Hardwarová ochrana informačních systémů. Ochrana dat. Základní funkcionalita modelu zabezpečeného informačního systému

Odeslat svou dobrou práci do znalostní báze je jednoduché. Použijte níže uvedený formulář

Studenti, postgraduální studenti, mladí vědci, kteří využívají znalostní základnu ve svém studiu a práci, vám budou velmi vděční.

Hostováno na http://www.allbest.ru/

Úvod

1. Nástroje informační bezpečnosti

2. Hardwarová informační bezpečnost

2.1 Úkoly hardwaru informační bezpečnosti

2.2 Typy hardwarového zabezpečení informací

3. Software pro bezpečnost informací

3.1 Způsoby archivace informací

3.2 Antivirové programy

3.3 Kryptografické nástroje

3.4 Identifikace a autentizace uživatele

3.5 Ochrana informací v CS před neoprávněným přístupem

3.6 Další software pro zabezpečení informací

Závěr

Seznam použitých zdrojů

Vvjíst

S tím, jak se vyvíjejí a stávají složitější prostředky, metody a formy automatizace procesů zpracování informací, roste zranitelnost ochrany informací.

Hlavní faktory přispívající k této zranitelnosti jsou:

· Prudký nárůst množství informací shromážděných, uložených a zpracovaných pomocí počítačů a dalších automatizačních nástrojů;

· Koncentrace v jednotlivých databázích informací pro různé účely a různé doplňky;

· Prudké rozšíření okruhu uživatelů, kteří mají přímý přístup ke zdrojům počítačového systému a datům v něm obsaženým;

· Komplikace režimů provozu technických prostředků výpočetních systémů: plošné zavedení víceprogramového režimu, jakož i režimů sdílení času a reálného času;

· Automatizace výměny informací mezi stroji, a to i na velké vzdálenosti.

Za těchto podmínek vznikají dva typy zranitelnosti: na jedné straně možnost zničení nebo zkreslení informací (tj. porušení jejich fyzické integrity) a na druhé straně možnost neoprávněného použití informací (tj. úniku důvěrných informací).

Hlavní potenciální kanály pro únik informací jsou:

· Přímá krádež médií a dokumentů;

Ukládání nebo kopírování informací;

· Neoprávněné připojení k zařízení a komunikačním linkám nebo nelegální použití „legitimního“ (tj. registrovaného) zařízení systému (nejčastěji uživatelských terminálů).

1. Nástroje informační bezpečnosti

Prostředky informační bezpečnosti je soubor inženýrských, elektrických, elektronických, optických a jiných zařízení a zařízení, zařízení a technických systémů, jakož i dalších reálných prvků sloužících k řešení různých problémů ochrany informací, včetně zamezení úniku a zajištění bezpečnosti chráněných informace.

Obecně lze prostředky zajištění informační bezpečnosti z hlediska zabránění záměrnému jednání v závislosti na způsobu implementace rozdělit do skupin:

· Hardware(technické prostředky. Jedná se o zařízení různých typů (mechanická, elektromechanická, elektronická atd.), která řeší problémy ochrany informací pomocí hardwaru. Buď brání fyzickému pronikání, nebo, pokud k průniku skutečně došlo, přístupu k informacím, a to i prostřednictvím jejich maskování. První část úlohy řeší zámky, mříže na oknech, hlídače, bezpečnostní alarmy atd. Druhou částí jsou generátory šumu, síťové filtry, skenovací rádia a mnoho dalších zařízení, která „blokují“ potenciální kanály úniku informací nebo je umožňují být detekován. Výhody technických prostředků souvisí s jejich spolehlivostí, nezávislostí na subjektivních faktorech a vysokou odolností vůči modifikacím. Slabé stránky -- nedostatek flexibility, relativně velký objem a hmotnost, vysoká cena.

· Software nástroje zahrnují programy pro identifikaci uživatele, řízení přístupu, šifrování informací, mazání zbytkových (pracovních) informací, jako jsou dočasné soubory, testovací řízení systému ochrany atd. Výhody softwarových nástrojů jsou všestrannost, flexibilita, spolehlivost, snadná instalace, schopnost modifikovat a rozvíjet. Nevýhody - omezená funkčnost sítě, využití části prostředků souborového serveru a pracovních stanic, vysoká citlivost na náhodné nebo záměrné změny, možná závislost na typech počítačů (jejich hardwaru).

· smíšený hardware a software implementují stejné funkce jako hardware a software samostatně a mají mezilehlé vlastnosti.

· Organizační prostředky se skládají z organizačních a technických (příprava prostor s počítači, položení kabelového systému s přihlédnutím k požadavkům na omezení přístupu k němu atd.) a organizačně-právní (národní zákony a pracovní řády stanovené vedením konkrétního podnik). Výhody organizačních nástrojů spočívají v tom, že umožňují řešit mnoho heterogenních problémů, jsou snadno implementovatelné, rychle reagují na nežádoucí akce v síti a mají neomezené možnosti úprav a rozvoje. Nevýhody - velká závislost na subjektivních faktorech včetně celkové organizace práce v konkrétní jednotce.

Podle stupně distribuce a dostupnosti se přidělují softwarové nástroje, ostatní nástroje se používají v případech, kdy je požadována dodatečná úroveň ochrany informací.

2. Hardware pro bezpečnost informací

Hardwarová ochrana zahrnuje různá elektronická, elektromechanická, elektrooptická zařízení. K dnešnímu dni bylo vyvinuto značné množství hardwaru pro různé účely, ale nejrozšířenější jsou následující:

speciální registry pro ukládání bezpečnostních údajů: hesla, identifikační kódy, supy nebo stupně utajení;

zařízení pro měření individuálních vlastností osoby (hlas, otisky prstů) za účelem její identifikace;

· schémata pro přerušení přenosu informací v komunikační lince za účelem periodické kontroly adresy výstupu dat.

zařízení pro šifrování informací (kryptografické metody).

Pro ochranu perimetru informačního systému jsou vytvořeny:

· bezpečnostní a požární poplachové systémy;

· digitální video monitorovací systémy;

· systémy kontroly a řízení přístupu.

Ochrana informací před jejich únikem technickými komunikačními kanály je zajištěna následujícími prostředky a opatřeními:

použití stíněného kabelu a pokládání vodičů a kabelů ve stíněných konstrukcích;

instalace vysokofrekvenčních filtrů na komunikační linky;

výstavba stíněných místností („kapsle“);

použití stíněných zařízení;

instalace aktivních protihlukových systémů;

Vytváření kontrolovaných zón.

2.1 ÚkolyHardwareinformace o hodnotách ochranyrmace

Použití hardwarových nástrojů pro zabezpečení informací vám umožňuje řešit následující úlohy:

Provádění speciálních studií technických prostředků pro přítomnost možných kanálů úniku informací;

Identifikace kanálů úniku informací v různých objektech a prostorách;

lokalizace kanálů úniku informací;

vyhledávání a odhalování prostředků průmyslové špionáže;

· boj proti UA (neoprávněnému přístupu) ke zdrojům důvěrných informací a dalším akcím.

Podle účelu se hardware dělí na detekční nástroje, vyhledávací a podrobné měřicí nástroje, aktivní a pasivní protiopatření. Zároveň podle těchto schopností mohou mít nástroje informační bezpečnosti obecnou hodnotu, určené pro použití neprofesionálními uživateli za účelem získání obecných hodnocení, a profesionální komplexy, které umožňují důkladné vyhledávání, detekci a měření všech charakteristik. nástrojů průmyslové špionáže.

Vyhledávací zařízení lze dále rozdělit na zařízení pro vyhledávání prostředků pro získávání informací a vyšetřování kanálů pro jejich únik.

Zařízení prvního typu je zaměřeno na vyhledávání a lokalizaci prostředků UA již zavedených vetřelci. Zařízení druhého typu je určeno k identifikaci kanálů úniku informací. Rozhodujícími faktory pro takové systémy jsou efektivita studie a spolehlivost získaných výsledků.

Profesionální vyhledávací zařízení je zpravidla velmi drahé a vyžaduje vysoce kvalifikovaného odborníka, který s ním pracuje. V tomto ohledu si to mohou dovolit organizace, které neustále provádějí relevantní průzkumy. Takže pokud potřebujete provést úplné vyšetření - přímá cesta k nim.

To samozřejmě neznamená, že musíte sami opustit používání vyhledávacích nástrojů. Dostupné vyhledávací nástroje jsou však poměrně jednoduché a umožňují provádět preventivní opatření v intervalu mezi seriózními průzkumy vyhledávání.

2.2 Typy hardwarového zabezpečení informací

Vyhrazené SAN(Storage Area Network) poskytuje data s garantovanou šířkou pásma, eliminuje výskyt jediného bodu selhání systému, umožňuje téměř neomezené škálování ze serverů i informačních zdrojů. V poslední době se zařízení iSCSI stále více používají k implementaci úložných sítí spolu s populární technologií Fibre Channel.

Diskové úložiště se liší nejvyšší rychlostí přístupu k datům v důsledku rozložení požadavků na čtení/zápis mezi několik diskových jednotek. Použití redundantních komponent a algoritmů v polích RAID zabraňuje zastavení systému v důsledku selhání kteréhokoli prvku – to zvyšuje dostupnost. Dostupnost, jeden z indikátorů kvality informací, určuje podíl doby, po kterou jsou informace připraveny k použití, a vyjadřuje se v procentech: například 99,999 % („pět devítek“) znamená, že v průběhu roku je informační systém může být z jakéhokoli důvodu nečinný déle než 5 minut. Úspěšnou kombinací vysoké kapacity, vysoké rychlosti a rozumné ceny jsou v současnosti řešení využívající pohony Serial ATA A SATA 2.

Páskové mechaniky(streamery, autoloadery a knihovny) jsou stále považovány za nejekonomičtější a nejoblíbenější řešení zálohování. Původně byly vytvořeny pro ukládání dat, poskytují téměř neomezenou kapacitu (přidáním kazet), poskytují vysokou spolehlivost, mají nízké náklady na úložiště, umožňují organizovat rotaci libovolné složitosti a hloubky, archivaci dat, evakuaci médií na bezpečné místo mimo hlavní kancelář. Magnetické pásky od svého vzniku prošly pěti generacemi vývoje, v praxi se osvědčily a jsou právem základním prvkem zálohovací praxe.

Kromě uvažovaných technologií je třeba zmínit i zajištění fyzické ochrany dat (vymezení a kontrola přístupu do prostor, video dohled, bezpečnostní a požární signalizace) a organizaci nepřetržitého napájení zařízení.

Zvažte příklady hardwaru.

1) eToken- Elektronický klíč eToken - osobní prostředek pro autorizaci, autentizaci a bezpečné ukládání dat, hardware podporující práci s digitálními certifikáty a elektronickým digitálním podpisem (EDS). eToken je k dispozici ve formě USB klíče, čipové karty nebo přívěsku na klíče. Model eToken NG-OTP má vestavěný generátor jednorázových hesel. Model eToken NG-FLASH má vestavěný flash paměťový modul až do velikosti 4 GB. Model eToken PASS obsahuje pouze generátor jednorázových hesel. Model eToken PRO (Java) implementuje generování klíčů EDS a vytváření EDS v hardwaru. Kromě toho mohou mít eTokeny zabudované bezkontaktní rádiové štítky (RFID štítky), což umožňuje použití eTokenu také pro přístup do prostor.

