امنیت اطلاعات را باید به عنوان. تهدیدات امنیت اطلاعات که بیشترین آسیب را وارد می کند

امنیت یک سرور مجازی را فقط می توان مستقیماً به عنوان مشاهده کرد "امنیت اطلاعات"... خیلی ها این عبارت را شنیده اند، اما همه نمی دانند که چیست؟

"امنیت اطلاعات"فرآیند تضمین است در دسترس بودن، یکپارچگی و محرمانه بودن اطلاعات.

زیر "دسترسی"بر این اساس برای دسترسی به اطلاعات درک می شود. "تمامیت"- این برای اطمینان از صحت و کامل بودن اطلاعات است. "محرمانه بودن"حصول اطمینان از اینکه فقط کاربران مجاز به اطلاعات دسترسی دارند.

بر اساس اهداف و وظایفی که در سرور مجازی انجام می دهید، به اقدامات و درجات حفاظتی مختلفی که برای هر یک از این سه نقطه اعمال می شود نیز نیاز خواهید داشت.

به عنوان مثال، اگر از سرور مجازی فقط به عنوان وسیله ای برای گشت و گذار در اینترنت استفاده می کنید، یکی از ابزارهای لازم برای اطمینان از امنیت، قبل از هر چیز، استفاده از محافظت ضد ویروس و همچنین رعایت قوانین اولیه امنیتی در هنگام استفاده از اینترنت است. کار در اینترنت

در غیر این صورت، اگر یک سایت فروش یا یک سرور بازی روی سرور خود دارید، اقدامات حفاظتی لازم کاملاً متفاوت خواهد بود.

شناخت تهدیدات احتمالی و همچنین آسیب پذیری هایی که این تهدیدها معمولاً از آنها سوء استفاده می کنند، برای انتخاب بهینه ترین اقدامات امنیتی ضروری است، برای این منظور نکات اصلی را در نظر خواهیم گرفت.

زیر "تهدید"این احتمال وجود دارد که امنیت اطلاعات را به هر طریقی نقض کند. تلاش برای اجرای یک تهدید نامیده می شود "حمله"، و کسی که این تلاش را اجرا می کند نامیده می شود "مزاحم"... اغلب، تهدید نتیجه وجود آسیب پذیری در حفاظت از سیستم های اطلاعاتی است.

بیایید رایج ترین تهدیدهایی را که سیستم های اطلاعاتی مدرن در معرض آنها قرار دارند، در نظر بگیریم.

تهدیدات امنیت اطلاعات که بیشترین آسیب را وارد می کند

در زیر طبقه بندی انواع تهدیدات را بر اساس معیارهای مختلف در نظر بگیرید:

1. تهدید مستقیم امنیت اطلاعات:
   • دسترسی
   • تمامیت
   • محرمانه بودن
2. مولفه هایی که تهدیدات هدف قرار می دهند:
   • داده ها
   • برنامه ها
   • تجهیزات
   • زیرساخت های حمایتی
3. از طریق اجرا:
   • تصادفی یا عمدی
   • طبیعی یا ساخت بشر
4. با توجه به محل منبع تهدید عبارتند از:
   • درونی؛ داخلی
   • خارجی

همانطور که در ابتدا ذکر شد، مفهوم "تهدید" اغلب در موقعیت های مختلف به طور متفاوت تفسیر می شود. و اقدامات امنیتی مورد نیاز متفاوت خواهد بود. برای مثال، برای یک سازمان کاملاً باز، تهدیدهای محرمانه ممکن است به سادگی وجود نداشته باشند - همه اطلاعات در دسترس عموم تلقی می شوند، اما در بیشتر موارد دسترسی غیرقانونی یک تهدید جدی است.

هنگامی که برای سرورهای مجازی اعمال می شود، تهدیداتی که شما به عنوان مدیر سرور باید در نظر بگیرید تهدید در دسترس بودن، محرمانه بودن و یکپارچگی داده ها است. شما مسئولیت مستقیم و مستقلی در قبال امکان اجرای تهدیدهایی با هدف محرمانه بودن و یکپارچگی داده ها دارید که به بخش سخت افزار یا زیرساخت مرتبط نیستند. از جمله اعمال اقدامات حفاظتی لازم، این وظیفه فوری شماست.

تهدیدهایی که آسیب‌پذیری برنامه‌هایی را که استفاده می‌کنید هدف قرار می‌دهند، اغلب شما به‌عنوان یک کاربر، نمی‌توانید بر آن تأثیر بگذارید، مگر اینکه از این برنامه‌ها استفاده نکنید. استفاده از این برنامه‌ها تنها در صورتی مجاز است که اجرای تهدیدات با استفاده از آسیب‌پذیری‌های این برنامه‌ها یا از نظر مهاجم توصیه نشود و یا ضرر قابل توجهی برای شما به عنوان کاربر نداشته باشد.

شرکت میزبانی که شما انتخاب کرده‌اید و سرورهای خود را در آن اجاره می‌کنید، مستقیماً در تضمین اقدامات امنیتی لازم در برابر تهدیدهایی که هدف آنها تجهیزات، زیرساخت‌ها یا تهدیدهایی با ماهیت مصنوعی و طبیعی است، درگیر است. در این صورت، لازم است با دقت بیشتری به انتخاب خود نزدیک شوید، شرکت میزبانی که به درستی انتخاب شده است، قابلیت اطمینان قطعات سخت افزاری و زیرساختی را در سطح مناسب در اختیار شما قرار می دهد.

به عنوان یک مدیر سرور مجازی، تنها در مواردی باید این نوع تهدیدات را در نظر بگیرید که حتی از دست دادن دسترسی کوتاه مدت یا قطع کامل یا جزئی عملکرد سرور به دلیل تقصیر شرکت میزبان می تواند منجر به مشکلات نامتناسب شود. یا ضرر و زیان این به ندرت اتفاق می افتد، اما به دلایل عینی، هیچ شرکت میزبانی نمی تواند 100٪ Uptime ارائه دهد.

تهدید مستقیم امنیت اطلاعات

تهدیدهای اصلی برای دسترسی عبارتند از

1. خرابی داخلی سیستم اطلاعاتی؛
2. شکست زیرساخت های پشتیبانی

منابع اصلی خرابی های داخلی عبارتند از:

• نقض (تصادفی یا عمدی) قوانین عملیاتی تعیین شده
• خروج سیستم از عملکرد عادی به دلیل اقدامات تصادفی یا عمدی کاربران (بیش از تعداد تخمینی درخواست ها، حجم بیش از حد اطلاعات پردازش شده و غیره)
• خطاها هنگام (دوباره) پیکربندی سیستم
• بد افزار
• خرابی های سخت افزاری و نرم افزاری
• تخریب داده ها
• تخریب یا آسیب به تجهیزات

در رابطه با زیرساخت های پشتیبانی، توصیه می شود تهدیدات زیر را در نظر بگیرید:

• اختلال (تصادفی یا عمدی) سیستم های ارتباطی، منبع تغذیه، تامین آب و/یا گرما، تهویه مطبوع؛
• تخریب یا آسیب رساندن به محل؛
• ناتوانی یا عدم تمایل پرسنل خدمات و / یا کاربران در انجام وظایف خود (ناآرامی های مدنی، حوادث حمل و نقل، اقدام تروریستی یا تهدید آن، اعتصاب و غیره).

تهدیدهای عمده برای یکپارچگی

را می توان به تهدیدهای یکپارچگی ایستا و تهدیدهای یکپارچگی پویا تقسیم کرد.

همچنین باید به تهدیداتی برای یکپارچگی اطلاعات سرویس و داده های محتوا تقسیم شود. اطلاعات سرویس به رمزهای عبور دسترسی، مسیرهای انتقال داده در شبکه محلی و اطلاعات مشابه اشاره دارد. اغلب و تقریباً در همه موارد، مهاجم، چه آگاهانه یا نه آگاهانه، معلوم می شود که یک کارمند سازمان است که با حالت عملیات و اقدامات حفاظتی آشنا است.

به منظور نقض یکپارچگی استاتیک، یک مهاجم می تواند:

• داده های نادرست وارد کنید
• برای تغییر داده ها

تهدیدهای یکپارچگی پویا شامل سفارش مجدد، سرقت، تکرار داده ها یا درج پیام های اضافی است.

تهدیدهای برتر حریم خصوصی

اطلاعات محرمانه را می توان به اطلاعات موضوعی و خدماتی تقسیم کرد. اطلاعات سرویس (به عنوان مثال، رمزهای عبور کاربر) به یک حوزه موضوعی خاص تعلق ندارد، نقش فنی را در سیستم اطلاعات ایفا می کند، اما افشای آن به ویژه خطرناک است، زیرا مملو از دسترسی غیرمجاز به تمام اطلاعات، از جمله اطلاعات موضوع است.

حتی اگر اطلاعات در رایانه ذخیره شده باشد یا برای استفاده رایانه ای در نظر گرفته شده باشد، تهدیدهای مربوط به محرمانه بودن آن می تواند ماهیت غیر رایانه ای و عموماً غیر فنی باشد.

تهدیدهای ناخوشایندی که دفاع در برابر آنها دشوار است شامل سوء استفاده از قدرت است. در بسیاری از انواع سیستم ها، یک کاربر ممتاز (به عنوان مثال، یک مدیر سیستم) می تواند هر فایل (رمزگذاری نشده) را بخواند، به نامه های هر کاربر و غیره دسترسی داشته باشد. مثال دیگر خسارت سرویس است. به طور معمول، یک مهندس خدمات دسترسی نامحدود به تجهیزات دارد و می تواند مکانیسم های حفاظتی نرم افزار را دور بزند.

برای وضوح، این نوع تهدیدها نیز به صورت شماتیک در زیر در شکل 1 ارائه شده است.


برنج. 1. طبقه بندی انواع تهدیدات برای امنیت اطلاعات

برای اعمال بهینه ترین اقدامات حفاظتی، نه تنها تهدیدات امنیت اطلاعات، بلکه آسیب های احتمالی نیز ضروری است؛ برای این منظور از ویژگی مقبولیت استفاده می شود، بنابراین آسیب احتمالی قابل قبول یا غیرقابل قبول تعیین می شود. برای این کار، تعیین معیارهای خود برای قابل قبول بودن خسارت به شکل پولی یا دیگر مفید است.

هرکسی که سازماندهی امنیت اطلاعات را شروع می کند باید به سه سوال اساسی پاسخ دهد:

1. از چه چیزی محافظت کنیم؟
2. از چه کسی محافظت کنیم، چه نوع تهدیدهایی رایج است: خارجی یا داخلی؟
3. چگونه محافظت کنیم، با چه روش ها و وسایلی؟

با در نظر گرفتن تمام موارد فوق، می توانید ارتباط، امکان و شدت تهدیدات را به طور کامل ارزیابی کنید. پس از ارزیابی تمام اطلاعات لازم و سنجیدن تمام جوانب مثبت و منفی. شما قادر خواهید بود مؤثرترین و بهینه ترین روش ها و وسایل حفاظتی را انتخاب کنید.

روش ها و ابزارهای اصلی حفاظت و همچنین حداقل و حداقل اقدامات امنیتی مورد نیاز بر روی سرورهای مجازی، بسته به اهداف اصلی استفاده از آنها و انواع تهدیدات، در مقاله های بعدی با عنوان "مبانی امنیت اطلاعات" بررسی می شود. ".

روش های جدید پردازش و انتقال داده ها به ظهور تهدیدات جدیدی کمک می کند که احتمال تحریف، رهگیری و غیره اطلاعات را بهبود می بخشد. از این رو امروزه اجرای امنیت اطلاعات رایانه ها در شبکه، پیشرو در فناوری اطلاعات است. سندی که از قانونی بودن اقدامات و تعیین درک یکپارچه از همه جنبه ها پشتیبانی می کند - GOST R 50922-96.

در زیر به مفهوم اساسی در این جهت خواهیم پرداخت:

• حفاظت از اطلاعات جهت جلوگیری از تهدید اطلاعات است.
• یک شی محافظت شده اطلاعات یا رسانه ای با اطلاعاتی است که باید محافظت شود.
• هدف حفاظت، نتیجه مشخصی پس از یک دوره معین حفاظت از این اطلاعات است.
• کارایی حفاظت از اطلاعات - نشانگر نشان می دهد که نتیجه واقعی چقدر به نتیجه تنظیم شده نزدیک است.
• حفاظت از اطلاعات در برابر نشت - کار برای جلوگیری از انتقال کنترل نشده داده های محافظت شده از افشای یا
• سیستم امنیت اطلاعات - مجموعه ای از اجزایی است که در قالب فناوری، نرم افزار، افراد، قوانین و غیره پیاده سازی می شوند که در یک سیستم واحد سازماندهی شده و کار می کنند و هدف آنها حفاظت از اطلاعات است.
• موضوع دسترسی به اطلاعات، مشارکت کننده در روابط حقوقی در فرآیندهای اطلاعاتی است
• صاحب اطلاعات - نویسنده ای که در چارچوب قوانین دارای حقوق کامل برای این اطلاعات است
• مالک اطلاعات - موضوعی است که به دستور مالک از اطلاعات استفاده می کند و آن را در اختیارات معینی اجرا می کند
• حق دسترسی به اطلاعات مجموعه ای از قوانین برای دسترسی به داده های ایجاد شده توسط اسناد یا توسط مالک / مالک است
• دسترسی مجاز - دسترسی که قوانین کنترل دسترسی خاصی را نقض نمی کند
• دسترسی غیرمجاز - نقض قوانین کنترل دسترسی. فرآیند یا موضوعی که NSD را اجرا می کند، ناقض است
• شناسایی سوژه الگوریتمی برای تشخیص موضوع توسط شناسه است
• مجوز موضوع الگوریتمی برای اعطای حقوق به موضوع پس از احراز هویت و شناسایی موفق در سیستم است.
• آسیب پذیری سیستم کامپیوتری جنبه ای از اجزای سیستم است که منجر به
• حمله به یک سیستم کامپیوتری (CS) جستجو و پیاده سازی آسیب پذیری های سیستم توسط یک مهاجم است
• سیستم محافظت شده سیستمی است که در آن آسیب پذیری های سیستم با موفقیت بسته شده و خطرات تهدید کاهش می یابد
• روشها و روشهای حفاظت از اطلاعات - قوانین و روشهای اجرای وسایل حفاظت
• سیاست امنیتی مجموعه ای از قوانین، هنجارها و اسناد برای اجرای حفاظت از یک سیستم اطلاعاتی در یک شرکت است.

زیر امنیت اطلاعاتتعیین امنیت داده ها از اقدامات غیرقانونی با آن و همچنین عملکرد سیستم اطلاعاتی و اجزای آن. امروزه AS (سیستم خودکار) پردازش داده یک سیستم کامل است که از اجزای یک استقلال خاص تشکیل شده است. هر جزء می تواند به شدت تحت تأثیر قرار گیرد. عناصر سخنران را می توان به گروه های زیر دسته بندی کرد:

• قطعات سخت افزاری - کامپیوترها و قطعات آنها (مانیتور، چاپگر، کابل های ارتباطی و غیره)
• نرم افزار - برنامه ها، سیستم عامل ها و غیره
• پرسنل - افرادی که به طور مستقیم با سیستم اطلاعاتی مرتبط هستند (کارکنان و غیره)
• داده - اطلاعاتی که در یک سیستم بسته است. این اطلاعات چاپی و مجلات، رسانه ها و غیره است.

