na gumagamit sa pamamagitan ng pagsukat ng mga physiological parameter at katangian ng isang tao, at ang mga katangian ng kanyang pag-uugali.

Pangunahing pakinabang biometric na pamamaraan pagkakakilanlan at pagpapatunay:

  • mataas na antas ng pagiging maaasahan ng pagkakakilanlan batay sa mga biometric na katangian dahil sa kanilang pagiging natatangi;
  • inseparability ng biometric na mga katangian mula sa isang may kakayahang tao;
  • kahirapan sa pamemeke ng biometric na katangian.

Ang mga biometric na tampok na maaaring magamit upang makilala ang isang potensyal na gumagamit ay:

  • pattern ng iris at retina;
  • mga fingerprint;
  • geometric na hugis ng kamay;
  • hugis at sukat ng mukha;
  • facial thermogram;
  • hugis ng tainga;
  • mga tampok ng boses;
  • biomekanikal na katangian ng isang sulat-kamay na lagda;
  • biomechanical na katangian ng "keyboard handwriting".

Kapag nagrerehistro, dapat ipakita ng user ang kanyang mga katangiang biometric na katangian ng isa o higit pang beses. Ang mga katangiang ito (kilala bilang tunay) ay naitala ng system bilang isang kontrol na "larawan" ng lehitimong user. Ang larawan ng user na ito ay naka-imbak sa elektronikong paraan at ginagamit upang i-verify ang pagkakakilanlan ng sinumang nagpapanggap bilang ang katumbas na lehitimong user.

Mga sistema ng pagkakakilanlan batay sa mga pattern ng iris at retina maaaring nahahati sa dalawang klase:

  • gamit ang pattern ng iris;
  • gamit ang pattern ng mga daluyan ng dugo sa retina.

Dahil ang posibilidad ng pag-uulit ng mga parameter na ito ay 10 -78, ang mga system na ito ay ang pinaka maaasahan sa lahat ng biometric system. Ang mga ganitong paraan ay ginagamit, halimbawa, sa USA sa mga lugar ng mga pasilidad ng militar at pagtatanggol.

Mga sistema ng pagkakakilanlan ng fingerprint ay ang pinakakaraniwan. Ang isa sa mga pangunahing dahilan para sa malawakang paggamit ng mga naturang sistema ay ang pagkakaroon ng malalaking fingerprint data bank. Ang mga pangunahing gumagamit ng naturang mga sistema sa buong mundo ay ang pulisya, iba't ibang organisasyon ng gobyerno at ilang mga bangko.

Mga sistema ng pagkakakilanlan batay sa geometric na hugis ng kamay gumamit ng mga scanner ng hugis ng kamay, kadalasang nakakabit sa mga dingding. Dapat tandaan na ang karamihan sa mga gumagamit ay mas gusto ang mga sistema ng ganitong partikular na uri.

Mga sistema ng pagkilala sa mukha at boses ay ang pinaka-accessible dahil sa kanilang mababang gastos, dahil karamihan sa mga modernong computer ay may mga kakayahan sa video at audio. Ang mga sistema ng klase na ito ay malawakang ginagamit para sa malayuang pagkakakilanlan sa mga network ng telekomunikasyon.

Mga sistema ng pagkakakilanlan batay sa sulat-kamay na signature dynamics isaalang-alang ang intensity ng bawat pagsisikap ng lumagda, ang dalas ng mga katangian ng pagsulat ng bawat elemento ng lagda at ang estilo ng lagda sa kabuuan.

Mga sistema ng pagkakakilanlan batay sa mga biomekanikal na katangian ng "sulat-kamay sa keyboard" ay batay sa katotohanan na ang mga sandali ng pagpindot at pagpapakawala ng mga key kapag nagta-type sa keyboard ay malaki ang pagkakaiba-iba sa iba't ibang user. Ang dynamic na ritmo ng pagta-type na ito (“keyboard handwriting”) ay ginagawang posible na bumuo ng medyo maaasahang paraan ng pagkakakilanlan.

Dapat pansinin na ang paggamit ng mga biometric na parameter sa pagtukoy ng mga paksa ng pag-access ng mga awtomatikong sistema ay hindi pa nakakatanggap ng sapat na suporta sa regulasyon, lalo na sa anyo ng mga pamantayan. Samakatuwid, ang paggamit ng mga biometric identification system ay pinapayagan lamang sa mga system na nagpoproseso at nag-iimbak ng personal na data na bumubuo ng mga komersyal at opisyal na lihim.

Mutual user authentication

Karaniwan, ang mga partidong pumapasok sa pagpapalitan ng impormasyon ay nangangailangan ng mutual authentication. Isinasagawa ang prosesong ito sa simula ng sesyon ng komunikasyon.

Ang mga sumusunod na pamamaraan ay ginagamit para sa pagpapatunay:

  • mekanismo ng kahilingan-tugon;
  • mekanismo ng time stamp.

Mekanismo ng kahilingan-tugon. Kung gustong matiyak ng user A na hindi mali ang mga mensaheng natatanggap niya mula sa user B, nagsasama siya ng hindi mahulaan na elemento sa mensaheng ipinapadala niya sa B - humiling ng X (halimbawa, ilang random na numero). Kapag sumasagot, ang user B ay dapat magsagawa ng ilang paunang natukoy na operasyon sa numerong ito (halimbawa, kalkulahin ang ilang function na f(X)). Hindi ito magagawa nang maaga, dahil hindi alam ng user B kung anong random na numerong X ang darating sa kahilingan. Kapag nakatanggap ng tugon na may resulta ng mga aksyon B, matitiyak ng user A na totoo si B. Ang kawalan ng pamamaraang ito ay ang posibilidad na magtatag ng isang pattern sa pagitan ng kahilingan at tugon.

Mekanismo ng time stamp nagsasangkot ng pagtatala ng oras para sa bawat mensahe. Sa kasong ito, maaaring matukoy ng bawat user ng network kung gaano "luma na" ang papasok na mensahe at hindi ito tatanggapin, dahil maaaring mali ito.

Sa parehong mga kaso, ang pag-encrypt ay dapat gamitin upang protektahan ang mekanismo ng kontrol upang matiyak na ang tugon ay hindi ipinadala ng isang umaatake.

May problema kapag gumagamit ng mga timestamp pinahihintulutang agwat ng oras ng pagkaantala upang patotohanan ang session. Pagkatapos ng lahat, ang isang mensahe na may "time stamp" ay hindi maaaring, sa prinsipyo, maipadala kaagad. Bilang karagdagan, ang mga orasan ng computer ng tatanggap at ng nagpadala ay hindi maaaring ganap na i-synchronize.

Para sa mutual authentication ito ay karaniwang gamitin pamamaraan ng pakikipagkamay, na batay sa mga mekanismo sa itaas at binubuo ng mutual verification ng mga susi na ginagamit ng mga partido. Sa madaling salita, kinikilala ng mga partido ang isa't isa bilang mga lehitimong kasosyo kung patunayan nila sa isa't isa na mayroon silang tamang mga susi. Ang pamamaraang "pagkakamay" ay ginagamit sa mga network ng computer kapag nag-aayos ng mga komunikasyon sa pagitan ng mga user, isang user at isang host computer, sa pagitan ng mga host computer, atbp.

