خورف آناتولی آناتولیویچ،
دکترای علوم فنی، استاد،
موسسه دولتی فناوری الکترونیک مسکو
(دانشگاه فنی)، مسکو

کانال های فنی برای نشت اطلاعات پردازش شده توسط فناوری رایانه.

7. اصطلاحات در زمینه امنیت اطلاعات: کتاب راهنما. M .: VNII Standard، 1993.110 p.

8. حفاظت فنی از اطلاعات. اصطلاحات و تعاریف اساسی: توصیه هایی برای استانداردسازی R 50.1.056-2005: تایید شده است. به دستور Rostekhregulirovanie مورخ 29 دسامبر 2005 شماره 479-st. - معرفی کنید 01-06-2006. - M .: Standartinform, 2006 .-- 16 p.

9. Khorev A.A. امنیت اطلاعات فنی: کتاب درسی. کتابچه راهنمای دانشجویان دانشگاه در 3 جلد V. 1. کانال های فنی نشت اطلاعات. M .: NPTs "Analytica"، 2008. - 436 p.

10. تجهیزات ضد ترور: کاتالوگ.- آلمان: اطلاعات الکترونیکی PKI، 2008. - 116r. + http://www.pki-electronic.com

11. نظارت بر صفحه کلید کامپیوتر: محدوده محصول.- ایتالیا، تورینو، B.E.A. S.r.l.، 2007. -P. 35-37.

12. KeyDevil Keylogger. [منبع الکترونیکی]. - حالت دسترسی: http://www.keydevil.com/secure-purchase.html.

13. کوهن مارکوس جی. انتشارات مخاطره آمیز: خطرات استراق سمع نمایشگرهای رایانه.[منبع الکترونیکی]. - حالت دسترسی: http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-577.html .

14. محصولات امنیتی و نظارتی[منبع الکترونیکی]. - حالت دسترسی: http://endoacustica.com/index_en.htm.

15. کی لاگر کنترل شده بی سیم[منبع الکترونیکی]. - حالت دسترسی:

زیرسیستم مهندسی و فنی حفاظت از اطلاعات در برابر نشت به منظور کاهش خطر (احتمال) انتشار غیرمجاز اطلاعات از منبعی واقع در داخل منطقه کنترل شده به مهاجم تا مقادیر قابل قبول طراحی شده است. برای دستیابی به این هدف، سیستم باید مکانیسم‌هایی (نیروها و ابزارها) برای شناسایی و خنثی کردن تهدیدات شنود، نظارت، شنود و نشت اطلاعات از طریق یک کانال مادی داشته باشد.

مطابق با طبقه بندی روش های مهندسی و حفاظت فنی اطلاعات در نظر گرفته شده در بخش دوم، اساس عملکرد سیستم مهندسی و حفاظت فنی اطلاعات در برابر نشت از روش های مکانی، زمانی، ساختاری و انرژی تشکیل شده است. قایم شدن.

برای اطمینان از پنهان‌سازی فضایی، سیستم باید مکان‌های مخفی برای منابع اطلاعاتی داشته باشد که فقط برای افرادی که مستقیماً با آن کار می‌کنند شناخته می‌شوند. دایره بسیار محدودی از مردم به محل نگهداری اسناد محرمانه دسترسی دارند. سر سازه های خصوصی اغلب از انبارهایی به شکل گاوصندوقی که در دیوار تعبیه شده و با نقاشی پوشانده شده و حتی اتاقی مجزا با دری استتار شده برای نگهداری اسناد ارزشمند استفاده می کنند.

برای اجرای مخفی سازی موقت، سیستم حفاظتی باید مکانیزمی برای تعیین زمان وقوع تهدید داشته باشد. در کل این زمان قابل پیش بینی است اما با خطای زیاد. اما در برخی موارد با دقت کافی مشخص می شود. چنین مواردی شامل زمان است:

§ پرواز بر فراز هدف حفاظت از فضاپیمای شناسایی.

§ عملکرد یک دستگاه رادیو الکترونیکی یا دستگاه الکتریکی به عنوان منبع سیگنال های خطرناک.

§ بودن در اتاق تعیین شده بازدیدکننده.

توانایی تعیین دقیق مکان فضاپیمای شناسایی (SC) در فضای بیرونی امکان سازماندهی محرمانه موقت مؤثر شی محافظت شده را فراهم می کند. این زمان با توجه به پارامترهای مدار فضاپیمای پرتاب شده توسط سرویس ویژه ای محاسبه می شود که سازمان های علاقه مند را از برنامه پرواز خود مطلع می کند. گنجاندن یک دستگاه رادیو الکترونیکی و یک دستگاه الکتریکی که آزمایش خاصی را پشت سر نگذاشته باشد، تهدیدی بالقوه برای اطلاعات گفتاری در اتاقی که این ابزار یا دستگاه در آن نصب شده است ایجاد می کند. بنابراین، گفتگو در مورد مسائل بسته با وسایل و وسایل الکترونیکی رادیویی تست نشده یا محافظت نشده و روشن ممنوع است. همچنین ورود بازدیدکننده به اتاق اختصاص داده شده را باید به منزله بروز خطر نشت اطلاعات تلقی کرد. بنابراین در حضور وی گفتگو و نمایش ابزار و مواد غیر مرتبط با موضوع مسائل حل شده با ویزیتور منتفی است. به منظور جلوگیری از درز اطلاعات از طریق بازدیدکنندگان، مذاکره با آنها، به جز مواردی که در بحث برای نشان دادن کار وجوه ضروری باشد، در اتاق اختصاصی ویژه مذاکرات انجام می شود.

در حداقل فاصله از ایست بازرسی قرار دارد.

ابزارهای پنهان سازی ساختاری و انرژی بسته به تهدیدها به طور قابل توجهی متفاوت هستند. بنابراین، در حالت کلی، توصیه می شود که زیرسیستم حفاظت فنی و مهندسی در برابر نشت اطلاعات به مجموعه هایی تقسیم شود که هر یک از آنها نیروها و ابزارهای جلوگیری از یکی از تهدیدات نشت اطلاعات را با هم ترکیب می کنند (شکل 19.7).

اطلاعات محافظت شده متعلق به و در برابر اسناد قانونی محافظت می شود. هنگام انجام اقداماتی برای محافظت از منابع اطلاعاتی غیر دولتی که اسرار بانکی یا تجاری هستند، الزامات اسناد نظارتی ماهیت مشاوره ای دارند. رژیم های حفاظت اطلاعات برای اسرار غیر دولتی توسط صاحب داده ها ایجاد می شود.

اقدامات برای محافظت از داده های محرمانه از نشت از طریق کانال های فنی یکی از بخش های اقدامات شرکت برای تضمین امنیت اطلاعات است. اقدامات سازمانی برای محافظت از اطلاعات در برابر نشت از طریق کانال های فنی بر اساس تعدادی از توصیه ها هنگام انتخاب مکان هایی است که در آن کار برای حفظ و پردازش اطلاعات محرمانه انجام می شود. همچنین، هنگام انتخاب ابزار فنی حفاظت، ابتدا باید به محصولات گواهی شده اعتماد کنید.

هنگام سازماندهی اقدامات برای محافظت از نشت کانال های اطلاعات فنی در شی محافظت شده، مراحل زیر را می توان در نظر گرفت:

• مقدماتی، پیش پروژه
• طراحی STZI
• مرحله بهره برداری از شی محافظت شده و سیستم حفاظت فنی اطلاعات

مرحله اول شامل آماده سازی برای ایجاد یک سیستم حفاظت فنی از اطلاعات در اشیاء محافظت شده است. هنگام بررسی جریان های احتمالی نشت فنی در تاسیسات، موارد زیر مورد مطالعه قرار می گیرد:

• پلان محوطه مجاور ساختمان در شعاع 300 متر.
• پلان هر طبقه از ساختمان با مطالعه مشخصات دیوارها، پرداخت ها، پنجره ها، درها و ....
• نمودار شماتیک سیستم های زمین برای اشیاء الکترونیکی
• چیدمان ارتباطات کل ساختمان به همراه سیستم تهویه
• پلان برق ساختمان با نمایش تمامی پانل ها و محل ترانسفورماتور
• پلان-نمودار
• نمودار شماتیک اعلام حریق و دزدگیر با نشان دادن تمامی سنسورها

با آموختن نشت اطلاعات به عنوان یک خروج کنترل نشده از داده های محرمانه خارج از مرزهای دایره افراد یا سازمان، اجازه دهید نحوه اجرای چنین نشتی را در نظر بگیریم. در قلب چنین نشت، حذف کنترل نشده داده های محرمانه با استفاده از نور، آکوستیک، الکترومغناطیسی یا میدان های دیگر یا حامل های مواد است. دلایل مختلف نشت هر چه باشد، مشترکات زیادی با هم دارند. به عنوان یک قاعده، دلایل با شکاف در هنجارهای حفظ اطلاعات و نقض این هنجارها همراه است.

اطلاعات را می توان از طریق ماده یا میدانی منتقل کرد. شخص ناقل محسوب نمی شود، او منبع یا موضوع روابط است. شکل 1 ابزار انتقال اطلاعات را نشان می دهد. یک فرد از زمینه های فیزیکی مختلفی که سیستم های ارتباطی را ایجاد می کند، بهره می برد. هر سیستمی دارای اجزایی است: یک منبع، یک فرستنده، یک خط انتقال، یک گیرنده و یک گیرنده. چنین سیستم هایی هر روز مطابق با هدف مورد نظر خود مورد استفاده قرار می گیرند و ابزار رسمی تبادل داده ها هستند. چنین کانال هایی تبادل امن اطلاعات را فراهم و کنترل می کنند. اما کانال هایی نیز وجود دارند که از چشمان کنجکاو پنهان هستند و از طریق آنها می توانند داده هایی را که نباید به اشخاص ثالث منتقل شوند، منتقل کنند. به چنین کانال هایی، کانال های نشتی می گویند. شکل 2 نمودار شماتیک کانال نشتی را نشان می دهد.

تصویر 1

نقاشی - 2

برای ایجاد یک کانال نشت، شرایط زمانی، انرژی و مکانی خاصی مورد نیاز است که دریافت داده ها را در سمت مهاجم تسهیل می کند. کانال های نشتی را می توان به موارد زیر تقسیم کرد:

• آکوستیک
• بصری - نوری
• الکترومغناطیسی
• مواد

کانال های نوری بصری

این کانال ها معمولاً نظارت از راه دور هستند. اطلاعات به عنوان نوری عمل می کند که از منبع اطلاعاتی می آید. طبقه بندی چنین کانال هایی در شکل 3 نشان داده شده است. روش های محافظت در برابر کانال های نشت بصری:

• کاهش ویژگی های بازتابی جسم محافظت شده
• اشیاء را به گونه ای ترتیب دهید که از انعکاس در طرفین مکان احتمالی مهاجم جلوگیری کند
• کاهش نور جسم
• برای گمراه کردن مهاجم از روش‌های پوشاندن و سایر روش‌ها استفاده کنید
• از موانع استفاده کنید

شکل - 3

کانال های آکوستیک

در چنین کانال هایی، حامل صدایی دارد که در محدوده فوق العاده (بیش از 20000 هرتز) قرار دارد. کانال از طریق انتشار یک موج صوتی در تمام جهات تحقق می یابد. به محض وجود مانع در مسیر موج، حالت نوسانی مانع را فعال می کند و صدا از روی مانع قابل خواندن است. صدا در رسانه های مختلف انتشار به روش های مختلفی منتشر می شود. تفاوت ها در شکل 4 نشان داده شده است. شکل 5. نمودار کانال های ارتعاشی و صوتی نشت اطلاعات نشان داده شده است.

شکل - 4

شکل - 5

حفاظت از کانال های صوتی در درجه اول یک اقدام سازمانی است. آنها مستلزم اجرای اقدامات معماری و برنامه ریزی، رژیم و اقدامات فضایی و همچنین اقدامات فعال و غیرفعال سازمانی و فنی هستند. چنین روش هایی در شکل 6 نشان داده شده است. اقدامات معماری و برنامه ریزی الزامات خاصی را در مرحله طراحی ساختمان اجرا می کند. روش های سازمانی و فنی مستلزم اجرای ابزارهای جاذب صدا است. به عنوان مثال می توان به موادی مانند پشم پنبه، فرش، فوم بتن و غیره اشاره کرد. آنها دارای شکاف های متخلخل زیادی هستند که منجر به بازتاب و جذب زیاد امواج صوتی می شود. آنها همچنین از پانل های صوتی هرمتیک ویژه استفاده می کنند. مقدار جذب صوت A با ضرایب جذب صدا و ابعاد سطحی که جذب صوت آن است: A = Σα * S تعیین می شود. مقادیر ضرایب مشخص است، برای مواد متخلخل 0.2 - است. 0.8. برای بتن یا آجر، این 0.01 - 0.03 است. به عنوان مثال، هنگام پردازش دیوارهای α = 0.03 با گچ متخلخل α = 0.3، فشار صدا 10 دسی بل کاهش می یابد.

شکل - 6

سطح سنج صدا برای تعیین دقیق اثربخشی حفاظت عایق صدا استفاده می شود. صدا سنج دستگاهی است که نوسانات فشار صدا را به قرائت تغییر می دهد. طرح کار در شکل 7 نشان داده شده است. گوشی‌های هوشمند الکترونیکی برای ارزیابی ویژگی‌های محافظت از ساختمان‌ها در برابر نشت از طریق کانال‌های ارتعاشی و صوتی استفاده می‌شوند. آنها از طریق کف، دیوار، سیستم گرمایش، سقف و غیره به صدا گوش می دهند. حساسیت گوشی پزشکی در محدوده 0.3 تا 1.5 v / dB. در سطح صدای 34 تا 60 دسی بل، چنین گوشی های طبی می توانند از طریق سازه هایی با ضخامت 1.5 متر گوش دهند. آنها در اطراف محیط اتاق قرار می گیرند تا امواج ارتعاشی خود را بر روی سازه ایجاد کنند.

شکل - 7

کانال های الکترومغناطیسی

برای چنین کانال هایی، حامل دارای امواج الکترومغناطیسی در محدوده 10000 متر (فرکانس) است.< 30 Гц) до волн длиной 1 — 0,1 мм (частота 300 — 3000 Гц). Классификация электромагнитных каналов утечек информации показана на рис.8.

شکل 8

کانال های نشت الکترومغناطیسی شناخته شده ای وجود دارد:

با کمک طراحی و اقدامات فنی، می توان برخی از کانال های نشتی را با استفاده از:

• تضعیف جفت القایی و الکترومغناطیسی بین عناصر
• محافظت از واحدها و عناصر تجهیزات
• فیلتر کردن سیگنال ها در مدارهای برق یا زمین

اقدامات سازمانی برای حذف کانال های نشت الکترومغناطیسی در شکل 9 نشان داده شده است.

شکل - 9

هر واحد الکترونیکی تحت تأثیر یک میدان الکترومغناطیسی با فرکانس بالا تبدیل به یک فرستنده مجدد، یک منبع ثانویه تابش می شود. این تابش درون مدولاسیون نامیده می شود. برای محافظت در برابر چنین کانال نشتی، لازم است از عبور جریان فرکانس بالا از میکروفون جلوگیری شود. این با اتصال یک خازن با ظرفیت 0.01 - 0.05 μF به یک میکروفون به صورت موازی محقق می شود.

کانال های مواد

چنین کانال هایی در حالت جامد، گاز یا مایع ایجاد می شوند. این اغلب ضایعات شرکت است. طبقه بندی کانال های مواد - مواد در شکل 10 نشان داده شده است.

شکل - 10

حفاظت از چنین کانال هایی مجموعه ای از اقدامات برای کنترل انتشار اطلاعات محرمانه در قالب زباله های صنعتی یا تولیدی است.

نتیجه گیری

نشت داده، فرار کنترل نشده اطلاعات از مرزهای فیزیکی یا دایره افراد است. نظارت سیستماتیک برای شناسایی نشت داده ها مورد نیاز است. بومی سازی کانال های نشتی با ابزار سازمانی و فنی اجرا می شود.

پایداری دریافت اطلاعات، ضمنی، پنهان از مالک، شکل بازیابی اطلاعات پردازش شده با ابزارهای فنی، منجر به علاقه بی امان به کانال نشت ناشی از تشعشعات الکترومغناطیسی جانبی و تداخل (PEMIN) همراه با عملکرد این دستگاه شد. تجهیزات.

در زیر شرحی از کانال های نشت، روش و روش های محافظت از اطلاعات در برابر نشت ناشی از PEMIN شرح داده شده است. راه های اجرا و ویژگی های وسایل حفاظت فعال مدرن - مولدهای نویز در نظر گرفته شده است، توصیه هایی برای کاربرد آنها ارائه شده است.