امنیت اطلاعات از طریق جنبه های زیر اجرا می شود: یکپارچگی، محرمانه بودن و در دسترس بودن. محرمانه بودن داده هاجنبه ای از اطلاعات است که میزان محرمانه بودن آن را از اشخاص ثالث تعیین می کند. اطلاعات محرمانه باید فقط برای افراد مجاز سیستم شناخته شود. یکپارچگی اطلاعاتجنبه اطلاعات را در حفظ ساختار / محتوای آن در حین انتقال یا ذخیره سازی تعریف می کند. دستیابی به امنیت این جنبه در محیطی که احتمال اعوجاج یا اثرات دیگر بر تخریب یکپارچگی وجود دارد، مهم است. قابلیت اطمینان اطلاعاتشامل عضویت دقیق از مقدار اولیه، در طول انتقال و ذخیره سازی است.

اهمیت حقوقی داده ها توسط سندی که حامل است تعیین می شود و همچنین دارای قدرت قانونی است. در دسترس بودن داده هادریافت توسط موضوع اطلاعات را با استفاده از ابزار فنی تعیین می کند.

بنیانگذار سایبرنتیک، نوربرت وینر، معتقد بود که اطلاعات دارای ویژگی های منحصر به فردی است و نمی توان آن را نه به انرژی و نه به ماده نسبت داد. جایگاه ویژه اطلاعات به عنوان یک پدیده تعاریف بسیاری را به وجود آورده است.

در فرهنگ لغت استاندارد ISO / IEC 2382: 2015 "فناوری اطلاعات"، تفسیر زیر آورده شده است:

اطلاعات (در زمینه پردازش اطلاعات)- هر گونه داده ارائه شده به صورت الکترونیکی، نوشته شده بر روی کاغذ، بیان شده در یک جلسه یا در هر رسانه دیگری که توسط یک موسسه مالی برای تصمیم گیری، انتقال وجوه، تعیین نرخ، اعطای وام، پردازش معاملات و غیره استفاده می شود، از جمله سیستم پردازش اجزا. نرم افزار.

برای توسعه مفهوم امنیت اطلاعات (IS)، اطلاعات به عنوان اطلاعاتی شناخته می شود که برای جمع آوری، ذخیره سازی، پردازش (ویرایش، تبدیل)، استفاده و انتقال به طرق مختلف از جمله در شبکه های کامپیوتری و سایر سیستم های اطلاعاتی در دسترس است.

چنین اطلاعاتی از ارزش بالایی برخوردار هستند و می توانند به موارد تجاوز از طرف اشخاص ثالث تبدیل شوند. میل به محافظت از اطلاعات در برابر تهدیدها زمینه ساز ایجاد سیستم های امنیت اطلاعات است.

مبنای حقوقی

در دسامبر 2017، روسیه دکترین امنیت اطلاعات را پذیرفت. در این سند، IS به عنوان وضعیت حفاظت از منافع ملی در حوزه اطلاعات تعریف شده است. در این مورد، منافع ملی به عنوان مجموع منافع جامعه، فرد و دولت درک می شود، هر گروه از منافع برای عملکرد پایدار جامعه ضروری است.

دکترین یک مقاله مفهومی است. روابط حقوقی مربوط به تضمین امنیت اطلاعات توسط قوانین فدرال "در مورد اسرار دولتی"، "در مورد اطلاعات"، "در مورد حفاظت از داده های شخصی" و دیگران تنظیم می شود. بر اساس قوانین اساسی هنجاری، احکام دولتی و قوانین هنجاری ادارات در مورد مسائل خصوصی حفاظت از اطلاعات تدوین می شود.

تعریف امنیت اطلاعات

قبل از توسعه یک استراتژی امنیت اطلاعات، لازم است یک تعریف اساسی از خود مفهوم اتخاذ شود که امکان استفاده از مجموعه خاصی از روش ها و روش های حفاظت را فراهم می کند.

متخصصان صنعت پیشنهاد می‌کنند که امنیت اطلاعات به عنوان یک وضعیت پایدار از امنیت اطلاعات، حامل‌ها و زیرساخت‌های آن درک شود که یکپارچگی و ثبات فرآیندهای مرتبط با اطلاعات را در برابر تأثیرات عمدی یا غیرعمدی طبیعت و مصنوعی تضمین می‌کند. تأثیرات به عنوان تهدیدات IS طبقه بندی می شوند که می توانند به موضوعات روابط اطلاعاتی آسیب برسانند.

بنابراین، حفاظت از اطلاعات مجموعه ای از اقدامات قانونی، اداری، سازمانی و فنی با هدف جلوگیری از تهدیدات امنیت اطلاعات واقعی یا درک شده و همچنین از بین بردن پیامدهای حوادث است. تداوم فرآیند حفاظت از اطلاعات باید تضمین کننده مبارزه با تهدیدات در تمام مراحل چرخه اطلاعات باشد: در فرآیند جمع آوری، ذخیره سازی، پردازش، استفاده و انتقال اطلاعات.

امنیت اطلاعات در این درک به یکی از ویژگی های عملکرد سیستم تبدیل می شود. در هر لحظه از زمان، سیستم باید از سطح امنیتی قابل اندازه گیری برخوردار باشد و تضمین امنیت سیستم باید یک فرآیند مستمر باشد که در تمام فواصل زمانی در طول عمر سیستم انجام شود.

در تئوری امنیت اطلاعات، موضوعات امنیت اطلاعات به عنوان صاحبان و استفاده کنندگان اطلاعات، و نه تنها کاربران به طور مداوم (کارکنان)، بلکه کاربرانی که در موارد مجزا به پایگاه های داده دسترسی دارند، برای مثال، سازمان های دولتی درخواست کننده اطلاعات، درک می شوند. در تعدادی از موارد، به عنوان مثال، در استانداردهای امنیت اطلاعات بانکی، صاحبان اطلاعات شامل سهامداران - اشخاص حقوقی هستند که دارای داده های خاص هستند.

زیرساخت پشتیبانی از دیدگاه مبانی امنیت اطلاعات شامل رایانه ها، شبکه ها، تجهیزات مخابراتی، اماکن، سیستم های پشتیبانی حیات و پرسنل می باشد. هنگام تجزیه و تحلیل امنیت، مطالعه تمام عناصر سیستم با توجه ویژه به پرسنل به عنوان حامل اکثر تهدیدات داخلی ضروری است.

برای مدیریت امنیت اطلاعات و ارزیابی خسارت از مشخصه مقبولیت استفاده می شود، بنابراین خسارت به عنوان قابل قبول یا غیرقابل قبول تعیین می شود. برای هر شرکتی مفید است که معیارهای خود را برای قابل قبول بودن خسارت به صورت پولی یا مثلاً در قالب آسیب قابل قبول به شهرت تعیین کند. در مؤسسات عمومی، ویژگی های دیگری را می توان اتخاذ کرد، به عنوان مثال، تأثیر بر فرآیند مدیریت یا انعکاس میزان آسیب به زندگی و سلامت شهروندان. معیارهای اهمیت، اهمیت و ارزش اطلاعات می تواند در طول چرخه عمر آرایه اطلاعات تغییر کند، بنابراین باید به موقع در آنها تجدید نظر شود.

تهدید اطلاعاتی در معنای محدود، فرصتی عینی برای تأثیرگذاری بر موضوع حفاظت است که می تواند منجر به نشت، سرقت، افشا یا انتشار اطلاعات شود. در یک مفهوم گسترده تر، تهدیدات امنیت اطلاعات شامل تأثیرات اطلاعاتی مستقیم می شود که هدف آن آسیب رساندن به دولت، سازمان و فرد است. برای مثال، چنین تهدیدهایی شامل افترا، ارائه نادرست عمدی و تبلیغات نامناسب است.

سه سوال اصلی مفهوم امنیت اطلاعات برای هر سازمان

از چه چیزی محافظت کنیم؟

چه نوع تهدیدهایی غالب هستند: خارجی یا داخلی؟

چگونه محافظت کنیم، با چه روش ها و وسایلی؟

سیستم IS

سیستم امنیت اطلاعات برای یک شرکت - یک شخص حقوقی شامل سه گروه از مفاهیم اساسی است: یکپارچگی، در دسترس بودن و محرمانه بودن. در زیر هر کدام مفاهیمی با ویژگی های بسیاری وجود دارد.

زیر تمامیتبه معنای مقاومت پایگاه های داده، سایر آرایه های اطلاعاتی در برابر تخریب تصادفی یا عمدی، تغییرات غیرمجاز است. صداقت را می توان به صورت زیر مشاهده کرد:

• ایستا، بیان شده در تغییرناپذیری، صحت اشیاء اطلاعاتی به آن اشیایی که مطابق با یک کار فنی خاص ایجاد شده اند و حاوی مقدار اطلاعات مورد نیاز کاربران برای فعالیت اصلی خود هستند، در پیکربندی و ترتیب مورد نیاز.
• پویا، به معنای اجرای صحیح اقدامات یا تراکنش های پیچیده است که به ایمنی اطلاعات آسیب نمی رساند.

برای کنترل یکپارچگی پویا، از ابزارهای فنی ویژه ای استفاده می شود که جریان اطلاعات را تجزیه و تحلیل می کند، به عنوان مثال، اطلاعات مالی، و موارد سرقت، تکرار، تغییر مسیر و ترتیب مجدد پیام ها را شناسایی می کند. صداقت به عنوان یک ویژگی کلیدی زمانی مورد نیاز است که تصمیمات بر اساس اطلاعات دریافتی یا موجود برای انجام اقدامات اتخاذ شود. نقض ترتیب دستورات یا توالی اقدامات می تواند در مورد توصیف فرآیندهای تکنولوژیکی، کدهای برنامه و سایر موقعیت های مشابه آسیب زیادی ایجاد کند.

دسترسیدارایی است که به افراد مجاز اجازه دسترسی یا تبادل داده های مورد علاقه خود را می دهد. شرط کلیدی مشروعیت یا مجوز سوژه ها، ایجاد سطوح مختلف دسترسی را ممکن می سازد. امتناع سیستم از ارائه اطلاعات برای هر سازمان یا گروه کاربری مشکل ساز می شود. به عنوان مثال می توان به عدم دسترسی به سایت های خدمات عمومی در صورت خرابی سیستم اشاره کرد که امکان دریافت خدمات یا اطلاعات لازم را از بسیاری از کاربران سلب می کند.

محرمانه بودنبه معنای ویژگی اطلاعاتی است که در دسترس آن دسته از کاربران قرار می گیرد: موضوعات و فرآیندهایی که در ابتدا مجاز به دسترسی هستند. اکثر شرکت ها و سازمان ها محرمانگی را به عنوان یک عنصر کلیدی امنیت اطلاعات می دانند، اما در عمل اجرای کامل آن دشوار است. تمام داده های موجود در کانال های نشت اطلاعات در دسترس نویسندگان مفاهیم امنیت اطلاعات نیست و بسیاری از ابزارهای فنی حفاظت از جمله موارد رمزنگاری را نمی توان آزادانه خریداری کرد، در برخی موارد گردش مالی محدود است.

ویژگی‌های برابر امنیت اطلاعات برای کاربران ارزش‌های متفاوتی دارد، از این رو دو دسته افراطی در توسعه مفاهیم حفاظت از داده‌ها وجود دارد. برای شرکت ها یا سازمان های مرتبط با اسرار دولتی، محرمانه بودن به یک پارامتر کلیدی تبدیل می شود، برای خدمات عمومی یا مؤسسات آموزشی مهم ترین پارامتر دسترسی است.

خلاصه امنیت اطلاعات

مجموعه ای ماهانه از نشریات مفید، اخبار و رویدادهای جالب از دنیای امنیت اطلاعات. تجربه تخصصی و موارد واقعی از عمل SearchInform.

اشیاء محافظت شده در مفاهیم امنیت اطلاعات

تفاوت در موضوعات باعث ایجاد تفاوت در موضوعات محافظت می شود. گروه های اصلی اشیاء محافظت شده:

• منابع اطلاعاتی از همه نوع (منبع به عنوان یک شیء مادی درک می شود: یک هارد دیسک، یک رسانه دیگر، یک سند با داده ها و جزئیات که به شناسایی آن و ارجاع آن به گروه خاصی از موضوعات کمک می کند).
• حقوق شهروندان، سازمان ها و دولت برای دسترسی به اطلاعات، توانایی به دست آوردن آن در چارچوب قانون؛ دسترسی را می توان تنها با قوانین قانونی نظارتی محدود کرد؛ سازماندهی هرگونه مانعی که حقوق بشر را نقض کند غیرقابل قبول است.
• سیستمی برای ایجاد، استفاده و توزیع داده ها (سیستم ها و فناوری ها، بایگانی ها، کتابخانه ها، اسناد نظارتی).
• سیستم شکل گیری آگاهی عمومی (رسانه ها، منابع اینترنتی، موسسات اجتماعی، موسسات آموزشی).

هر شی سیستم خاصی از اقدامات را برای محافظت در برابر تهدیدات امنیت اطلاعات و نظم عمومی در نظر می گیرد. تضمین امنیت اطلاعات در هر مورد باید مبتنی بر یک رویکرد سیستماتیک باشد که ویژگی های تسهیلات را در نظر می گیرد.

دسته ها و رسانه های ذخیره سازی

سیستم حقوقی روسیه، عملکرد اجرای قانون و روابط اجتماعی ایجاد شده، اطلاعات را بر اساس معیارهای دسترسی طبقه بندی می کند. این به شما امکان می دهد تا پارامترهای ضروری لازم برای اطمینان از امنیت اطلاعات را روشن کنید:

• اطلاعاتی که دسترسی به آنها بر اساس الزامات قانونی محدود شده است (اسرار دولتی، اسرار تجاری، داده های شخصی).
• اطلاعات در حوزه عمومی؛
• اطلاعات در دسترس عموم که تحت شرایط خاصی ارائه می شود: اطلاعات پولی یا داده هایی که برای آنها نیاز به صدور پذیرش دارید، به عنوان مثال، کارت کتابخانه.
• خطرناک، مضر، نادرست و انواع دیگر اطلاعات، که گردش و توزیع آنها با الزامات قوانین یا استانداردهای شرکت محدود شده است.

اطلاعات گروه اول دارای دو حالت حفاظتی است. راز دولتیطبق قانون، این اطلاعاتی است که توسط دولت محافظت می شود و توزیع رایگان آن ممکن است به امنیت کشور آسیب برساند. اینها داده هایی در زمینه نظامی، سیاست خارجی، اطلاعاتی، ضد جاسوسی و فعالیت های اقتصادی دولت است. مالک این گروه داده، خود ایالت است. نهادهایی که مجاز به اتخاذ تدابیری برای حفاظت از اسرار دولتی هستند، وزارت دفاع، سرویس امنیت فدرال (FSB)، سرویس اطلاعات خارجی، و سرویس فدرال برای کنترل فنی و صادرات (FSTEC) هستند.