Modely eTokenů by se měly používat k ověřování uživatelů a ukládání klíčových informací v automatizovaných systémech, které zpracovávají důvěrné informace až do bezpečnostní třídy 1G včetně. Jsou doporučenými nositeli klíčových informací pro certifikované CIPF (CryptoPro CSP, Crypto-COM, Domain-K, Verba-OW atd.)

2) Kombinovaný USB klíč eToken NG-FLASH - jedno z řešení bezpečnosti informací od společnosti Aladdin. Kombinuje funkčnost čipové karty se schopností ukládat velké množství uživatelských dat do vestavěného modulu. Kombinuje funkčnost čipové karty se schopností ukládat velká uživatelská data do integrovaného flash paměťového modulu. eToken NG-FLASH také poskytuje možnost spouštět operační systém počítače a spouštět uživatelské aplikace z paměti flash.

Možné úpravy:

Podle objemu vestavěného modulu flash paměti: 512 MB; 1, 2 a 4 GB;

Certifikovaná verze (FSTEC Ruska);

Přítomností vestavěného rádiového štítku;

Barva těla.

3. Software pro zabezpečení informací

Softwarové nástroje jsou objektivní formy reprezentace souboru dat a příkazů určených pro fungování počítačů a počítačových zařízení za účelem dosažení určitého výsledku, jakož i materiály připravené a upevněné na fyzickém médiu získané v průběhu jejich vývoje, a jimi generované audiovizuální projevy.

Software označuje nástroje ochrany dat, které fungují jako součást softwaru. Mezi nimi lze rozlišit a podrobněji zvážit následující:

nástroje pro archivaci dat;

· antivirové programy;

· šifrovací prostředky;

prostředky identifikace a autentizace uživatelů;

kontroly přístupu;

protokolování a auditování.

Příklady kombinací výše uvedených opatření zahrnují:

ochrana databází;

ochrana operačních systémů;

ochrana informací při práci v počítačových sítích.

3 .1 Prostředky archivace informací

Někdy je nutné vytvořit záložní kopie informací s obecným omezením zdrojů datového hostování, například vlastníků osobních počítačů. V těchto případech se využívá softwarová archivace. Archivace je sloučení více souborů a dokonce i adresářů do jednoho souboru – archivu, při snížení celkového objemu zdrojových souborů odstraněním redundance, avšak bez ztráty informací, tedy s možností přesné obnovy původních souborů. Činnost většiny archivačních nástrojů je založena na použití kompresních algoritmů navržených v 80. letech. Abraham Lempel a Jacob Ziv. Následující archivní formáty jsou nejznámější a nejoblíbenější:

· ZIP, ARJ pro operační systémy DOS a Windows;

· TAR pro operační systém Unix;

multiplatformní formát JAR (Java ARchive);

RAR (obliba tohoto formátu neustále roste, protože byly vyvinuty programy, které umožňují jeho použití v operačních systémech DOS, Windows a Unix).

Uživatel by si měl pouze vybrat pro sebe vhodný program, který zajistí práci s vybraným formátem vyhodnocením jeho vlastností - rychlost, kompresní poměr, kompatibilita s velkým množstvím formátů, uživatelská přívětivost rozhraní, volba operačního systému atd. Seznam takových programů je velmi velký - PKZIP, PKUNZIP, ARJ, RAR, WinZip, WinArj, ZipMagic, WinRar a mnoho dalších. Většinu těchto programů není nutné zvlášť kupovat, protože jsou nabízeny jako shareware nebo freeware programy. Je také velmi důležité stanovit pravidelný harmonogram těchto činností archivace dat nebo je provádět po velké aktualizaci dat.

3 .2 Antivirové programy

E Jedná se o programy určené k ochraně informací před viry. Nezkušení uživatelé se obvykle domnívají, že počítačový virus je speciálně napsaný malý program, který se může „připsat“ jiným programům (tj. je „nakazit“) a také provádět různé nežádoucí akce v počítači. Specialisté na počítačovou virologii určují, že povinnou (nezbytnou) vlastností počítačového viru je schopnost vytvářet jeho duplikáty (ne nutně totožné s originálem) a vkládat je do počítačových sítí a/nebo souborů, oblastí počítačového systému a dalších spustitelných objektů. . Duplikáty si zároveň zachovávají možnost další distribuce. Je třeba poznamenat, že tato podmínka není dostatečná; finále. Proto stále neexistuje přesná definice viru a je nepravděpodobné, že by se nějaká v dohledné době objevila. Neexistuje tedy přesně definovaný zákon, podle kterého by se daly odlišit „dobré“ soubory od „virů“. Navíc někdy i u konkrétního souboru je poměrně obtížné určit, zda se jedná o virus nebo ne.

Zvláštním problémem jsou počítačové viry. Jedná se o samostatnou třídu programů zaměřených na narušení systému a poškození dat. Existuje několik typů virů. Některé z nich jsou neustále v paměti počítače, některé produkují destruktivní akce s jednorázovými „údery“.

Existuje také celá třída programů, které vypadají docela slušně, ale ve skutečnosti kazí systém. Takové programy se nazývají „trojské koně“. Jednou z hlavních vlastností počítačových virů je schopnost "reprodukce" - tzn. sebepropagace v rámci počítače a počítačové sítě.

Vzhledem k tomu, že různé kancelářské aplikace dokázaly pracovat s programy napsanými přímo pro ně (například aplikace lze psát pro Microsoft Office ve Visual Basicu), objevil se nový typ škodlivých programů – makroviry. Viry tohoto typu jsou distribuovány spolu s běžnými soubory dokumentů a jsou v nich obsaženy jako běžné podprogramy.

Vezmeme-li v úvahu silný rozvoj komunikačních nástrojů a prudce rostoucí objemy výměny dat, problém ochrany před viry se stává velmi aktuálním. Prakticky každý dokument přijatý např. e-mailem může obdržet makrovirus a každý spuštěný program může (teoreticky) infikovat počítač a znefunkčnit systém.

Mezi bezpečnostními systémy je proto nejdůležitějším směrem boj proti virům. Existuje řada nástrojů speciálně navržených k řešení tohoto problému. Některé z nich běží v režimu skenování a skenují obsah pevných disků počítače a paměti RAM na přítomnost virů. Některé musí být neustále spuštěné a musí být v paměti počítače. Zároveň se snaží mít přehled o všech rozpracovaných úkolech.

Na kazašském softwarovém trhu si největší oblibu získal balíček AVP vyvinutý společností Kaspersky Anti-Virus Systems Laboratory. Jedná se o univerzální produkt, který má verze pro různé operační systémy. Existují také následující typy: Acronis AntiVirus, AhnLab Internet Security, AOL Virus Protection, ArcaVir, Ashampoo AntiMalware, Avast!, Avira AntiVir, A-square anti-malware, BitDefender, CA Antivirus, Clam Antivirus, Command Anti-Malware, Comodo Antivirus, Dr.Web, eScan Antivirus, F-Secure Anti-Virus, G-DATA Antivirus, Graugon Antivirus, IKARUS virus.utilities, Kaspersky Anti-Virus, McAfee VirusScan, Microsoft Security Essentials, Moon Secure AV, Multicore antivirus, NOD32, Norman Virus Control, Norton AntiVirus, Outpost Antivirus, Panda atd.

Metody zjišťování a odstraňování počítačových virů.

Způsoby, jak čelit počítačovým virům, lze rozdělit do několika skupin:

Prevence virové infekce a snížení očekávaného poškození takovou infekcí;

· způsob použití antivirových programů, včetně neutralizace a odstranění známého viru;

Způsoby, jak detekovat a odstranit neznámý virus:

Prevence počítačové infekce;

Restaurování poškozených předmětů;

· Antivirové programy.

Prevence počítačové infekce.

Jednou z hlavních metod boje proti virům je stejně jako v medicíně včasná prevence. Počítačová prevence zahrnuje dodržování malého počtu pravidel, která mohou výrazně snížit pravděpodobnost virové infekce a ztráty jakýchkoli dat.

Pro stanovení základních pravidel počítačové hygieny je nutné zjistit hlavní cesty, kterými se virus dostává do počítače a počítačových sítí.

Hlavním zdrojem virů je dnes celosvětový internet. K největšímu počtu virových infekcí dochází při výměně písmen ve formátech Word. Uživatel editoru infikovaného makrovirem, aniž by na to měl podezření, zasílá infikované dopisy příjemcům, kteří zase odesílají nové infikované dopisy a tak dále. Závěry – měli byste se vyhnout kontaktu s podezřelými zdroji informací a používat pouze legitimní (licencované) softwarové produkty.

Obnova postižených objektů

Ve většině případů virové infekce spočívá postup obnovy infikovaných souborů a disků na spuštění vhodného antiviru, který dokáže neutralizovat systém. Pokud virus nezná žádný antivirus, pak stačí infikovaný soubor poslat výrobcům antiviru a po nějaké době (obvykle několik dní či týdnů) obdrží lék – „aktualizaci“ proti viru. Pokud čas nepočká, pak bude muset být virus neutralizován sám. Pro většinu uživatelů je nutné mít záložní kopie svých informací.

Hlavním živným médiem pro hromadné šíření viru v počítači je:

Slabé zabezpečení operačního systému (OS);

· Dostupnost různé a poměrně úplné dokumentace o OC a hardwaru používaném autory virů;

· rozšířené používání tohoto OS a tohoto hardwaru.

3 .3 Kryptografické nástroje

kryptografický archivační antivirový počítač

Mechanismy šifrování dat k zajištění informační bezpečnosti společnosti je kryptografická ochrana informací prostřednictvím kryptografického šifrování.

Kryptografické metody ochrany informací se používají ke zpracování, ukládání a přenosu informací na médiích a po komunikačních sítích. Kryptografická ochrana informací při přenosu dat na velké vzdálenosti je jedinou spolehlivou šifrovací metodou.

Kryptografie je věda, která studuje a popisuje model informační bezpečnosti dat. Kryptografie otevírá řešení mnoha problémů se zabezpečením sítě: autentizace, důvěrnost, integrita a kontrola interagujících účastníků.

Termín "šifrování" znamená transformaci dat do formy, která není čitelná pro lidi a softwarové systémy bez šifrovacího-dešifrovacího klíče. Kryptografické metody informační bezpečnosti poskytují prostředky informační bezpečnosti, jsou tedy součástí konceptu informační bezpečnosti.

Kryptografická ochrana informací (důvěrnost)

Cíle informační bezpečnosti v konečném důsledku spočívají v zajištění důvěrnosti informací a ochraně informací v počítačových systémech v procesu přenosu informací po síti mezi uživateli systému.

Ochrana důvěrných informací založená na ochraně kryptografických informací šifruje data pomocí rodiny reverzibilních transformací, z nichž každá je popsána parametrem nazývaným „klíč“ a pořadím, které určuje pořadí, ve kterém se každá transformace použije.