Bilang halimbawa, isaalang-alang ang pamamaraan ng handshake para sa dalawang user na A at B. Hayaang gumamit ng simetriko na cryptosystem. Ang mga user na A at B ay nagbabahagi ng parehong sikretong key K AB.

  • Nagsisimula ang User A ng handshake sa pamamagitan ng pagpapadala sa User B ng kanilang ID A sa malinaw na anyo.
  • Ang User B, na nakatanggap ng ID A, ay hinahanap ang sikretong key K AB sa database at ipinasok ito sa kanyang cryptosystem.
  • Samantala, ang user A ay bumubuo ng random sequence S gamit ang pseudo-random generator PG at ipinapadala ito sa user B bilang cryptogram E K AB (S).
  • Ang User B ay nagde-decrypt ng cryptogram na ito at ipinapakita ang orihinal na anyo ng sequence na S.
  • Ang parehong mga gumagamit ay pagkatapos ay ibahin ang anyo ng sequence S gamit ang one-way function na f.
  • Ini-encrypt ng user B ang mensaheng f(S) at ipinapadala ang cryptogram E K AB (f(S)) sa user A.
  • Panghuli, idini-decrypt ng user A ang cryptogram na ito at ikinukumpara ang natanggap na mensahe f"(S) sa orihinal na f(S). Kung pantay ang mga mensaheng ito, kinikilala ng user A ang pagkakakilanlan ng user B.

Pinapatunayan ng User A ang user B sa parehong paraan. Ang parehong mga pamamaraan na ito ay bumubuo ng isang "pagkakamay" na pamamaraan, na karaniwang ginagawa sa pinakadulo simula ng anumang sesyon ng komunikasyon sa pagitan ng alinmang dalawang partido sa mga network ng computer.

Ang bentahe ng modelo ng handshake ay walang sinuman sa mga kalahok sa komunikasyon ang tumatanggap ng anumang lihim na impormasyon sa panahon ng pamamaraan ng pagpapatunay.

Minsan gusto ng mga user na magkaroon ng tuluy-tuloy na pagpapatotoo ng nagpadala sa buong session ng komunikasyon. Tingnan natin ang isa sa mga pinakasimpleng paraan ng tuluy-tuloy na pagpapatunay.

Upang magpadala ng mensahe sa M, ipinapadala ng user A ang cryptogram E K (ID A , M). Idini-decrypt ito ng tatanggap at inihayag ang pares (ID A, M). Kung tumugma ang natanggap na ID A sa nakaimbak, isasaalang-alang ng tatanggap ang mensaheng ito.

Sa halip na mga identifier, maaari kang gumamit ng mga lihim na password na inihanda nang maaga at alam ng parehong partido. Ipinagpatuloy: Mga protocol ng pagkakakilanlan na may zero na paglilipat ng kaalaman

Panitikan

  1. Romanets Yu.V., Timofeev P.A., Shangin V.F. Proteksyon ng impormasyon sa mga computer system at network. Ed. V.F. Shanina. - 2nd ed., binago. at karagdagang - M.: Radyo at Komunikasyon, 2001. - 376 p.: ill.

Ang proteksyon laban sa hindi awtorisadong pag-access (proteksyon laban sa hindi awtorisadong pag-access) ay ang pag-iwas o malaking kahirapan sa hindi awtorisadong pag-access.

Ang isang tool para sa pagprotekta ng impormasyon mula sa hindi awtorisadong pag-access (IPS mula sa NSD) ay isang software, hardware o software-hardware tool na idinisenyo upang maiwasan o makabuluhang hadlangan ang hindi awtorisadong pag-access.

Layunin at pangkalahatang pag-uuri ng kagamitan sa proteksyon ng impormasyon.

Ang mga sistema ng proteksyon ng impormasyon mula sa NSD ay maaaring nahahati sa unibersal at dalubhasa (ayon sa lugar ng aplikasyon), sa pribado at kumplikadong mga solusyon (sa kabuuan ng mga problemang nalutas), sa mga built-in na tool ng system at mga karagdagang (ayon sa paraan ng pagpapatupad) .

Napakahalaga ng pag-uuri, dahil kapag nagtatayo ng mga sistema ng seguridad ng impormasyon ng bawat uri, ang mga developer ay bumalangkas at malulutas ang ganap na magkakaibang mga problema (kung minsan ay nagkakasalungatan sa bawat isa). Kaya, ang konsepto ng pagprotekta sa mga unibersal na tool ng system ay batay sa mga prinsipyo ng "buong pagtitiwala sa gumagamit" ang kanilang proteksyon ay higit na walang silbi sa mga sistema ng korporasyon, halimbawa, kapag nilulutas ang mga problema ng pagkontra sa mga panloob na banta sa IT. Ang karamihan ng mga sistema ng seguridad ng impormasyon ngayon ay nilikha upang palakasin ang mga mekanismo ng seguridad na binuo sa mga unibersal na operating system para gamitin sa isang kapaligiran ng korporasyon. Kung pinag-uusapan natin ang tungkol sa isang hanay ng mga gawain na dapat lutasin, dapat nating pag-usapan ang tungkol sa pagsasama ng mga mekanismo kapwa sa mga tuntunin ng epektibong paglutas ng isang partikular na problema sa proteksyon, at sa mga tuntunin ng paglutas ng isang hanay ng mga problema.

Ang mga pag-aari ng consumer (layunin) ng isang karagdagang sistema ng seguridad ng impormasyon mula sa NSD ay tinutukoy ng lawak kung saan ang karagdagang tool ay nag-aalis ng mga pagkukulang sa arkitektura ng mga mekanismo ng seguridad na binuo sa OS na may kaugnayan sa paglutas ng mga kinakailangang gawain sa mga corporate application, at kung gaano komprehensibong (mabisa) nilulutas nito ang hanay ng mga problema sa proteksyon ng impormasyon.

Mga tanong para sa pagtatasa ng pagiging epektibo ng mga sistema ng proteksyon ng impormasyon mula sa NSD

Ang pagiging epektibo ng seguridad ng impormasyon laban sa walang diskriminasyon ay maaaring masuri sa pamamagitan ng pagsusuri sa mga isyu ng tamang pagpapatupad ng mga mekanismo ng proteksyon at ang kasapatan ng isang hanay ng mga mekanismo ng proteksyon na may kaugnayan sa mga praktikal na kondisyon ng paggamit.

Pagtatasa ng kawastuhan ng pagpapatupad ng mga mekanismo ng proteksyon

Sa unang sulyap, ang naturang pagtatasa ay hindi mahirap isagawa, ngunit sa pagsasagawa, hindi ito palaging nangyayari. Isang halimbawa: sa NTFS, ang isang file object ay maaaring matukoy sa iba't ibang paraan: ang mga file object na tinukoy ng mahabang pangalan ay maaaring ma-access ng isang maikling pangalan (halimbawa, ang "Program files" na direktoryo ay maaaring ma-access ng maikling pangalan na "Progra~1 "), at ilang mga programa Ang mga object ng file ay na-access hindi sa pamamagitan ng pangalan, ngunit sa pamamagitan ng ID. Kung ang sistema ng seguridad ng impormasyon na naka-install sa sistema ng impormasyon ay hindi humarang at nag-analisa lamang ng isang katulad na paraan ng pag-access sa isang file object, kung gayon, sa pangkalahatan, ito ay magiging ganap na walang silbi (maaga o huli, matutukoy ng isang umaatake ang kakulangan sa seguridad na ito at sasamantalahin ang ito). Banggitin din natin na ang mga file object na hindi ibinabahagi sa pagitan ng mga user ng system at ng mga application ay maaaring magsilbi bilang isang "channel" para sa pag-downgrade ng isang dokumento, na nagpapabaya sa proteksyon ng kumpidensyal na impormasyon. Mayroong maraming mga katulad na halimbawa na maaaring ibigay.