اطلاعات محرمانه- موضوع مقررات چند وجهی تر. فهرست اطلاعاتی که ممکن است به منزله اطلاعات محرمانه باشد، در فرمان شماره 188 ریاست جمهوری «در مورد تأیید فهرست اطلاعات محرمانه» آمده است. این اطلاعات شخصی است. محرمانه بودن تحقیقات و مراحل قانونی؛ راز رسمی؛ راز حرفه ای (پزشکی، اسناد رسمی، وکیل)؛ راز تجارت؛ اطلاعات در مورد اختراعات و مدل های کاربردی؛ اطلاعات موجود در پرونده های شخصی محکومان و همچنین اطلاعات مربوط به اجرای اجباری اعمال قضایی.

داده های شخصی در حالت باز و محرمانه وجود دارد. بخشی از اطلاعات شخصی باز و قابل دسترسی برای همه کاربران شامل نام، نام خانوادگی، نام خانوادگی است. طبق FZ-152 "در مورد داده های شخصی"، افراد داده های شخصی حق دارند:

• خودمختاری اطلاعاتی؛
• برای دسترسی به اطلاعات شخصی شخصی و ایجاد تغییرات در آنها؛
• برای مسدود کردن اطلاعات شخصی و دسترسی به آنها؛
• اعتراض به اقدامات غیرقانونی اشخاص ثالث در رابطه با داده های شخصی؛
• برای جبران خسارت وارده.

حق این امر در مقررات مربوط به نهادهای ایالتی، قوانین فدرال، مجوزهای کار با داده های شخصی صادر شده توسط Roskomnadzor یا FSTEC ذکر شده است. شرکت هایی که به طور حرفه ای با داده های شخصی طیف گسترده ای از افراد کار می کنند، به عنوان مثال، اپراتورهای مخابراتی، باید ثبت نامی را وارد کنند که توسط Roskomnadzor نگهداری می شود.

یک شی جداگانه در تئوری و عمل امنیت اطلاعات حامل های اطلاعاتی هستند که دسترسی به آنها باز و بسته است. هنگام توسعه مفهوم امنیت اطلاعات، روش های حفاظت بسته به نوع رسانه انتخاب می شوند. رسانه ذخیره سازی اصلی:

• رسانه های چاپی و الکترونیکی، شبکه های اجتماعی، سایر منابع موجود در اینترنت؛
• کارکنان سازمان که بر اساس روابط دوستانه، خانوادگی، حرفه ای خود به اطلاعات دسترسی دارند.
• ارتباطات به معنی انتقال یا ذخیره اطلاعات: تلفن، مبادلات تلفنی خودکار، سایر تجهیزات مخابراتی.
• اسناد از همه نوع: شخصی، رسمی، دولتی.
• نرم افزار به عنوان یک شی اطلاعات مستقل، به خصوص اگر نسخه آن به طور خاص برای یک شرکت خاص اصلاح شده باشد.
• رسانه های ذخیره سازی الکترونیکی که داده ها را به صورت خودکار پردازش می کنند.

به منظور توسعه مفاهیم امنیت اطلاعات، ابزارهای امنیت اطلاعات معمولاً به هنجاری (غیررسمی) و فنی (رسمی) تقسیم می شوند.

ابزار غیررسمی حفاظت اسناد، قوانین، رویدادها، وسایل رسمی ابزارهای فنی و نرم افزارهای خاص هستند. ترسیم به توزیع زمینه های مسئولیت در هنگام ایجاد سیستم های امنیت اطلاعات کمک می کند: با مدیریت کلی حفاظت، پرسنل اداری روش های هنجاری را اجرا می کنند و متخصصان فناوری اطلاعات به ترتیب روش های فنی را اجرا می کنند.

مبانی امنیت اطلاعات مستلزم تعیین اختیارات نه تنها از نظر استفاده از اطلاعات، بلکه از نظر کار با حفاظت از آن است. این تقسیم قدرت نیز مستلزم چندین سطح کنترل است.

راه حل های رسمی

طیف گسترده ای از ابزارهای فنی امنیت اطلاعات شامل:

تجهیزات حفاظت فیزیکی.اینها مکانیسم های مکانیکی، الکتریکی، الکترونیکی هستند که مستقل از سیستم های اطلاعاتی عمل می کنند و موانعی را برای دسترسی به آنها ایجاد می کنند. قفل ها از جمله قفل های الکترونیکی، صفحه نمایش، پرده ها برای ایجاد موانع برای تماس عوامل بی ثبات کننده با سیستم ها طراحی شده اند. این گروه با سیستم های امنیتی تکمیل می شود، به عنوان مثال، دوربین های ویدئویی، ضبط کننده های ویدئویی، حسگرهایی که حرکت یا بیش از حد تابش الکترومغناطیسی را در منطقه مکان ابزارهای فنی بازیابی اطلاعات، دستگاه های تعبیه شده تشخیص می دهند.

حفاظت از سخت افزاراینها وسایل الکتریکی، الکترونیکی، نوری، لیزری و غیره هستند که در سیستم های اطلاعاتی و مخابراتی تعبیه شده اند. قبل از وارد کردن سخت افزار به سیستم های اطلاعاتی، لازم است از سازگاری اطمینان حاصل شود.

نرم افزاربرنامه های ساده و سیستمیک و پیچیده ای هستند که برای حل مشکلات خاص و پیچیده مرتبط با امنیت اطلاعات طراحی شده اند. نمونه‌ای از راه‌حل‌های پیچیده نیز عبارتند از: اولی برای جلوگیری از نشت، قالب‌بندی مجدد اطلاعات و تغییر جهت جریان اطلاعات، دومی محافظت در برابر حوادث در زمینه امنیت اطلاعات را فراهم می‌کند. نرم افزار به قدرت دستگاه های سخت افزاری نیاز دارد و باید در حین نصب، ذخایر اضافی فراهم شود.

به وسیله ای خاصامنیت اطلاعات شامل الگوریتم های رمزنگاری مختلفی است که اطلاعات را روی دیسک رمزگذاری کرده و از طریق کانال های ارتباطی خارجی هدایت می شود. تبدیل اطلاعات می‌تواند با استفاده از روش‌های نرم‌افزاری و سخت‌افزاری که در سیستم‌های اطلاعاتی شرکت‌ها کار می‌کنند، رخ دهد.

پس از ارزیابی اولیه ارزش اطلاعات و مقایسه آن با هزینه منابع صرف شده برای امنیت، همه ابزارهایی که امنیت اطلاعات را تضمین می کنند باید به صورت ترکیبی استفاده شوند. بنابراین، پیشنهادات برای استفاده از بودجه باید از قبل در مرحله توسعه سیستم ها تدوین شود و در سطح مدیریتی که مسئول تصویب بودجه است، تصویب شود.

به منظور تضمین امنیت، لازم است تمام پیشرفت‌های مدرن، ابزارهای حفاظتی نرم‌افزاری و سخت‌افزاری، تهدیدها را رصد کرده و به سرعت در سیستم‌های حفاظتی خود در برابر دسترسی‌های غیرمجاز تغییراتی ایجاد کنیم. تنها کفایت و سرعت پاسخگویی به تهدیدات به دستیابی به سطح بالایی از محرمانگی در کار شرکت کمک می کند.

درمان های غیررسمی

راه حل های غیررسمی به دو دسته هنجاری، اداری و اخلاقی-اخلاقی دسته بندی می شوند. در سطح اول حفاظت، ابزارهای نظارتی هستند که امنیت اطلاعات را به عنوان فرآیندی در فعالیت های سازمان تنظیم می کنند.

• وسیله تنظیمی

در عمل جهانی، هنگام توسعه ابزارهای نظارتی، آنها توسط استانداردهای حفاظت IS هدایت می شوند، که اصلی ترین آنها ISO / IEC 27000 است. این استاندارد توسط دو سازمان ایجاد شده است:

• ISO - کمیسیون بین المللی استانداردسازی که اکثر متدولوژی های شناخته شده بین المللی را برای صدور گواهینامه کیفیت تولید و فرآیندهای مدیریتی توسعه و تایید می کند.
• IEC - کمیسیون بین المللی انرژی، که درک خود را از سیستم های امنیت اطلاعات، ابزارها و روش های تضمین آن به استاندارد معرفی کرد.

نسخه فعلی ISO / IEC 27000-2016 استانداردهای آماده و روش های اثبات شده لازم برای اجرای امنیت اطلاعات را ارائه می دهد. به گفته نویسندگان روش ها، اساس امنیت اطلاعات در اجرای سازگار و منسجم همه مراحل از توسعه تا پس از کنترل نهفته است.

برای دریافت گواهی تایید کننده انطباق با استانداردهای امنیت اطلاعات، لازم است تمامی تکنیک های توصیه شده به طور کامل اجرا شوند. در صورت عدم نیاز به دریافت گواهی، مجاز به پذیرش هر یک از نسخه های قبلی استاندارد، با شروع ISO / IEC 27000-2002، یا GOST های روسی، که ماهیت مشاوره ای دارند، به عنوان مبنایی برای توسعه سیستم های امنیت اطلاعات خودشان

بر اساس نتایج مطالعه استاندارد، دو سند در حال تدوین است که مربوط به امنیت اطلاعات است. مفهوم اصلی، اما کمتر رسمی، مفهوم امنیت اطلاعات یک شرکت است که اقدامات و روش های اجرای یک سیستم امنیت اطلاعات را برای سیستم های اطلاعاتی یک سازمان تعریف می کند. دومین سندی که کلیه کارکنان شرکت باید رعایت کنند، آیین نامه امنیت اطلاعات مصوب در سطح هیات مدیره یا دستگاه اجرایی است.

علاوه بر موقعیت در سطح شرکت، لیستی از اطلاعات تشکیل دهنده یک اسرار تجاری، ضمیمه های قراردادهای کار، تامین مسئولیت برای افشای داده های محرمانه، سایر استانداردها و روش ها باید توسعه یابد. قوانین و مقررات داخلی باید دارای سازوکارهای اجرایی و اقدامات مسئولیت باشد. در اغلب موارد، این اقدامات ماهیت انضباطی دارند و متخلف باید برای این واقعیت آماده باشد که نقض رژیم اسرار تجاری تحریم های قابل توجهی از جمله اخراج را به دنبال خواهد داشت.

• اقدامات سازمانی و اداری

به عنوان بخشی از فعالیت های اداری برای حفاظت از امنیت اطلاعات برای پرسنل امنیتی، زمینه برای خلاقیت وجود دارد. اینها راه حل های معماری و برنامه ریزی هستند که به محافظت از اتاق های جلسه و دفاتر مدیریت در برابر استراق سمع و ایجاد سطوح مختلف دسترسی به اطلاعات کمک می کنند. از اقدامات مهم سازمانی می توان به صدور گواهینامه فعالیت های شرکت مطابق با استانداردهای ISO/IEC 27000، صدور گواهینامه سیستم های سخت افزاری و نرم افزاری فردی، صدور گواهینامه موضوعات و اشیاء برای انطباق با الزامات امنیتی لازم، اخذ مجوزهای لازم برای کار با آرایه های داده حفاظت شده اشاره کرد.

از نقطه نظر تنظیم فعالیت های پرسنل، تدوین یک سیستم درخواست برای دسترسی به اینترنت، ایمیل خارجی و سایر منابع مهم خواهد بود. یک عنصر جداگانه دریافت امضای دیجیتال الکترونیکی برای افزایش امنیت اطلاعات مالی و سایر اطلاعاتی است که از طریق ایمیل به سازمان های دولتی منتقل می شود.

• اقدامات اخلاقی و اخلاقی

اقدامات اخلاقی و اخلاقی نگرش شخصی فرد را نسبت به اطلاعات محرمانه یا اطلاعات محدود در گردش تعیین می کند. افزایش سطح دانش کارکنان در خصوص تأثیر تهدیدات بر فعالیت های شرکت بر میزان هوشیاری و مسئولیت پذیری کارکنان تأثیر می گذارد. برای مبارزه با نقض رژیم اطلاعات، از جمله، به عنوان مثال، انتقال رمز عبور، رسیدگی بی دقت به رسانه ها، انتشار داده های محرمانه در مکالمات خصوصی، باید بر وظیفه شناسی شخصی کارمند تمرکز کرد. ایجاد شاخص هایی از اثربخشی پرسنل، که به نگرش نسبت به سیستم امنیت اطلاعات شرکت بستگی دارد، مفید خواهد بود.

اینفوگرافیک از داده های تحقیقات خودمان استفاده می کند.SearchInform.

دانشجویان، دانشجویان تحصیلات تکمیلی، دانشمندان جوانی که از دانش پایه در تحصیل و کار خود استفاده می کنند از شما بسیار سپاسگزار خواهند بود.

ارسال شده در http://www.allbest.ru/

معرفی

2. سیستم های امنیت اطلاعات

3. منابع اطلاعاتی با توزیع محدود و تهدید منابع. دسترسی پرسنل به اطلاعات محرمانه

نتیجه

معرفی

از همان آغاز تاریخ بشر، نیاز به انتقال و ذخیره اطلاعات بوجود آمد.

از حدود قرن هفدهم، در روند شکل گیری تولید ماشین، مشکل تسلط بر انرژی به منصه ظهور رسید. در ابتدا روش های تسلط بر انرژی باد و آب بهبود یافت و سپس بشر انرژی حرارتی را در اختیار گرفت.

در پایان قرن نوزدهم، تسلط بر انرژی الکتریکی آغاز شد، یک ژنراتور الکتریکی و یک موتور الکتریکی اختراع شد. و سرانجام ، در اواسط قرن بیستم ، بشر بر انرژی اتمی تسلط یافت ، در سال 1954 اولین نیروگاه هسته ای در اتحاد جماهیر شوروی به بهره برداری رسید.

تسلط بر انرژی امکان حرکت به سمت تولید انبوه ماشینی کالاهای مصرفی را فراهم کرد. جامعه صنعتی ایجاد شد. در این دوره نیز تغییرات چشمگیری در شیوه های ذخیره و انتقال اطلاعات به وجود آمد.

در جامعه اطلاعاتی، اطلاعات منبع اصلی است. بر اساس در اختیار داشتن اطلاعات در مورد انواع فرآیندها و پدیده ها است که می توان هر فعالیتی را به طور کارآمد و بهینه ساخت.

نه تنها تولید تعداد زیادی محصول، بلکه تولید محصولات مناسب در یک زمان خاص مهم است. با هزینه معین و غیره. بنابراین در جامعه اطلاعاتی نه تنها کیفیت مصرف افزایش می یابد، بلکه کیفیت تولید نیز افزایش می یابد. فردی که از فناوری اطلاعات استفاده می کند شرایط کاری بهتری دارد، کار خلاق، فکری و ... می شود.

در حال حاضر کشورهای توسعه یافته جهان (آمریکا، ژاپن، کشورهای اروپای غربی) عملاً وارد جامعه اطلاعاتی شده اند. دیگران، از جمله روسیه، در نزدیکترین رویکرد به آن هستند.