Nejdůležitější složkou kryptografické metody ochrany informací je klíč, který je zodpovědný za volbu transformace a pořadí, v jakém se provádí. Klíč je určitá sekvence znaků, která konfiguruje šifrovací a dešifrovací algoritmus systému ochrany kryptografických informací. Každá taková transformace je jednoznačně určena klíčem, který definuje kryptografický algoritmus zajišťující ochranu informací a informační bezpečnost informačního systému.

Stejný algoritmus ochrany kryptografických informací může fungovat v různých režimech, z nichž každý má určité výhody a nevýhody, které ovlivňují spolehlivost zabezpečení informací.

Základy kryptografie informační bezpečnosti (integrita dat)

Ochrana informací v místních sítích a technologie ochrany informací spolu s důvěrností musí zajistit integritu úložiště informací. To znamená, že ochrana informací v místních sítích musí přenášet data takovým způsobem, aby data zůstala během přenosu a ukládání nezměněna.

Aby informační bezpečnost informací zajistila integritu ukládání a přenosu dat, je nutné vyvinout nástroje, které detekují jakékoli zkreslení původních dat, pro které je k původní informaci přidána redundance.

Zabezpečení informací pomocí kryptografie řeší problém integrity přidáním určitého druhu kontrolního součtu nebo kontrolního vzoru pro výpočet integrity dat. Takže opět je model zabezpečení informací kryptografický – závislý na klíči. Podle posouzení bezpečnosti informací na základě kryptografie je závislost schopnosti číst data na tajném klíči nejspolehlivějším nástrojem a je dokonce využívána i ve státních systémech informační bezpečnosti.

Audit informační bezpečnosti podniku, například informační bezpečnosti bank, zpravidla věnuje zvláštní pozornost pravděpodobnosti úspěšného uložení zkreslených informací a kryptografická ochrana informací umožňuje snížit tuto pravděpodobnost na zanedbatelnou hodnotu. úroveň. Podobná služba informační bezpečnosti nazývá tuto pravděpodobnost mírou mezní síly šifry neboli schopnosti šifrovaných dat odolat útoku hackera.

3 .4 Identifikace a ověření uživatele

Před přístupem ke zdrojům počítačového systému musí uživatel projít procesem odeslání do počítačového systému, který zahrnuje dva kroky:

* identifikace - uživatel sdělí systému na jeho žádost své jméno (identifikátor);

* autentizace - uživatel potvrdí identifikaci zadáním unikátních informací o sobě (např. hesla), které nejsou známy ostatním uživatelům, do systému.

K provedení procedur pro identifikaci a ověření uživatele je nutné:

* přítomnost odpovídajícího subjektu (modulu) autentizace;

* přítomnost autentizačního objektu, který uchovává jedinečné informace pro autentizaci uživatele.

Existují dvě formy reprezentace objektů, které ověřují uživatele:

* externí autentizační objekt, který nepatří do systému;

* vnitřní objekt patřící do systému, do kterého jsou přenášeny informace z externího objektu.

Externí objekty mohou být technicky implementovány na různých nosičích informací - magnetických discích, plastových kartách atd. Přirozeně vnější a vnitřní reprezentační formy autentizačního objektu musí být významově totožné.

3 .5 Ochrana informací v CS před neoprávněným přístupem

K provedení neoprávněného přístupu útočník nepoužívá žádný hardware ani software, který není součástí CS. Provádí neoprávněný přístup pomocí:

* znalost CS a schopnost s ním pracovat;

* informace o systému informační bezpečnosti;

* poruchy, poruchy hardwaru a softwaru;

* chyby, nedbalost servisního personálu a uživatelů.

Pro ochranu informací před neoprávněným přístupem se vytváří systém pro rozlišení přístupu k informacím. Získat neoprávněný přístup k informacím za přítomnosti systému řízení přístupu je možné pouze v případě poruch a selhání CS, stejně jako při využití slabin integrovaného systému ochrany informací. Aby mohl útočník využít slabiny v bezpečnostním systému, musí si jich být vědom.

Jedním ze způsobů, jak získat informace o nedostatcích ochranného systému, je studium ochranných mechanismů. Útočník může otestovat ochranný systém přímým kontaktem s ním. V tomto případě je vysoká pravděpodobnost, že ochranný systém zaznamená pokusy o jeho testování. V důsledku toho může bezpečnostní služba přijmout další ochranná opatření.

Mnohem atraktivnější pro útočníka je jiný přístup. Nejprve je získána kopie softwarového nástroje systému ochrany nebo nástroje technické ochrany a poté jsou testovány v laboratoři. Kromě toho je vytváření nezaúčtovaných kopií na vyměnitelných médiích jedním z nejběžnějších a nejpohodlnějších způsobů krádeže informací. Tímto způsobem se provádí neoprávněná replikace programů. Získat tajně technický prostředek ochrany pro výzkum je mnohem obtížnější než softwarový a taková hrozba je blokována prostředky a metodami, které zajišťují integritu technické struktury CS. K blokování neoprávněného zkoumání a kopírování CS informací je využíván soubor prostředků a opatření ochrany, které jsou sloučeny do systému ochrany před zkoumáním a kopírováním informací. Systém diferenciace přístupu k informacím a systém ochrany informací lze tedy považovat za subsystémy systému ochrany před neoprávněným přístupem k informacím.

3 .6 Jiné programymnoho nástrojů pro bezpečnost informací

Firewally(nazývané také firewally nebo firewally - z němčiny Brandmauer, anglicky firewall - "fire wall"). Mezi lokální a globální sítí jsou vytvořeny speciální meziservery, které kontrolují a filtrují veškerý provoz sítě / transportní vrstvy, který jimi prochází. To vám umožní dramaticky snížit hrozbu neoprávněného přístupu zvenčí do podnikových sítí, ale toto nebezpečí zcela neodstraní. Bezpečnější verzí metody je metoda maskování, kdy je veškerý provoz odcházející z místní sítě odesílán jménem serveru brány firewall, díky čemuž je místní síť téměř neviditelná.

Firewally

proxy servery(zmocněnec - plná moc, oprávněná osoba). Veškerý provoz síťové/transportní vrstvy mezi lokální a globální sítí je zcela zakázán – neexistuje žádné směrování jako takové a volání z lokální sítě do globální sítě probíhají přes speciální zprostředkující servery. Je zřejmé, že v tomto případě jsou volání z globální sítě do místní sítě v zásadě nemožná. Tato metoda neposkytuje dostatečnou ochranu proti útokům na vyšších úrovních – například na aplikační úrovni (viry, kód Java a JavaScript).

VPN(soukromá virtuální síť) umožňuje přenášet tajné informace prostřednictvím sítí, kde je možné odposlouchávat provoz neoprávněných osob. Použité technologie: PPTP, PPPoE, IPSec.

Závěr

Hlavní závěry o způsobech použití výše uvedených prostředků, metod a opatření ochrany jsou následující:

1. Největšího efektu se dosáhne, když se všechny použité prostředky, metody a opatření sloučí do jediného integrovaného mechanismu ochrany informací.

2. Ochranný mechanismus by měl být navržen souběžně s vytvářením systémů zpracování dat, počínaje okamžikem, kdy je vyvinuta obecná myšlenka budování systému.

3. Fungování ochranného mechanismu by mělo být plánováno a zajištěno spolu s plánováním a zajišťováním hlavních procesů automatizovaného zpracování informací.

4. Je nutné neustále sledovat fungování ochranného mechanismu.

Sseznam použitých zdrojů

1. „Software a hardware pro zajištění informační bezpečnosti počítačových sítí“, V.V. Platonov, 2006

2. „Umělá inteligence. Kniha 3. Software a hardware“, V.N. Zakharová, V.F. Choroševskaja.

3. www.wikipedia.ru

5. www.intuit.ru

Hostováno na Allbest.ru

Podobné dokumenty

Obecné a softwarové nástroje pro ochranu informací před viry. Působení počítačových virů. Zálohování informací, diferenciace přístupu k nim. Hlavní typy antivirových programů pro vyhledávání virů a jejich léčbu. Práce s AVP.

abstrakt, přidáno 21.01.2012

Vlastnosti a principy softwarové bezpečnosti. Důvody pro vytváření virů k infikování počítačových programů. Obecná charakteristika počítačových virů a způsoby jejich neutralizace. Klasifikace metod ochrany proti počítačovým virům.

abstrakt, přidáno 05.08.2012

Destruktivní účinek počítačových virů - programů schopných sebereplikace a poškození dat. Charakteristika typů virů a jejich distribučních kanálů. Srovnávací přehled a testování moderních nástrojů antivirové ochrany.

semestrální práce, přidáno 5.1.2012

Jmenování antivirového programu pro detekci, léčbu a prevenci napadení souborů škodlivými objekty. Metoda, která odpovídá slovníkové definici virů. Proces infikování virem a léčení souboru. Kritéria pro výběr antivirových programů.

prezentace, přidáno 23.12.2015

Prostředky ochrany informací. Preventivní opatření ke snížení možnosti nákazy virem. Zabránění vstupu virů. Specializované programy na ochranu. Neoprávněné použití informací. Metody vyhledávání virů.

abstrakt, přidáno 27.02.2009

Seznámení s hlavními prostředky archivace dat, antivirovými programy, kryptografickým a dalším softwarem pro ochranu informací. Hardwarové ochranné klíče, biometrické prostředky. Způsoby ochrany informací při práci v sítích.

práce, přidáno 09.06.2014

Vznik počítačových virů, jejich klasifikace. Problém antivirových programů bojujících s počítačovými viry. Provedení srovnávací analýzy moderních antivirových nástrojů: Kaspersky, Panda Antivirus, Nod 32, Dr. Web. Metody vyhledávání virů.

semestrální práce, přidáno 27.11.2010

Historie vzniku počítačových virů jako různých programů, jejichž rysem je sebereplikace. Klasifikace počítačových virů, způsoby jejich šíření. Opatření proti infekci počítače. Porovnání antivirových programů.

semestrální práce, přidáno 08.06.2013

Sedmiúrovňová architektura, základní protokoly a standardy počítačových sítí. Druhy softwarových a hardwarově-softwarových způsobů ochrany: šifrování dat, ochrana před počítačovými viry, neoprávněný přístup, informace se vzdáleným přístupem.

test, přidáno 7.12.2014

Cíle a cíle oddělení "Informatizace a počítačové technologie" správy města Brjansk. Povaha a úroveň důvěrnosti zpracovávaných informací. Složení komplexu technických prostředků. Softwarová a hardwarová informační bezpečnost.

padělky. Již v roce 1992 způsobily takové nezákonné činy pomocí osobních počítačů americkým organizacím celkovou škodu 882 milionů dolarů, uvádí USA Today. Lze předpokládat, že skutečné škody byly mnohem větší, protože mnohé organizace takové incidenty pochopitelně tají; není pochyb o tom, že v našich dnech se škody z takového jednání mnohonásobně zvýšily.

Ve většině případů se ukázalo, že pachateli byli zaměstnanci organizací, kteří dobře znají pracovní dobu a ochranná opatření. To opět potvrzuje nebezpečí vnitřních hrozeb.