Ang mga kinakailangan para sa tamang pagpapatupad ng mga mekanismo ng proteksyon ay tinukoy sa dokumento ng regulasyon na "State Technical Commission of Russia. Gabay na dokumento. Mga pasilidad sa kompyuter. Proteksyon laban sa hindi awtorisadong pag-access sa impormasyon. Mga tagapagpahiwatig ng seguridad mula sa hindi awtorisadong pag-access sa impormasyon"; ito ay ginagamit para sa sertipikasyon ng mga sistema ng proteksyon ng impormasyon mula sa NSD.

Ang mga kinakailangang ito ay naroroon sa dokumento hanggang sa kinakailangang lawak, tama ang mga ito, ngunit nabalangkas sa isang pangkalahatang anyo (paano ito magiging iba, kung hindi, kinakailangan na lumikha ng sarili nitong dokumento sa regulasyon para sa bawat pamilya ng OS, at posibleng para sa bawat OS pagpapatupad ng parehong pamilya), at para sa Upang matupad ang isang kinakailangan, maaaring kailanganin na ipatupad ang ilang mekanismo ng proteksyon. Ang kinahinatnan nito ay ang kalabuan ng interpretasyon ng mga kinakailangang ito (sa mga tuntunin ng mga diskarte sa kanilang pagpapatupad) at ang posibilidad ng panimula na magkakaibang mga diskarte sa pagpapatupad ng mga mekanismo ng proteksyon sa mga sistema ng seguridad ng impormasyon mula sa hindi awtorisadong pag-access ng mga developer. Ang resulta ay iba't ibang bisa ng mga sistema ng proteksyon ng impormasyon mula sa hindi naglalarawang impormasyon sa mga tagagawa na nagpapatupad ng parehong pormal na mga kinakailangan. Ngunit ang kabiguang sumunod sa alinman sa mga kinakailangang ito ay maaaring magpawalang-bisa sa lahat ng pagsisikap upang matiyak ang seguridad ng impormasyon.

Pagtatasa ng kasapatan (pagkakumpleto) ng isang hanay ng mga mekanismo ng proteksyon

Ang mga kinakailangan para sa sapat (pagkakumpleto, na may kaugnayan sa mga kondisyon ng paggamit) ng hanay ng mga mekanismo ng proteksyon ay tinukoy sa dokumentong "Komisyon ng Teknikal ng Estado ng Russia. Gabay na dokumento. Mga awtomatikong sistema. Proteksyon laban sa hindi awtorisadong pag-access sa impormasyon. Mga tagapagpahiwatig ng seguridad mula sa NSD hanggang sa impormasyon", na ginagamit sa sertipikasyon ng mga bagay sa pag-informatize, kabilang ang kapag ginamit sa mga awtomatikong sistema ng seguridad ng impormasyon mula sa NSD. Gayunpaman, dito ang sitwasyon ay higit na katulad sa inilarawan sa itaas.

Kaya, maipapayo na palawakin ang pagbabalangkas ng kinakailangan para sa sapat na mga mekanismo sa sistema ng seguridad ng impormasyon mula sa NSD upang maprotektahan ang kumpidensyal na data sa mga dokumento ng regulasyon, kung saan mayroong kalabuan sa pagtukoy kung ano ang nauuri bilang mga protektadong mapagkukunan, halimbawa. , gaya ng sumusunod: “Dapat magkaroon ng kontrol sa koneksyon ng mga mapagkukunan, sa partikular na mga device, alinsunod sa mga kondisyon ng praktikal na paggamit ng protektadong pasilidad ng computing, at kontrol sa pag-access ng mga paksa sa mga protektadong mapagkukunan, lalo na sa mga device na pinapayagan para sa koneksyon.”

Tandaan na ang mga mekanismo ng kontrol sa pag-access sa mga mapagkukunan na palaging naroroon sa system - mga file object, OS registry object, atbp. - isang priori na protektado, at dapat silang naroroon sa sistema ng seguridad ng impormasyon mula sa NSD sa anumang kaso, at para sa mga panlabas na mapagkukunan, na isinasaalang-alang ang layunin ng sistema ng seguridad ng impormasyon. Kung ang layunin ng sistema ng seguridad ng impormasyon ay protektahan ang mga computer sa network, dapat itong magkaroon ng mga mekanismo ng kontrol sa pag-access sa mga mapagkukunan ng network; kung nagsisilbi itong protektahan ang mga offline na computer, dapat itong magbigay ng kontrol (pagbabawal) sa pagkonekta ng mga mapagkukunan ng network sa computer. Ang panuntunang ito, sa aming opinyon, ay nalalapat sa lahat ng mga mapagkukunan nang walang pagbubukod at maaaring magamit bilang isang pangunahing kinakailangan para sa isang hanay ng mga mekanismo ng proteksyon kapag nagpapatunay ng mga bagay ng impormasyon.

Ang mga isyu ng kasapatan ng mga mekanismo ng proteksyon ay dapat isaalang-alang hindi lamang na may kaugnayan sa hanay ng mga mapagkukunan, ngunit din na may kaugnayan sa mga problema sa seguridad ng impormasyon na nalutas. Mayroon lamang dalawang magkatulad na gawain kapag tinitiyak ang seguridad ng computer - ang pagkontra sa panloob at panlabas na mga banta sa IT.

Ang pangkalahatang gawain ng pagkontra sa mga panloob na banta sa IT ay upang matiyak ang pagkakaiba ng pag-access sa mga mapagkukunan alinsunod sa mga kinakailangan para sa pagproseso ng data ng iba't ibang mga kategorya ng pagiging kompidensyal. Mayroong iba't ibang mga diskarte sa pagtatakda ng mga pagkakaiba: sa pamamagitan ng account, sa pamamagitan ng proseso, batay sa kategorya ng dokumentong binasa. Ang bawat isa sa kanila ay nagtatakda ng sarili nitong mga kinakailangan para sa sapat. Kaya, sa unang kaso, kailangan mong ihiwalay ang clipboard sa pagitan ng mga user; sa pangalawa - sa pagitan ng mga proseso; para sa ikatlong kaso, sa pangkalahatan ay kinakailangan na radikal na muling isaalang-alang ang buong mahigpit na patakaran sa pag-access sa lahat ng mga mapagkukunan, dahil ang parehong gumagamit, gamit ang parehong application, ay maaaring magproseso ng data ng iba't ibang mga kategorya ng pagiging kumpidensyal.