سه معیار برای توسعه جامعه اطلاعاتی را می توان انتخاب کرد: در دسترس بودن رایانه، سطح توسعه شبکه های رایانه ای و تعداد افراد شاغل در حوزه اطلاعات و همچنین استفاده از فناوری اطلاعات و ارتباطات در فعالیت های روزمره.

امروزه اطلاعات گران است و نیاز به محافظت دارد. متأسفانه معلوم شد که استفاده گسترده از رایانه های شخصی با ظهور ویروس های خود-تکثیر شونده مرتبط است که در عملکرد عادی رایانه تداخل ایجاد می کند، ساختار فایل دیسک ها را از بین می برد و به اطلاعات ذخیره شده در رایانه آسیب می رساند.

اطلاعات متعلق به همه افراد است و بدون استثنا از آنها استفاده می شود. هر فرد خودش تصمیم می گیرد که چه اطلاعاتی را باید دریافت کند، چه اطلاعاتی را نباید در اختیار دیگران قرار دهد و غیره. ذخیره اطلاعاتی که در سرش وجود دارد برای شخص آسان است، اما اگر اطلاعات وارد «مغز ماشین» شود، چه می‌شود که بسیاری از افراد به آن دسترسی دارند.

1. حفاظت اطلاعات و امنیت اطلاعات

حفاظت از اطلاعات

مشکل ایجاد یک سیستم امنیت اطلاعات شامل دو وظیفه مکمل است: 1) توسعه یک سیستم امنیت اطلاعات (ترکیب آن). 2) ارزیابی سیستم امنیت اطلاعات توسعه یافته. وظیفه دوم با تجزیه و تحلیل مشخصات فنی آن حل می شود تا مشخص شود آیا سیستم حفاظت از اطلاعات مجموعه الزامات این سیستم ها را برآورده می کند یا خیر. چنین کاری در حال حاضر تقریباً به طور انحصاری با ابزارهای کارشناسی و با کمک صدور گواهینامه ابزارهای امنیت اطلاعات و صدور گواهینامه سیستم امنیت اطلاعات در روند اجرای آن حل می شود.

اجازه دهید محتوای اصلی روش های حفاظت از اطلاعات ارائه شده را در نظر بگیریم که اساس مکانیسم های حفاظتی را تشکیل می دهند.

موانع روش هایی برای مسدود کردن فیزیکی مسیر مهاجم به اطلاعات محافظت شده (به تجهیزات، رسانه های ذخیره سازی و غیره) هستند.

کنترل دسترسی روشی برای محافظت از اطلاعات با تنظیم استفاده از تمام منابع یک سیستم اطلاعاتی رایانه ای (عناصر پایگاه های داده، نرم افزار و سخت افزار) است. کنترل دسترسی شامل ویژگی های امنیتی زیر است:

شناسایی کاربران، پرسنل و منابع سیستم (تخصیص یک شناسه شخصی برای هر شی).

شناسایی (احراز هویت) یک شی یا موضوع توسط شناسه ارائه شده توسط او؛

بررسی مجوز (بررسی انطباق روز هفته، زمان روز، منابع و روش های درخواستی با مقررات تعیین شده)؛

اجازه و ایجاد شرایط کار در چارچوب مقررات تعیین شده؛

ثبت (ثبت) تماس با منابع حفاظت شده؛

ثبت نام (زنگ، خاموش شدن، تاخیر در کار، رد درخواست) در صورت تلاش برای اقدامات غیرمجاز.

پنهان کردن روشی برای محافظت از اطلاعات از طریق بسته شدن رمزنگاری آن است. این روش به طور گسترده در خارج از کشور هم در پردازش و هم در ذخیره سازی اطلاعات، از جمله در فلاپی دیسک ها استفاده می شود. هنگام انتقال اطلاعات از طریق کانال های ارتباطی از راه دور، این روش تنها روش قابل اعتماد است.

مقررات روشی برای حفاظت از اطلاعات است که شرایطی را برای پردازش خودکار، ذخیره سازی و انتقال اطلاعات محافظت شده ایجاد می کند که در آن امکان دسترسی غیرمجاز به آن به حداقل می رسد.

اجبار یک روش حفاظتی است که در آن کاربران و پرسنل سیستم مجبور به پیروی از قوانین مربوط به پردازش، انتقال و استفاده از اطلاعات محافظت شده تحت تهدید مسئولیت مادی، اداری یا کیفری هستند.

انگیزه روشی حفاظتی است که کاربر و پرسنل سیستم را ترغیب می کند تا با رعایت موازین اخلاقی و اخلاقی تعیین شده (اعم از قانونمند و نانوشته) نظم مقرر را نقض نکنند.

روش های در نظر گرفته شده برای تضمین امنیت در عمل با استفاده از ابزارهای حفاظتی مختلف مانند فنی، نرم افزاری، سازمانی، قانونی و اخلاقی و اخلاقی اجرا می شود. دفاع اصلی مورد استفاده برای ایجاد مکانیزم امنیتی شامل موارد زیر است.

ابزارهای فنی در قالب دستگاه های الکتریکی، الکترومکانیکی و الکترونیکی اجرا می شوند. کل مجموعه ابزار فنی به سخت افزار و فیزیکی تقسیم می شود. با سخت افزار، درک فناوری یا دستگاه هایی که با چنین تجهیزاتی از طریق یک رابط استاندارد ارتباط برقرار می کنند، مرسوم است. به عنوان مثال، سیستمی برای شناسایی و تمایز دسترسی به اطلاعات (از طریق رمزهای عبور، کدهای ضبط و سایر اطلاعات روی کارت های مختلف). دارایی های فیزیکی به عنوان دستگاه ها و سیستم های مستقل پیاده سازی می شوند. به عنوان مثال، قفل در درهایی که تجهیزات در آن قرار دارند، توری روی پنجره ها، منابع برق اضطراری، تجهیزات دزدگیر الکترومکانیکی. بنابراین، سیستم های امنیتی خارجی (Raven، GUARDWIR، FPS و غیره)، سیستم های اولتراسونیک (Cyclops و غیره)، سیستم های قطع پرتو (Pulsar 30B و غیره)، سیستم های تلویزیون (VM216 و غیره) وجود دارد. سیستم های راداری ("VITIM"، و غیره)، یک سیستم کنترل باز کردن تجهیزات و غیره.

ابزارهای نرم افزاری نرم افزارهایی هستند که به طور خاص برای انجام وظایف امنیت اطلاعات طراحی شده اند. این گروه از ابزارها عبارتند از: مکانیزم رمزگذاری (رمزنگاری الگوریتم خاصی است که توسط یک عدد یا دنباله بیت منحصر به فرد راه اندازی می شود که معمولاً کلید رمزگذاری نامیده می شود؛ سپس متن رمزگذاری شده از طریق کانال های ارتباطی مخابره می شود و گیرنده کلید خود را دارد. رمزگشایی اطلاعات)، مکانیزم امضای دیجیتال، کنترل دسترسی مکانیزم ها، مکانیسم های یکپارچگی داده ها، مکانیسم های زمان بندی، مکانیسم های کنترل مسیریابی، مکانیسم های داوری، برنامه های آنتی ویروس، برنامه های آرشیو (به عنوان مثال، zip، rar، arj، و غیره)، حفاظت در هنگام ورود اطلاعات و خروجی و غیره

ابزارهای امنیتی سازمانی اقدامات سازمانی، فنی و سازمانی و قانونی است که در فرآیند ایجاد و راه اندازی رایانه ها، تجهیزات مخابراتی برای تضمین حفاظت از اطلاعات انجام می شود. اقدامات سازمانی کلیه عناصر ساختاری تجهیزات را در تمام مراحل چرخه عمر آنها (ساخت محل، طراحی سیستم اطلاعات رایانه ای برای بانکداری، نصب و تنظیم تجهیزات، استفاده، بهره برداری) پوشش می دهد.

ابزارهای حفاظتی اخلاقی و اخلاقی در قالب انواع هنجارهایی که به طور سنتی توسعه یافته و یا با گسترش فناوری محاسباتی و ارتباطات در جامعه شکل گرفته اند، اجرا می شوند. در بیشتر موارد، این هنجارها به عنوان اقدامات قانونی اجباری نیستند، اما عدم رعایت آنها معمولاً منجر به از دست دادن اقتدار و اعتبار شخص می شود. بارزترین نمونه از این هنجارها، آیین نامه رفتار حرفه ای برای اعضای انجمن کاربران کامپیوتر ایالات متحده است.

راه حل های حقوقی توسط اقدامات قانونی کشور تعیین می شود که قوانین استفاده، پردازش و انتقال اطلاعات با دسترسی محدود را تنظیم می کند و اقدامات مسئولیت را برای نقض این قوانین تعیین می کند.

همه ابزارهای حفاظتی در نظر گرفته شده به رسمی (انجام عملکردهای حفاظتی به طور دقیق طبق رویه از پیش تعیین شده بدون مشارکت مستقیم انسانی) و غیررسمی (تعیین شده توسط فعالیت هدفمند انسانی یا تنظیم این فعالیت) تقسیم می شوند.

ویروس‌ها در حال حاضر مهم‌ترین مشکل امنیتی هستند (حتی در سیستم‌هایی که نیازی به ذخیره اطلاعات حساس ندارند و در رایانه‌های خانگی). بنابراین، در اینجا با جزئیات بیشتر به آنها خواهیم پرداخت. ویروس کامپیوتری یک برنامه کوچک ویژه نوشته شده است که می تواند خود را به برنامه های دیگر "نسبت" کند (یعنی آنها را "آلوده" کند) و همچنین اعمال ناخواسته مختلفی را در رایانه انجام دهد (مثلاً خراب کردن فایل ها یا جداول تخصیص پرونده در یک دیسک، "انسداد" RAM، و غیره).

حفاظت اصلی در برابر ویروس ها آرشیو کردن است. روش های دیگر نمی توانند جایگزین آن شوند، اگرچه سطح کلی حفاظت را افزایش می دهند. آرشیو باید روزانه انجام شود. آرشیو شامل تهیه کپی از فایل های در حال استفاده و به روز رسانی سیستماتیک فایل های تغییر یافته است. این امر نه تنها صرفه جویی در فضا را در دیسک های بایگانی خاص امکان پذیر می کند، بلکه ترکیب گروه هایی از فایل های به اشتراک گذاشته شده را در یک فایل بایگانی نیز امکان پذیر می کند و مرتب کردن یک آرشیو مشترک از فایل ها را بسیار آسان تر می کند. آسیب پذیرترین جداول تخصیص فایل، دایرکتوری اصلی و بخش بوت هستند. توصیه می شود به طور دوره ای فایل ها را در فلاپی دیسک مخصوص کپی کنید. رزرو آنها نه تنها برای محافظت در برابر ویروس ها، بلکه برای بیمه در مواقع اضطراری یا اقدامات شخصی، از جمله اشتباهات خود شما، مهم است.

برای اهداف پیشگیرانه، برای محافظت در برابر ویروس ها، توصیه می شود:

کار با فلاپی دیسک های محافظت شده از نوشتن؛

به حداقل رساندن دوره های در دسترس بودن فلاپی دیسک برای ضبط؛

اشتراک گذاری فلاپی دیسک بین کاربران مسئول خاص؛

جداسازی فلاپی دیسک های ارسالی و دریافتی؛

جداسازی فضای ذخیره سازی برنامه های تازه دریافت شده و برنامه های قبلی.

بررسی نرم افزارهای تازه دریافت شده برای وجود ویروس در آنها با آزمایش برنامه ها.

ذخیره برنامه ها روی هارد دیسک به صورت آرشیو شده

برای جلوگیری از ظهور ویروس های رایانه ای، ابتدا باید اقدامات زیر را رعایت کنید:

نرم افزار را از رایانه های دیگر بازنویسی نکنید، در صورت لزوم، اقدامات فوق باید انجام شود.

اجازه ندهید افراد غیرمجاز روی رایانه کار کنند، به خصوص اگر قرار است با فلاپی دیسک خود کار کنند.

از فلاپی دیسک های دیگر مخصوصاً در بازی های رایانه ای استفاده نکنید.

خطاهای کاربر معمولی زیر را می توان تشخیص داد که منجر به عفونت ویروسی می شود:

عدم وجود سیستم مناسب برای آرشیو اطلاعات؛

راه اندازی برنامه حاصل بدون اینکه ابتدا آن را برای عفونت بررسی کنید و بدون تنظیم حداکثر حالت محافظت برای هارد دیسک با استفاده از سیستم های کنترل دسترسی و راه اندازی نگهبان مقیم.

راه‌اندازی مجدد سیستم در صورت نصب فلاپی دیسک در درایو A (در این مورد، BIOS تلاش می‌کند از این فلاپی دیسک بوت شود، نه از هارد دیسک؛ در نتیجه، اگر فلاپی دیسک به آوار آلوده شود. ویروس، هارد دیسک آلوده است)؛

اجرای انواع برنامه های آنتی ویروس، بدون اطلاع از انواع تشخیص ویروس های مشابه توسط برنامه های آنتی ویروس مختلف؛

تجزیه و تحلیل و بازیابی برنامه ها در سیستم عامل آلوده.

در حال حاضر محبوب ترین محصولات ضد ویروس DialogNauka JSC در روسیه عبارتند از:

polyphage Aidstest (پلی‌فاژ برنامه‌ای است که اقداماتی را برخلاف اقداماتی که ویروس هنگام آلوده کردن یک فایل ایجاد می‌کند، انجام می‌دهد، یعنی تلاش برای بازیابی یک فایل).

حسابرس Adinf;

بلوک شفا AdinfExt.

پلی فاژ برای "پلی مورف ها" دکتر وب.

برنامه های فیلتری وجود دارند که بررسی می کنند آیا فایل ها (روی دیسک مشخص شده توسط کاربر) حاوی ترکیب خاصی از بایت ها برای یک ویروس معین هستند یا خیر. پردازش ویژه فایل ها، دیسک ها، دایرکتوری ها نیز استفاده می شود - واکسیناسیون: راه اندازی برنامه های واکسن که ترکیبی از شرایط را شبیه سازی می کند که در آن این نوع ویروس شروع به کار می کند و خود را نشان می دهد. نمونه ای از یک برنامه حفاظت از ویروس مقیم، VSAFF Carmel Central Point Software است. برنامه های CRCLIST و CRCTEST را می توان به عنوان برنامه هایی برای تشخیص زودهنگام ویروس رایانه ای توصیه کرد.

امنیت اطلاعات.

