ایجاد یک سیستم امنیت اطلاعات بر اساس اصول زیر است: رویکرد سیستماتیک، توسعه مستمر، تفکیک و به حداقل رساندن قدرت ها، کنترل کامل و ثبت تلاش ها، اطمینان از قابلیت اطمینان سیستم حفاظتی، تضمین کنترل بر عملکرد سیستم حفاظتی، ارائه انواع ابزار برای مبارزه با برنامه های مخرب، اطمینان از امکان سنجی اقتصادی.

دو رویکرد برای مشکل امنیت اطلاعات وجود دارد:

- رویکرد پراکندههدف آن مقابله با تهدیدات به خوبی تعریف شده در شرایط معین است.

- یک رویکرد پیچیدهتمرکز بر ایجاد یک محیط پردازش اطلاعات امن است که اقدامات مختلف را برای مقابله با تهدیدات در یک مجموعه واحد ترکیب می کند.

برای اطمینان از امنیت اطلاعات، از روش های اساسی زیر استفاده می شود:

قانونگذاری (قوانین، مقررات، استانداردها و غیره)؛

اداری و سازمانی (اقدامات عمومی انجام شده توسط مدیریت سازمان و اقدامات امنیتی خاص با هدف کار با مردم)؛

نرم افزاری و فنی (اقدامات فنی خاص).

به روش های قانون گذاریشامل مجموعه ای از اقدامات با هدف ایجاد و حفظ نگرش منفی (از جمله تنبیهی) در جامعه نسبت به تخلفات و ناقضان امنیت اطلاعات است. اکثر مردم به دلیل محکومیت و یا مجازات آن توسط جامعه و به دلیل اینکه انجام آن پذیرفته نشده است، مرتکب اعمال غیرقانونی نمی شوند.

روش اداری و سازمانی -مدیریت سازمان باید از لزوم حفظ یک رژیم امنیتی آگاه باشد و منابع مناسب را برای این منظور تخصیص دهد. اساس اقدامات حفاظتی در سطح اداری و سازمانی یک خط مشی امنیتی و مجموعه ای از اقدامات سازمانی است که شامل روش های امنیتی اجرا شده توسط افراد (مدیریت پرسنل، حفاظت فیزیکی، حفظ کارایی، پاسخگویی به تخلفات امنیتی، برنامه ریزی کار بازیابی) می باشد. در هر سازمانی باید مجموعه ای از مقررات وجود داشته باشد که اقدامات پرسنل را در شرایط مناسب تعیین کند.

روش ها و ابزارهای نرم افزاری و سخت افزاری:

کاربرد شبکه های خصوصی مجازی امنبرای محافظت از اطلاعات ارسال شده از طریق کانال های ارتباطی باز؛

کاربرد فایروال هابرای محافظت از شبکه شرکت در برابر تهدیدات خارجی هنگام اتصال به شبکه های ارتباطی عمومی؛

- کنترل دسترسیدر سطح کاربر و محافظت در برابر دسترسی غیرمجازبه اطلاعات؛

تضمین شناسایی کاربربا استفاده از توکن ها (کارت های هوشمند، حافظه لمسی، کلیدهای پورت USB و غیره) و سایر ابزارهای احراز هویت.

- حفاظت از اطلاعات در سطح فایل(با رمزگذاری فایل ها و دایرکتوری ها) برای اطمینان از ذخیره سازی امن آن؛

- محافظت در برابر ویروسبا استفاده از مجتمع های تخصصی پیشگیری و محافظت از ضد ویروس؛

فن آوری ها تشخیص نفوذ و تحقیقات امنیتی فعالمنابع اطلاعاتی؛

- تبدیل رمزنگاریداده ها برای اطمینان از صحت، صحت و محرمانه بودن اطلاعات

در حال حاضر، مجموعه ای از استانداردهای اینترنت که به نام IPSec (IP Security) شناخته می شوند، به طور گسترده ای برای سازماندهی کانال های VPN ایمن مدرن استفاده می شود.

VPN های سازمانی می توانند به طور موثر از سه نوع کانال امن پشتیبانی کنند:

با کارمندان از راه دور و سیار (دسترسی از راه دور ایمن)؛

با شبکه های شعب شرکت ها (حفاظت اینترانت)؛

با شبکه های شریک (محافظت خارج از شبکه).

پشتیبانی IPSec امروز برای محصولات آینده VPN ضروری است.

برای محافظت از VPN، فایروال هایی استفاده می شود که یک طرح دسترسی نسبتا ساده را پیاده سازی می کنند:

دسترسی در یک نقطه واقع در مسیر اتصال شبکه داخلی به اینترنت یا شبکه عمومی دیگری که منبع تهدیدات بالقوه است کنترل می شود.

همه موضوعات دسترسی بر اساس آدرس های IP به گروه ها تقسیم می شوند ( درونی؛ داخلیو خارجیکاربران)؛

کاربران خارجی مجاز به استفاده از یک یا دو سرویس محبوب اینترنتی مانند ایمیل برای دسترسی به منابع داخلی شبکه هستند و ترافیک سایر سرویس ها قطع می شود.

هنگام استفاده از چندین فایروال در یک شبکه داخلی، لازم است کار هماهنگ آنها بر اساس یک خط مشی دسترسی واحد سازماندهی شود. چنین هماهنگی برای پردازش صحیح بسته های کاربر بدون توجه به اینکه مسیر آنها از کدام نقطه دسترسی می گذرد ضروری است.

هنگام ارائه اطلاعات در شبکه برای شناسایی تضمین شده کاربران، از مکانیزم خاصی استفاده می شود که شامل سه روش است:

- شناسایی- روش شناسایی کاربر توسط شناسه (نام) خود که کاربر در صورت درخواست خود به شبکه اطلاع می دهد، شبکه حضور آن را در پایگاه داده خود بررسی می کند.

- احراز هویت -روش تأیید صحت کاربر اعلام شده، که به شما امکان می دهد به طور قابل اعتماد تأیید کنید که کاربر همان چیزی است که ادعا می کند (به ویژه رمز عبور).

ابزار موثر برای افزایش قابلیت اطمینان حفاظت از داده ها بر اساس شناسایی تضمین شده کاربر الکترونیکی است نشانه ها(کارت‌های هوشمند، دستگاه‌های حافظه لمسی، کلیدهای پورت‌های USB و ...) که نوعی محفظه برای ذخیره اطلاعات شخصی کاربر سیستم هستند. مزیت اصلی توکن الکترونیکی این است که اطلاعات شخصی همیشه در رسانه (کارت هوشمند، کلید و غیره) وجود دارد و تنها در هنگام دسترسی به سیستم یا رایانه ارائه می شود.

محافظت از آنتی ویروسیکی از عناصر مهم یک سیستم یکپارچه امنیت اطلاعات است. هنگام استفاده از ابزارهای ضد ویروس، به خاطر داشته باشید که ترافیک محافظت شده توسط این ابزارها قابل نظارت نیست. بنابراین، ابزارهای ضد ویروس باید در گره هایی که اطلاعات در آنها ذخیره، پردازش و به صورت متن واضح منتقل می شود، نصب شوند.

تغییرات مداوم در IS (تنظیم مجدد نرم افزار، اتصال ایستگاه های کاری جدید و ...) می تواند منجر به ظهور تهدیدات و آسیب پذیری های جدید در سیستم حفاظت شود. در این راستا شناسایی به موقع آنها و ایجاد تغییرات در تنظیمات مربوطه سیستم امنیت اطلاعات که برای آنها استفاده می شود بسیار مهم است. ابزارهای تشخیص نفوذ،که مکمل عملکردهای حفاظتی فایروال ها هستند. فایروال ها سعی می کنند ترافیک بالقوه خطرناک را قطع کنند و از ورود آن به بخش های محافظت شده جلوگیری کنند، در حالی که ابزارهای تشخیص نفوذ، ترافیک حاصل را در بخش های محافظت شده تجزیه و تحلیل می کنند و حملات به منابع شبکه یا اقدامات بالقوه خطرناک را شناسایی می کنند و می توانند در بخش های محافظت نشده، به عنوان مثال، در جلو استفاده شوند. از صفحه فایروال، برای به دست آوردن یک تصویر کلی از حملاتی که شبکه از بیرون در معرض آنها قرار دارد.

نقش ویژه ای در نرم افزار و روش های فنی حفاظت از اطلاعات ایفا می کند تبدیل داده های رمزنگاری شده و امضای دیجیتال الکترونیکی.

به الگوریتم ریپتوگرافی, یا رمزگذاری, یک فرمول ریاضی است که فرآیندهای رمزگذاری و رمزگشایی را توصیف می کند. برای رمزگذاری متن ساده، الگوریتم رمزنگاری در ارتباط با کلید - با کلمه، عدد یا عبارت. پیام یکسان توسط الگوریتم مشابه، اما با کلیدهای مختلف، به متفاوت تبدیل می شود متن رمزی... امنیت متن رمزی کاملاً به دو پارامتر بستگی دارد: پایداری الگوریتم رمزنگاریو رازداری کلیدی.

در رمزنگاری سنتی، از یک کلید برای رمزگذاری و رمزگشایی داده ها استفاده می شود (شکل 7.3). چنین کلیدی نامیده می شود متقارنکلید (خصوصی). استاندارد رمزگذاری داده ها (DES) نمونه ای از الگوریتم متقارن است که از دهه 70 در غرب به طور گسترده در زمینه های بانکی و تجاری مورد استفاده قرار گرفته است. الگوریتم رمزگذاری به عنوان یک مدار مجتمع با طول کلید 64 بیت (56 بیت به طور مستقیم برای الگوریتم رمزگذاری و 8 بیت برای تشخیص خطا استفاده می شود) پیاده سازی شد. در حال حاضر، DES جایگزین استاندارد رمزگذاری پیشرفته (AES) شده است، که در آن طول کلید تا 256 بیت است.

رمزگذاری متقارن سرعت عملیات رمزنگاری را تضمین می کند. با این حال، رمزگذاری متقارن دو اشکال قابل توجه دارد: 1) تعداد زیادی کلید ضروری (کلید جداگانه برای هر کاربر). 2) پیچیدگی انتقال کلید خصوصی.

برای برقراری ارتباط رمزگذاری شده با استفاده از الگوریتم متقارن، فرستنده و گیرنده ابتدا باید در مورد کلید توافق کرده و آن را مخفی نگه دارند. اگر در مکان‌های جغرافیایی دور قرار دارند، باید از یک واسطه قابل اعتماد مانند یک پیک مورد اعتماد استفاده کنند تا از به خطر انداختن کلید در حین حمل و نقل جلوگیری کنند. مهاجمی که کلید را در راه رهگیری می کند، بعداً می تواند هر گونه اطلاعات رمزگذاری شده یا تأیید شده توسط این کلید را بخواند، تغییر دهد و جعل کند.

