Dërgoni punën tuaj të mirë në bazën e njohurive është e thjeshtë. Përdorni formularin e mëposhtëm

Studentët, studentët e diplomuar, shkencëtarët e rinj që përdorin bazën e njohurive në studimet dhe punën e tyre do t'ju jenë shumë mirënjohës.

Postuar në http://www.allbest.ru/

Të dhënat bazë të punës

Versioni i shabllonit 1.1

Dega Nizhny Novgorod

Lloji i punës Parambrojtje me shkrim elektronik

Emri i disiplinës WRC

Tema

Mjete softuerike për mbrojtjen e informacionit në rrjete

Unë e kam bërë punën

Ipatov Alexander Sergeevich

Kontrata nr 09200080602012

Prezantimi

1. Dispozitat kryesore të teorisë së sigurisë së informacionit

1.1 Siguria e informacionit. Përkufizimet bazë

1.2 Kërcënimet e sigurisë së informacionit

1.3 Ndërtimi i sistemeve të mbrojtjes kundër kërcënimeve të shkeljes së konfidencialitetit të informacionit

1.3.1 Modeli i sistemit të mbrojtjes

1.3.2 Masat e sigurisë organizative dhe fizike

1.3.3 Identifikimi dhe vërtetimi

1.3.4 Kontrolli i aksesit

1.3.5 Teknikat e Konfidencialitetit Kriptografik

1.3.6 Metodat për mbrojtjen e perimetrit të jashtëm

1.3.7 Regjistrimi dhe Auditimi

1.4 Ndërtimi i sistemeve të mbrojtjes nga kërcënimet e cenimit të integritetit

1.4.1 Parimet e integritetit

1.4.2 Metodat kriptografike për sigurimin e integritetit të informacionit

1.5 Ndërtimi i sistemeve të mbrojtjes së ndërtesave kundër kërcënimeve të shkeljeve të aksesueshmërisë

2. Mjete softuerike për mbrojtjen e informacionit në COP

2.1 Siguria në nivelin e sistemit operativ

2.2 Teknikat e sigurisë kriptografike

2.3 Kriptimi i diskut

2.4 Softuer i specializuar për mbrojtjen e informacionit

2.5 Aspekte të sigurisë arkitektonike

2.6 Sistemet për arkivimin dhe kopjimin e informacionit

2.7 Analiza e sigurisë

konkluzioni

Fjalorth

Lista e burimeve të përdorura

Lista e shkurtesave

Prezantimi

Progresi i ka dhënë njerëzimit shumë arritje, por i njëjti përparim ka sjellë shumë probleme. Mendja e njeriut, ndërsa zgjidh disa probleme, në mënyrë të pashmangshme përplaset me të tjera, të reja. Problemi i përjetshëm është mbrojtja e informacionit. Në faza të ndryshme të zhvillimit të tij, njerëzimi e zgjidhi këtë problem me një karakteristikë karakteristike të kësaj epoke. Shpikja e kompjuterit dhe zhvillimi i mëtejshëm i shpejtë i teknologjive të informacionit në gjysmën e dytë të shekullit të 20-të e bënë problemin e mbrojtjes së informacionit aq urgjent dhe akut sa teknologjia e informacionit është e rëndësishme për të gjithë shoqërinë sot.

Julius Caesar mori vendimin për të mbrojtur informacionin e vlefshëm gjatë transferimit. Ai shpiku shifrën e Cezarit. Ky shifër bëri të mundur dërgimin e mesazheve që askush nuk mund t'i lexonte nëse përgjoheshin.

Ky koncept u zhvillua gjatë Luftës së Dytë Botërore. Gjermania përdori një makinë të quajtur Enigma për të enkriptuar mesazhet e dërguara njësive ushtarake.

Sigurisht, mënyra se si mbrohet informacioni po ndryshon vazhdimisht, ashtu si shoqëria dhe teknologjia jonë. Ardhja dhe përdorimi i gjerë i kompjuterëve çoi në faktin se shumica e njerëzve dhe organizatave filluan të ruanin informacionin në formë elektronike. Kishte nevojë për të mbrojtur një informacion të tillë.

Në fillim të viteve 70. Në shekullin e 20-të, David Bell dhe Leonard La Padula zhvilluan një model sigurie për operacionet e bazuara në kompjuter. Ky model bazohej në konceptin e qeverisë për nivelet e klasifikimit të informacionit (të paklasifikuar, konfidencial, sekret, top-sekret) dhe nivelet e pastrimit. Nëse një person (subjekt) kishte një nivel aksesi më të lartë se niveli i dosjes (objektit) sipas klasifikimit, atëherë ai merrte akses në dosje, përndryshe qasja i mohohej. Ky koncept u implementua në standardin 5200.28 "Trusted Computing System Evaluation Criteria" (TCSEC), i zhvilluar në 1983 nga Departamenti i Mbrojtjes i SHBA. Për shkak të ngjyrës së kopertinës, ai u emërua "Libri Portokalli".

Libri Portokalli ka përcaktuar kërkesat funksionale dhe garancie për çdo seksion. Sistemi duhej të plotësonte këto kërkesa për të përmbushur një nivel të caktuar certifikimi.

Kërkesat e sigurimit për shumicën e certifikatave të sigurisë kërkonin kohë dhe të kushtueshme. Si rezultat, shumë pak sisteme janë certifikuar më lart se C2 (në fakt, vetëm një sistem është certifikuar fare A1 - Honeywell SCOMP) Cole E. Anti-Hacker Guidelines. - M .: Shtëpia botuese "Williams", 2002 - F. 25.

Në hartimin e kritereve të tjera, janë bërë përpjekje për të ndarë kërkesat funksionale dhe ato të sigurisë. Këto zhvillime u përfshinë në Librin Gjelbër Gjerman në 1989, Kriteret e Kanadasë në 1990, Kriteret e Vlerësimit të Sigurisë së Teknologjisë së Informacionit (ITSEC) në 1991 dhe Kriteret Federale (të njohura si Kriteret e Përbashkëta - Kriteret e Përgjithshme) në 1992. Çdo standard ofronte një mënyra të ndryshme të vërtetimit të sigurisë së sistemeve kompjuterike.

GOST 28147-89 - Standardi sovjetik dhe rus për kriptim simetrik, i prezantuar në 1990, është gjithashtu një standard i CIS. Emri i plotë është "GOST 28147-89 Sistemet e përpunimit të informacionit. Mbrojtja kriptografike. Algoritmi për transformimin kriptografik ". Algoritmi i shifrimit të bllokut. Kur përdorni metodën e kriptimit me gama, ajo mund të kryejë funksionet e një algoritmi të shifrimit të rrjedhës.

Sipas disa informacioneve A. Vinokurov. Algoritmi i kriptimit GOST 28147-89, përdorimi dhe zbatimi i tij për kompjuterët e platformës Intel x86 (http://www.enlight.ru), historia e këtij shifra është shumë më e vjetër. Algoritmi, i cili më vonë u bë baza e standardit, lindi, me sa duket, në thellësi të Drejtorisë së Tetë Kryesore të KGB-së të BRSS (tani në strukturën e FSB), ka shumë të ngjarë në një nga institutet e mbyllura kërkimore. në varësi të tij, ndoshta në vitet 1970 si pjesë e projekteve për krijimin e zbatimeve të softuerit dhe harduerit të shifrës për platforma të ndryshme kompjuterike.

Që nga momenti i publikimit të GOST, ai kishte një vulë kufizuese "Për përdorim zyrtar", dhe zyrtarisht kodi u shpall "plotësisht i hapur" vetëm në maj 1994. Historia e krijimit të shifrës dhe kriteret për zhvilluesit që nga viti 2010 nuk janë publikuar.

Një nga problemet lidhur me kriteret për vlerësimin e sigurisë së sistemeve ishte moskuptimi i mekanizmave të punës në rrjet. Kur kompjuterët bashkohen, problemet e reja të sigurisë u shtohen atyre të vjetra. Libri Portokalli nuk trajtoi problemet e lidhjes së kompjuterëve me një rrjet të përbashkët, kështu që në vitin 1987 u shfaq TNI (Trusted Network Interpretation), ose "Libri i Kuq". Libri i Kuq përmban të gjitha kërkesat e sigurisë nga Libri Portokalli, është bërë një përpjekje për të adresuar hapësirën e rrjetit dhe për të krijuar një koncept të sigurisë së rrjetit. Fatkeqësisht, "Libri i Kuq" e lidhi edhe funksionalitetin me garancinë. Pak sisteme janë vlerësuar nga TNI, dhe asnjë nuk ka qenë i suksesshëm komercialisht.

Problemet janë edhe më të rënda këto ditë. Organizatat filluan të përdorin rrjete pa tel që Libri i Kuq nuk mund t'i parashikonte. Për rrjetet me valë, certifikata e Librit të Kuq konsiderohet e vjetëruar.

Sistemet kompjuterike dhe teknologjitë e rrjeteve po evoluojnë shumë shpejt. Prandaj, mënyra të reja për mbrojtjen e informacionit po shfaqen gjithashtu me shpejtësi. Prandaj, tema e punës sime kualifikuese "Mjetet softuerike për mbrojtjen e informacionit në rrjete" është shumë e rëndësishme.

Objekti i hulumtimit është informacioni i transmetuar përmes rrjeteve të telekomunikacionit.

Lënda e hulumtimit është siguria e informacionit të rrjeteve.

Qëllimi kryesor i punës kualifikuese është studimi dhe analiza e mjeteve softuerike për mbrojtjen e informacionit në rrjete. Për të arritur këtë qëllim, është e nevojshme të zgjidhen një sërë detyrash:

Merrni parasysh kërcënimet e sigurisë dhe klasifikimin e tyre;

Të karakterizojë metodat dhe mjetet e mbrojtjes së informacionit në rrjet, klasifikimin e tyre dhe veçoritë e aplikimit;

Të zbulojë mundësitë e mjeteve fizike, harduerike dhe softuerike të mbrojtjes së informacionit në rrjetet kompjuterike (CS), të zbulojë avantazhet dhe disavantazhet e tyre.

1. Dispozitat kryesore të teorisë së sigurisë së informacionit

1.1 Siguria e informacionit. Përkufizimet bazë

Termi "informacion" përcaktohet në mënyra të ndryshme nga shkenca të ndryshme. Kështu, për shembull, në filozofi, informacioni konsiderohet si një veti e objekteve dhe proceseve materiale për të ruajtur dhe gjeneruar një gjendje të caktuar, e cila në forma të ndryshme materialo-energjetike mund të transferohet nga një objekt në tjetrin. Në kibernetikë, informacioni zakonisht referohet si një masë për eliminimin e pasigurisë. Në vijim, ne do të kuptojmë me informacion gjithçka që mund të përfaqësohet në simbolet e një alfabeti të fundëm (për shembull, binar).

Ky përkufizim mund të duket disi i pazakontë. Në të njëjtën kohë, ai rrjedh natyrshëm nga parimet bazë arkitekturore të informatikës moderne. Në të vërtetë, ne kufizohemi në çështjet e sigurisë së informacionit të sistemeve të automatizuara - dhe gjithçka që përpunohet me ndihmën e teknologjisë moderne kompjuterike përfaqësohet në formë binare. Bazat e sigurisë së informacionit të sistemeve të automatizuara - "Phoenix", 2008 - F. 8

Tema e shqyrtimit tonë janë sistemet e automatizuara. Me një sistem të automatizuar të përpunimit të informacionit (AS) nënkuptojmë një grup objektesh të mëposhtme:

1. Pajisjet kompjuterike;

2. Software;

3. Kanalet e komunikimit;

4. Informacion për media të ndryshme;

5. Personeli dhe përdoruesit e sistemit.

Siguria e informacionit të një termocentrali bërthamor konsiderohet si një gjendje e sistemit në të cilin:

1. Sistemi është në gjendje të përballojë efektet destabilizuese të kërcënimeve të brendshme dhe të jashtme.

2. Funksionimi dhe vetë fakti i ekzistencës së sistemit nuk krijojnë kërcënime për mjedisin e jashtëm dhe për vetë elementët e sistemit.

Në praktikë, siguria e informacionit zakonisht konsiderohet si një kombinim i tre vetive bazë të informacionit të mbrojtur:

? konfidencialiteti, që do të thotë se vetëm përdoruesit e ligjshëm mund të kenë akses në informacion;

? integritetin, duke siguruar që, së pari, informacioni i mbrojtur mund të ndryshohet vetëm nga përdoruesit legjitimë dhe të autorizuar, dhe së dyti, informacioni është i qëndrueshëm nga brenda dhe (nëse kjo pronë është e zbatueshme) pasqyron gjendjen reale të punëve;

? aksesueshmërinë, e cila garanton akses të papenguar në informacionin e mbrojtur për përdoruesit legjitimë.

Aktivitetet që synojnë të garantojnë sigurinë e informacionit zakonisht quhen siguria e informacionit.

Metodat e sigurisë së informacionit (Shtojca A) janë shumë të ndryshme.

Shërbimet e sigurisë së rrjetit janë mekanizma për mbrojtjen e informacionit të përpunuar në sistemet dhe rrjetet e shpërndara kompjuterike.

Metodat inxhinierike dhe teknike synojnë të sigurojnë mbrojtjen e informacionit nga rrjedhja përmes kanaleve teknike - për shembull, duke përgjuar rrezatimin elektromagnetik ose informacionin e të folurit. Metodat ligjore dhe organizative për mbrojtjen e informacionit krijojnë një kuadër rregullator për organizimin e aktiviteteve të ndryshme që lidhen me sigurimin e sigurisë së informacionit.

Metodat teorike të sigurimit të sigurisë së informacionit, nga ana tjetër, zgjidhin dy probleme kryesore. E para prej tyre është formalizimi i llojeve të ndryshme të proceseve që lidhen me sigurimin e sigurisë së informacionit. Kështu, për shembull, modelet formale të kontrollit të aksesit bëjnë të mundur përshkrimin e rreptë të të gjitha flukseve të mundshme të informacionit në sistem - dhe, për rrjedhojë, garantimin e përmbushjes së vetive të kërkuara të sigurisë. Nga kjo, menjëherë pason detyra e dytë - një vërtetim rigoroz i korrektësisë dhe përshtatshmërisë së funksionimit të sistemeve të sigurisë së informacionit kur analizohet siguria e tyre. Një detyrë e tillë lind, për shembull, gjatë certifikimit të sistemeve të automatizuara për kërkesat e sigurisë së informacionit.

1.2 Kërcënimet e sigurisë së informacionit

Kur formuluam përkufizimin e sigurisë së informacionit të termocentralit bërthamor, përmendëm konceptin e kërcënimit. Le të ndalemi në të në më shumë detaje.

Vini re se, në rastin e përgjithshëm, është e zakonshme të kuptohet një kërcënim si një ngjarje, veprim, proces ose fenomen i mundshëm që mund të çojë në dëmtimin e interesave të dikujt. Nga ana tjetër, një kërcënim për sigurinë e informacionit të një sistemi të automatizuar është mundësia e zbatimit të një ndikimi në informacionin e përpunuar në AU, duke çuar në një shkelje të konfidencialitetit, integritetit ose disponueshmërisë së këtij informacioni, si dhe mundësinë e ndikimit komponentët AU, duke çuar në humbjen, shkatërrimin ose mosfunksionimin e tyre.

Kërcënimet mund të klasifikohen sipas shumë kritereve. Këtu janë ato më të zakonshmet. Tsirlov V.L. Bazat e sigurisë së informacionit të sistemeve të automatizuara - "Phoenix", 2008 - F. 10

1. Për nga natyra e shfaqjes, është zakon të bëhet dallimi midis kërcënimeve natyrore dhe artificiale.

Është zakon të quhen kërcënimet natyrore si rezultat i ndikimit tek folësi i proceseve fizike objektive ose fatkeqësive natyrore që nuk varen nga një person. Nga ana tjetër, kërcënimet artificiale shkaktohen nga faktori njerëzor.

Shembuj të rreziqeve natyrore përfshijnë zjarret, përmbytjet, cunami, tërmetet, etj. Një tipar i pakëndshëm i kërcënimeve të tilla është se ato janë jashtëzakonisht të vështira ose madje të pamundura për t'u parashikuar.

2. Sipas shkallës së qëllimshmërisë dallohen kërcënimet e rastësishme dhe të qëllimshme.

Kërcënimet aksidentale mund të shkaktohen nga neglizhenca ose gabimi i paqëllimshëm i personelit. Kërcënimet e qëllimshme janë zakonisht rezultat i aktivitetit të sulmuesit të synuar.

Shembuj të kërcënimeve aksidentale përfshijnë futjen e paqëllimshme të të dhënave të gabuara, dëmtimin e paqëllimshëm të pajisjeve. Një shembull i një kërcënimi të qëllimshëm është një ndërhyrës që hyn në një zonë të mbrojtur në kundërshtim me rregullat e vendosura të aksesit fizik.

3. Në varësi të burimit të kërcënimit, është zakon të dallohen:

- Kërcënimet nga mjedisi natyror. Shembuj të kërcënimeve të tilla janë zjarret, përmbytjet dhe fatkeqësitë e tjera natyrore.

- Kërcënimet me origjinë nga njerëzit. Një shembull i një kërcënimi të tillë është futja e agjentëve në radhët e personelit të uzinës nga një organizatë konkurruese.

- Kërcënime nga firmware i autorizuar. Një shembull i një kërcënimi të tillë është përdorimi jokompetent i shërbimeve të sistemit.

- Kërcënimet me origjinë nga softueri dhe hardueri i paautorizuar. Kërcënime të tilla përfshijnë, për shembull, futjen e keylogger-ëve në sistem.

4. Sipas pozicionit të burimit të kërcënimit dallohen:

- Kërcënimet me origjinë jashtë zonës së kontrolluar. Shembuj të kërcënimeve të tilla janë përgjimi i rrezatimit elektromagnetik të rremë (PEMIN) ose përgjimi i të dhënave të transmetuara përmes kanaleve të komunikimit; filmimi i fotografive dhe videove në distancë;

përgjimi i informacionit akustik duke përdorur mikrofonat e drejtimit.

