Mga hakbang sa software at hardware, ibig sabihin, mga hakbang na naglalayong kontrolin ang mga entidad ng computer - kagamitan, programa at/o data, ang pinakahuli at pinakamahalagang hangganan seguridad ng impormasyon. Alalahanin natin na ang pinsala ay pangunahing sanhi ng mga aksyon ng mga legal na gumagamit, na may kaugnayan sa kung kanino ang mga regulator ng pamamaraan ay hindi epektibo. Ang pangunahing mga kaaway ay ang kawalan ng kakayahan at kawalang-ingat sa pagganap ng mga opisyal na tungkulin, at tanging ang mga hakbang sa software at hardware ang makakalaban sa kanila.
Nakatulong ang mga computer na i-automate ang maraming bahagi ng aktibidad ng tao. Parang natural lang na gustong ipagkatiwala sa kanila ang sariling seguridad. Kahit na ang pisikal na proteksyon ay lalong ipinagkatiwala hindi sa mga security guard, ngunit sa pinagsama-samang mga sistema ng computer, na ginagawang posible na sabay na subaybayan ang mga paggalaw ng mga empleyado kapwa sa buong organisasyon at sa buong espasyo ng impormasyon.
Gayunpaman, dapat itong isaalang-alang na ang mabilis na pag-unlad teknolohiya ng impormasyon hindi lamang nagbibigay sa mga tagapagtanggol ng mga bagong pagkakataon, ngunit talagang ginagawang mahirap na matiyak maaasahang proteksyon, kung umaasa lamang tayo sa mga programmatic na hakbang teknikal na antas. Mayroong ilang mga dahilan para dito:
pagtaas ng pagganap ng microcircuits, pagbuo ng mga arkitektura na may mataas na antas Ang paralelismo ay nagbibigay-daan, gamit ang malupit na puwersa, na malampasan ang mga hadlang (pangunahin ang cryptographic) na dati ay tila hindi magagapi;
pagbuo ng network at mga teknolohiya ng network, isang pagtaas sa bilang ng mga koneksyon sa pagitan ng mga sistema ng impormasyon, at isang pagtaas sa kapasidad ng channel ay nagpapalawak sa bilog ng mga umaatake na mayroong teknikal na pagiging posible ayusin ang mga pag-atake;
paglitaw ng bago mga serbisyo ng impormasyon humahantong sa pagbuo ng mga bagong kahinaan sa parehong "loob" na mga serbisyo at sa kanilang mga interface;
pinipilit ng kumpetisyon sa mga tagagawa ng software na bawasan ang oras ng pag-unlad, na humahantong sa pagbaba sa kalidad ng pagsubok at pagpapalabas ng mga produktong may mga depekto sa seguridad;
Ang paradigm ng patuloy na pagtaas ng lakas ng hardware at software na ipinapataw sa mga consumer ay nagpapahirap na manatili sa loob ng mga limitasyon ng maaasahan, napatunayang mga pagsasaayos nang matagal at, bilang karagdagan, ay sumasalungat sa mga hadlang sa badyet, na binabawasan ang bahagi ng mga alokasyon sa seguridad.
Ang mga nakalistang pagsasaalang-alang ay muling binibigyang-diin ang kahalagahan ng isang pinagsamang diskarte sa seguridad ng impormasyon, pati na rin ang pangangailangan para sa isang nababaluktot na posisyon kapag pumipili at nagpapanatili ng software at hardware regulators.
Ang sentro sa antas ng software at hardware ay ang konsepto ng isang serbisyo sa seguridad.
Kasunod ng object-oriented na diskarte, kapag isinasaalang-alang ang isang sistema ng impormasyon na may isang antas ng detalye, makikita natin ang kabuuan ng mga serbisyo ng impormasyon na ibinibigay nito. Tawagin natin silang basic. Upang gumana ang mga ito at magkaroon ng mga kinakailangang katangian, kailangan ang ilang antas ng karagdagang (auxiliary) na serbisyo - mula sa DBMS at mga monitor ng transaksyon hanggang sa kernel at hardware ng operating system.
Kasama sa mga pantulong na serbisyo ang mga serbisyong panseguridad (natagpuan na namin ang mga ito kapag isinasaalang-alang ang mga pamantayan at mga detalye sa larangan ng seguridad ng impormasyon); Kabilang sa mga ito, pangunahing magiging interesado tayo sa mga serbisyong unibersal at mataas na antas na magagamit ng iba't ibang mga pangunahing at pantulong na serbisyo. Susunod, titingnan natin ang mga sumusunod na serbisyo:
- pagkakakilanlan at pagpapatunay;
- kontrol sa pag-access;
- pag-log at pag-audit;
- pag-encrypt;
- kontrol sa integridad;
- kalasag;
- pagsusuri sa seguridad;
- tinitiyak ang pagpapahintulot sa kasalanan;
- pagtiyak ng ligtas na pagbawi;
- tunneling;
- kontrol.
- proteksyon panloob na network;
- proteksyon ng pag-access sa Internet at internasyonal pagpapalitan ng impormasyon;
- proteksyon ng pakikipag-ugnayan sa mga malalayong yunit.