اطلاعات از نقطه نظر امنیت اطلاعات دارای دسته های زیر است: محرمانه بودن اطلاعات - تضمین این که اطلاعات خاص فقط در دسترس حلقه افرادی است که برای آنها در نظر گرفته شده است. نقض این دسته سرقت یا افشای اطلاعات نامیده می شود؛ یکپارچگی اطلاعات - تضمینی است که اطلاعات در حال حاضر به شکل اصلی خود وجود دارد، یعنی در طول ذخیره یا انتقال آن، هیچ تغییر غیرمجاز ایجاد نشده است. نقض این دسته جعل پیام نامیده می شود؛ صحت اطلاعات - تضمین این که منبع اطلاعات دقیقاً شخصی است که به عنوان نویسنده آن اعلام شده است. نقض این دسته جعل نیز نامیده می شود، اما قبلاً نویسنده پیام، درخواست تجدید نظر اطلاعات تضمینی است که در صورت لزوم می توان ثابت کرد که نویسنده پیام دقیقاً شخص اعلام شده است و هیچکس دیگری می تواند باشد تفاوت این دسته با مقوله قبلی در این است که وقتی نویسنده جایگزین می شود، شخص دیگری سعی می کند اعلام کند که نویسنده پیام است و هنگامی که درخواست تجدید نظر نقض می شود، نویسنده خود سعی می کند سخنان خود را "انکار" کند، امضا شده است. توسط او یک بار

در رابطه با سیستم های اطلاعاتی، دسته های دیگری نیز اعمال می شود: قابلیت اطمینان - اطمینان از اینکه سیستم در حالت های عادی و غیرعادی با دقت برنامه ریزی شده رفتار می کند - تضمین اجرای دقیق و کامل همه دستورات کنترل دسترسی - اطمینان از اینکه گروه های مختلف مردم دسترسی متفاوتی به اشیاء اطلاعاتی دارند. و این محدودیت های دسترسی دائماً قابل کنترل هستند - تضمینی است که در هر زمان می توان یک بررسی کامل از هر جزء از مجموعه نرم افزاری انجام داد کنترل شناسایی - تضمینی است که مشتری در حال حاضر دقیقاً همان کسی است که به سیستم متصل است. ادعا می کند که در برابر شکست های عمدی مقاومت می کند - تضمینی برای اینکه اگر خطاها عمداً در محدوده هنجارهای از پیش توافق شده معرفی شوند، سیستم همانطور که از قبل توافق شده است رفتار خواهد کرد.

2. سیستم های امنیت اطلاعات

امنیت انتقال اطلاعات در اینترنت رمزگذاری اطلاعات با استفاده از کلیدهای عمومی و خصوصی. امضای دیجیتالی.

در اینترنت مدرن روسیه، اکثر کاربران آن، از جمله کاربران شرکتی، از شبکه جهانی استفاده می کنند، عمدتاً به عنوان یک پایگاه داده عظیم، گسترده ترین منبع اطلاعاتی، که در آن می توانید به راحتی و به سرعت هر گونه اطلاعات مورد علاقه خود را پیدا کنید، یا به مخاطبان گسترده ای اطلاعات ارائه دهید. درباره خودتان، محصولات یا خدماتتان

یکی از دلایل این وضعیت، به نظر ما، عدم اعتماد نمایندگان کسب و کار به امنیت انتقال اطلاعات از طریق اینترنت است. به همین دلیل است که اغلب از فکس یا پیک استفاده می شود که از امکانات اینترنت می توان با موفقیت استفاده کرد.

بیایید در نظر بگیریم که امروزه چه حوزه های حفاظتی و ابزارهای فنی مربوطه بیشترین توجه را از سوی توسعه دهندگان و مصرف کنندگان به خود جلب می کند.

محافظت در برابر دسترسی غیرمجاز (NSD) به منابع رایانه های شخصی مستقل و شبکه ای. این تابع توسط نرم افزار، سفت افزار و سخت افزار پیاده سازی می شود که در ادامه با مثال های خاص به آن پرداخته خواهد شد.

محافظت از سرورها و تک تک کاربران اینترنت در برابر هکرهای مخرب از خارج. برای این کار از فایروال های ویژه (دیوار آتش) استفاده می شود که اخیراً گسترش بیشتری یافته است (رجوع کنید به "PC World"، شماره 11/2000، ص 82).

حفاظت از اطلاعات محرمانه، محرمانه و شخصی از خواندن توسط افراد غیرمجاز و تحریف هدفمند آن اغلب با کمک ابزارهای رمزنگاری که به طور سنتی به یک کلاس جداگانه اختصاص داده می شود انجام می شود. این همچنین شامل تأیید صحت پیام ها با استفاده از امضای دیجیتال الکترونیکی (EDS) می شود. استفاده از سیستم های رمزنگاری با کلیدهای عمومی و EDS چشم اندازهای زیادی در بانکداری و تجارت الکترونیک دارد. این نوع حفاظت در این مقاله در نظر گرفته نشده است.

در سال های اخیر، حفاظت نرم افزار در برابر کپی غیرقانونی با استفاده از کلیدهای الکترونیکی بسیار گسترده شده است. در این بررسی با مثال های مشخصی نیز مورد توجه قرار گرفته است.

محافظت در برابر نشت اطلاعات از طریق کانال های جانبی (از طریق مدارهای قدرت، کانال تابش الکترومغناطیسی از یک کامپیوتر یا مانیتور). در اینجا، از ابزارهای اثبات شده استفاده می شود، مانند محافظت از یک اتاق و استفاده از یک مولد نویز، و همچنین مجموعه ای ویژه از مانیتورها و اجزای رایانه که دارای کمترین منطقه تابشی در محدوده فرکانس هستند که برای ضبط و رمزگشایی از راه دور راحت ترین است. سیگنال توسط متجاوزان

حفاظت در برابر دستگاه های جاسوسی نصب شده مستقیماً در اجزای رایانه و همچنین اندازه گیری ناحیه تشعشع توسط سازمان های خاصی انجام می شود که دارای مجوزهای لازم از مقامات ذیصلاح هستند.

بدون شک مزایای اینترنت در ارتباط با سرعت تبادل اطلاعات، صرفه جویی در منابع برای تبادل اطلاعات از راه دور و بین المللی، راحتی در عملکرد برنامه های کاربردی که فرآیندهای مختلف تجاری را بین دفاتر راه دور شرکت، شعب، شرکا به طور خودکار خودکار می کند، وجود ندارد. ، مشتریان، کارمندان با رایانه های شخصی لپ تاپ در خارج از دفتر خود.

همه این فرصت ها البته می تواند هزینه های زمانی و مالی شرکت را به میزان قابل توجهی کاهش دهد و کارایی کسب و کار آن را به میزان قابل توجهی افزایش دهد.

بهره وری حتی بیشتر از این را می توان با استفاده از اینترنت در تبادل اطلاعات بین شرکتی، در سیستم هایی مانند پورتال B2B یا یک سیستم تجارت اینترنتی، به ارمغان آورد.

متأسفانه در حال حاضر این قابلیت های اینترنتی تقاضای کافی ندارند و یکی از دلایل اصلی آن دقیقاً دلیل عدم اعتماد کسب و کار به اینترنت از نظر امنیت استفاده از آن است.

اغلب ما باید با دو دیدگاه افراطی و متضاد روبرو شویم.

اولین مورد انکار مشکل امنیتی به این صورت است، و در نتیجه، فقدان یا عدم وجود ابزار امنیتی مناسب هنگام انتقال اطلاعات بسیار مهم از طریق اینترنت. این رویکرد اغلب با مشکلات جدی و زیان های مالی ختم می شود.

دیدگاه دوم این است که اینترنت به شدت خطرناک است و هیچ گونه تدابیر امنیتی به حفظ اطلاعات ارسال شده از طریق اینترنت کمک نمی کند.

به نظر من منطقی ترین راه برون رفت از این وضعیت اصل «میانگین طلایی» است که در آن شرکت با رعایت تدابیر امنیتی مناسب از اینترنت برای حل مشکلات مخابراتی خود استفاده می کند.

چنین اقداماتی ممکن است شامل موارد زیر باشد: تجزیه و تحلیل زیرساخت های مخابراتی شما از نقطه نظر امنیتی، خرید و نصب تجهیزات حفاظتی مناسب و آموزش متخصصان شما. رویکرد دیگر این است که متخصصان شرکت هایی را که با این مشکل سروکار دارند در سازماندهی و نگهداری سیستم امنیتی خود مشارکت دهید.

در بازار روسیه، فعالیت های امنیت اطلاعات توسط کمیسیون فنی دولتی فدراسیون روسیه و FAPSI تنظیم می شود. و تنها شرکت های دارای مجوز از این ساختارها حق دارند با امنیت اطلاعات در روسیه سروکار داشته باشند.

در مورد محصولاتی که می توان از آنها برای حفاظت استفاده کرد، یک سیستم گواهی بر روی آنها وجود دارد که با ارزیابی کیفیت آنها یک کلاس حفاظتی مناسب را به آنها اختصاص می دهد. محصولاتی که برای محافظت از شبکه‌ها و رایانه‌ها در برابر نفوذ مستقیم کاربران غیرمجاز مورد استفاده قرار می‌گیرند، توسط کمیسیون فنی دولتی تأیید شده‌اند و محصولات محافظت در برابر دسترسی غیرمجاز (NSD) نامیده می‌شوند. این محصولات شامل «دیوار آتش»، سرورهای پروکسی و ... می باشد.

استفاده از چنین سیستم هایی با پیکربندی صحیح می تواند خطر نفوذ متجاوزان به منابع حفاظت شده را به میزان قابل توجهی کاهش دهد.

حفاظت در برابر دسترسی غیرمجاز به منابع کامپیوتری یک مشکل پیچیده است که شامل حل مسائل زیر با ابزارهای فنی است:

شناسایی و احراز هویت کاربر هنگام ورود به سیستم؛

کنترل یکپارچگی سیستم ها، برنامه ها و داده های امنیت اطلاعات؛

تمایز دسترسی کاربر به منابع رایانه شخصی؛

مسدود کردن بوت سیستم عامل از فلاپی دیسک و CD-ROM.

ثبت اقدامات کاربر و برنامه

عملکرد چنین صفحه ای را می توان با مثال فایروال شخصی ViPNet که توسط Infotecs ساخته شده است نشان داد. این فایروال هم روی سرور و هم روی ایستگاه کاری قابل نصب است. با استفاده از قابلیت های آن، می توانید کار را به گونه ای سازماندهی کنید که صاحب رایانه بتواند به هر منبع اینترنتی باز دسترسی داشته باشد، اما زمانی که فردی از دنیای خارج سعی می کند به رایانه او دسترسی پیدا کند، سیستم چنین تلاشی را مسدود می کند و به صاحب آن اطلاع می دهد. . در مرحله بعد، می توانید اطلاعاتی را از سیستم در مورد آدرس IP که آنها سعی کرده اند به آن دسترسی پیدا کنند، دریافت کنید.

دسته دیگری از محصولات برای سازماندهی تبادل اطلاعات امن طراحی شده اند و تا حد زیادی از نظر امنیتی قابل اعتمادترین هستند. این محصولات معمولاً مبتنی بر رمزنگاری هستند و توسط آژانس فدرال ارتباطات و اطلاعات دولتی تنظیم می شوند. چنین محصولاتی توانایی محافظت از داده ها را با رمزگذاری دارند و نه تنها داده های ذخیره شده در هارد دیسک، بلکه داده های منتقل شده از طریق شبکه ها از جمله "اینترنت" را نیز دارند.

بنابراین، امکان محافظت از پیام های پستی و تبادل اطلاعات بین مشترکین به صورت آنلاین وجود دارد. سیستم هایی که به شما امکان می دهند هر داده ای را از طریق اینترنت به روشی امن منتقل کنید VPN (شبکه خصوصی مجازی) نامیده می شوند. VPN یک شبکه مجازی با تبادل اطلاعات کاملاً بسته از دسترسی خارجی از طریق اینترنت باز است. به همین دلیل به آن خصوصی می گویند.

بسته شدن اطلاعات در چنین سیستم هایی، به عنوان یک قاعده، با استفاده از رمزگذاری انجام می شود. رمزگذاری یعنی تبدیل داده های باز به داده های خصوصی (رمزگذاری شده) با استفاده از کلیدهای نرم افزاری ویژه انجام می شود. موضوع اصلی از منظر امنیتی در این گونه سیستم ها بحث ساختار کلید است. کلید چگونه و کجا تشکیل می شود، کجا ذخیره می شود، چگونه منتقل می شود، به چه کسی در دسترس است.

امروزه تنها دو نوع الگوریتم رمزگذاری شناخته شده است: متقارن (کلاسیک) و نامتقارن (الگوریتم های رمزگذاری کلید عمومی). هر کدام از این سیستم ها مزایا و معایب خاص خود را دارند.

هنگام استفاده از الگوریتم های متقارن، از همان کلید برای رمزگذاری و رمزگشایی اطلاعات استفاده می شود. آن ها اگر کاربران A و B بخواهند به طور محرمانه اطلاعات را مبادله کنند، باید اقدامات زیر را انجام دهند: کاربر A اطلاعات (متن ساده) را با استفاده از یک کلید رمزگذاری می کند و متن رمز شده دریافتی را به کاربر B ارسال می کند که متن ساده را با استفاده از همان کلید دریافت می کند.

با این حال، الگوریتم های رمزگذاری متقارن یک اشکال دارند: قبل از تبادل اطلاعات محرمانه، دو کاربر نیاز به تبادل یک کلید مشترک دارند، اما در محیطی که کاربران قطع شده اند و تعداد زیادی از آنها وجود دارد، مشکلات زیادی برای توزیع کلیدها وجود دارد. علاوه بر این، از آنجایی که این کلیدها معمولاً توسط یک مرکز شکل گیری مشخص تشکیل می شوند، برای این مرکز شناخته می شوند. برای حل این مشکل، رمزنگاری کلید نامتقارن ایجاد شد.

ایده اصلی پشت رمزنگاری کلید نامتقارن استفاده از یک جفت کلید است. اولین - کلید نامتقارن عمومی (کلید عمومی) - در دسترس همه است و توسط همه کسانی که قرار است برای صاحب کلید پیام ارسال کنند استفاده می شود. دوم - یک کلید نامتقارن مخفی (کلید خصوصی) - فقط برای مالک شناخته شده است و با کمک آن پیام های رمزگذاری شده روی کلید عمومی جفت شده او رمزگشایی می شود. بنابراین، قسمت مخفی کلید مستقیماً توسط مشترک تولید و ذخیره می شود و برای دیگران غیرقابل دسترسی است. اکثر سیستم های مدرن از یک سیستم کلید ترکیبی استفاده می کنند که هم قدرت کلید متقارن بالا و هم غیرقابل دسترس بودن به مرکز و هم انعطاف پذیری یک سیستم نامتقارن را دارد. به عنوان مثال، سیستم ایجاد شده توسط Infotecs تحت علامت تجاری ViPNet دارای چنین ویژگی هایی است. این سیستم اجازه می دهد: نحوه انتقال هر گونه داده اعم از نامه، فایل، گفتار، ویدئو و غیره. از طریق اینترنت به صورت محافظت شده و برای محافظت از منابع شبکه سازمان از جمله سرورها، ایستگاه های کاری و حتی رایانه های موبایلی که به اینترنت در هر نقطه از دنیا دسترسی دارند از دسترسی غیرمجاز محافظت کنند.