شکل - مراحل رمزگذاری کلید متقارن

مشکل مدیریت کلید حل شده است رمزنگاری باز، یا نامتقارن, کلید، که مفهوم آن در سال 1975 مطرح شد. این طرح اعمال می شود جفت کلید: باز کن،که داده ها و مربوطه را رمزگذاری می کند بستهکه آنها را رمزگشایی می کند. کسی که داده ها را رمزگذاری می کند، کلید عمومی خود را در سراسر جهان پخش می کند، در حالی که کلید خصوصی را مخفی نگه می دارد. هر کسی که یک کپی از کلید عمومی داشته باشد می تواند داده ها را رمزگذاری کند، اما فقط شخصی که کلید خصوصی را دارد می تواند داده ها را بخواند.

شکل - مراحل رمزگذاری کلید نامتقارن

اگرچه کلیدهای عمومی و خصوصی از نظر ریاضی به هم مرتبط هستند، محاسبه کلید خصوصی از عمومی به خصوصی تقریباً غیرممکن است.

دستاورد اصلی رمزگذاری نامتقارن این است که به افراد بدون توافق امنیتی موجود اجازه می دهد تا پیام های محرمانه را مبادله کنند. نیاز فرستنده و گیرنده به توافق بر سر یک کلید مخفی در یک کانال امن خاص کاملاً از بین رفته است. تمام ارتباطات فقط بر کلیدهای عمومی تأثیر می گذارد، در حالی که کلیدهای خصوصی ایمن نگه داشته می شوند. نمونه هایی از سیستم های رمزنگاری کلید عمومی هستند الگامال, RSA، دیفی هلمن، DSA و غیره

مزیت اضافی استفاده از سیستم های رمزنگاری کلید عمومی این است که آنها توانایی ایجاد را فراهم می کنند امضای دیجیتال الکترونیکی (EDS).امضای دیجیتال الکترونیکی یک ابزار است سند الکترونیکیطراحی شده برای تأیید منبع داده ها و محافظت از این سند الکترونیکی در برابر جعل. امضای دیجیتال به گیرنده پیام اجازه می دهد تا صحت منبع اطلاعات را تأیید کند (به عبارت دیگر نویسنده اطلاعات کیست) و همچنین بررسی کند که آیا اطلاعات در حین انتقال تغییر کرده است یا خیر. . بنابراین، امضای دیجیتال وسیله ای است احراز هویتو کنترل یکپارچگی داده ها EDS همان هدفی را انجام می دهد که یک مهر یا خودکار دست نویس روی یک ورق کاغذی انجام می شود.

مبحث 7. چشم انداز توسعه فناوری اطلاعات در اقتصاد و مدیریت

وضعیت فعلی فناوری اطلاعات را می توان به شرح زیر توصیف کرد:

وجود تعداد زیادی پایگاه داده با کارکرد صنعتی با حجم زیاد که حاوی اطلاعات تقریباً در مورد تمام حوزه های جامعه است.

ایجاد فناوری هایی که دسترسی تعاملی کاربران انبوه به منابع اطلاعاتی را فراهم می کند. مبنای فنی این گرایش، سیستم‌های ارتباط عمومی و خصوصی و انتقال داده با هدف عمومی و همچنین شبکه‌های تخصصی اطلاعات و رایانه‌ای بود که در شبکه‌های اطلاعاتی ملی، منطقه‌ای و جهانی متحد شدند.

گسترش عملکرد سیستم‌ها و فناوری‌های اطلاعاتی که پردازش همزمان پایگاه‌های داده با ساختار متنوع، اسناد چند شیء، ابررسانه‌ها، از جمله فناوری‌هایی را که برای ایجاد و نگهداری پایگاه‌های اطلاعاتی فرامتن اجرا می‌کنند، تضمین می‌کند. ایجاد سیستم‌های اطلاعاتی مشکل‌محور محلی و چند منظوره برای اهداف مختلف بر اساس رایانه‌های شخصی قدرتمند و شبکه‌های رایانه‌ای محلی.

گنجاندن عناصر فکری رابط کاربر، سیستم های خبره، سیستم های ترجمه ماشینی، نمایه سازی خودکار و سایر ابزارهای فناورانه در سیستم های اطلاعاتی.

یک سازمان مدرن سازمان یافته از در دسترس بودن فناوری اطلاعات توسعه یافته برای موارد زیر استفاده می کند:

اجرای محاسبات شخصی توزیع شده، زمانی که در هر محل کار منابع کافی برای پردازش اطلاعات در مکان های مبدا وجود دارد.

ایجاد سیستم های ارتباطی پیشرفته، زمانی که محل های کار برای ارسال پیام به یکدیگر متصل می شوند.

پیوستن به ارتباطات جهانی انعطاف پذیر، زمانی که یک شرکت در جریان اطلاعات جهانی قرار می گیرد.

ایجاد و توسعه سیستم های تجارت الکترونیکی؛

حذف پیوندهای میانی در سیستم یکپارچه سازی، سازمان - محیط خارجی.

پشتیبانی مستند از فعالیت های مدیریتی چیست؟

استاندارد اصطلاحی کار اداری را به عنوان شاخه ای از فعالیت تعریف می کند که مستندات و سازماندهی کار را با اسناد رسمی ارائه می دهد. اصطلاح کار اداری، طبق GOST R 51141-98، مترادف با عبارت پشتیبانی از اسناد مدیریت است که بیش از 10 سال پیش وارد گردش علمی شد.

مستندسازی یک رشته علمی است که به مطالعه الگوهای شکل‌گیری و عملکرد سیستم‌های پشتیبانی اسنادی مدیریت (DOU) می‌پردازد.

به طور سنتی به حوزه فعالیت مربوط به پردازش اسناد، کار اداری گفته می شود. اصطلاح کار اداری در نیمه دوم قرن هجدهم در روسیه به وجود آمد. از ترکیب کلمات تولید کیس به وجود می آید. اگر در نظر داشته باشیم که اصطلاح «پرونده» در اصل به یک سؤال (قضایی یا اداری) اشاره دارد که توسط هیئت حاکمه تصمیم گرفته شده است، معنای آن روشن می شود. در نتیجه، در زیر کار دفتری، اول از همه، بررسی (تولید) موارد، یا به عبارت دیگر، - فعالیت مرتبط با اتخاذ تصمیمات در مورد هر موضوعی درک می شد. معنای اصطلاح تجارت به عنوان مجموعه اسناد منشأ متأخری دارد.

پشتیبانی اسناد برای مدیریت، اول از همه، ایجاد اسناد یا اسناد الزام آور قانونی است، یعنی ضبط اطلاعات بر روی کاغذ یا رسانه های دیگر طبق قوانینی که توسط مقررات قانونی تعیین شده یا توسط سنت ایجاد شده است.

اسناد را می توان به زبان طبیعی و به زبان های مصنوعی با استفاده از رسانه های جدید انجام داد. هنگام مستندسازی به زبان طبیعی، اسناد متنی ایجاد می‌شوند - اسناد حاوی اطلاعات گفتاری ضبط شده توسط هر نوع نوشتاری یا هر سیستم ضبط صدا. یک سند متنی نوشته شده یک سند کاغذی یا ویدئوگرام سنتی است، یعنی تصویر آن روی صفحه نمایشگر.

هنگام ایجاد اسناد، از ابزارهای مستندسازی استفاده می شود. اونها می تونند ... باشند:

ابزار ساده (قلم، مداد و غیره)؛

وسایل مکانیکی و الکترومکانیکی (ماشین تحریر، ضبط صوت، ضبط صوت، تجهیزات عکس، فیلم و فیلم و غیره).

فناوری رایانه.

نتیجه مستندسازی یک سند است - اطلاعات ثبت شده در حامل مواد با جزئیاتی که امکان شناسایی آن را فراهم می کند. حامل یک شی مادی است که برای تثبیت و ذخیره سازی گفتار، صدا یا اطلاعات بصری روی آن، از جمله به شکل تبدیل شده، استفاده می شود.

برای قرن های متمادی، کاغذ رایج ترین رسانه برای اطلاعات مستند بوده است. همراه با آن، رسانه های جدید در حال حاضر به طور گسترده ای مورد استفاده قرار می گیرند - مغناطیسی، که امکان استفاده از فناوری کامپیوتر را برای مستندسازی فراهم می کند.

همانطور که قبلا ذکر شد، مستندات به معنای رعایت قوانین تعیین شده برای ثبت اطلاعات است. رعایت این قوانین به اسناد ایجاد شده اثر قانونی می دهد. نیروی قانونی سند با مجموعه ای از الزامات تعیین شده برای هر نوع اسناد - عناصر اجباری اجرای سند تضمین می شود.

وجود فرمی که توسط استاندارد دولتی ایجاد شده است، یکپارچگی اسناد و مدارک را هم در چارچوب یک موسسه و هم به عنوان یک کل در کشور تضمین می کند.

اسناد حامل اصلی اطلاعات مدیریتی، علمی، فنی، آماری و غیره هستند. اسناد حامل اطلاعات اولیه هستند، در اسناد است که اطلاعات برای اولین بار ثبت می شود. این ویژگی امکان تشخیص اسناد را از سایر منابع اطلاعاتی - کتاب ها، روزنامه ها، مجلات و غیره که حاوی اطلاعات پردازش شده و ثانویه هستند، می دهد.

هر سندی عنصری از یک سیستم اسنادی سطح بالاتر است. سیستم اسناد و مدارک به عنوان مجموعه ای از اسناد به هم پیوسته با توجه به ویژگی های مبدا، هدف، نوع، زمینه فعالیت، الزامات یکسان برای ثبت آنها درک می شود. همانطور که حروف الفبا را تشکیل می دهند، انواع و گونه های خاصی از اسناد نیز یک سیستم مستندسازی را تشکیل می دهند. تاکنون طبقه‌بندی هماهنگی از سیستم‌های مستندسازی، انواع و انواع اسناد در علم اسناد وجود ندارد، اما از نسخه توسعه‌یافته تجربی آن استفاده می‌شود.

تخصیص اسناد به یک سیستم خاص با تقسیم کلیه اسناد به اسناد رسمی و اسناد شخصی شروع می شود. مورد دوم شامل اسنادی است که توسط شخصی خارج از محدوده فعالیت رسمی یا انجام وظایف عمومی ایجاد شده است: مکاتبات شخصی ، خاطرات (خاطرات) ، خاطرات.

اسناد رسمی، بسته به حوزه فعالیت انسانی که در خدمت آنها هستند، به مدیریت، علمی، فنی (طراحی)، فناوری، تولید و غیره تقسیم می شوند. اسناد مدیریتی هسته اسناد سازمانی را تشکیل می دهند، آنها هستند که مدیریت اشیاء را تضمین می کنند. هم در داخل ایالت و هم در یک سازمان جداگانه. اسناد مدیریتی با انواع اصلی (سیستم) اسناد زیر نشان داده می شوند:

اسناد سازمانی و قانونی؛

اسناد برنامه ریزی؛

اسناد اداری؛

اطلاعات و مرجع و مستندات مرجع و تحلیلی؛

گزارش اسناد؛

اسناد قراردادی؛

اسناد پرسنل (پرسنل)؛

اسناد پشتیبانی مالی (حسابداری و گزارشگری)؛

اسناد تدارکات؛

اسناد مربوط به اسناد و پشتیبانی اطلاعاتی از فعالیت های موسسه و غیره؛

اسناد مربوط به فعالیت های اصلی یک موسسه، سازمان یا شرکت، به عنوان مثال، در یک شرکت تولیدی - این اسناد تولید (اسناد فنی و طراحی و غیره) است، در یک موسسه پزشکی - اسناد پزشکی (سوابق پزشکی، اسناد بیمه و غیره). .)، در یک دانشگاه - اسناد مربوط به آموزش عالی (برنامه های درسی، برگه های امتحانی و غیره).