- mula sa isang partikular na teknolohiya sa pagpoproseso ng impormasyon;
- mula sa teknikal at software;
- mula sa lokasyon ng organisasyon;
- kontrol sa pag-access,
- kalasag,
- pagpapatunay at pagkakakilanlan ng gumagamit,
- pag-log at pag-audit,
- seguridad mataas na kakayahang magamit,
- kriptograpiya.
pagkakakilanlan at pagpapatunay;
kontrol sa pag-access;
pag-log at pag-audit;
pag-encrypt;
kontrol sa integridad;
kalasag;
pagsusuri sa seguridad;
tinitiyak ang pagpapahintulot sa kasalanan;
seguridad ligtas na paggaling;
tunneling;
Mga hakbang sa software at hardware na naglalayong kontrolin kagamitan sa kompyuter, mga programa at nakaimbak na data ang bumubuo sa pinakahuli ngunit hindi bababa sa mahalagang hangganan ng seguridad ng impormasyon. Sa antas na ito, hindi lamang positibo, kundi pati na rin negatibong kahihinatnan mabilis na pag-unlad ng teknolohiya ng impormasyon. Una, karagdagang mga tampok lumilitaw hindi lamang sa mga espesyalista sa seguridad ng impormasyon, kundi pati na rin sa mga umaatake. Pangalawa, ang mga sistema ng impormasyon ay patuloy na ginagawang moderno, itinatayo muli, at hindi sapat na nasubok na mga bahagi (pangunahin ang software) ay idinagdag sa kanila, na nagpapahirap sa pagsunod sa rehimeng pangseguridad.
Ang sentro sa antas ng software at hardware ay ang konsepto ng isang serbisyo sa seguridad. Ang mga naturang serbisyo para sa mga institusyon at kumpanya ay kinabibilangan ng: pampublikong sektor kasama ang:
Sa kasalukuyan, ang pagtaas ng antas ng seguridad ng impormasyon ng mga negosyong pag-aari ng estado ay maaaring makamit sa pamamagitan ng pagpapatupad makabagong teknolohiya proteksyon, na nailalarawan sa pamamagitan ng pagtaas ng functionality, versatility at ang kakayahang ma-port sa anumang platform. Sa lugar teknikal na proteksyon mapagkukunan ng impormasyon, maaari nating makilala ang tatlong pangunahing lugar kung saan nagpapatakbo ang mga negosyong pag-aari ng estado ng Russia:
Kasabay nito, naaalala namin na ang mga ahensya ng gobyerno at mga organisasyon ng gobyerno ay gumagamit lamang ng mga tool sa seguridad ng impormasyon na sertipikado ng FSTEC o ng FSB ng Russian Federation. Upang protektahan ang mga panloob na mapagkukunan, karamihan sa mga pederal at rehiyonal na awtoridad kapangyarihan ng estado gumamit ng built-in mga operating system authentication ng user at mga mekanismo ng awtorisasyon. Ang ilang mga departamento ay may mga espesyal na certified system para sa pagprotekta laban sa hindi awtorisadong pag-access at mga elektronikong kandado, gaya ng "Labyrinth-M", "Accord", SecretNet. Bilang isang patakaran, naka-install ang paraan ng pag-encrypt mga lihim na susi proteksyon ng impormasyon na "CryptoPro" o matagal nang kilala at hanggang ngayon mga sikat na sistema pamilya "Verba".
Upang protektahan ang mga workstation at server sa panloob na network mula sa malware(mga virus, bulate, Mga kabayong Trojan) ang karamihan sa mga organisasyon ng pamahalaan ay gumagamit ng antivirus software software. Kadalasan ito ay ang Russian Kaspersky Anti-Virus o Dr.Web. Gayunpaman, mayroon ding mga solusyon Trend Micro, Symantec, McAfee, Eset.
Ang network ay nahahati sa mga segment na may iba't ibang mga kinakailangan sa seguridad ng impormasyon gamit ang MAC at mga mekanismo ng pag-filter ng IP address sa aktibo kagamitan sa network at mga mekanismo ng VLAN. Mga sistema ng pagsubaybay sa patakaran sa seguridad na naghahambing kasalukuyang mga setting mga mekanismo ng pagtatanggol at mga subsystem na may mga reference na halaga (Cisco, Uryadnik).
Upang maprotektahan ang perimeter ng network, ang mga ahensya ng gobyerno ay karaniwang gumagamit ng iba't ibang mga sertipikadong mga firewall. Ang mga ito ay pangunahing mga solusyon mula sa Cisco, Aladdin at Check Point. Ngunit mayroon ding mga produkto mula sa iba pang mga tagagawa, lalo na, Novell Border Manager, Microsoft ISA Server, SSPT-1 at SSPT-1M mula sa Central Research Institute ng RTK, Zastava mula sa Elvis-Plus.
Ang mga sistema ng pagtuklas at pag-iwas sa pag-atake (tinatawag na HIPS) ay hanggang ngayon ay ipinatupad sa napakakaunting mga organisasyon ng pamahalaan. Karaniwan, ang mga solusyon mula sa Symantec, S.N. Safe'n'Software at Cisco. Ang mga ahensya ng pederal na pamahalaan ay nagbibigay ng proteksyon laban sa spam at pang-aabuso sa Internet iba't ibang sistema pagsubaybay email at trapiko sa web, gaya ng eSafe Gateway, MAILsweeper, WEBsweeper at Websense.