Mayroong dose-dosenang mga paraan ng interprocess na komunikasyon (pinangalanang mga channel, mga sektor ng memorya, atbp.), Kaya kinakailangan upang matiyak ang pagsasara ng kapaligiran ng software - upang maiwasan ang posibilidad na maglunsad ng isang programa na nagpapatupad ng naturang exchange channel. Lumilitaw din ang mga tanong tungkol sa mga mapagkukunan na hindi ibinahagi ng system at mga aplikasyon, kontrol sa kawastuhan ng pagkakakilanlan ng paksa ng pag-access, proteksyon ng seguridad ng impormasyon mismo mula sa hindi awtorisadong pag-access (ang listahan ng mga kinakailangang mekanismo ng proteksyon upang epektibong malutas ang problemang ito ay napakaganda). Karamihan sa mga ito ay hindi tahasang nakasaad sa mga dokumento ng regulasyon.

Ang gawain ng epektibong pagkontra sa mga panlabas na banta sa IT, sa aming opinyon, ay malulutas lamang kung ang isang patakaran sa demarcation ay nakatakda para sa paksang "proseso" (ibig sabihin, ang "proseso" ay dapat isaalang-alang bilang isang independiyenteng paksa ng pag-access sa mga mapagkukunan). Ito ay dahil sa ang katunayan na siya ang nagdadala ng banta ng panlabas na pag-atake. Walang ganoong pangangailangan na tahasan sa mga dokumento ng regulasyon, ngunit sa kasong ito, ang paglutas sa problema ng proteksyon ng impormasyon ay nangangailangan ng isang radikal na rebisyon ng mga pangunahing prinsipyo para sa pagpapatupad ng mahigpit na patakaran ng pag-access sa mga mapagkukunan.

Kung ang mga isyu ng kasapatan ng mga mekanismo ng proteksyon na may kaugnayan sa isang hanay ng mga protektadong mapagkukunan ay pumapayag pa rin sa pormalisasyon, kung gayon kaugnay sa mga gawain sa seguridad ng impormasyon ay hindi posible na gawing pormal ang mga naturang kinakailangan.

Sa kasong ito, ang mga sistema ng seguridad ng impormasyon mula sa NSD mula sa iba't ibang mga tagagawa na tumutupad sa mga pormal na kinakailangan ng mga dokumento ng regulasyon ay maaari ding magkaroon ng mga pangunahing pagkakaiba kapwa sa ipinatupad na mga diskarte at mga teknikal na solusyon, at sa pagiging epektibo ng mga tool na ito sa pangkalahatan.

Sa konklusyon, napapansin namin na hindi maaaring maliitin ng isang tao ang kahalagahan ng gawain ng pagpili ng mga sistema ng seguridad ng impormasyon mula sa mga di-diskriminasyon na mga aparato, dahil ito ay isang espesyal na klase ng mga teknikal na paraan, ang pagiging epektibo nito ay hindi maaaring mataas o mababa. Isinasaalang-alang ang pagiging kumplikado ng pagtatasa ng tunay na bisa ng mga sistema ng proteksyon ng impormasyon mula sa NSD, inirerekumenda namin na ang consumer ay magsangkot ng mga espesyalista (mas mabuti mula sa mga developer na halos nakatagpo ng mga problemang ito) sa yugto ng pagpili ng mga sistema ng proteksyon ng impormasyon mula sa NSD.

Hindi awtorisadong pag-access - pagbabasa, pag-update o pagsira ng impormasyon nang walang naaangkop na awtoridad na gawin ito.

Ang hindi awtorisadong pag-access ay isinasagawa, bilang panuntunan, sa pamamagitan ng paggamit ng pangalan ng ibang tao, pagbabago ng mga pisikal na address ng mga device, paggamit ng natitirang impormasyon pagkatapos malutas ang mga problema, pagbabago ng software at impormasyon, pagnanakaw ng storage media, pag-install ng kagamitan sa pag-record.

Upang matagumpay na maprotektahan ang iyong impormasyon, ang gumagamit ay dapat magkaroon ng ganap na malinaw na pag-unawa sa posible mga paraan ng hindi awtorisadong pag-access. Inilista namin ang mga pangunahing tipikal na paraan ng pagkuha ng impormasyon nang walang pahintulot:

· pagnanakaw ng storage media at production waste;

· pagkopya ng storage media sa pamamagitan ng pagdaig sa mga hakbang sa seguridad;

· magkaila bilang isang rehistradong gumagamit;

· panloloko (magkaila bilang mga kahilingan ng system);

· pagsasamantala sa mga pagkukulang ng mga operating system at programming language;

· paggamit ng mga bookmark ng software at mga bloke ng software ng uri ng "Trojan horse";

· pagharang ng electronic radiation;

· pagharang ng acoustic radiation;

· malayuang litrato;

· paggamit ng mga kagamitan sa pakikinig;

· malisyosong hindi pagpapagana ng mga mekanismo ng proteksyon, atbp.

Upang maprotektahan ang impormasyon mula sa hindi awtorisadong pag-access, ginagamit ang mga sumusunod:

1) mga kaganapan sa organisasyon;

2) teknikal na paraan;

3) software;

4) pag-encrypt.

Mga kaganapan sa organisasyon isama ang:

· access mode;

· imbakan ng media at mga aparato sa isang ligtas (floppy disk, monitor, keyboard, atbp.);

· paghihigpit sa pag-access ng mga tao sa mga computer room, atbp.

Teknikal na paraan isama ang:

· mga filter, mga screen para sa kagamitan;

· susi upang i-lock ang keyboard;

· mga authentication device – para sa pagbabasa ng mga fingerprint, hugis ng kamay, iris, bilis ng pag-type at mga diskarte, atbp.;

· mga electronic key sa microcircuits, atbp.

Mga tool sa software isama ang:

· pag-access sa password – pagtatakda ng mga pahintulot ng user;

· i-lock ang screen at keyboard gamit ang key combination sa Diskreet utility mula sa Norton Utilites package;

· paggamit ng mga tool sa proteksyon ng password ng BIOS - sa BIOS mismo at sa PC sa kabuuan, atbp.

Pag-encrypt Ito ang pagbabagong-anyo (encoding) ng bukas na impormasyon sa naka-encrypt na impormasyon na hindi naa-access ng mga tagalabas. Pangunahing ginagamit ang pag-encrypt upang magpadala ng sensitibong impormasyon sa mga hindi secure na channel ng komunikasyon. Maaari mong i-encrypt ang anumang impormasyon - mga teksto, larawan, tunog, database, atbp. Gumagamit na ang sangkatauhan ng encryption mula noong may lihim na impormasyon na kailangang itago mula sa mga kaaway. Ang unang naka-encrypt na mensahe na kilala sa agham ay isang Egyptian na teksto, kung saan ginamit ang iba pang mga character sa halip na ang mga hieroglyph na tinanggap noon. Pinag-aaralan ng agham ang mga pamamaraan para sa pag-encrypt at pag-decrypt ng mga mensahe. cryptology , na ang kasaysayan ay bumalik nang halos apat na libong taon. Binubuo ito ng dalawang sangay: cryptography at cryptanalysis.

Cryptography ay ang agham ng mga paraan upang i-encrypt ang impormasyon. Cryptoanalysis ay ang agham ng mga pamamaraan at pamamaraan para sa pagsira ng mga cipher.