اسنادی که یک سیستم مستندسازی را تشکیل می‌دهند با وحدت هدف مورد نظرشان به هم مرتبط می‌شوند و به طور کلی، مستندات یک عملکرد مدیریتی یا نوع فعالیت خاص را ارائه می‌دهند.

سازماندهی کار با اسناد سازماندهی گردش کار یک موسسه، ذخیره اسناد و استفاده از آنها در فعالیت های جاری است.

گردش اسناد مجموعه ای از رویه های مرتبط است که حرکت اسناد را در یک موسسه از لحظه ایجاد یا دریافت تا پایان اجرا یا ارسال تضمین می کند. به منظور سازماندهی منطقی گردش کار، کلیه اسناد به جریان های اسنادی تقسیم می شوند، به عنوان مثال: اسناد ثبت شده و ثبت نشده، اسناد ورودی، خروجی و داخلی، اسنادی که به سازمان های سطح بالاتر رسیده یا ارسال می شوند، اسناد ارسال شده یا ارسال شده از سازمان های زیرمجموعه. و غیره. یک جریان سند به عنوان مجموعه ای از اسناد درک می شود که هدف خاصی را در فرآیند گردش کار انجام می دهند.

ویژگی گردش کار حجم آن است. حجم گردش کار به تعداد اسناد دریافتی سازمان و ایجاد شده توسط آن در یک بازه زمانی معین، معمولاً یک سال، اشاره دارد. حجم گردش کار یک معیار مهم هنگام تصمیم گیری در مورد انتخاب شکل کار اداری، ساختار کار اداری، کارکنان آن، سازماندهی یک سیستم بازیابی اطلاعات برای اسناد و غیره است.

یکی از مهمترین وظایف در سازماندهی کار با اسناد، حسابداری اسناد است. حسابداری اسناد با ثبت آنها تضمین می شود - ثبت اعتبار در مورد سند در فرم تعیین شده، رفع واقعیت ایجاد یک سند، ارسال یا دریافت آن. همراه با در نظر گرفتن اسناد، ثبت نام آنها به شما امکان می دهد "اجرای اسناد" را کنترل کنید و همچنین به درخواست ادارات و کارمندان موسسه به جستجوی اسناد بپردازید.

سیستم بایگانی اسناد مجموعه ای از روش ها برای ثبت و سازماندهی اسناد به منظور جستجوی آنها و استفاده از آنها در فعالیت های جاری یک موسسه است. برای سیستم بایگانی، مهمترین مفاهیم نامگذاری پرونده ها و پرونده است. نام پرونده ها فهرستی منظم از سرفصل های پرونده های تشکیل شده در دفتر یک مؤسسه است که در یک توالی مشخص با ذکر زمان نگهداری آنها تنظیم شده است و پرونده مجموعه ای از اسناد (یا سند) مربوط به یکی است. شماره، در یک جلد جداگانه قرار داده شده است.

مجموعه و تنوع ابزارهای ممکن برای محافظت از اطلاعات، اول از همه، با روش‌های احتمالی تأثیرگذاری بر عوامل بی‌ثبات کننده یا دلایلی که باعث ایجاد آنها می‌شوند، و تأثیر در جهتی که به افزایش ارزش‌ها کمک می‌کند، تعیین می‌شود. شاخص های امنیتی یا (حداقل) حفظ ارزش های قبلی (که قبلاً به دست آمده بودند).

محتوای روش ها و ابزارهای ارائه شده برای تضمین امنیت را در نظر بگیرید.

مانع ایجاد سد معینی بر سر راه ظهور یا گسترش عامل بی ثبات کننده است که اجازه نمی دهد عامل مربوطه ابعاد خطرناکی به خود بگیرد. نمونه‌های معمولی از موانع، انسدادهایی هستند که مانع از عبور یک دستگاه یا برنامه فنی از مرزهای خطرناک می‌شوند. ایجاد موانع فیزیکی بر سر راه متجاوزان، غربالگری اماکن و تجهیزات فنی و غیره.

مدیریت عبارت است از تعریف در هر مرحله از عملکرد سیستم های پردازش اطلاعات چنین اقدامات کنترلی بر روی عناصر سیستم که نتیجه آن حل (یا تسهیل راه حل) یک یا چند مشکل حفاظت از اطلاعات خواهد بود. به عنوان مثال، کنترل دسترسی به سایت شامل ویژگی های امنیتی زیر است:

• شناسایی افرادی که مدعی دسترسی، پرسنل و منابع سیستم هستند (تخصیص یک شناسه شخصی برای هر شی).
• شناسایی (احراز هویت) یک شی یا موضوع توسط شناسه ارائه شده؛
• بررسی مجوز (بررسی انطباق روز هفته، زمان روز، منابع و روش های درخواستی با مقررات تعیین شده)؛
• ثبت (ثبت) تماس با منابع حفاظت شده؛
• پاسخ (زنگ هشدار، خاموش شدن، تاخیر در کار، شکست در فرآیند) هنگام تلاش برای اقدامات غیرمجاز.

پوشاندن مستلزم چنین تحولاتی از اطلاعات است که در نتیجه آن برای مزاحمان غیرقابل دسترس می شود یا چنین دسترسی به طور قابل توجهی مختل می شود و همچنین مجموعه ای از اقدامات برای کاهش درجه تشخیص خود شیء است. پوشش شامل روش های رمزنگاری برای تبدیل اطلاعات، پنهان کردن یک شی، اطلاعات نادرست و افسانه، و همچنین اقداماتی برای ایجاد زمینه های نویز است که سیگنال های اطلاعاتی را پنهان می کند.

مقررات به عنوان روشی برای محافظت از اطلاعات شامل توسعه و اجرای مجموعه ای از اقدامات در فرآیند عملکرد یک شی است که شرایطی را ایجاد می کند که تحت آن تظاهرات و تأثیر تهدیدها به طور قابل توجهی مختل می شود. این مقررات شامل توسعه چنین قوانینی برای مدیریت اطلاعات محرمانه و ابزارهای پردازش آن است که دستیابی به این اطلاعات را برای مهاجم تا حد امکان دشوار می کند.

اجبار یک روش حفاظتی است که در آن کاربران و پرسنل سیستم مجبور به پیروی از قوانین مربوط به پردازش، انتقال و استفاده از اطلاعات محافظت شده تحت تهدید مسئولیت مادی، اداری یا کیفری هستند.

انگیزه راهی برای حفاظت از اطلاعات است که در آن کاربران و پرسنل یک شی به طور داخلی (به عنوان مثال با انگیزه های مادی، اخلاقی، اخلاقی، روانی و غیره) تشویق می شوند تا از کلیه قوانین پردازش اطلاعات پیروی کنند.

به عنوان یک روش جداگانه، که در انجام اقدامات فعال توسط طرف های مخالف استفاده می شود، می توان چنین روشی را به عنوان حمله متمایز کرد. این به معنای استفاده از سلاح های اطلاعاتی در انجام یک جنگ اطلاعاتی و تخریب فیزیکی مستقیم دشمن (در انجام خصومت ها) یا وسایل شناسایی او است.

روش های در نظر گرفته شده برای اطمینان از حفاظت از اطلاعات با استفاده از روش ها و ابزارهای مختلف اجرا می شود. در عین حال، بین ابزارهای رسمی و غیر رسمی تمایز قائل شد. وسایل رسمی آنهایی هستند که وظایف خود را در حفاظت از اطلاعات به طور رسمی انجام می دهند، یعنی عمدتاً بدون مشارکت انسانی. ابزارهای غیررسمی مبتنی بر فعالیت های هدفمند افراد است. ابزارهای رسمی به فیزیکی، سخت افزاری و نرم افزاری تقسیم می شوند.

کمک های بدنی- دستگاه ها و سیستم های مکانیکی، الکتریکی، الکترومکانیکی و غیره که به طور مستقل عمل می کنند و انواع مختلفی از موانع را برای عوامل بی ثبات کننده ایجاد می کنند.

سخت افزار- دستگاه های مختلف الکترونیکی و الکترونیکی-مکانیکی و غیره که به صورت شماتیک در تجهیزات سیستم پردازش داده تعبیه شده و یا به طور خاص برای حل مشکلات امنیت اطلاعات با آن رابط دارند. به عنوان مثال، از مولدهای نویز برای محافظت در برابر نشت از طریق کانال های فنی استفاده می شود.

ابزارهای فیزیکی و سخت افزاری در دسته ای از وسایل فنی حفاظت از اطلاعات ترکیب شده اند.

منظور از نرم افزار، بسته های نرم افزاری ویژه یا برنامه های فردی است که در نرم افزار سیستم های خودکار به منظور حل مشکلات امنیت اطلاعات گنجانده شده است. اینها می توانند برنامه های مختلفی برای تبدیل داده های رمزنگاری، کنترل دسترسی، محافظت از ویروس و غیره باشند.

ابزارهای غیررسمی به سازمانی، تقنینی و اخلاقی و اخلاقی تقسیم می شوند.

وسایل سازمانی- به طور ویژه ارائه شده است

در فناوری عملکرد شی، اقدامات سازمانی و فنی برای حل مشکلات حفاظت از اطلاعات، که در قالب فعالیت های هدفمند افراد انجام می شود.

وسایل تشریعی- موجود در کشور یا قوانین قانونی هنجاری خاص صادر شده که به کمک آنها حقوق و تعهدات مربوط به تضمین حفاظت از اطلاعات، کلیه افراد و بخش های مرتبط با عملکرد سیستم تنظیم می شود و همچنین مسئولیت ایجاد می شود. برای نقض قوانین پردازش اطلاعات، که در نتیجه نقض امنیت اطلاعات است.

معیارهای اخلاقی و اخلاقی- هنجارهای اخلاقی یا قواعد اخلاقی رایج در جامعه یا جمع معینی که رعایت آنها به حفاظت از اطلاعات کمک می کند و تخلف از آنها مساوی با رعایت نکردن قواعد رفتاری در جامعه یا یک جمع است. شخصی است که کارمند یک مؤسسه یا مؤسسه به اسرار اعتراف می کند و حجم عظیمی از اطلاعات از جمله سری را در حافظه خود انباشته می کند که غالباً منبع درز این اطلاعات می شود یا به تقصیر او رقیب این فرصت را پیدا می کند. دسترسی غیرمجاز به حامل های اطلاعات محافظت شده

روش‌های اخلاقی و اخلاقی حفاظت از اطلاعات، اول از همه، تربیت کارمندی را که به اسرار پذیرفته است، پیش‌فرض می‌گیرد، یعنی انجام کار ویژه با هدف تشکیل سیستمی از ویژگی‌ها، دیدگاه‌ها و اعتقادات خاص (میهن پرستی، درک اهمیت). و سودمندی حفاظت از اطلاعات و برای شخص او) و آموزش کارمندی که از اطلاعات تشکیل دهنده یک راز محافظت شده آگاه است، قوانین و روش های حفاظت از اطلاعات، القای مهارت های کار با حاملان اطلاعات طبقه بندی شده و محرمانه.