Sa mga channel ng komunikasyon na may mga malalayong yunit, lamang Mga sistemang Ruso proteksyon ng cryptographic impormasyon at VPN - “Zastava”, VipNet o “Kontinente”.
11. Legal na balangkas proteksyon ng organisasyon. Mga mapagkukunan ng batas sa larangan ng seguridad ng impormasyon. Mga uri mga dokumento ng regulasyon. Mga halimbawa ng domestic at foreign legislative documents.
SA Russian Federation Ang mga regulasyong ligal na aksyon sa larangan ng seguridad ng impormasyon ay kinabibilangan ng:
· Mga batas ng pederal na batas:
· Mga internasyonal na kasunduan ng Russian Federation;
· Konstitusyon ng Russian Federation;
· Mga batas sa pederal na antas (kabilang ang mga pederal na batas sa konstitusyon, mga code);
· Mga Dekreto ng Pangulo ng Russian Federation;
· Mga Dekreto ng Pamahalaan ng Russian Federation;
· Mga regulasyong ligal ng mga pederal na ministri at mga departamento;
· Mga regulasyong ligal na aksyon ng mga nasasakupang entity ng Russian Federation, mga lokal na pamahalaan, atbp.
Kasama sa mga dokumento ng regulasyon at pamamaraan
1. Mga dokumentong pamamaraan mga katawan ng pamahalaan Russia:
· Doktrina ng seguridad ng impormasyon ng Russian Federation;
· Mga gabay na dokumento ng FSTEC (State Technical Commission of Russia);
· Mga order sa FSB;
2. Mga pamantayan sa seguridad ng impormasyon, kung saan ang mga sumusunod ay nakikilala:
· Mga internasyonal na pamantayan;
· Mga pamantayan ng estado (pambansa) ng Russian Federation;
· Mga tagubiling pamamaraan.
Mga uri ng mga dokumento ng regulasyon:
· Mga regulasyong legal na aksyon: Mga Batas ng Russian Federation (Sa Seguridad), Mga Pederal na Batas (Sa Personal na Data, Sa Impormasyon at Teknolohiya ng Impormasyon, Sa Electronic digital na lagda), Dekreto ng Pangulo ng Russian Federation (Sa pag-apruba ng listahan ng impormasyon kumpidensyal), Dekreto ng Pamahalaan (Sa Certification of Information Security Tools, On Licensing);
· Mga dokumentong pang-regulatoryo, pamamaraan at pamamaraan: Doktrina, Mga Kautusan ng FSTEC, Mga Regulasyon sa sertipikasyon ng mga kagamitang pang-proteksyon ayon sa mga kinakailangan sa kaligtasan, Mga regulasyon sa sertipikasyon ng mga bagay, Mga probisyon ng modelo, Mga dokumento sa paggabay, Mga Paraan (pagtatasa ng seguridad), Dokumento ng regulasyon at pamamaraan;
· Mga Pamantayan: GOST, RD, SanPin ( Mga kinakailangan sa kalinisan sa mga terminal ng pagpapakita ng video), SNiP (proteksyon sa ingay).
Halimbawa ng mga dokumentong pambatasan sa ibang bansa:
Estados Unidos ng Amerika
Sa ngayon, ang Estados Unidos ang nasasakupan ng ang pinakamalaking bilang mga dokumento sa System (higit sa 12,000 mga dokumento).
Kasama sa database ang mga dokumento mula sa dalawang pangunahing pederal na mapagkukunang legal ng Amerika: ang US Code (USC) at ang Code of Federal Regulations (CFR). Ang una ay isang sistematikong hanay ng pederal na batas ayon sa batas at binubuo ng 52 mga seksyon na nakatuon sa regulasyon ng ilang mga legal na sangay o institusyon.
Kasama sa System ang tatlong seksyon ng US Code: Seksyon 26 - US Internal Revenue Code, Seksyon 12 - Mga Bangko at aktibidad sa pagbabangko(Mga Bangko at Pagbabangko) at Seksyon 15 - Komersiyo at Kalakalan, na kinabibilangan ng mga batas na nagre-regulate ng mga aktibidad sa merkado ng securities. Ang Kodigo ng mga Batas ay muling inilalabas ng Kongreso tuwing 6 na taon at inilathala ng US Code Service. Hindi tulad ng karamihan mga mapagkukunan na magagamit sa publiko, ang sistema ng WBL ay naglalaman hindi lamang ng teksto ng mga dokumentong ito, kundi pati na rin ang kasaysayan ng lahat ng mga susog na ginawa sa kanila, pati na rin ang mga tala at ang pinakamahalagang hudisyal na mga nauna sa lugar na ito.
Kasama rin sa System ang mga by-law na inisyu ng mga pederal na awtoridad sangay ng ehekutibo at kasama sa Code of Federal Regulations Ang mga ito ay nai-publish Federal Register(Federal Register) - isang organ ng National Archives Administration.
12. Pagbuo ng isang patakaran sa seguridad. Mga pangunahing probisyon ng seguridad ng impormasyon. Saklaw ng aplikasyon. Mga layunin at layunin ng pagtiyak ng seguridad ng impormasyon. Pamamahagi ng mga tungkulin at responsibilidad. Pangkalahatang pananagutan.
Pag-unlad.