Již dříve jsme rozlišovali mezi statickými a dynamická integrita. Za účelem porušení statická integritaútočník (obvykle zaměstnanec) může:

zadejte nesprávné údaje;
Chcete-li změnit údaje.

Někdy se mění smysluplná data, někdy servisní informace. Záhlaví e-mailů lze podvrhnout; dopis jako celek může zfalšovat osoba, která zná heslo odesílatele (uvedli jsme relevantní příklady). Všimněte si, že to druhé je možné, i když je integrita řízena kryptografickými prostředky. Existuje interakce mezi různými aspekty zabezpečení informací: pokud je porušena důvěrnost, může utrpět integrita.

Hrozbou pro integritu není pouze falšování nebo úprava dat, ale také odmítnutí jednat. Pokud neexistují prostředky k zajištění „neodmítnutí“, nelze počítačová data považovat za důkaz.

Potenciálně náchylné k porušení integrita Nejen data, ale také programy. Výhrůžky dynamická integrita jsou porušením atomičnost transakcí, přeskupování, krádež, duplikace dat nebo zavádění dalších zpráv (síťové pakety atd.). Odpovídající akce v síťovém prostředí se nazývají aktivní naslouchání.

Největší ohrožení soukromí

Důvěrné informace lze rozdělit na předmět a službu. Servisní informace (například uživatelská hesla) nepatří do konkrétní tematické oblasti, hrají v informačním systému technickou roli, ale jejich zveřejnění je obzvláště nebezpečné, protože je plné neoprávněného přístupu ke všem informacím, včetně informací o subjektu.

I když jsou informace uloženy v počítači nebo jsou určeny k použití na počítači, ohrožení jejich soukromí může být nepočítačové a obecně netechnické.

Mnoho lidí musí vystupovat jako uživatelé ne jednoho, ale několika systémů (informačních služeb). Pokud se pro přístup k takovým systémům použijí opakovaně použitelná hesla nebo jiné důvěrné informace, pak se tato data určitě uloží nejen v hlavě, ale také v notebooku nebo na kusech papíru, které uživatel často nechává na ploše nebo je ztrácí. A pointa zde není v dezorganizaci lidí, ale v počáteční nevhodnosti schématu hesel. Není možné si zapamatovat mnoho různých hesel; doporučení pro jejich pravidelnou (pokud možno častou) změnu situaci jen zhoršují, nutí k používání jednoduchých střídavých schémat nebo se dokonce snaží redukovat záležitost na dvě nebo tři snadno zapamatovatelná (a stejně snadno uhodnutelná) hesla.

Popsanou třídu zranitelností lze nazvat umístěním důvěrných dat do prostředí, kde jim není (a často ani nemůže být) poskytnuta potřebná ochrana. Kromě hesel uložených v uživatelských noteboocích tato třída zahrnuje přenos důvěrných dat v čistém textu (v konverzaci, v dopise, po síti), což umožňuje jejich zachycení. K útoku lze použít různé technické prostředky (odposlouchávání nebo odposlechy rozhovorů, pasivní síťový poslech atd.), ale myšlenka je stejná – přistupovat k datům v okamžiku, kdy jsou nejméně chráněna.

S hrozbou zachycení dat je třeba počítat nejen při prvotní konfiguraci IS, ale také, což je velmi důležité, při všech změnách. Velmi nebezpečnou hrozbou jsou výstavy, na které řada organizací posílá zařízení z produkční sítě se všemi daty, která jsou na nich uložena. Hesla zůstávají stejná, během vzdáleného přístupu jsou i nadále přenášena v čistém textu.

Dalším příkladem změny je ukládání dat na záložní média. K ochraně dat na hlavních médiích se používají pokročilé systémy řízení přístupu; kopie často jen leží ve skříních a mnoho lidí k nim má přístup.

Odposlouchávání dat je vážnou hrozbou, a pokud je soukromí skutečně kritické a data jsou přenášena mnoha kanály, může být jejich ochrana velmi obtížná a nákladná. Technické prostředky odposlechu jsou dobře propracované, dostupné, snadno použitelné a každý si je může nainstalovat například na kabelovou síť, takže tato hrozba existuje nejen pro vnější, ale i pro interní komunikaci.

Krádeže zařízení ohrožují nejen záložní média, ale také počítače, zejména notebooky. Notebooky jsou často ponechány bez dozoru v práci nebo v autě, někdy se prostě ztratí.

Nebezpečným netechnickým ohrožením soukromí jsou metody mravního a psychického ovlivňování, jako je kupř Maškaráda- provádění akcí pod rouškou osoby s oprávněním k přístupu k údajům.

Mezi nepříjemné hrozby, kterým je těžké se bránit, patří zneužití moci. Na mnoha typech systémů může privilegovaný uživatel (například správce systému) číst jakýkoli (nešifrovaný) soubor, přistupovat k poště libovolného uživatele atd. Dalším příkladem je poškození služby. Servisní technik má obvykle neomezený přístup k zařízení a je schopen obejít mechanismy ochrany softwaru.

Metody ochrany

Stávající metody a nástroje pro bezpečnost informací Počítačové systémy (CS) lze rozdělit do čtyř hlavních skupin:

způsoby a prostředky organizační a právní ochrany informací;
metody a prostředky inženýrské a technické ochrany informací;
kryptografické metody a prostředky ochrany informací;
hardwarově-softwarové metody a prostředky ochrany informací.

Metody a prostředky organizační a právní ochrany informací

Metody a prostředky organizační ochrany informací zahrnují organizační, technická a organizační a právní opatření přijímaná v procesu tvorby a provozu CS k zajištění ochrany informací. Tyto činnosti by měly být prováděny při výstavbě nebo opravě prostor, ve kterých bude CS umístěna; návrh systému, instalace a seřízení jeho hardwaru a softwaru; testování a kontrola provozuschopnosti COP.

Na této úrovni ochrany informací se berou v úvahu mezinárodní smlouvy, podzákonné předpisy státu, státní normy a místní předpisy konkrétní organizace.

Metody a prostředky inženýrské a technické ochrany

Inženýrskými a technickými prostředky ochrany informací se rozumí fyzické předměty, mechanická, elektrická a elektronická zařízení, konstrukční prvky staveb, hasicí prostředky a další prostředky, které zajišťují:

ochrana území a prostor COP před narušiteli;
ochrana CS hardwaru a nosičů informací před krádeží;
zamezení možnosti dálkového (mimo chráněného prostoru) video sledování (odposlechu) práce personálu a fungování technických prostředků COP;
zamezení možnosti zachycení PEMIN (rušivé elektromagnetické záření a snímače) způsobené provozními technickými prostředky COP a datových přenosových linek;
organizace přístupu do prostor zaměstnanců COP;
kontrola nad způsobem práce personálu COP;
kontrola pohybu zaměstnanců ČS v různých oblastech výroby;
požární ochrana objektů ČS;
minimalizace materiálních škod způsobených ztrátou informací v důsledku přírodních katastrof a nehod způsobených člověkem.

Nejdůležitější složkou ženijních a technických prostředků ochrany informací jsou technické prostředky ochrany, které tvoří první linii obrany ČS a jsou nezbytnou, nikoli však postačující podmínkou pro zachování důvěrnosti a integrity informací v CS.

Kryptografické metody ochrany a šifrování

Šifrování je hlavním prostředkem k zajištění soukromí. Takže v případě zajištění důvěrnosti dat na lokálním počítači se používá šifrování těchto dat a v případě síťové interakce šifrované kanály přenosu dat.

Nazývá se věda o ochraně informací pomocí šifrování kryptografie(kryptografie v překladu znamená tajemný dopis nebo tajný spis).

Kryptografie se používá:

chránit důvěrnost informací přenášených prostřednictvím otevřených komunikačních kanálů;
pro autentizaci (autentizaci) přenášených informací;
chránit důvěrné informace, když jsou uloženy na otevřených médiích;
zajistit integritu informací (ochrana informací před neoprávněnými změnami), když jsou přenášeny prostřednictvím otevřených komunikačních kanálů nebo jsou uloženy na otevřených médiích;
zajistit nezpochybnitelnost informací přenášených po síti (zabránění možnému popření skutečnosti odeslání zprávy);
chránit software a další informační zdroje před neoprávněným použitím a kopírováním.

Softwarové a hardwarově-softwarové metody a prostředky zajištění bezpečnosti informací

Hardware pro bezpečnost informací zahrnuje elektronická a elektromechanická zařízení zahrnutá v technických prostředcích CS a vykonávající (samostatně nebo v jediném komplexu se softwarem) některé funkce zabezpečení informací. Kritériem pro klasifikaci zařízení jako hardwaru, a nikoli jako technického a technického prostředku ochrany, je povinné zařazení do skladby technických prostředků COP.

K hlavnímu Hardware zabezpečení informací zahrnuje:

zařízení pro zadávání informací identifikujících uživatele (magnetické a plastové karty, otisky prstů atd.);
Zařízení pro šifrování informací;
zařízení zabraňující neoprávněnému zapnutí pracovních stanic a serverů (elektronické zámky a blokování).

Příklady zabezpečení informací pomocného hardwaru:

Zařízení pro ničení informací na magnetických médiích;
signalizační zařízení o pokusech o neoprávněné akce uživatelů CS atp.

Software pro ochranu informací znamená speciální programy zahrnuté v softwaru CS výhradně k provádění ochranných funkcí. K hlavnímu softwarových nástrojů zabezpečení informací zahrnuje:

programy pro identifikaci a autentizaci uživatelů CS;
programy pro vymezení uživatelského přístupu ke zdrojům CS;
programy pro šifrování informací;
programy pro ochranu informačních zdrojů (systémový a aplikační software, databáze, počítačové školicí nástroje atd.) před neoprávněnou úpravou, používáním a kopírováním.

Upozorňujeme, že identifikace ve vztahu k zajištění informační bezpečnosti KS je chápána jako jednoznačné rozpoznání jedinečného názvu subjektu KS. Autentizace znamená potvrzení, že prezentované jméno odpovídá danému subjektu (autentizace subjektu).

Příklady pomocný software ochrana informací:

programy pro zničení zbytkových informací (v blocích RAM, dočasných souborech atd.);
auditní programy (registrační protokoly) událostí souvisejících se zabezpečením CS, pro zajištění možnosti obnovy a evidence vzniku těchto událostí;
programy pro napodobování práce s pachatelem (odvádějící jeho pozornost k přijímání údajně důvěrných informací);
programy pro testovací kontrolu bezpečnosti CS atd.

Výsledek

Od potenciálu bezpečnostní hrozby informace jsou velmi různorodé, cílů ochrany informací lze dosáhnout pouze vytvořením integrovaného systému ochrany informací, který je chápán jako soubor metod a prostředků sjednocených jediným účelem a zajišťujících potřebnou efektivitu ochrany informací v ČS.