- Kërcënimet, burimi i të cilave ndodhet brenda zonës së kontrolluar.

Shembuj të këtyre kërcënimeve përfshijnë përdorimin e pajisjeve përgjuese ose vjedhjen e mediave që përmbajnë informacion konfidencial.

5. Sipas shkallës së ndikimit në centralet bërthamore dallohen kërcënimet pasive dhe aktive. Kërcënimet pasive gjatë zbatimit nuk sjellin asnjë ndryshim në përbërjen dhe strukturën e termocentralit bërthamor.

Nga ana tjetër, zbatimi i kërcënimeve aktive cenon strukturën e sistemit të automatizuar.

Një shembull i një kërcënimi pasiv është kopjimi i paautorizuar i skedarëve të të dhënave.

6. Sipas mënyrës së aksesit në burimet e AU, dallohen:

- Kërcënimet duke përdorur aksesin standard. Një shembull i një kërcënimi të tillë është marrja e paautorizuar e një fjalëkalimi me anë të ryshfetit, shantazhit, kërcënimit ose dhunës fizike ndaj pronarit të ligjshëm.

- Kërcënimet duke përdorur një shteg aksesi jo standard. Një shembull i një kërcënimi të tillë është përdorimi i aftësive të padeklaruara të mjeteve të mbrojtjes.

Kriteret për klasifikimin e kërcënimeve mund të vazhdojnë, por në praktikë më së shpeshti përdoret klasifikimi bazë i mëposhtëm i kërcënimeve, bazuar në tre vetitë themelore të informacionit të mbrojtur të prezantuar më herët:

1. Kërcënimet për shkeljen e konfidencialitetit të informacionit, si rezultat i zbatimit të të cilave informacioni vihet në dispozicion të një subjekti që nuk ka autoritetin për t'u njohur me të.

2. Kërcënimet për shkeljen e integritetit të informacionit, të cilat përfshijnë çdo shtrembërim me qëllim të keq të informacionit të përpunuar duke përdorur AU.

3. Kërcënimet për shkelje të disponueshmërisë së informacionit që lindin në rastet kur bllokohet aksesi në një burim të caktuar AS për përdoruesit e ligjshëm.

Vini re se kërcënimet reale për sigurinë e informacionit nuk mund t'i atribuohen gjithmonë rreptësisht njërës prej kategorive të listuara. Kështu, për shembull, kërcënimi i vjedhjes së transportuesve të informacionit, në kushte të caktuara, mund t'i atribuohet të tre kategorive.

Vini re se numërimi i kërcënimeve karakteristike të një sistemi të veçantë të automatizuar është një fazë e rëndësishme në analizën e dobësive të AS, e kryer, për shembull, si pjesë e një auditimi të sigurisë së informacionit dhe krijon një bazë për analizën e mëvonshme të rrezikut. Ekzistojnë dy mënyra kryesore për të renditur kërcënimet:

1. Ndërtimi i listave arbitrare të kërcënimeve. Kërcënimet e mundshme identifikohen duke përdorur një metodë eksperti dhe regjistrohen në mënyrë të rastësishme dhe të pastrukturuar.

Kjo qasje karakterizohet nga paplotësia dhe mospërputhja e rezultateve të marra.

2. Ndërtimi i pemëve kërcënuese. Kërcënimet përshkruhen si një ose më shumë pemë. Kërcënimet janë të detajuara nga lart poshtë, dhe në fund çdo gjethe e pemës jep një përshkrim të një kërcënimi specifik. Nëse është e nevojshme, mund të organizohen lidhje logjike ndërmjet nënpemëve.

Le të shqyrtojmë si shembull një pemë kërcënimesh për të bllokuar aksesin në një aplikacion rrjeti (Shtojca B).

Siç mund ta shihni, bllokimi i aksesit në një aplikacion mund të ndodhë ose si rezultat i një sulmi DoS në një ndërfaqe rrjeti, ose si rezultat i një mbylljeje kompjuteri. Nga ana tjetër, mbyllja e kompjuterit mund të ndodhë ose si rezultat i aksesit fizik të paautorizuar në kompjuter nga një sulmues, ose si rezultat i një sulmuesi që shfrytëzon një cenueshmëri të tejmbushjes së tamponit.

1.3 Ndërtimi i sistemeve të mbrojtjes kundër kërcënimeve të shkeljes së konfidencialitetit të informacionit

1.3.1 Modeli i sistemit të mbrojtjes

Kur ndërtoni sisteme të mbrojtjes kundër kërcënimeve të shkeljes së konfidencialitetit të informacionit në sistemet e automatizuara, përdoret një qasje e integruar. (Shtojca B).

Siç shihet edhe nga diagrami i mësipërm, mbrojtja parësore kryhet për shkak të masave organizative dhe mekanizmave të zbatuar për kontrollin e aksesit fizik në TEC. Më tej, në fazën e kontrollit logjik të aksesit, mbrojtja kryhet duke përdorur shërbime të ndryshme të sigurisë së rrjetit. Në të gjitha rastet, paralelisht, duhet të vendoset një kompleks mjetesh inxhinierike dhe teknike të mbrojtjes së informacionit, duke bllokuar mundësinë e rrjedhjes përmes kanaleve teknike.

Le të ndalemi më në detaje në secilin nga nënsistemet e përfshira në zbatimin e mbrojtjes.

1.3.2 Masat e sigurisë organizative dhe fizike

Këto mekanizma në përgjithësi parashikojnë:

- vendosja e një sistemi kontrolli dhe përcaktimi i aksesit fizik në elementët e sistemit të automatizuar.

- krijimi i një shërbimi sigurie dhe sigurie fizike.

- organizimi i mekanizmave për të kontrolluar lëvizjen e punonjësve dhe vizitorëve (duke përdorur sisteme të mbikqyrjes video, kartat e afërsisë, etj.);

- zhvillimi dhe zbatimi i rregulloreve, përshkrimeve të punës dhe dokumenteve të ngjashme rregullatore;

- Rregullimi i procedurës së punës me media që përmbajnë informacion konfidencial.

Pa cënuar logjikën e funksionimit të AU, këto masa, nëse zbatohen në mënyrë korrekte dhe adekuate, janë një mekanizëm mbrojtës jashtëzakonisht efektiv dhe janë jetik për të garantuar sigurinë e çdo sistemi real.

1.3.3 Identifikimi dhe vërtetimi

Kujtoni se identifikimi zakonisht kuptohet si caktimi i identifikuesve unikë për aksesin e subjekteve dhe krahasimi i identifikuesve të tillë me një listë të atyre të mundshëm. Nga ana tjetër, vërtetimi kuptohet si kontrollimi që subjekti i aksesit i përket identifikuesit të paraqitur atij dhe konfirmimi i origjinalitetit të tij.

Kështu, detyra e identifikimit është t'i përgjigjet pyetjes "kush është ky?", Dhe të vërtetimit - "a është me të vërtetë ai?"

Shumë metoda të vërtetimit të përdorura aktualisht mund të ndahen në 4 grupe të mëdha:

1. Metodat e bazuara në njohjen e disa informacioneve të klasifikuara.

Një shembull klasik i metodave të tilla është mbrojtja me fjalëkalim, kur, si një mjet vërtetimi, përdoruesit i kërkohet të fusë një fjalëkalim - një sekuencë të caktuar karakteresh. Këto metoda të vërtetimit janë më të zakonshmet.

2. Metodat e bazuara në përdorimin e një artikulli unik. Një kartë inteligjente, token, çelës elektronik, etj. mund të përdoret si një artikull i tillë.

3. Metodat e bazuara në përdorimin e karakteristikave biometrike të njeriut. Në praktikë, një ose më shumë nga karakteristikat biometrike të mëposhtme përdoren më së shpeshti:

- gjurmë gishtash;

- vizatim i retinës ose irisit të syrit;

- vizatim termik i dorës;

- fotografi ose vizatim termik i fytyrës;

- shkrim dore (pikturë);

- zëri.

Më të përhapurit janë skanerët e gjurmëve të gishtërinjve dhe vizatimet e retinës dhe irisit të syrit.

4. Metodat e bazuara në informacionin e lidhur me përdoruesin.

Një shembull i një informacioni të tillë janë koordinatat GPS të përdoruesit. Kjo qasje nuk ka gjasa të përdoret si mekanizmi i vetëm i vërtetimit, por është plotësisht i vlefshëm si një nga disa mekanizma të përbashkët.

Është praktikë e përhapur të ndash disa nga mekanizmat e listuar më sipër - në raste të tilla, ata flasin për vërtetim me shumë faktorë.

Karakteristikat e sistemeve të vërtetimit të fjalëkalimit

Me gjithë larminë e mekanizmave ekzistues të vërtetimit, më i zakonshmi prej tyre mbetet mbrojtja me fjalëkalim. Ka disa arsye për këtë, nga të cilat ne do të vërejmë në vijim:

- Lehtësia relative e zbatimit. Në të vërtetë, zbatimi i një mekanizmi mbrojtës me fjalëkalim zakonisht nuk kërkon përfshirjen e pajisjeve shtesë.

- Tradita. Mekanizmat e mbrojtjes së fjalëkalimit janë të njohur për shumicën e përdoruesve të sistemeve të automatizuara dhe nuk shkaktojnë refuzim psikologjik - ndryshe nga, për shembull, skanerët e retinës.

Në të njëjtën kohë, një paradoks është karakteristik për sistemet e mbrojtjes me fjalëkalim që e ndërlikon zbatimin efektiv të tyre: fjalëkalimet e forta nuk janë shumë të përshtatshme për përdorim njerëzor.

Në të vërtetë, fuqia e fjalëkalimit lind ndërsa bëhet më e ndërlikuar; megjithatë, sa më kompleks të jetë fjalëkalimi, aq më i vështirë është të mbahet mend dhe përdoruesi tundohet të shkruajë një fjalëkalim të papërshtatshëm, i cili krijon kanale shtesë për diskreditimin e tij.

Le të ndalemi më në detaje mbi kërcënimet kryesore për sigurinë e sistemeve të fjalëkalimeve. Në përgjithësi, një fjalëkalim mund të merret nga një sulmues në një nga tre mënyrat kryesore:

1. Duke shfrytëzuar dobësitë e faktorit njerëzor. Metodat e marrjes së fjalëkalimeve këtu mund të jenë shumë të ndryshme: përgjimi, përgjimi, shantazhi, kërcënimet dhe së fundi, përdorimi i llogarive të dikujt tjetër me lejen e pronarëve të tyre legjitimë.

2. Me përzgjedhje. Në këtë rast, përdoren metodat e mëposhtme:

- Kërkim i plotë. Kjo metodë ju lejon të merrni me mend çdo fjalëkalim, pavarësisht nga kompleksiteti i tij; megjithatë, për një fjalëkalim të fortë, koha e nevojshme për këtë sulm duhet të tejkalojë ndjeshëm burimet kohore të pranueshme të sulmuesit.

- Përzgjedhja sipas fjalorit. Një pjesë e konsiderueshme e fjalëkalimeve të përdorura në praktikë janë fjalë ose shprehje kuptimplote. Ekzistojnë fjalorë për fjalëkalimet më të zakonshme, të cilët në shumë raste bëjnë të mundur shmangien e sulmeve brute-force.

Zgjedhja duke përdorur informacionin e përdoruesit. Kjo metodë inteligjente e hamendjes së fjalëkalimeve bazohet në faktin se nëse politika e sigurisë së sistemit parashikon caktimin e pavarur të fjalëkalimeve nga përdoruesit, atëherë në shumicën dërrmuese të rasteve, do të zgjidhen disa informacione personale të lidhura me përdoruesin e AU. si fjalëkalim. Dhe megjithëse çdo gjë mund të zgjidhet si informacion i tillë, nga ditëlindja e vjehrrës deri tek pseudonimi i qenit tuaj të preferuar, prania e informacionit rreth përdoruesit ju lejon të kontrolloni opsionet më të zakonshme (ditëlindjet, emrat e fëmijëve, etj. ).

3. Nëpërmjet përdorimit të mangësive në zbatimin e sistemeve të fjalëkalimeve. Të meta të tilla zbatimi përfshijnë dobësi të shfrytëzueshme në shërbimet e rrjetit që zbatojnë komponentë të caktuar të sistemit të mbrojtjes me fjalëkalim, ose aftësi të padeklaruara të softuerit ose harduerit përkatës.

Kur ndërtoni një sistem mbrojtjeje me fjalëkalim, është e nevojshme të merren parasysh specifikat e AU dhe të udhëhiqeni nga rezultatet e analizës së rrezikut të kryer. Në të njëjtën kohë, rekomandimet praktike të mëposhtme mund të bëhen:

- Vendosja e gjatësisë minimale të fjalëkalimit. Është e qartë se rregullimi i gjatësisë minimale të lejueshme të fjalëkalimit e bën të vështirë për një sulmues të zbatojë hamendjen e fjalëkalimit me forcë brutale.

- Rritja e fuqisë së alfabetit të fjalëkalimit. Duke rritur fuqinë (e cila arrihet, për shembull, me përdorimin e detyrueshëm të karaktereve speciale), mund të ndërlikoni gjithashtu kërkimin e plotë.

- Kontrollimi dhe refuzimi i fjalëkalimeve duke përdorur një fjalor. Ky mekanizëm e bën të vështirë gjetjen e fjalëkalimeve duke përdorur një fjalor për shkak të refuzimit të fjalëkalimeve dukshëm të lehtë për t'u hamendësuar.

- Vendosja e datës maksimale të skadimit të fjalëkalimit. Skadimi i fjalëkalimit kufizon sasinë e kohës që një sulmues mund të kalojë për të gjetur fjalëkalimin. Kështu, shkurtimi i periudhës së vlefshmërisë së fjalëkalimit zvogëlon mundësinë e supozimit të suksesshëm të fjalëkalimit.

- Vendosja e datës minimale të skadimit të fjalëkalimit. Ky mekanizëm e pengon përdoruesin të ndryshojë menjëherë fjalëkalimin e ri në atë të mëparshëm.

- Nxjerrja sipas regjistrit të historikut të fjalëkalimit. Mekanizmi parandalon ripërdorimin e fjalëkalimeve - ndoshta të rrezikuara më parë.

- Kufizimi i numrit të përpjekjeve për fjalëkalim. Ky mekanizëm e bën të vështirë gjetjen e fjalëkalimeve në mënyrë interaktive.

- Ndryshimi i detyruar i fjalëkalimit kur përdoruesi hyn për herë të parë në sistem. Nëse administratori është përgjegjës për gjenerimin fillestar të fjalëkalimeve për të gjithë përdoruesit, përdoruesit mund t'i kërkohet të ndryshojë fjalëkalimin fillestar në hyrjen e parë në sistem - në këtë rast, fjalëkalimi i ri nuk do t'i njihet administratorit.

- Vonesa në futjen e fjalëkalimit të gabuar. Mekanizmi parandalon hamendjen interaktive të fjalëkalimit.

- Ndalimi i zgjedhjes nga përdoruesi të një fjalëkalimi dhe gjenerimi automatik i fjalëkalimit. Ky mekanizëm ju lejon të garantoni fuqinë e fjalëkalimeve të krijuara - megjithatë, mos harroni se në këtë rast përdoruesit do të kenë në mënyrë të pashmangshme probleme me kujtimin e fjalëkalimeve.

Vlerësimi i sigurisë së sistemeve të fjalëkalimeve V.L. Tsirlov. Bazat e sigurisë së informacionit të sistemeve të automatizuara - "Phoenix", 2008 - F. 16

Le të vlerësojmë marrëdhëniet elementare midis parametrave kryesorë të sistemeve të fjalëkalimeve. Le të prezantojmë shënimin e mëposhtëm:

- A - fuqia e alfabetit të fjalëkalimit;

- L - gjatësia e fjalëkalimit;

- S = AL - fuqia e hapësirës së fjalëkalimit;

- V - shpejtësia e gjetjes së fjalëkalimit;

- T - data e skadimit të fjalëkalimit;

- P - probabiliteti i supozimit të një fjalëkalimi gjatë periudhës së vlefshmërisë së tij.

Natyrisht, marrëdhënia e mëposhtme është e vërtetë:

Zakonisht, shpejtësia e sulmit me forcë brutale V dhe fjalëkalimi mosha T mund të konsiderohen të njohura. Në këtë rast, duke vendosur vlerën e pranueshme të probabilitetit P për të gjetur një fjalëkalim gjatë periudhës së vlefshmërisë së tij, mund të përcaktohet kardinaliteti i kërkuar i hapësirës së fjalëkalimit S.

Vini re se zvogëlimi i shkallës së gjetjes së fjalëkalimeve V zvogëlon gjasat për të gjetur një fjalëkalim. Nga kjo, në veçanti, rrjedh se nëse zgjedhja e fjalëkalimit kryhet duke llogaritur një funksion hash dhe duke krahasuar rezultatin me një vlerë të caktuar, atëherë përdorimi i një funksioni hash të ngadaltë do të sigurojë një forcë më të madhe të sistemit të fjalëkalimit.

Metodat e ruajtjes së fjalëkalimit

Në përgjithësi, tre mekanizma për ruajtjen e fjalëkalimeve në një AS janë të mundshme:

1. Në formë të hapur. Sigurisht, ky opsion nuk është optimal, pasi krijon automatikisht shumë kanale të rrjedhjes së informacionit të fjalëkalimit. Nevoja reale për të ruajtur fjalëkalimet në tekst të qartë është jashtëzakonisht e rrallë, dhe zakonisht një vendim i tillë është pasojë e paaftësisë së zhvilluesit.

2. Si një vlerë hash. Ky mekanizëm është i përshtatshëm për të kontrolluar fjalëkalimet, pasi vlerat hash lidhen në mënyrë unike me një fjalëkalim, por në të njëjtën kohë ato vetë nuk janë me interes për një sulmues.