یک رویکرد جالب برای شکل گیری انواع روش های حفاظتی توسط عضو مسئول آکادمی رمزنگاری S. P. Rastorguev ارائه شده است. اساس "سیستم حفاظت مطلق" به نام او، که دارای تمام روش های حفاظتی ممکن است، بر اصول اساسی حفاظت اجرا شده در طبیعت زنده استوار است. با توسعه این رویکرد، روش های اصلی حفاظت از دنیای حیوانات را می توان در مقایسه با روش های در نظر گرفته شده حفاظت از اطلاعات متمایز کرد.

1. حفاظت غیرفعال تمام کانال های احتمالی نفوذ تهدیدات را مسدود می کند و شامل "زره پوشیدن" بر روی خود و ایجاد موانع سرزمینی است. انطباق کامل با چنین روشی برای محافظت از اطلاعات به عنوان یک مانع وجود دارد.
2. تغییر مکان. میل به پنهان شدن را می توان با روشی مانند پنهان کردن مرتبط کرد.
3. تغییر ظاهر خود، تقلید - ادغام با منظره، و غیره. هدف این است که خود را به عنوان یک شی غیر جالب یا نامرئی برای طرف مهاجم نشان دهید. عملکرد مشابه حفاظت از اطلاعات با پوشاندن آنها اجرا می شود.
4. حمله با هدف از بین بردن مهاجم. در بالا، روش مربوط به حفاظت از اطلاعات در نظر گرفته شد.
5. پرورش مهارت های ایمنی در فرزندان، رساندن این مهارت ها به سطح غریزی. برای سیستم های امنیت اطلاعات، مهارت های مشابهی در میان کارکنان خدماتی با اجبار و انگیزه شکل می گیرد.
6. توسعه قوانین خاصی از زندگی که به بقا و حفظ جنس کمک می کند. چنین قوانینی که توسط طبیعت تدوین شده است شامل وجود مسالمت آمیز افراد از همان گونه، زندگی در گله ها (گله ها) و غیره است. به عبارت دیگر، طبیعت قوانین زندگی لازم را برای ایمنی تنظیم می کند.

بنابراین، تجزیه و تحلیل ویژگی های حفاظتی ذاتی در دنیای حیوانات، که اساس به اصطلاح "سیستم حفاظت مطلق" است، نشان می دهد که همه آنها با روش های در نظر گرفته شده حفاظت از اطلاعات مطابقت دارند، که کامل بودن شکل گیری آنها را تایید می کند.

روش ها و ابزارهای حفاظت از اطلاعات در شبکه ها

تحت حفاظت اطلاعات در سیستم های کامپیوتری، مرسوم است که ایجاد و نگهداری مجموعه ای سازمان یافته از ابزارها، روش ها، روش ها و اقدامات طراحی شده برای جلوگیری از تحریف، تخریب و استفاده غیرمجاز از اطلاعات ذخیره شده و پردازش شده به شکل الکترونیکی را درک کنیم.

اجازه دهید- روشی برای مسدود کردن فیزیکی مسیر مهاجم به اطلاعات محافظت شده (به تجهیزات، رسانه های ذخیره سازی و غیره).

کنترل دسترسی- راهی برای محافظت از اطلاعات با تنظیم استفاده از تمام منابع سیستم (فنی، نرم افزاری، زمانی و غیره). این روش ها باید در برابر همه راه های ممکن دسترسی غیرمجاز به اطلاعات مقاومت کنند. کنترل دسترسی شامل ویژگی های امنیتی زیر است:

• شناسایی کاربران، پرسنل و منابع سیستم (تخصیص یک شناسه شخصی برای هر شی).
• تعیین اصالت یک شی یا موضوع با توجه به شناسه ارائه شده توسط او؛
• تأیید اعتبار؛
• اجازه و ایجاد شرایط کار در چارچوب مقررات تعیین شده؛
• ثبت (ثبت) تماس با منابع حفاظت شده؛
• پاسخ (علامت دادن، خاموش شدن، تاخیر در کار، رد درخواست، و غیره) هنگام تلاش برای اقدامات غیرمجاز.

پوشش اطلاعاتمعمولاً با بستن رمزنگاری آن انجام می شود. مکانیسم های رمزگذاری به طور فزاینده ای هم در پردازش و هم در ذخیره سازی اطلاعات در رسانه های مغناطیسی استفاده می شود. هنگام انتقال اطلاعات از طریق کانال های ارتباطی از راه دور، این روش تنها روش قابل اعتماد است.

مقابله با ویروس ها(یا حملات توسط برنامه های مخرب مختلف) شامل مجموعه ای از اقدامات مختلف سازمانی و استفاده از برنامه های ضد ویروس است. اهداف اقدامات انجام شده کاهش احتمال آلودگی با IP، شناسایی حقایق آلودگی سیستم است. کاهش عواقب عفونت های اطلاعاتی، محلی سازی یا تخریب ویروس ها؛ بازیابی اطلاعات در IS

آئین نامهشامل اجرای سیستمی از اقدامات سازمانی است که تمام جنبه های فرآیند پردازش اطلاعات را تعیین می کند.

اجبار- روشی از حفاظت که در آن کاربران و پرسنل IS مجبور می شوند از قوانین خاصی برای کار با اطلاعات (پردازش، انتقال و استفاده از اطلاعات محافظت شده) تحت تهدید مسئولیت مادی، اداری یا کیفری پیروی کنند.

انگیزه- روش حفاظتی که کاربران و پرسنل IS را تشویق می کند تا از رویه های تعیین شده به دلیل رعایت استانداردهای اخلاقی و اخلاقی تعیین شده، تخلف نکنند.

ابزارهای حفاظت از اطلاعات ذخیره شده و پردازش شده به صورت الکترونیکی به سه گروه مستقل فنی، نرم افزاری و اجتماعی و حقوقی تقسیم می شوند. به نوبه خود، کل مجموعه ابزار فنی به سخت افزار و فیزیکی تقسیم می شود. ابزارهای اجتماعی-حقوقی شامل سازمانی، تقنینی و اخلاقی و اخلاقی است.

کمک های بدنیشامل دستگاه ها و سازه های مهندسی مختلف است که از نفوذ فیزیکی متجاوزان به اشیاء حفاظتی جلوگیری می کند و از پرسنل (تجهیزات امنیتی شخصی)، منابع مادی و مالی، اطلاعات از اقدامات غیرقانونی محافظت می کند. نمونه هایی از وسایل فیزیکی: قفل درها، میله های روی پنجره ها، هشدارهای امنیتی الکترونیکی و غیره.

سخت افزار- دستگاه هایی که مستقیماً در تجهیزات محاسباتی تعبیه شده اند یا دستگاه هایی که از طریق یک رابط استاندارد با آن ارتباط برقرار می کنند. این ابزارها متعلق به امن ترین قسمت سیستم هستند. با کمک آنها، هر مفهوم امنیتی را می توان پیاده سازی کرد، اما هزینه پیاده سازی در مقایسه با ابزارهای نرم افزاری مشابه از نظر هدف، یک مرتبه بزرگتر است. اگر حق انتخاب دارید، اولویت باید به سخت افزار امنیتی داده شود، زیرا آنها هرگونه تداخل در کار خود را مستقیماً از شبکه حذف می کنند. مطالعه کار این ابزارها تنها در صورت دسترسی فیزیکی مستقیم به آنها امکان پذیر است. یکی دیگر از مزیت های سخت افزار عملکرد بیشتر آن در مقایسه با نرم افزارهای امنیتی است (به ویژه زمانی که در دستگاه های امنیتی رمزنگاری استفاده می شود).

نرم افزار منابع مالی- اینها برنامه ها و سیستم های نرم افزاری خاصی هستند که برای محافظت از اطلاعات در IS طراحی شده اند. آنها متداول ترین وسیله هستند، زیرا می توان از آنها برای پیاده سازی تقریباً تمام ایده ها و روش های محافظت استفاده کرد و علاوه بر این، در مقایسه با سخت افزار هزینه کمی دارند. تقریباً تمام فایروال ها و بیشتر محافظت های رمزنگاری با استفاده از تکنیک های امنیتی مبتنی بر نرم افزار پیاده سازی می شوند. نقطه ضعف اصلی آنها دسترسی آنها برای هکرها است، به ویژه با توجه به ابزارهای امنیتی پرکاربرد در بازار. با توجه به هدف مورد نظر، آنها را می توان به چند کلاس تقسیم کرد:

• برنامه های شناسایی و احراز هویت کاربر؛
• برنامه های تعیین حقوق (قدرت) کاربران (دستگاه های فنی)؛
• برنامه هایی برای ثبت کار وسایل فنی و کاربران (نگهداری به اصطلاح گزارش سیستم)؛
• برنامه هایی برای تخریب (پاک کردن) اطلاعات پس از حل مشکلات مربوطه یا زمانی که کاربر قوانین خاصی را برای پردازش اطلاعات نقض می کند.

نرم افزار امنیت اطلاعات اغلب به ابزارهای پیاده سازی شده در سیستم عامل های استاندارد (OS) و ابزارهای امنیتی در سیستم های اطلاعات تخصصی تقسیم می شود.

برنامه های رمزنگاری مبتنی بر استفاده از روش های رمزگذاری (رمزگذاری) اطلاعات هستند. این روش ها ابزارهای کاملاً مطمئنی برای محافظت هستند که به طور قابل توجهی امنیت انتقال اطلاعات در شبکه ها را افزایش می دهند.

شبکه ها اغلب از ابزارهای حفاظتی سخت افزاری و نرم افزاری استفاده می کنند. اینها ابزارهایی مبتنی بر استفاده از دستگاه های تکنولوژیکی هستند که اجازه می دهد تا برخی از پارامترهای کار خود را با روش های نرم افزاری تنظیم کنید. آنها سازش بین دو ابزار قبلی را نشان می دهند و عملکرد بالای برف سخت افزاری و انعطاف پذیری سفارشی سازی نرم افزار را ترکیب می کنند. نمونه های معمولی از این نوع دستگاه ها روترهای سخت افزاری سیسکو هستند که می توانند به عنوان فیلتر بسته پیکربندی شوند.

ابزار سازمانی و قانونگذاریحفاظت از اطلاعات ایجاد سیستمی از اسناد نظارتی حاکم بر توسعه، اجرا و بهره برداری IP و همچنین مسئولیت مقامات و اشخاص حقوقی برای نقض قوانین، قوانین، دستورات، استانداردها و غیره تعیین شده را فراهم می کند.

ابزارهای سازمانی فعالیت‌های تولیدی و استفاده از رایانه در شبکه و روابط مجریان را بر مبنای قانونی تنظیم می‌کنند، به گونه‌ای که افشا، نشت و دسترسی غیرمجاز به اطلاعات محرمانه با اقدامات سازمانی غیرممکن یا به طور قابل توجهی با مشکل مواجه می‌شود. مجموعه این اقدامات توسط گروه امنیت اطلاعات اجرا می شود، اما باید تحت کنترل رئیس اجرایی باشد. ترتیبات سازمانی باید طراحی، پیاده سازی و بهره برداری از سیستم های اطلاعاتی را پوشش دهد. آنها ادغام تمام تجهیزات حفاظتی مورد استفاده را در یک مکانیسم واحد فراهم می کنند.