Una kailangan mong magsagawa ng pag-audit mga proseso ng impormasyon mga kumpanya, kilalanin nang kritikal mahalagang impormasyon na kailangang protektahan. Ang pag-audit ng mga proseso ng impormasyon ay dapat magtapos sa pagtukoy sa listahan kumpidensyal na impormasyon mga negosyo, mga lugar kung saan ipinakalat ang impormasyong ito, mga taong pinapayagang ma-access ito, pati na rin ang mga kahihinatnan ng pagkawala (pagbabaluktot) ng impormasyong ito. Matapos ipatupad ang yugtong ito, nagiging malinaw kung ano ang protektahan, kung saan protektahan at kanino: pagkatapos ng lahat, sa napakaraming mga insidente, ang mga lumalabag ay magiging - kusa o ayaw - ang mga empleyado ng kumpanya mismo. At walang magagawa tungkol dito: kailangan mong tanggapin ito para sa ipinagkaloob. Ang iba't ibang banta sa seguridad ay maaaring magtalaga ng isang halaga ng posibilidad para sa kanilang paglitaw. Sa pamamagitan ng pagpaparami ng posibilidad ng isang banta na matanto sa pinsalang dulot ng pagpapatupad na ito, nakukuha natin ang panganib ng banta. Pagkatapos nito, dapat kang magsimulang bumuo ng isang patakaran sa seguridad.
Ang patakaran sa seguridad ay isang "nangungunang" antas ng dokumento, na dapat magpahiwatig ng:
· mga taong responsable para sa kaligtasan ng kumpanya;
· kapangyarihan at pananagutan ng mga departamento at serbisyo tungkol sa seguridad;
· pag-aayos ng pagpasok ng mga bagong empleyado at ang kanilang pagpapaalis;
mga panuntunan para sa paglilimita sa pag-access ng empleyado sa mapagkukunan ng impormasyon;
· organisasyon ng access control, pagpaparehistro ng mga empleyado at mga bisita;
· paggamit ng software at hardware na proteksyon tool;
· iba pang pangkalahatang pangangailangan.
Ang mga gastos sa pagtiyak ng seguridad ng impormasyon ay hindi dapat mas malaki kaysa sa halaga ng potensyal na pinsala mula sa pagkawala nito. Ang pagsusuri sa peligro na isinagawa sa yugto ng pag-audit ay nagbibigay-daan sa amin na ranggo ang mga ito ayon sa laki at protektahan una sa lahat hindi lamang ang mga pinaka-mahina, kundi pati na rin ang mga nagpoproseso ng karamihan. mahalagang impormasyon mga plot. Pamantayan ng ISO Binibigyang-daan ka ng 17799 na makuha quantification komprehensibong seguridad:
Ang pagbuo ng isang patakaran sa seguridad ay nagsasangkot ng ilang mga paunang hakbang:
· pagtatasa ng personal (subjective) na saloobin sa mga panganib ng negosyo ng mga may-ari at tagapamahala nito na responsable para sa paggana at pagganap ng negosyo bilang isang buo o indibidwal na mga lugar ng aktibidad nito;
· pagsusuri ng mga potensyal na mahina mga bagay ng impormasyon;
· pagtukoy ng mga banta sa mahahalagang bagay ng impormasyon (impormasyon, mga sistema ng impormasyon, proseso ng pagproseso ng impormasyon) at pagtatasa ng mga kaukulang panganib.
Kapag bumubuo ng mga patakaran sa seguridad sa lahat ng antas, dapat kang sumunod sa mga sumusunod na pangunahing panuntunan:
· Mga patakaran sa seguridad para sa higit pa mababang antas dapat ganap na sumunod sa mga nauugnay na patakaran pinakamataas na antas, pati na rin ang kasalukuyang batas at mga kinakailangan ng mga ahensya ng gobyerno.
· Ang teksto ng patakaran sa seguridad ay dapat na naglalaman lamang ng malinaw at hindi malabo na wika na hindi nagpapahintulot ng dobleng interpretasyon.
· Ang teksto ng patakaran sa seguridad ay dapat na maunawaan ng mga empleyado kung kanino ito tinutugunan.
Heneral ikot ng buhay Kasama sa patakaran sa seguridad ng impormasyon ang ilang pangunahing hakbang.
· Pagsasagawa ng isang paunang pag-aaral ng estado ng seguridad ng impormasyon.
· Ang aktwal na pagbuo ng isang patakaran sa seguridad.
· Pagpapatupad ng mga binuong patakaran sa seguridad.
· Pagsusuri ng pagsunod sa mga kinakailangan ng ipinatupad na patakaran sa seguridad at pagbabalangkas ng mga kinakailangan para sa karagdagang pagpapabuti nito (bumalik sa unang yugto, sa isang bagong yugto ng pagpapabuti).
Patakaran sa Seguridad ng Organisasyon(Ingles) mga patakaran sa seguridad ng organisasyon) - isang hanay ng mga alituntunin, tuntunin, pamamaraan at mga praktikal na pamamaraan sa larangan ng seguridad, na kumokontrol sa pamamahala, proteksyon at pamamahagi ng mahalagang impormasyon.
Sa pangkalahatang kaso, ang naturang hanay ng mga panuntunan ay kumakatawan sa isang tiyak na pag-andar produkto ng software, na kinakailangan para sa paggamit nito sa isang partikular na organisasyon. Kung lalapit tayo sa patakaran sa seguridad nang mas pormal, kung gayon ito ay isang hanay ng ilang mga kinakailangan para sa paggana ng sistema ng seguridad, na nakapaloob sa mga dokumento ng departamento.