Karaniwang ipinapalagay na ang algorithm ng pag-encrypt mismo ay kilala sa lahat, ngunit ang susi nito ay hindi alam, kung wala ito ay hindi ma-decrypt ang mensahe. Ito ang pagkakaiba sa pagitan ng pag-encrypt at simpleng pag-encode, kung saan upang maibalik ang isang mensahe sapat na upang malaman lamang ang algorithm ng pag-encode.

Susi- ito ay isang parameter ng encryption algorithm (cipher), na nagpapahintulot sa iyo na pumili ng isang tiyak na pagbabago mula sa lahat ng mga pagpipilian na ibinigay ng algorithm. Ang pag-alam sa susi ay nagbibigay-daan sa iyong malayang i-encrypt at i-decrypt ang mga mensahe.

Ang lahat ng mga cipher (mga sistema ng pag-encrypt) ay nahahati sa dalawang grupo - simetriko at walang simetrya (na may pampublikong key). Symmetric cipher nangangahulugan na ang parehong key ay ginagamit sa parehong pag-encrypt at pag-decrypt ng mga mensahe. Sa mga system na may pampublikong susi dalawang key ang ginagamit - pampubliko at pribado, na nauugnay sa isa't isa gamit ang ilang mga dependency sa matematika. Ang impormasyon ay naka-encrypt gamit ang isang pampublikong susi, na magagamit ng lahat, at na-decrypt gamit ang isang pribadong key, na alam lamang ng tatanggap ng mensahe.

Lakas ng cipher ay ang paglaban ng isang cipher sa decryption nang hindi nalalaman ang susi. Itinuturing na lumalaban ang isang algorithm kung, para sa matagumpay na pagsisiwalat, nangangailangan ito ng hindi matamo na mapagkukunan ng computing mula sa kaaway, isang hindi maaabot na dami ng mga na-intercept na mensahe, o sa panahong pagkatapos nito ay mawawalan na ng kaugnayan ang protektadong impormasyon.

Isa sa pinakasikat at pinakalumang cipher ay Caesar cipher. Sa cipher na ito, ang bawat titik ay pinapalitan ng isa pa, na matatagpuan sa alpabeto ng isang naibigay na bilang ng mga posisyon k sa kanan nito. Ang alpabeto ay sarado sa isang singsing, upang ang mga huling character ay mapalitan ng una. Ang Caesar cipher ay tumutukoy sa simpleng pagpapalit ng mga cipher, dahil ang bawat karakter ng orihinal na mensahe ay pinapalitan ng isa pang karakter mula sa parehong alpabeto. Ang ganitong mga cipher ay madaling malutas gamit ang pagsusuri ng dalas, dahil sa bawat wika ang dalas ng paglitaw ng mga titik ay humigit-kumulang pare-pareho para sa anumang sapat na malaking teksto.

Mas mahirap masira Vigenere cipher, na naging natural na pag-unlad ng Caesar cipher. Upang magamit ang Vigenère cipher, ginagamit ang isang keyword na tumutukoy sa variable na halaga ng shift. Ang Vigenère cipher ay may mas mataas na lakas ng cryptographic kaysa sa Caesar cipher. Nangangahulugan ito na mas mahirap itong buksan - upang piliin ang tamang keyword. Sa teorya, kung ang haba ng susi ay katumbas ng haba ng mensahe, at ang bawat susi ay ginagamit nang isang beses lamang, ang Vigenère cipher ay hindi masisira.

Ang paggamit ng mga computer at mga automated na teknolohiya ay lumilikha ng maraming problema para sa pamamahala ng isang organisasyon. Ang mga computer, kadalasang naka-network, ay maaaring magbigay ng access sa napakalaking dami ng magkakaibang data. Samakatuwid, ang mga tao ay nag-aalala tungkol sa seguridad ng impormasyon at ang mga panganib na nauugnay sa automation at pagbibigay ng higit na access sa kumpidensyal, personal o iba pang kritikal na data. Ang electronic storage media ay mas mahina kaysa sa papel: ang data na nakaimbak sa mga ito ay maaaring sirain, kopyahin, at tahimik na baguhin.

Ang bilang ng mga krimen sa computer ay lumalaki, at ang laki ng pag-abuso sa computer ay tumataas din. Ayon sa mga eksperto sa US, ang pinsala mula sa mga krimen sa computer ay tumataas ng 35 porsiyento bawat taon. Ang isang dahilan ay ang halaga ng pera na nabuo ng krimen: habang ang karaniwang krimen sa computer ay nagkakahalaga ng $560,000, ang isang pagnanakaw sa bangko ay nagkakahalaga lamang ng $19,000.

Ayon sa Unibersidad ng Minnesota sa US, 93% ng mga kumpanyang nawalan ng access sa kanilang data sa loob ng higit sa 10 araw ay nawala sa negosyo, kung saan kalahati sa kanila ang nagdeklara kaagad ng kanilang kawalan ng utang.

Ang bilang ng mga empleyado sa isang organisasyong may access sa mga kagamitan sa kompyuter at teknolohiya ng impormasyon ay patuloy na lumalaki. Ang pag-access sa impormasyon ay hindi na limitado sa isang maliit na lupon ng mga tao sa tuktok ng organisasyon. Kung mas maraming tao ang nakakakuha ng access sa teknolohiya ng impormasyon at kagamitan sa computer, mas maraming pagkakataon na gumawa ng mga krimen sa computer.

Kahit sino ay maaaring maging isang computer criminal.

Ang tipikal na kriminal sa computer ay hindi isang batang hacker na gumagamit ng telepono at home computer upang makakuha ng access sa malalaking computer. Ang tipikal na kriminal sa computer ay isang empleyado na pinahihintulutan ng access sa isang sistema kung saan siya ay isang hindi teknikal na gumagamit. Sa Estados Unidos, ang white-collar computer crimes ay bumubuo ng 70-80 porsiyento ng taunang pagkalugi na nauugnay sa computer.

Mga palatandaan mga krimen sa kompyuter:

· pagnanakaw ng mga bahagi ng computer;

· pagnanakaw ng programa;

· pisikal na pagkasira ng kagamitan;

· pagkasira ng data o mga programa;

Ito ang mga pinaka-halatang palatandaan na dapat mong bigyang pansin kapag kinikilala ang mga krimen sa computer. Minsan ang mga palatandaang ito ay nagpapahiwatig na ang isang krimen ay nagawa na, o na ang mga hakbang sa proteksyon ay hindi sinusunod. Maaari din nilang ipahiwatig ang mga kahinaan at ipahiwatig kung saan ang mga puwang sa seguridad. Bagama't makakatulong ang mga palatandaan na matukoy ang krimen o pang-aabuso, makakatulong ang mga hakbang sa pagprotekta upang maiwasan ito.

Proteksyon ng impormasyon – ito ay isang aktibidad upang maiwasan ang pagkawala at pagtagas ng protektadong impormasyon.

Seguridad ng impormasyon tumawag ng mga hakbang upang protektahan ang impormasyon mula sa hindi awtorisadong pag-access, pagkasira, pagbabago, pagsisiwalat at pagkaantala sa pag-access. Kasama sa seguridad ng impormasyon ang mga hakbang upang protektahan ang mga proseso ng paglikha, pag-input, pagproseso at paglabas ng data.