ویژگی های کانال نشت اطلاعات ناشی از PEMIN

محدوده فرکانس تشعشعات الکترومغناطیسی جعلی همراه با سیگنال های اطلاعاتی از واحدهای کیلوهرتز تا گیگاهرتز و بالاتر گسترش می یابد و با فرکانس ساعت ابزار پردازش اطلاعات مورد استفاده (SOI) تعیین می شود. بنابراین، برای یک مانیتور کامپیوتر استاندارد، رهگیری اطلاعات در فرکانس‌هایی تا 50 هارمونیک فرکانس ساعت امکان‌پذیر است و سطح تشعشع که تا ده‌ها دسی‌بل در منطقه نزدیک است، امکان دریافت سیگنال‌ها را در فاصله تا حداکثر می‌دهد. چند صد متر

علاوه بر تابش الکترومغناطیسی، میدان‌های الکتریکی و مغناطیسی اطلاعات شبه استاتیکی در اطراف تجهیزات پردازش اطلاعات وجود دارد که باعث تداخل کابل‌های نزدیک، سیم‌های تلفن، خطوط اعلام حریق، شبکه برق و غیره می‌شود. شدت میدان‌ها در محدوده فرکانس از واحد کیلوهرتز تا ده‌ها مگاهرتز به‌قدری است که دریافت سیگنال‌ها را می‌توان در خارج از منطقه کنترل‌شده (SC) هنگامی که مستقیماً به این خطوط انتقال متصل می‌شود، انجام داد.

روش برای محافظت از اطلاعات در برابر نشت ناشی از PEMIN

بسته به رسانه انتشار سیگنال های اطلاعاتی، دو کانال نشت احتمالی در نظر گرفته می شود: به دلیل خود PEMIN و ارتباط.

با توجه به روش تشکیل، چهار نوع کانال نشتی طبقه بندی می شوند:

کانال تابش الکترومغناطیسی (EMR) که توسط میدان های ناشی از عبور اطلاعات از مدارهای SOI ایجاد می شود.

کانال آنتن های تصادفی (SA) که به دلیل EMF القایی در ارتباطات رسانا ایجاد می شود، از نظر گالوانیکی به SDI متصل نیست و دارای خروجی خارج از منطقه کنترل شده (SC) است.

کانال ارتباطات خروجی، به صورت گالوانیکی به SOI متصل است.

کانال مصرف جریان ناهموار (UCT) که به دلیل مدولاسیون دامنه جریان با تحریک عناصر SDI در طول پردازش اطلاعات ایجاد می شود.

کانال EMP با اندازه منطقه EMP مشخص می شود - فاصله بین SOI و آنتن تجهیزات رهگیری، که فراتر از آن به دلیل کاهش طبیعی سطح سیگنال منتشر شده، دریافت موثر غیرممکن است.

کانال آنتن های تصادفی با اندازه مساحت آنها برای آنتن های تصادفی توده ای (LAC) و آنتن های تصادفی توزیع شده (SAR) مشخص می شود. آنتن های تصادفی یکپارچه شامل هر وسیله فنی است که فراتر از منطقه کنترل شده است. آنتن های تصادفی توزیع شده شامل سیم، کابل، عناصر سازه ای ساختمان و غیره است. فاصله بین SDI و CA، که در آن رهگیری موثر غیرممکن است، اندازه منطقه CA را تعیین می کند.

کانال ارتباطات خروجی با حداکثر مقدار مجاز نسبت قدرت سیگنال اطلاعاتی و تداخل عادی مشخص می شود که در آن دریافت موثر غیرممکن است.

کانال NPT با حداکثر مقدار مجاز نسبت مقدار تغییر در جریان حاصل از منبع در طول پردازش اطلاعات به مقدار متوسط ​​مصرف فعلی مشخص می شود. اگر نسبت مشخص شده از مقدار محدود تجاوز نکند، دریافت موثر از طریق کانال NPT غیرممکن است. در حال حاضر، با توجه به عدم وجود دستگاه های کم سرعت در SVT (محدوده فرکانس این کانال از 0 تا 30 هرتز گرفته شده است)، این کانال از اهمیت کمی برخوردار است.

با در نظر گرفتن موارد فوق، می توان معیاری برای محافظت از SDI در برابر نشت از طریق PEMI و پیکاپ تدوین کرد: SDI محافظت شده در نظر گرفته می شود اگر:

شعاع ناحیه تابش الکترومغناطیسی از حداقل فاصله مجاز از SOI تا مرز SC تجاوز نمی کند.

نسبت توان سیگنال اطلاعاتی تداخل نرمال شده در تمام SA از حداکثر مقدار مجاز در مرز اتصال کوتاه تجاوز نمی کند.

نسبت توان سیگنال اطلاعاتی تداخل عادی در تمام ارتباطات خروجی در مرز اتصال کوتاه از حداکثر مقدار مجاز تجاوز نمی کند.

نسبت مقدار تغییر در جریان "پردازش" به مقدار متوسط ​​جریان مصرفی از شبکه اصلی در مرز اتصال کوتاه از حداکثر مقدار مجاز تجاوز نمی کند.

وظایف اصلی و اصول حفاظت از SVT

برای محافظت از سیگنال های اطلاعاتی SVT از نشت اطلاعات احتمالی، از روش ها و اقدامات زیر استفاده می شود:

سازمانی؛

فنی.

اقدامات فنی برای محافظت از اطلاعات در SVT شامل اقدامات و وسایلی است که بر سطح PEMIN یا سطح نویز الکترومغناطیسی تأثیر می گذارد. به عنوان مثال، محافظ الکترومغناطیسی یک روش موثر برای محافظت از اطلاعات است، اما مستلزم هزینه های اقتصادی قابل توجه و نظارت منظم بر اثربخشی محافظ است. علاوه بر این، محافظ الکترومغناطیسی کامل باعث ناراحتی در کار پرسنل خدمات می شود.

اصلاح CBT می تواند سطح تابش اطلاعات را به میزان قابل توجهی کاهش دهد، اما نمی توان آنها را به طور کامل حذف کرد. در شرایط مدرن، اصلاح تجهیزات SVT به انتخاب اجزای SVT کاهش می یابد، زیرا هیچ پیشرفتی در رایانه های الکترونیکی در فدراسیون روسیه وجود ندارد و مونتاژ رایانه شخصی از اجزای خارجی ساخته شده است. هنگام انتخاب قطعات در شرکت های مونتاژ (مونتاژ قرمز)، به مادربرد، طراحی ساختاری جعبه واحد سیستم (کیس)، کارت گرافیک (کنترل کننده ویدئو)، نوع نمایشگر و غیره توجه می شود.

استتار رادیویی فعال، نویز - استفاده از مولدهای نویز باند پهن.

مولدهای نویز می توانند سخت افزاری و جسمی باشند. وظیفه اصلی هوای پر سر و صدا بالا بردن سطح نویز الکترومغناطیسی و در نتیجه جلوگیری از شنود رادیویی سیگنال های اطلاعاتی SVT است. شاخص شدت تداخل نویز انسدادی (صدا با توزیع نرمال مقادیر لحظه ای دامنه ها) ناحیه نویز R w است. ابزار فنی SVT اگر w> I 2 محافظت می شود.

روش انجام مطالعات ویژه وسایل فنی تجهیزات الکترونیکی

الزامات اساسی برای شرایط اندازه گیری.

شناسایی سیگنال‌های خطرناک از مجموعه کلی سیگنال‌ها و اندازه‌گیری سطح آنها تحت حالت‌های تست سازمان‌یافته ویژه وسایل فنی (TS) انجام می‌شود، که در آن مدت و دامنه پالس‌های اطلاعاتی مانند حالت عملیاتی باقی می‌ماند. اما یک توالی پالس دوره ای در قالب بسته ها استفاده می شود. این نیاز به این دلیل است که در روش پذیرفته شده محاسبه نتایج SI، مقادیر باند جمع اجزای فرکانس و فرکانس ساعت پالس های اطلاعات باید ثابت باشند. در غیر این صورت، محاسبه نتایج غیرممکن می شود.

علاوه بر این، تکرار چرخه ای همان "بسته های" اطلاعات، شناسایی و اندازه گیری مقادیر سیگنال های "خطرناک" را در پس زمینه نویز و تداخل بسیار آسان تر می کند.

تشخیص سیگنال از همه طرف تاسیسات فنی انجام می شود. سیگنال در حالت پیک (شبه پیک) از جهت حداکثر تابش اندازه گیری می شود، جایی که یک سیگنال خطرناک تشخیص داده می شود. برای تشخیص سیگنال های آزمایشی و شناسایی آنها از مجموع مجموعه سیگنال های دریافتی، از این علائم به عنوان همزمانی فرکانس هارمونیک های شناسایی شده و فواصل بین آنها با مقادیر محاسبه شده، دوره و مدت انفجارها، تغییر در استفاده می شود. شکل موج در خروجی گیرنده زمانی که پارامترهای سیگنال تست تغییر می کند و غیره NS.

هنگام اندازه گیری، لازم است:

توضیحات فنی و نمودارهای شماتیک خودرو را مطالعه کنید.

بررسی حالت های احتمالی عملکرد وسیله نقلیه؛

تجهیزات اندازه گیری را برای کار آماده کنید.

اندازه گیری پارامترهای تشعشعات الکترومغناطیسی جعلی و تداخل وسیله نقلیه در تمام حالت های عملکرد آن انجام می شود. اتصال زمین و منبع تغذیه خودرو باید طبق قوانین عملکرد این وسیله نقلیه انجام شود. قبل از شروع اندازه گیری، خودروها از نظر عملکرد مطابق با دستورالعمل های عملیاتی بررسی می شوند.

اتاقی که در آن اندازه گیری پارامترهای میدان سیگنال خطرناک انجام می شود باید دارای اندازه اتاق حداقل 6x6 متر (36 متر مربع) باشد.

در نزدیکی دستگاه فنی اندازه گیری شده (نزدیکتر از 2.5 متر) که در وسط اتاق نصب شده است، نباید اشیاء فلزی حجیم (گاوصندوق، کابینت و غیره) وجود داشته باشد که بتواند تصویر TEM I را مخدوش کند.

کف اتاق می تواند چوبی (پارکت) یا فلزی باشد.

قوانین کاهش میدان در اتاق تایید شده باید با عملکرد استاندارد تضعیف میدان در 2 ... 2.5 متر از وسیله نقلیه در جهت نصب آنتن اندازه گیری مطابقت داشته باشد.

دستگاه فنی بر روی پایه چرخشی با ارتفاع 0.8 ... 1.0 متر نصب می شود ، برق از طریق فیبر محافظ صدا از نوع FP یا نوع دیگر با میرایی حداقل 40 ... تامین می شود. 60 دسی بل

این معادله منطقه به روش تحلیلی گرافیکی یا در رایانه شخصی حل می شود.

سازمان حفاظت از رایانه شخصی در برابر دسترسی غیرمجاز

در حال حاضر، در ارتباط با توسعه سریع فناوری رایانه و ظهور فناوری های اطلاعاتی جدید، جهت جدیدی برای دستیابی به اطلاعات طبقه بندی شده ظاهر شده است که ارتباط نزدیکی با جرایم رایانه ای و دسترسی غیرمجاز (NSD) به اطلاعات محدود شده دارد. توسعه شبکه های کامپیوتری محلی و جهانی منجر به نیاز به بستن دسترسی غیرمجاز به اطلاعات ذخیره شده در سیستم های خودکار شده است.

اهداف حفاظت از اطلاعات عبارتند از: جلوگیری از آسیب، که وقوع آن در نتیجه از دست دادن (سرقت، از دست دادن، تحریف، جعل) اطلاعات در هر یک از مظاهر آن امکان پذیر است.

امروزه هر شرکت مدرن نمی تواند بدون ایجاد یک سیستم قابل اعتماد برای حفاظت از اطلاعات خود، از جمله نه تنها اقدامات سازمانی و نظارتی، بلکه نرم افزار و سخت افزار فنی، سازماندهی کنترل امنیت اطلاعات در طول پردازش، ذخیره سازی و انتقال آن در سیستم های خودکار (AS) با موفقیت کار کند.

عمل سازماندهی حفاظت از اطلاعات در برابر دسترسی غیرمجاز در طول پردازش و ذخیره سازی آن در سیستم های خودکار باید اصول و قوانین زیر را برای تضمین امنیت اطلاعات در نظر بگیرد:

1. انطباق سطح امنیت اطلاعات با مقررات قانونی و الزامات نظارتی برای حفاظت از اطلاعات مشمول حفاظت تحت قوانین فعلی، از جمله. انتخاب کلاس امنیتی نیروگاه هسته ای مطابق با ویژگی های پردازش اطلاعات (فناوری پردازش، شرایط عملیاتی خاص نیروگاه هسته ای) و سطح محرمانه بودن آن.

2. شناسایی اطلاعات محرمانه (محافظت شده) و مستندات آن در قالب فهرستی از اطلاعات مورد حفاظت، اصلاح به موقع آن.

3. مهمترین تصمیمات در مورد حفاظت از اطلاعات باید توسط مدیریت شرکت یا صاحب AU اتخاذ شود.

4. تعیین رویه برای تعیین سطح اقتدار کاربر و همچنین دایره افرادی که این حق را دارند (مدیران امنیت اطلاعات).

5. ایجاد و اجرای قوانین کنترل دسترسی

(PRD)، یعنی مجموعه ای از قوانین حاکم بر حقوق دسترسی افراد دسترسی به اشیا.

6. ایجاد مسئولیت شخصی کاربران برای حفظ سطح امنیت AU در هنگام پردازش اطلاعات محافظت می شود.

7. تضمین امنیت فیزیکی تأسیساتی که NPP حفاظت شده در آن قرار دارد (منطقه، ساختمان ها، اماکن، انبارهای حامل اطلاعات)، با ایجاد پست های مناسب، وسایل فنی حفاظتی یا هر وسیله دیگری که از سرقت رایانه جلوگیری کند یا به طور قابل توجهی مانع شود. فناوری (SVT)، حامل های اطلاعات، و همچنین NSD به SVT و خطوط ارتباطی.

8. سازمان یک سرویس امنیت اطلاعات (افراد مسئول، مدیر IS)، که حامل های اطلاعات، رمز عبور، کلیدها را ثبت، ذخیره و صادر می کند، اطلاعات سرویس ISS NSD (تولید رمزهای عبور، کلیدها، حفظ قوانین کنترل دسترسی) را حفظ می کند. پذیرش نرم افزارهای جدید موجود در صندوق های AS و همچنین کنترل روند فرآیند فن آوری پردازش اطلاعات محرمانه و غیره.

9. کنترل سیستماتیک و عملیاتی سطح امنیتی اطلاعات حفاظت شده مطابق با دستورالعمل های قابل اجرا در مورد امنیت اطلاعات، از جمله. بررسی عملکردهای حفاظتی ابزارهای امنیت اطلاعات

وسایل حفاظت از اطلاعات باید دارای گواهی تایید کننده انطباق آنها با الزامات امنیت اطلاعات باشند.

تجزیه و تحلیل تجربه کار مربوط به پردازش و ذخیره سازی اطلاعات با استفاده از فناوری رایانه، نتیجه گیری و خلاصه لیستی از تهدیدات احتمالی اطلاعات را ممکن کرد. آنها را می توان به طور مشروط به سه نوع تقسیم کرد:

نقض محرمانه بودن اطلاعات؛

نقض یکپارچگی اطلاعات؛

نقض در دسترس بودن اطلاعات.

بر این اساس سامانه ای برای محافظت از سیستم های خودکار و رایانه های شخصی در برابر دسترسی های غیرمجاز در حال ساخت است.

ساخت سیستم حفاظتی

ساخت یک سیستم حفاظتی بر اساس یک مجموعه نرم افزاری و سخت افزاری از ابزار حفاظت اطلاعات در برابر دسترسی غیرمجاز و تعامل آن با نرم افزار و سخت افزار یک کامپیوتر شخصی به طور کلی در شکل 1 نشان داده شده است. 4.13.

برنج. 4.13. ساخت سیستم حفاظتی بر اساس مجموعه سخت افزاری و نرم افزاری

حفاظت از اطلاعات با استفاده از سخت افزار و نرم افزار مجتمع ضد دستکاری مبتنی بر پردازش رویدادهایی است که هنگام دسترسی برنامه های کاربردی یا نرم افزار سیستم (نرم افزار) به منابع رایانه شخصی رخ می دهد. در این حالت، وسایل مجتمع نرم افزار و/یا سخت افزار مربوطه را قطع می کند (درخواست برای انجام عملیات به منابع سخت افزاری و/یا نرم افزاری رایانه شخصی). در صورت وقوع یک رویداد کنترل شده (درخواست وقفه)، درخواست تجزیه و تحلیل می شود و بسته به انطباق با اختیارات موضوع دسترسی (وظیفه برنامه کاربردی او) که توسط مدیر امنیتی RTP تنظیم شده است، پردازش این وقفه ها را مجاز یا ممنوع می کند. .