3. منابع اطلاعاتی با توزیع محدود و تهدید منابع

منابع اطلاعاتی اسناد و آرایه‌هایی از اسناد در سیستم‌های اطلاعاتی (کتابخانه‌ها، آرشیوها، صندوق‌ها، بانک‌های داده، انبارها، موزه‌ها و غیره) هستند.

در تمام قرن XX قبل. در تاریخ توسعه تمدن بشری، اشیاء مادی موضوع اصلی کار باقی ماندند. فعالیت های خارج از تولید مواد و خدمات، به عنوان یک قاعده، به دسته هزینه های غیرمولد تعلق داشت. قدرت اقتصادی دولت با منابع مادی آن سنجیده می شد. در اواخر دهه 70، رئیس برنامه شکل‌دهی سیاست در زمینه منابع اطلاعاتی، استاد دانشگاه هاروارد، A. Osttinger نوشت که زمانی فرا می‌رسد که اطلاعات به همان منبع اصلی مواد و انرژی تبدیل می‌شود، و بنابراین، در رابطه با این منبع باید با همان سؤالات مهم فرموله شود: چه کسی مالک آن است، چه کسی به آن علاقه دارد، چقدر در دسترس است، آیا امکان استفاده تجاری از آن وجود دارد؟ F. Hendler رئیس آکادمی علوم ایالات متحده این فکر را اینگونه بیان کرد: "اقتصاد ما بر اساس منابع طبیعی نیست، بلکه بر اساس ذهن و استفاده از دانش علمی است." در حال حاضر، مبارزه ای برای کنترل با ارزش ترین منابع شناخته شده - منابع اطلاعات ملی - وجود دارد.

ما به کشورهای دیگر نمی رویم تا از هزینه های کمتر استفاده کنیم. ما به آنجا نفوذ می کنیم زیرا ذخایر فکری وجود دارد و باید آنها را رهگیری کنیم تا بتوانیم با موفقیت رقابت کنیم.

اصطلاح "منابع اطلاعاتی" به طور گسترده در ادبیات علمی پس از انتشار تک نگاری معروف G.R. گروموف "منابع اطلاعات ملی: مشکلات بهره برداری صنعتی". اکنون با وجود اینکه این مفهوم یکی از موارد کلیدی در مشکل اطلاع رسانی جامعه است، هنوز تفسیر روشنی ندارد. بنابراین، درک ماهیت یک منبع اطلاعاتی به عنوان شکلی از ارائه داده ها و دانش، نقش آن در فرآیندهای اجتماعی و همچنین الگوهای شکل گیری، تبدیل و توزیع انواع مختلف منابع اطلاعاتی در جامعه مهم است.

برای اطمینان از فعال سازی و استفاده مؤثر از منابع اطلاعاتی جامعه، لازم است «الکترونیکی کردن» صندوق های اطلاعاتی انجام شود. به گفته آکادمیسین A. Ershov، "در واقع، وظیفه اطلاع رسانی در محتوای فنی آن در بارگذاری و فعال کردن صندوق اطلاعات بشر در شبکه جهانی رایانه نهفته است".

منابع اطلاعاتی فعال بخشی از منابعی است که از اطلاعات موجود برای جستجو، ذخیره سازی و پردازش خودکار تشکیل شده است: دانش و مهارت های حرفه ای رسمی و حفظ شده در رسانه های ماشینی در قالب برنامه های کاری، متن و اسناد گرافیکی، و همچنین هر سایر داده های محتوایی که به طور بالقوه به صورت تجاری در دسترس کاربران پارک ملی رایانه ها هستند. منابع اطلاعاتی ملی و جهانی مقوله های اقتصادی هستند.

از این رو می توان نتیجه گرفت که کارایی استفاده از منابع اطلاعاتی مهمترین شاخص فرهنگ اطلاعاتی یک جامعه است.

شرکت کنندگان اصلی در بازار خدمات اطلاعاتی عبارتند از:

تولیدکنندگان اطلاعات (تولیدکنندگان)؛

فروشندگان اطلاعات (فروشندگان، فروشندگان)؛

کاربران اطلاعات (کاربران) یا مشترکین

امروزه گسترده ترین ابزار دسترسی به منابع اطلاعاتی، شبکه های کامپیوتری است و پیشرفته ترین راه کسب اطلاعات، حالت آنلاین (آنلاین - حالت تعاملی، تعاملی) است. این فرصتی را برای کاربر فراهم می کند که پس از ورود به یک شبکه کامپیوتری، به یک "کامپیوتر بزرگ" (میزبان - کامپیوتر) و منابع اطلاعاتی آن در حالت گفتگوی مستقیم، در زمان واقعی دسترسی پیدا کند.

کاربران از این نوع هم شامل مصرف کنندگان نهایی اطلاعات و هم مصرف کنندگان واسطه ای هستند که در حل مشکلات اطلاعاتی به مشتریان خود خدمات ارائه می دهند (مراکز اطلاعات ویژه با دسترسی به چندین سیستم آنلاین یا متخصصان حرفه ای که در خدمات اطلاعات پولی برای مشتریان، مصرف کنندگان اطلاعات مشغول به کار هستند).

بازار خدمات اطلاعات آنلاین شامل بخش های اصلی زیر است:

سیستم های رزرو کامپیوتری و خدمات اطلاعات مالی؛

پایگاه های داده (DB) با هدف مصرف کننده انبوه؛

پایگاه های اطلاعاتی حرفه ای

در بین پایگاه های داده، انواع زیر معمولاً متمایز می شوند:

متن (متن کامل، چکیده، کتابشناختی، فرهنگ لغت)؛

پایگاه داده های عددی و جدولی؛

تابلو اعلانات.

چنین پایگاه‌های اطلاعاتی نیز بر روی CD-ROM، فلاپی دیسک و نوارهای مغناطیسی ذخیره می‌شوند. در زیر، با این حال، ما در مورد پایگاه داده هایی صحبت خواهیم کرد که به صورت آنلاین قابل دسترسی هستند - "پایگاه های اطلاعاتی آنلاین حرفه ای".

تولیدکنندگان اطلاعات شامل سازمان‌هایی می‌شوند که اطلاعات را استخراج و منتشر می‌کنند (سازمان‌های اطلاعاتی، رسانه‌ها، دفاتر تحریریه روزنامه‌ها و مجلات، ناشران، دفاتر ثبت اختراع)، و سازمان‌هایی که سال‌ها به‌طور حرفه‌ای در پردازش آن شرکت داشته‌اند (انتخاب اطلاعات، نمایه‌سازی، بارگذاری در پایگاه های اطلاعاتی به صورت متون کامل، چکیده های کوتاه و غیره).

تهدیدات برای منابع

تهدیدات منابع اطلاعاتی را می توان به طور کلی طبقه بندی کرد:

1). به منظور اجرای تهدیدات:

تهدیدات حریم خصوصی:

سرقت (کپی) اطلاعات و ابزارهای پردازش آن (حامل)؛

از دست دادن (از دست دادن غیر عمدی، نشت) اطلاعات و ابزارهای پردازش آن (حامل).

تهدیدات در دسترس بودن:

مسدود کردن اطلاعات؛

از بین بردن اطلاعات و ابزارهای پردازش آن (حامل)؛

تهدیدات صداقت:

اصلاح (تحریف) اطلاعات؛

انکار صحت اطلاعات؛

تحمیل اطلاعات نادرست، فریب

که در آن:

سرقت و تخریب اطلاعات به همان شیوه ای که در مورد منابع با ارزش مادی اعمال می شود درک می شود. از بین بردن اطلاعات کامپیوتر - پاک کردن اطلاعات در حافظه کامپیوتر.

کپی کردن اطلاعات - تکرار و چاپ پایدار اطلاعات روی یک ماشین یا رسانه دیگر.

خسارت - تغییر در ویژگی های حامل اطلاعات، که در آن وضعیت آن به طور قابل توجهی بدتر می شود، بخش قابل توجهی از خواص مفید آن از بین می رود و به طور کامل یا تا حدی برای استفاده مورد نظر نامناسب می شود.

اصلاح اطلاعات - ایجاد هرگونه تغییر غیر از تغییرات مربوط به تطبیق یک برنامه رایانه ای یا پایگاه داده برای اطلاعات رایانه ای.

مسدود کردن اطلاعات - انسداد غیرمجاز دسترسی کاربران به اطلاعات، غیر مرتبط با تخریب آن؛

تخریب غیرمجاز، مسدود کردن، اصلاح، کپی کردن اطلاعات - هرگونه اقدامی که توسط قانون مجاز نیست، توسط مالک یا کاربر صالح اقدامات مشخص شده با اطلاعات.

فریب (انکار اصالت، تحمیل اطلاعات نادرست) عبارت است از تحریف یا کتمان عمدی حقیقت به منظور گمراه کردن مسئول مال و در نتیجه گرفتن انتقال داوطلبانه اموال از وی و همچنین پیام هایی برای این منظور. از اطلاعات نادرست آگاهانه

2) با توجه به اصل تأثیرگذاری بر حامل های اطلاعات - سیستم پردازش و انتقال اطلاعات (ASOI):

استفاده از دسترسی نفوذگر (مزاحم، کاربر ASOI، فرآیند) به شی (به اتاق جلسه، فایل داده، کانال ارتباطی و غیره)؛

با استفاده از کانال های مخفی - با استفاده از حافظه، RZU، راه های انتقال اطلاعات، اجازه دادن به دو فرآیند به هم پیوسته (مشروع و تعبیه شده توسط مهاجم) برای تبادل اطلاعات به گونه ای که منجر به اطلاعات زیادی شود.

3) با توجه به ماهیت تأثیر بر سیستم پردازش و انتقال اطلاعات:

تهدیدهای فعال مرتبط با انجام هر گونه اقدام توسط متجاوز (کپی، ضبط غیر مجاز، دسترسی به مجموعه داده ها، برنامه ها، شکستن رمز عبور و غیره)؛

تهدیدهای غیرفعال توسط کاربر با مشاهده هرگونه عوارض جانبی فرآیندهای حرکت اطلاعات و تجزیه و تحلیل آنها انجام می شود.

4) به دلیل وجود خطای حفاظتی احتمالی، تهدید ممکن است به یکی از دلایل زیر ایجاد شود:

عدم کفایت - مغایرت با رژیم امنیتی حفاظت از منطقه حفاظت شده.

خطاهای کنترل اداری - حالت امنیتی.

خطاهایی در الگوریتم برنامه ها، در ارتباط بین آنها و غیره که در مرحله طراحی برنامه ها یا مجموعه ای از برنامه ها به وجود می آیند و به دلیل آن می توان از این برنامه ها به روشی کاملاً متفاوت همانطور که در مستندات توضیح داده شده است استفاده کرد.

خطاهایی در اجرای الگوریتم های برنامه (خطاهای کدگذاری)، اتصالات بین آنها و غیره که در مراحل پیاده سازی، اشکال زدایی به وجود می آیند و می توانند به عنوان منبع خواص غیرمستند عمل کنند.

5) با روش تأثیرگذاری بر هدف حمله (با ضربه فعال):

تأثیر مستقیم بر هدف حمله (از جمله استفاده از امتیازات)، به عنوان مثال: دسترسی مستقیم به مناطق قابل شنیدن و دید، به مجموعه داده، برنامه، سرویس، کانال ارتباطی و غیره با استفاده از هرگونه خطا.

تأثیر بر سیستم مجوز (از جمله گرفتن امتیاز). در این صورت، اقدامات غیرمجاز با رعایت حقوق کاربران نسبت به هدف حمله انجام می شود و سپس دسترسی به خود شیء به صورت قانونی انجام می شود.

تأثیر غیر مستقیم (از طریق سایر کاربران):

- "بالماسکه". در این صورت، کاربر به نحوی اختیارات کاربر دیگری را به خود تسلیم می‌کند و خود را جعل هویت می‌کند.

- "استفاده کورکورانه". با این روش، یکی از کاربران، دیگری را وادار به انجام اقدامات لازم می کند (برای سیستم حفاظتی، غیر مجاز به نظر نمی رسند، زیرا توسط کاربری انجام می شود که حق این کار را دارد) و ممکن است دومی حتی از آن آگاه نباشد. از آنها برای اجرای این تهدید می توان از یک ویروس استفاده کرد (اقدامات لازم را انجام می دهد و نتیجه آنها را به معرفی کننده گزارش می دهد).

دو روش آخر بسیار خطرناک هستند. برای جلوگیری از چنین اقداماتی، هم از جانب مدیران و اپراتورها بر روی کار ASOI به طور کلی و هم از جانب کاربران بر روی مجموعه داده‌های خودشان، به کنترل دائمی نیاز است.

6) با روش تأثیرگذاری بر ASOI:

در حالت تعاملی - در روند کار طولانی مدت با برنامه؛

در حالت دسته ای - پس از آماده سازی طولانی مدت با اجرای سریع بسته نرم افزاری اقدام هدفمند.

هنگام کار با سیستم، کاربر همیشه با هر یک از برنامه های آن سروکار دارد. برخی از برنامه ها به گونه ای طراحی شده اند که کاربر بتواند با وارد کردن دستورات یا داده های مختلف به سرعت بر روند اجرای آنها تأثیر بگذارد، در حالی که برخی دیگر به گونه ای هستند که تمام اطلاعات باید از قبل تنظیم شوند. اولی شامل برخی از ابزارهای کاربردی است که برنامه های پایگاه داده را کنترل می کنند، اساساً اینها برنامه هایی هستند که هدفشان کار با کاربر است. گروه دوم عمدتاً شامل برنامه‌های سیستمی و کاربردی است که بر انجام هر گونه اقدام کاملاً تعریف شده بدون دخالت کاربر متمرکز هستند.

هنگام استفاده از برنامه های کلاس اول، تاثیر از نظر زمان طولانی تر است و بنابراین، احتمال تشخیص بالاتری دارد، اما انعطاف پذیرتر است و به شما امکان می دهد به سرعت ترتیب اقدامات را تغییر دهید. تأثیر با کمک برنامه های درجه دو (مثلاً با کمک ویروس ها) کوتاه مدت است، تشخیص آن دشوار است، بسیار خطرناک تر است، اما برای پیش بینی تمام عواقب احتمالی مداخله نیاز به آمادگی اولیه زیادی دارد. پیشرفت.

7) با هدف حمله:

ASOI به طور کلی: یک مهاجم سعی می کند به سیستم نفوذ کند تا بعداً هر گونه اقدام غیرمجاز را انجام دهد. آنها معمولاً از "بالماسکه"، رهگیری یا جعل رمز عبور، هک کردن یا دسترسی به ASOI از طریق شبکه استفاده می کنند.