Esej

Student Belevtsev D. V. Fakulta fyziky a matematiky „OiTZI“

Státní univerzita Stavropol

Stavropol 2004

Od konce 80. a počátku 90. let se problémy související s informační bezpečností zabývaly jak specialisty na počítačovou bezpečnost, tak řadu běžných uživatelů osobních počítačů. Je to způsobeno hlubokými změnami, které do našich životů přináší výpočetní technika. Samotný přístup k pojmu „informace“ se změnil. Tento termín se nyní více používá k označení speciálního zboží, které lze koupit, prodat, vyměnit za něco jiného atd. Náklady na takový produkt přitom mnohdy desetinásobně i stonásobně převyšují náklady na samotnou výpočetní techniku, v rámci které funguje. Přirozeně je potřeba chránit informace před neoprávněným přístupem, krádeží, zničením a jinými kriminálními činy. Většina uživatelů si však neuvědomuje, že neustále riskují svá bezpečnostní a osobní tajemství. A jen málokdo nějakým způsobem chrání svá data. Uživatelé počítačů pravidelně nechávají data, jako jsou daňové a bankovní informace, obchodní korespondenci a tabulky, zcela bez ochrany. Problémy jsou mnohem složitější, když začnete pracovat nebo hrát online, protože v tuto chvíli je pro hackera mnohem snazší získat nebo zničit informace ve vašem počítači.

Ochrana dat

Prudký nárůst množství informací shromážděných, uložených a zpracovaných pomocí počítačů a dalších automatizačních nástrojů;

Soustředění v jednotlivých databázích informací pro různé účely a různé doplňky;

Prudké rozšíření okruhu uživatelů, kteří mají přímý přístup ke zdrojům výpočetního systému a datům v něm obsaženým;

Komplikace režimů provozu technických prostředků výpočetních systémů: plošné zavedení víceprogramového režimu, stejně jako režimů sdílení času a reálného času;

Automatizace výměny informací mezi stroji, a to i na velké vzdálenosti.

Hlavní potenciální kanály pro únik informací jsou:

Přímá krádež médií a dokumentů;

Zapamatování nebo kopírování informací;

Neoprávněné připojení k zařízení a komunikačním linkám nebo nelegální používání „legitimních“ (tj. registrovaných) systémových zařízení (nejčastěji uživatelských terminálů).

Hardware je technický prostředek používaný ke zpracování dat. Patří sem: Osobní počítač (soubor technických prostředků určených pro automatické zpracování informací v procesu řešení výpočetních a informačních problémů).

Periferní zařízení (soubor externích počítačových zařízení, která nejsou přímo řízena centrálním procesorem).

Fyzické nosiče strojové informace.

Speciální registry pro ukládání bezpečnostních údajů: hesla, identifikační kódy, supy nebo stupně utajení;

Generátory kódů navržené pro automatické generování identifikačního kódu zařízení;

Zařízení pro měření individuálních vlastností osoby (hlas, otisky prstů) za účelem její identifikace;

Speciální bezpečnostní bity, jejichž hodnota určuje úroveň zabezpečení informací uložených v paměti, do které tyto bity patří;

Schémata pro přerušení přenosu informací v komunikační lince za účelem periodické kontroly adresy výdeje dat Zvláštní a nejpoužívanější skupinou hardwarových ochranných zařízení jsou zařízení pro šifrování informací (kryptografické metody).

2.1 Software pro zabezpečení informací

Software (soubor řídicích a zpracovatelských programů). Sloučenina:

Systémové programy (operační systémy, programy údržby);

Aplikační programy (programy, které jsou určeny k řešení problémů určitého typu, např. textové editory, antivirové programy, DBMS atd.);

Nástrojové programy (programovací systémy sestávající z programovacích jazyků: Turbo C, Microsoft Basic atd. a překladačů - sada programů, které poskytují automatický překlad z algoritmických a symbolických jazyků do strojových kódů);

Informace o stroji vlastníka, vlastníka, uživatele.

Takové upřesňování provádím proto, abych později jasněji porozuměl podstatě projednávané problematiky, abych jasněji identifikoval způsoby páchání počítačové kriminality, předměty a nástroje kriminálních zásahů, jakož i odstranil neshody ohledně terminologie počítačové vybavení. Po podrobném zvážení hlavních složek, které společně představují obsah pojmu počítačová kriminalita, můžeme přistoupit k úvahám o hlavních prvcích forenzních charakteristik počítačových trestných činů.

Ochranný software zahrnuje speciální programy, které jsou navrženy k provádění ochranných funkcí a jsou součástí softwaru systémů pro zpracování dat. Softwarová ochrana je nejrozšířenějším typem ochrany, což je usnadněno takovými pozitivními vlastnostmi tohoto nástroje, jako je univerzálnost, flexibilita, snadnost implementace, téměř neomezené možnosti změn a vývoje atd. Podle jejich funkčního účelu je lze rozdělit do následujících skupin:

Identifikace technických prostředků (terminálů, skupinových vstupně-výstupních řídicích zařízení, počítačů, paměťových médií), úkolů a uživatelů;

Stanovení práv technických prostředků (dny a hodiny provozu, povolené úkoly) a uživatelů;

Kontrola provozu technických prostředků a uživatelů;

Evidence práce technických prostředků a uživatelů při zpracování informací omezeného použití;

Zničení informací v paměti po použití;

Alarmy pro neoprávněné akce;

Pomocné programy pro různé účely: sledování činnosti ochranného mechanismu, opatřování vystavovaných dokumentů razítkem tajemství.

2.2 Antivirová ochrana

Informační bezpečnost je jedním z nejdůležitějších parametrů každého počítačového systému. K jeho zajištění bylo vytvořeno velké množství softwarových a hardwarových nástrojů. Některé z nich se zabývají šifrováním informací, některé vymezují přístup k datům. Zvláštním problémem jsou počítačové viry. Jedná se o samostatnou třídu programů zaměřených na narušení systému a poškození dat. Existuje několik typů virů. Některé z nich jsou neustále v paměti počítače, některé produkují destruktivní akce s jednorázovými „údery“. Existuje také celá třída programů, které vypadají docela slušně, ale ve skutečnosti kazí systém. Takové programy se nazývají „trojské koně“. Jednou z hlavních vlastností počítačových virů je schopnost "reprodukce" - tzn. sebepropagace v rámci počítače a počítačové sítě.

Vzhledem k tomu, že různé kancelářské aplikace dokázaly pracovat s programy napsanými přímo pro ně (například aplikace lze psát pro Microsoft Office ve Visual Basicu), objevil se nový typ malwaru – tzv. Makroviry. Viry tohoto typu jsou distribuovány spolu s běžnými soubory dokumentů a jsou v nich obsaženy jako běžné podprogramy.

Není to tak dávno (letos na jaře) epidemie viru Win95.CIH a jeho četných poddruhů. Tento virus zničil obsah BIOSu počítače a znemožnil práci. Často jsem dokonce musel vyhodit základní desky poškozené tímto virem.

Na ruském softwarovém trhu si největší oblibu získal balíček AVP vyvinutý společností Kaspersky Anti-Virus Systems Lab. Jedná se o univerzální produkt, který má verze pro různé operační systémy.

Kaspersky Anti-Virus (AVP) používá všechny moderní typy antivirové ochrany: antivirové skenery, monitory, blokátory chování a auditoři změn. Různé verze produktu podporují všechny oblíbené operační systémy, poštovní brány, firewally, webové servery. Systém umožňuje kontrolovat všechny možné způsoby průniku virů do počítače uživatele, včetně internetu, e-mailu a mobilních médií. Nástroje pro správu Kaspersky Anti-Virus umožňují automatizovat nejdůležitější operace pro centralizovanou instalaci a správu, a to jak na místním počítači, tak v případě komplexní ochrany podnikové sítě. Kaspersky Lab nabízí tři hotová řešení antivirové ochrany určená pro hlavní kategorie uživatelů. Jednak antivirová ochrana pro domácí uživatele (jedna licence pro jeden počítač). Za druhé, antivirová ochrana pro malé podniky (až 50 pracovních stanic v síti). Do třetice antivirová ochrana pro firemní uživatele (přes 50 pracovních stanic v síti) Pryč jsou doby, kdy k úplné jistotě bezpečí před „infekcí“ stačilo nepoužívat „náhodné“ diskety a spustit jednou nebo dvakrát týdně nástroj Aidstest na počítači R, který kontroluje pevný disk počítače, zda neobsahuje podezřelé předměty. Za prvé, rozšířil se rozsah oblastí, ve kterých se tyto objekty mohou objevit. E-mail s připojenými „škodlivými“ soubory, makroviry v kancelářských (většinou Microsoft Office) dokumentech, „trojské koně“ – to vše se objevilo relativně nedávno. Za druhé, přístup periodických auditů pevného disku a archivů se přestal ospravedlňovat – takové kontroly by se musely provádět příliš často a zabíraly by příliš mnoho systémových prostředků.

Zastaralé ochranné systémy byly nahrazeny novou generací, která je schopna vysledovat a neutralizovat „hrozbu“ ve všech kritických oblastech – od e-mailů až po kopírování souborů mezi disky. Moderní antiviry zároveň organizují ochranu v reálném čase - to znamená, že jsou neustále v paměti a analyzují zpracovávané informace.

Jedním z nejznámějších a nejrozšířenějších balíčků antivirové ochrany je AVP od společnosti Kaspersky Lab. Tento balíček existuje ve velkém množství různých variant. Každý z nich je navržen tak, aby řešil určitý rozsah bezpečnostních problémů a má řadu specifických vlastností.

Ochranné systémy distribuované společností Kaspersky Lab jsou rozděleny do tří hlavních kategorií v závislosti na typech úloh, které řeší. Jedná se o ochranu pro malé firmy, ochranu pro domácí uživatele a ochranu pro firemní klientelu.

AntiViral Toolkit Pro obsahuje programy, které umožňují chránit pracovní stanice řízené různými operačními systémy - AVP skenery pro DOS, Windows 95/98/NT, Linux, AVP monitory pro Windows 95/98/NT, Linux, souborové servery - AVP monitor a skener pro Novell Netware, monitor a skener pro NT server, WEB server - diskový inspektor AVP Inspector pro Windows, poštovní servery Microsoft Exchange - AVP pro Microsoft Exchange a brány.

AntiViral Toolkit Pro obsahuje programy pro skenování a monitorovací programy. Monitory vám umožňují organizovat úplnější kontrolu, která je nezbytná pro nejkritičtější části sítě.

V sítích Windows 95/98/NT umožňuje AntiViral Toolkit Pro centralizovanou správu celé logické sítě z pracovní stanice jejího správce pomocí softwarového balíku AVP Network Control Center.

Koncept AVP umožňuje snadno a pravidelně aktualizovat antivirové programy nahrazením antivirových databází – sady souborů s příponou .AVC, které dnes umožňují detekovat a odstranit více než 50 000 virů. Aktualizace antivirových databází jsou vydávány a jsou k dispozici denně na serveru Kaspersky Lab. V současné době má AntiViral Toolkit Pro (AVP) jednu z největších antivirových databází na světě.