در حالت کلی، سیستم حفاظتی متشکل از ابزار واقعی حفاظت در برابر بارگذاری غیرمجاز سیستم عامل و ابزار محدود کردن دسترسی به منابع اطلاعاتی است که می‌تواند به صورت مشروط در قالب چهار زیرسیستم امنیت اطلاعات تعاملی نشان داده شود (شکل 4.14).

زیر سیستم کنترل دسترسی

زیرسیستم کنترل دسترسی برای امنیت طراحی شده است. رایانه های شخصی از کاربران غیرمجاز، کنترل دسترسی به اشیاء دسترسی و سازماندهی استفاده مشترک آنها توسط کاربران ثبت شده مطابق با قوانین تعیین شده کنترل دسترسی.

کاربران غیرمجاز به کلیه افرادی گفته می شود که در سیستم ثبت نام نکرده اند (که شناسه شخصی ثبت شده در رایانه شخصی خاصی ندارند). حفاظت DC

برنج. 4.14. زیرسیستم های محافظت از اطلاعات کاربران شخص ثالث با روش های شناسایی (مقایسه شناسه ارائه شده با لیست ثبت شده در رایانه شخصی) و احراز هویت (تأیید اصالت) ارائه می شود که معمولاً با وارد کردن رمز عبور یک رمز عبور انجام می شود. طول معین برای شناسایی کاربران در سیستم های ضد دستکاری بیشتر از شناسه های شخصی مانند Touch Memory (Ibutton) DS 199X استفاده می شود که با قابلیت اطمینان بالا، منحصر به فرد بودن، حافظه پرسرعت، سهولت استفاده، ویژگی های وزن و اندازه قابل قبول و کم متمایز می شوند. قیمت

در مجتمع های حفاظت در برابر دستکاری، دو اصل کنترل دسترسی به منابع حفاظت شده قابل اجرا است: اختیاری و اجباری.

اصل اختیاری کنترل دسترسی به هر کاربر ثبت شده حقوق دسترسی طبق اصل تخصیص ویژگی های دسترسی مشخص شده به هر جفت "موضوع-شی" که در DRP ثبت شده اند، اختصاص می یابد. هنگامی که یک کاربر درخواست دسترسی می کند، یک تفسیر بدون ابهام از قوانین انتقال ایجاد شده ارائه می شود و بسته به سطح اختیارات کاربر، نوع دسترسی درخواستی مجاز یا رد می شود.

این گزینه کنترل دسترسی به هر کاربر سیستم اجازه می دهد تا یک محیط نرم افزاری ایزوله (ISS) ایجاد کند. توانایی اجرای برنامه‌ها را محدود می‌کند و تنها برنامه‌هایی را مجاز می‌داند که برای انجام وظایف رسمی کاربر واقعاً ضروری هستند. بنابراین، کاربر نمی تواند برنامه هایی را که در این لیست گنجانده نشده اند راه اندازی کند.

اصل اجباری کنترل دسترسی اصل کنترل دسترسی به منابع رایانه شخصی (سخت افزار و نرم افزار)،

بر اساس مقایسه سطح محرمانگی اختصاص داده شده به هر منبع و اختیارات یک کاربر ثبت شده خاص برای دسترسی به منابع رایانه شخصی با سطح مشخصی از محرمانگی.

برای سازماندهی کنترل دسترسی اجباری، سطح معینی از دسترسی به اطلاعات محرمانه برای هر کاربر سیستم تعیین می شود و به اصطلاح یک برچسب محرمانه به هر منبع (دایرکتوری ها، فایل ها، سخت افزار) اختصاص می یابد.

در این حالت، تمایز دسترسی به دایرکتوری ها و فایل های محرمانه با مقایسه سطح دسترسی کاربر و برچسب محرمانه بودن منبع و تصمیم گیری در مورد اعطای یا عدم اعطای دسترسی به منبع انجام می شود.

زیر سیستم ثبت و حسابداری

زیرسیستم ثبت و حسابداری برای ثبت در گزارش سیستم، که یک فایل ویژه است که بر روی هارد دیسک رایانه شخصی قرار دارد، از رویدادهای مختلفی که در حین کار رایانه رخ می دهد در نظر گرفته شده است. هنگام ثبت رویدادها در گزارش سیستم، موارد زیر ثبت می شود:

تاریخ و زمان رویداد؛

نام و شناسه کاربری که اقدام ثبت شده را انجام می دهد.

اقدامات کاربر (اطلاعات مربوط به ورود / خروج کاربر به / از سیستم، راه اندازی برنامه، رویدادهای دستکاری، تغییر در اختیارات و غیره). دسترسی به گزارش سیستم فقط برای سرپرست IS (ناظر) امکان پذیر است. رویدادهای ثبت شده در گزارش سیستم توسط مدیر ISS تعیین می شود.

این زیر سیستم همچنین مکانیزمی را برای صفر کردن مناطق آزاد شده حافظه پیاده سازی می کند.

زیرسیستم یکپارچگی

زیرسیستم تضمین یکپارچگی به گونه ای طراحی شده است که تغییرات غیرمجاز (تصادفی و مخرب) نرم افزار و محیط سخت افزار رایانه شخصی، از جمله نرم افزار مجموعه و اطلاعات پردازش شده را حذف کند، در حالی که از رایانه شخصی در برابر باگ های نرم افزاری محافظت می کند. ویروس ها در مجتمع های نرم افزاری و سخت افزاری سیستم های امنیت اطلاعات (PAKSZI) از NSD، این معمولاً اجرا می شود:

بررسی شناسه های منحصر به فرد قطعات سخت افزاری رایانه شخصی؛

بررسی یکپارچگی فایل های سیستمی اختصاص داده شده برای نظارت، از جمله فایل های PAKSZI NSD، برنامه های کاربر و داده ها؛

کنترل مستقیم دسترسی به سیستم عامل، دور زدن وقفه های DOS.

از بین بردن امکان استفاده از رایانه شخصی بدون کنترلر سخت افزاری مجموعه.

مکانیسم ایجاد یک محیط نرم افزار بسته که راه اندازی برنامه های وارداتی را ممنوع می کند، به استثنای دسترسی غیرمجاز به سیستم عامل.

هنگام بررسی یکپارچگی محیط نرم افزار رایانه شخصی، جمع چک فایل ها محاسبه شده و با مقدار مرجع (چک) ذخیره شده در یک منطقه داده خاص مقایسه می شود. این داده ها در هنگام ثبت نام کاربر وارد می شوند و ممکن است در حین کارکرد رایانه شخصی تغییر کنند. مجتمع های محافظت در برابر دستکاری از یک الگوریتم پیچیده برای محاسبه جمع های چک استفاده می کنند - محاسبه مقدار توابع هش آنها، به استثنای این واقعیت که اصلاح فایل شناسایی نشده است.

زیرسیستم حفاظت رمزنگاری

زیرسیستم حفاظت رمزنگاری برای افزایش حفاظت از اطلاعات کاربر ذخیره شده بر روی هارد دیسک رایانه شخصی یا رسانه های قابل جابجایی طراحی شده است. زیرسیستم حفاظت از اطلاعات رمزنگاری به کاربر اجازه می دهد تا داده های خود را با استفاده از کلیدهای جداگانه رمزگذاری / رمزگشایی کند، که معمولاً در یک شناسه TM شخصی ذخیره می شود.

ترکیب یک مجموعه معمولی از حفاظت در برابر دسترسی غیرمجاز

یک مجموعه معمولی برای محافظت از رایانه شخصی در برابر دستکاری شامل سخت افزار و نرم افزار است. سخت افزار شامل یک کنترل کننده سخت افزار، یک اسکراپر و شناسه های کاربری شخصی است.

کنترلر سخت افزاری (شکل 4.15) یک برد (ISA / PCI) است که در یکی از اسلات های توسعه مادربرد رایانه شخصی نصب شده است. کنترل‌کننده سخت‌افزار شامل یک رام با نرم‌افزار، یک رابط برای خواننده اطلاعات و دستگاه‌های اضافی است.

برنج. 4.15. کنترل کننده سخت افزار "Sobol"

رله هایی برای مسدود کردن بارگذاری دستگاه های خارجی (FDD، CD-ROM، SCSI، ZIP، و غیره) می توانند به عنوان دستگاه های اضافی روی کنترل کننده سخت افزار نصب شوند. مولد اعداد تصادفی سخت افزاری؛ حافظه غیر فرار

خواننده اطلاعات دستگاهی است که برای خواندن اطلاعات از یک شناسه شخصی ارائه شده توسط کاربر طراحی شده است. بیشتر اوقات ، در مجتمع های محافظت در برابر دستکاری ، از خوانندگان اطلاعات از شناسه های شخصی مانند حافظه لمسی (Ibutton) DS199X استفاده می شود که دستگاه های تماسی هستند.

کارت خوان های هوشمند تماسی و بدون تماس (Smart Card Reader) و همچنین خوانندگان اطلاعات بیومتریک که امکان شناسایی کاربر با ویژگی های بیومتریک او (اثر انگشت، امضای شخصی و غیره) را فراهم می کند، می توانند به عنوان خواننده اطلاعات استفاده شوند.

شناسه کاربری شخصی یک دستگاه سخت افزاری است که ویژگی های منحصر به فرد و غیرقابل کپی دارد. اغلب از شناسه های نوع حافظه لمسی (Ibutton) در سیستم های ضد دستکاری استفاده می شود که یک مدار الکترونیکی مجهز به باتری و دارای شماره شناسایی منحصر به فرد 64 بیتی است که از نظر فناوری شکل می گیرد. عمر مفید شناسه الکترونیکی اعلام شده توسط سازنده حدود 10 سال است.

علاوه بر شناسه های TM، شناسه کارت هوشمند در سیستم های ضد دستکاری استفاده می شود.

کارت هوشمند یک کارت پلاستیکی است (شکل 4.16)، با یک ریزمدار داخلی که حاوی حافظه قابل بازنویسی غیر فرار است.

برخی از سیستم های ضد دستکاری امکان استفاده از مشخصات بیومتریک کاربر (امضای شخصی، اثر انگشت و غیره) را به عنوان شناسه می دهند. ترکیب نرم افزار برای یک سیستم امنیت اطلاعات معمولی (SIS) از سیستم غیرمجاز در شکل نشان داده شده است. 4.17.

کلیه نرم افزارهای مجموعه حفاظتی ضد دستکاری را می توان به طور مشروط به سه گروه تقسیم کرد.

برنامه‌های حفاظت از سیستم، برنامه‌هایی هستند که عملکردهای محافظت و محدود کردن دسترسی به اطلاعات را انجام می‌دهند. همچنین با استفاده از این گروه از برنامه ها می توانید سیستم حفاظتی را در فرآیند پیکربندی و مدیریت کنید.

لودر ویژه برنامه ای است که بوت قابل اعتماد سیستم عامل پایه را فراهم می کند.

درایور امنیتی ("مانیتور امنیتی") یک برنامه مقیم است که قدرت را کنترل می کند و دسترسی به اطلاعات و منابع سخت افزاری را در زمانی که کاربر روی AS (PC) کار می کند محدود می کند.

برنامه های نصب - مجموعه ای از برنامه ها که فقط برای مدیر سیستم امنیت اطلاعات برای مدیریت عملکرد سیستم امنیت اطلاعات در دسترس است. این مجموعه از برنامه ها به شما امکان می دهد فرآیند منظم نصب و حذف سیستم امنیت اطلاعات را انجام دهید.

برنامه های سیستم شناسایی / احراز هویت مجموعه ای از برنامه ها برای تشکیل و تجزیه و تحلیل ویژگی های فردی کاربر هستند که برای شناسایی / احراز هویت استفاده می شوند. این گروه همچنین شامل برنامه هایی برای ایجاد و مدیریت پایگاه داده کاربران سیستم می باشد.

برنامه آموزشی - به طور کلی، برنامه ای برای جمع آوری و تجزیه و تحلیل ویژگی های فردی کاربر (ترکیب الفبایی از رمز عبور شخصی، امضای شخصی، اثر انگشت) و توسعه یک ویژگی فردی است که در پایگاه داده ثبت می شود.

برنج. 4.17. ترکیب نرم افزار برای یک سیستم امنیت اطلاعات معمولی

پایگاه کاربر شامل شماره های منحصر به فرد شناسه های کاربر ثبت شده در سیستم و همچنین اطلاعات خدمات (حقوق کاربر، محدودیت های زمانی، برچسب های محرمانه و غیره) است.

برنامه شناسایی فرآیند انجام شناسایی کاربر را مدیریت می کند: درخواست ارائه یک شناسه را صادر می کند، اطلاعات را از یک شناسه شخصی می خواند، کاربر را در پایگاه داده کاربر جستجو می کند. اگر کاربر در سیستم ثبت شده باشد، درخواستی به پایگاه داده مشخصات فردی کاربران ایجاد می کند.

پایگاه داده ویژگی های فردی شامل ویژگی های فردی همه کاربران ثبت شده در سیستم است و به درخواست برنامه شناسایی ویژگی های لازم را انتخاب می کند.

برنامه های فناورانه ابزار کمکی برای اطمینان از عملکرد ایمن سیستم حفاظتی هستند که فقط برای مدیر سیستم حفاظتی قابل دسترسی است.

برنامه های بازیابی ایستگاه برای بازیابی عملکرد ایستگاه در صورت خرابی سخت افزار یا نرم افزار طراحی شده اند. این گروه از برنامه ها به شما امکان می دهد محیط کار اصلی کاربر (که قبل از نصب سیستم حفاظتی وجود داشت) را بازیابی کنید و همچنین عملکرد بخش های سخت افزاری و نرم افزاری سیستم حفاظتی را بازیابی کنید.

یکی از ویژگی های مهم برنامه های بازیابی ایستگاه، توانایی حذف سیستم حفاظتی به صورت غیرعادی است، یعنی. بدون استفاده از برنامه نصب، در نتیجه ذخیره سازی و حسابداری این گروه از برنامه ها باید با دقت خاصی انجام شود.

برنامه ثبت سیستم به گونه ای طراحی شده است که تمام رویدادهایی را که در زمان کار کاربر در سیستم حفاظتی رخ می دهد در گزارش سیستم (فایل ویژه) ثبت کند. این برنامه به شما اجازه می دهد تا انتخاب هایی را از گزارش سیستم با توجه به معیارهای مختلف (همه رویدادهای دستکاری، همه رویدادهای ورود کاربر به سیستم و غیره) برای تجزیه و تحلیل بیشتر تشکیل دهید.

دینامیک مجموعه حفاظتی ضد دستکاری

برای اجرای عملکردهای مجتمع ضد دستکاری، مکانیسم های زیر استفاده می شود:

1. مکانیسم محافظت در برابر بارگذاری غیرمجاز سیستم عامل، از جمله شناسایی کاربر توسط یک شناسه منحصر به فرد و احراز هویت صاحب شناسه ارائه شده.

2. مکانیزمی برای قفل کردن صفحه و صفحه کلید در مواردی که می توان به تهدیدات خاصی برای امنیت اطلاعات پی برد.

3. مکانیزمی برای نظارت بر یکپارچگی برنامه ها و داده های حیاتی از نقطه نظر امنیت اطلاعات (مکانیسم حفاظت در برابر تغییرات غیرمجاز).

4. مکانیسم ایجاد سیستم های اطلاعاتی بسته عملکردی با ایجاد یک محیط نرم افزاری ایزوله.

5. مکانیسم تمایز دسترسی به منابع AS، تعیین شده توسط ویژگی های دسترسی، که توسط مدیر سیستم مطابق با هر جفت "دسترسی موضوع و هدف دسترسی" در هنگام ثبت نام کاربران تنظیم می شود.

6. مکانیسم ثبت رویدادهای کنترلی و رویدادهای دستکاری که در حین کار کاربران رخ می دهد.

7. مکانیسم های حفاظتی اضافی.

در مرحله نصب سیستم مقاوم در برابر دستکاری، کنترلر سخت افزاری در اسلات آزاد مادربرد PC نصب شده و نرم افزار بر روی هارد دیسک نصب می شود.

راه اندازی مجتمع شامل ایجاد حقوق کنترل دسترسی و ثبت نام کاربر است. هنگامی که یک کاربر ثبت نام می شود، مدیر سیستم امنیتی حقوق دسترسی او را تعیین می کند: لیستی از برنامه های اجرایی و ماژول هایی که توسط یک کاربر خاص مجاز به اجرا هستند.