راه حل های حقوقی توسط اقدامات قانونی کشور تعیین می شود که قوانین استفاده، پردازش و انتقال اطلاعات با دسترسی محدود را تنظیم می کند و اقدامات مسئولیت را برای نقض این قوانین تعیین می کند. هدف اصلی قانون گذاری، پیشگیری و جلوگیری از متخلفان احتمالی است.

ابزارهای اخلاقی و اخلاقیحفاظت از اطلاعات مبتنی بر استفاده از معیارهای اخلاقی و اخلاقی رایج در جامعه است. آنها شامل انواع هنجارهای رفتاری هستند که به طور سنتی زودتر توسعه یافته اند، با گسترش فناوری اطلاعات در کشور و جهان توسعه یافته اند یا به طور خاص توسعه یافته اند. معیارهای اخلاقی و اخلاقی می توانند نانوشته باشند (مثلاً صداقت)، یا در مجموعه ای (منشور) از قوانین یا مقررات رسمیت یافته باشند. این هنجارها قاعدتاً مورد تأیید قانونی نیستند، اما از آنجایی که رعایت نکردن آنها منجر به کاهش اعتبار سازمان می شود، الزام آور تلقی می شوند.

مبانی انفورماتیک: کتاب درسی برای دانشگاه ها مالینینا لاریسا الکساندرونا

11.3. روش ها و وسایل حفاظت از اطلاعات در سیستم های کامپیوتری

جرایم رایانه‌ای پدیده‌های بسیار پیچیده و چندوجهی هستند. اهداف این گونه تجاوزات مجرمانه می تواند خود وسایل فنی (رایانه و تجهیزات جانبی) به عنوان اشیاء مادی یا نرم افزارها و پایگاه های اطلاعاتی باشد که ابزار فنی آن محیط است. کامپیوتر می تواند به عنوان یک هدف حمله یا به عنوان یک ابزار عمل کند.

انواع جرایم رایانه ای بسیار متنوع است. این دسترسی غیرمجاز به اطلاعات ذخیره شده در رایانه و ورود به نرم افزار "بمب های منطقی" است که در صورت برآورده شدن شرایط خاص و غیرفعال کردن جزئی یا کامل سیستم رایانه و توسعه و توزیع ویروس های رایانه ای و سرقت از آنها به راه می افتد. اطلاعات کامپیوتری جرم رایانه ای همچنین می تواند به دلیل سهل انگاری در توسعه، ساخت و بهره برداری از سیستم های نرم افزاری رایانه ای یا به دلیل جعل اطلاعات رایانه ای رخ دهد.

در میان کل مجموعه روش های حفاظت از اطلاعات، موارد زیر متمایز می شوند:

شکل 11.1. طبقه بندی روش های حفاظت اطلاعات در سیستم های کامپیوتری

روشها و ابزارهای حفاظت سازمانی و قانونی اطلاعات

روش ها و ابزارهای حفاظت سازمانی از اطلاعات شامل اقدامات سازمانی، فنی و سازمانی و قانونی است که در فرآیند ایجاد و راه اندازی CS برای اطمینان از حفاظت از اطلاعات انجام می شود. این فعالیت ها باید در حین ساخت و ساز یا نوسازی محل هایی که رایانه ها در آن قرار دارند انجام شود. طراحی سیستم، نصب و تنظیم سخت افزار و نرم افزار آن؛ تست و بررسی عملکرد یک سیستم کامپیوتری

مبنای انجام اقدامات سازمانی استفاده و تهیه اسناد قانونی و نظارتی در حوزه امنیت اطلاعات است که در سطح قانونی باید دسترسی مصرف کنندگان به اطلاعات را تنظیم کند. اقدامات قانونی لازم در قوانین روسیه دیرتر از قوانین سایر کشورهای توسعه یافته ظاهر شد (اگرچه به هیچ وجه همه).

روشها و ابزارهای حفاظت از اطلاعات مهندسی و فنی

مهندسی و حفاظت فنی (ITZ) مجموعه ای از بدنه ها، ابزارها و اقدامات فنی ویژه برای استفاده از آنها به منظور حفاظت از اطلاعات محرمانه است.

تنوع اهداف، اهداف، اهداف حفاظتی و اقدامات انجام شده شامل در نظر گرفتن سیستم خاصی از طبقه بندی وجوه بر اساس نوع، جهت گیری و سایر ویژگی ها است.

به عنوان مثال، وسایل حفاظت فنی و مهندسی را می توان با توجه به اشیاء ضربه آنها در نظر گرفت. در این راستا، می توان از آنها برای محافظت از افراد، دارایی های مادی، مالی، اطلاعات استفاده کرد.

تنوع ویژگی های طبقه بندی به ما امکان می دهد تا ابزارهای مهندسی و فنی را با توجه به اشیاء نفوذ، ماهیت اقدامات، روش های اجرا، مقیاس پوشش، کلاس ابزار مهاجمانی که توسط سرویس امنیتی مخالفت می شود، در نظر بگیریم.

با هدف عملکردی آنها، وسایل مهندسی و حفاظت فنی به گروه های زیر تقسیم می شوند:

1. وسایل فیزیکی، از جمله ابزارها و ساختارهای مختلف، جلوگیری از نفوذ فیزیکی (یا دسترسی) متجاوزان به اشیاء حفاظتی و حاملان مادی اطلاعات محرمانه (شکل 16) و محافظت از پرسنل، منابع مادی، مالی و اطلاعات در برابر غیرقانونی. تأثیر می گذارد؛

2. سخت افزار - دستگاه ها، دستگاه ها، وسایل و سایر راه حل های فنی مورد استفاده در منافع حفاظت از اطلاعات. در عمل شرکت، تجهیزات بسیار متنوعی به طور گسترده استفاده می شود، از دستگاه تلفن گرفته تا سیستم های خودکار پیشرفته که فعالیت های تولید را تضمین می کند. وظیفه اصلی سخت افزار تضمین حفاظت پایدار از اطلاعات در برابر افشا، نشت و دسترسی غیرمجاز از طریق ابزارهای فنی برای اطمینان از فعالیت های تولید است.

3. نرم افزاری که شامل برنامه های ویژه، سیستم های نرم افزاری و سیستم های امنیت اطلاعات در سیستم های اطلاعاتی برای اهداف مختلف و ابزارهای پردازش (جمع آوری، انباشت، ذخیره، پردازش و انتقال) داده ها می شود.

4. وسایل رمزنگاری ابزارهای ریاضی و الگوریتمی ویژه ای برای محافظت از اطلاعات منتقل شده از طریق سیستم ها و شبکه های ارتباطی هستند که با استفاده از انواع روش های رمزگذاری بر روی رایانه ذخیره و پردازش می شوند.

روشهای فیزیکی و وسایل حفاظت از اطلاعات

وسایل حفاظت فیزیکی انواع وسایل، دستگاه ها، سازه ها، دستگاه ها، محصولاتی هستند که برای ایجاد موانع در مسیر متجاوزان طراحی شده اند.

وسایل فیزیکی شامل وسایل مکانیکی، الکترومکانیکی، الکترونیکی، الکترواپتیکی، رادیویی و رادیویی و سایر وسایل منع دسترسی غیرمجاز (ورود، خروج)، حمل (خروج) وجوه و مواد و سایر انواع اعمال مجرمانه ممکن است.

این ابزار برای حل وظایف زیر استفاده می شود:

1) حفاظت از قلمرو شرکت و نظارت بر آن؛

2) حفاظت از ساختمان ها، اماکن داخلی و کنترل آنها.

3) حفاظت از تجهیزات، محصولات، امور مالی و اطلاعات؛

4) اجرای دسترسی کنترل شده به ساختمان ها و اماکن.

تمام وسایل فیزیکی حفاظت از اشیاء را می توان به سه دسته تقسیم کرد: وسایل پیشگیری، وسایل تشخیص و سیستم های از بین بردن تهدیدات. به عنوان مثال، دزدگیر و دوربین مدار بسته ابزارهای تشخیص تهدید هستند. حصارهای اطراف اشیا وسیله ای برای جلوگیری از ورود غیرمجاز به قلمرو هستند و درها، دیوارها، سقف ها، میله های روی پنجره ها و سایر اقدامات به عنوان محافظت در برابر نفوذ و سایر اقدامات مجرمانه (شنود، گلوله باران، پرتاب نارنجک و مواد منفجره و غیره) عمل می کند. .). رسانه های خاموش به عنوان سیستم های حذف تهدید طبقه بندی می شوند.

روش ها و ابزارهای سخت افزاری حفاظت از اطلاعات

ابزارهای سخت‌افزاری حفاظت از اطلاعات شامل متنوع‌ترین اصول عملیات، دستگاه و قابلیت‌های طرح‌های فنی است که مانع از افشای اطلاعات، محافظت در برابر نشت و مقابله با دسترسی غیرمجاز به منابع اطلاعات محرمانه می‌شود.

سخت افزار امنیت اطلاعات برای حل وظایف زیر استفاده می شود:

1) انجام مطالعات ویژه ابزارهای فنی برای حمایت از فعالیت های تولیدی برای وجود کانال های احتمالی نشت اطلاعات.

2) شناسایی کانال های نشت اطلاعات در اشیاء و اماکن مختلف.

3) محلی سازی کانال های نشت اطلاعات.

4) جستجو و کشف وسایل جاسوسی صنعتی.

5) مقابله با دسترسی غیرمجاز به منابع اطلاعات محرمانه و سایر اقدامات.

روش ها و ابزارهای نرم افزاری حفاظت از اطلاعات

سیستم های حفاظت کامپیوتری در برابر نفوذ بیگانگان بسیار متنوع هستند و به صورت زیر طبقه بندی می شوند:

1) وسایل محافظت از خود که توسط نرم افزار عمومی ارائه شده است.

2) وسایل حفاظتی به عنوان بخشی از یک سیستم محاسباتی.

3) وسایل حفاظتی با درخواست اطلاعات؛

4) ابزار حفاظت فعال؛

5) وسایل حفاظت غیرفعال و غیره.

جهات اصلی استفاده از نرم افزار حفاظت از اطلاعات

زمینه های زیر استفاده از برنامه ها برای اطمینان از امنیت اطلاعات محرمانه را می توان متمایز کرد، به ویژه:

1) حفاظت از اطلاعات از دسترسی غیرمجاز؛

2) حفاظت از اطلاعات در برابر کپی؛

3) محافظت از برنامه ها در برابر کپی؛

4) محافظت از برنامه ها در برابر ویروس ها.

5) حفاظت از اطلاعات در برابر ویروس ها.

6) نرم افزار حفاظت از کانال های ارتباطی.

برای هر یک از این حوزه ها، تعداد کافی محصولات نرم افزاری با کیفیت بالا توسط سازمان های حرفه ای توسعه یافته و در بازارها توزیع شده است.