Tinitiyak ng seguridad ng impormasyon na ang mga sumusunod ay nakakamit: mga layunin:

· pagiging kompidensiyal ng kritikal na impormasyon;

· integridad ng impormasyon at mga kaugnay na proseso (paglikha, input, pagproseso at output);

· pagkakaroon ng impormasyon kapag ito ay kinakailangan;

· accounting ng lahat ng mga proseso na may kaugnayan sa impormasyon.

Sa ilalim kritikal datos tumutukoy sa data na nangangailangan ng proteksyon dahil sa posibilidad ng pinsala at ang laki nito kung sakaling mangyari ang hindi sinasadya o sinadyang pagsisiwalat, pagbabago, o pagkasira ng data. Kasama rin sa kritikal na data ang data na, kung maling gamitin o isiwalat, ay maaaring negatibong makaapekto sa kakayahan ng organisasyon na magawa ang mga misyon nito; personal na data at iba pang data, ang proteksyon nito ay kinakailangan ng mga utos ng Pangulo ng Russian Federation, mga batas ng Russian Federation at iba pang mga by-law.

Anumang sistema ng seguridad, sa prinsipyo, ay maaaring ma-hack. Ang proteksyon ay itinuturing na epektibo kung ang halaga ng pag-hack ay naaayon sa halaga ng impormasyong nakuha.

Tungkol sa paraan ng proteksyon laban sa hindi awtorisadong pag-access, pitong klase ng seguridad (1 - 7) ng mga kagamitan sa kompyuter at siyam na klase (1A, 1B, 1B, 1G, 1D, 2A, 2B, 3A, 3B) ng mga automated na system ang tinukoy. Para sa mga kagamitan sa computer, ang pinakamababa ay klase 7, at para sa mga awtomatikong system - 3B.

Teknikal, organisasyonal at software na paraan ng pagtiyak ng kaligtasan at proteksyon mula sa hindi awtorisadong pag-access

Mayroong apat na antas ng proteksyon para sa computer at mga mapagkukunan ng impormasyon:

Pag-iwasipinapalagay na ang mga awtorisadong tauhan lamang ang may access sa protektadong impormasyon at teknolohiya.

Pagtuklasnagsasangkot ng maagang pagtuklas ng mga krimen at pang-aabuso, kahit na ang mga mekanismo ng proteksyon ay nalampasan.

Limitasyonbinabawasan ang halaga ng mga pagkalugi kung mangyari ang isang krimen, sa kabila ng mga hakbang upang maiwasan at matukoy ito.

PagbawiTinitiyak ang epektibong muling pagtatayo ng impormasyon na may dokumentado at na-verify na mga plano sa pagbawi.

Mga hakbang sa proteksyon- ito ay mga hakbang na ipinakilala ng pamamahala upang matiyak ang seguridad ng impormasyon. Kasama sa mga proteksiyong hakbang ang pagbuo ng mga patnubay na pang-administratibo, pag-install ng mga hardware device o karagdagang mga programa, ang pangunahing layunin nito ay upang maiwasan ang krimen at pang-aabuso.

Ang pagbuo ng isang rehimen ng seguridad ng impormasyon ay isang kumplikadong problema. Ang mga hakbang upang malutas ito ay maaaring hatiin sa apat na antas:

- pambatas: mga batas, regulasyon, pamantayan, atbp.;

- administratibo: pangkalahatang mga aksyon na ginawa ng pamamahala ng organisasyon;

- pamamaraan: tiyak na mga hakbang sa seguridad na nakikitungo sa mga tao;

- software at hardware: tiyak na mga teknikal na hakbang.

Sa kasalukuyan, ang pinakadetalyadong dokumento ng pambatasan sa Russia sa larangan ng seguridad ng impormasyon ay ang Criminal Code. Sa seksyong "Mga Krimen laban sa kaligtasan ng publiko" mayroong isang kabanata na "Mga Krimen sa larangan ng impormasyon sa computer". Naglalaman ito ng tatlong artikulo - "Ilegal na pag-access sa impormasyon sa computer", "Paglikha, paggamit at pamamahagi ng mga nakakahamak na programa sa computer" at "Paglabag sa mga patakaran para sa pagpapatakbo ng mga computer, computer system o kanilang mga network". Ang Criminal Code ay nagbabantay sa lahat ng aspeto ng seguridad ng impormasyon - pagkakaroon, integridad, pagiging kumpidensyal, nagbibigay ng mga parusa para sa "pagkasira, pagharang, pagbabago at pagkopya ng impormasyon, pagkagambala sa pagpapatakbo ng isang computer, computer system o kanilang network."

Isaalang-alang natin ang ilang mga hakbang upang maprotektahan ang seguridad ng impormasyon ng mga computer system.

1. Pagpapatunay ng User. Ang panukalang ito ay nag-aatas sa mga user na kumpletuhin ang mga pamamaraan sa pag-logon ng computer bilang isang paraan ng pagkakakilanlan kapag nagsisimula sa trabaho. Upang mapatunayan ang pagkakakilanlan ng bawat user, ang mga natatanging password, na hindi kumbinasyon ng personal na data ng mga user, ay dapat gamitin para sa user. Kinakailangang magpatupad ng mga hakbang sa seguridad kapag nangangasiwa ng mga password, at gawing pamilyar ang mga user sa mga pinakakaraniwang pagkakamali na nagpapahintulot sa isang krimen sa computer na magawa. Kung ang iyong computer ay may built-in na karaniwang password, dapat mong baguhin ito.

Ang isang mas maaasahang solusyon ay ang pag-aayos ng kontrol sa pag-access sa mga lugar o sa isang tiyak na computer sa network gamit ang mga plastic card ng pagkakakilanlan na may built-in na microcircuit - ang tinatawag na microprocessor card (smart card). Ang kanilang pagiging maaasahan ay dahil pangunahin sa imposibilidad ng pagkopya o pagmemeke gamit ang isang gawang bahay na pamamaraan. Ang pag-install ng isang espesyal na mambabasa para sa mga naturang card ay posible hindi lamang sa pasukan sa lugar kung saan matatagpuan ang mga computer, kundi pati na rin nang direkta sa mga workstation at network server.

Mayroon ding iba't ibang mga aparato para sa pagkilala sa isang tao gamit ang biometric na impormasyon - iris, mga fingerprint, laki ng kamay, atbp.

2. Proteksyon ng password.

Ang mga sumusunod na panuntunan ay kapaki-pakinabang para sa proteksyon ng password:

· Hindi mo maaaring ibahagi ang iyong password sa sinuman;

· ang password ay dapat na mahirap hulaan;

· upang lumikha ng isang password, kailangan mong gumamit ng maliliit at malalaking titik, o mas mabuti pa, hayaan ang computer na bumuo ng password mismo;

· mas mainam na gumamit ng mahabang password, dahil mas ligtas ang mga ito kung ang password ay binubuo ng 6 o higit pang mga character;

· hindi dapat ipakita ang password sa screen ng computer kapag ipinasok mo ito;

· hindi dapat isama ang mga password sa mga printout;

· hindi ka maaaring magsulat ng mga password sa isang mesa, dingding o terminal, dapat silang itago sa memorya;

· ang password ay dapat na palitan ng pana-panahon at hindi sa isang iskedyul;

· ang posisyon ng tagapangasiwa ng password ay dapat ang pinaka-maaasahang tao;

· kapag umalis ang isang empleyado, kailangang baguhin ang password;

· Dapat pumirma ang mga empleyado para sa mga password.