در مرحله نصب، لیست هایی از فایل ها نیز تشکیل می شود که یکپارچگی آنها هنگام راه اندازی رایانه توسط این کاربر بررسی می شود. مقادیر محاسبه‌شده توابع هش (جمع‌های چک) این فایل‌ها در قسمت‌های خاصی از حافظه ذخیره می‌شوند (در برخی از سیستم‌ها، آنها به حافظه یک شناسه TM شخصی وارد می‌شوند).

مکانیسم حفاظت در برابر بارگذاری غیرمجاز سیستم عامل با انجام مراحل شناسایی، احراز هویت و کنترل یکپارچگی فایل های محافظت شده قبل از بارگیری سیستم عامل اجرا می شود. این توسط یک رام نصب شده بر روی برد کنترلر سخت افزاری ارائه می شود که در طی فرآیند به اصطلاح ROM-SCAN کنترل می شود. ماهیت این روش به شرح زیر است: در هنگام شروع اولیه، پس از بررسی تجهیزات اصلی، بایوس کامپیوتر شروع به جستجوی رام های خارجی در محدوده C800: 0000 تا EOOO می کند. OOOO با یک مرحله 2K. وجود ROM با وجود کلمه AA55H در کلمه اول بازه بررسی شده نشان داده می شود.اگر این علامت پیدا شد، بایت بعدی شامل طول ROM در صفحات 512 بایتی است. سپس چک مجموع کل رام محاسبه می شود. و در صورت صحت، رویه ای با offset در ROM فراخوانی می شود که معمولاً هنگام مقداردهی اولیه دستگاه های سخت افزاری از این رویه استفاده می شود.

در اکثر مجتمع های حفاظت در برابر دستکاری، این روش برای اجرای فرآیند شناسایی و احراز هویت کاربر طراحی شده است. در صورت خطا (دسترسی ممنوع)، هیچ بازگشتی از رویه رخ نمی دهد، به عنوان مثال. بارگذاری بیشتر رایانه شخصی انجام نخواهد شد.

با کنترلر سخت افزاری نصب شده و نرم افزار نصب شده سیستم ضد دستکاری، کامپیوتر به ترتیب زیر بارگذاری می شود:

1. BIOS کامپیوتر روال استاندارد POST (بررسی سخت افزار اصلی کامپیوتر) را انجام می دهد و پس از اتمام آن به رویه ROM-SCAN می رود که طی آن کنترل توسط سخت افزار کنترل کننده سیستم ضد دستکاری به عهده می گیرد.

2. فرآیند شناسایی کاربر انجام می شود که دعوت نامه ای برای ارائه شناسه شخصی وی بر روی مانیتور رایانه شخصی نمایش داده می شود (در برخی سیستم های امنیتی همزمان با نمایش دعوت نامه شمارش معکوس شروع می شود که این امکان را فراهم می کند تا زمان تلاش برای شناسایی را محدود کنید).

3. اگر کاربر شناسه را ارسال کند، اطلاعات خوانده می شود. در صورت عدم ارائه شناسه، دسترسی به سیستم مسدود می شود.

4. اگر شناسه ارائه شده در سیستم ثبت نشده باشد، پیغام دسترسی ممنوع نمایش داده می شود و بازگشت به بند 2 رخ می دهد.

5. اگر شناسه ارائه شده در سیستم ثبت شده باشد، سیستم به حالت احراز هویت می رود. اکثر سیستم های ضد دستکاری از رمز عبور شخصی برای احراز هویت استفاده می کنند.

6. اگر رمز عبور اشتباه وارد شده باشد به A.2 برمیگردید.

7. اگر رمز عبور به درستی وارد شود، کنترلر سخت افزار کنترل را به رایانه شخصی منتقل می کند و فرآیند عادی بارگذاری سیستم عامل انجام می شود.

اضافه می‌کنیم که بسیاری از سیستم‌ها به شما اجازه می‌دهند در صورت بروز تعداد معینی از خرابی‌ها، تعداد ورودی‌های «نامعتبر» را با راه‌اندازی مجدد محدود کنید.

استحکام رویه شناسایی / احراز هویت به شدت به شناسه های شخصی استفاده شده و الگوریتم های احراز هویت کاربر بستگی دارد. اگر از شناسه TM به عنوان شناسه استفاده شود و روش احراز هویت وارد کردن رمز عبور شخصی باشد، مقاومت آن در برابر شکستن به طول رمز عبور بستگی دارد.

هنگام انجام مراحل کنترل (شناسایی و احراز هویت کاربر، بررسی یکپارچگی)، درایور سیستم ضد دستکاری بارگیری صفحه کلید و سیستم عامل را مسدود می کند. هنگامی که خواننده اطلاعات لمس می شود، شناسه TM ارائه شده در لیست شناسه های ثبت شده در رایانه شخصی جستجو می شود. معمولاً فهرست بر روی دیسک C ذخیره می‌شود. اگر شناسه TM ارائه شده در لیست یافت شود، در برخی از سیستم‌های ضد دستکاری، یکپارچگی فایل‌ها مطابق با فهرستی که برای کاربر مورد نظر جمع‌آوری شده است، کنترل می‌شود.

در این مورد، هنگام بررسی لیست فایل های کاربر از نظر یکپارچگی، تابع هش جمع چک این فایل ها محاسبه شده و با مقدار مرجع (بررسی) خوانده شده از شناسه TM شخصی ارائه شده مقایسه می شود. برای انجام فرآیند احراز هویت، یک حالت ورود رمز عبور به شکل پنهان - به شکل کاراکترهای خاص (به عنوان مثال، نماد - "*") ارائه می شود. این امر از امکان افشای رمز عبور فردی و استفاده از شناسه TM گمشده (دزدیده شده) جلوگیری می کند.

با یک نتیجه مثبت از روش های کنترل فوق، سیستم عامل بارگیری می شود. اگر شناسه ارائه شده توسط کاربر در لیست ثبت نشده باشد یا یکپارچگی فایل های محافظت شده نقض شود، سیستم عامل بارگذاری نمی شود. مداخله مدیر برای ادامه لازم است.

بنابراین، مراحل کنترل: شناسایی، احراز هویت و بررسی یکپارچگی قبل از بارگیری سیستم عامل انجام می شود. در هر مورد دیگر، یعنی. اگر این کاربر حق کار با این رایانه شخصی را نداشته باشد، سیستم عامل بارگیری نمی شود.

هنگام اجرای فایل های پیکربندی CONFIG.SYS و AUTOEXEC.BAT، صفحه کلید قفل می شود و

"مانیتور امنیتی" از سیستم ضد دستکاری، که تنها بر استفاده از منابع مجاز توسط کاربر نظارت می کند.

مکانیسم کنترل یکپارچگی با مقایسه دو بردار برای یک آرایه داده اجرا می شود: مرجع (کنترل) که از قبل در مرحله ثبت نام کاربر توسعه یافته است، و بردار فعلی، یعنی. درست قبل از بررسی توسعه یافته است.

وکتور مرجع (بررسی) بر اساس توابع هش (checksum) فایل های محافظت شده تولید می شود و در یک فایل یا شناسه خاص ذخیره می شود. در مورد اصلاح مجاز فایل های محافظت شده، رویه بازنویسی مقدار جدید تابع هش (جمع چک) فایل های اصلاح شده انجام می شود.

مکانیسم ایجاد یک محیط نرم افزاری ایزوله با استفاده از بخش ساکن "مانیتور امنیتی" سیستم ضد دستکاری اجرا می شود. در حین کار سیستم ضد دستکاری، بخش مقیم "مانیتور امنیتی" فایل های تمام درایورهای بارگذاری شده از فایل CONFIG.SYS را بررسی می کند و کنترل عملیاتی یکپارچگی فایل های اجرایی را قبل از انتقال کنترل به آنها فراهم می کند. این امر محافظت در برابر ویروس های نرم افزاری و نشانک ها را فراهم می کند. در صورت موفقیت آمیز بودن بررسی، کنترل برای دانلود فایل برای اجرا به سیستم عامل منتقل می شود. اگر چک منفی باشد، برنامه شروع نمی شود.

مکانیسم کنترل دسترسی با استفاده از بخش ساکن "مانیتور امنیتی" سیستم ضد دستکاری، که پردازش عملکردهای سیستم عامل را متوقف می کند، اجرا می شود (در اصل، این یک وقفه int 21، و همچنین int 25/26، و int است. 13). منظور از کار این ماژول مقیم این است که وقتی درخواستی از یک برنامه کاربری دریافت می شود، مثلاً برای حذف یک فایل، ابتدا بررسی می کند که آیا کاربر چنین مجوزهایی را دارد یا خیر.

اگر چنین اختیاری وجود داشته باشد، کنترل برای اجرای عملیات به کنترل کننده سیستم عامل عادی منتقل می شود. اگر چنین مرجعی وجود نداشته باشد، خروج خطا شبیه سازی می شود.

قوانین کنترل دسترسی با اختصاص دادن ویژگی های دسترسی به اشیاء دسترسی تنظیم می شوند. ویژگی set به این معنی است که عملیات مشخص شده توسط ویژگی را می توان روی شی داده شده انجام داد.

ویژگی های نصب شده مهمترین بخش PRP کاربر را مشخص می کند.

کارایی سیستم حفاظتی تا حد زیادی به انتخاب صحیح و تنظیم ویژگی ها بستگی دارد. در این راستا، مدیر سیستم امنیتی باید به وضوح بفهمد که انتخاب ویژگی های اختصاص داده شده به اشیایی که کاربر به آنها دسترسی دارد به چه چیزی و چگونه بستگی دارد. حداقل، لازم است اصل کنترل دسترسی با استفاده از ویژگی ها، و همچنین ویژگی های نرم افزاری که کاربر هنگام کار از آن استفاده می کند، مطالعه شود.

نرم افزار سیستم های ضد دستکاری به هر جفت موضوع و شی اجازه می دهد (بخشی از ویژگی های دسترسی مشخص شده یا همه):

برای دیسک ها:

در دسترس بودن و دید منطقی درایو.

ایجاد و حذف فایل ها؛

قابلیت مشاهده فایل؛

اجرای وظایف؛

ارث بری توسط زیرشاخه های ویژگی های دایرکتوری ریشه (با گسترش حقوق وراثت فقط به سطح بعدی یا به تمام سطوح زیر).

برای دایرکتوری ها:

دسترسی (به این کاتالوگ بروید)؛

دید؛

ارث بری توسط زیرشاخه های ویژگی های دایرکتوری (با گسترش حقوق وراثت فقط به سطح بعدی یا به تمام سطوح زیر).

برای محتویات دایرکتوری:

ایجاد و حذف زیر شاخه ها؛

تغییر نام فایل ها و زیر شاخه ها؛

باز کردن فایل برای خواندن و نوشتن؛

ایجاد و حذف فایل ها؛

قابلیت مشاهده فایل؛

برای وظایف:

اجرا.

مکانیسم ثبت رویدادهای کنترلی و رویدادهای دستکاری شامل ابزارهایی برای آشنایی انتخابی با اطلاعات ثبت نام است و همچنین به شما امکان می دهد تمام تلاش ها برای دسترسی و اقدامات کاربران منتخب را هنگام کار روی رایانه شخصی با سیستم حفاظت از دستکاری نصب شده ثبت کنید. در اکثر سیستم های ضد دستکاری، مدیر این امکان را دارد که سطح جزئیات رویدادهای ثبت شده را برای هر کاربر انتخاب کند.

ثبت نام به ترتیب زیر انجام می شود:

مدیر سیستم سطح پرحرفی گزارش را برای هر کاربر تعیین می کند.

برای هر سطح از جزئیات، گزارش پارامترهای ثبت نام کاربر، دسترسی به دستگاه ها، راه اندازی وظایف، تلاش برای نقض PRD، تغییر PRD را منعکس می کند.

برای یک سطح متوسط ​​از جزئیات، گزارش علاوه بر این همه تلاش‌ها برای دسترسی به دیسک‌های محافظت‌شده، دایرکتوری‌ها و فایل‌های فردی و همچنین تلاش‌ها برای تغییر برخی پارامترهای سیستم را نشان می‌دهد.

برای سطح بالایی از جزئیات، گزارش علاوه بر این همه تلاش‌ها برای دسترسی به محتویات کاتالوگ‌های محافظت‌شده را منعکس می‌کند.

برای کاربران انتخاب شده، گزارش تمام تغییرات PRD را منعکس می کند.

علاوه بر این، مکانیزمی برای ثبت اجباری دسترسی به برخی از اشیاء ارائه شده است.

به طور کلی، گزارش سیستم حاوی اطلاعات زیر است:

1. تاریخ و زمان دقیق ثبت نام رویداد.

2. موضوع دسترسی.

3. نوع عملیات.

4. شیء دسترسی. شی دسترسی می تواند یک فایل، دایرکتوری، دیسک باشد. اگر رویداد تغییر در حقوق دسترسی باشد، DRP های به روز شده نمایش داده می شوند.

5. نتیجه رویداد.

6. وظیفه فعلی - برنامه در حال اجرا در ایستگاه در زمان ثبت نام رویداد.

مکانیسم های حفاظتی اضافی در برابر دسترسی غیرمجاز به رایانه های شخصی

مکانیسم های اضافی محافظت در برابر دسترسی غیرمجاز به رایانه های شخصی (AS) امکان افزایش سطح حفاظت از منابع اطلاعاتی را نسبت به سطح اساسی به دست آمده در هنگام استفاده از عملکردهای استاندارد سیستم حفاظتی فراهم می کند. برای افزایش سطح حفاظت از منابع اطلاعاتی، استفاده از مکانیسم های حفاظتی زیر توصیه می شود:

محدود کردن "طول عمر" رمز عبور و حداقل طول آن، به استثنای امکان انتخاب سریع آن در صورتی که کاربر شناسه شخصی خود را گم کند.

استفاده از "محدودیت های زمانی" برای ورود کاربران به سیستم با تعیین فاصله زمانی برای هر کاربر بر اساس روزهای هفته که در آن کار مجاز است.

تنظیم پارامترهای کنترل محافظ صفحه - خالی کردن صفحه پس از یک بازه زمانی از پیش تعیین شده (اگر هیچ اپراتور هیچ اقدامی را در بازه زمانی مشخص انجام نداده باشد). امکان ادامه کار فقط پس از شناسایی مجدد با ارائه یک شناسه کاربر شخصی (یا رمز عبور) ارائه می شود.

تنظیم محدودیت برای هر کاربر بر روی خروجی اطلاعات محافظت شده به رسانه های قابل جداسازی (رسانه های مغناطیسی خارجی، پورت های چاپگرها و دستگاه های ارتباطی و غیره)؛

بررسی دوره ای یکپارچگی فایل های سیستم، از جمله فایل های بخش نرم افزاری سیستم حفاظتی، و همچنین برنامه ها و داده های کاربر.

کنترل مستقیم دسترسی به سیستم عامل، دور زدن وقفه های سیستم عامل، برای حذف امکان عملکرد برنامه های اشکال زدایی و توسعه، و همچنین برنامه های "ویروس".

محرومیت از امکان استفاده از رایانه شخصی در صورت عدم وجود کنترلر سخت افزاری سیستم حفاظتی، برای حذف امکان بارگیری سیستم عامل توسط کاربران با حذف سیستم حفاظتی؛

استفاده از مکانیسم‌هایی برای ایجاد یک محیط نرم‌افزار ایزوله که راه‌اندازی فایل‌های اجرایی از رسانه‌های خارجی یا تعبیه‌شده در سیستم‌عامل را ممنوع می‌کند، و همچنین ورود غیرمجاز کاربران ثبت‌نشده به سیستم‌عامل را حذف می‌کند.

نشان دادن تلاش برای دسترسی غیرمجاز به رایانه شخصی و منابع محافظت شده در زمان واقعی با دادن سیگنال های صوتی، تصویری یا دیگر.

سوالات آزمون برای کار مستقل 1. اقدامات سازمانی که باید برای حفاظت از تاسیسات انجام شود را نام ببرید.

2. هدف از فعالیت های جستجو چیست؟

3. روشهای غیرفعال و فعال حفاظت فنی را نام ببرید.

4. روش های حفاظت از اطلاعات گفتار را فهرست کنید.

5. تفاوت بین عایق صدا و حفاظت ارتعاشی اتاق چیست؟

6. دستگاه های ضبط و میکروفن های رادیویی چگونه خنثی می شوند؟

7. مشخصات دستگاه های حفاظتی تجهیزات پایانه خطوط کم جریان را بیان کنید.

8. راه های حفاظت از خطوط تلفن مشترکین را فهرست کنید.

^ 9. هدف اصلی از سپر کردن چیست؟

h 10. الزامات اساسی برای دستگاه های اتصال به زمین را فهرست کنید.

11. خواص حفاظتی فیلترهای سرکوب کننده صدای شبکه و مولدهای نویز خط برق را با هم مقایسه کنید. زمینه های کاربرد این محصولات را مشخص کنید.