3. E koduar. Fjalëkalimet mund të kodohen duke përdorur një lloj algoritmi kriptografik, ku çelësi i enkriptimit mund të ruhet:

- në një nga elementët e përhershëm të sistemit;

- në ndonjë medium (çelës elektronik, kartë inteligjente, etj.) të paraqitur gjatë inicializimit të sistemit;

- çelësi mund të gjenerohet nga disa parametra të tjerë të sigurisë AC - për shembull, nga fjalëkalimi i administratorit gjatë inicializimit të sistemit.

Transferimi i fjalëkalimeve përmes rrjetit

Opsionet më të zakonshme të zbatimit janë:

1. Transferimi i fjalëkalimeve në tekst të qartë. Qasja është jashtëzakonisht e cenueshme, pasi fjalëkalimet mund të përgjohen në kanalet e komunikimit. Përkundër kësaj, shumë protokolle rrjeti të përdorura në praktikë (për shembull, FTP) supozojnë transferimin e fjalëkalimeve në tekst të qartë.

2. Transmetimi i fjalëkalimeve në formën e vlerave hash haset ndonjëherë në praktikë, por zakonisht nuk ka kuptim - hash-et e fjalëkalimeve mund të përgjohen dhe ritransmetohen nga një sulmues përmes një kanali komunikimi.

3. Transferimi i fjalëkalimeve në formë të koduar është opsioni më i arsyeshëm dhe i justifikuar në pjesën më të madhe.

1.3.4 Kontrolli i aksesit

Nën diferencimin e aksesit, është zakon të kuptohet vendosja e kompetencave të subjekteve për kontrollin e radhës të përdorimit të autorizuar të burimeve të disponueshme në sistem. Është zakon të dallohen dy metoda kryesore të kontrollit të aksesit: diskrecionale dhe e detyrueshme.

Diskrecion është përkufizimi i kontrollit të aksesit ndërmjet subjekteve të emërtuar dhe objekteve të emërtuara.

Natyrisht, në vend të një matrice aksesi, mund të përdorni lista të lejeve: për shembull, çdo përdorues mund të lidhet me një listë burimesh të disponueshme për të me të drejtat përkatëse, ose çdo burim mund të shoqërohet me një listë përdoruesish që tregojnë të drejtat e tyre. për të hyrë në këtë burim.

Kontrolli i detyrueshëm i aksesit zakonisht zbatohet si kontroll i aksesit bazuar në nivelet e fshehtësisë. Autoriteti i çdo përdoruesi vendoset në përputhje me nivelin maksimal të fshehtësisë që i lejohet. Në këtë rast, të gjitha burimet e AU duhet të klasifikohen sipas niveleve të fshehtësisë.

Dallimi themelor midis kontrollit diskrecional dhe atij të detyrueshëm të aksesit është si vijon: nëse, në rastin e kontrollit diskrecional të aksesit, e drejta për të hyrë në një burim për përdoruesit përcaktohet nga pronari i tij, atëherë në rastin e kontrollit të detyrueshëm të aksesit, nivelet e privatësisë janë vendosur nga jashtë, dhe pronari i burimit nuk mund të ndikojë në to. Vetë termi "i detyrueshëm" është një përkthim fatkeq i fjalës i detyrueshëm - "i detyrueshëm". Kështu, kontrolli i detyrueshëm i aksesit duhet të kuptohet si i detyrueshëm.

1.3.5 Teknikat e Konfidencialitetit Kriptografik

Për të siguruar konfidencialitetin e informacionit, përdoren primitivet e mëposhtme kriptografike:

1. Kriptosistemet simetrike.

Në kriptosistemet simetrike për enkriptimin dhe deshifrimin e informacionit, përdoret i njëjti çelës sekret i përbashkët, të cilin palët ndërvepruese shkëmbehen më parë në një kanal të sigurt.

Si shembuj të kriptosistemeve simetrike, mund të përmendet algoritmi vendas GOST 28147-89, si dhe standardet ndërkombëtare DES dhe AES që e zëvendësuan atë.

2. Kriptosistemet asimetrike.

Kriptosistemet asimetrike karakterizohen nga fakti se ata përdorin çelësa të ndryshëm për të kriptuar dhe deshifruar informacionin. Çelësi i enkriptimit (çelësi publik) mund të bëhet publik në mënyrë që çdokush të mund të enkriptojë një mesazh për disa marrës.

Marrësi, duke qenë i vetmi pronar i çelësit të deshifrimit (çelës sekret), do të jetë i vetmi që mund të deshifrojë mesazhet e koduara për të.

Shembuj të kriptosistemeve asimetrike janë RSA dhe skema e ElGamal.

Kriptosistemet simetrike dhe asimetrike, si dhe kombinimet e tyre të ndryshme, përdoren në AU kryesisht për enkriptimin e të dhënave në media të ndryshme dhe për enkriptimin e trafikut.

kërcënimi i rrjetit të informacionit të mbrojtjes

1.3.6 Metodat për mbrojtjen e perimetrit të jashtëm

Nënsistemi për mbrojtjen e perimetrit të jashtëm të një sistemi të automatizuar zakonisht përfshin dy mekanizma kryesorë: muret e zjarrit dhe mjetet e zbulimit të ndërhyrjeve. Për zgjidhjen e problemeve të ndërlidhura, këto mekanizma shpesh zbatohen brenda një produkti të vetëm dhe funksionojnë si një e tërë. Në të njëjtën kohë, secili prej mekanizmave është i vetë-mjaftueshëm dhe meriton konsideratë të veçantë.

Firewalling http://www.infotecs.ru

Firewall (ME) kryen funksionet e përcaktimit të flukseve të informacionit në kufirin e sistemit të automatizuar të mbrojtur. Kjo lejon:

- të përmirësojë sigurinë e objekteve në mjedisin e brendshëm duke injoruar kërkesat e paautorizuara nga mjedisi i jashtëm;

- kontrollojnë rrjedhat e informacionit në mjedisin e jashtëm;

- të sigurojë regjistrimin e proceseve të shkëmbimit të informacionit.

Rrjedhat e informacionit kontrollohen duke filtruar informacionin, d.m.th. duke e analizuar atë sipas një sërë kriteresh dhe duke marrë një vendim për shpërndarjen në AU ose nga AU.

Në varësi të parimeve të funksionimit, ekzistojnë disa klasa të mureve të zjarrit. Karakteristika kryesore e klasifikimit është niveli i modelit ISO / OSI në të cilin operon ME.

1. Filtrat e paketave.

Klasa më e thjeshtë e mureve të zjarrit që funksionojnë në rrjetin dhe shtresat e transportit të modelit ISO / OSI. Filtrimi i paketave zakonisht bëhet sipas kritereve të mëposhtme:

- adresa IP e burimit;

- adresën IP të marrësit;

- porta e burimit;

- porta e marrësit;

- parametrat specifikë të titujve të paketave të rrjetit.

Filtrimi zbatohet duke krahasuar parametrat e listuar të titujve të paketave të rrjetit me bazën e rregullave të filtrimit.

2. Portat e nivelit të sesionit

Këto mure zjarri funksionojnë në shtresën e sesionit të modelit ISO / OSI. Ndryshe nga filtrat e paketave, ata mund të kontrollojnë vlefshmërinë e një sesioni duke analizuar parametrat e protokolleve të shtresës së sesionit.

3. Portat e nivelit të aplikimit

Firewall-et e kësaj klase ju lejojnë të filtroni disa lloje komandash ose grupesh të dhënash në protokollet e nivelit të aplikacionit. Për këtë, përdoren shërbimet proxy - programe me qëllime të veçanta që kontrollojnë trafikun përmes murit të zjarrit për protokolle të caktuara të nivelit të lartë (http, ftp, telnet, etj.).

Rendi i përdorimit të shërbimeve proxy tregohet në Shtojcën D.

Nëse, pa përdorur shërbimet proxy, krijohet një lidhje rrjeti midis palëve ndërvepruese A dhe B drejtpërdrejt, atëherë në rastin e përdorimit të një shërbimi proxy, shfaqet një ndërmjetës - një server proxy që ndërvepron në mënyrë të pavarur me pjesëmarrësin e dytë në shkëmbimin e informacionit. Kjo skemë ju lejon të kontrolloni pranueshmërinë e përdorimit të komandave individuale të protokolleve të nivelit të lartë, si dhe të filtroni të dhënat e marra nga serveri proxy nga jashtë; në këtë rast, serveri proxy, bazuar në politikat e vendosura, mund të marrë një vendim për mundësinë ose pamundësinë e transferimit të këtyre të dhënave te klienti A.

4. Firewallet e nivelit të ekspertëve.

Firewallet më të sofistikuara, duke kombinuar elementë të të tre kategorive të mësipërme. Në vend të shërbimeve proxy, ekrane të tillë përdorin algoritme për njohjen dhe përpunimin e të dhënave në nivelin e aplikacionit.

Shumica e mureve të zjarrit të përdorur aktualisht janë në kategorinë e ekspertëve. ME-të më të famshme dhe më të përhapura janë CISCO PIX dhe CheckPoint FireWall-1.

Sistemet e zbulimit të ndërhyrjeve

Zbulimi i ndërhyrjeve është procesi i identifikimit të aksesit të paautorizuar (ose tentativës për akses të paautorizuar) në burimet e një sistemi të automatizuar. Një sistem i zbulimit të ndërhyrjeve (IDS) është përgjithësisht një sistem harduerësh dhe softuerësh që zgjidh këtë problem.

Ekzistojnë dy kategori kryesore të sistemeve IDS:

1. Shtresa e rrjetit IDS.

Në sisteme të tilla, sensori funksionon në një host të dedikuar në segmentin e rrjetit të mbrojtur. Në mënyrë tipike, përshtatësi i rrjetit i një hosti të caktuar operon në modalitetin e çuditshëm, i cili lejon analizën e të gjithë trafikut të rrjetit që kalon nëpër segment.

2. IDS në nivel pritës.

Në rast se sensori funksionon në nivelin pritës, informacioni i mëposhtëm mund të përdoret për analizë:

- të dhënat e mjeteve standarde të regjistrimit të sistemit operativ;

- informacion për burimet e përdorura;

- profilet e sjelljes së pritshme të përdoruesit.

Çdo lloj IDS ka avantazhet dhe disavantazhet e veta. IDS-të e nivelit të rrjetit nuk degradojnë performancën e përgjithshme të sistemit, por IDS-të e nivelit të hostit janë më efektive në zbulimin e sulmeve dhe analizimin e aktivitetit të lidhur me një host individual. Në praktikë, këshillohet përdorimi i sistemeve që kombinojnë të dyja qasjet e përshkruara.

Ka zhvillime që synojnë përdorimin e metodave të inteligjencës artificiale në sistemet IDS. Vlen të përmendet se aktualisht produktet komerciale nuk përmbajnë mekanizma të tillë.

1.3.7 Regjistrimi dhe Auditimi aktiveauditimit .narod.ru

Nënsistemi i regjistrimit dhe auditimit është një komponent i detyrueshëm i çdo AS. Regjistrimi, ose regjistrimi, është një mekanizëm përgjegjshmërie për sistemin e menaxhimit të sigurisë së informacionit që regjistron të gjitha ngjarjet që lidhen me sigurinë. Nga ana tjetër, një auditim është një analizë e informacionit që regjistrohet në mënyrë që të identifikojë dhe parandalojë menjëherë shkeljet e regjimit të sigurisë së informacionit. Sistemet e zbulimit të ndërhyrjeve në nivel pritës mund të mendohen si sisteme aktive auditimi.

Qëllimi i mekanizmit të regjistrimit dhe auditimit:

- sigurimin e llogaridhënies së përdoruesve dhe administratorëve;

- sigurimi i mundësisë së rindërtimit të sekuencës së ngjarjeve (që është e nevojshme, për shembull, kur hetohen incidente që lidhen me sigurinë e informacionit);

- zbulimin e tentativave për të cenuar sigurinë e informacionit;

- sigurimin e informacionit për të identifikuar dhe analizuar problemet teknike jo të sigurisë.

Të dhënat e regjistruara vendosen në ditarin e ditarit, i cili është një grup regjistrimesh të renditura kronologjikisht të rezultateve të aktiviteteve të subjekteve të termocentralit bërthamor, të mjaftueshëm për restaurimin, shikimin dhe analizën e sekuencës së veprimeve për të kontrolluar rezultatin përfundimtar. rezultat.

Meqenëse sistemet e sistemeve janë burimi kryesor i informacionit për auditimin dhe zbulimin e mëvonshëm të shkeljeve të sigurisë, duhet t'i kushtohet vëmendje maksimale mbrojtjes së sistemeve nga modifikimet e paautorizuara. Sistemi i regjistrimit duhet të projektohet në mënyrë që asnjë përdorues (përfshirë administratorët!) të mos mund të modifikojë në mënyrë arbitrare shënimet e regjistrit të sistemit.

Po aq e rëndësishme është çështja e radhës në të cilën ruhen regjistrat e sistemit. Meqenëse skedarët e regjistrit ruhen në një ose në një medium tjetër, problemi i tejmbushjes së madhësisë maksimale të lejueshme të regjistrit të sistemit lind në mënyrë të pashmangshme. Në këtë rast, reagimi i sistemit mund të jetë i ndryshëm, për shembull:

- sistemi mund të bllokohet derisa të zgjidhet problemi me hapësirën e disponueshme të diskut;

- shënimet më të vjetra të regjistrit të sistemit mund të fshihen automatikisht;

- sistemi mund të vazhdojë funksionimin duke pezulluar përkohësisht regjistrimin e informacionit.

Sigurisht, opsioni i fundit është në shumicën e rasteve i papranueshëm dhe rendi i ruajtjes së regjistrave të sistemit duhet të rregullohet qartë në politikën e sigurisë së organizatës.

1.4 Ndërtimi i sistemeve të mbrojtjes nga kërcënimet e cenimit të integritetit

1.4.1 Parimet e integritetit

Shumica e mekanizmave që mbrojnë informacionin nga kërcënimet ndaj konfidencialitetit, në një shkallë ose në një tjetër, kontribuojnë në sigurimin e integritetit të informacionit. Në këtë seksion, do të ndalemi më në detaje mbi mekanizmat specifikë për nënsistemin e sigurimit të integritetit. Le të fillojmë duke formuluar parimet kryesore të sigurimit të integritetit, të formuluara nga Clark dhe Wilson:

1. Korrektësia e transaksioneve.

Parimi kërkon sigurimin e pamundësisë së modifikimit arbitrar të të dhënave nga përdoruesi. Të dhënat duhet të modifikohen vetëm në atë mënyrë që të sigurohet ruajtja e integritetit të tyre.

2. Autentifikimi i përdoruesit.

Të dhënat mund të ndryshohen vetëm nga përdoruesit që janë vërtetuar për të kryer veprimet përkatëse.

3. Minimizimi i privilegjeve.

Proceset duhet të pajisen me ato dhe vetëm ato privilegje në AS që janë minimale të mjaftueshme për ekzekutimin e tyre.

4. Ndarja e detyrave.

Operacionet kritike ose të pakthyeshme kërkojnë përfshirjen e përdoruesve të shumtë të pavarur.

Në praktikë, ndarja e detyrave mund të zbatohet ose vetëm me metoda organizative ose duke përdorur skema të ndarjes së sekreteve kriptografike.

5. Auditimi i ngjarjeve të kaluara.

Ky parim kërkon krijimin e një mekanizmi të llogaridhënies së përdoruesit që ju lejon të gjurmoni momentet e shkeljes së integritetit të informacionit.

6. Kontroll objektiv.

Është e nevojshme të zbatohet nxjerrja e të dhënave në internet, kontrolli i integritetit të të cilit është i justifikuar.

Në të vërtetë, në shumicën e rasteve është jopraktike të kontrollohet rreptësisht integriteti i të gjitha të dhënave të pranishme në sistem, qoftë edhe vetëm për arsye të performancës: kontrolli i integritetit është një operacion jashtëzakonisht intensiv me burime.

7. Menaxhimi i transferimit të privilegjeve.

Procedura për transferimin e privilegjeve duhet të jetë plotësisht në përputhje me strukturën organizative të ndërmarrjes.

Parimet e listuara bëjnë të mundur formimin e një strukture të përgjithshme të sistemit të mbrojtjes kundër kërcënimeve të shkeljes së integritetit (Shtojca E).

Siç mund të shihet nga Shtojca D, mekanizmat kriptografikë për sigurimin e integritetit janë thelbësisht të reja në krahasim me shërbimet e përdorura për të ndërtuar një sistem mbrojtjeje kundër kërcënimeve të konfidencialitetit.

Vini re se mekanizmat për të siguruar korrektësinë e transaksioneve mund të përfshijnë gjithashtu primitivë kriptografikë në farë.

1.4.2 Metodat kriptografike për sigurimin e integritetit të informacionit

Primitivët e mëposhtëm kriptografikë përdoren në ndërtimin e sistemeve të mbrojtjes kundër kërcënimeve ndaj integritetit të informacionit:

- nënshkrimet dixhitale;

- funksionet hash kriptografike;

- kodet e vërtetimit.

Nënshkrimet dixhitale

Një nënshkrim dixhital është një mekanizëm për të konfirmuar vërtetësinë dhe integritetin e dokumenteve dixhitale. Në shumë mënyra, është analoge me një nënshkrim të shkruar me dorë - në veçanti, pothuajse të njëjtat kërkesa vendosen mbi të:

1. Nënshkrimi dixhital duhet të jetë në gjendje të dëshmojë se ka qenë autori legjitim dhe askush tjetër që ka nënshkruar me vetëdije dokumentin.

2. Nënshkrimi dixhital duhet të jetë pjesë përbërëse e dokumentit.

Duhet të jetë e pamundur të ndash nënshkrimin nga dokumenti dhe ta përdorësh atë për të nënshkruar dokumente të tjera.

3. Nënshkrimi dixhital duhet të sigurojë pamundësinë e ndryshimit të dokumentit të nënshkruar (përfshirë edhe vetë autorin!).