Ang patakaran sa seguridad ay nakasalalay sa:
Ang proteksyon ng isang malaking sistema ng impormasyon ay hindi malulutas nang walang mahusay na binuo na dokumentasyon ng seguridad ng impormasyon - Nakakatulong ang Patakaran sa Seguridad
· Tiyakin na walang mahalagang bagay ang napapansin;
· magtatag ng malinaw na mga panuntunan sa kaligtasan.
Tanging isang komprehensibo at matipid na sistema ng proteksyon ang magiging epektibo, at ang sistema ng impormasyon mismo sa kasong ito ay magiging ligtas.
Dapat ilarawan ng dokumento ng patakaran sa seguridad ang mga layunin at layunin ng seguridad ng impormasyon, pati na rin ang mahahalagang asset ng kumpanya na nangangailangan ng proteksyon. Mga layunin sa seguridad ng impormasyon, bilang panuntunan, ay upang matiyak ang pagiging kompidensiyal, integridad at pagkakaroon ng mga asset ng impormasyon, pati na rin ang pagtiyak sa pagpapatuloy ng negosyo ng kumpanya.
Mga layunin sa seguridad ng impormasyon ay ang lahat ng mga aksyon na kailangang gawin upang makamit ang mga layunin. Sa partikular, kinakailangan upang malutas ang mga problema tulad ng pagsusuri at pamamahala mga panganib sa impormasyon, pagsisiyasat ng mga insidente sa seguridad ng impormasyon, pagbuo at pagpapatupad ng mga plano sa pagpapatuloy ng negosyo, advanced na pagsasanay ng mga empleyado ng kumpanya sa larangan ng seguridad ng impormasyon, atbp.
Ang pag-uuri ng mga hakbang sa proteksyon ay maaaring iharap sa anyo ng tatlong Antas.
Legislative level. Ang Criminal Code ng Russian Federation ay mayroong Kabanata 28. Mga krimen sa larangan ng impormasyon sa computer. Naglalaman ito ng sumusunod na tatlong artikulo:
Artikulo 272. Ilegal na pag-access sa impormasyon sa computer;
Artikulo 273. Paglikha, paggamit at pamamahagi ng mga malisyosong programa sa kompyuter;
Artikulo 274. Paglabag sa mga patakaran para sa pagpapatakbo ng mga computer, computer system o kanilang mga network.
Administratibo at mga antas ng pamamaraan. Sa mga antas ng administratibo at pamamaraan, isang patakaran sa seguridad at isang hanay ng mga pamamaraan ay nabuo na tumutukoy sa mga aksyon ng mga tauhan sa normal at kritikal na mga sitwasyon. Ang antas na ito ay naitala sa mga alituntuning inisyu ng State Technical Commission ng Russian Federation at FAPSI.
Antas ng software at hardware. Kasama sa antas na ito ang software at hardware na bumubuo sa teknolohiya ng seguridad ng impormasyon. Kabilang dito ang pagkakakilanlan ng user, kontrol sa pag-access, cryptography, shielding, at marami pang iba.
At kung ang pambatasan at administratibong antas ng proteksyon ay hindi nakasalalay sa isang partikular na gumagamit kagamitan sa kompyuter, kung gayon ang bawat user ay maaari at dapat mag-organisa ng software at hardware na antas ng proteksyon ng impormasyon sa kanyang computer.
1.3. Antas ng proteksyon ng software at hardware
Hindi namin isasaalang-alang ang umiiral na kumplikadong software at hardware na mga cryptographic system na naglilimita sa pag-access sa impormasyon sa pamamagitan ng pag-encrypt, pati na rin ang mga lihim na programa sa pagsulat na maaaring "matunaw" ang mga kumpidensyal na materyales sa malalaking graphic at sound file. Ang paggamit ng mga naturang programa ay mabibigyang katwiran lamang sa mga pambihirang kaso.
Ang isang ordinaryong user, tulad mo at ako, bilang panuntunan, ay hindi isang propesyonal na encryptor o programmer, kaya kami ay interesado sa "improvised" na mga tool sa seguridad ng impormasyon. Tingnan natin ang mga tool sa seguridad ng impormasyon at subukang suriin ang pagiging maaasahan ng mga ito. Pagkatapos ng lahat, ang pag-alam sa mga mahihinang punto ng depensa ay makapagliligtas sa atin mula sa maraming kaguluhan.
Ang unang bagay na karaniwang ginagawa ng isang gumagamit ng personal na computer ay magtakda ng dalawang password: isang password sa mga setting ng BIOS at ang isa sa screen saver. Ang proteksyon sa antas ng BIOS ay mangangailangan sa iyo na magpasok ng isang password kapag nag-boot ka sa computer, at ang proteksyon sa screen saver ay hahadlang sa pag-access sa impormasyon pagkatapos ng isang tiyak na tagal ng panahon na iyong tinukoy na lumipas kapag ang computer ay hindi aktibo.
Ang pagtatakda ng isang password sa antas ng BIOS ay isang medyo maselan na proseso na nangangailangan ng ilang mga kasanayan sa pagtatrabaho sa mga setting ng computer, kaya ipinapayong itakda ito sa isang kasamahan na may sapat na karanasan sa mga naturang aktibidad. Ang pagtatakda ng password para sa screen saver ay hindi napakahirap, at maaaring itakda ito mismo ng user.