12. اقدامات فنی برای حفاظت از اطلاعات در SVT چیست.

13. معیارهای امنیتی اصلی SVT را فهرست کنید.

14. ترتیب و ویژگی های مطالعات ویژه وسایل فنی EWT.

15. ماهیت روش گرافیکی برای محاسبه شعاع ناحیه I (Z 2) چیست؟

16. هدف اصلی از مجتمع های حفاظت در برابر دسترسی های غیر مجاز.

17. شناسه شخصی چیست؟ از چه نوع شناسه هایی در سیستم های ضد دستکاری استفاده می شود، ویژگی های اصلی شناسه را نام ببرید.

18. سیستم ضد دستکاری تا بارگذاری سیستم عامل چه مراحلی را انجام می دهد؟

19. آنچه در فرآیند احراز هویت انجام می شود. چه نوع فرآیندهای احراز هویت در سیستم های حفاظت از دستکاری استفاده می شود؟

20. چه چیزی قدرت فرآیند شناسایی / احراز هویت را تعیین می کند؟

21. منظور از تعریف حق تمایز دسترسی چیست؟

22. منظور از شیء دسترسی چیست؟

23. اصل اجباری کنترل دسترسی چگونه اجرا می شود؟

24. امکانات کنترل دسترسی شامل چه زیرسیستم هایی می شود؟

25. چه منابع سخت افزاری در ترکیب معمولی سیستم ضد دستکاری گنجانده شده است؟

26. در حین کار کاربر چه پارامترهایی در لاگ سیستم ثبت می شود. چرا گزارش سیستم نگهداری می شود؟

27. چه سیستم های حفاظتی در برابر حملات غیرمجاز می تواند در AU مورد استفاده قرار گیرد و اطلاعاتی را که یک راز دولتی را تشکیل می دهد پردازش کند؟

سوالات:

1. روش ها و وسایل حفاظت در برابر نشت اطلاعات محرمانه از طریق کانال های فنی.

2. ویژگی های نرم افزار و نفوذ ریاضی در شبکه های عمومی.

3. حفاظت از اطلاعات در شبکه های محلی.

ادبیات:

1. Budnikov S.A., Parshin N.V. امنیت اطلاعات سیستم های خودکار: کتاب درسی. راهنما - Voronezh، TsPKS TZI، 2009.

2. Belov E.B. و سایر مبانی امنیت اطلاعات: کتاب درسی. - M .: خط داغ - مخابرات، 2005.

3. Zapechnikov S.V. و سایر امنیت اطلاعات سیستم های باز. بخش اول: کتاب درسی برای دانشگاه ها. - M .: خط داغ - مخابرات، 2006.

4. Malyuk A.A. امنیت اطلاعات: مبانی مفهومی و روش شناختی امنیت اطلاعات: کتاب درسی برای دانشگاه ها. - M .: خط داغ - مخابرات، 2004.

5. Malyuk A.A., Pazizin S.V., Pogozhin N.S. مقدمه ای بر امنیت اطلاعات در سیستم های خودکار: کتاب درسی برای دانشگاه ها. - M .: خط داغ - مخابرات، 2004.

6. Khorev A.A. حفاظت از اطلاعات در برابر نشت از طریق کانال های فنی. - آموزش. کمک هزینه - M .: وزارت دفاع فدراسیون روسیه، 2006.

7. قانون فدراسیون روسیه مورخ 28.12.2010 شماره 390 "در مورد امنیت".

8. قانون فدرال 2006/07/27 شماره 149-FZ "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات".

9. فرمان رئیس جمهور فدراسیون روسیه در 6 مارس 1997 شماره 188 "در مورد تایید فهرست اطلاعات محرمانه".

منابع اینترنتی:

1.http: //ict.edu.ru

1. روش ها و وسایل حفاظت در برابر نشت اطلاعات محرمانه از طریق کانال های فنی

حفاظت از اطلاعات در برابر نشت از طریق کانال های فنی مجموعه ای از اقدامات سازمانی، سازمانی، فنی و فنی است که خروج کنترل نشده اطلاعات محرمانه خارج از محدوده تحت کنترل را حذف یا تضعیف می کند.

1.1. محافظت از اطلاعات در برابر نشت از طریق کانال های بصری-نوری

به منظور محافظت از اطلاعات در برابر نشت از طریق کانال بصری - نوری، توصیه می شود:

· اشیاء حفاظتی را طوری ترتیب دهید که انعکاس نور را در جهت مکان احتمالی مهاجم (انعکاس فضایی) حذف کند.

· برای کاهش خواص بازتابی جسم محافظت شده.

· برای کاهش روشنایی جسم حفاظتی (محدودیت های انرژی).

· از وسایلی برای مسدود کردن یا تضعیف قابل توجه نور بازتاب شده استفاده کنید: صفحه نمایش، صفحه نمایش، پرده، کرکره، شیشه تاریک و سایر محیط های بازدارنده، موانع.

استفاده از وسایل استتار، تقلید و غیره به منظور محافظت و گمراه کردن مهاجم.

· از وسایل حفاظت غیر فعال و فعال منبع در برابر انتشار کنترل نشده نور بازتابی یا ساطع شده و سایر تشعشعات استفاده کنید.

· برای انجام ماسک کردن اشیاء حفاظتی، تغییر خواص بازتابی و کنتراست پس زمینه.

· امکان استفاده از وسایل پوشاننده برای پنهان کردن اجسام به صورت پرده های آئروسل و شبکه های پوششی، رنگ ها، پناهگاه ها وجود دارد.

1.2. حفاظت اطلاعات در برابر نشت از طریق کانال های صوتی

اقدامات اصلی در این نوع حفاظت، اقدامات سازمانی و سازمانی و فنی است.

اقدامات سازمانی شامل اجرای برنامه ریزی معماری، فعالیت های فضایی و رژیمی است. برنامه ریزی معماریاین اقدامات، تحمیل الزامات خاصی را در مرحله طراحی ساختمان ها و اماکن یا بازسازی و انطباق آنها به منظور حذف یا تضعیف انتشار کنترل نشده میدان های صوتی به طور مستقیم در فضای هوایی یا سازه های ساختمانی در قالب 1/10 از صدای ساختاری

فضاییالزامات ممکن است شامل انتخاب مکان محل در طرح فضایی و تجهیزات آنها با عناصر لازم برای ایمنی صوتی باشد، به استثنای انتشار مستقیم یا منعکس شده صدا در جهت مکان احتمالی مزاحم. برای این منظور، درها مجهز به دهلیز، پنجره ها به سمت قلمرو محافظت شده (کنترل شده) از حضور افراد غیر مجاز و غیره است.

اقدامات رژیمنظارت دقیق بر اقامت کارکنان و بازدیدکنندگان در منطقه تحت کنترل را فراهم کنید.

اقدامات سازمانی و فنی پیشنهاد می دهد منفعل(عایق صدا، جذب صدا) و فعالفعالیت های (کاهش صدا).

استفاده و اقدامات فنی از طریق استفاده از ابزارهای امن خاص برای انجام مذاکرات محرمانه (سیستم های صوتی امن).

برای تعیین اثربخشی حفاظت هنگام استفاده از عایق صدا، از سنج های سطح صدا استفاده می شود - ابزار اندازه گیری که نوسانات فشار صدا را به قرائت های مربوط به سطح فشار صدا تبدیل می کند.

در مواردی که اقدامات غیرفعال سطح ایمنی لازم را فراهم نمی کند، از وسایل فعال استفاده می شود. ابزارهای فعال عبارتند از مولدهای نویز - دستگاه های فنی که سیگنال های الکترونیکی نویز مانند تولید می کنند. این سیگنال ها به مبدل های صوتی یا ارتعاشی مناسب تغذیه می شوند. سنسورهای آکوستیک برای ایجاد نویز صوتی در اتاق ها یا خارج از آنها طراحی شده اند و سنسورهای ارتعاش برای پوشاندن نویز در پوشش های ساختمان طراحی شده اند.

بنابراین، حفاظت در برابر نشت از طریق کانال های صوتی اجرا می شود:

· استفاده از روکش های جاذب صدا، دهلیزهای اضافی ویژه درگاه ها، قاب های دو پنجره.

· استفاده از وسایل آلودگی صوتی حجم ها و سطوح.

· بستن کانال های تهویه، سیستم های ورود به محل گرمایش، منبع تغذیه، تلفن و ارتباطات رادیویی.

· استفاده از اماکن ویژه گواهی شده، به استثنای ظهور کانال های نشت اطلاعات.

1.3. حفاظت از اطلاعات در برابر نشت از طریق کانال های الکترومغناطیسی

برای محافظت از اطلاعات در برابر نشت از طریق کانال های الکترومغناطیسی، از هر دو روش کلی محافظت در برابر نشت و همچنین روش های خاص متمرکز بر کانال های الکترومغناطیسی شناخته شده نشت اطلاعات استفاده می شود. علاوه بر این، اقدامات حفاظتی را می توان به راه حل های طراحی و فن آوری با هدف از بین بردن احتمال وقوع چنین کانال هایی، و عملیاتی، مرتبط با اطمینان از شرایط استفاده از وسایل فنی خاص در شرایط تولید و کار طبقه بندی کرد.

فعالیت های طراحی و فناوری برای بومی سازی امکان شکل گیری شرایط برای ظهور کانال های نشت اطلاعات به دلیل تشعشعات الکترومغناطیسی جانبی و تداخل (PEMIN) در ابزارهای فنی پردازش و انتقال اطلاعات به طراحی منطقی و راه حل های فن آوری کاهش می یابد که عبارتند از:

· محافظت از عناصر و واحدهای تجهیزات.

· تضعیف جفت الکترومغناطیسی، خازنی، القایی بین عناصر و سیم های حامل جریان.

· فیلتر کردن سیگنال ها در مدارهای برق و زمین و سایر اقدامات مربوط به استفاده از محدود کننده ها، مدارهای جداسازی، سیستم های جبران متقابل، تضعیف کننده ها برای تضعیف یا تخریب PEMIN.

شماتیک و روش های طراحی حفاظت اطلاعات:

· محافظ

· زمین.

· فیلتراسیون.

· تبادل.

فیلترها برای مقاصد مختلف برای سرکوب یا تضعیف سیگنال ها در هنگام ظهور یا انتشار و همچنین برای محافظت از سیستم های قدرت برای تجهیزات پردازش اطلاعات استفاده می شوند.

اقدامات عملیاتی تمرکز بر انتخاب مکان‌ها برای نصب تجهیزات فنی، با در نظر گرفتن ویژگی‌های میدان‌های الکترومغناطیسی آنها به گونه‌ای که خروج آنها از منطقه تحت کنترل را حذف کند. برای این منظور، می توان حفاظت از اماکنی را که در آن تأسیسات با سطح بالای PEMI قرار دارد، انجام داد.

اقدامات سازمانی حفاظت از اطلاعات در برابر نشت ناشی از تشعشعات الکترومغناطیسی:

1. ممنوعیت

1.1. حذف تشعشعات

1.2. استفاده از اتاق های محافظ

2. کاهش در دسترس بودن

2.1. گسترش منطقه تحت کنترل

2.2. کاهش فاصله انتشار:

کاهش قدرت

کاهش ارتفاع

2.3. استفاده از جهت گیری فضایی:

انتخاب مکان های امن

جهت گیری ایمن لوب اصلی الگو

استفاده از آنتن های بسیار جهت دار

سرکوب لوب های جانبی و پشتی DN

2.4. انتخاب حالت های عملیاتی:

زمان اجرا کوتاه تر

استفاده از حالت های عملیاتی شناخته شده

استفاده از روش های محاسباتی

1.4. محافظت از اطلاعات در برابر نشت از طریق کانال های مواد

تدابیر امنیتی این کانال نیاز به نظر خاصی ندارد.

در پایان، لازم به ذکر است که هنگام محافظت از اطلاعات در برابر نشت برای هر یک از موارد در نظر گرفته شده، توصیه می شود به ترتیب اقدامات زیر پایبند باشید:

1. شناسایی کانال های نشت احتمالی.

2. تشخیص کانال های واقعی.

3. ارزیابی خطر کانال های واقعی.

4. بومی سازی کانال های خطرناک نشت اطلاعات.

5. کنترل سیستماتیک بر در دسترس بودن کانال ها و کیفیت حفاظت از آنها.

2. ویژگی های نرم افزار و نفوذ ریاضی در شبکه های عمومی

تاثیر برنامه-ریاضی - این تأثیر بر روی اطلاعات محافظت شده با کمک برنامه های مخرب است.

برنامه مخرب - برنامه ای طراحی شده برای اجرای دسترسی غیرمجاز به اطلاعات و (یا) تأثیر بر اطلاعات یا منابع سیستم اطلاعاتی. به عبارت دیگر، مجموعه ای مستقل از دستورالعمل ها را یک برنامه مخرب می نامند که قادر به انجام موارد زیر است:

· حضور خود را در رایانه پنهان کنید.

· توانایی خود تخریبی، پنهان کردن خود را به عنوان برنامه های قانونی و کپی کردن خود در مناطق دیگر RAM یا حافظه خارجی دارند.

· تغییر (از بین بردن، تحریف) کد برنامه های دیگر.

به طور مستقل اجرا کنید عملکردهای مخرب- کپی، اصلاح، تخریب، مسدود کردن و غیره

· منحرف کردن، مسدود کردن یا جایگزینی نمایش داده شده در کانال خارجیارتباط یا به یک رسانه ذخیره سازی خارجی.

راه های اصلی ورود بد افزاردر IS، به ویژه، در رایانه، تعامل شبکه و رسانه های قابل جابجایی (درایوهای فلش، دیسک ها و غیره) وجود دارد. در این مورد، معرفی به سیستم می تواند تصادفی باشد.

انواع اصلی بد افزار هستند:

• نشانک های نرم افزار؛
• ویروس های نرم افزاری؛
• کرم های شبکه;
• سایر برنامه های مخرب طراحی شده برای انجام حملات غیرمجاز.

به نشانک های برنامه شامل برنامه ها و قطعاتی از کد برنامه است که برای ایجاد قابلیت های اعلام نشده نرم افزار قانونی در نظر گرفته شده است.

قابلیت های نرم افزاری اعلام نشده- عملکرد نرم افزار در مستندات توضیح داده نشده است. یک تب نرم افزار اغلب به عنوان مجرای برای سایر ویروس ها عمل می کند و به عنوان یک قاعده، توسط کنترل های ضد ویروس استاندارد شناسایی نمی شود.

نشانک های نرم افزار بسته به روش اجرای آنها در سیستم متمایز می شوند:

• نرم افزار و سخت افزار. اینها نشانکهایی هستند که در سیستم عامل رایانه شخصی ادغام شده اند ( BIOS، سیستم عامل تجهیزات جانبی)؛
• قابل بوت شدن اینها برگه هایی هستند که در برنامه های بوت (بوت لودرها) واقع در بخش های بوت ادغام می شوند.
• راننده. اینها نشانکهایی هستند که در درایورها یکپارچه شده اند (فایلهای مورد نیاز سیستم عامل برای مدیریت دستگاههای جانبی متصل به رایانه).
• کاربردی. اینها نشانک هایی هستند که در نرم افزار کاربردی (ویرایشگرهای متن، ویرایشگرهای گرافیکی، ابزارهای مختلف و غیره) یکپارچه شده اند.
• قابل اجرا اینها نشانک هایی هستند که در ماژول های برنامه اجرایی ادغام شده اند. ماژول های نرم افزار اغلب فایل های دسته ای هستند.
• نشانک های شبیه ساز اینها نشانک هایی هستند که با استفاده از یک رابط مشابه، برنامه هایی را تقلید می کنند که از شما می خواهند اطلاعات محرمانه را وارد کنید.

برای شناسایی اشکالات نرم افزار، اغلب از یک رویکرد کیفی استفاده می شود که شامل مشاهده عملکرد سیستم است، یعنی:

• کاهش عملکرد؛
• تغییر ترکیب و طول فایل ها؛
• مسدود کردن جزئی یا کامل سیستم و اجزای آن؛
• تقلید از نقص فیزیکی (سخت افزاری) امکانات محاسباتی و دستگاه های جانبی؛
• ارسال پیام؛
• دور زدن نرم افزار و سخت افزار برای تبدیل اطلاعات رمزنگاری شده؛
• امکان دسترسی به سیستم از دستگاه های غیرمجاز.

همچنین روش های تشخیصی برای تشخیص نشانک ها وجود دارد. بنابراین، به عنوان مثال، آنتی ویروس ها با موفقیت نشانک های بوت را پیدا می کنند. Disk Doctor، که بخشی از مجموعه نرم افزارهای محبوب Norton Utilities است، به خوبی کار می کند تا خطای استاتیک را روی دیسک ها ایجاد کند. رایج ترین نشانک نرم افزار اسب تروجان است.