4. Fakti i nënshkrimit të dokumentit duhet të jetë ligjërisht i vërtetueshëm. Duhet të jetë e pamundur të refuzohet autorësia e dokumentit të nënshkruar.

Në rastin më të thjeshtë, një mekanizëm i ngjashëm me një kriptosistem asimetrik mund të përdoret për të zbatuar një nënshkrim dixhital. Dallimi është se çelësi sekret do të përdoret për enkriptim (që në këtë rast është nënshkrimi), dhe çelësi publik do të përdoret për deshifrim, i cili vepron si verifikim i nënshkrimit.

Procedura për përdorimin e një nënshkrimi dixhital në këtë rast do të jetë si më poshtë:

1. Dokumenti është i koduar me çelësin privat të nënshkruesit dhe kopja e koduar shpërndahet së bashku me dokumentin origjinal si nënshkrim dixhital.

2. Marrësi, duke përdorur çelësin publik të nënshkruesit, deshifron nënshkrimin, e krahason atë me origjinalin dhe sigurohet që nënshkrimi është i saktë.

Është e lehtë të sigurohesh që ky zbatim i nënshkrimit dixhital plotëson plotësisht të gjitha kërkesat e mësipërme, por në të njëjtën kohë ka një pengesë thelbësore: vëllimi i mesazhit të transmetuar rritet të paktën dy herë. Përdorimi i funksioneve hash ju lejon të heqni qafe këtë disavantazh.

Funksionet hash kriptografike

Një funksion i formës y = f (x) quhet funksion hash kriptografik nëse plotëson vetitë e mëposhtme:

1. Hyrja e një funksioni hash mund të marrë një sekuencë të dhënash me gjatësi arbitrare, ndërsa rezultati (i quajtur hash, ose digest) ka një gjatësi fikse.

2. Vlera e y nga vlera ekzistuese e x llogaritet në kohë polinomiale, dhe vlera e x nga vlera ekzistuese e y është pothuajse e pamundur të llogaritet pothuajse në të gjitha rastet.

3. Është llogaritëse e pamundur të gjesh dy vlera hash hyrëse që japin hash identikë.

4. Gjatë llogaritjes së hash-it, përdoren të gjitha informacionet në sekuencën hyrëse.

5. Përshkrimi i funksionit është i hapur dhe i disponueshëm publikisht.

Le të tregojmë se si funksionet hash mund të përdoren në skemat e nënshkrimeve dixhitale. Nëse nuk nënshkruani vetë mesazhin, por hash-in e tij, atëherë mund të zvogëloni ndjeshëm sasinë e të dhënave të transmetuara.

Duke nënshkruar hash-in e tij në vend të mesazhit origjinal, ne transmetojmë rezultatin së bashku me mesazhin origjinal. Marrësi deshifron nënshkrimin dhe e krahason rezultatin me hash-in e mesazhit. Nëse ka përputhje, konstatohet se nënshkrimi është i saktë.

2 . Mjete softuerike për mbrojtjen e informacionit në COP

Softueri i sigurisë së informacionit nënkupton programe speciale të përfshira në softuerin KS ekskluzivisht për kryerjen e funksioneve mbrojtëse.

Mjetet kryesore të softuerit për mbrojtjen e informacionit përfshijnë:

* programe për identifikimin dhe vërtetimin e përdoruesve të KS;

* programe për diferencimin e aksesit të përdoruesve në burimet e COP;

* programet e enkriptimit të informacionit;

* programe për mbrojtjen e burimeve të informacionit (software sistemi dhe aplikacioni, bazat e të dhënave, mjetet mësimore kompjuterike, etj.) nga ndryshimet, përdorimi dhe kopjimi i paautorizuar.

Duhet të kuptohet se identifikimi, në lidhje me sigurimin e sigurisë së informacionit të NJM-së, kuptohet si njohje e paqartë e emrit unik të subjektit të NJM. Autentifikimi do të thotë konfirmim se emri i paraqitur korrespondon me subjektin e dhënë (konfirmimi i autenticitetit të subjektit) 8 Biyachuev T.A. Siguria e rrjeteve të korporatave. Libër mësuesi / bot. L.G. Osovetskiy - SPb .: SPbGU ITMO, 2004, f. 64.

Gjithashtu, softueri i sigurisë së informacionit përfshin:

* programe për shkatërrimin e informacionit të mbetur (në blloqe RAM, skedarë të përkohshëm, etj.);

* programe për auditimin (mirëmbajtjen e regjistrave) të ngjarjeve që lidhen me sigurinë e stacionit të kompresorit, për të siguruar mundësinë e rikuperimit dhe vërtetimin e faktit të këtyre ngjarjeve;

* programe për simulimin e punës me një shkelës (duke e shpërqendruar atë për të marrë informacione të supozuara konfidenciale);

* programet për kontrollin testues të sigurisë së KS, etj.

Përparësitë e softuerit të sigurisë së informacionit përfshijnë:

* lehtësia e përsëritjes;

* fleksibilitet (aftësia për t'u përshtatur për kushte të ndryshme përdorimi, duke marrë parasysh specifikat e kërcënimeve ndaj sigurisë së informacionit të CS specifike);

* lehtësia e përdorimit - disa vegla softuerike, për shembull, kriptimi, funksionojnë në një mënyrë "transparente" (të padukshme për përdoruesin), ndërsa të tjerët nuk kërkojnë ndonjë aftësi të re (në krahasim me programet e tjera) nga përdoruesi;

* Mundësi pothuajse të pakufizuara për zhvillimin e tyre duke bërë ndryshime për të marrë parasysh kërcënimet e reja për sigurinë e informacionit.

Disavantazhet e softuerit të sigurisë së informacionit përfshijnë:

* ulje e efikasitetit të COP për shkak të konsumit të burimeve të tij të nevojshme për funksionimin e programeve të mbrojtjes;

* performancë më e ulët (krahasuar me kryerjen e funksioneve të ngjashme të mbrojtjes së harduerit, si kriptimi);

* lidhjen e shumë mjeteve të mbrojtjes së softuerit (dhe jo të integruara të tyre në softuerin e CS, Fig. 4 dhe 5), gjë që krijon një mundësi themelore për një ndërhyrës t'i anashkalojë ato;

* mundësia e ndryshimeve me qëllim të keq në mbrojtjen e softuerit gjatë funksionimit të CS.

2 .1 Siguria e sistemit operativ

Sistemi operativ është komponenti më i rëndësishëm i softuerit të çdo kompjuteri, prandaj, siguria e përgjithshme e sistemit të informacionit varet kryesisht nga niveli i zbatimit të politikës së sigurisë në secilin OS specifik.

Sistemi operativ MS-DOS është sistemi operativ në gjendje reale i mikroprocesorit Intel, dhe për këtë arsye nuk mund të flitet për ndarjen e RAM-it midis proceseve. Të gjithë TSR-të dhe programi kryesor ndajnë një hapësirë ​​të përbashkët RAM. Nuk ka mbrojtje të skedarëve, është e vështirë të thuash ndonjë gjë të caktuar për sigurinë e rrjetit, pasi në atë fazë të zhvillimit të softuerit, drejtuesit për komunikimin në rrjet nuk u zhvilluan nga MicroSoft, por nga zhvilluesit e palëve të treta.

Familja e sistemeve operative Windows 95, 98, Millenium janë klone, që fillimisht synojnë punën në kompjuterët e shtëpisë. Këto sisteme operative përdorin nivele të privilegjeve të modalitetit të mbrojtur, por nuk bëjnë kontrolle shtesë dhe nuk mbështesin sistemet e përshkruesve të sigurisë. Si rezultat, çdo aplikacion mund të aksesojë të gjithë sasinë e RAM-it të disponueshëm me të drejtat e leximit dhe shkrimit. Masat e sigurisë së rrjetit janë të pranishme, megjithatë, zbatimi i tyre nuk është në nivelin e duhur. Për më tepër, në versionin e Windows 95, u bë një gabim themelor, duke lejuar fjalë për fjalë në disa pako të çojë në një "ngrirje" të kompjuterit, i cili gjithashtu minoi ndjeshëm reputacionin e OS, në versionet pasuese u ndërmorën shumë hapa për të përmirësuar sigurinë e rrjetit të këtij kloni Zim V., Moldovyan A., Moldovyan N. Siguria e teknologjive globale të rrjetit. Seriali "Mjeshtër". - SPb .: BHV-Petersburg, 2001, f. 124.

Gjenerimi i sistemeve operative Windows NT 2000 është tashmë një zhvillim shumë më i besueshëm nga MicroSoft. Ato janë me të vërtetë sisteme me shumë përdorues që mbrojnë me besueshmëri skedarët e përdoruesve të ndryshëm në hard disk (megjithatë, të dhënat nuk janë të koduara dhe skedarët mund të lexohen pa asnjë problem duke u nisur nga disku i një sistemi tjetër operativ - për shembull, MS -DOS). Këto sisteme operative përdorin në mënyrë aktive aftësitë e modalitetit të mbrojtur të procesorëve Intel dhe mund të mbrojnë me besueshmëri të dhënat dhe kodin e përpunimit nga programet e tjera, përveç nëse vetë procesi dëshiron të sigurojë akses shtesë për to nga jashtë procesit.

Gjatë një kohe të gjatë zhvillimi, janë marrë parasysh shumë sulme të ndryshme në rrjet dhe gabime sigurie. Korrigjimet ndaj tyre u lëshuan në formën e paketave të shërbimit.

Dokumente të ngjashme

Studimi i metodave kryesore të mbrojtjes nga kërcënimet ndaj konfidencialitetit, integritetit dhe disponueshmërisë së informacionit. Kriptimi i skedarëve që janë pronë konfidenciale. Përdorimi i nënshkrimeve dixhitale, hashimi i dokumenteve. Mbrojtje kundër sulmeve të rrjetit në internet.

punim termi shtuar 13.12.2015


Klasifikimi i informacionit sipas rëndësisë. Kategoritë e konfidencialitetit dhe integritetit të informacionit të mbrojtur. Koncepti i sigurisë së informacionit, burimet e kërcënimeve të informacionit. Fushat e mbrojtjes së informacionit. Metodat e mbrojtjes kriptografike të softuerit.

punim afatshkurtër, shtuar 21.04.2015


Koncepti i mbrojtjes së kërcënimeve të qëllimshme ndaj integritetit të informacionit në rrjetet kompjuterike. Karakteristikat e kërcënimeve të sigurisë së informacionit: kompromis, ndërprerje shërbimi. Karakteristikat e OOO NPO Mekhinstrument, metodat dhe metodat kryesore të mbrojtjes së informacionit.

tezë, shtuar 16.06.2012


Problemet e sigurisë së informacionit në rrjetet e informacionit dhe telekomunikacionit. Studimi i kërcënimeve të informacionit dhe metodave të ndikimit të tyre në objektet e mbrojtjes së informacionit. Koncepti i sigurisë së informacionit të ndërmarrjes. Metodat kriptografike të mbrojtjes së informacionit.

tezë, shtuar 03/08/2013


Nevoja për të mbrojtur informacionin. Llojet e kërcënimeve për sigurinë e IS. Drejtimet kryesore të mbrojtjes së harduerit të përdorur në teknologjinë e automatizuar të informacionit. Transformimet kriptografike: enkriptimi dhe kodimi. Kanalet e drejtpërdrejta të rrjedhjes së të dhënave.

punim afatshkurtër, shtuar 22.05.2015


Koncepti, koncepti dhe klasifikimi i sigurisë së informacionit, llojet e kërcënimeve. Karakteristikat e mjeteve dhe metodave për mbrojtjen e informacionit nga kërcënimet aksidentale, nga kërcënimet e ndërhyrjeve të paautorizuara. Metodat kriptografike të mbrojtjes së informacionit dhe muret e zjarrit.

punim afatshkurtër, shtuar 30.10.2009


Llojet e kërcënimeve të qëllimshme ndaj sigurisë së informacionit. Metodat dhe mjetet e mbrojtjes së informacionit. Metodat dhe mjetet e sigurisë së informacionit. Metodat kriptografike të mbrojtjes së informacionit. Mjetet komplekse të mbrojtjes.

abstrakt, shtuar 17.01.2004


Zhvillimi i teknologjive të reja të informacionit dhe kompjuterizimi i përgjithshëm. Siguria e Informacionit. Klasifikimi i kërcënimeve të qëllimshme ndaj sigurisë së informacionit. Metodat dhe mjetet e mbrojtjes së informacionit. Metodat kriptografike të mbrojtjes së informacionit.

punim afatshkurtër, shtuar 17.03.2004


Koncepti i sigurisë së informacionit në Neurosoft LLC; zhvillimi i një sistemi të integruar mbrojtjeje. Objektet e informacionit të kompanisë, shkalla e konfidencialitetit, besueshmërisë, integritetit të tyre; identifikimi i burimeve të kërcënimeve dhe rreziqeve, përzgjedhja e mjeteve mbrojtëse.

punim afatshkurtër, shtuar 23.05.2013


Llojet kryesore të kërcënimeve për sigurinë e sistemeve të informacionit ekonomik. Ekspozimi ndaj malware. Kriptimi si metoda kryesore e mbrojtjes së informacionit. Baza ligjore për garantimin e sigurisë së informacionit. Thelbi i metodave kriptografike.

Dërgoni punën tuaj të mirë në bazën e njohurive është e thjeshtë. Përdorni formularin e mëposhtëm

Studentët, studentët e diplomuar, shkencëtarët e rinj që përdorin bazën e njohurive në studimet dhe punën e tyre do t'ju jenë shumë mirënjohës.

Postuar në http://www.allbest.ru/

Prezantimi

1. Mjetet e mbrojtjes së informacionit

2. Siguria e informacionit të harduerit

2.1 Detyrat e harduerit të sigurisë së informacionit

2.2 Llojet e pajisjeve të sigurisë së informacionit

3. Softuer për sigurinë e informacionit

3.1 Mjetet e arkivimit të informacionit

3.2 Programet antivirus

3.3 Mjetet kriptografike

3.4 Identifikimi dhe vërtetimi i përdoruesit

3.5 Mbrojtja e informacionit në COP nga aksesi i paautorizuar

3.6 Softuer të tjerë të sigurisë së informacionit

konkluzioni

Lista e burimeve të përdorura

BBduke ngrënë

Me zhvillimin dhe ndërlikimin e mjeteve, metodave dhe formave të automatizimit të proceseve të përpunimit të informacionit, rritet cenueshmëria e mbrojtjes së informacionit.

Faktorët kryesorë që kontribuojnë në rritjen e kësaj cenueshmërie janë:

· Një rritje e mprehtë e sasisë së informacionit të grumbulluar, ruajtur dhe përpunuar duke përdorur kompjuterë dhe mjete të tjera automatizimi;

· Përqendrimi në bazat e të dhënave të përbashkëta të informacionit për qëllime të ndryshme dhe aksesorë të ndryshëm;

· Një zgjerim i mprehtë i rrethit të përdoruesve që kanë akses të drejtpërdrejtë në burimet e sistemit informatikë dhe të dhënat e vendosura në të;

· Komplikimi i mënyrave të funksionimit të mjeteve teknike të sistemeve informatike: prezantimi i gjerë i modalitetit me shumë programe, si dhe mënyrat e ndarjes së kohës dhe në kohë reale;

· Automatizimi i shkëmbimit të informacionit makinë-me-makinë, duke përfshirë në distanca të gjata.

Në këto kushte, ekzistojnë dy lloje të cenueshmërisë: nga njëra anë, mundësia e shkatërrimit ose e shtrembërimit të informacionit (dmth. cenimi i integritetit të tij fizik) dhe nga ana tjetër, mundësia e përdorimit të paautorizuar të informacionit (dmth. rreziku i rrjedhje e informacionit të kufizuar).

Kanalet kryesore të mundshme të rrjedhjes së informacionit janë:

· Vjedhja e drejtpërdrejtë e mediave dhe dokumenteve;

· Memorizimi ose kopjimi i informacionit;

· Lidhja e paautorizuar me pajisjet dhe linjat e komunikimit ose përdorimi i paligjshëm i pajisjeve "legale" (dmth. të regjistruara) të sistemit (më së shpeshti terminalet e përdoruesve).

1. Mjetet e sigurisë së informacionit

Mjetet e sigurisë së informacionit janë një grup i pajisjeve dhe pajisjeve inxhinierike, elektrike, elektronike, optike dhe të tjera, instrumenteve dhe sistemeve teknike, si dhe elementëve të tjerë të pronarit që përdoren për të zgjidhur probleme të ndryshme të mbrojtjes së informacionit, duke përfshirë parandalimin e rrjedhjeve dhe sigurimin e sigurisë së mbrojtjes. informacion.

Në përgjithësi, mjetet për të siguruar mbrojtjen e informacionit në drejtim të parandalimit të veprimeve të qëllimshme, në varësi të metodës së zbatimit, mund të ndahen në grupe:

· Hardware(mjete teknike. Bëhet fjalë për pajisje të llojeve të ndryshme (mekanike, elektromekanike, elektronike, etj.) që zgjidhin problemet e sigurisë së informacionit me harduer. Ato ose parandalojnë depërtimin fizik, ose, nëse depërtimi ka ndodhur, aksesin në informacion, duke përfshirë edhe maskimin e tij. Pjesa e parë e problemit zgjidhet nga bravat, hekurat e dritareve, rojet, alarmet e sigurisë, etj. E dyta - nga gjeneratorët e zhurmës, filtrat e energjisë, radiot skanuese dhe shumë pajisje të tjera që "bllokojnë" kanalet e mundshme të rrjedhjes së informacionit ose i lejojnë ato të jenë zbuluar. Përparësitë e mjeteve teknike lidhen me besueshmërinë e tyre, pavarësinë nga faktorët subjektivë dhe rezistencën e lartë ndaj modifikimit. Dobësitë - mungesa e fleksibilitetit, vëllimi dhe pesha relativisht e madhe, kostoja e lartë.