Upang magtakda ng password para sa screensaver, dapat mong gawin ang mga sumusunod na hakbang: i-click ang Start button, piliin ang Mga Setting at Control Panel, i-double click ang Screen icon at sa Display Properties window na bubukas, piliin ang Screensaver tab. Itakda ang uri ng screensaver, itakda ang agwat ng oras (ipagpalagay na 1 minuto), lagyan ng tsek ang checkbox ng Password at i-click ang pindutang Baguhin.
Sa window ng Change Password na bubukas, ipasok ang screen saver password, pagkatapos ay ipasok itong muli upang kumpirmahin at i-click ang OK.
Kung magpasya kang alisin ang password para sa screensaver sa iyong sarili, pagkatapos ay sundin ang lahat ng mga pamamaraan sa itaas, tanging sa window ng Change Password ay hindi ka dapat mag-type ng anuman, ngunit i-click lamang ang OK na pindutan. Aalisin ang password.
Ang unang paraan ay ang paggamit ng isa sa mga butas na kadalasang ibinibigay ng mga tagagawa ng motherboard, ang tinatawag na "unibersal na password para sa mga taong malilimot." Ang isang ordinaryong gumagamit, na kung saan kami, bilang panuntunan, ay hindi alam ito.
Maaari mong gamitin ang pangalawang paraan ng pag-hack ng lihim: tanggalin ang casing ng computer, alisin ang baterya ng lithium nang humigit-kumulang 20...30 minuto system board, pagkatapos ay ipasok ito pabalik. Pagkatapos ng operasyong ito, 99% ay malilimutan ng BIOS ang lahat ng mga password at setting ng user. Sa pamamagitan ng paraan, kung ikaw mismo ay nakalimutan ang iyong password, na madalas na nangyayari sa pagsasanay, maaari mong gamitin ang pamamaraang ito.
Ang ikatlong paraan para malaman ng isang tagalabas ang aming protektadong impormasyon ay alisin ang hard drive mula sa computer at ikonekta ito sa isa pang computer bilang pangalawang device. At pagkatapos ay maaari mong basahin at kopyahin ang mga lihim ng ibang tao nang walang anumang problema. Sa isang tiyak na kasanayan, ang pamamaraang ito ay tumatagal ng 15...20 minuto.
Kaya, sa iyong mahabang pagkawala, subukang pigilan lamang ang mga hindi awtorisadong tao na makapasok sa silid kung saan matatagpuan ang computer.
Ang pagtiyak ng seguridad ng impormasyon ay napaka hindi isang madaling gawain, na may ilang antas.
Antas ng software at hardware.
Mula sa modernong pananaw, ang mga sistema ng impormasyon ay dapat magkaroon ng access sa mga sumusunod na mekanismo ng seguridad:
Antas ng pamamaraan.
Kabilang dito ang mga hakbang na ipinatupad ng mga tao. Ang karanasang naipon sa mga domestic na organisasyon sa pagpapatupad ng mga hakbang sa pamamaraan ay nagmula sa nakaraan bago ang computer at kailangang baguhin nang malaki.
Mayroong mga sumusunod na grupo ng mga hakbang sa organisasyon (procedural):
Para sa bawat pangkat, dapat mayroong mga patakaran na namamahala sa mga aksyon ng mga tauhan. Dapat na maitatag ang mga ito sa bawat partikular na organisasyon at isinagawa sa pagsasanay.
Antas ng administratibo.
Ang patakaran sa seguridad na isinagawa ng pamamahala ng organisasyon ay ang batayan ng mga hakbang sa antas ng administratibo. Ito ay isang hanay ng mga dokumentadong desisyon sa pamamahala na naglalayong protektahan ang impormasyon, pati na rin ang mga mapagkukunang nauugnay dito. Ang patakaran sa seguridad ay batay sa isang pagsusuri ng mga tunay na panganib na nagbabanta sa sistema ng impormasyon ng isang partikular na organisasyon. Pagkatapos ng pagsusuri, binuo ang isang diskarte sa proteksyon. Ito ay isang programa kung saan ang pera ay inilalaan, ang mga responsableng tao ay hinirang, isang pamamaraan ay itinatag para sa pagsubaybay sa pagpapatupad nito, atbp.
Dahil ang bawat organisasyon ay may sariling mga detalye, walang saysay na ilipat ang kasanayan ng mga negosyo ng seguridad ng estado sa mga komersyal na istruktura, personal mga sistema ng kompyuter o mga institusyong pang-edukasyon. Mas angkop na gamitin ang mga pangunahing prinsipyo ng pagbuo ng patakaran sa seguridad o handa na mga template para sa mga pangunahing uri ng organisasyon.
Legislative level.