اسب تروا به نام:

• برنامه ای که به عنوان بخشی از برنامه دیگری با عملکردهای شناخته شده برای کاربر، قادر است به طور مخفیانه برخی اقدامات اضافی را انجام دهد تا آسیب خاصی به او وارد کند.
• برنامه ای با توابع شناخته شده برای کاربر، که در آن تغییراتی ایجاد شده است تا علاوه بر این توابع، بتواند به صورت مخفیانه برخی اقدامات (مخرب) دیگر را نیز انجام دهد.

انواع اصلی تروجان ها و قابلیت های آنها:

• Trojan-Notifier- اطلاع از یک حمله موفقیت آمیز. تروجان هایی از این نوع طراحی شده اند تا "صاحب" خود را در مورد رایانه آلوده مطلع کنند. در این حالت، اطلاعات مربوط به رایانه به آدرس "میزبان" ارسال می شود، به عنوان مثال، آدرس IP کامپیوتر، شماره پورت باز، آدرس ایمیل و غیره.
• Trojan-PSW- سرقت رمزهای عبور آنها داده های محرمانه را از یک رایانه می دزدند و از طریق ایمیل به صاحب آن منتقل می کنند.
• Trojan-Clicker- کلیک کننده های اینترنتی - خانواده ای از تروجان ها که وظیفه اصلی آنها سازماندهی دسترسی غیرمجاز به منابع اینترنتی (معمولاً به صفحات وب) است. روش‌ها برای این کار متفاوت است، مانند تنظیم صفحه مخرب به عنوان صفحه اصلی در مرورگر.
• Trojan-DDoS – تروجان-DDoSکامپیوتر آلوده را به یک ربات تبدیل می کند که برای سازماندهی حملاتی که دسترسی به یک سایت خاص را ممنوع می کند، استفاده می شود. علاوه بر این، مالک سایت ملزم به پرداخت پول برای جلوگیری از حمله است.
• Trojan-Proxy- تروجان سرورهای پروکسی... خانواده ای از تروجان ها که مخفیانه انجام می دهند دسترسی ناشناسبه منابع مختلف اینترنتی معمولا برای ارسال هرزنامه استفاده می شود.
• Trojan-Spy- نرم افزارهای جاسوسی آنها می توانند تمام اقدامات شما را در رایانه آلوده ردیابی کنند و داده ها را به صاحب آنها منتقل کنند. این داده ها ممکن است شامل گذرواژه ها، فایل های صوتی و تصویری از میکروفون و دوربین فیلمبرداری متصل به رایانه باشد.
• درب پشتی- قابلیت کنترل از راه دور کامپیوتر آلوده. امکانات آن بی پایان است، کل رایانه شما در اختیار صاحب برنامه خواهد بود. او قادر خواهد بود از طرف شما پیام ارسال کند، با تمام اطلاعات موجود در رایانه آشنا شود یا به سادگی سیستم و داده ها را بدون اطلاع شما از بین ببرد.
• Trojan-Dropper- نصب کننده سایر برنامه های مخرب. بسیار شبیه به تروجان-Downloader، اما برنامه های مخربی را که خودشان دارند نصب می کنند.
• روت کیت- می توانند با جایگزینی اشیاء مختلف با خود در سیستم پنهان شوند. چنین تروجان هایی بسیار ناخوشایند هستند، زیرا می توانند کد منبع سیستم عامل را با کد برنامه خود جایگزین کنند، که از آنتی ویروستوانایی تشخیص وجود ویروس

مطلقاً همه نشانک‌های نرم‌افزاری، صرف‌نظر از روش ورود آنها به سیستم رایانه، مدت اقامت آنها در RAM و هدف آنها، یک چیز مشترک دارند: اجرای اجباری عملیات نوشتن در حافظه عامل یا خارجی سیستم. در صورت عدم وجود این عملیات، نشانک برنامه نمی تواند تأثیر منفی داشته باشد.

ویروس (کامپیوتر، نرم افزار) - یک کد برنامه اجرایی یا مجموعه ای از دستورالعمل های تفسیر شده با ویژگی های توزیع غیرمجاز و بازتولید خود. نسخه های تکراری ایجاد شده از یک ویروس کامپیوتری همیشه با نسخه اصلی منطبق نیست، اما توانایی انتشار و تکثیر بیشتر خود را حفظ می کند. بدین ترتیب، ویژگی اجباری یک ویروس نرم افزاری توانایی ایجاد کپی از خود است و آنها را در شبکه های کامپیوتری و / یا فایل ها، مناطق سیستم کامپیوتری و سایر اشیاء اجرایی جاسازی کنید. در عین حال، موارد تکراری قابلیت توزیع بیشتر را حفظ می کنند.

چرخه زندگی یک ویروس شامل مراحل زیر است:

• نفوذ کامپیوتر
• فعال سازی ویروس
• جستجو برای اشیاء آلوده
• تهیه نسخه های ویروسی
• تزریق کپی ویروسی

طبقه بندی ویروس ها و کرم های شبکه در شکل 1 نشان داده شده است.

عکس. 1. طبقه بندی ویروس ها و کرم های شبکه

کد ویروس نوع بوت به شما امکان می دهد کنترل رایانه را در مرحله اولیه سازی، حتی قبل از راه اندازی خود سیستم، در دست بگیرید. ویروس ها را بوت کنید خود را یا در بخش بوت یا به بخش حاوی بوت لودر هارد بنویسند یا نشانگر را به بخش راه‌انداز فعال تغییر دهند. اصل عملکرد ویروس های بوت بر اساس الگوریتم های راه اندازی سیستم عامل هنگام روشن یا راه اندازی مجدد رایانه است: پس از آزمایش های لازم تجهیزات نصب شده (حافظه، دیسک و غیره)، برنامه بوت سیستم اولین بخش فیزیکی را می خواند. دیسک بوت و کنترل را به A:، C: یا CD -ROM منتقل می کند، بسته به پارامترهای تنظیم شده در تنظیمات بایوس.

در مورد فلاپی دیسک یا دیسک CD، کنترل به بخش بوت دیسک داده می شود که جدول پارامتر دیسک را تجزیه و تحلیل می کند (VRB - بلوک پارامتر BIOS)، آدرس فایل های سیستم عامل را محاسبه می کند، آنها را در حافظه می خواند و برای اجرا اجرا می کند. فایل‌های سیستم معمولاً MSDOS.SYS و IO.SYS یا IBMDOS.COM و IBMBIO.COM یا موارد دیگر بسته به نسخه DOS و/یا ویندوز یا سایر سیستم‌عامل‌های نصب شده هستند. اگر هیچ فایل سیستم عاملی روی دیسک بوت وجود نداشته باشد، برنامه ای که در بخش بوت دیسک قرار دارد یک پیغام خطا نشان می دهد و پیشنهاد می کند دیسک بوت را جایگزین کند.

در مورد هارد دیسک، برنامه واقع در MBR هارد دیسک کنترل می شود. جدول پارتیشن دیسک را تجزیه و تحلیل می کند، آدرس بخش بوت فعال را محاسبه می کند (معمولا این بخش بخش بوت درایو C :) است، آن را در حافظه بارگذاری می کند و کنترل را به آن منتقل می کند. پس از دریافت کنترل، بخش بوت فعال هارد دیسک همان اقداماتی را انجام می دهد که بخش بوت فلاپی دیسک.

هنگامی که دیسک ها را آلوده می کنند، ویروس های بوت کد خود را جایگزین هر برنامه ای می کنند که در هنگام راه اندازی سیستم کنترل می شود. بنابراین، اصل آلودگی در تمام روش‌هایی که در بالا توضیح داده شد یکسان است: ویروس سیستم را مجبور می‌کند تا هنگام راه‌اندازی مجدد آن را در حافظه بخواند و کنترل را نه به کد بوت لودر اصلی، بلکه به کد ویروس بدهد.

مثال: بدافزار Virus.Boot.Snow.a کد خود را در MBR یک هارد دیسک یا بخش های بوت فلاپی دیسک می نویسد. در این حالت، بخش های اصلی بوت توسط ویروس رمزگذاری می شوند. پس از به دست آوردن کنترل، ویروس در حافظه کامپیوتر (محل اقامت) باقی می ماند و وقفه ها را قطع می کند. گاهی اوقات ویروس خود را به عنوان یک اثر بصری نشان می دهد - برف شروع به باریدن روی صفحه رایانه می کند.

ویروس های فایل - ویروس هایی که مستقیماً فایل ها را آلوده می کنند. بسته به محیطی که ویروس در آن پخش می شود، ویروس های فایل را می توان به سه گروه تقسیم کرد:

1. ویروس های فایل - به طور مستقیم با منابع سیستم عامل کار کنید. مثال: یکی از معروف ترین ویروس ها "چرنوبیل" نام داشت. ویروس به دلیل حجم کم (1 کیلوبایت) فایل های PE را به گونه ای آلوده کرد که اندازه آنها تغییر نکرد. برای دستیابی به این اثر، ویروس فایل‌ها را برای بخش‌های «خالی» جستجو می‌کند که به دلیل هم‌ترازی ابتدای هر بخش از فایل با مقادیر متعدد بایت ظاهر می‌شوند. پس از به دست آوردن کنترل، ویروس IFS API را رهگیری می کند، بر تماس های تابع دسترسی به فایل نظارت می کند و فایل های اجرایی را آلوده می کند. در 26 آوریل، عملکرد مخرب ویروس فعال می شود، که شامل پاک کردن بایوس فلش و بخش های اولیه هارد دیسک است. نتیجه این است که کامپیوتر به هیچ وجه بوت نمی شود (در صورت تلاش موفقیت آمیز برای پاک کردن بایوس فلش) یا از دست دادن اطلاعات در تمام هارد دیسک های کامپیوتر.

2. ویروس‌های ماکرو - ویروس‌هایی که به زبان‌های ماکرو نوشته شده‌اند، در برخی از سیستم‌های پردازش داده (ویرایشگرهای متن، صفحات گسترده و غیره) ساخته شده‌اند. رایج ترین ویروس ها برای برنامه های مایکروسافت آفیس هستند. برای تولید مثل خود، چنین ویروس هایی از قابلیت های زبان های ماکرو استفاده می کنند و با کمک آنها خود (کپی های آنها) را از یک سند به سند دیگر منتقل می کنند.

برای اینکه یک ویروس ماکرو در یک ویرایشگر خاص وجود داشته باشد، زبان ماکرو داخلی باید دارای قابلیت های زیر باشد:

• اتصال یک برنامه در یک زبان ماکرو به یک فایل خاص.
• کپی کردن برنامه های ماکرو از یک فایل به فایل دیگر.
• به دست آوردن کنترل یک برنامه ماکرو بدون دخالت کاربر (ماکروهای خودکار یا استاندارد).

این شرایط توسط برنامه های Microsoft Word، Excel و Microsoft Access رعایت می شود. آنها حاوی زبان های کلان هستند: Word Basic، Visual Basic for Applications. زبان های ماکرو مدرن دارای ویژگی های فوق هستند تا توانایی پردازش خودکار داده ها را فراهم کنند.

اکثر ماکرو ویروس ها نه تنها در لحظه باز کردن (بستن) یک فایل، بلکه تا زمانی که خود ویرایشگر فعال است فعال هستند. آنها شامل تمام عملکردهای خود به عنوان ماکروهای استاندارد Word / Excel / Office هستند. با این حال، ویروس هایی وجود دارند که از تکنیک هایی برای مخفی کردن کد خود و ذخیره کد خود به عنوان غیر ماکرو استفاده می کنند. سه تکنیک از این قبیل شناخته شده است که همه آنها از توانایی ماکروها برای ایجاد، ویرایش و اجرای ماکروهای دیگر استفاده می کنند. به عنوان یک قاعده، چنین ویروس‌هایی دارای یک بارگذار ماکرو ویروس کوچک هستند که ویرایشگر ماکرو داخلی را فراخوانی می‌کند، یک ماکرو جدید ایجاد می‌کند، آن را با کد ویروس اصلی پر می‌کند، آن را اجرا می‌کند و سپس، به عنوان یک قاعده، آن را از بین می‌برد (برای پنهان کردن آثار). از حضور ویروس). کد اصلی چنین ویروس هایی یا در خود ماکرو ویروس به شکل رشته های متنی (گاهی اوقات رمزگذاری شده) وجود دارد یا در ناحیه متغیر سند ذخیره می شود.

3. ویروس های شبکه - ویروس هایی که از پروتکل ها و قابلیت های شبکه های محلی و جهانی برای توزیع خود استفاده می کنند. ویژگی اصلی یک ویروس شبکه توانایی تکثیر خود در شبکه به تنهایی است. در عین حال، ویروس های شبکه ای وجود دارند که می توانند خود را روی یک ایستگاه یا سرور راه دور راه اندازی کنند.

عمده ترین اقدامات مخربی که توسط ویروس ها و کرم ها انجام می شود عبارتند از:

انکار حمله های سرویسی

از دست رفتن داده ها

سرقت اطلاعات

علاوه بر همه موارد فوق، انواع ترکیبی از ویروس ها وجود دارد که ویژگی های انواع مختلف ویروس ها را ترکیب می کند، به عنوان مثال، ویروس های فایل و بوت. به عنوان مثال، بیایید یک ویروس بوت فایل را که در سال های گذشته معروف بود به نام "OneHalf" در نظر بگیریم. زمانی که این کد ویروس در محیط کامپیوتر سیستم عامل "MS-DOS" قرار گرفت، رکورد اصلی بوت را آلوده کرد. در طول راه اندازی اولیه رایانه، بخش های دیسک اصلی را رمزگذاری کرد و از قسمت های بعدی شروع کرد. هنگامی که ویروس وارد حافظه می شود، شروع به کنترل هرگونه دسترسی به بخش های رمزگذاری می کند و می تواند آنها را به گونه ای رمزگشایی کند که همه برنامه ها به طور عادی کار کنند. اگر ویروس "OneHalf" به سادگی از حافظه و بخش بوت پاک شود، اطلاعات نوشته شده در بخش رمزگذاری دیسک غیرقابل دسترسی خواهد بود. هنگامی که ویروس بخشی از دیسک را رمزگذاری می کند، در این مورد با کتیبه زیر هشدار می دهد: "Dis is one half, برای ادامه هر کلید را فشار دهید ...". پس از این اقدامات او منتظر می ماند تا هر دکمه ای را فشار دهید و به کار خود ادامه دهید. ویروس "OneHalf" از مکانیسم های پنهان سازی مختلفی استفاده می کند. این یک ویروس نامرئی در نظر گرفته می شود و عملکردهای الگوریتمی چند شکلی را انجام می دهد. شناسایی و حذف کد ویروس "OneHalf" بسیار مشکل است، زیرا همه برنامه های آنتی ویروس نمی توانند آن را ببینند.

در مرحله تهیه نسخه‌های ویروس، ویروس‌های مدرن اغلب از روش‌های پوشش کپی استفاده می‌کنند تا ابزارهای آنتی‌ویروس پیدا کردن آنها را دشوار کنند:

• رمزگذاری - یک ویروس از دو بخش کاربردی تشکیل شده است: خود ویروس و رمزگذار. هر کپی از یک ویروس شامل یک رمزگذار، یک کلید تصادفی و خود ویروس است که با این کلید رمزگذاری شده است.
• دگرگونی ایجاد نسخه‌های مختلف از یک ویروس با جایگزینی بلوک‌های دستورات با نمونه‌های معادل، مرتب کردن مجدد قطعات کد در مکان‌ها، قرار دادن دستورات "زباله" بین قطعات معنی دار کد است که عملا هیچ کاری انجام نمی‌دهند.

ترکیب این دو فناوری باعث ایجاد انواع ویروس های زیر می شود:

• ویروس رمزگذاری شده ویروسی است که از رمزگذاری ساده با کلید تصادفی و یک رمزگذار بدون تغییر استفاده می کند. چنین ویروس هایی به راحتی توسط امضای رمزگذاری شناسایی می شوند.
• ویروس دگرگونی ویروسی است که دگرگونی را در کل بدن خود اعمال می کند تا نسخه های جدیدی ایجاد کند.
• ویروس چند شکلی ویروسی است که از یک رمزگذار دگرگونی برای رمزگذاری بدنه اصلی ویروس با یک کلید تصادفی استفاده می کند. در این حالت می توان بخشی از اطلاعات مورد استفاده برای به دست آوردن نسخه های جدید رمزگذار را نیز رمزگذاری کرد. به عنوان مثال، یک ویروس می تواند چندین الگوریتم رمزگذاری را پیاده سازی کند و هنگام ایجاد یک کپی جدید، نه تنها دستورات رمزگذار، بلکه خود الگوریتم را نیز تغییر دهد.