· Software mjetet përfshijnë programe për identifikimin e përdoruesit, kontrollin e aksesit, enkriptimin e informacionit, heqjen e informacionit të mbetur (të punës) si skedarët e përkohshëm, kontrollin e testimit të sistemit të mbrojtjes, etj. Përparësitë e mjeteve softuerike janë shkathtësia, fleksibiliteti, besueshmëria, lehtësia e instalimit, aftësia për të modifikuar dhe zhvilluar. Disavantazhet - funksionaliteti i kufizuar i rrjetit, përdorimi i disa prej burimeve të serverit të skedarëve dhe stacioneve të punës, ndjeshmëria e lartë ndaj ndryshimeve aksidentale ose të qëllimshme, varësia e mundshme nga llojet e kompjuterëve (hardueri i tyre).

· Të përziera hardueri/softueri zbaton të njëjtat funksione si hardueri dhe softueri veçmas, dhe ka veti të ndërmjetme.

· Organizative fondet përbëhen nga organizative dhe teknike (përgatitja e dhomave me kompjuterë, vendosja e një sistemi kabllor, duke marrë parasysh kërkesat e kufizimit të aksesit në të, etj.) dhe organizative dhe ligjore (legjislacioni kombëtar dhe rregullat e punës të vendosura nga menaxhmenti i një ndërmarrje). Përparësitë e mjeteve organizative janë se ato ju lejojnë të zgjidhni shumë probleme të ndryshme, janë të lehta për t'u zbatuar, reagojnë shpejt ndaj veprimeve të padëshiruara në rrjet dhe kanë mundësi të pakufizuara modifikimi dhe zhvillimi. Disavantazhet - varësia e lartë nga faktorët subjektivë, duke përfshirë organizimin e përgjithshëm të punës në një departament të veçantë.

Sipas shkallës së shpërndarjes dhe disponueshmërisë, ndahen mjete softuerike, mjete të tjera përdoren në rastet kur kërkohet një nivel shtesë i mbrojtjes së informacionit.

2. Pajisjet e sigurisë së informacionit

Mjetet e mbrojtjes së harduerit përfshijnë pajisje të ndryshme elektronike, elektro-mekanike, elektro-optike. Deri më sot, një numër i konsiderueshëm i pajisjeve për qëllime të ndryshme është zhvilluar, por më poshtë përdoren më gjerësisht:

· Regjistra specialë për ruajtjen e të dhënave të sigurisë: fjalëkalimet, kodet identifikuese, vulat ose nivelet e fshehtësisë;

· Aparatet për matjen e karakteristikave individuale të një personi (zëri, gjurmët e gishtërinjve) me qëllim identifikimin e tij;

· Qarqet për ndërprerjen e transmetimit të informacionit në linjën e komunikimit për të kontrolluar në mënyrë periodike adresën e dorëzimit të të dhënave.

· Pajisjet për enkriptimin e informacionit (metodat kriptografike).

Për të mbrojtur perimetrin e sistemit të informacionit, krijohen këto:

· Sistemet e alarmit të sigurisë dhe zjarrit;

· Sistemet dixhitale të video survejimit;

· Sistemet e kontrollit dhe menaxhimit për akses.

Mbrojtja e informacionit nga rrjedhja e tij nga kanalet teknike të komunikimit sigurohet me mjetet dhe masat e mëposhtme:

· Përdorimi i kabllit të mbrojtur dhe vendosja e telave dhe kabllove në strukturat e mbrojtura;

· Vendosja e filtrave me frekuencë të lartë në linjat e komunikimit;

· Ndërtimi i dhomave të mbrojtura (“kapsula”);

· Përdorimi i pajisjeve të mbrojtura;

· Instalimi i sistemeve aktive të zhurmës;

· Krijimi i zonave të kontrolluara.

2.1 Detyrathardwareinformacione për mbrojtjenrmacionet

Përdorimi i pajisjeve të sigurisë së informacionit ju lejon të zgjidhni detyrat e mëposhtme:

· Kryerja e studimeve të veçanta të mjeteve teknike për praninë e kanaleve të mundshme të rrjedhjes së informacionit;

· Identifikimi i kanaleve të rrjedhjes së informacionit në objekte të ndryshme dhe në ambiente;

· Lokalizimi i kanaleve të rrjedhjes së informacionit;

· Kërkimi dhe zbulimi i mjeteve të spiunazhit industrial;

· Kundërveprimi i aksesit të paautorizuar në burimet e informacionit konfidencial dhe veprimeve të tjera.

Sipas përcaktimit, hardueri klasifikohet në mjete zbulimi, mjete kërkimi dhe matëse të detajuara, kundërmasa aktive dhe pasive. Në të njëjtën kohë, për sa i përket këtyre aftësive, mjetet e sigurisë së informacionit mund të jenë të përbashkëta për vlerat e llogaritura për përdorim nga joprofesionistët për të marrë vlerësime të përgjithshme dhe komplekse profesionale që lejojnë një kërkim të plotë, zbulim dhe matje të të gjitha karakteristikave. të mjeteve industriale të spiunazhit.

Pajisjet e kërkimit mund të ndahen në pajisje për marrjen e marrjes së informacionit dhe kërkimin e kanaleve të rrjedhjes së tij.

Pajisjet e llojit të parë kanë për qëllim gjetjen dhe lokalizimin e mjeteve të sulmuesve të paautorizuar që tashmë janë futur nga sulmuesit. Pajisjet e llojit të dytë janë krijuar për të zbuluar kanalet e rrjedhjes së informacionit. Faktori përcaktues për këtë lloj sistemesh është efikasiteti i studimit dhe besueshmëria e rezultateve të marra.

Pajisjet e kërkimit profesional, si rregull, janë shumë të shtrenjta dhe kërkojnë kualifikime të larta të një specialisti që punon me të. Në këtë drejtim, organizatat që vazhdimisht kryejnë sondazhe të përshtatshme mund ta përballojnë atë. Pra, nëse keni nevojë të bëni një ekzaminim të plotë, ekziston një rrugë e drejtpërdrejtë drejt tyre.

Sigurisht, kjo nuk do të thotë që ju duhet të ndaloni së përdoruri vetë mjetet e kërkimit. Por mjetet e disponueshme të kërkimit janë mjaft të thjeshta dhe ju lejojnë të kryeni masa parandaluese në intervalin midis anketave serioze të kërkimit.

2.2 Llojet e pajisjeve të sigurisë së informacionit

Rrjeti i dedikuar i zonës së ruajtjes (SAN)(Rrjeti i zonës së ruajtjes) siguron të dhëna me gjerësi bande të garantuar, eliminon shfaqjen e një pike të vetme të dështimit të sistemit, lejon shkallëzim pothuajse të pakufizuar si nga ana e serverëve ashtu edhe nga ana e burimeve të informacionit. Përveç teknologjisë popullore Fiber Channel, pajisjet iSCSI janë përdorur gjithnjë e më shumë për të zbatuar rrjetet e ruajtjes.

Ruajtja e diskut dallohen nga shpejtësia më e lartë e aksesit të të dhënave për shkak të shpërndarjes së kërkesave për lexim/shkrim nëpër disqe të shumta. Përdorimi i komponentëve dhe algoritmeve të tepërta në grupet RAID parandalon mbylljen e sistemit për shkak të dështimit të ndonjë elementi - duke rritur kështu disponueshmërinë. Disponueshmëria, një nga treguesit e cilësisë së informacionit, përcakton përqindjen e kohës gjatë së cilës informacioni është gati për përdorim dhe shprehet si përqindje: për shembull, 99,999% ("pesë nëntë") do të thotë që sistemi i informacionit nuk lejohet të jetë boshe për çfarëdo arsye gjatë vitit.më shumë se 5 minuta. Zgjidhjet e sotme të ruajtjes janë një kombinim i suksesshëm i kapacitetit të madh, shpejtësisë së lartë dhe kostos së përballueshme. ATA serike dhe SATA 2.

Drejtues kasetë(Disqet e shiritit, ngarkuesit automatikë dhe bibliotekat) ende konsiderohen si zgjidhja rezervë më ekonomike dhe më popullore. Ato fillimisht janë krijuar për ruajtjen e të dhënave, ofrojnë kapacitet pothuajse të pakufizuar (duke shtuar fishekë), ofrojnë besueshmëri të lartë, kanë një kosto të ulët ruajtjeje, ju lejojnë të organizoni rrotullimin e çdo kompleksiteti dhe thellësie, arkivimin e të dhënave dhe evakuimin e mediave në një vend të sigurt jashtë zyrës kryesore. Që nga fillimi i tij, shiritat magnetikë kanë kaluar pesë breza zhvillimi, në praktikë kanë provuar avantazhin e tyre dhe janë me të drejtë një element themelor i praktikës rezervë.

Përveç teknologjive të diskutuara, duhet përmendur edhe sigurimi i mbrojtjes fizike të të dhënave (caktimi dhe kontrolli i aksesit në ambiente, mbikëqyrja video, alarmet e hajdutëve dhe zjarrit), organizimi i furnizimit të pandërprerë me energji elektrike të pajisjeve.

Le të hedhim një vështrim në disa shembuj të harduerit.

1) eToken- Çelësi elektronik eToken është një mjet personal autorizimi, vërtetimi dhe ruajtja e sigurt e të dhënave, hardueri që mbështet punën me certifikata dixhitale dhe nënshkrimin elektronik dixhital (EDS). eToken është i disponueshëm në dongle USB, karta inteligjente ose faktorë të formës dongle. Modeli eToken NG-OTP ka një gjenerues të integruar të fjalëkalimit një herë. EToken NG-FLASH ka një modul të integruar memorie flash deri në 4 GB. Modeli eToken PASS përmban vetëm gjenerues të fjalëkalimeve një herë. Modeli eToken PRO (Java) zbaton në harduer gjenerimin e çelësave EDS dhe gjenerimin e EDS. Për më tepër, eToken mund të ketë etiketa radio pa kontakt të integruar (etiketat RFID), gjë që lejon përdorimin e eToken edhe për akses në ambiente.

Modelet EToken duhet të përdoren për të vërtetuar përdoruesit dhe për të ruajtur informacionin kryesor në sistemet e automatizuara që përpunojnë informacione konfidenciale deri në dhe duke përfshirë klasën e sigurisë 1G. Ata janë bartës të rekomanduar të informacionit kyç për mjetet e certifikuara të mbrojtjes së informacionit kriptografik (CryptoPro CSP, Crypto-COM, Domain-K, Verba-OW, etj.)

2) EToken NG-FLASH USB Combo Dongle - një nga zgjidhjet e sigurisë së informacionit nga Aladdin. Ai kombinon funksionalitetin e një karte inteligjente me aftësinë për të ruajtur sasi të mëdha të të dhënave të përdoruesit në një modul të integruar. Ai kombinon funksionalitetin e një karte inteligjente me aftësinë për të ruajtur të dhëna të mëdha të përdoruesit në një modul të integruar memorie flash. eToken NG-FLASH ofron gjithashtu mundësinë për të nisur sistemin operativ të kompjuterit dhe për të ekzekutuar aplikacione të personalizuara nga memoria flash.

Ndryshimet e mundshme:

Nga vëllimi i modulit të integruar të memories flash: 512 MB; 1, 2 dhe 4 GB;

Versioni i certifikuar (FSTEC i Rusisë);

Nga prania e një etikete radioje të integruar;

Sipas ngjyrës së trupit.

3. Softuer për sigurinë e informacionit

Mjetet softuerike janë forma objektive të paraqitjes së një grupi të dhënash dhe komandash të destinuara për funksionimin e kompjuterëve dhe pajisjeve kompjuterike për të marrë një rezultat të caktuar, si dhe materiale të përgatitura dhe të regjistruara në një medium fizik të marrë gjatë zhvillimit të tyre. dhe ekranet audiovizuale të krijuara prej tyre.

Mbrojtja e të dhënave nënkupton që funksioni si pjesë e softuerit quhet softuer. Midis tyre, mund të dallohen dhe konsiderohen më në detaje:

· Mjetet e arkivimit të të dhënave;

· Programet antivirus;

· Mjetet kriptografike;

· Mjetet e identifikimit dhe autentifikimit të përdoruesve;

· Mjetet e kontrollit të aksesit;

· Regjistrimi dhe auditimi.

Shembuj të kombinimeve të masave të mësipërme përfshijnë:

· Mbrojtja e bazave të të dhënave;

· Mbrojtja e sistemeve operative;

· Mbrojtja e informacionit gjatë punës në rrjetet kompjuterike.

3 .1 Mjetet e arkivimit të informacionit

Ndonjëherë kopjet rezervë të informacionit duhet të kryhen me një burim të përgjithshëm të kufizuar për ruajtjen e të dhënave, për shembull, për pronarët e kompjuterëve personalë. Në këto raste, përdoret arkivimi i softuerit. Arkivimi është bashkimi i disa skedarëve dhe madje direktorive në një skedar të vetëm - arkiv, duke reduktuar vëllimin e përgjithshëm të skedarëve origjinal duke eliminuar tepricën, por pa humbje informacioni, domethënë me aftësinë për të rivendosur saktë skedarët origjinal. Shumica e mjeteve të arkivimit bazohen në përdorimin e algoritmeve të kompresimit të propozuara në vitet '80. Abraham Lempel dhe Jacob Ziv. Më të famshmet dhe më të njohurat janë formatet e mëposhtme të arkivit:

· ZIP, ARJ për sistemet operative DOS dhe Windows;

· TAR për sistemin operativ Unix;

· Formati JAR ndër-platformë (Archive Java);

· RAR (popullariteti i këtij formati po rritet gjatë gjithë kohës, pasi janë zhvilluar programe që e lejojnë atë të përdoret në sistemet operative DOS, Windows dhe Unix).

Përdoruesi duhet vetëm të zgjedhë vetë një program të përshtatshëm që ofron punë me formatin e zgjedhur, duke vlerësuar karakteristikat e tij - shpejtësinë, raportin e kompresimit, përputhshmërinë me një numër të madh formatesh, lehtësinë e përdorimit të ndërfaqes, zgjedhjen e sistemit operativ, etj. . Lista e programeve të tilla është shumë e gjatë - PKZIP, PKUNZIP, ARJ, RAR, WinZip, WinArj, ZipMagic, WinRar dhe shumë të tjerë. Shumica e këtyre programeve nuk kanë nevojë të blihen posaçërisht pasi ato ofrohen si Shareware ose Freeware. Është gjithashtu shumë e rëndësishme të krijohet një orar i rregullt për një punë të tillë të arkivimit të të dhënave, ose të kryhet pas një përditësimi të madh të të dhënave.

3 .2 Softuer antivirus

NS Këto janë programe të krijuara për të mbrojtur informacionin nga viruset. Përdoruesit e papërvojë zakonisht mendojnë se një virus kompjuterik është një program i vogël i shkruar posaçërisht që mund t'i "atribuojë" vetveten programeve të tjera (d.m.th. t'i "infektojë" ato), si dhe të kryejë veprime të ndryshme të padëshiruara në kompjuter. Specialistët në virologjinë kompjuterike përcaktojnë se një veti e detyrueshme (e nevojshme) e një virusi kompjuterik është aftësia për të krijuar dublikatat e veta (jo domosdoshmërisht të njëjta me origjinalin) dhe për t'i futur ato në rrjetet kompjuterike dhe / ose skedarët, zonat e sistemit kompjuterik dhe të tjera ekzekutuese. objektet. Në të njëjtën kohë, dublikatat ruajnë aftësinë për shpërndarje të mëtejshme. Duhet theksuar se ky kusht nuk është i mjaftueshëm, d.m.th. final. Kjo është arsyeja pse ende nuk ka një përcaktim të saktë të virusit dhe nuk ka gjasa që të shfaqet në të ardhmen e parashikueshme. Rrjedhimisht, nuk ka një ligj të caktuar me të cilin skedarët "të mirë" mund të dallohen nga "viruset". Për më tepër, ndonjëherë edhe për një skedar specifik është mjaft e vështirë të përcaktohet nëse është virus apo jo.

Viruset kompjuterike janë një problem i veçantë. Kjo është një klasë e veçantë programesh që synojnë prishjen e sistemit dhe korruptimin e të dhënave. Midis viruseve dallohen një sërë varietetesh. Disa prej tyre janë vazhdimisht në kujtesën e kompjuterit, disa prodhojnë veprime shkatërruese me "goditje" të njëhershme.

Ekziston edhe një klasë e tërë programesh që nga jashtë janë mjaft të mirë, por në fakt e prishin sistemin. Programe të tilla quhen "kuajt e Trojës". Një nga vetitë kryesore të viruseve kompjuterike është aftësia për të "shumëzuar" - dmth. vetëpërhapja brenda një kompjuteri dhe një rrjeti kompjuterik.

Që atëherë, pasi mjete të ndryshme të softuerit të zyrës kanë qenë në gjendje të punojnë me programe të shkruara posaçërisht për ta (për shembull, mund të shkruani aplikacione për Microsoft Office në gjuhën Visual Basic), është shfaqur një lloj i ri i programeve me qëllim të keq - MacroViruses. Viruset e këtij lloji shpërndahen së bashku me skedarët e rregullt të dokumenteve dhe gjenden brenda tyre si nënprograme të rregullta.

Duke marrë parasysh zhvillimin e fuqishëm të mjeteve të komunikimit dhe vëllimin e rritur ndjeshëm të shkëmbimit të të dhënave, problemi i mbrojtjes nga viruset po bëhet shumë urgjent. Në fakt, me çdo dokument të marrë, për shembull, me postë elektronike, mund të merret një makro virus dhe çdo program që lëshohet mund (teorikisht) të infektojë një kompjuter dhe ta bëjë sistemin jofunksional.