Ang isang organisasyong nangangasiwa ng kritikal na data ay dapat na mayroong mga pamamaraan ng awtorisasyon sa lugar na tumutukoy kung aling mga user ang dapat magkaroon ng access sa kung aling impormasyon at mga application.

Ang organisasyon ay dapat magtatag ng isang pamamaraan kung saan ang pahintulot ng ilang mga superyor ay kinakailangan na gumamit ng mga mapagkukunan ng computer, kumuha ng pahintulot upang ma-access ang impormasyon at mga aplikasyon, at kumuha ng password.

Kung ang impormasyon ay naproseso sa isang malaking sentro ng computer, kung gayon kinakailangan na kontrolin ang pisikal na pag-access sa mga kagamitan sa computer. Maaaring angkop ang mga pamamaraan tulad ng mga log, lock at pass, at mga security guard. Dapat malaman ng taong responsable para sa seguridad ng impormasyon kung sino ang may karapatang ma-access ang lugar gamit ang mga kagamitan sa kompyuter at paalisin ang mga hindi awtorisadong tao mula doon.

4. Mga pag-iingat sa panahon ng operasyon.

· huwag paganahin ang hindi nagamit na mga terminal;

· isara ang mga silid kung saan matatagpuan ang mga terminal;

· paikutin ang mga screen ng computer upang hindi ito makita mula sa mga pinto, bintana at iba pang mga lugar na hindi kontrolado;

· mag-install ng mga espesyal na kagamitan na naglilimita sa bilang ng mga hindi matagumpay na pagtatangka sa pag-access, o gumagawa ng isang tawag pabalik upang i-verify ang pagkakakilanlan ng mga gumagamit na gumagamit ng mga telepono upang ma-access ang computer

· gumamit ng mga programa upang isara ang terminal pagkatapos ng isang tiyak na panahon ng hindi paggamit;

· patayin ang system sa mga oras na walang pasok;

· gumamit ng mga system na nagbibigay-daan, pagkatapos mag-log in ang isang user, na ipaalam sa kanya ang oras ng kanyang huling session at ang bilang ng mga hindi matagumpay na pagtatangka na magtatag ng session pagkatapos noon. Gagawin nitong mahalagang bahagi ng sistema ng inspeksyon ng log ang user.

5. Pisikal na seguridad.

Ang mga protektadong computer system ay dapat gumawa ng mga hakbang upang maiwasan, matukoy, at mabawasan ang pinsala mula sa sunog, baha, polusyon, init, at mga surge ng kuryente.

Ang mga alarma sa sunog at mga sistema ng pamatay ng sunog ay dapat na regular na suriin. Ang mga PC ay maaaring protektahan ng mga takip upang hindi sila masira ng fire extinguishing system. Ang mga nasusunog na materyales ay hindi dapat itago sa mga computer room na ito.

Ang temperatura ng silid ay maaaring kontrolin ng mga air conditioner at tagahanga, pati na rin ang mahusay na bentilasyon sa silid. Ang mga problema sa sobrang mataas na temperatura ay maaaring mangyari sa mga peripheral equipment rack o dahil sa mga naka-block na vent sa mga terminal o PC, kaya kailangan ang regular na inspeksyon.

Maipapayo na gumamit ng mga filter ng hangin, na makakatulong sa paglilinis ng hangin mula sa mga sangkap na maaaring makapinsala sa mga computer at disk. Ang paninigarilyo, pagkain at pag-inom malapit sa PC ay dapat ipagbawal.

Ang mga computer ay dapat na matatagpuan sa pinakamalayo hangga't maaari mula sa mga mapagkukunan ng maraming tubig, tulad ng mga pipeline.

6. Proteksyon ng media (mga orihinal na dokumento, tape, cartridge, disk, printout).

· panatilihin, subaybayan at suriin ang mga rehistro ng mga tagapagdala ng impormasyon;

· sanayin ang mga gumagamit sa tamang paraan ng paglilinis at pagsira ng storage media;

· gumawa ng mga marka sa storage media na sumasalamin sa antas ng pagiging kritikal ng impormasyong nakapaloob sa mga ito;

· sirain ang storage media alinsunod sa plano ng organisasyon;

· ipaalam ang lahat ng namamahala na dokumento sa mga empleyado;

· mag-imbak ng mga disc sa mga sobre, kahon, metal safe;

· huwag hawakan ang mga ibabaw ng mga disk na nagdadala ng impormasyon

· maingat na ipasok ang mga disk sa computer at ilayo ang mga ito sa mga pinagmumulan ng magnetic field at sikat ng araw;

· alisin ang mga disk at tape na kasalukuyang hindi ginagamit;

· tindahan ng mga disc na nakaayos sa mga istante sa isang tiyak na pagkakasunud-sunod;

· huwag magbigay ng media na naglalaman ng kritikal na impormasyon sa mga hindi awtorisadong tao;

· itapon o ibigay ang mga nasirang disk na may kritikal na impormasyon pagkatapos lamang na ma-demagnetize ang mga ito o katulad na pamamaraan;

· sirain ang kritikal na impormasyon sa mga disk sa pamamagitan ng pag-demagnetize sa kanila o pisikal na pagsira sa mga ito alinsunod sa pagkakasunud-sunod ng organisasyon;

· sirain ang mga printout at ink ribbons mula sa mga printer na may kritikal na impormasyon alinsunod sa mga pamamaraan ng organisasyon;

· Tiyakin ang seguridad ng mga printout ng mga password at iba pang impormasyon na nagbibigay-daan sa pag-access sa computer.

7. Pagpili ng maaasahang kagamitan.

Ang pagganap at fault tolerance ng isang sistema ng impormasyon ay higit na nakasalalay sa pagganap ng mga server. Kung kinakailangan upang matiyak ang walang tigil na operasyon ng system ng impormasyon sa buong araw, ginagamit ang mga espesyal na fault-tolerant na computer, i.e., yaong ang pagkabigo ng isang indibidwal na bahagi ay hindi humantong sa pagkabigo ng makina.

Ang pagiging maaasahan ng mga sistema ng impormasyon ay negatibong naapektuhan ng pagkakaroon ng mga device na binuo mula sa mababang kalidad na mga bahagi at ang paggamit ng hindi lisensyadong software. Ang labis na pagtitipid sa pagsasanay ng mga tauhan, pagbili ng lisensiyadong software at de-kalidad na kagamitan ay humahantong sa pagbaba sa uptime at makabuluhang gastos para sa kasunod na pagpapanumbalik ng system.