2.3 Hardware – základ pro budování systémů na ochranu před neoprávněným přístupem k informacím

Vývoji a výrobě moderních prostředků ochrany před neoprávněným přístupem (UAS) k informacím v OKB CAD předcházela realizace výzkumných a vývojových prací v této oblasti. Většina vývojářů se v počáteční fázi soustředila na vytváření pouze softwaru, který implementuje ochranné funkce v automatizovaných systémech, které nemohou zaručit spolehlivé zabezpečení automatizovaných systémů před neoprávněným přístupem k informacím. Například kontrola integrity softwarového prostředí, prováděná nějakým jiným programem umístěným na stejném nosiči jako kontrolované objekty, nemůže zaručit správnost prováděných procedur. Je nutné zajistit integritu samotného ověřovače integrity a teprve poté implementaci jeho kontrolních postupů. To vedlo k uvědomění si potřeby použití hardwaru v systémech pro ochranu informací před neoprávněným přístupem s vestavěnými postupy pro sledování integrity programů a dat, identifikaci a autentizaci, evidenci a účtování.

V 90. letech vyvinuli zaměstnanci OKB CAD metodiku pro používání hardwarové ochrany, která byla uznána jako nezbytný základ pro budování systémů na ochranu před neoprávněným přístupem k informacím. Hlavní myšlenky tohoto přístupu jsou následující:

Integrovaný přístup k řešení problémů informační bezpečnosti v automatizovaných systémech (AS) před neoprávněným přístupem. uznání multiplikativního paradigmatu ochrany a v důsledku toho stejná pozornost spolehlivosti provádění kontrolních postupů ve všech fázích provozu JE;

- "materialistické" řešení "základní otázky" informační bezpečnosti: "co je dřív - tvrdé nebo měkké?";

Důsledné odmítání metod softwarové kontroly jako zjevně nespolehlivé a přesun nejkritičtějších kontrolních procedur na hardwarovou úroveň;

Maximální možné oddělení podmíněně trvalých a podmíněně proměnných prvků kontrolních operací;

Vytvoření prostředků ochrany informací před neoprávněným přístupem (SZI NSD), pokud možno nezávislých na operačních a souborových systémech používaných v AS. Jedná se o implementaci identifikačních/autentizačních procedur, sledování integrity hardwaru a softwaru AS před načtením operačního systému, administrací atd.

Výše uvedené principy hardwarové ochrany byly implementovány do hardwarově-softwarového komplexu prostředků ochrany informací před neoprávněným přístupem - hardwarového modulu důvěryhodného načítání - "Akkord-AMDZ". Tento komplex poskytuje důvěryhodný režim spouštění v různých operačních prostředích: MS DOS, Windows 3.x, Windows 9.x, Windows NT/2000/XP, OS/2, Unix, Linux.

Hlavním principem práce "Akkord-AMDZ" je implementace postupů, které implementují hlavní funkce systému zabezpečení informací před načtením operačního systému. Postupy pro identifikaci/autentizaci uživatele, kontrolu integrity hardwaru a softwaru, administraci, blokování načítání operačního systému z externích paměťových médií jsou umístěny ve vnitřní paměti mikrokontroléru desky Accord. Uživatel tak nemá možnost měnit postupy ovlivňující funkčnost systému bezpečnosti informací. Energeticky nezávislá paměť ovladače Accord uchovává informace o osobních údajích uživatelů, data pro sledování integrity softwaru a hardwaru, protokol registrace a účtování systémových událostí a akcí uživatele. Tyto údaje může změnit pouze oprávněný správce informační bezpečnosti, protože přístup k energeticky nezávislé paměti je zcela dán logikou softwaru umístěného v mikrokontroléru desky.

SZI NSD rodiny "Akkord" jsou implementovány na bázi řadiče "Akkord-4.5" (pro PC s rozhraním sběrnice ISA) a jeho funkčního analogu pro rozhraní sběrnice PCI - "Akkord-5".

Zařízení OKB CAD PCI jsou legální a mají svůj vlastní identifikátor poskytnutý sdružením vývojářů těchto zařízení: Vendor ID 1795.

Pro organizace využívající průmyslové počítače se sběrnicovým rozhraním RS / 104 může být zajímavý softwarový a hardwarový komplex SZI NSD "Accord-RS104". Tento komplex byl testován v náročných provozních podmínkách (vysoké vibrace, široký teplotní rozsah, vysoká vlhkost atd.). Lze jej použít ve specializovaných počítačích používaných v palubním vybavení (pozemní, vzdušné, námořní a průmyslové systémy), v měřicích zařízeních, v komunikačních zařízeních, v mobilních systémech včetně vojenských.

Vědecky nejnáročnějším vývojem OKB CAD je bezpečnostní koprocesor Akkord-SB, který integruje všechny potřebné nástroje pro implementaci komplexní ochrany informací před neoprávněným přístupem. Bezpečnostní koprocesorový řadič Accord-SB/2 má vysoce výkonný mikroprocesor a hardwarový akcelerátor pro matematické funkce. Přístup k funkcím tohoto procesoru je dán firmwarem ovladače.

Pomocí programovací knihovny (SDK) bezpečnostního koprocesorového řadiče Accord-SB/2 může vývojář využít tento komplex jako multifunkční zařízení. Zejména kromě úkolů ochrany informací před neoprávněným přístupem může být použit k přenosu důvěrných informací přes otevřené komunikační kanály v zašifrované podobě při vysoké rychlosti zpracování a přenosu dat, šifrování disků, generování a ověřování digitálních podpisů a chránit elektronické dokumenty pomocí bezpečnostních kódů, autentizace (ZKA) a firewallu.

Požadavky na hardwarové IPS a principy hardwarové ochrany implementované v IPS NSD rodiny Akkord se již staly de facto standardem a používají je všichni významní vývojáři ochranných nástrojů působící na ruském trhu IPS.

Využití silné hardwarové podpory v komplexech SZI NSD rodiny Akkord umožnilo dosáhnout nové úrovně ve vývoji nástrojů informační bezpečnosti. Jak víte, pro budování automatizovaných systémů podle bezpečnostních tříd 1D–1A je nutné stanovit pravidla pro omezení přístupu k jeho informačním zdrojům. Pro implementaci funkcí omezení přístupu uživatelů k informačním zdrojům a vytvoření izolovaného softwarového prostředí (IPS) vyvinuli CAD programátoři OKB speciální software, který podporuje všechny typy ovladačů Accord, včetně práce s generátorem náhodných čísel. Jedná se o takové komplexy SZI NSD jako Accord-1.95 (MS DOS, Windows 9x), Accord-1.95-00 (Windows 9x), Accord-NT/2000 (Windows NT/2000/XP).

Charakteristickým rysem komplexů Akkord-1.95-00 a Akkord-NT/2000 je, že v těchto verzích je kromě diskreční implementován povinný princip přístupu subjektů k informačním zdrojům. Speciální software, který implementuje funkce řízení přístupu, umožňuje správci informační bezpečnosti popsat jakoukoli neprotichůdnou bezpečnostní politiku na základě nejúplnější sady atributů (více než 15 atributů pro přístup k souborům a adresářům) a štítků citlivosti objektů (souborů) a procesů. (programy), pomocí kterých jsou zpracovávány.

Dalším krokem byl vývoj základů pro ochranu lokálních sítí pomocí softwaru a hardwaru k ochraně informací před neoprávněným přístupem. Pro plnou ochranu místní sítě nabízí OKB SAPR komplexní technologii:

Instalace na pracovních stanicích informačního bezpečnostního systému "Akkord AMDZ" se softwarem "Akkord-1.95", "Akkord-1.95-00", "Akkord-NT/2000";

Instalace subsystému kontroly integrity na každém souborovém serveru;

Instalace distribuovaného subsystému auditu a správy;

Instalace silného ověřovacího subsystému.

Správa výše uvedených subsystémů v lokálních sítích je zajištěna pomocí automatizovaného pracoviště bezpečnostního správce (AWS ABI). Tato technologie umožňuje správci informační bezpečnosti jednoznačně identifikovat oprávněné uživatele a registrované pracovní stanice v síti; monitorovat úkoly prováděné uživateli v reálném čase; v případě neoprávněných akcí zablokovat pracovní stanice, ze kterých byly takové akce provedeny; vzdáleně spravovat. Zvláště zajímavý je silný autentizační subsystém, jehož podstatou je dodatečný autentizační mechanismus pro pracovní stanice. Autentizační procedura se provádí nejen v době připojení stanice, ale také v intervalech stanovených administrátorem. Subsystém zabraňuje jak nahrazení lokální stanice nebo serveru, tak připojení nelegálních stanic / serverů do LAN. Silná LAN autentizace je založena na použití matematických metod, které umožňují jednoznačně identifikovat účastníky dialogu.

Jak víte, není možné řešit všechny otázky zpracování informací v AS pouze pomocí ochrany od UA ke chráněným informacím. Proto je také nutné doložit právní doklad o pravosti elektronických dokumentů. CAD specialisté OKB navrhli a implementovali nový způsob - vývoj řízené technologie pro zpracování elektronických dokumentů v počítačových systémech - technologii ochrany elektronických dokumentů pomocí bezpečnostních autentizačních kódů (PAC). Tato technologie se již používá v bankovních platebních systémech, aby se zabránilo nekalým pokusům o zavedení fiktivních nebo pozměněných zpracovaných dokumentů elektronického bankovnictví, jakož i organizace end-to-end kontroly při průchodu elektronických dokumentů všech předepsaných fází jejich existence ( vytvoření, zpracování, převod, uložení, konečný offset) . To je zajištěno nastavením ZKA na dokladu. V důsledku toho má elektronický dokument v každé fázi zpracování dvě SCA, z nichž první vám umožňuje autorizovat a kontrolovat jeho integritu v předchozí fázi zpracování a druhý je jeho individuálním znakem v aktuální fázi.

Technologická ochrana elektronické správy dokumentů je implementována všemi typy kontrolérů rodiny Akkord. Navíc pro implementaci této technologie při použití dalších NSD SZI vyvinula OKB SAPR efektivní zařízení: jednotku pro nastavení autentizačního kódu (BUKA), produkt SHIPKA (šifrování, autentizace, podpis, autentizační kódy).

„SHIPKA“ obsahuje mikroprocesor s vestavěným softwarem, hardwarovým generátorem náhodných čísel, je připojena přes dostupné rozhraní - USB sběrnici - a může provádět následující operace:

Šifrování podle GOST 28147-89;

Hašování podle GOST R 34.11-94;

Vytváření a ověřování elektronického digitálního podpisu v souladu s GOST R 34.10-94;

Vývoj a ověřování bezpečnostních autentizačních kódů.

Nejnovější verze produktu má 16 MB, 32, 64 nebo 128 MB zabezpečený RAM disk pro ukládání uživatelských informací.

Jakýkoli systém informační bezpečnosti je souborem organizačních a technických opatření, který zahrnuje soubor právních norem, organizačních opatření a nástrojů softwarové a hardwarové ochrany s cílem čelit ohrožení objektu informatizace s cílem minimalizovat možné škody uživatelů a vlastníků systému. . Bez organizačních opatření, přítomnosti přehledného organizačního a administrativního systému u objektu informatizace se snižuje efektivita případného technického zabezpečení informací.