نرم افزار حفاظتی دارای انواع برنامه های ویژه زیر است:

1) شناسایی ابزار فنی، فایل ها و احراز هویت کاربر؛

2) ثبت و کنترل عملکرد وسایل فنی و کاربران.

3) حفظ حالت های پردازش اطلاعات محدود.

4) حفاظت از امکانات کامپیوتری عامل و برنامه های کاربردی کاربر.

5) تخریب اطلاعات در وسایل حفاظتی پس از استفاده؛

6) علائم نقض استفاده از منابع؛

7) برنامه های حفاظتی کمکی برای اهداف مختلف.

حفاظت از اطلاعات در برابر دسترسی غیرمجاز

برای محافظت در برابر نفوذ، الزاماً اقدامات امنیتی خاصی ارائه شده است. وظایف اصلی که باید توسط نرم افزار انجام شود عبارتند از:

1) شناسایی موضوعات و اشیاء.

2) تحدید حدود (گاهی اوقات جداسازی کامل) دسترسی به منابع و اطلاعات محاسباتی.

3) کنترل و ثبت اقدامات با اطلاعات و برنامه ها.

رایج ترین روش شناسایی، احراز هویت رمز عبور است. با این حال، تمرین نشان می دهد که محافظت از رمز عبور داده ها یک پیوند ضعیف است، زیرا رمز عبور را می توان استراق سمع یا جاسوسی کرد، رهگیری کرد یا به سادگی حدس زد.

حفاظت از کپی

ابزارهای حفاظت از کپی از استفاده از نسخه های سرقت شده نرم افزار جلوگیری می کنند و در حال حاضر تنها ابزار قابل اعتماد هستند - هم محافظت از حق چاپ برنامه نویسان-توسعه دهندگان و هم تحریک توسعه بازار. حفاظت از کپی به این معنی است که اطمینان حاصل شود که برنامه عملکردهای خود را تنها با شناسایی برخی از عناصر منحصر به فرد غیر قابل کپی انجام می دهد. چنین عنصری (که کلید نامیده می شود) می تواند یک فلاپی دیسک، قسمت خاصی از رایانه یا یک دستگاه خاص متصل به رایانه شخصی باشد. حفاظت از کپی با انجام تعدادی از عملکردها که در همه سیستم های حفاظتی مشترک است پیاده سازی می شود:

1. شناسایی محیطی که برنامه از آن راه اندازی می شود (فلاپی دیسک یا رایانه شخصی).

2. احراز هویت محیطی که برنامه از آن راه اندازی می شود.

3. واکنش به پرتاب از یک محیط غیرمجاز.

4. ثبت کپی مجاز;

5. مقابله با مطالعه الگوریتم های سیستم.

محافظت از برنامه ها و داده ها در برابر ویروس های کامپیوتری

برنامه های مخرب و مهمتر از همه، ویروس ها در هنگام ذخیره اطلاعات محرمانه در رایانه شخصی خطر بسیار جدی دارند. دست کم گرفتن این خطر می تواند عواقب جدی برای اطلاعات کاربر داشته باشد. آگاهی از مکانیسم های عمل ویروس ها، روش ها و روش های مبارزه با آنها به شما امکان می دهد تا به طور موثر مقاومت در برابر ویروس ها را سازماندهی کنید، احتمال عفونت و تلفات ناشی از تأثیر آنها را به حداقل برسانید.

"ویروس های کامپیوتری" برنامه های کوچک قابل اجرا یا تفسیری هستند که خود را در یک سیستم کامپیوتری تکثیر و تکثیر می کنند. ویروس ها می توانند نرم افزار یا داده های ذخیره شده در رایانه شخصی را تغییر داده یا از بین ببرند. ویروس ها می توانند در حین انتشار خود را تغییر دهند.

طبقه بندی ویروس های کامپیوتری

در حال حاضر بیش از 40 هزار ویروس رایانه ای ثبت شده در جهان وجود دارد. از آنجایی که اکثریت قریب به اتفاق برنامه های بدافزار مدرن قادر به انتشار خود هستند، اغلب به عنوان ویروس های رایانه ای شناخته می شوند. همه ویروس های کامپیوتری را می توان بر اساس معیارهای زیر طبقه بندی کرد:

- با توجه به زیستگاه ویروس،

- با روش آلودگی زیستگاه،

- با فرصت های مخرب،

- با ویژگی های الگوریتم ویروس.

گسترش گسترده ویروس ها، شدت عواقب تأثیر آنها بر منابع رایانه ای، توسعه و استفاده از ابزارهای ضد ویروس خاص و روش های کاربرد آنها را ضروری کرد. ابزارهای آنتی ویروس برای حل وظایف زیر استفاده می شوند:

- تشخیص ویروس ها در CS،

- مسدود کردن عملکرد برنامه های ویروسی،

- از بین بردن پیامدهای قرار گرفتن در معرض ویروس ها.

تشخیص ویروس ها در مرحله معرفی آنها یا حداقل قبل از شروع عملکردهای مخرب ویروس ها مطلوب است. لازم به ذکر است که هیچ ابزار ضد ویروسی وجود ندارد که شناسایی تمامی ویروس های احتمالی را تضمین کند.

در صورت شناسایی ویروس، لازم است فوراً عملیات برنامه ویروس متوقف شود تا آسیب ناشی از تأثیر آن بر سیستم به حداقل برسد.

از بین بردن پیامدهای قرار گرفتن در معرض ویروس ها در دو جهت انجام می شود:

- حذف ویروس ها

- بازیابی (در صورت لزوم) فایل ها، مناطق حافظه.

برای مبارزه با ویروس ها از ابزارهای نرم افزاری و سخت افزاری-نرم افزاری استفاده می شود که در یک توالی و ترکیب خاص استفاده می شود و روش های مبارزه با ویروس ها را تشکیل می دهد.

مطمئن ترین روش محافظت از ویروس، استفاده از ابزارهای سخت افزاری و نرم افزاری آنتی ویروس است. در حال حاضر از کنترلرهای ویژه و نرم افزار آنها برای محافظت از رایانه های شخصی استفاده می شود. کنترلر در شکاف توسعه نصب شده و به گذرگاه مشترک دسترسی دارد. این به او اجازه می دهد تا تمام تماس های سیستم دیسک را کنترل کند. نرم افزار کنترل کننده نواحی را روی دیسک ها ذخیره می کند که در طول عملکرد عادی قابل تغییر نیستند. بنابراین، می توانید در برابر تغییرات در رکورد اصلی بوت، بخش های بوت، فایل های پیکربندی، فایل های اجرایی و غیره محافظت کنید.

هنگام انجام اقدامات ممنوعه توسط هر برنامه، کنترلر یک پیام متناظر را برای کاربر ارسال می کند و عملکرد رایانه شخصی را مسدود می کند.

ابزارهای سخت افزاری و نرم افزاری آنتی ویروس دارای چندین مزیت نسبت به نرم افزارها هستند:

- کار مداوم؛

- همه ویروس ها را بدون توجه به مکانیسم عمل آنها تشخیص می دهد.

- اقدامات غیرمجاز را که در نتیجه ویروس یا یک کاربر غیر ماهر هستند مسدود کنید.

تنها یک اشکال این ابزارها وجود دارد - وابستگی به سخت افزار رایانه شخصی. تغییر دومی منجر به نیاز به تعویض کنترلر می شود.

ابزارهای آنتی ویروس نرم افزار مدرن می توانند یک اسکن جامع از رایانه شما برای شناسایی ویروس های رایانه ای انجام دهند. برای این منظور، برنامه های آنتی ویروس مانند Kaspersky Anti-Virus (AVP)، Norton Antivirus، Dr. وب، آنتی ویروس سیمانتک. همه آنها دارای پایگاه داده آنتی ویروس هستند که به طور دوره ای به روز می شوند.

روش ها و ابزارهای رمزنگاری حفاظت از اطلاعات

رمزنگاری به عنوان وسیله ای برای محافظت (بستن) اطلاعات در دنیای تجارت اهمیت فزاینده ای پیدا می کند.

رمزنگاری سابقه نسبتا طولانی دارد. در ابتدا عمدتاً در زمینه ارتباطات نظامی و دیپلماتیک استفاده می شد. اکنون در فعالیت های صنعتی و تجاری مورد نیاز است. با توجه به اینکه امروزه صدها میلیون پیام، مکالمه تلفنی، حجم عظیمی از داده های رایانه ای و تله متری تنها در کشور ما از طریق کانال های ارتباطی رمزگذاری شده مخابره می شود و همه اینها برای چشم و گوش کنجکاو نیست، مشخص می شود که حفظ این راز محرمانه است. در اینجا بسیار ضروری است.

رمزنگاری شامل چندین شاخه از ریاضیات مدرن و همچنین شاخه های خاص فیزیک، الکترونیک رادیویی، ارتباطات و برخی شاخه های مرتبط دیگر است. وظیفه آن این است که با روش های ریاضی پیام مخفی، مکالمه تلفنی یا داده های رایانه ای را که از طریق کانال های ارتباطی منتقل می شود به گونه ای تبدیل کند که برای افراد غیرمجاز کاملاً غیرقابل درک شود. یعنی رمزنگاری باید چنان حفاظتی از اطلاعات سری (یا هر اطلاعات دیگری) ارائه دهد که حتی اگر توسط افراد غیرمجاز رهگیری و با هر وسیله ای با استفاده از سریع ترین رایانه ها و آخرین دستاوردهای علم و فناوری پردازش شود، برای چندین بار رمزگشایی نشود. دهه ها برای چنین تبدیل اطلاعاتی، از ابزارهای رمزگذاری مختلفی استفاده می شود - مانند ابزارهای رمزگذاری اسناد، از جمله موارد قابل حمل، ابزارهای رمزگذاری گفتار (ارتباطات تلفنی و رادیویی)، پیام های تلگراف و انتقال داده ها.

فناوری رمزگذاری عمومی

اطلاعات اولیه ای که از طریق کانال های ارتباطی منتقل می شود می تواند گفتار، داده، سیگنال های ویدئویی باشد که به آن پیام های رمزگذاری نشده P می گویند.

در دستگاه رمزگذاری، پیام P رمزگذاری می شود (به پیام C تبدیل می شود) و از طریق یک کانال ارتباطی "باز" ​​منتقل می شود. در سمت دریافت کننده، پیام C برای بازیابی مقدار اصلی پیام P رمزگشایی می شود.

پارامتری که می تواند برای بازیابی اطلاعات خاص استفاده شود، کلید نامیده می شود.

اگر از همین کلید در فرآیند تبادل اطلاعات برای رمزگذاری و خواندن استفاده شود، چنین فرآیند رمزنگاری متقارن نامیده می شود. عیب اصلی آن این است که قبل از شروع تبادل اطلاعات، باید کلید را انتقال دهید و این نیاز به ارتباط امن دارد.

در حال حاضر، هنگام تبادل داده ها از طریق کانال های ارتباطی، از رمزگذاری نامتقارن رمزنگاری بر اساس استفاده از دو کلید استفاده می شود. اینها الگوریتم های رمزنگاری کلید عمومی جدید هستند که بر اساس استفاده از دو نوع کلید هستند: مخفی (خصوصی) و عمومی.