8. Walang tigil na suplay ng kuryente.

Ang isang computer system ay enerhiya-intensive, at samakatuwid ang unang kondisyon para sa paggana nito ay isang walang patid na supply ng kuryente. Ang isang kinakailangang bahagi ng sistema ng impormasyon ay dapat na hindi maputol na mga suplay ng kuryente para sa mga server, at, kung maaari, para sa lahat ng lokal na workstation. Inirerekomenda din na i-duplicate ang power supply gamit ang iba't ibang substation ng lungsod. Upang radikal na malutas ang problema, maaari kang mag-install ng mga backup na linya ng kuryente mula sa sariling generator ng organisasyon.

9. Bumuo ng sapat na pagpapatuloy ng negosyo at mga plano sa pagbawi.

Ang layunin ng pagpapatuloy ng negosyo at mga plano sa pagbawi ay tiyaking maipagpapatuloy ng mga user ang kanilang pinakamahalagang responsibilidad sakaling magkaroon ng pagkagambala sa teknolohiya ng impormasyon. Dapat alam ng mga tauhan ng pagpapanatili kung paano magpatuloy sa mga planong ito.

Ang business continuity and recovery plans (CRPs) ay dapat isulat, suriin at regular na ipaalam sa mga empleyado. Ang mga pamamaraan ng plano ay dapat na sapat sa antas ng seguridad at pagiging kritikal ng impormasyon. Maaaring gamitin ang plano ng NRT sa panahon ng kalituhan at panic, kaya dapat na regular na sanayin ang mga kawani.

10. Pag-backup.

Ang isa sa mga pangunahing punto upang matiyak ang pagbawi ng system sa kaganapan ng isang sakuna ay ang backup ng mga gumaganang programa at data. Sa mga lokal na network kung saan maraming mga server ang naka-install, kadalasan ang backup system ay direktang naka-install sa mga libreng puwang ng mga server. Sa malalaking corporate network, ang kagustuhan ay ibinibigay sa isang dedikadong dalubhasang server ng pag-archive, na awtomatikong nag-archive ng impormasyon mula sa mga hard drive ng mga server at workstation sa isang tiyak na oras na itinakda ng administrator ng network, na naglalabas ng isang ulat sa backup na ginawa.

Para sa impormasyon ng archival na may partikular na halaga, inirerekumenda na magbigay ng silid ng seguridad. Mas mainam na mag-imbak ng mga duplicate ng pinakamahalagang data sa isa pang gusali o kahit sa ibang lungsod. Ang huling panukala ay ginagawang hindi maaapektuhan ang data sa kaganapan ng sunog o iba pang natural na sakuna.

11. Duplication, multiplexing at redundancy ng mga opisina.

Bilang karagdagan sa mga backup, na ginagawa sa kaganapan ng isang emergency o ayon sa isang paunang natukoy na iskedyul, para sa higit na kaligtasan ng data sa mga hard drive, ang mga espesyal na teknolohiya ay ginagamit - disk mirroring at ang paglikha ng RAID arrays, na kung saan ay isang kumbinasyon ng ilang mga hard drive. nagmamaneho. Kapag nagre-record, ang impormasyon ay ibinahagi nang pantay-pantay sa pagitan nila, upang kung ang isa sa mga disk ay nabigo, ang data dito ay maaaring maibalik gamit ang mga nilalaman ng iba.

Ang teknolohiya ng clustering ay nagsasangkot ng maraming mga computer na gumagana bilang isang yunit. Bilang isang tuntunin, ang mga server ay naka-cluster. Ang isa sa mga cluster server ay maaaring gumana sa mainit na standby mode, ganap na handa upang simulan ang pagganap ng mga function ng pangunahing makina sa kaganapan ng pagkabigo nito. Ang isang pagpapatuloy ng teknolohiya ng clustering ay ipinamahagi na clustering, kung saan ang ilang mga cluster server na pinaghiwalay sa isang mahabang distansya ay pinagsama sa pamamagitan ng isang pandaigdigang network.

Ang mga ibinahagi na kumpol ay malapit sa konsepto ng mga backup na opisina, na nakatuon sa pagtiyak sa buhay ng isang negosyo kung sakaling masira ang gitnang lugar nito. Ang mga backup na opisina ay nahahati sa mga malamig, kung saan ang mga kable ng komunikasyon ay isinagawa, ngunit walang kagamitan, at mga mainit, na maaaring maging isang backup na sentro ng computer na tumatanggap ng lahat ng impormasyon mula sa sentral na opisina, isang sangay na tanggapan, isang opisina sa mga gulong, atbp.

12. Pagpapareserba ng mga channel ng komunikasyon.

Sa kawalan ng komunikasyon sa labas ng mundo at sa mga departamento nito, ang opisina ay nagiging paralisado, samakatuwid ang kalabisan ng panlabas at panloob na mga channel ng komunikasyon ay napakahalaga. Kapag nagpapareserba, inirerekumenda na pagsamahin ang iba't ibang uri ng komunikasyon - mga linya ng cable at mga channel ng radyo, overhead at underground na pagtula ng mga komunikasyon, atbp.

Habang ang mga kumpanya ay nagiging mas at higit pa sa Internet, ang kanilang negosyo ay nagiging mas umaasa sa paggana ng Internet provider. Ang mga provider ng access sa network kung minsan ay may malubhang aksidente, kaya mahalagang iimbak ang lahat ng mahahalagang aplikasyon sa panloob na network ng kumpanya at magkaroon ng mga kontrata sa ilang lokal na provider. Dapat mo ring pag-isipan nang maaga kung paano aabisuhan ang mga madiskarteng kliyente tungkol sa pagbabago sa email address at hilingin sa provider na gumawa ng mga hakbang upang matiyak ang agarang pagpapanumbalik ng mga serbisyo nito pagkatapos ng mga sakuna.

12. Proteksyon ng data mula sa pagharang.

Para sa alinman sa tatlong pangunahing teknolohiya para sa pagpapadala ng impormasyon, mayroong isang teknolohiya ng pagharang: para sa mga linya ng cable - kumokonekta sa isang cable, para sa mga komunikasyon sa satellite - gamit ang isang antenna upang makatanggap ng isang senyas mula sa isang satellite, para sa mga radio wave - radio interception. Hinahati ng mga serbisyo sa seguridad ng Russia ang mga komunikasyon sa tatlong klase. Ang una ay sumasaklaw sa mga lokal na network na matatagpuan sa isang security zone, iyon ay, mga lugar na may limitadong pag-access at may kalasag na mga elektronikong kagamitan at linya ng komunikasyon, at walang access sa mga channel ng komunikasyon sa labas nito. Kasama sa pangalawang klase ang mga channel ng komunikasyon sa labas ng security zone, na pinoprotektahan ng mga pang-organisasyon at teknikal na hakbang, at ang ikatlong klase ay kinabibilangan ng mga hindi protektadong channel ng pampublikong komunikasyon. Ang paggamit ng mga pangalawang-class na komunikasyon ay makabuluhang binabawasan ang posibilidad ng pagharang ng data.

Upang protektahan ang impormasyon sa isang panlabas na channel ng komunikasyon, ginagamit ang mga sumusunod na device: mga scrambler para sa pagprotekta ng impormasyon ng boses, mga encryptor para sa mga komunikasyon sa broadcast at mga tool sa cryptographic na nagbibigay ng pag-encrypt ng digital na data.



MGA KAUGNAY NA ARTIKULO