Proto OKB CAD věnuje velkou pozornost rozvoji regulační, technické a metodické dokumentace, souborů organizačních a administrativních dokumentů k politice ochrany objektů informatizace v souladu s platnou legislativou Ruské federace. Spolu s federálním státním jednotným podnikem „Celoruský výzkumný ústav problémů počítačového inženýrství a informatizace“ (VNIIPVTI) se aktivně podílí na vědecké práci v oblasti informační bezpečnosti, především na rozvoji:

Koncepční a teoretické základy ochrany elektronických dokumentů;

Teorie aplikace ochrany softwaru a hardwaru proti neoprávněnému přístupu k informacím;

Správa ochrany informací v lokálních a podnikových počítačových sítích pro různé účely.

V současné době je OKB CAD uznávaným vývojářem a výrobcem softwaru a hardwaru pro ochranu informací před neoprávněným přístupem, pokročilých metod řízení bezpečnosti informací a na nich založených technologií bezpečné správy elektronických dokumentů.

OKB CAD je držitelem licence Federální bezpečnostní služby, Státní technické komise Ruska a FAPSI, má výrobu prostředků na ochranu informací před neoprávněným přístupem certifikovanou Státní technickou komisí Ruska a širokou dealerskou síť ve většině zakládajících subjektů Ruská federace aktivně pracuje na školení specialistů v oblasti informační bezpečnosti.

V poslední době vzrostl zájem o moderní hardwarovou kryptografickou ochranu informací (ASKZI). Je to dáno především jednoduchostí jejich implementace. K tomu stačí, aby účastníci na vysílací a přijímací straně měli zařízení ASKZI a sadu klíčových dokumentů, které zaručují důvěrnost informací obíhajících v automatizovaných řídicích systémech (ACS).

Moderní ASKZI jsou postaveny na modulárním principu, který umožňuje dotvořit strukturu ASKZI dle výběru zákazníka.

1. Struktura ASKZI

Při vývoji moderních ASKZI je nutné vzít v úvahu velké množství faktorů, které ovlivňují efektivitu jejich vývoje, což komplikuje hledání analytických odhadů pro výběr zobecněného kritéria optimality jejich struktury.

Moderní ASKZI jako prvek automatizovaných řídicích systémů podléhají zvýšeným požadavkům na bezpečnost, spolehlivost a rychlost zpracování informací obíhajících v systému.

Bezpečnost zajišťuje garantovaná síla šifrování a splnění speciálních požadavků, jejichž výběr je dán kryptografickými standardy.

Spolehlivost a rychlost zpracování informací závisí na skladbě zvolené struktury ASKZI zahrnuje řadu funkčně propojených uzlů a bloků, které poskytují danou spolehlivost a rychlost. Tyto zahrnují:

Vstupní zařízení určená pro zadávání informací;

Zařízení pro konverzi informací určená k přenosu informací ze vstupních zařízení do výstupních zařízení v zašifrované, dešifrované nebo čisté formě;

Výstupní zařízení určená pro výstup informací na vhodná média.

2. Model ASKZI

Abychom našli zobecněné kritérium pro hodnocení optimálnosti struktury moderního AMCS, stačí vzít v úvahu hlavní řetězec toku informací: vstupní adaptéry, vstupní zařízení skládající se z klávesnice, vysílače nebo fotočtečky, kodéru, převodního zařízení a výstupního zařízení. . Zbývající uzly a bloky nemají významný vliv na tok informací.

Z metodiky systémového přístupu je známo, že matematický popis komplexního systému, do kterého ASKZI patří, se provádí jeho hierarchickým rozdělením na elementární komponenty. Zobecněná kritéria nižších úrovní by přitom měla být vždy součástí matematických modelů vyšších úrovní jako dílčí úrovně jako dílčí kritéria. V důsledku toho může stejný koncept ve vztahu k nižší úrovni působit jako obecné kritérium a ve vztahu k nejvyšší úrovni jako zvláštní kritérium.

Výstupní subsystém je koncovým zařízením ASKZI, to znamená, že je na nejvyšší úrovni hierarchie a zahrnuje zobrazovací, tisková a perforační zařízení. Proto na této úrovni bude cílovým nastavením rychlost zpracování příchozích kryptogramů. Jako zobecněné kritérium je pak vhodné zvolit dobu zpracování proudu kryptogramů pro jeden cyklus fungování moderního AMCS, která nepřesahuje daný časový interval a je dán nutností činit manažerská rozhodnutí.

Subsystém zpracování informací je umístěn na druhé úrovni hierarchie a zahrnuje tiskové a perforační cesty, kodér a systém řízení a distribuce toku informací.

Hlavní směry práce na uvažovaném aspektu ochrany lze formulovat takto:

Volba racionálních šifrovacích systémů pro spolehlivé uzavření informací;

Zdůvodnění způsobů implementace šifrovacích systémů v automatizovaných systémech;

Vývoj pravidel pro použití kryptografických metod ochrany v procesu fungování automatizovaných systémů;

Hodnocení účinnosti kryptografické ochrany.

Na šifry určené k uzavírání informací v počítačích a automatizovaných systémech existuje řada požadavků, mezi něž patří: dostatečná pevnost (uzavřená spolehlivost), snadnost šifrování a dešifrování z metody intramachine reprezentace informace, necitlivost vůči malým chybám šifrování, možnost intramachine zpracování šifrovaných informací, nepatrná redundance informací díky šifrování a řada dalších. Tyto požadavky do určité míry splňují některé typy substitucí, permutací, gama šifer i šifry založené na analytických transformacích zašifrovaných dat.

Náhradní šifrování (někdy se používá termín „substituce“) spočívá v tom, že znaky zašifrovaného textu jsou nahrazeny znaky jiné nebo stejné abecedy podle předem stanoveného schématu náhrady.

Permutační šifrování spočívá v tom, že znaky zašifrovaného textu jsou přeskupeny podle nějakého pravidla v rámci nějakého bloku tohoto textu. S dostatečnou délkou bloku, ve kterém se permutace provádí, a komplexní a neopakující se permutací řádu je možné dosáhnout síly šifrování dostatečné pro praktické aplikace v automatizovaných systémech.

Šifrování gama znamená, že znaky zašifrovaného textu jsou přidány se znaky nějaké náhodné sekvence, nazývané gama. Síla šifrování je dána především velikostí (délkou) neopakující se části gamutu. Protože počítač může generovat téměř nekonečný rozsah, je tato metoda považována za jednu z hlavních pro šifrování informací v automatizovaných systémech. Pravda, v tomto případě nastává řada organizačních a technických potíží, které však nejsou neřešitelné.

Šifrování analytickou transformací spočívá v tom, že zašifrovaný text se převede podle nějakého analytického pravidla (vzorce). Je možné např. použít pravidlo násobení matice vektorem, kde násobená matice je šifrovacím klíčem (jeho velikost a obsah proto musí být utajeny), a symboly násobeného vektoru slouží postupně jako symboly zašifrovaného textu.

Kombinované šifry jsou zvláště účinné, když je text zašifrován postupně dvěma nebo více šifrovacími systémy (například substituce a gama, permutace a gama). Předpokládá se, že v tomto případě síla šifrování převyšuje celkovou sílu ve složených šifrách.

Každý z uvažovaných šifrovacích systémů může být implementován v automatizovaném systému buď softwarově, nebo pomocí speciálního zařízení. Implementace softwaru je flexibilnější a levnější než implementace hardwaru. Hardwarové šifrování je však obecně několikanásobně produktivnější. Tato okolnost je zásadní pro velké objemy důvěrných informací.

Hardware ochrany operačního systému je tradičně chápán jako soubor nástrojů a metod používaných k řešení následujících úkolů:

Správa operační a virtuální paměti počítače;

Distribuce času procesoru mezi úkoly v multitaskingovém operačním systému;

Synchronizace provádění paralelních úloh v multitaskingovém operačním systému;

Zajištění sdíleného přístupu úloh ke zdrojům operačního systému.

Tyto úlohy jsou z velké části řešeny pomocí hardwarově implementovaných funkcí procesorů a dalších počítačových komponent. K řešení těchto problémů jsou však zpravidla přijímány i softwarové nástroje, a proto pojmy „ochranný hardware“ a „hardwarová ochrana“ nejsou zcela správné. Protože jsou však tyto termíny ve skutečnosti obecně přijímány, budeme je používat.

Nedostatek standardních ochranných nástrojů v prvních operačních systémech na ochranu osobních počítačů (PC) vyvolal problém vytváření dalších nástrojů. Naléhavost tohoto problému se nezmenšila ani s příchodem výkonnějších operačních systémů s pokročilými subsystémy ochrany. Faktem je, že většina systémů stále není schopna ochránit data, která „překročila své limity“, například v případě použití síťové výměny informací nebo při pokusu o přístup k diskovým jednotkám načtením alternativního nechráněného OS.

Hlavní závěry o způsobech použití výše uvedených prostředků, metod a opatření ochrany jsou následující:

Největšího efektu se dosáhne, když se všechny použité prostředky, metody a opatření spojí do jediného integrovaného mechanismu ochrany informací.

Ochranný mechanismus by měl být navržen souběžně s tvorbou systémů pro zpracování dat, počínaje okamžikem, kdy je vypracována celková koncepce budování systému.

Fungování ochranného mechanismu by mělo být plánováno a zajištěno současně s plánováním a zajišťováním hlavních procesů automatizovaného zpracování informací.

Je nutné neustále sledovat fungování ochranného mechanismu.

Bibliografie

Internet: www.legaladvise.ru

www.configure.ru

www.kasperski.ru

Proskurin V.G. aj. Hardwarově-softwarové prostředky k zajištění bezpečnosti informací. Ochrana v operačních systémech. -M.: Rádio a komunikace, 2000.

Hardware a software pro informační bezpečnost. Ochrana programů a dat /P.Yu.Belkin, O.O.Mikhalsky, A.S. Pershakov a další - M.: Rádio a komunikace, 1999.

Khisamov F.G. Makarov Yu.P. Optimalizace hardwarové kryptografické ochrany informací //Bezpečnostní systémy. - 2004. - únor-březen č. 1 (55). –str.108.

Hardwarové způsoby ochrany zahrnují různá zařízení podle principu činnosti, podle technických návrhů, které implementují ochranu před prozrazením, únikem a neoprávněným přístupem ke zdrojům informací. Tyto nástroje se používají pro následující úkoly:

Identifikace linek úniku dat v různých prostorách a objektech
Provádění speciálních statistických studií technických metod pro zajištění činností na přítomnost únikových vedení
Lokalizace linek úniku dat
Opozice vůči UA vůči zdrojům dat
vyhledávání a odhalování stop špionáže

Hardware lze rozdělit podle funkčnosti na detekci, měření, vyhledávání, pasivní a aktivní protiopatření. Finanční prostředky lze také rozdělit na snadnost použití. Vývojáři zařízení se snaží zjednodušit princip práce se zařízením pro běžné uživatele. Například skupina indikátorů elektromagnetického záření typu IP, které mají velké spektrum příchozích signálů a nízkou citlivost. Nebo komplex pro detekci a vyhledávání rádiových záložek, které jsou určeny k detekci a lokalizaci rádiových vysílačů, telefonních záložek nebo síťových vysílačů. Nebo komplex Delta nářadí:

automatické umístění umístění mikrofonů v prostoru určité místnosti
Přesná detekce všech komerčně dostupných bezdrátových mikrofonů a jiných vysílačů.