Ito ang pinakamahalagang antas ng seguridad ng impormasyon. Kabilang dito ang isang hanay ng mga hakbang na naglalayong lumikha at mapanatili ang isang negatibong saloobin sa lipunan sa mga lumalabag at mga paglabag sa lugar na ito. Kinakailangang lumikha ng isang mekanismo na magpapahintulot sa pagbuo ng mga batas na maiugnay sa patuloy na pagpapabuti ng teknolohiya ng impormasyon. Ang estado ay dapat gumanap ng isang koordinasyon at paggabay na papel sa bagay na ito ang mga pamantayan ng teknolohiya ng impormasyon ng Russia at ang seguridad ng impormasyon ay dapat sumunod sa internasyonal na antas. Mapapadali nito ang pakikipag-ugnayan sa mga dayuhang kumpanya at dayuhang sangay mga domestic na kumpanya. Ngayon ang problemang ito ay nilulutas sa pamamagitan ng isang beses na mga permit, kadalasang lumalampas sa kasalukuyang batas.
Ang pakikipag-ugnayan lamang ng lahat ng antas ng seguridad ng impormasyon ang gagawing epektibo ito hangga't maaari.
Mga pangunahing hakbang sa software at hardware para sa seguridad ng impormasyon 1
Pinagmulan 1
1. Mga pangunahing konsepto ng antas ng software at hardware ng seguridad ng impormasyon 1
2. Mga tampok ng modernong mga sistema ng impormasyon na makabuluhan mula sa punto ng seguridad 4
3. Kaligtasan sa arkitektura 6
(3.1) mga prinsipyo sa kaligtasan ng arkitektura: 7
(3.2) Upang matiyak ang mataas na kakayahang magamit (pagpapatuloy ng operasyon) 8
Panitikan 9
Pinagmulan
Mga pangunahing kaalaman sa seguridad ng impormasyon. V.A. Galatenko. Mga pangunahing hakbang sa software at hardware [ http://www.intuit.ru/department/security/secbasics/class/free/9/]
1. Pangunahing konsepto ng software at hardware na antas ng seguridad ng impormasyon
Ang mga hakbang sa software at hardware, iyon ay, mga hakbang na naglalayong kontrolin ang mga computer entity - kagamitan, programa at/o data, ang bumubuo sa huli at pinakamahalagang linya ng seguridad ng impormasyon Alalahanin natin na ang pinsala ay pangunahing sanhi ng mga aksyon ng mga legal na gumagamit, sa kaugnayan kung kanino ang mga regulator ng pamamaraan ay hindi epektibo. Ang pangunahing mga kaaway ay ang kawalan ng kakayahan at kawalang-ingat sa pagganap ng mga opisyal na tungkulin, at tanging ang mga hakbang sa software at hardware ang makakalaban sa kanila.
Nakatulong ang mga computer na i-automate ang maraming bahagi ng aktibidad ng tao. Tila natural na nais na ipagkatiwala ang sariling seguridad sa kanila kahit na ang pisikal na proteksyon ay lalong ipinagkatiwala hindi sa mga security guard, ngunit sa pinagsamang mga sistema ng computer, na ginagawang posible upang sabay na subaybayan ang mga paggalaw ng mga empleyado sa buong organisasyon at sa buong organisasyon. espasyo ng impormasyon.
Ito ang pangalawang dahilan na nagpapaliwanag ng kahalagahan ng software at hardware na mga hakbang.
Gayunpaman, dapat itong isaalang-alang na ang mabilis na pag-unlad ng teknolohiya ng impormasyon ay hindi lamang nagbibigay sa mga tagapagtanggol ng mga bagong pagkakataon, kundi pati na rin sa layunin na kumplikado ang pagkakaloob ng maaasahang proteksyon kung ang isa ay umaasa lamang sa mga hakbang sa software at teknikal na antas :
ang pagtaas ng bilis ng microcircuits, ang pag-unlad ng mga arkitektura na may mataas na antas ng parallelism ay ginagawang posible na pagtagumpayan ang mga hadlang (pangunahin ang cryptographic) gamit ang malupit na puwersa, na dati ay tila hindi malalampasan;
pag-unlad ng mga network at teknolohiya ng network, pagtaas sa bilang ng mga koneksyon sa pagitan ng mga sistema ng impormasyon, paglago bandwidth pinalalawak ng mga channel ang bilog ng mga umaatake na may teknikal na kakayahan upang ayusin ang mga pag-atake;
ang paglitaw ng mga bagong serbisyo ng impormasyon ay humahantong sa pagbuo ng mga bagong kahinaan kapwa "sa loob" ng mga serbisyo at sa kanilang mga interface;
pinipilit ng kumpetisyon sa mga tagagawa ng software na bawasan ang oras ng pag-unlad, na humahantong sa pagbaba sa kalidad ng pagsubok at pagpapalabas ng mga produktong may mga depekto sa seguridad;
Ang paradigm ng patuloy na pagtaas ng kapangyarihan ng hardware at software na ipinataw sa mga mamimili ay hindi nagpapahintulot ng pangmatagalang pagpapanatili ng maaasahan, napatunayang mga pagsasaayos at, bilang karagdagan, ay sumasalungat sa mga hadlang sa badyet, na binabawasan ang bahagi ng mga paglalaan ng seguridad.
Ang mga pagsasaalang-alang sa itaas ay muling binibigyang-diin ang kahalagahan ng isang pinagsamang diskarte sa seguridad ng impormasyon, pati na rin ang pangangailangan para sa isang nababaluktot na posisyon kapag pumipili at nagpapanatili ng software at hardware regulators.
Ang sentro sa antas ng software at hardware ay ang konsepto ng serbisyo sa seguridad.