Prandaj, ndër sistemet e sigurisë, drejtimi më i rëndësishëm është lufta kundër viruseve. Ka një numër mjetesh të krijuara posaçërisht për këtë detyrë. Disa prej tyre funksionojnë në modalitetin e skanimit dhe skanojnë përmbajtjen e hard disqeve dhe memorien e kompjuterit për viruse. Megjithatë, disa duhet të funksionojnë vazhdimisht dhe të gjenden në memorien e kompjuterit. Duke bërë këtë, ata përpiqen të mbajnë gjurmët e të gjitha detyrave të ekzekutimit.

Në tregun e softuerit të Kazakistanit, më e popullarizuara ishte paketa AVP e zhvilluar nga Laboratori i Sistemeve Anti-Virus Kaspersky. Ky është një produkt universal që ka versione për një sërë sistemesh operative. Ekzistojnë gjithashtu llojet e mëposhtme: Acronis Antivirus, AhnLab Internet Security, AOL Virus Protection, ArcaVir, Ashampoo AntiMalware, Avast !, Avira AntiVir, A-square anti-malware, BitDefender, CA Antivirus, Clam Antivirus, Command Anti-Malware, Comodo Antivirus, Dr.Web, eScan Antivirus, F-Secure Anti-Virus, G-DATA Antivirus, Graugon Antivirus, IKARUS virus.utilities, Kaspersky Anti-Virus, McAfee VirusScan, Microsoft Security Essentials, Moon Secure AV, Antivirus Multicore, NOD32, Norman Virus Control, Norton Antivirus, Outpost Antivirus, Panda, etj.

Metodat për zbulimin dhe heqjen e viruseve kompjuterike.

Metodat për luftimin e viruseve kompjuterike mund të ndahen në disa grupe:

· Parandalimi i infeksionit viral dhe zvogëlimi i dëmit të pritshëm nga një infeksion i tillë;

· Metodat e përdorimit të programeve antivirus, duke përfshirë neutralizimin dhe heqjen e një virusi të njohur;

Mënyrat për të zbuluar dhe hequr një virus të panjohur:

· Parandalimi i infeksionit kompjuterik;

· Rikuperimi i objekteve të dëmtuara;

· Programet antivirus.

Parandalimi i infeksionit të kompjuterit.

Një nga metodat kryesore të luftimit të viruseve është, si në mjekësi, parandalimi në kohë. Parandalimi kompjuterik përfshin respektimin e një numri të vogël rregullash, të cilat mund të zvogëlojnë ndjeshëm gjasat e një infektimi me virus dhe humbjen e çdo të dhënash.

Për të përcaktuar rregullat themelore të higjienës kompjuterike, është e nevojshme të zbulohen mënyrat kryesore të depërtimit të virusit në kompjuter dhe rrjetet kompjuterike.

Burimi kryesor i viruseve sot është Interneti global. Numri më i madh i infektimeve me virus ndodh kur shkëmbejmë mesazhe në formatet Word. Përdoruesi i një redaktuesi të infektuar me një virus makro, pa dyshuar për të, dërgon letra të infektuara te marrësit, të cilët nga ana e tyre dërgojnë letra të reja të infektuara, etj. Përfundime - kontakti me burime të dyshimta informacioni duhet të shmanget dhe duhet të përdoren vetëm produkte softuerike legale (të licencuara).

Rikuperimi i objekteve të dëmtuara

Në shumicën e rasteve të infektimit me virus, procedura për rivendosjen e skedarëve dhe disqeve të infektuar zbret në ekzekutimin e një antivirusi të përshtatshëm që mund të neutralizojë sistemin. Nëse virusi është i panjohur për ndonjë antivirus, atëherë mjafton të dërgoni skedarin e infektuar te prodhuesit e antivirusit dhe pas një kohe (zakonisht - disa ditë ose javë) të merrni një kurë - "përditësim" kundër virusit. Nëse koha nuk pret, atëherë do të duhet të neutralizoni vetë virusin. Shumica e përdoruesve duhet të kenë kopje rezervë të informacionit të tyre.

Baza kryesore për përhapjen masive të një virusi në një kompjuter është:

· Siguri e dobët e sistemit operativ (OS);

· Disponueshmëria e dokumentacionit të larmishëm dhe mjaft të plotë mbi OC dhe harduerin e përdorur nga autorët e viruseve;

· Shpërndarje e gjerë e këtij OS dhe këtij "hardware".

3 .3 Mjetet kriptografike

Kompjuter antivirus i arkivimit kriptografik

Mekanizmat e kriptimit të të dhënave për të siguruar sigurinë e informacionit të shoqërisë është mbrojtja kriptografike e informacionit me anë të kriptimit kriptografik.

Metodat kriptografike të mbrojtjes së informacionit përdoren për përpunimin, ruajtjen dhe transmetimin e informacionit në media dhe në rrjetet e komunikimit. Mbrojtja kriptografike e informacionit gjatë transmetimit të të dhënave në distanca të gjata është e vetmja metodë e besueshme e kriptimit.

Kriptografia është shkenca që studion dhe përshkruan modelin e sigurisë së informacionit të të dhënave. Kriptografia hap zgjidhje për shumë probleme të sigurisë së informacionit të rrjetit: vërtetimi, konfidencialiteti, integriteti dhe kontrolli i pjesëmarrësve që ndërveprojnë.

Termi "Kriptim" nënkupton transformimin e të dhënave në një formë që nuk është e lexueshme për njerëzit dhe sistemet softuerike pa një çelës enkriptimi-deshifrimi. Metodat kriptografike të sigurisë së informacionit ofrojnë mjete sigurie të informacionit, prandaj është pjesë e konceptit të sigurisë së informacionit.

Mbrojtja e informacionit kriptografik (konfidencialiteti)

Qëllimet e mbrojtjes së informacionit përfundimisht përfundojnë në sigurimin e konfidencialitetit të informacionit dhe mbrojtjen e informacionit në sistemet kompjuterike në procesin e transferimit të informacionit përmes rrjetit midis përdoruesve të sistemit.

Mbrojtja e informacionit konfidencial bazuar në mbrojtjen kriptografike të informacionit kodon të dhënat duke përdorur një familje transformimesh të kthyeshme, secila prej të cilave përshkruhet nga një parametër i quajtur "çelës" dhe një renditje që përcakton rendin në të cilin zbatohet çdo transformim.

Komponenti më i rëndësishëm i metodës kriptografike të mbrojtjes së informacionit është çelësi, i cili është përgjegjës për zgjedhjen e transformimit dhe rendin e ekzekutimit të tij. Një çelës është një sekuencë e caktuar karakteresh që vendos algoritmin e kriptimit dhe deshifrimit të sistemit të mbrojtjes së informacionit kriptografik. Çdo transformim i tillë përcaktohet në mënyrë unike nga një çelës që përcakton një algoritëm kriptografik që siguron mbrojtjen e informacionit dhe sigurinë e informacionit të sistemit të informacionit.

Një dhe i njëjti algoritëm i mbrojtjes së informacionit kriptografik mund të funksionojë në mënyra të ndryshme, secila prej të cilave ka disa avantazhe dhe disavantazhe që ndikojnë në besueshmërinë e sigurisë së informacionit.

Bazat e kriptografisë së sigurisë së informacionit (integriteti i të dhënave)

Mbrojtja e informacionit në rrjetet lokale dhe teknologjitë e mbrojtjes së informacionit, së bashku me konfidencialitetin, janë të detyruara të sigurojnë integritetin e ruajtjes së informacionit. Kjo do të thotë, mbrojtja e informacionit në rrjetet lokale duhet të transferojë të dhënat në atë mënyrë që të dhënat të mbeten të pandryshuara gjatë transmetimit dhe ruajtjes.

Në mënyrë që siguria e informacionit të informacionit të sigurojë integritetin e ruajtjes dhe transmetimit të të dhënave, është e nevojshme të zhvillohen mjete që zbulojnë çdo shtrembërim të të dhënave origjinale, për të cilat shtohet tepricë në informacionin origjinal.

Siguria e informacionit me kriptografi zgjidh çështjen e integritetit duke shtuar një lloj kontrolli ose kombinimi kontrolli për të llogaritur integritetin e të dhënave. Pra, përsëri, modeli i sigurisë së informacionit është kriptografik - i varur nga çelësi. Sipas një vlerësimi të sigurisë së informacionit bazuar në kriptografi, varësia e aftësisë për të lexuar të dhënat në një çelës privat është mjeti më i besueshëm dhe përdoret madje edhe në sistemet shtetërore të sigurisë së informacionit.

Si rregull, një auditim i sigurisë së informacionit të një ndërmarrje, për shembull, siguria e informacionit të bankave, i kushton vëmendje të veçantë mundësisë së imponimit të suksesshëm të informacionit të shtrembëruar, dhe mbrojtja kriptografike e informacionit bën të mundur uljen e këtij probabiliteti në një nivel të papërfillshëm. Një shërbim i tillë i sigurisë së informacionit e quan këtë probabilitet një masë të fuqisë së shifrës, ose aftësinë e të dhënave të koduara për t'i rezistuar një sulmi nga një haker.

3 .4 Identifikimi dhe vërtetimi i përdoruesit

Përpara aksesit në burimet e sistemit kompjuterik, përdoruesi duhet të kalojë në procesin e paraqitjes në sistemin kompjuterik, i cili përfshin dy faza:

* identifikimi - përdoruesi i tregon sistemit me kërkesën e tij emrin (identifikuesin);

* vërtetimi - përdoruesi konfirmon identifikimin duke futur në sistem informacione unike për veten e tij që nuk janë të njohura për përdoruesit e tjerë (për shembull, një fjalëkalim).

Për të kryer procedurat për identifikimin dhe vërtetimin e një përdoruesi, ju nevojiten:

* prania e një subjekti (moduli) të përshtatshëm të vërtetimit;

* prania e një objekti vërtetues që ruan informacione unike për vërtetimin e përdoruesit.

Ekzistojnë dy forma të paraqitjes së objekteve që vërtetojnë një përdorues:

* objekt i jashtëm vërtetues që nuk i përket sistemit;

* një objekt i brendshëm që i përket sistemit, në të cilin transferohet informacioni nga një objekt i jashtëm.

Objektet e jashtme mund të zbatohen teknikisht në mediume të ndryshme ruajtëse - disqe magnetike, karta plastike, etj. Natyrisht, format e jashtme dhe të brendshme të paraqitjes së objektit autentikues duhet të jenë semantikisht identike.

3 .5 Mbrojtja e informacionit në COP nga aksesi i paautorizuar

Për akses të paautorizuar, sulmuesi nuk përdor asnjë harduer ose softuer që nuk është pjesë e COP. Ai kryen akses të paautorizuar duke përdorur:

* njohuri për COP dhe aftësinë për të punuar me të;

* informacion rreth sistemit të sigurisë së informacionit;

* dështime, dështime të harduerit dhe softuerit;

* gabime, neglizhencë të personelit të shërbimit dhe përdoruesve.

Për të mbrojtur informacionin nga aksesi i paautorizuar, po krijohet një sistem për diferencimin e aksesit në informacion. Është e mundur të sigurohet akses i paautorizuar në informacion në prani të një sistemi të kontrollit të aksesit vetëm në rast të dështimeve dhe dështimeve të COP, si dhe duke përdorur dobësi në sistemin e integruar të sigurisë së informacionit. Për të shfrytëzuar dobësitë e sigurisë, një sulmues duhet të jetë i vetëdijshëm për to.

Një nga mënyrat për të marrë informacion për mangësitë e sistemit të mbrojtjes është studimi i mekanizmave të mbrojtjes. Një sulmues mund të testojë sistemin e mbrojtjes duke kontaktuar drejtpërdrejt me të. Në këtë rast, ekziston një probabilitet i lartë që sistemi i mbrojtjes të zbulojë përpjekjet për ta testuar atë. Si rezultat, shërbimi i sigurisë mund të marrë masa shtesë sigurie.

Një qasje e ndryshme është shumë më tërheqëse për një sulmues. Fillimisht merret një kopje e softuerit të sistemit të sigurisë ose mjeteve teknike të sigurisë dhe më pas ato ekzaminohen në kushte laboratorike. Për më tepër, krijimi i kopjeve të paregjistruara në media të lëvizshme është një nga mënyrat më të zakonshme dhe më të përshtatshme për vjedhjen e informacionit. Në këtë mënyrë kryhet dublikim i paautorizuar i programeve. Marrja e fshehtë e një mjeti teknik të mbrojtjes për kërkime është shumë më e vështirë sesa softveri, dhe një kërcënim i tillë bllokohet me mjete dhe metoda që sigurojnë integritetin e strukturës teknike të CS. Për të bllokuar kërkimin dhe kopjimin e paautorizuar të informacionit, COP përdor një sërë mjetesh dhe masash mbrojtjeje, të cilat kombinohen në një sistem mbrojtjeje kundër kërkimit dhe kopjimit të informacionit. Kështu, një sistem për diferencimin e aksesit në informacion dhe një sistem për mbrojtjen e informacionit mund të konsiderohen si nënsisteme të një sistemi për mbrojtjen nga aksesi i paautorizuar në informacion.

3 .6 Programe të tjeramjete të ndryshme për mbrojtjen e informacionit

Firewalls(i quajtur edhe firewalls ose firewalls - prej tij. Brandmauer, anglisht firewall - "mur zjarri"). Ndërmjet rrjeteve lokale dhe globale krijohen serverë specialë të ndërmjetëm, të cilët inspektojnë dhe filtrojnë të gjithë trafikun e rrjetit/shtresave të transportit që kalon nëpër to. Kjo mund të zvogëlojë në mënyrë dramatike kërcënimin e aksesit të paautorizuar nga jashtë në rrjetet e korporatave, por nuk e eliminon plotësisht këtë rrezik. Një version më i sigurt i metodës është maskimi, kur i gjithë trafiku që del nga rrjeti lokal dërgohet në emër të serverit të murit të zjarrit, duke e bërë rrjetin lokal praktikisht të padukshëm.

Firewalls

Proxy-servers(prokurë - prokurë, besuar). I gjithë trafiku i rrjetit / shtresës së transportit midis rrjeteve lokale dhe globale është plotësisht i ndaluar - nuk ka rrugëzim si i tillë, dhe thirrjet nga rrjeti lokal në rrjetin global ndodhin përmes serverëve të veçantë ndërmjetësues. Natyrisht, në këtë rast, thirrjet nga rrjeti global në atë lokal bëhen në parim të pamundura. Kjo metodë nuk siguron mbrojtje të mjaftueshme kundër sulmeve në nivele më të larta - për shembull, në nivelin e aplikacionit (viruset, kodi Java dhe JavaScript).

VPN(rrjet privat virtual) ju lejon të transmetoni informacion sekret përmes rrjeteve ku është e mundur që njerëz të paautorizuar të dëgjojnë trafikun. Teknologjitë e përdorura: PPTP, PPPoE, IPSec.

konkluzioni

Përfundimet kryesore në lidhje me mënyrat e përdorimit të mjeteve, metodave dhe masave të mësipërme të mbrojtjes janë si më poshtë:

1. Efekti më i madh arrihet kur të gjitha mjetet, metodat dhe masat e përdorura kombinohen në një mekanizëm të vetëm, holistik për mbrojtjen e informacionit.

2. Mekanizmi i mbrojtjes duhet të hartohet paralelisht me krijimin e sistemeve të përpunimit të të dhënave, duke filluar nga momenti kur zhvillohet koncepti i përgjithshëm i ndërtimit të sistemit.

3. Funksionimi i mekanizmit mbrojtës duhet të planifikohet dhe sigurohet së bashku me planifikimin dhe mirëmbajtjen e proceseve kryesore të përpunimit të automatizuar të informacionit.

4. Është e nevojshme të kryhet monitorim i vazhdueshëm i funksionimit të mekanizmit mbrojtës.

MElista e burimeve të përdorura

1. "Mjete softuerike dhe harduerike për garantimin e sigurisë së informacionit të rrjeteve kompjuterike", V.V. Platonov, 2006

2. “Inteligjenca artificiale. Libri 3. Software dhe Hardware”, V.N. Zakharova, V.F. Horoshevskaya.

3.www.wikipedia.ru

5.www.intuit.ru

Postuar në Allbest.ru

Dokumente të ngjashme

Mjete të përgjithshme dhe softuerike për mbrojtjen e informacionit nga viruset. Veprimi i viruseve kompjuterike. Rezervimi i informacionit, diferencimi i aksesit në të. Llojet kryesore të programeve antivirus për kërkimin e viruseve dhe trajtimin e tyre. Puna me programin AVP.

abstrakt, shtuar 21.01.2012


Karakteristikat dhe parimet e sigurisë së softuerit. Arsyet e krijimit të viruseve për të infektuar programet kompjuterike. Karakteristikat e përgjithshme të viruseve kompjuterike dhe mjetet e neutralizimit të tyre. Klasifikimi i metodave të mbrojtjes kundër viruseve kompjuterike.

abstrakt, shtuar më 05/08/2012


Efekti shkatërrues i viruseve kompjuterike - programe të afta për vetë-përhapje dhe dëmtim të të dhënave. Karakteristikat e varieteteve të viruseve dhe kanalet e shpërndarjes së tyre. Rishikimi krahasues dhe testimi i mjeteve moderne të mbrojtjes kundër viruseve.

punim afatshkurtër, shtuar 05/01/2012


Qëllimi i një programi antivirus për zbulimin, dezinfektimin dhe parandalimin e infektimit të skedarëve me objekte me qëllim të keq. Metoda e përputhjes së përkufizimit të viruseve në fjalor. Procesi i infektimit me virus dhe dezinfektimi i skedarëve. Kriteret për zgjedhjen e programeve antivirus.

prezantimi u shtua më 23.12.2015


Mjetet e sigurisë së informacionit. Masat parandaluese për të reduktuar mundësinë e kontraktimit të virusit. Parandalimi i hyrjes së viruseve. Programe të specializuara për mbrojtje. Përdorimi i paautorizuar i informacionit. Metodat e skanimit të viruseve.

abstrakt, shtuar 27.02.2009


Njohja me mjetet bazë të arkivimit të të dhënave, programet antivirus, mjetet kriptografike dhe mjete të tjera softuerike për mbrojtjen e informacionit. Çelësat e sigurisë së harduerit, mjetet biometrike. Metodat e mbrojtjes së informacionit kur punoni në rrjete.

tezë, shtuar 09/06/2014


Shfaqja e viruseve kompjuterike, klasifikimi i tyre. Problemi i programeve antivirus që luftojnë viruset kompjuterike. Analiza krahasuese e mjeteve moderne antivirus: Kaspersky, Panda Antivirus, Nod 32, Dr. Web. Metodat e skanimit të viruseve.

punim afatshkurtër, shtuar 27.11.2010


Historia e shfaqjes së viruseve kompjuterike si një shumëllojshmëri programesh, një veçori e të cilave është vetë-përsëritja. Klasifikimi i viruseve kompjuterike, mënyrat e përhapjes së tyre. Masat paraprake kundër infektimit të kompjuterit tuaj. Krahasimi i programeve antivirus.

punim afatshkurtër, shtuar 08/06/2013


Arkitektura me shtatë nivele, protokollet bazë dhe standardet e rrjeteve kompjuterike. Llojet e softuerit dhe metodave harduerike-softuerike të mbrojtjes: kriptimi i të dhënave, mbrojtja nga viruset kompjuterike, aksesi i paautorizuar, informacioni me qasje në distancë.

test, shtuar 07/12/2014


Qëllimet dhe objektivat e departamentit "Informatizimi dhe teknologjitë kompjuterike" të administratës së qytetit Bryansk. Natyra dhe niveli i konfidencialitetit të informacionit të përpunuar. Përbërja e kompleksit të mjeteve teknike. Softueri dhe hardueri i sigurisë së informacionit.