کرم - نوعی بدافزار که از طریق کانال‌های شبکه پخش می‌شود و می‌تواند به‌طور مستقل بر سیستم‌های حفاظتی شبکه‌های خودکار و رایانه‌ای غلبه کند، و همچنین نسخه‌هایی از خود را ایجاد و توزیع کند که همیشه با نسخه اصلی منطبق نباشد، و اثرات مضر دیگری را انجام دهد. معروف ترین کرم کرم موریس است که مکانیسم های آن در مقالات به تفصیل شرح داده شده است. این کرم در سال 1988 ظاهر شد و بسیاری از رایانه های موجود در اینترنت را برای مدت کوتاهی فلج کرد. این کرم یک «کلاسیک» از برنامه‌های مخرب است و مکانیسم‌های حمله ایجاد شده توسط نویسنده در زمان نگارش آن هنوز توسط مجرمان سایبری استفاده می‌شود. موریس یک برنامه خودتوزیع کننده بود که کپی هایی از خود را در شبکه توزیع می کرد و با سوء استفاده از آسیب پذیری های سیستم عامل، حقوق دسترسی ممتاز به میزبان ها در شبکه را به دست می آورد. یکی از آسیب‌پذیری‌هایی که توسط کرم مورد سوء استفاده قرار می‌گیرد، نسخه آسیب‌پذیر برنامه sendmail (عملکرد «اشکال‌زدایی» برنامه sendmail، که حالت اشکال‌زدایی را برای جلسه فعلی تنظیم می‌کند)، و دیگری برنامه انگشت (که حاوی یک بافر است) بود. خطای سرریز). این کرم همچنین از آسیب‌پذیری‌ها در دستورات rexec و rsh و همچنین پسوردهای کاربر به اشتباه انتخاب کرده تا سیستم‌ها را نابود کند.

در مرحله نفوذ به سیستم کرم هاعمدتاً بر اساس انواع پروتکل های مورد استفاده تقسیم می شوند:

• کرم های شبکه - کرم هایی که از اینترنت و شبکه های محلی برای انتشار استفاده می کنند. به طور معمول، این نوع کرم از طریق سوء استفاده از بسته های اصلی TCP / IP توسط برخی برنامه ها پخش می شود.
• کرم های پست الکترونیکی - کرم هایی که در قالب پیام های ایمیل پخش می شوند. به عنوان یک قاعده، نامه حاوی متن کد یا پیوندی به منبع آلوده است. هنگامی که فایل پیوست را اجرا می کنید، کرم فعال می شود. وقتی روی یک لینک کلیک می کنید، دانلود می کنید و سپس یک فایل را باز می کنید، کرم نیز شروع به انجام اقدامات مخرب خود می کند. پس از آن، او همچنان به توزیع کپی های خود ادامه می دهد و به دنبال آدرس های ایمیل دیگر می گردد و پیام های آلوده را برای آنها ارسال می کند. کرم‌ها از روش‌های زیر برای ارسال پیام‌ها استفاده می‌کنند: اتصال مستقیم به سرور SMTP با استفاده از کتابخانه پستی تعبیه‌شده در کد کرم. استفاده از خدمات MS Outlook؛ با استفاده از توابع MAPI ویندوز برای یافتن آدرس قربانیان، اغلب از دفترچه آدرس MS Outlook استفاده می شود، اما از پایگاه آدرس WAB نیز می توان استفاده کرد. این کرم می تواند فایل های ذخیره شده روی دیسک ها را اسکن کرده و خطوط مربوط به آدرس های ایمیل را از آنها استخراج کند. کرم‌ها می‌توانند کپی‌هایی از خود را به تمام آدرس‌هایی که در صندوق پستی یافت می‌شوند ارسال کنند (برخی می‌توانند به نامه‌های موجود در صندوق پستی پاسخ دهند). مواردی وجود دارد که می تواند روش ها را ترکیب کند.
• کرم های IRC - کرم هایی که از طریق کانال های IRC (Internet Relay Chat) پخش می شوند. کرم‌های این کلاس از دو نوع انتشار استفاده می‌کنند: ارسال پیوند URL به فایل بدنه برای کاربر. ارسال فایل برای کاربر (در این صورت کاربر باید رسید را تایید کند).
• کرم های P2P - کرم هایی که با استفاده از شبکه های اشتراک گذاری فایل نظیر به نظیر پخش می شوند. مکانیسم عملکرد اکثر این کرم‌ها بسیار ساده است: برای تزریق به شبکه P2P، یک کرم فقط باید خود را در دایرکتوری تبادل فایل کپی کند، که معمولاً در ماشین محلی قرار دارد. شبکه P2P بقیه کار توزیع آن را بر عهده می گیرد - هنگام جستجوی فایل ها در شبکه، کاربران راه دور را در مورد این فایل مطلع می کند و تمام خدمات لازم را برای دانلود آن از رایانه آلوده ارائه می دهد. کرم‌های P2P پیچیده‌تری وجود دارند که پروتکل شبکه یک سیستم اشتراک‌گذاری فایل خاص را تقلید می‌کنند و به سؤالات جستجو پاسخ مثبت می‌دهند (کرم کپی خود را برای دانلود ارائه می‌کند).
• کرم های IM - کرم هایی که از سیستم های پیام رسانی فوری برای انتشار استفاده می کنند (IM، Instant Messenger - ICQ، MSN Messenger، AIM، و غیره). کرم های کامپیوتری شناخته شده از این نوع از تنها روش انتشار استفاده می کنند - ارسال پیام به مخاطبین شناسایی شده (از لیست مخاطبین) حاوی URL به فایلی که در یک سرور وب قرار دارد. این تکنیک تقریباً به طور کامل روش توزیع مشابهی را که توسط کرم‌های پستی استفاده می‌شود، تکرار می‌کند.

در حال حاضر، کرم‌های موبایل و کرم‌هایی که نسخه‌هایی از خود را روی اشتراک‌گذاری‌های شبکه پخش می‌کنند روز به روز محبوب‌تر می‌شوند. دومی از عملکردهای سیستم عامل استفاده می کند، به ویژه، آنها از طریق پوشه های شبکه موجود مرتب می شوند، به رایانه های موجود در شبکه جهانی متصل می شوند و سعی می کنند دیسک های خود را برای دسترسی کامل باز کنند. تفاوت آنها با کرم های شبکه استاندارد در این است که کاربر باید فایلی را با یک کپی از کرم باز کند تا بتواند آن را فعال کند.

با قابلیت های مخرب خود، ویروس ها و کرم های شبکه متمایز می شوند:

• بی ضرر، یعنی به هیچ وجه بر عملکرد رایانه تأثیر نمی گذارد (به جز کاهش فضای آزاد دیسک در نتیجه توزیع آنها).
• بی ضرر، که تاثیر آن به کاهش حافظه آزاد روی دیسک و جلوه های گرافیکی، صدا و دیگر محدود می شود.
• ویروس های خطرناکی که می توانند منجر به نقص جدی در رایانه شما شوند.
• بسیار خطرناک - در الگوریتم کار آنها، رویه هایی به عمد گنجانده شده است که می تواند باعث از بین رفتن برنامه ها، از بین بردن داده ها، پاک کردن اطلاعات لازم برای عملکرد رایانه، ثبت شده در مناطق حافظه سیستم شود.

اما حتی اگر هیچ شاخه‌ای در الگوریتم ویروس یافت نشد که به سیستم آسیب برساند، نمی‌توان این ویروس را با اطمینان کامل بی‌ضرر نامید، زیرا نفوذ آن به رایانه می‌تواند عواقب غیرقابل پیش‌بینی و گاهی فاجعه‌باری را به همراه داشته باشد. از این گذشته ، یک ویروس مانند هر برنامه ای دارای خطاهایی است که در نتیجه هر دو بخش فایل ها و دیسک آسیب می بینند ( به عنوان مثال، ویروس DenZuk که در نگاه اول کاملا بی ضرر است، با فلاپی های 360K کاملاً درست کار می کند، اما می تواند اطلاعات موجود در فلاپی دیسک های بزرگتر را از بین ببرد.). تاکنون با ویروس هایی مواجه شده ایم که COM یا EXE را نه با فرمت فایل داخلی، بلکه با پسوند آن تعیین می کنند. طبیعتاً اگر فرمت و پسوند نام مطابقت نداشته باشد، فایل پس از آلوده شدن غیر قابل اجرا می شود. همچنین ممکن است هنگام استفاده از نسخه‌های جدیدتر DOS، هنگام کار در ویندوز یا سایر سیستم‌های نرم‌افزاری قدرتمند، ویروس مقیم و سیستم «جمع» شوند.

اگر تمام موارد فوق را تجزیه و تحلیل کنید، می توانید شباهت های بین کرم های شبکه و ویروس های کامپیوتری، به ویژه همزمانی کامل چرخه زندگی و خود تکراری را مشاهده کنید. تفاوت اصلی کرم‌ها و ویروس‌های نرم‌افزاری توانایی آن‌ها در پخش شدن در شبکه بدون دخالت انسان است. کرم های شبکه گاهی اوقات به عنوان زیرگروه ویروس های کامپیوتری شناخته می شوند.

در ارتباط با توسعه سریع اینترنت و فناوری های اطلاعاتی، تعداد برنامه های مخرب و گزینه هایی برای معرفی آنها به سیستم اطلاعاتی به طور مداوم در حال افزایش است. بیشترین خطر توسط اشکال جدید ویروس ها و کرم های شبکه ایجاد می شود که امضای آنها برای فروشندگان امنیت اطلاعات ناشناخته است. امروزه روش‌های مبارزه‌ای مانند تجزیه و تحلیل رفتار غیرطبیعی سیستم و سیستم ایمنی مصنوعی که تشخیص اشکال جدید ویروس‌ها را ممکن می‌سازد، رواج یافته‌اند.

با توجه به گزارش تحلیلی فعالیت ویروسی شرکت Panda Security برای سه ماهه سوم سال 2011، نسبت برنامه های مخرب ایجاد شده مطابق شکل 2 به نظر می رسد.

برنج. 2. نسبت نرم افزارهای مخرب ایجاد شده در سه ماهه سوم 2011

یعنی از هر چهار نمونه نرم افزار جدید، سه مورد تروجان و به دنبال آن ویروس بودند. اگر قبلاً نرم افزارهای مخرب اغلب برای مقاصد آزمایشی یا "شوخی" ایجاد می شد و بیشتر یک عمل خرابکاری سایبری بود، اکنون سلاحی قدرتمند برای به دست آوردن مادی یا سایر منافع است که بیشتر ویژگی جرایم سایبری را به دست می آورد.

در هر صورت، بدافزارها می توانند صدمات قابل توجهی ایجاد کنند و تهدیدهایی را متوجه یکپارچگی، محرمانه بودن و در دسترس بودن اطلاعات کنند. محبوب ترین روش برای مقابله با آنها نصب محافظ ضد ویروس است.

3. حفاظت از اطلاعات در شبکه های محلی

3.1. آنتی ویروس

امروزه برنامه های آنتی ویروس را می توان با خیال راحت محبوب ترین ابزار حفاظت از اطلاعات نامید. نرم افزار آنتی ویروس - برنامه هایی که برای مبارزه با نرم افزارهای مخرب (ویروس ها) طراحی شده اند.

برنامه های آنتی ویروس از دو روش برای شناسایی ویروس ها استفاده می کنند - امضا و اکتشافی.

روش امضا مبتنی بر مقایسه یک فایل مشکوک با امضای ویروس های شناخته شده است. امضا یک نمونه مشخص از یک ویروس شناخته شده است، یعنی مجموعه ای از خصوصیات که شناسایی یک ویروس معین یا وجود ویروس در یک فایل را ممکن می سازد. هر آنتی ویروس یک پایگاه داده آنتی ویروس حاوی امضاهای ویروس را ذخیره می کند. به طور طبیعی، ویروس های جدید هر روز ظاهر می شوند، بنابراین پایگاه داده آنتی ویروس باید به طور منظم به روز شود. در غیر این صورت، آنتی ویروس ویروس های جدید را پیدا نمی کند. پیش از این، همه برنامه های ضد ویروس به دلیل سهولت اجرا و دقت در شناسایی ویروس های شناخته شده، تنها از روش مبتنی بر امضا برای شناسایی ویروس ها استفاده می کردند. با این وجود، این روش دارای اشکالات آشکار است - اگر ویروس جدید باشد و امضای آن ناشناخته باشد، آنتی ویروس آن را "رد می کند". بنابراین آنتی ویروس های مدرن از روش های اکتشافی نیز استفاده می کنند.

روش اکتشافی مجموعه ای از روش های تقریبی برای تشخیص ویروس ها بر اساس فرضیات خاص است. به عنوان یک قاعده، روش های اکتشافی زیر متمایز می شوند:

• جستجو برای ویروس های مشابه با شناخته شده(این روش اغلب اکتشافی نامیده می شود). در اصل، روش مشابه روش امضا است، فقط در این مورد انعطاف پذیرتر است. روش امضا نیاز به تطابق دقیق دارد، در اینجا فایل برای تغییرات امضاهای شناخته شده بررسی می شود، یعنی لزوماً مطابقت کامل نیست. این کمک می کند تا هیبریدهای ویروس ها و تغییرات ویروس های شناخته شده را شناسایی کنید.
• روش غیر طبیعی- این روش مبتنی بر ردیابی رویدادهای غیرعادی در سیستم و برجسته کردن اقدامات مخرب اصلی است: حذف، نوشتن در مناطق خاصی از رجیستری، ارسال نامه و غیره. واضح است که انجام هر یک از این اقدامات به طور جداگانه دلیلی برای بررسی برنامه به عنوان مخرب اما اگر برنامه ای به طور متوالی چندین عمل از این دست را انجام دهد، مثلاً خود را در کلید شروع خودکار رجیستری سیستم بنویسد، داده های وارد شده از صفحه کلید را رهگیری کند و با فرکانس مشخص، این داده ها را به برخی از آدرس های اینترنتی ارسال کند، آنگاه این برنامه در کمترین مشکوک تحلیلگرهای رفتاری از اشیاء اضافی مانند پایگاه داده های ویروس برای کار استفاده نمی کنند و در نتیجه قادر به تشخیص ویروس های شناخته شده و ناشناخته نیستند - همه برنامه های مشکوک به طور پیشینی ویروس های ناشناخته در نظر گرفته می شوند. به طور مشابه، رفتار ابزارهایی که فن‌آوری‌های تحلیل رفتاری را پیاده‌سازی می‌کنند شامل درمان نمی‌شود.
• تجزیه و تحلیل چک جمعراهی برای ردیابی تغییرات در اشیاء یک سیستم کامپیوتری است. بر اساس تجزیه و تحلیل ماهیت تغییرات - همزمانی، انبوه، تغییرات یکسان در طول پرونده - می توانیم نتیجه بگیریم که سیستم آلوده است. آنالایزرهای چک سام مانند تحلیلگرهای رفتار غیرعادی در کار خود از پایگاه های اطلاعاتی آنتی ویروس استفاده نمی کنند و صرفاً با روش ارزیابی تخصصی در مورد وجود ویروس در سیستم تصمیم می گیرند. محبوبیت زیاد تجزیه و تحلیل چک‌سام با حافظه‌های سیستم‌عامل‌های تک وظیفه مرتبط است، زمانی که تعداد ویروس‌ها نسبتاً کم بود، فایل‌ها کم بودند و به ندرت تغییر می‌کردند. امروزه حسابرسان تغییر موقعیت خود را از دست داده اند و به ندرت در آنتی ویروس ها استفاده می شوند. بیشتر اوقات، از فناوری های مشابه در اسکنرها هنگام دسترسی استفاده می شود - در اولین بررسی، جمع چک از فایل حذف می شود و در حافظه پنهان قرار می گیرد، قبل از بررسی بعدی همان فایل، مجموع دوباره حذف می شود، مقایسه می شود، و در صورت وجود هیچ تغییری وجود ندارد، فایل غیر آلوده در نظر گرفته می شود.

روش های اکتشافی نیز مزایا و معایبی دارند. از مزایای آن می توان به توانایی شناسایی ویروس های جدید اشاره کرد. یعنی اگر ویروس جدید باشد و امضای آن ناشناخته باشد، آنتی ویروس با تشخیص امضا در حین اسکن از آن عبور می کند و با تشخیص اکتشافی احتمالاً آن را پیدا می کند. اشکال اصلی روش اکتشافی از جمله آخر ناشی می شود - ماهیت احتمالی آن. یعنی چنین آنتی ویروسی می تواند ویروسی را پیدا کند، آن را پیدا نکند، یا یک فایل قانونی را با ویروس اشتباه بگیرد.