در رمزنگاری کلید عمومی، حداقل دو کلید وجود دارد که یکی از آنها را نمی توان از روی دیگری محاسبه کرد. اگر با روش های محاسباتی نتوان کلید رمزگشایی را از کلید رمزگذاری به دست آورد، از محرمانه بودن اطلاعات رمزگذاری شده با استفاده از کلید طبقه بندی نشده (عمومی) اطمینان حاصل می شود. با این حال، این کلید باید از تعویض یا تغییر محافظت شود. کلید رمزگشایی نیز باید مخفی باشد و از جایگزینی یا تغییر محافظت شود.

اگر برعکس، دریافت کلید رمزگذاری از کلید رمزگشایی با روش‌های محاسباتی غیرممکن باشد، ممکن است کلید رمزگشایی مخفی نباشد.

کلیدها به گونه ای طراحی شده اند که یک پیام رمزگذاری شده با یک نیمه فقط توسط نیمه دیگر قابل رمزگشایی است. با ایجاد یک جفت کلید، این شرکت به طور گسترده کلید عمومی (عمومی) را توزیع می کند و به طور ایمن از کلید خصوصی (خصوصی) محافظت می کند.

حفاظت از کلید عمومی کاملاً ایمن نیست. با مطالعه الگوریتم ساخت آن، می توانید کلید خصوصی را بازسازی کنید. با این حال، دانش الگوریتم به این معنی نیست که امکان انجام بازسازی کلید در یک چارچوب زمانی قابل قبول وجود دارد. بر این اساس، اصل کفایت حفاظت اطلاعات شکل می گیرد: حفاظت از اطلاعات در صورتی کافی تلقی می شود که هزینه های غلبه بر آن از هزینه مورد انتظار خود اطلاعات بیشتر باشد. این اصل با رمزگذاری نامتقارن داده ها هدایت می شود.

جداسازی توابع رمزگذاری و رمزگشایی با تقسیم اطلاعات اضافی مورد نیاز برای انجام عملیات به دو بخش، یک ایده ارزشمند در پشت رمزنگاری کلید عمومی است.

متخصصان به حفاظت رمزنگاری توجه ویژه ای دارند و آن را قابل اعتمادترین می دانند و برای اطلاعاتی که از طریق یک خط ارتباطی از راه دور منتقل می شود، تنها وسیله محافظت در برابر سرقت است.

برگرفته از کتاب مجله "کامپیوتررا" شماره 25-26 تاریخ 19 تیر 1386 (شماره های 693 و 694) نویسنده مجله کامپیوتررا

شکل قانون: ابزارها و روش ها نویسنده: پاول پروتاسوف در مورد فعالیت های یکی از بزرگترین سازمان های "مبارزه با دزدان دریایی"، NP PPP، من قبلاً در یکی از نشریات خود توقف کرده ام. اما باید به این موضوع برگردیم. واقعیت این است که در مقاله ای که ذکر کردم، چندین مورد ساختم

برگرفته از کتاب مبانی انفورماتیک: کتاب درسی برای دبیرستان ها نویسنده مالینینا لاریسا الکساندرونا

11.2. جهت های اصلی حفاظت از اطلاعات جهت های اصلی حفاظت از اطلاعات عبارتند از حفاظت از اسرار دولتی، تجاری، رسمی، بانکی، داده های شخصی و مالکیت معنوی اسرار دولتی - اطلاعات حفاظت شده توسط دولت در

از کتاب TCP/IP Architecture, Protocols, Implementation (شامل IP نسخه 6 و IP Security) توسط فیث سیدنی ام

6.19 حفاظت و امنیت همه مایلند از ارتباطات خود بیشترین بهره را ببرند، اما یک مدیر شبکه محتاط همیشه اقداماتی را برای محافظت از منابع رایانه در برابر تأثیرات خارجی، در درجه اول از هکرها، انجام می دهد. روترها با

برگرفته از کتاب سازمان یک سیستم یکپارچه امنیت اطلاعات نویسنده گریشینا ناتالیا واسیلیونا

1. ماهیت و وظایف سیستم یکپارچه حفاظت از اطلاعات 1.1. رویکردهای طراحی سیستم های امنیت اطلاعات این عقیده وجود دارد که مشکلات امنیت اطلاعات منحصراً به اطلاعات پردازش شده توسط رایانه مربوط می شود. به نظر می رسد این به دلیل این واقعیت است که

برگرفته از کتاب شبکه لینوکس نویسنده اسمیت رودریک دبلیو.

2. مبانی روش شناختی سیستم یکپارچه حفاظت از اطلاعات 2.1. روش شناسی امنیت اطلاعات به عنوان مبنایی نظری برای یک سیستم یکپارچه امنیت اطلاعات

برگرفته از کتاب نکات کامپیوتری (مجموعه مقالات) نویسنده نویسنده ناشناس

6. مدل سازی فرآیندهای سیستم یکپارچه حفاظت از اطلاعات 6.1. مدل‌سازی مفهوم مدل شی، جایگزینی یک شی است. (اصل) توسط (مدل) دیگر و تثبیت یا مطالعه خواص اصلی با بررسی خواص مدل. جایگزینی با

از کتاب مجله دیجیتال "Computerra" № 125 نویسنده مجله کامپیوتررا

10. مدیریت سیستم یکپارچه حفاظت از اطلاعات 10.1. مفهوم و اهداف مدیریت سیستم های فنی-اجتماعی که نشان دهنده وحدت انسان و فناوری است، همیشه با اهداف خاصی مشخص می شود که افراد برای خود تعیین می کنند و با کمک فنی به آنها دست می یابند.

برگرفته از کتاب Computerra PDA N177 (09.06.2012-15.06.2012) نویسنده مجله کامپیوتررا

حفاظت Rlogind حفاظت برای همه ابزارهایی که دستورات r را اجرا می کنند را می توان در بهترین حالت منسوخ تلقی کرد. و اگر از منظر مقتضیات مدرن به این موضوع بپردازیم، باید پذیرفت که اصلاً حمایتی در آنها وجود ندارد. به طور خاص، کار سرور rlogind

از کتاب سیاست های امنیتی شرکت هنگام کار بر روی اینترنت نویسنده پترنکو سرگئی الکساندرویچ

ویژگی های امنیتی Telnet پس از نمایش پیام اولیه موجود در فایل /etc/issue.net، telnetd کنترل را به /bin/login یا به برنامه مشخص شده با گزینه -L منتقل می کند. برنامه /bin/login ورودهای محلی و راه دور را در حالت متنی ارائه می دهد. او

برگرفته از کتاب امنیت سیستم های اطلاعاتی. آموزش نویسنده پوگونیشوا دینا آلکسیونا

بخش چهارم ابزار حفاظت و مسیریابی

از جعلیات کتاب نویسنده. به گزارش روزنامه USA Today، در سال 1992، در نتیجه چنین اقدامات غیرقانونی با استفاده از رایانه های شخصی، سازمان های آمریکایی در مجموع 882 میلیون دلار خسارت دیدند. می توان فرض کرد که آسیب واقعی بسیار بیشتر بوده است، زیرا بسیاری از سازمان ها به طور قابل درک چنین حوادثی را پنهان می کنند. شکی نیست که این روزها خسارت این گونه اقدامات چندین برابر شده است.

در اغلب موارد، عاملان این کار، کارکنان سازمان ها بودند که به خوبی با برنامه کاری و اقدامات حفاظتی آشنا بودند. این یک بار دیگر خطر تهدیدات داخلی را تایید می کند.

ما قبلا بین استاتیک و یکپارچگی پویا... به منظور نقض یکپارچگی استاتیکیک مهاجم (معمولاً یک کارمند) می تواند:

• داده های نادرست را وارد کنید؛
• برای تغییر داده ها

گاهی اوقات داده های معنی دار تغییر می کند، گاهی اوقات - اطلاعات خدمات. سرصفحه های ایمیل را می توان جعل کرد. نامه به عنوان یک کل می تواند توسط شخصی که رمز عبور فرستنده را می داند جعل شود (نمونه های مربوطه را ارائه کردیم). توجه داشته باشید که مورد دوم حتی زمانی که یکپارچگی با ابزارهای رمزنگاری کنترل می شود امکان پذیر است. اینجاست که تعامل جنبه‌های مختلف امنیت اطلاعات رخ می‌دهد: اگر محرمانگی نقض شود، یکپارچگی ممکن است آسیب ببیند.

صداقت نه تنها با جعل یا تغییر داده ها تهدید می شود، بلکه با امتناع از انجام اقدام نیز تهدید می شود. اگر ابزاری برای اطمینان از "عدم انکار" وجود نداشته باشد، داده های رایانه ای نمی توانند به عنوان مدرک در نظر گرفته شوند.

به طور بالقوه در برابر نقض آسیب پذیر است تمامیتنه فقط داده ها، اما همچنین برنامه ها... تهدیدها یکپارچگی پویاتخلف هستند اتمی بودن معاملات، سفارش مجدد، سرقت، تکثیر داده ها یا معرفی پیام های اضافی (بسته های شبکه و غیره). اقدامات مربوطه در یک محیط شبکه ای را گوش دادن فعال می نامند.

تهدیدهای برتر حریم خصوصی

اطلاعات محرمانه را می توان به اطلاعات موضوعی و خدماتی تقسیم کرد. اطلاعات سرویس (به عنوان مثال، رمزهای عبور کاربر) به یک حوزه موضوعی خاص تعلق ندارد، نقش فنی را در سیستم اطلاعات ایفا می کند، اما افشای آن به ویژه خطرناک است، زیرا مملو از دسترسی غیرمجاز به تمام اطلاعات، از جمله اطلاعات موضوع است.

حتی اگر اطلاعات در رایانه ذخیره شده باشد یا برای استفاده رایانه ای در نظر گرفته شده باشد، تهدیدات محرمانه آن می تواند ماهیت غیر رایانه ای و عموماً غیر فنی باشد.

بسیاری از مردم باید به عنوان کاربران نه یک، بلکه تعدادی از سیستم ها (سرویس های اطلاعاتی) عمل کنند. اگر از رمزهای عبور قابل استفاده مجدد یا سایر اطلاعات محرمانه برای دسترسی به چنین سیستم هایی استفاده شود، به احتمال زیاد این داده ها نه تنها در سر، بلکه در یک نوت بوک یا روی کاغذهایی که کاربر اغلب روی دسکتاپ می گذارد یا گم می کند، ذخیره می شود. و نکته اینجا در بی نظمی افراد نیست، بلکه در نامناسب بودن اولیه طرح رمز عبور است. به خاطر سپردن رمزهای عبور مختلف غیرممکن است. توصیه هایی برای تغییر منظم آنها (در صورت امکان - مکرر) فقط وضعیت را بدتر می کند و مجبور به استفاده از طرح های جایگزین ساده می شود یا حتی سعی می کند موضوع را به دو یا سه رمز عبور آسان برای به خاطر سپردن (و به همان راحتی قابل حدس زدن) کاهش دهد.