اشیاء ASOI داده ها یا برنامه های موجود در رم یا رسانه های خارجی هستند، خود دستگاه های سیستم، هم خارجی (درایوهای دیسک، دستگاه های شبکه، پایانه ها) و هم داخلی (رم، پردازنده)، کانال های انتقال داده. هدف تأثیر بر اشیاء سیستم معمولاً دسترسی به محتویات آنها (نقض محرمانه بودن یا یکپارچگی اطلاعات پردازش شده یا ذخیره شده) یا نقض عملکرد آنها است (به عنوان مثال، پر کردن تمام RAM رایانه با اطلاعات بی معنی یا بارگیری پردازنده رایانه با یک کار نامحدود. زمان اجرا)؛

موضوعات ASOI پردازنده های کاربر هستند. هدف از چنین حملاتی یا تأثیر مستقیم بر عملکرد پردازنده است - تعلیق آن، تغییر ویژگی ها (مثلاً اولویت)، یا اثر معکوس - استفاده از امتیازات و ویژگی های یک فرآیند دیگر توسط مهاجم برای خود. اهداف تأثیر می تواند بر فرآیندهای کاربران، سیستم ها، شبکه ها باشد.

کانال های انتقال داده - گوش دادن به کانال و تجزیه و تحلیل برنامه (جریان پیام). جایگزینی یا اصلاح پیام ها در کانال های ارتباطی و گره های رله. تغییر توپولوژی و ویژگی های شبکه، قوانین سوئیچینگ و آدرس دهی.

8) با استفاده از ابزار حمله:

استفاده از نرم افزارهای استاندارد؛

استفاده از برنامه های طراحی شده خاص

9) با وضعیت هدف حمله.

هدف حمله روی دیسک، نوار مغناطیسی، رم یا هر جای دیگر در حالت غیرفعال ذخیره می شود. در این مورد، ضربه بر روی شی معمولا با استفاده از دسترسی انجام می شود.

هدف حمله در حالت انتقال از طریق یک خط ارتباطی بین گره های شبکه یا درون یک گره است. تأثیر یا دسترسی به قطعات اطلاعات ارسال شده (به عنوان مثال، رهگیری بسته ها در یک تکرار کننده شبکه)، یا به سادگی گوش دادن با استفاده از کانال های مخفی است.

شی حمله (فرایند کاربر) در حال پردازش است.

طبقه بندی داده شده پیچیدگی شناسایی تهدیدات احتمالی و راه های اجرای آنها را نشان می دهد.

دسترسی پرسنل به اطلاعات محرمانه

مجوز دسترسی به اطلاعات محرمانه نماینده یک شرکت یا شرکت دیگر با تصمیم یک مقام مجاز بر اساس دستور (یا نامه، تعهد) ارسال شده توسط شخص مربوطه رسمیت می یابد. قطعنامه باید اسناد یا اطلاعات خاصی را نشان دهد که دسترسی به آنها مجاز است. در همان زمان، نام خانوادگی یکی از کارمندان شرکت نشان داده شده است، که نماینده یک شرکت دیگر را با این اطلاعات آشنا می کند و مسئولیت کار خود را - در محل شرکت، بر عهده دارد.

باید از قاعده ای پیروی کرد که بر اساس آن کلیه افرادی که به اسناد خاصی دسترسی دارند، اسرار تجاری را ثبت می کنند. این امکان انجام پشتیبانی اطلاعاتی از کار تحلیلی را در سطح بالایی برای شناسایی کانال های احتمالی برای از دست دادن اطلاعات فراهم می کند.

هنگام سازماندهی دسترسی کارکنان شرکت به آرایه های محرمانه اسناد الکترونیکی، پایگاه های داده، لازم است ماهیت چند مرحله ای آن را به خاطر بسپارید. اجزای اصلی زیر را می توان متمایز کرد:

* دسترسی به رایانه شخصی، سرور یا ایستگاه کاری؛

* دسترسی به حامل های داده ماشین ذخیره شده در خارج از کامپیوتر؛

* دسترسی مستقیم به پایگاه های داده و فایل ها.

دسترسی به رایانه شخصی، سرور یا ایستگاه کاری که برای پردازش اطلاعات محرمانه استفاده می شود شامل موارد زیر است:

* تعیین و تنظیم توسط رئیس اول شرکت در مورد ترکیب کارکنانی که حق دسترسی (ورود) به محلهایی که رایانه ها و امکانات ارتباطی مربوطه در آن قرار دارند.

* تنظیم توسط رئیس اول رژیم موقت اقامت این افراد در محل ذکر شده؛ ثبت شخصی و موقت (تثبیت) توسط رئیس واحد یا رشته تجاری شرکت در دسترس بودن مجوز و مدت کار این افراد در زمان های دیگر (مثلاً عصرها، آخر هفته ها و غیره).

* سازماندهی حفاظت از این اماکن در ساعات کاری و غیر کاری، تعیین قوانین باز کردن محل و غیرفعال کردن وسایل فنی امنیتی اطلاعات و سیگنالینگ. تعیین قوانین برای تسلیح اماکن؛ تنظیم کار وسایل فنی مشخص شده در ساعات کاری؛

* سازماندهی حالت کنترل شده (در موارد ضروری، دسترسی) ورود و خروج از این محل.

* سازماندهی اقدامات نگهبانان و پرسنل در شرایط شدید یا در صورت خرابی تجهیزات و تجهیزات محل.

* سازماندهی حذف ارزش های مادی، ماشین و کاغذ حامل اطلاعات از محل مشخص شده؛ کنترل وسایل شخصی که به داخل اتاق آورده شده و توسط پرسنل خارج می شود.

علیرغم این واقعیت که در پایان روز کاری، اطلاعات محرمانه باید به رسانه های انعطاف پذیر منتقل شده و از هارد دیسک رایانه پاک شوند، اماکنی که تجهیزات رایانه در آن قرار دارد تحت حفاظت قرار می گیرند. این با این واقعیت توضیح داده می شود که اولاً نصب نوعی جاسوسی صنعتی در یک رایانه بدون محافظت آسان است و ثانیاً یک مهاجم می تواند با استفاده از روش های خاص اطلاعات محرمانه پاک شده را روی هارد دیسک بازیابی کند ("جمع آوری زباله") .

دسترسی به رسانه های ماشینی اطلاعات محرمانه ذخیره شده در خارج از رایانه به این صورت است که:

* سازماندهی حسابداری و صدور حامل داده های ماشین تمیز برای کارکنان.

* سازماندهی مسائل ثابت روزانه به کارکنان و پذیرش از کارکنان اپراتورها با اطلاعات ثبت شده (اصلی و پشتیبان).

* تعیین و تنظیم توسط رئیس اول ترکیب کارمندانی که حق دارند با اطلاعات محرمانه با استفاده از رایانه های نصب شده در محل کار خود کار کنند و رسانه های ذخیره سازی رایانه را در سرویس CA دریافت کنند.

* سازماندهی سیستمی برای اختصاص رسانه های رایانه ای به کارکنان و نظارت بر ایمنی و یکپارچگی اطلاعات با در نظر گرفتن پویایی تغییرات در ترکیب اطلاعات ثبت شده.

* سازماندهی رویه تخریب اطلاعات حامل، روش و شرایط تخریب فیزیکی حامل.

* سازماندهی ذخیره سازی رسانه های ماشینی در سرویس CD در ساعات کاری و غیر کاری، تنظیم روش تخلیه رسانه در شرایط شدید.

* تعیین و تنظیم توسط اولین رئیس ستاد کارکنانی که به دلایل عینی رسانه های فنی را برای ذخیره در سرویس CA در پایان روز کاری تحویل نمی دهند، سازمان امنیت ویژه اماکن و رایانه های سازمان. این کارمندان کار کارمندان سرویس CA و شرکت به عنوان یک کل با حامل های اطلاعات ماشینی خارج از رایانه باید با قیاس با اسناد محرمانه کاغذی سازماندهی شود.

دسترسی به پایگاه های داده و فایل های محرمانه آخرین مرحله دسترسی کارمند به کامپیوتر است. و اگر این کارمند یک مزاحم باشد، می توانیم فرض کنیم که او جدی ترین خطوط حفاظت از اطلاعات الکترونیکی محافظت شده را با موفقیت پشت سر گذاشته است. در نهایت، او می تواند به سادگی کامپیوتر را حمل کند یا از آن خارج کند و هارد دیسک را بدون "شکستن" پایگاه داده حمل کند.

به طور معمول، دسترسی به پایگاه داده و فایل به این معنی است:

* تعیین و تنظیم توسط رئیس اول ترکیب کارکنانی که مجاز به کار با پایگاه های اطلاعاتی و پرونده های خاص هستند. کنترل سیستم دسترسی توسط مدیر پایگاه داده؛

* نامگذاری پایگاه ها و فایل ها، تثبیت نام کاربران و اپراتورهایی که حق دسترسی به آنها را دارند در حافظه ماشین.

* حسابداری ترکیب پایگاه داده و پرونده ها، بررسی منظم در دسترس بودن، یکپارچگی و کامل بودن اسناد الکترونیکی.

* ثبت ورود به پایگاه داده، ثبت نام کاربری خودکار و زمان انجام کار؛ حفظ اطلاعات اصلی؛

* ثبت تلاش برای ورود غیرمجاز به پایگاه داده، ثبت اقدامات اشتباه کاربر، انتقال خودکار سیگنال هشدار به گارد و خاموش شدن خودکار رایانه.

* ایجاد و تغییر نامنظم نام‌های کاربری، آرایه‌ها و فایل‌ها (رمزهای عبور، کدها، طبقه‌بندی‌کننده‌ها، کلمات کلیدی و غیره) به ویژه با تغییرات مکرر پرسنل.

* خاموش شدن رایانه در صورت تخلف در سیستم کنترل دسترسی یا خرابی سیستم امنیت اطلاعات.

* مسدود کردن مکانیکی (کلید یا دستگاه دیگر) کامپیوتر قطع شده اما بارگذاری شده در طول وقفه های کوتاه در کار کاربر. کدها، رمزهای عبور، کلمات کلیدی، کلیدها، رمزها، محصولات نرم افزاری خاص، سخت افزار و غیره. ویژگی های سیستم امنیت اطلاعات در یک کامپیوتر توسعه داده می شود، توسط یک سازمان تخصصی تغییر می کند و به صورت جداگانه توسط یکی از کارکنان این سازمان یا یک مدیر سیستم به اطلاع هر کاربر می رسد. کاربر مجاز به استفاده از کدهای خود نیست.

در نتیجه، مراحل پذیرش و دسترسی کارمندان به اطلاعات محرمانه، فرآیند گنجاندن این کارمند را در فهرست افرادی که واقعاً مالک شرکت مخفی هستند، تکمیل می‌کند. از آن زمان تاکنون، کار جاری با کارکنانی که اطلاعات ارزشمند و محرمانه ای در اختیار دارند، اهمیت زیادی پیدا کرده است.

نتیجه

ثبات کارکنان مهم ترین پیش نیاز برای امنیت اطلاعات قابل اعتماد شرکت است. مهاجرت متخصصان سخت ترین کانال کنترل برای از دست دادن اطلاعات ارزشمند و محرمانه است. در عین حال نمی توان به طور کامل از اخراج کارکنان خودداری کرد. تجزیه و تحلیل کامل از دلایل اخراج مورد نیاز است، که بر اساس آن برنامه ای تنظیم و اجرا می شود، به استثنای این دلایل. به عنوان مثال افزایش حقوق، اجاره مسکن برای کارکنان نزدیک بنگاه و بهبود فضای روانی، عزل مدیرانی که از موقعیت رسمی خود سوء استفاده می کنند و غیره.

فهرست ادبیات استفاده شده

امنیت حفاظت از اطلاعات

1. زابلین ا.ی. امنیت اطلاعات در اینترنت - خدمات برای تجارت

مقاله اصلی: http://www.OXPAHA.ru/view.asp?2280.

2. هفتگی "دنیای رایانه"، شماره 22، 1999 // انتشارات "سیستم های باز" http://www.osp.ru/cw/1999/22/061.htm

3. A. Dmitriev سیستم های امنیت اطلاعات. مجله PC World، شماره 05، 2001 // انتشارات سیستم های باز. http://www.osp.ru/pcworld/2001/05/010.htm

4. خدمات امنیتی از Novell. ماژول های رمزگذاری http://novell.eureca.ru/

5. پائولا شریک. 10 سوال در مورد رمزگذاری در NT 4.0 http://www.osp.ru/win2000/2001/05/050.htm

ارسال شده در Allbest.ru

اسناد مشابه

مشکل امنیت اطلاعات ویژگی های حفاظت از اطلاعات در شبکه های کامپیوتری تهدیدها، حملات و کانال های نشت اطلاعات. طبقه بندی روش ها و وسایل تضمین ایمنی. معماری و حفاظت شبکه روش های ایمن سازی شبکه ها

پایان نامه، اضافه شده در 1391/06/16


امنیت اطلاعات، اجزای سیستم حفاظتی. عوامل بی ثبات کننده طبقه بندی تهدیدات برای امنیت اطلاعات بر اساس منبع وقوع، بر اساس ماهیت اهداف. روشهای اجرای آنها سطوح حفاظت از اطلاعات مراحل ایجاد سیستم های حفاظتی.

ارائه اضافه شده در 12/22/2015


کانال های اصلی نشت اطلاعات منابع اصلی اطلاعات محرمانه اهداف اصلی حفاظت از اطلاعات. کار اصلی بر روی توسعه و بهبود سیستم امنیت اطلاعات است. مدل حفاظت از امنیت اطلاعات JSC "راه آهن روسیه".

مقاله ترم اضافه شده 09/05/2013


انواع تهدیدهای عمدی داخلی و خارجی برای امنیت اطلاعات. مفهوم کلی حفاظت و امنیت اطلاعات. اهداف و مقاصد اصلی امنیت اطلاعات. مفهوم امکان سنجی اقتصادی برای اطمینان از ایمنی اطلاعات شرکت.

تست، اضافه شده در 2010/05/26


الزامات اطلاعات: در دسترس بودن، یکپارچگی و محرمانه بودن. مدل سیا به عنوان امنیت اطلاعات، بر اساس حفاظت از در دسترس بودن، یکپارچگی و محرمانه بودن اطلاعات ساخته شده است. تهدیدهای مستقیم و غیرمستقیم، حفاظت اطلاعات است.

ارائه اضافه شده در 01/06/2014


ساختار و ویژگی های سیستم عامل لینوکس، تاریخچه توسعه آن. امنیت اطلاعات: مفهوم و اسناد نظارتی، جهت نشت اطلاعات و حفاظت از آن. محاسبه ایجاد یک سیستم امنیت اطلاعات و بررسی اثربخشی آن.

مقاله ترم اضافه شده در 2014/01/24


سیستم تشکیل رژیم امنیت اطلاعات. وظایف امنیت اطلاعات جامعه امنیت اطلاعات یعنی: روش ها و سیستم های اساسی. حفاظت از اطلاعات در شبکه های کامپیوتری مفاد مهمترین قوانین قانونی روسیه.

چکیده، اضافه شده در 2014/01/20


مفهوم و اصول اولیه امنیت اطلاعات. مفهوم امنیت در سیستم های خودکار مبانی قانون فدراسیون روسیه در زمینه امنیت اطلاعات و حفاظت از اطلاعات، فرآیندهای صدور مجوز و صدور گواهینامه.