Kasunod ng object-oriented na diskarte, kapag isinasaalang-alang ang isang sistema ng impormasyon na may isang antas ng detalye, makikita natin ang kabuuan ng mga serbisyo ng impormasyon na ibinibigay nito. Tawagin natin silang basic. Upang gumana ang mga ito at magkaroon ng mga kinakailangang katangian, kinakailangan ang ilang antas ng karagdagang (auxiliary) na serbisyo - mula sa DBMS at mga monitor ng transaksyon hanggang sa kernel at hardware ng operating system.
Kasama sa mga pantulong na serbisyo ang mga serbisyong panseguridad (natagpuan na namin ang mga ito kapag isinasaalang-alang ang mga pamantayan at mga detalye sa larangan ng seguridad ng impormasyon); Kabilang sa mga ito, pangunahing magiging interesado kami sa mga unibersal, mataas na antas na nagpapahintulot sa paggamit ng iba't ibang mga pangunahing at pantulong na serbisyo. Susunod, titingnan natin ang mga sumusunod na serbisyo:
pagkakakilanlan at pagpapatunay;
kontrol sa pag-access;
pag-log at pag-audit;
pag-encrypt;
kontrol sa integridad;
kalasag;
pagsusuri sa seguridad;
tinitiyak ang pagpapahintulot sa kasalanan;
pagtiyak ng ligtas na pagbawi;
tunneling;
kontrol.
Ang mga kinakailangan para sa mga serbisyong panseguridad, ang kanilang pag-andar, mga posibleng paraan ng pagpapatupad at lugar sa pangkalahatang arkitektura ay ilalarawan.
Kung ihahambing namin ang ibinigay na listahan ng mga serbisyo sa mga klase ng mga kinakailangan sa pagganap ng "Pangkalahatang Pamantayan", kung gayon ang kanilang makabuluhang pagkakaiba ay kapansin-pansin. Hindi namin tutugunan ang mga isyu sa privacy para sa sumusunod na dahilan. Sa aming opinyon, ang isang serbisyo sa seguridad, hindi bababa sa bahagyang, ay dapat na nasa pagtatapon ng taong pinoprotektahan nito. Sa kaso ng privacy, hindi ganito: ang mga kritikal na bahagi ay nakakonsentra hindi sa panig ng kliyente, ngunit sa panig ng server, upang ang privacy ay talagang pag-aari ng iminungkahing serbisyo ng impormasyon(sa pinakasimpleng kaso, nakakamit ang privacy sa pamamagitan ng pagpapanatili ng pagiging kumpidensyal ng impormasyon sa pagpaparehistro ng server at pagprotekta laban sa pagharang ng data, kung saan sapat ang mga nakalistang serbisyo sa seguridad).
Sa kabilang banda, ang aming listahan ay mas malawak kaysa sa "Pangkalahatang Pamantayan" dahil kabilang dito ang pagprotekta, pagsusuri sa seguridad at pag-tunnel mahalaga ang kanilang mga sarili at, bilang karagdagan, ay maaaring isama sa iba pang mga serbisyo upang makuha ang mga kinakailangang hakbang sa seguridad, tulad ng mga virtual pribadong network.
[Mga Pamantayan at Detalye ng Galatenko Lek5] "Pangkalahatang pamantayan" sa katunayan, ang mga ito ay isang meta-standard na tumutukoy sa mga tool sa pagtatasa ng seguridad ng IP at kung paano gamitin ang mga ito. Hindi tulad ng Orange Book, ang mga OK ay hindi naglalaman ng mga paunang natukoy na "mga klase sa seguridad." Ang ganitong mga klase ay maaaring itayo batay sa mga kinakailangan sa kaligtasan umiiral para sa isang partikular na organisasyon at/o isang partikular na sistema ng impormasyon.
Tatawagin namin ang hanay ng mga serbisyong panseguridad na nakalista sa itaas na isang kumpletong hanay. Ito ay pinaniniwalaan na, sa prinsipyo, ito ay sapat na upang bumuo ng maaasahang proteksyon sa antas ng software at hardware, gayunpaman, napapailalim sa isang bilang ng karagdagang kondisyon(walang mga kahinaan, ligtas na pangangasiwa, atbp.).
Upang maiuri ang mga serbisyo sa seguridad at matukoy ang kanilang lugar sa pangkalahatang arkitektura, ang mga hakbang sa seguridad ay maaaring nahahati sa mga sumusunod na uri:
pag-iwas, pagpigil sa mga paglabag sa seguridad ng impormasyon;
mga hakbang upang makita ang mga paglabag;
localizing, paliitin ang zone ng impluwensya ng mga paglabag;
mga hakbang upang matukoy ang lumalabag;
mga hakbang upang maibalik ang rehimeng pangseguridad.
Karamihan sa mga serbisyo ng seguridad ay nasa kategorya ng preventive, at ito ay tiyak na tama ang pag-audit at pagsubaybay sa integridad ay maaaring makatulong sa pag-detect ng mga paglabag, bilang karagdagan, ay nagbibigay-daan sa iyo na mag-program ng tugon sa isang paglabag para sa layunin ng lokalisasyon at/o pagsubaybay . Ang focus ng fault tolerance at secure recovery services ay kitang-kita. Panghuli, ang pamamahala ay gumaganap ng isang imprastraktura na tungkulin, na nagsisilbi sa lahat ng aspeto ng IS.