Një rritje e mprehtë në sasinë e informacionit të grumbulluar, ruajtur dhe përpunuar duke përdorur kompjuterë dhe mjete të tjera automatizimi.

Përqendrimi në bazat e të dhënave të përbashkëta të informacionit për qëllime të ndryshme dhe aksesorë të ndryshëm.

Një zgjerim i mprehtë i rrethit të përdoruesve me qasje të drejtpërdrejtë në burimet e sistemit informatikë dhe të dhënat e vendosura në të.

Komplikimi i mënyrave të funksionimit të mjeteve teknike të sistemeve kompjuterike: prezantimi i gjerë i modalitetit me shumë programe, si dhe mënyrat e ndarjes së kohës dhe në kohë reale.

Automatizimi i shkëmbimit të informacionit makinë-me-makinë, përfshirë në distanca të gjata.

Në këto kushte, ekzistojnë dy lloje të cenueshmërisë: nga njëra anë, mundësia e shkatërrimit ose e shtrembërimit të informacionit (dmth. cenimi i integritetit të tij fizik) dhe nga ana tjetër, mundësia e përdorimit të paautorizuar të informacionit (dmth. rreziku i rrjedhje e informacionit të kufizuar). Lloji i dytë i cenueshmërisë është një shqetësim i veçantë për përdoruesit e kompjuterit.

Kanalet kryesore të mundshme të rrjedhjes së informacionit janë:

Vjedhja e drejtpërdrejtë e mediave dhe dokumenteve.

Memorizimi ose kopjimi i informacionit.

Lidhja e paautorizuar me pajisjet dhe linjat e komunikimit ose përdorimi i paligjshëm i pajisjeve "legale" (dmth. të regjistruara) të sistemit (më së shpeshti terminalet e përdoruesve).

Qasje e paautorizuar në informacion për shkak të një pajisjeje të veçantë matematikore dhe softuerike.

Metodat e mbrojtjes së informacionit.

Mund të dallohen tre fusha të punës për mbrojtjen e informacionit: kërkimi teorik, zhvillimi i mjeteve të sigurisë dhe justifikimi i mënyrave të përdorimit të mjeteve të sigurisë në sistemet e automatizuara.

Në aspektin teorik, vëmendja kryesore i kushtohet studimit të cenueshmërisë së informacionit në sistemet elektronike të përpunimit të informacionit, fenomenit dhe analizës së kanaleve të rrjedhjes së informacionit, vërtetimit të parimeve të mbrojtjes së informacionit në sistemet e mëdha të automatizuara dhe zhvillimit të metodave për vlerësimin e besueshmëria e mbrojtjes.

Deri më sot, janë zhvilluar shumë mjete, metoda, masa dhe masa të ndryshme për të mbrojtur informacionin e grumbulluar, ruajtur dhe përpunuar në sisteme të automatizuara. Kjo përfshin harduerin dhe softuerin, mbylljen kriptografike të informacionit, masat fizike, ngjarjet e organizuara, masat legjislative. Ndonjëherë të gjitha këto mjete mbrojtjeje ndahen në teknike dhe jo-teknike, për më tepër, mbyllja e informacionit harduer dhe softuer dhe kriptografik klasifikohet si teknike, dhe pjesa tjetër e atyre të listuara më sipër janë jo-teknike.

a) metodat e mbrojtjes së harduerit.

Mjetet e mbrojtjes së harduerit përfshijnë pajisje të ndryshme elektronike, elektro-mekanike, elektro-optike. Deri më sot, një numër i konsiderueshëm i pajisjeve për qëllime të ndryshme është zhvilluar, por më poshtë përdoren më gjerësisht:

Regjistra specialë për ruajtjen e detajeve të sigurisë: fjalëkalimet, kodet e identifikimit, vulat e nënshkrimit ose nivelet e fshehtësisë,

Gjeneruesit e kodit të krijuar për të gjeneruar automatikisht një kod identifikimi të pajisjes,

Pajisjet për matjen e karakteristikave individuale të një personi (zëri, gjurmët e gishtërinjve) me qëllim identifikimin e tij,

Bitë të veçanta të fshehtësisë, vlera e të cilave përcakton nivelin e fshehtësisë së informacionit të ruajtur në memorien të cilës i përkasin këto pjesë,

Qarqet për ndërprerjen e transmetimit të informacionit në linjën e komunikimit me qëllim të kontrollit periodik të adresës së dorëzimit të të dhënave.

Një grup i veçantë dhe më i përhapur i mjeteve mbrojtëse harduerike janë pajisjet për enkriptimin e informacionit (metodat kriptografike).

b) metodat e mbrojtjes së softuerit.

Softueri mbrojtës përfshin programe speciale që janë krijuar për të kryer funksione mbrojtëse dhe përfshihen në softuerin e sistemeve të përpunimit të të dhënave. Mbrojtja e softuerit është lloji më i zakonshëm i mbrojtjes, i cili lehtësohet nga vetitë pozitive të këtij mjeti si shkathtësia, fleksibiliteti, lehtësia e zbatimit, mundësi pothuajse të pakufizuara për ndryshim dhe zhvillim, etj. Sipas qëllimit të tyre funksional, ato mund të ndahen në grupet e mëposhtme:

Identifikimi i mjeteve teknike (terminalet, pajisjet për kontrollin grupor të hyrje-daljeve, kompjuterët, bartësit e informacionit), detyrat dhe përdoruesit,

Përcaktimi i të drejtave të mjeteve teknike (ditët dhe orët e punës të lejuara për përdorimin e detyrës) dhe përdoruesit,

Monitorimi i funksionimit të pajisjeve teknike dhe përdoruesve,

Regjistrimi i punës së mjeteve teknike dhe përdoruesve gjatë përpunimit të informacionit me përdorim të kufizuar,

Shkatërrimi i informacionit në memorie pas përdorimit,

Alarmet në rast të veprimeve të paautorizuara,

Programe ndihmëse për qëllime të ndryshme: monitorimi i funksionimit të mekanizmit mbrojtës, vendosja e një vule sekrete në dokumentet e lëshuara.

c) rezervë.

Rezervimi i informacionit konsiston në ruajtjen e një kopje të programeve në një medium: transmetues, media floppy, disqe optike, disqe të ngurtë. Në këto media, kopjet e programeve mund të jenë në formë normale (të pakompresuar) ose të arkivuara. Rezervimet kryhen për të shpëtuar programet nga dëmtimi (si i qëllimshëm ashtu edhe i rastësishëm) dhe për të ruajtur skedarët e përdorur rrallë.

Me zhvillimin modern të teknologjisë kompjuterike, kërkesat për pajisjet e ruajtjes në rrjetin lokal po rriten shumë më shpejt se sa mundësitë. Së bashku me rritjen gjeometrike të kapacitetit të nënsistemeve të diskut, programet e kopjimit të shiritit duhet të lexojnë dhe shkruajnë sasi të mëdha të të dhënave gjatë kohës së caktuar për kopje rezervë. Më e rëndësishmja, softueri rezervë duhet të mësojë të menaxhojë një numër të madh skedarësh në këtë mënyrë, në mënyrë që të mos jetë shumë e vështirë për përdoruesit të marrin skedarë individualë.

Shumica e programeve moderne më të njohura të rezervimit ofrojnë, në një formë ose në një tjetër, një bazë të dhënash të skedarëve të rezervuar dhe disa informacione se në cilën kasetë janë kopjet e fundit të rezervuara. Shumë më pak e zakonshme është mundësia e integrimit (ose të paktën bashkëjetesës) me teknologjinë e ruajtjes së strukturuar ose hierarkike të informacionit (HSM, Hierarchical Storage Management).

HSM ndihmon në rritjen e hapësirës së disponueshme të diskut të ngurtë në një server duke lëvizur skedarët statikë (të cilët nuk janë aksesuar kohët e fundit) në pajisje më pak të shtrenjta ruajtjeje alternative, si p.sh. disqet optike ose disqet kasetë. HSM lë një skedar të rremë me gjatësi zero në hard disk për të njoftuar se skedari i vërtetë është migruar. Në këtë rast, nëse përdoruesi ka nevojë për një version të mëparshëm të skedarit, softueri HSM mund ta marrë shpejt atë nga shiriti magnetik ose disku optik.

d) kriptimi kriptografik i informacionit.

Mbyllja kriptografike (kriptimi) i informacionit konsiston në një transformim të tillë të informacionit të mbrojtur në të cilin është e pamundur të përcaktohet përmbajtja e të dhënave të mbyllura nga pamja e saj. Specialistët i kushtojnë vëmendje të veçantë mbrojtjes kriptografike, duke e konsideruar atë më të besueshmen dhe për informacionin e transmetuar në një linjë komunikimi në distanca të gjata, është mjeti i vetëm për mbrojtjen e informacionit nga vjedhja.

Drejtimet kryesore të punës në aspektin e konsideruar të mbrojtjes mund të formulohen si më poshtë:

Zgjedhja e sistemeve racionale të kriptimit për mbylljen e sigurt të informacionit,

Arsyetimi i mënyrave për zbatimin e sistemeve të enkriptimit në sistemet e automatizuara,

Zhvillimi i rregullave për përdorimin e metodave të mbrojtjes kriptografike në procesin e funksionimit të sistemeve të automatizuara,

Vlerësimi i efektivitetit të mbrojtjes kriptografike.

Një sërë kërkesash vendosen për shifrat e krijuara për mbylljen e informacionit në kompjuterë dhe sisteme të automatizuara, duke përfshirë: forcën e mjaftueshme (besueshmërinë e mbylljes), lehtësinë e enkriptimit dhe deshifrimit nga metoda e paraqitjes brenda makinës së informacionit, pandjeshmërinë ndaj gabimeve të vogla të kriptimit, mundësinë e përpunimit brenda makinës së informacionit të koduar, një tepricë e parëndësishme e informacionit për shkak të kriptimit dhe një sërë të tjerash. Në një shkallë ose në një tjetër, këto kërkesa plotësohen nga disa lloje të zëvendësimit, ndërrimit, shifrave gama, si dhe shifrave të bazuara në transformimet analitike të të dhënave të koduara.

Shifrimi i zëvendësimit (ndonjëherë përdoret termi "zëvendësim") do të thotë që karakteret e tekstit të koduar zëvendësohen me karaktere të një alfabeti tjetër ose të të njëjtit, në përputhje me një skemë zëvendësimi të paracaktuar.

Kriptimi i ndërrimit do të thotë që karakteret e tekstit të koduar janë riorganizuar sipas ndonjë rregulli brenda një blloku të caktuar të këtij teksti. Me një gjatësi të mjaftueshme të bllokut brenda të cilit kryhet ndërrimi dhe një rend kompleks dhe jo të përsëritur të ndërrimit, është e mundur të arrihet një forcë enkriptimi e mjaftueshme për aplikime praktike në sistemet e automatizuara.

Shifrimi i gama konsiston në faktin se karakteret e tekstit të shifruar u shtohen karaktereve të një sekuence të rastësishme, të quajtur gama. Fuqia e kriptimit përcaktohet kryesisht nga madhësia (gjatësia) e pjesës që nuk përsëritet të gamës. Meqenëse me ndihmën e një kompjuteri është e mundur të gjenerohet një gamë pothuajse e pafundme, kjo metodë konsiderohet si një nga metodat kryesore për enkriptimin e informacionit në sistemet e automatizuara. Vërtetë, kjo ngre një sërë vështirësish organizative dhe teknike, të cilat megjithatë nuk janë të pakapërcyeshme.

Kriptimi me transformim analitik do të thotë se teksti i koduar transformohet sipas ndonjë rregulli (formule) analitike. Ju, për shembull, mund të përdorni rregullin e shumëzimit të një matrice me një vektor, dhe matrica që shumëzohet është çelësi i enkriptimit (prandaj, madhësia dhe përmbajtja e saj duhet të mbahen sekret), dhe simbolet e vektorit që shumëzohen janë në mënyrë sekuenciale simbolet e tekstit të koduar.

Shifrat e kombinuara janë veçanërisht efektive kur teksti kodohet në mënyrë sekuenciale nga dy ose më shumë sisteme enkriptimi (për shembull, zëvendësimi dhe gama, ndërrimi dhe gama). Besohet se forca e kriptimit është më e lartë se forca totale në shifrat e përbëra.

Secili nga sistemet e konsideruara të enkriptimit mund të zbatohet në një sistem të automatizuar ose me softuer ose duke përdorur pajisje speciale. Zbatimi i softuerit është më fleksibël dhe më i lirë se zbatimi i harduerit. Megjithatë, enkriptimi i harduerit është përgjithësisht disa herë më efikas. Kjo rrethanë është e një rëndësie vendimtare në rastin e vëllimeve të mëdha të informacionit të mbyllur.

e) masat e mbrojtjes fizike.

Klasa tjetër në arsenalin e mjeteve të sigurisë së informacionit janë masat fizike. Bëhet fjalë për pajisje dhe struktura të ndryshme, si dhe masa që e bëjnë të vështirë ose të pamundur hyrjen e ndërhyrësve të mundshëm në vendet ku është e mundur të kenë akses në informacionin e mbrojtur. Masat më të zakonshme janë:

Izolimi fizik i strukturave në të cilat është instaluar pajisja e sistemit të automatizuar nga struktura të tjera,

Rrethimi i territorit të qendrave kompjuterike me gardhe në distanca të tilla që janë të mjaftueshme për të përjashtuar regjistrimin efektiv të rrezatimit elektromagnetik dhe organizimin e kontrollit sistematik të këtyre territoreve;

Organizimi i pikave të kontrollit në hyrje të ambienteve të qendrave informatike ose të pajisura me dyer hyrëse me bravë speciale që lejojnë rregullimin e aksesit në ambiente;

Organizimi i një sistemi alarmi sigurie.

f) masat organizative për mbrojtjen e informacionit.

Klasa tjetër e masave për mbrojtjen e informacionit janë masat organizative. Këto janë akte të tilla normative ligjore që rregullojnë proceset e funksionimit të sistemit të përpunimit të të dhënave, përdorimin e pajisjeve dhe burimeve të tij, si dhe marrëdhëniet midis përdoruesve dhe sistemeve në mënyrë të tillë që aksesi i paautorizuar në informacion të bëhet i pamundur ose pengohet ndjeshëm. Masat organizative luajnë një rol të rëndësishëm në krijimin e një mekanizmi të besueshëm për mbrojtjen e informacionit. Arsyet pse veprimet organizative luajnë një rol më të madh në mekanizmin e sigurisë është se potenciali për përdorim të paautorizuar të informacionit drejtohet kryesisht nga aspekte jo-teknike: veprime me qëllim të keq, neglizhencë ose neglizhencë të përdoruesve ose personelit të sistemeve të përpunimit të të dhënave. Ndikimi i këtyre aspekteve është pothuajse i pamundur të shmanget ose lokalizohet duke përdorur harduerin dhe softuerin e diskutuar më sipër, mbylljen e informacionit kriptografik dhe masat e mbrojtjes fizike. Kjo kërkon një sërë masash organizative, organizative, teknike dhe organizative e ligjore, të cilat do të përjashtonin mundësinë e një rreziku të rrjedhjes së informacionit në këtë mënyrë.

Aktivitetet kryesore në këtë kombinim janë si më poshtë:

Masat e kryera në projektimin, ndërtimin dhe pajisjet e qendrave informatike (CC),

Masat e kryera në përzgjedhjen dhe trajnimin e personelit të GJK (kontrollimi i të punësuarve, krijimi i kushteve në të cilat personeli nuk do të donte të humbiste vendin e punës, njohja me masat e përgjegjësisë për shkeljen e rregullave të mbrojtjes);

Organizimi i kontrollit të besueshëm të aksesit,

Organizimi i ruajtjes dhe përdorimit të dokumenteve dhe mediave: përcaktimi i rregullave për lëshimin, mbajtja e regjistrave të lëshimit dhe përdorimit,

Kontrolli i ndryshimeve në matematikë dhe softuer,

Organizimi i përgatitjes dhe kontrollit të punës së përdoruesve,

Një nga masat më të rëndësishme organizative është mirëmbajtja në qendrën kompjuterike të një shërbimi të posaçëm të mbrojtjes së informacionit me kohë të plotë, numri dhe përbërja e të cilit do të siguronte krijimin e një sistemi të besueshëm mbrojtjeje dhe funksionimin e rregullt të tij.

konkluzioni.