دوره سخنرانی ها، اضافه شده در 2012/04/17


مفهوم، اهداف و اهداف امنیت اطلاعات. تهدیدات امنیت اطلاعات و راههای اجرای آنها کنترل دسترسی به اطلاعات و سیستم های اطلاعاتی. حفاظت از شبکه ها و اطلاعات در حین کار بر روی اینترنت. مفهوم امضای الکترونیکی

تست، اضافه شده در 1394/12/15


مهمترین جنبه های امنیت اطلاعات ابزار فنی پردازش اطلاعات، حامل های اسناد آن. روش‌های معمول کسب اطلاعات غیرمجاز مفهوم امضای الکترونیکی حفاظت از اطلاعات در برابر تخریب

همه حداقل یک بار عبارات دلخراشی در مورد نیاز به حفظ سطح باکیفیت امنیت اطلاعات شنیده اند. این ها داستان های ترسناک دزدی هستند که پر از فریاد و ناامیدی است. عواقب وحشتناکی که تقریباً در هر سایتی مورد بحث قرار می گیرد ... بنابراین، در حال حاضر باید رایانه را با دستگاه های امنیتی پر کنید و همچنین سیم ها را قطع کنید ... نکاتی در مورد موضوع اطمینان از امنیت تاریک هستند، اما به دلایلی ، آنها فقط به نقطه ای هستند که معلوم می شود خیلی زیاد نیستند. از بسیاری جهات، دلیل آن در عدم درک چیزهای ساده ای مانند "از چه چیزی محافظت می کنیم"، "از چه کسی محافظت می کنیم" و "آنچه می خواهیم در پایان به دست آوریم" نهفته است. اما، اول از همه.

امنیت اطلاعاتاین اصطلاح به معنای اقدامات مختلف، وضعیت حفاظت، فناوری ها و غیره است، اما همه چیز بسیار ساده تر است. و بنابراین، ابتدا به این سوال پاسخ دهید که چند نفر از اطرافیان شما حداقل تعریف این مفهوم را می خوانند و صرفاً به معنای مقایسه کلمات با معانی آنها نیست؟ بیشتر مردم امنیت را با آنتی ویروس ها، فایروال ها و سایر نرم افزارهای امنیتی مرتبط می دانند. البته، این ابزارها به محافظت از رایانه شما در برابر تهدیدات و افزایش سطح محافظت از سیستم کمک می کنند، اما آنچه که این برنامه ها در واقع انجام می دهند چندان شناخته شده نیست.

وقتی به امنیت اطلاعات فکر می کنید، اول از همه باید با سوالات زیر شروع کنید:

• شیء محافظت شده- باید بفهمید که دقیقاً از چه چیزی می خواهید محافظت کنید. این اطلاعات شخصی ذخیره شده در رایانه است (به طوری که دیگران آن را دریافت نکنند)، این عملکرد رایانه است (به طوری که ویروس ها و تروجان ها سیستم را به سطح پنتیوم اول نمی آورند)، این فعالیت شبکه است. (برای اینکه برنامه های حریص اینترنت هر نیم ساعت یک بار آماری را در مورد شما ارسال نکنند) ، این در دسترس بودن رایانه است (برای اینکه صفحه آبی مرگ به سیستم سیل نشود) ، این ...
• سطح امنیتی مورد نظر... رایانه کاملاً محافظت شده رایانه ای است که وجود ندارد. مهم نیست چقدر تلاش می کنید، همیشه این احتمال وجود دارد که کامپیوتر شما هک شود. در نظر داشته باشید و همیشه به یاد داشته باشید که مسیری مانند مهندسی اجتماعی (دریافت رمز عبور از سطل زباله، استراق سمع، نگاه کردن و غیره) وجود دارد. با این حال، این دلیلی برای رها کردن سیستم بدون محافظت نیست. به عنوان مثال، محافظت از رایانه در برابر اکثر ویروس های شناخته شده یک کار کاملاً امکان پذیر است که در واقع توسط هر کاربر معمولی با نصب یکی از آنتی ویروس های محبوب بر روی رایانه خود انجام می شود.
• سطح قابل قبول عواقب... اگر می دانید که رایانه شما می تواند، به عنوان مثال، توسط هکری که به تازگی به شما علاقه مند شده، هک شود (این اتفاق افتاد که مهاجم آدرس IP شما را دوست داشت)، پس باید به سطح قابل قبول عواقب فکر کنید. سیستم خراب می شود - ناخوشایند، اما ترسناک نیست، زیرا یک دیسک بازیابی در نوک انگشتان خود دارید. رایانه شما دائماً از سایت های تند بازدید می کند - خوشایند و ناخوشایند، اما قابل تحمل و قابل تعمیر. اما، به عنوان مثال، اگر عکس های شخصی شما در اینترنت قرار گرفت، که هیچ کس نباید در مورد آن بداند (ضربه جدی به شهرت)، پس این در حال حاضر سطح قابل توجهی از عواقب است و لازم است اقدامات پیشگیرانه انجام شود (اغراق آمیز، انجام شود. یک کامپیوتر قدیمی بدون اینترنت و تماشای تصاویر فقط روی او).
• در راه خروج چه چیزی را می خواهید بدست آورید؟این سوال به نکات زیادی اشاره دارد - چند عمل اضافی باید انجام دهید، چه چیزهایی را باید قربانی کنید، محافظت چگونه باید بر عملکرد تأثیر بگذارد، آیا امکان اضافه کردن برنامه ها به لیست های استثنا وجود دارد، چه تعداد پیام و آلارم باید روی صفحه ظاهر شوند ( و آیا اصلاً باید ظاهر شوند) و همچنین موارد دیگر. امروزه ابزارهای امنیتی زیادی وجود دارد، اما هر کدام مزایا و معایب خود را دارند. به عنوان مثال، همان ویندوز UAC در سیستم عامل ویستا به روشی بسیار موفق ساخته نشد، اما قبلاً در ویندوز 7 به جایی رسیده بود که استفاده از ابزار حفاظتی نسبتاً آسان شد.

با پاسخ به همه این سؤالات، درک نحوه سازماندهی حفاظت از اطلاعات روی رایانه برای شما بسیار آسان تر خواهد شد. البته این تمام لیست سوالات نیست، با این حال، بخش کافی از کاربران عادی حتی یکی از آنها را نمی پرسند.

نصب و پیکربندی ابزارهای امنیتی بر روی رایانه شما تنها بخشی از مراحلی است که برمی دارید. با باز کردن پیوندهای مشکوک و تأیید همه اقدامات برنامه های به همان اندازه مشکوک، می توانید به راحتی تمام تلاش های برنامه های حفاظتی را نفی کنید. به همین دلیل، همیشه ارزش دارد که به اعمال خود فکر کنید. به عنوان مثال، اگر وظیفه شما محافظت از مرورگر خود است، اما نمی توانید از باز کردن پیوندهای مشکوک جلوگیری کنید (مثلاً به دلیل ویژگی های خاص)، همیشه می توانید یک مرورگر اضافی که منحصراً برای باز کردن پیوندهای مشکوک استفاده می شود یا یک برنامه افزودنی برای بررسی کوتاه نصب کنید. پیوندها در این صورت، اگر هر یک از آنها معلوم شود که فیشینگ است (سرقت داده ها، دسترسی و غیره)، در این صورت مهاجم دستاورد کمی خواهد داشت.

مشکل تعیین مجموعه ای از اقدامات برای محافظت از اطلاعات معمولاً در عدم پاسخ به سؤالات پاراگراف قبل است. به عنوان مثال، اگر نمی‌دانید یا نمی‌دانید دقیقاً از چه چیزی می‌خواهید محافظت کنید، پیدا کردن یا یافتن برخی اقدامات امنیتی اضافی (به جز موارد معمولی مانند باز نکردن پیوندهای مشکوک، عدم بازدید از منابع مشکوک) دشوار خواهد بود. ، و دیگران). بیایید سعی کنیم وضعیت را با استفاده از مثال وظیفه حفاظت از داده های شخصی که اغلب در رأس اشیاء محافظت شده قرار می گیرد، در نظر بگیریم.

حفاظت از اطلاعات شخصیاین یکی از چالش های دلهره آور مردم است. با رشد سریع تعداد و محتوای شبکه‌های اجتماعی، سرویس‌های اطلاعاتی و منابع آنلاین تخصصی، این یک اشتباه بزرگ است که باور کنیم حفاظت از داده‌های شخصی شما به تضمین سطح مطمئنی از امنیت برای رایانه شما منجر می‌شود. در سال های نه چندان دور، تقریباً غیرممکن بود که در مورد شخصی که صدها کیلومتر دورتر از شما یا حتی در یک خانه همسایه زندگی می کند، بدون داشتن ارتباطات مناسب، چیزی پیدا کنید. امروزه تقریباً همه می توانند اطلاعات شخصی زیادی را در مورد همه افراد فقط در چند ساعت کلیک کردن روی ماوس در مرورگر یا حتی سریعتر پیدا کنند. علاوه بر این، تمام اقدامات او می تواند کاملاً مشروع باشد، اما شما خودتان اطلاعاتی در مورد خود در حوزه عمومی ارسال کرده اید.

همه با پژواک این اثر مواجه شده اند. آیا شنیده اید که کلمه تست یک سوال امنیتی نباید با شما و اطرافیانتان مرتبط باشد؟ و این فقط یک بخش کوچک است. هر چند ممکن است شما را شگفت زده کند، اما از بسیاری جهات حفاظت از اطلاعات شخصی فقط به شما بستگی دارد. هیچ وسیله حفاظتی، حتی اگر به کسی جز شما اجازه دسترسی به رایانه را ندهد، نمی‌تواند از اطلاعات منتقل شده به خارج از رایانه (مکالمات، اینترنت، ضبط‌ها و غیره) محافظت کند. نامه خود را در جایی گذاشته اید - انتظار افزایش هرزنامه را داشته باشید. شما عکس هایی را در آغوشی با یک خرس عروسکی در منابع شخص ثالث گذاشته اید، منتظر "صنایع دستی" طنز مربوطه از نویسندگان خسته باشید.

اگر کمی جدی تر باشیم، باز بودن عظیم داده های اینترنتی و بیهودگی / باز بودن / بیهودگی شما با تمام اقدامات امنیتی می تواند مورد دوم را باطل کند. به همین دلیل، لازم است در انتخاب روش های حفاظت از اطلاعات دقت شود و نه تنها ابزارهای فنی، بلکه اقداماتی که سایر جنبه های زندگی را نیز پوشش می دهد، در آنها گنجانده شود.

توجه داشته باشید: البته نباید فکر کنید که پناهگاه زیرزمینی بهترین مکان زندگی است. با این حال، درک این موضوع که محافظت از اطلاعات شخصی شما به عهده شماست، مزیت بزرگی نسبت به مزاحمان به شما می دهد.

روش های امنیت اطلاعاتاغلب با راه‌حل‌های فنی برابری می‌کنند، و چنین لایه عظیمی را برای تهدیدات احتمالی مانند اقدامات خود شخص نادیده می‌گیرند. شما می توانید به کاربر این توانایی را بدهید که فقط یک برنامه را اجرا کند و در صورت امکان در پنج دقیقه با عواقب آن مقابله کند. یک پیام در انجمن در مورد اطلاعات شنیده شده می تواند پیشرفته ترین محافظت (اغراق آمیز، در مورد جلوگیری از گره های حفاظتی، به عبارت دیگر، فقدان موقت حفاظت) را بشکند.

برای تعیین روش های حفاظت از داده ها، لازم است نه تنها در جستجوی ابزارهای امنیتی مناسب، کلیک کردن تنبلی ماوس در پنجره مرورگر، بلکه در مورد چگونگی انتشار اطلاعات و ارتباط آن با آن فکر کنید. مهم نیست که چقدر به نظر می رسد، اما برای این کار باید کاغذ و مداد بردارید و سپس همه راه های ممکن برای انتشار اطلاعات و آنچه ممکن است مرتبط باشد را در نظر بگیرید. به عنوان مثال، اجازه دهید تا جایی که ممکن است رمز عبور را مخفی نگه دارید.

وضعیت. شما یک رمز عبور پیچیده پیدا کرده اید که هیچ ربطی به شما ندارد، کاملاً با سختگیرانه ترین الزامات امنیتی مطابقت دارد، در جایی ذکر نشده است (جنبه هایی مانند باقی مانده در حافظه رایانه، دیسک و سایر نکات در نظر گرفته نمی شود. )، از مدیریت رمز عبور استفاده نکنید، رمز عبور را فقط از یک رایانه با استفاده از صفحه کلید امن وارد کنید، از VPN برای اتصال استفاده کنید، رایانه را فقط از LiveCD بوت کنید. در یک جمله، یک پارانوئید واقعی و متعصب امنیتی. با این حال، همه اینها ممکن است برای محافظت از رمز عبور کافی نباشد.

در اینجا چند موقعیت ممکن ساده وجود دارد که به وضوح نیاز به دید گسترده ای از روش های امنیت اطلاعات را نشان می دهد:

• اگر نیاز به وارد کردن رمز عبور زمانی که افراد دیگر در اتاق حضور دارند، حتی "بهترین" چه می کنید؟ شما هرگز نمی توانید تضمین کنید که آنها بطور تصادفی اطلاعات غیرمستقیم رمز عبور را فاش نخواهند کرد. به عنوان مثال، نشستن در یک فضای دلپذیر در یک غذاخوری، عبارت "او یک رمز عبور طولانی دارد، به اندازه یک دوجین و چند کاراکتر مختلف" کاملاً ممکن است، که به خوبی منطقه انتخاب رمز عبور را محدود می کند. یک مهاجم
• اگر این اتفاق بیفتد و به شخص دیگری نیاز داشته باشید که این عمل را برای شما انجام دهد، چه خواهید کرد؟ ممکن است شخص دیگری به طور تصادفی رمز عبور را بشنود. اگر رمز عبور را به شخصی دیکته کنید که در رایانه مهارت کافی ندارد، احتمالاً او آن را در جایی یادداشت می کند و درخواست تعصب شما از او موجه نخواهد بود.
• اگر این اتفاق بیفتد و کسی از روشی که شما پسورد می‌آورید مطلع شود، چه خواهید کرد؟ چنین اطلاعاتی نیز به خوبی انتخاب را محدود می کند.
• اگر یکی از گره هایی که انتقال رمز عبور امن را ارائه می دهد توسط یک مهاجم در معرض خطر قرار گرفته باشد، چگونه می توانید از رمز عبور خود محافظت کنید؟ برای مثال سرور VPN که از طریق آن به اینترنت دسترسی دارید هک شده است.
• اگر سیستمی که استفاده می کنید در معرض خطر قرار گرفته باشد، آیا رمز عبور شما منطقی خواهد بود؟
• و دیگران

البته این به معنای نیاز به جستجوی سخت و مداوم برای چندین ماه روش های حفاظت از اطلاعات نیست. نکته این است که حتی پیچیده ترین سیستم ها را نیز می توان با ایرادات ساده انسانی که توجه به آن کنار گذاشته شده است، شکست. بنابراین، سعی کنید هنگام تنظیم امنیت رایانه خود، نه تنها به جنبه فنی موضوع، بلکه به دنیای اطراف خود نیز توجه کنید.