دسته آسیب‌پذیری توصیف شده را می‌توان قرار دادن داده‌های محرمانه در محیطی نامید که در آن محافظت لازم را ارائه نمی‌کنند (و اغلب نمی‌توان ارائه کرد). علاوه بر رمزهای عبور ذخیره شده در نوت بوک کاربران، این کلاس شامل انتقال داده های محرمانه به صورت متنی واضح (در مکالمه، نامه، از طریق شبکه) است که امکان رهگیری آنها را فراهم می کند. برای حمله می توان از ابزارهای فنی مختلفی استفاده کرد (شنود یا استراق سمع مکالمات، شنود شبکه غیرفعالو غیره)، اما ایده یکسان است - دسترسی به داده ها در لحظه ای که کمترین محافظت را دارند.

تهدید رهگیری داده ها نه تنها در پیکربندی اولیه IS، بلکه با همه تغییرات بسیار مهم است. نمایشگاه های تجاری یک تهدید بسیار خطرناک است که بسیاری از سازمان ها تجهیزاتی را از شبکه تولید با تمام داده های ذخیره شده روی آنها ارسال می کنند. گذرواژه‌ها یکسان باقی می‌مانند، با دسترسی از راه دور، همچنان در متن واضح منتقل می‌شوند.

مثال دیگری از تغییر: ذخیره داده ها در رسانه پشتیبان. سیستم های کنترل دسترسی پیشرفته برای محافظت از داده ها در رسانه های ذخیره سازی اصلی استفاده می شود. کپی ها اغلب فقط در کمد هستند و بسیاری می توانند به آنها دسترسی داشته باشند.

استراق سمع یک تهدید جدی است و اگر محرمانه بودن واقعاً حیاتی باشد و داده ها از طریق کانال های متعدد منتقل شوند، محافظت از آن می تواند دلهره آور و پرهزینه باشد. ابزارهای فنی رهگیری به خوبی توسعه یافته، در دسترس، آسان برای کار هستند، و هر کسی می تواند آنها را، به عنوان مثال، در یک شبکه کابلی نصب کند، بنابراین این تهدید نه تنها برای ارتباطات خارجی، بلکه برای ارتباطات داخلی نیز وجود دارد.

سرقت سخت افزار نه تنها برای رسانه های پشتیبان، بلکه برای رایانه ها، به ویژه لپ تاپ ها نیز تهدیدی است. لپ تاپ ها اغلب در محل کار یا ماشین بدون مراقبت رها می شوند، گاهی اوقات به سادگی گم می شوند.

تهدیدهای خطرناک غیر فنی برای محرمانگی روش های تأثیر اخلاقی و روانی هستند، مانند بالماسکه- انجام اقدامات تحت پوشش یک فرد دارای اختیار برای دسترسی به داده ها.

تهدیدهای ناخوشایندی که دفاع در برابر آنها دشوار است شامل سوء استفاده از قدرت... در بسیاری از انواع سیستم ها، یک کاربر ممتاز (به عنوان مثال، یک مدیر سیستم) می تواند هر فایل (غیر رمزگذاری نشده) را بخواند، به نامه های هر کاربر دسترسی داشته باشد، و غیره مثال دیگر آسیب در حین سرویس است. به طور معمول، یک مهندس خدمات دسترسی نامحدود به تجهیزات دارد و می تواند مکانیسم های حفاظتی نرم افزار را دور بزند.

روش های حفاظتی

روش های موجود و ابزارهای امنیت اطلاعاتسیستم های کامپیوتری (CS) را می توان به چهار گروه اصلی طبقه بندی کرد:

• روشها و ابزارهای حفاظت سازمانی و قانونی اطلاعات؛
• روشها و ابزارهای مهندسی و حفاظت فنی اطلاعات؛
• روش های رمزنگاری و ابزار حفاظت از اطلاعات؛
• روش ها و ابزارهای نرم افزاری و سخت افزاری حفاظت از اطلاعات.

روشها و ابزارهای حفاظت سازمانی و قانونی اطلاعات

روش ها و ابزارهای حفاظت سازمانی از اطلاعات شامل اقدامات سازمانی، فنی و سازمانی و قانونی است که در فرآیند ایجاد و راه اندازی CS برای اطمینان از حفاظت از اطلاعات انجام می شود. این اقدامات باید در حین ساخت و ساز یا نوسازی محوطه ای که ایستگاه کمپرسور در آن قرار دارد انجام شود. طراحی سیستم، نصب و تنظیم سخت افزار و نرم افزار آن؛ تست و بررسی کارایی ایستگاه کمپرسور.

در این سطح از حفاظت اطلاعات، معاهدات بین المللی، آیین نامه های دولتی، استانداردهای دولتی و مقررات محلی یک سازمان خاص در نظر گرفته می شود.

روشها و وسایل حفاظت فنی و مهندسی

وسایل مهندسی و فنی حفاظت اطلاعات به اجسام فیزیکی، وسایل مکانیکی، الکتریکی و الکترونیکی، عناصر سازه ای ساختمان ها، وسایل اطفاء حریق و سایر وسایلی گفته می شود که:

• حفاظت از قلمرو و محوطه ایستگاه کمپرسور از نفوذ متخلفان؛
• محافظت از سخت افزار و رسانه های ذخیره سازی در برابر سرقت؛
• جلوگیری از امکان نظارت تصویری از راه دور (از خارج از منطقه حفاظت شده) (شنود) کار پرسنل و عملکرد وسایل فنی ایستگاه کمپرسور.
• جلوگیری از امکان رهگیری PEMIN (تابش و تداخل الکترومغناطیسی کاذب) ناشی از ابزار فنی عملیاتی خطوط انتقال داده و CS؛
• سازماندهی دسترسی کارکنان به محل COP؛
• کنترل برنامه کاری پرسنل ایستگاه کمپرسور؛
• کنترل حرکت کارکنان KS در مناطق مختلف تولید؛
• حفاظت از آتش محل ایستگاه کمپرسور؛
• به حداقل رساندن خسارات مادی ناشی از از دست دادن اطلاعات ناشی از بلایای طبیعی و حوادث انسان ساز.

مهمترین مؤلفه ابزارهای مهندسی و فنی حفاظت از اطلاعات، ابزارهای فنی حفاظت هستند که خط اول حفاظت از COP را تشکیل می دهند و شرط لازم، اما ناکافی برای حفظ محرمانه بودن و یکپارچگی اطلاعات در COP هستند.

روش های امنیتی رمزنگاری و رمزگذاری

رمزگذاری ابزار اصلی حفظ محرمانگی است. بنابراین در صورت اطمینان از محرمانه بودن داده ها در رایانه محلی، از رمزگذاری این داده ها و در صورت تعامل شبکه از کانال های انتقال داده رمزگذاری شده استفاده می شود.

علم حفاظت از اطلاعات با استفاده از رمزگذاری نامیده می شود رمزنگاری(کریپتوگرافی در ترجمه به معنای حرف مرموز یا رمزنگاری است).

رمزنگاری استفاده می شود:

• حفاظت از محرمانه بودن اطلاعات ارسال شده از طریق کانال های ارتباطی باز؛
• برای احراز هویت (تأیید صحت) اطلاعات ارسال شده؛
• برای محافظت از اطلاعات محرمانه هنگامی که در رسانه های باز ذخیره می شوند.
• اطمینان از یکپارچگی اطلاعات (محافظت از اطلاعات در برابر تغییرات غیرمجاز) در حین انتقال آن از طریق کانال های ارتباطی باز یا ذخیره سازی در رسانه های باز.
• برای اطمینان از غیرقابل رقابت بودن اطلاعات منتقل شده از طریق شبکه (برای جلوگیری از انکار احتمالی واقعیت ارسال پیام).
• برای محافظت از نرم افزار و سایر منابع اطلاعاتی در برابر استفاده و کپی غیر مجاز.

روش ها و ابزارهای نرم افزاری و سخت افزاری-نرم افزاری تضمین امنیت اطلاعات

سخت افزار امنیت اطلاعات شامل دستگاه های الکترونیکی و الکترونیکی-مکانیکی است که در ابزار فنی CS گنجانده شده و (به طور مستقل یا در یک مجموعه واحد با نرم افزار) برخی از وظایف امنیت اطلاعات را انجام می دهد. معیار طبقه بندی یک دستگاه به عنوان سخت افزار، و نه ابزار مهندسی و فنی حفاظت، گنجاندن اجباری در ترکیب ابزار فنی COP است.

به اصلی سخت افزارحفاظت از اطلاعات عبارتند از:

• دستگاه هایی برای وارد کردن اطلاعات شناسایی کاربر (کارت های مغناطیسی و پلاستیکی، اثر انگشت و غیره)؛
• دستگاه های رمزگذاری اطلاعات؛
• دستگاه هایی برای جلوگیری از روشن شدن غیرمجاز ایستگاه های کاری و سرورها (قفل ها و مسدود کننده های الکترونیکی).

نمونه هایی از سخت افزار امنیت اطلاعات جانبی:

• دستگاه هایی برای از بین بردن اطلاعات در رسانه های مغناطیسی؛
• دستگاه های سیگنال دهی در مورد تلاش برای اقدامات غیرمجاز کاربران CS و غیره.

منظور از نرم افزار امنیت اطلاعات، برنامه های ویژه ای است که در نرم افزار KS منحصراً برای انجام عملکردهای حفاظتی گنجانده شده است. به اصلی نرم افزارحفاظت از اطلاعات عبارتند از:

• برنامه هایی برای شناسایی و احراز هویت کاربران CS؛
• برنامه هایی برای متمایز کردن دسترسی کاربر به منابع COP؛
• برنامه های رمزگذاری اطلاعات؛
• برنامه هایی برای حفاظت از منابع اطلاعاتی (نرم افزارهای سیستمی و کاربردی، پایگاه های داده، وسایل کمک آموزشی کامپیوتری و غیره) در برابر تغییر، استفاده و کپی غیرمجاز.

توجه داشته باشید که شناسایی، در رابطه با تضمین امنیت اطلاعات یک CW، به عنوان یک تشخیص بدون ابهام از نام منحصر به فرد یک موضوع CW درک می شود. احراز هویت به معنای تأیید مطابقت نام ارائه شده با موضوع داده شده است (تأیید هویت موضوع).

نمونه هایی از پشتیبانی نرم افزاریحفاظت از اطلاعات:

• برنامه هایی برای از بین بردن اطلاعات باقی مانده (در بلوک های RAM، فایل های موقت و غیره)؛
• یک برنامه ممیزی (نگهداری گزارش) از رویدادهای مربوط به ایمنی ایستگاه کمپرسور، برای اطمینان از امکان بازیابی و اثبات این واقعیت که این رویدادها رخ داده اند.
• برنامه هایی برای شبیه سازی کار با مجرم (محروم کردن او برای دریافت اطلاعات محرمانه ادعایی).
• برنامه های کنترل آزمایشی سیستم امنیتی و غیره

عواقب

از آنجایی که بالقوه است تهدیدات امنیتیاطلاعات بسیار متنوع هستند، اهداف حفاظت از اطلاعات تنها با ایجاد یک سیستم حفاظت اطلاعات یکپارچه قابل دستیابی است، که به عنوان مجموعه ای از روش ها و وسایل درک می شود که با یک هدف واحد متحد شده و از کارایی لازم حفاظت از اطلاعات در COP اطمینان حاصل می کند.