Përfundimet kryesore në lidhje me mënyrat e përdorimit të mjeteve, metodave dhe masave të mësipërme të mbrojtjes janë si më poshtë:

Efekti më i madh arrihet kur të gjitha mjetet, metodat dhe masat e përdorura kombinohen në një mekanizëm të vetëm, holistik për mbrojtjen e informacionit.

Mekanizmi i mbrojtjes duhet të projektohet paralelisht me krijimin e sistemeve të përpunimit të të dhënave, duke filluar nga momenti kur zhvillohet koncepti i përgjithshëm i ndërtimit të sistemit.

Funksionimi i mekanizmit mbrojtës duhet të planifikohet dhe sigurohet së bashku me planifikimin dhe sigurimin e proceseve kryesore të përpunimit të automatizuar të informacionit.

Është e nevojshme të monitorohet vazhdimisht funksionimi i mekanizmit mbrojtës.

Drejtimet kryesore të mbrojtjes

Standarditeti i parimeve arkitekturore të ndërtimit, harduerit dhe softuerit të kompjuterëve personalë (PC) dhe një sërë arsyesh të tjera përcaktojnë aksesin relativisht të lehtë të një profesionisti në informacionin në një PC. Nëse një grup njerëzish përdor një kompjuter personal, atëherë mund të jetë e nevojshme të kufizohet aksesi në informacion për konsumatorë të ndryshëm.

Qasje e paautorizuar informacionit të PC-së do t'i quajmë njohje, përpunim, kopjim, aplikim të viruseve të ndryshëm, përfshirë ato që shkatërrojnë produkte softuerësh, si dhe modifikim ose shkatërrim të informacionit në kundërshtim me rregullat e vendosura të kontrollit të aksesit.

Në mbrojtjen e informacionit të kompjuterit nga aksesi i paautorizuar, mund të dallohen tre fusha kryesore:

- i pari fokusohet në parandalimin e hyrjes së ndërhyrës në mjedisin kompjuterik dhe bazohet në softuer dhe harduer special për identifikimin e përdoruesit;

- e dyta ka të bëjë me mbrojtjen e mjedisit kompjuterik dhe bazohet në krijimin e softuerit të veçantë për mbrojtjen e informacionit;

- drejtimi i tretë shoqërohet me përdorimin e mjeteve speciale për mbrojtjen e informacionit të kompjuterit nga aksesi i paautorizuar (mbrojtja, filtrimi, tokëzimi, zhurma elektromagnetike, zbutja e niveleve të rrezatimit elektromagnetik dhe ndërhyrja me ndihmën e thithjes së ngarkesave të përshtatshme).

Metodat e softuerit të mbrojtjes së informacionit parashikojnë përdorimin e programeve speciale për të mbrojtur kundër aksesit të paautorizuar, mbrojtjen e informacionit nga kopjimi, modifikimi dhe shkatërrimi.

Mbrojtja kundër aksesit të paautorizuar përfshin:

- identifikimi dhe vërtetimi i subjekteve dhe objekteve;

- diferencimi i aksesit në burimet dhe informacionin kompjuterik;

- kontrollin dhe regjistrimin e veprimeve me informacione dhe programe.

Procedura e identifikimit dhe autentifikimit përfshin kontrollimin nëse një subjekt i caktuar mund të pranohet në burime ( identifikimi) dhe nëse subjekti që hyn (ose objekti që aksesohet) është ai që ai pretendon të jetë ( vërtetimi).

Metoda të ndryshme përdoren zakonisht në procedurat e identifikimit të softuerit. Në thelb, këto janë fjalëkalime (të thjeshta, komplekse, një herë) dhe identifikues të veçantë ose shuma kontrolli për pajisje, programe dhe të dhëna. Për autentifikimin përdoren metoda harduer-softuerike.

Pas përfundimit të procedurave të identifikimit dhe autentifikimit, përdoruesi fiton akses në sistem dhe më pas mbrojtja e informacionit nga softueri kryhet në tre nivele: harduer, softuer dhe të dhëna.

Mbrojtja e harduerit dhe softuerit siguron kontrollin e aksesit në burimet kompjuterike (në pajisje individuale, në RAM, në sistemin operativ, në shërbime ose programe të përdoruesve personalë, tastierë, ekran, printer, disk drive).

Mbrojtja e informacionit në nivelin e të dhënave lejon kryerjen vetëm të veprimeve të lejuara nga rregulloret për të dhënat, si dhe siguron mbrojtjen e informacionit gjatë transmetimit të tij përmes kanaleve të komunikimit.

Kontrolli i aksesit përfshin:

- mbrojtja selektive e burimeve (refuzimi i përdoruesit A ​​për të hyrë në bazën e të dhënave B, por leja për të hyrë në bazën e të dhënave C);

- dhënien dhe refuzimin e aksesit për të gjitha llojet dhe nivelet e aksesit (administrim);

- identifikimin dhe dokumentimin e çdo shkeljeje të rregullave të aksesit dhe përpjekjeve për të shkelur;

- llogaritja dhe ruajtja e informacionit për mbrojtjen e burimeve dhe për aksesin e lejuar në to.

Metodat e softuerit për mbrojtjen e informacionit bazohen në mbrojtjen me fjalëkalim. Mbrojtja e fjalëkalimit mund të kapërcehet duke përdorur mjetet e përdorura për korrigjimin e softuerit dhe rikuperimin e informacionit, si dhe duke përdorur programe të thyerjes së fjalëkalimit. Shërbimet e korrigjimit të sistemit ju lejojnë të anashkaloni mbrojtjen. Programet e thyerjes së fjalëkalimit përdorin sulme brute-force për të gjetur fjalëkalimin. Koha që duhet për të gjetur një fjalëkalim duke përdorur një metodë të thjeshtë brute-force rritet në mënyrë eksponenciale me rritjen e gjatësisë së fjalëkalimit.

Për të ruajtur sekretin, duhet t'i përmbaheni rekomandimeve të mëposhtme për zgjedhjen e një fjalëkalimi:

- gjatësia minimale e fjalëkalimit duhet të jetë së paku 8-10 karaktere;

- alfabeti i zgjeruar duhet të përdoret për fjalëkalimin, duke futur simbole dhe nënshkrime në të;

- nuk duhet të përdorni fjalë standarde si fjalëkalim, pasi në internet ka fjalorë të fjalëkalimeve tipike, me ndihmën e të cilëve mund të përcaktohet fjalëkalimi tipik i vendosur nga ju;

- sistemi i sigurisë duhet të bllokojë hyrjen pas një numri të caktuar përpjekjesh për hyrje të pasuksesshme;

- koha e hyrjes në sistem duhet të kufizohet në kohën e ditës së punës.

Mjetet softuerike janë forma objektive të paraqitjes së një grupi të dhënash dhe komandash të destinuara për funksionimin e kompjuterëve dhe pajisjeve kompjuterike për të marrë një rezultat të caktuar, si dhe materiale të përgatitura dhe të regjistruara në një medium fizik të marrë gjatë zhvillimit të tyre, dhe ekranet audiovizuale të krijuara prej tyre. Kjo perfshin:

Software (një grup programesh kontrolli dhe përpunimi). Përbërja:

Programet e sistemit (sistemet operative, programet e mirëmbajtjes);

Programet e aplikimit (programet që janë krijuar për të zgjidhur probleme të një lloji të caktuar, për shembull, redaktuesit e tekstit, programet antivirus, DBMS, etj.);

Programet instrumentale (sistemet e programimit që përbëhen nga gjuhë programimi: Turbo C, Microsoft Basic, etj. dhe përkthyes - një grup programesh që ofrojnë përkthim automatik nga gjuhët algoritmike dhe simbolike në kodet e makinerisë);

Informacioni i makinës për pronarin, pronarin, përdoruesin.

Detajime të tilla e kryej për të kuptuar më vonë thelbin e çështjes në shqyrtim, për të evidentuar më qartë metodat e kryerjes së krimeve kompjuterike, objektet dhe armët e cenimit kriminal, si dhe për të eliminuar mosmarrëveshjet rreth terminologjisë së teknologji kompjuterike. Pas shqyrtimit të detajuar të komponentëve kryesorë që së bashku përfaqësojnë përmbajtjen e konceptit të një krimi kompjuterik, mund të kalojmë në shqyrtimin e çështjeve që lidhen me elementët kryesorë të karakteristikave kriminalistike të krimeve kompjuterike.

Softueri mbrojtës përfshin programe speciale që janë krijuar për të kryer funksione mbrojtëse dhe përfshihen në softuerin e sistemeve të përpunimit të të dhënave. Mbrojtja e softuerit është lloji më i zakonshëm i mbrojtjes, i cili lehtësohet nga vetitë pozitive të këtij mjeti si shkathtësia, fleksibiliteti, lehtësia e zbatimit, mundësi pothuajse të pakufizuara për ndryshim dhe zhvillim, etj. Sipas qëllimit të tyre funksional, ato mund të ndahen në grupet e mëposhtme:

Identifikimi i mjeteve teknike (terminalet, pajisjet për kontrollin grupor të hyrje-daljeve, kompjuterët, bartësit e informacionit), detyrat dhe përdoruesit;

Përcaktimi i të drejtave të mjeteve teknike (ditët dhe orët e punës të lejuara për përdorimin e detyrës) dhe përdoruesit;

Kontrolli mbi funksionimin e mjeteve teknike dhe përdoruesve;

Regjistrimi i punës së mjeteve teknike dhe përdoruesve gjatë përpunimit të informacionit me përdorim të kufizuar;

Shkatërrimi i informacionit në memorie pas përdorimit;

Alarmet për veprime të paautorizuara;

Programe ndihmëse për qëllime të ndryshme: monitorimi i funksionimit të mekanizmit mbrojtës, vendosja e një vule sekrete në dokumentet e lëshuara.

Mbrojtje antivirus

Siguria e informacionit është një nga parametrat më të rëndësishëm të çdo sistemi kompjuterik. Për ta siguruar atë, janë krijuar një numër i madh softuerësh dhe harduerësh. Disa prej tyre janë të angazhuar në enkriptimin e informacionit, disa janë në kufizimin e aksesit në të dhëna. Viruset kompjuterike janë një problem i veçantë. Kjo është një klasë e veçantë programesh që synojnë prishjen e sistemit dhe korruptimin e të dhënave. Midis viruseve dallohen një sërë varietetesh. Disa prej tyre janë vazhdimisht në kujtesën e kompjuterit, disa prodhojnë veprime shkatërruese me "goditje" të njëhershme. Ekziston edhe një klasë e tërë programesh që nga jashtë janë mjaft të mirë, por në fakt e prishin sistemin. Programe të tilla quhen "kuajt e Trojës". Një nga vetitë kryesore të viruseve kompjuterike është aftësia për të "shumëzuar" - dmth. vetëpërhapja brenda një kompjuteri dhe një rrjeti kompjuterik.

Që nga koha kur mjete të ndryshme softuerësh të zyrës kanë qenë në gjendje të punojnë me programe të shkruara posaçërisht për ta (për shembull, mund të shkruani aplikacione në gjuhën Visual Basic për Microsoft Office), është shfaqur një lloj i ri i programeve me qëllim të keq - të ashtuquajturat . Makro viruset. Viruset e këtij lloji shpërndahen së bashku me skedarët e rregullt të dokumenteve dhe gjenden brenda tyre si nënprograme të rregullta.

Jo shumë kohë më parë (këtë pranverë) u përhap një epidemi e virusit Win95.CIH dhe nëngrupeve të tij të shumta. Ky virus shkatërroi përmbajtjen e BIOS-it të kompjuterit, duke e bërë të pamundur punën. Shpesh na është dashur të hedhim edhe pllakat amë të dëmtuara nga ky virus.

Duke marrë parasysh zhvillimin e fuqishëm të mjeteve të komunikimit dhe vëllimin e rritur ndjeshëm të shkëmbimit të të dhënave, problemi i mbrojtjes nga viruset po bëhet shumë urgjent. Në fakt, me çdo dokument të marrë, për shembull, me postë elektronike, mund të merret një makro virus dhe çdo program që lëshohet mund (teorikisht) të infektojë një kompjuter dhe ta bëjë sistemin jofunksional.

Prandaj, ndër sistemet e sigurisë, drejtimi më i rëndësishëm është lufta kundër viruseve. Ka një numër mjetesh të krijuara posaçërisht për këtë detyrë. Disa prej tyre funksionojnë në modalitetin e skanimit dhe skanojnë përmbajtjen e hard disqeve dhe memorien e kompjuterit për viruse. Megjithatë, disa duhet të funksionojnë vazhdimisht dhe të gjenden në memorien e kompjuterit. Duke bërë këtë, ata përpiqen të mbajnë gjurmët e të gjitha detyrave të ekzekutimit.

Në tregun rus të softuerit, më e popullarizuara ishte paketa AVP e zhvilluar nga Laboratori i Sistemeve Anti-Virus Kaspersky. Ky është një produkt universal që ka versione për një sërë sistemesh operative.

Kaspersky Anti-Virus (AVP) përdor të gjitha llojet moderne të mbrojtjes kundër viruseve: skanerët antivirus, monitorët, bllokuesit e sjelljes dhe auditorët e ndryshimit. Versione të ndryshme të produktit mbështesin të gjitha sistemet operative të njohura, portat e postës, muret e zjarrit, serverët në internet. Sistemi ju lejon të kontrolloni të gjitha mënyrat e mundshme të depërtimit të viruseve në kompjuterin e përdoruesit, duke përfshirë internetin, postën elektronike dhe median e ruajtjes së celularit. Mjetet e menaxhimit të Kaspersky Anti-Virus ju lejojnë të automatizoni operacionet më të rëndësishme për instalimin dhe menaxhimin e centralizuar, si në një kompjuter lokal ashtu edhe në rastin e mbrojtjes gjithëpërfshirëse të një rrjeti ndërmarrjeje. Kaspersky Lab ofron tre zgjidhje të gatshme për mbrojtjen kundër viruseve të dizajnuara për kategoritë kryesore të përdoruesve. Së pari, mbrojtje antivirus për përdoruesit e shtëpisë (një licencë për një kompjuter). Së dyti, mbrojtje antivirus për bizneset e vogla (deri në 50 stacione pune në rrjet). Së treti, mbrojtja antivirus për përdoruesit e korporatave (më shumë se 50 stacione pune në rrjet). Kohët kanë kaluar në mënyrë të pakthyeshme kur, për të qenë plotësisht i sigurt për sigurinë nga "infeksioni", mjaftonte të mos përdoreshin disketë "të rastësishme" dhe ekzekutoni programin Aidstest në një makinë një ose dy herë në javë R, i cili kontrollon hard diskun e kompjuterit për objekte të dyshimta. Së pari, gama e zonave në të cilat mund të shfaqen këto objekte është zgjeruar. E-mail me skedarë "të dëmshëm" të bashkangjitur, makro viruse në zyrë (kryesisht Microsoft Office), dokumente "Kuajt e Trojës" - e gjithë kjo u shfaq relativisht kohët e fundit. Së dyti, qasja e rishikimeve periodike të diskut dhe arkivave ka pushuar së justifikuari veten - kontrolle të tilla do të duhej të kryheshin shumë shpesh dhe ato do të merrnin shumë burime të sistemit.

Sistemet e vjetëruara të sigurisë janë zëvendësuar nga një gjeneratë e re e aftë për të gjurmuar dhe neutralizuar "kërcënimin" në të gjitha fushat kritike - nga posta elektronike deri te kopjimi i skedarëve midis disqeve. Në të njëjtën kohë, antiviruset moderne organizojnë mbrojtje në kohë reale, që do të thotë se ata janë vazhdimisht në kujtesë dhe analizojnë informacionin që përpunohet.

Një nga paketat më të njohura dhe më të përdorura të mbrojtjes kundër viruseve është AVP nga Kaspersky Lab. Kjo paketë vjen në shumë variacione të ndryshme. Secila prej tyre është projektuar për të zgjidhur një sërë problemesh specifike të sigurisë dhe ka një numër karakteristikash specifike.

Sistemet e mbrojtjes të shpërndara nga Kaspersky Lab ndahen në tre kategori kryesore, në varësi të llojeve të detyrave që zgjidhin. Këto janë mbrojtja për bizneset e vogla, mbrojtja për përdoruesit e shtëpisë dhe mbrojtja për klientët e korporatave.

AntiViral Toolkit Pro përfshin programe që ju lejojnë të mbroni stacionet e punës të kontrolluara nga OS të ndryshëm - skanera AVP për DOS, Windows 95/98 / NT, Linux, monitorë AVP për Windows 95/98 / NT, Linux, serverë skedarësh - monitor AVP dhe skaner për Novell Netware, monitor dhe skaner për serverin NT, server WEB - Auditues i diskut të inspektorit AVP për Windows, serverët e postës së Microsoft Exchange - AVP për Microsoft Exchange dhe portat.

AntiViral Toolkit Pro përfshin skanerë dhe programe monitorimi. Monitorët ju lejojnë të organizoni kontrollin më të plotë të kërkuar në zonat më kritike të rrjetit.

Në rrjetet Windows 95/98 / NT, AntiViral Toolkit Pro lejon administrimin e centralizuar të të gjithë rrjetit logjik nga stacioni i punës i administratorit duke përdorur paketën softuerike të Qendrës së Kontrollit të Rrjetit AVP.

Koncepti AVP e bën të lehtë dhe të rregullt përditësimin e programeve antivirus duke zëvendësuar bazat e të dhënave antivirus - një grup skedarësh me shtesën .AVC, të cilat aktualisht lejojnë më shumë se 50,000 viruse të zbulohen dhe hiqen. Përditësimet në bazat e të dhënave antivirus lëshohen dhe janë të disponueshme nga serveri i Kaspersky Lab çdo ditë. Për momentin, paketa e softuerit antivirus AntiViral Toolkit Pro (AVP) ka një nga bazat e të dhënave më të mëdha antivirus në botë.

Informacione të ngjashme.