در مجتمع های ضد ویروس مدرن، سازندگان سعی می کنند روش امضا و روش های اکتشافی را با هم ترکیب کنند. یک جهت امیدوار کننده در این زمینه توسعه آنتی ویروس ها با سیستم ایمنی مصنوعی - آنالوگ سیستم ایمنی انسان که می تواند اجسام "خارجی" را تشخیص دهد.

آنتی ویروس باید دارای ماژول های زیر باشد:

• ماژول به روز رسانی - پایگاه داده امضا به روز شده را به کاربر آنتی ویروس ارائه می دهد. ماژول به روز رسانی با سرورهای سازنده تماس می گیرد و پایگاه داده های آنتی ویروس به روز شده را دانلود می کند.
• ماژول برنامه ریزی - برای برنامه ریزی اقداماتی که آنتی ویروس باید به طور مرتب انجام دهد در نظر گرفته شده است. به عنوان مثال، رایانه خود را برای ویروس ها اسکن کنید و پایگاه داده های آنتی ویروس را به روز کنید. کاربر می تواند یک برنامه زمانی برای این اقدامات انتخاب کند.
• ماژول کنترل - طراحی شده برای مدیران شبکه های بزرگ . این ماژول ها دارای رابطی هستند که به شما امکان می دهد ضد ویروس ها را از راه دور بر روی گره های شبکه پیکربندی کنید، همچنین راه هایی برای محدود کردن دسترسی کاربران محلی به تنظیمات آنتی ویروس.
• ماژول قرنطینه - طراحی شده برای جداسازی فایل های مشکوک در یک مکان خاص - قرنطینه. درمان یا حذف یک فایل مشکوک همیشه امکان پذیر نیست، به خصوص با توجه به مثبت کاذب روش اکتشافی. در این مواقع فایل قرنطینه شده و نمی تواند از آنجا اقدامی انجام دهد.

در سازمان های بزرگ با شبکه داخلی گسترده و دسترسی به اینترنت، از سیستم های آنتی ویروس برای محافظت از اطلاعات استفاده می شود.

موتور آنتی ویروس - اجرای مکانیزم اسکن امضا بر اساس امضاهای ویروس موجود و تجزیه و تحلیل اکتشافی.

مجموعه آنتی ویروس - مجموعه ای از آنتی ویروس ها با استفاده از همان هسته یا هسته های آنتی ویروس که برای حل مشکلات عملی تضمین امنیت آنتی ویروس سیستم های رایانه ای طراحی شده اند.

بسته به جایی که از آنها استفاده می شود، انواع زیر مجموعه های آنتی ویروس متمایز می شوند:

• مجموعه آنتی ویروس برای محافظت از ایستگاه های کاری
• مجموعه آنتی ویروس برای محافظت از سرورهای فایل
• مجموعه ضد ویروس برای محافظت از سیستم های پستی
• مجموعه آنتی ویروس برای محافظت از دروازه ها

مجموعه آنتی ویروس برای محافظت از ایستگاه های کاری معمولاً از اجزای زیر تشکیل شده است:

• اسکنر آنتی ویروس در دسترس - فایل های دسترسی به سیستم عامل را بررسی می کند.
• اسکنر آنتی ویروس پست محلی - برای اسکن ایمیل های دریافتی و خروجی.
• اسکنر آنتی ویروس بر اساس تقاضا - مناطق یا فایل های دیسک مشخص شده را به درخواست کاربر یا مطابق با برنامه تنظیم شده در ماژول زمان بندی اسکن می کند.

مجموعه آنتی ویروس برای محافظت از سیستم های پستی برای محافظت از سرور ایمیل طراحی شده است و شامل:

• فیلتر جریان نامه - ترافیک ورودی و خروجی سروری را که مجموعه روی آن نصب شده است را برای ویروس ها بررسی می کند.
• اسکنر پوشه‌های مشترک (پایگاه‌های داده) - پایگاه‌های داده و پوشه‌های مشترک کاربران را برای ویروس‌ها در زمان واقعی (در زمان دسترسی به این پوشه‌ها یا پایگاه‌های داده) بررسی می‌کند. بسته به اجرای فناوری رهگیری پیام ها / تماس ها به پوشه ها و ارسال آنها برای اسکن، می توان آن را با فیلتر جریان نامه ادغام کرد.
• اسکنر آنتی ویروس برحسب تقاضا - وجود ویروس ها را در صندوق های پستی کاربر و پوشه های عمومی بررسی می کند که آیا آنها در سرور ایمیل استفاده می شوند. اسکن به درخواست مدیر امنیت آنتی ویروس یا در پس زمینه انجام می شود.

مجموعه آنتی ویروس برای محافظت از سرورهای فایل - طراحی شده برای محافظت از سروری که روی آن نصب شده است. معمولاً از دو جزء مجزا تشکیل شده است:

• یک اسکنر ضد ویروس بدون دسترسی - شبیه به یک اسکنر بدون دسترسی برای یک ایستگاه کاری.
• اسکنر آنتی ویروس در صورت تقاضا - شبیه به یک اسکنر درخواستی برای یک ایستگاه کاری.

مجموعه آنتی ویروس برای محافظت از دروازه ها، همانطور که از نام آن پیداست، برای اسکن داده های منتقل شده از طریق دروازه برای یافتن ویروس ها طراحی شده است. از آنجایی که داده ها تقریباً به طور مداوم از طریق دروازه منتقل می شوند، اجزایی که در حالت پیوسته کار می کنند روی آن نصب می شوند:

• اسکنر جریان HTTP - داده های ارسال شده از طریق پروتکل HTTP را بررسی می کند.
• اسکنر جریان FTP - داده های منتقل شده از طریق پروتکل FTP را بررسی می کند.
• اسکنر جریان SMTP - داده های ارسال شده از طریق دروازه از طریق SMTP را بررسی می کند.

یک جزء اجباری همه مجتمع های در نظر گرفته شده، ماژول به روز رسانی پایگاه داده ضد ویروس است.

ابزارهای آنتی ویروس امروزه به طور گسترده در بازار موجود هستند. با این حال، آنها قابلیت ها، قیمت و منابع مورد نیاز متفاوتی دارند. برای انتخاب آنتی ویروس مناسب باید آمار تست ابزارهای ضد ویروس منتشر شده در شبکه را دنبال کنید. یکی از اولین کسانی که محصولات آنتی ویروس را آزمایش کرد، مجله بریتانیایی ویروس بولتن در سال 1998 بود. هسته اصلی آزمایش مجموعه بدافزار WildList است که در صورت تمایل می توان آن را در اینترنت یافت. برای گذراندن موفقیت آمیز تست، برنامه آنتی ویروس باید تمام ویروس ها را از این لیست شناسایی کند و نرخ مثبت کاذب صفر را در مجموعه ای از فایل های گزارش "تمیز" نشان دهد. تست بر روی سیستم عامل های مختلف (ویندوز، لینوکس و غیره) انجام می شود و محصولاتی که این آزمون را با موفقیت پشت سر می گذارند جایزه VB100% دریافت می کنند. برای لیستی از آخرین برنامه های اسکن شده، به http://www.virusbtn.com/vb100/archive/summary مراجعه کنید.

علاوه بر ویروس بولتن، آزمایش توسط آزمایشگاه‌های مستقلی مانند AV-Comparatives و AV-Tests انجام می‌شود. "مجموعه" ویروس های آنها به تنهایی می تواند حاوی یک میلیون برنامه مخرب باشد. گزارش های این مطالعات را می توان در اینترنت، البته به زبان انگلیسی، یافت. علاوه بر این، در وب سایت ویروس بولتن، می توانید فروشندگان آنتی ویروس (فروشندگان) را در صفحه زیر http://www.virusbtn.com/vb100/archive/compare?nocache با یکدیگر مقایسه کنید.

3.2. دیواره آتش

دیواره آتش (ME) نرم افزار یا ابزار نرم افزاری و سخت افزاری است که جریان اطلاعات را در مرز سیستم محافظت شده محدود می کند.

فایروال تمام ترافیک را از طریق خود عبور می دهد و در مورد هر بسته عبوری تصمیم می گیرد: به آن اجازه عبور داده شود یا خیر. برای اینکه فایروال بتواند این عملیات را انجام دهد، باید مجموعه ای از قوانین فیلتر را تعریف کند.

کاربرد ME اجازه می دهد:

• بهبود امنیت اشیاء درون سیستم با نادیده گرفتن درخواست های غیرمجاز از محیط خارجی.
• کنترل جریان اطلاعات به محیط خارجی؛
• اطمینان از ثبت فرآیندهای تبادل اطلاعات.

در قلب تصمیم DOE در مورد عبور یا عدم عبور ترافیک، فیلتر کردن بر اساس قوانین خاص است. دو روش برای تنظیم ME وجود دارد:

• در ابتدا "همه چیز را انکار کنید" و سپس تعریف کنید که چه چیزی باید مجاز باشد.
• در ابتدا "همه چیز را مجاز بدانیم" و سپس تعریف کنید که چه چیزی باید ممنوع شود.

بدیهی است که گزینه اول امن تر است، زیرا همه چیز را ممنوع می کند و بر خلاف گزینه دوم، نمی تواند ترافیک ناخواسته را از بین ببرد.

بسته به اصول عملکرد، چندین کلاس ME متمایز می شود. ویژگی اصلی طبقه بندی سطح مدل ISO / OSI است که ME در آن عمل می کند.

1. فیلترهای بسته

ساده‌ترین کلاس فایروال‌هایی که در شبکه و لایه‌های انتقال مدل ISO/OSI کار می‌کنند. فیلتر کردن بسته ها معمولاً بر اساس معیارهای زیر انجام می شود:

• آدرس IP منبع؛
• آدرس IP گیرنده؛
• پورت منبع؛
• پورت گیرنده؛
• پارامترهای خاص هدر بسته های شبکه

فیلترینگ با مقایسه پارامترهای فهرست شده هدر بسته های شبکه با پایه قوانین فیلتر اجرا می شود.

2. دروازه های سطح جلسه

این فایروال ها در لایه نشست مدل ISO/OSI کار می کنند. برخلاف فیلترهای بسته، آنها می توانند اعتبار یک جلسه را با تجزیه و تحلیل پارامترهای پروتکل های لایه جلسه بررسی کنند. ویژگی های مثبت فیلترهای بسته شامل موارد زیر است:

• کم هزینه؛
• توانایی پیکربندی انعطاف پذیر قوانین فیلتر.
• تاخیر کوچک در عبور بسته ها

معایب شامل موارد زیر است:

• تشریح قوانین فیلترینگ بسته دشوار است و به دانش بسیار خوبی از فناوری های TCP و UDP نیاز دارد. اغلب، چنین ME هایی نیاز به ساعت های زیادی تنظیم دستی توسط متخصصان بسیار ماهر دارند.
• اگر فایروال فیلترینگ بسته خراب شود، تمام رایانه های پشت آن کاملاً محافظت نشده یا غیرقابل دسترسی می شوند.
• هیچ احراز هویت در سطح کاربر وجود ندارد.

3. دروازه های برنامه

فایروال های این کلاس به شما امکان می دهند انواع خاصی از دستورات یا مجموعه داده ها را در پروتکل های سطح برنامه فیلتر کنید. برای این، از خدمات پروکسی استفاده می شود - برنامه های ویژه ای که ترافیک را از طریق فایروال برای پروتکل های سطح بالا خاص (http، ftp، telnet و غیره) کنترل می کنند. اگر بدون استفاده از خدمات پراکسی، ارتباط شبکه ای بین طرفین تعامل A و B به طور مستقیم برقرار شود، در صورت استفاده از سرویس پروکسی، یک واسطه ظاهر می شود - یک سرور پروکسی که به طور مستقل با شرکت کننده دوم در تبادل اطلاعات تعامل دارد. این طرح به شما امکان می دهد تا مجاز بودن استفاده از دستورات فردی پروتکل های سطح بالا و همچنین فیلتر کردن داده های دریافتی توسط سرور پراکسی از خارج را کنترل کنید. در این صورت سرور پروکسی بر اساس سیاست های تعیین شده می تواند در مورد امکان یا عدم امکان انتقال این داده ها به کلاینت A تصمیم گیری کند.

4. فایروال های خبره

پیچیده ترین فایروال ها، ترکیبی از عناصر هر سه دسته بالا. به جای سرویس های پراکسی، چنین صفحه هایی از الگوریتم هایی برای شناسایی و پردازش داده ها در سطح برنامه استفاده می کنند.

علاوه بر عملکرد فیلتر، ME به شما امکان می دهد با استفاده از ترجمه آدرس شبکه - NAT (ترجمه آدرس شبکه) آدرس های واقعی گره ها را در شبکه محافظت شده پنهان کنید. هنگامی که بسته ای به ME می رسد، آدرس واقعی فرستنده را با آدرس مجازی جایگزین می کند. پس از دریافت پاسخ، ME روش مخالف را انجام می دهد.

اکثر فایروال هایی که در حال حاضر مورد استفاده قرار می گیرند در دسته متخصصان قرار می گیرند. معروف ترین و گسترده ترین ME CISCO PIX و CheckPoint FireWall-1 هستند.

3.3. سیستم تشخیص نفوذ

تشخیص نفوذ فرآیند شناسایی دسترسی غیرمجاز (یا تلاش برای دسترسی غیرمجاز) به منابع سیستم اطلاعاتی است. سیستم تشخیص نفوذ (IDS) به طور کلی یک سیستم سخت افزاری و نرم افزاری است که این مشکل را حل می کند. سیستم های تشخیص نفوذ (IDS) مانند زنگ هشدار ساختمان عمل می کنند. ساختار IDS در شکل 3 نشان داده شده است.

برنج. 3. بلوک دیاگرام IDS

طرح IDS در شکل 4 نشان داده شده است.

همانطور که از شکل مشاهده می کنید، عملکرد سیستم های IDS از بسیاری جهات شبیه فایروال ها است: حسگرها ترافیک شبکه را دریافت می کنند و هسته با مقایسه ترافیک دریافتی با سوابق پایگاه داده موجود از امضاهای حمله، سعی در شناسایی ردپاها دارد. تلاش برای دسترسی غیرمجاز ماژول پاسخ یک جزء اختیاری است که می تواند برای مسدود کردن سریع یک تهدید استفاده شود: برای مثال، یک قانون فایروال می تواند برای مسدود کردن منبع یک حمله ایجاد شود.

دو نوع IDS وجود دارد - هاب (HIDS) و شبکه (NIDS). HIDS روی یک گره جداگانه قرار دارد و علائم حمله به این گره را کنترل می کند.

برنج. 4. طرح کار IDS

Nodal IDS سیستمی از حسگرها است که رویدادهای مختلف سیستم را از نظر فعالیت غیرعادی نظارت می کند. انواع سنسورهای زیر وجود دارد:

• آنالیزورهای ورود به سیستم - اغلب ثبت سیستم و سوابق گزارش امنیتی نظارت می شوند.
• سنسورهای ویژگی - مقایسه ویژگی های رویدادهای خاص مرتبط با ترافیک ورودی یا با سیاهههای مربوط.
• تحلیلگرهای تماس سیستم - تماس های بین برنامه ها و سیستم عامل را تجزیه و تحلیل می کند تا ببیند آیا آنها برای حمله مناسب هستند یا خیر. این حسگرها ماهیت پیشگیرانه دارند، یعنی برخلاف دو نوع قبلی، می توانند از حمله جلوگیری کنند.
• تحلیلگرهای رفتار برنامه - تماس های بین برنامه ها و سیستم عامل را تجزیه و تحلیل کنید تا ببینید آیا برنامه مجاز به انجام کاری است یا خیر.
• چک‌کننده‌های یکپارچگی فایل - تغییرات فایل‌ها را با استفاده از چک‌سام‌ها یا EDS ردیابی کنید.

NIDS روی یک سیستم مجزا قرار دارد و تمام ترافیک شبکه را برای نشانه‌های حملات تجزیه و تحلیل می‌کند. یک پایگاه داده از علائم حمله در داده های سیستم ساخته شده است، که سیستم برای آن ترافیک شبکه را تجزیه و تحلیل می کند.

هر نوع IDS مزایا و معایب خاص خود را دارد. IDS های سطح شبکه عملکرد کلی سیستم را کاهش نمی دهند، اما IDS های سطح میزبان در شناسایی حملات و تجزیه و تحلیل فعالیت های مرتبط با یک میزبان منفرد موثرتر هستند. در عمل، استفاده از سیستم هایی که هر دو رویکرد توصیف شده را ترکیب می کنند، توصیه می شود.

لازم به ذکر است که یک جهت امیدوارکننده در توسعه IDS استفاده از روش های اکتشافی با قیاس با آنتی ویروس ها است - اینها سیستم های هوش مصنوعی، سیستم های ایمنی مصنوعی، تجزیه و تحلیل رفتار غیر طبیعی و غیره هستند.