Vyhledávací hardware lze rozdělit na metody sběru dat a jejich vyšetřování únikových linií. Zařízení prvního typu jsou konfigurována pro lokalizaci a vyhledávání již implementovaných prostředků neoprávněného přístupu a druhého typu pro identifikaci linií úniku dat. Chcete-li používat profesionální vyhledávací zařízení, potřebujete velkou uživatelskou kvalifikaci. Jako v každém jiném oboru techniky vede všestrannost zařízení ke snížení jeho jednotlivých parametrů. Z jiného úhlu pohledu existuje tolik různých linií úniku dat v jejich fyzické podstatě. Velké podniky si však mohou dovolit jak profesionální drahé vybavení, tak kvalifikované zaměstnance v těchto otázkách. A takový hardware bude samozřejmě fungovat lépe v reálných podmínkách, tedy k identifikaci únikových kanálů. To ale neznamená, že byste neměli používat jednoduché a levné vyhledávací nástroje. Takové nástroje se snadno používají a budou stejně dobře fungovat ve vysoce specializovaných úkolech.

Hardware lze aplikovat i na jednotlivé části počítače, na procesor, RAM, externí paměť, vstupně-výstupní řadiče, terminály atd. Pro ochranu procesorů je implementována redundance kódu - jedná se o vytváření dalších bitů ve strojových instrukcích a rezervních bitů v registrech procesoru. K ochraně paměti RAM implementují omezení přístupu k hranicím a polím. K označení úrovně důvěrnosti programů nebo informací se používají další bity důvěrnosti, s jejichž pomocí je implementováno kódování programů a informací. Data v paměti RAM vyžadují ochranu před neoprávněnou manipulací. Ze čtení zbytkových informací po jejich zpracování v paměti RAM se používá schéma mazání. Toto schéma zapíše další sekvenci znaků přes celý blok paměti. K identifikaci terminálu se používá určitý generátor kódu, který je všitý do koncového zařízení a po připojení se kontroluje.

Hardwarové metody ochrany dat jsou různá technická zařízení a struktury, které chrání informace před únikem, prozrazením a neoprávněným přístupem.

Mechanismy ochrany softwaru

Systémy pro ochranu pracovní stanice před vniknutím narušitele se velmi liší a jsou klasifikovány:

Metody ochrany v samotném počítačovém systému
Metody osobní ochrany, které software popisuje
Bezpečnostní metody s žádostí o data
Metody aktivní/pasivní ochrany

Podrobnosti o takové klasifikaci lze vidět na obr. 1.

Obrázek 1

Pokyny pro implementaci softwarové ochrany informací

Pokyny, které se používají k implementaci zabezpečení informací:

ochrana proti kopírování
ochrana proti neoprávněnému přístupu
ochrana proti viru
ochrana komunikační linky

Pro každý ze směrů můžete využít spoustu kvalitních softwarových produktů, které jsou na trhu. Software může mít také různé funkce, pokud jde o:

Kontrola provozu a evidence uživatelů a technických prostředků
Identifikace stávajících zařízení, uživatelů a souborů
Ochrana provozních počítačových prostředků a uživatelských programů
Údržba různých režimů zpracování dat
Zničení dat po jejich použití v prvcích systému
Signalizace v případě porušení
Doplňkové programy pro jiné účely

Oblasti ochrany softwaru se dělí na Data Protection (zachování integrity/důvěrnosti) a Program Protection (implementace kvality zpracování informací, je obchodním tajemstvím, nejzranitelnější vůči útočníkovi). Identifikace souborů a hardwaru je implementována softwarově, algoritmus je založen na kontrole registračních čísel různých komponent systému. Vynikající metodou pro identifikaci adresovatelných prvků je algoritmus typu požadavek-odpověď. K rozlišení požadavků různých uživatelů na různé kategorie informací se používají individuální prostředky utajení zdrojů a osobní kontrola přístupu uživatelů k nim. Pokud například stejný soubor mohou upravovat různí uživatelé, uloží se několik možností pro další analýzu.

Ochrana informací před neoprávněným přístupem

Chcete-li implementovat ochranu proti narušení, musíte implementovat hlavní softwarové funkce:

Identifikace předmětů a subjektů
Registrace a kontrola akcí s programy a akcemi
Diferenciace přístupu k systémovým prostředkům

Identifikační procedury zahrnují kontrolu, zda existuje subjekt, který se snaží získat přístup ke zdrojům, za koho se vydává. Tyto kontroly mohou být periodické nebo jednorázové. Pro identifikaci se v těchto postupech často používají metody:

složitá, jednoduchá nebo jednorázová hesla;
odznaky, klíče, žetony;
speciální identifikátory pro zařízení, data, programy;
metody analýzy jednotlivých charakteristik (hlas, prsty, ruce, obličeje).

Praxe ukazuje, že hesla pro ochranu jsou slabým článkem, protože v praxi je lze přeslechnout, nakouknout nebo rozluštit. Chcete-li vytvořit složité heslo, můžete si přečíst tyto pokyny. Objektem, ke kterému je přístup přísně kontrolován, může být záznam v souboru, soubor samotný nebo jedno pole v záznamu souboru. Typicky množství přístupových řízení čerpá data z přístupové matice. Můžete také přistupovat k řízení přístupu založenému na řízení informačních kanálů a rozdělení objektů a subjektů přístupu do tříd. Komplex softwarových a hardwarových metod pro řešení zabezpečení dat z NSD je implementován následujícími akcemi:

účetnictví a evidence
Řízení přístupu
implementace fondů

Můžete si také povšimnout forem řízení přístupu:

Prevence přístupu:
na vyměnitelná paměťová média
ochrana proti změnám:
- katalogy
- soubory
Nastavení přístupových oprávnění pro skupinu souborů
Ochrana proti kopírování:
- katalogy
- soubory
- vlastní programy
Ochrana před zničením:
- soubory
- katalogy
Po chvíli ztmavení obrazovky.

Obecné prostředky ochrany proti neoprávněnému přístupu jsou znázorněny na obr. 2.

Kresba - 2

Ochrana proti kopírování

Metody ochrany proti kopírování zabraňují prodeji odcizených kopií programů. Metody ochrany proti kopírování znamenají prostředky, které implementují provádění funkcí programu pouze v případě, že existuje jedinečný nekopírovatelný prvek. Může být součástí počítače nebo aplikačních programů. Ochrana je realizována následujícími funkcemi:

identifikaci prostředí, kde je program spuštěn
ověření prostředí, kde program běží
Reakce na spuštění programu z neoprávněného prostředí
Registrace autorizované kopie

Ochrana informací před smazáním

Smazání dat lze provést během řady činností, jako je obnova, zálohování, aktualizace atd. Vzhledem k tomu, že události jsou velmi rozmanité, je obtížné je přizpůsobit pravidlům. Může to být také virus a lidský faktor. A přestože proti viru existuje odpor, jedná se o antiviry. Ale z lidských činů existuje jen málo protiakcí. Ke zmírnění tohoto rizika můžete podniknout několik kroků:

Informovat všechny uživatele o škodě podniku, když taková hrozba nastane.
Zakázat přijímání / otevírání softwarových produktů, které jsou v informačním systému cizí.
Spouštějte hry také na těch počítačích, kde dochází ke zpracování důvěrných informací.
Proveďte archivaci kopií dat a programů.
Zkontrolujte kontrolní součty dat a programů.
Implementujte SSI.

Aby se předešlo výše uvedeným hrozbám, existují různé způsoby ochrany informací. Kromě přirozených metod identifikace a včasného odstranění příčin se k ochraně informací před narušením výkonu počítačových systémů používají následující speciální metody:

zavedení strukturální, časové informační a funkční redundance počítačových zdrojů;

ochrana před nesprávným používáním systémových prostředků počítače;

identifikaci a včasné odstranění chyb ve fázi vývoje softwaru a hardwaru.

Strukturální redundance počítačových zdrojů je dosažena prostřednictvím redundance hardwarových komponent a strojových médií. Organizace výměny vadných a včasné doplňování náhradních dílů. Základ tvoří strukturální redundance. Zavedení informační redundance se provádí periodickým nebo průběžným zálohováním dat na pozadí. Na primárním a záložním médiu. Zálohování dat zajišťuje obnovu náhodného nebo úmyslného zničení nebo zkreslení informací. Pro obnovení provozuschopnosti počítačové sítě po objevení se stabilní poruchy je proto kromě zálohování běžných dat nutné předem zálohovat i systémové informace. Funkční redundance počítačových zdrojů je dosaženo duplikací funkce nebo zavedením dalších funkcí do softwarových a hardwarových zdrojů. Například pravidelné testování a samočinné testování obnovy a samoléčení systémových komponent.

Ochrana proti nesprávnému použití prostředků počítačového systému, obsažená ve správném fungování softwaru z hlediska využití prostředků počítačového systému, může program přesně a včas plnit své funkce, ale ne správně využívat prostředky počítače. Například izolování částí paměti RAM pro operační systém aplikačních programů, které chrání systémové oblasti na externím médiu.

Identifikace a eliminace chyb při vývoji softwaru a hardwaru je dosahována kvalitní implementací základních fází vývoje na základě systémové analýzy koncepce návrhu a realizace projektu. Hlavním typem ohrožení integrity a důvěrnosti informací jsou však záměrné hrozby. Lze je rozdělit do 2 skupin:

hrozby, které jsou realizovány za stálé účasti osoby;

poté, co útočník vyvine odpovídající počítačové programy, je těmito programy spuštěn bez lidského zásahu.

Úkoly ochrany před hrozbami každého typu jsou stejné:

zákaz neoprávněného přístupu ke zdrojům;

nemožnost neoprávněného použití zdrojů během přístupu;

včasné zjištění skutečnosti neoprávněného přístupu. Odstranění jejich příčin a následků.

2.2 Hardwarová informační bezpečnost

Prostředky informační bezpečnosti - soubor inženýrských, elektrických, elektronických, optických a jiných zařízení a zařízení, zařízení a technických systémů, jakož i dalších reálných prvků sloužících k řešení různých problémů ochrany informací, včetně zamezení úniku a zajištění bezpečnosti chráněných informací .

Prostředky k zajištění informační bezpečnosti z hlediska zabránění záměrnému jednání lze v závislosti na způsobu implementace rozdělit do skupin:

Hardware;

software;

smíšený hardware a software;

organizační prostředky;

šifrování dat;

důvěrnosti.

Podívejme se podrobněji na ochranu informací o hardwaru.

Hardware - technické prostředky používané pro zpracování dat.

speciální registry pro ukládání bezpečnostních údajů: hesla, identifikační kódy, supy nebo stupně utajení;

generátory kódů navržené pro automatické generování identifikačního kódu zařízení;

zařízení pro měření individuálních vlastností osoby (hlas, otisky prstů) za účelem její identifikace;

speciální bezpečnostní bity, jejichž hodnota určuje úroveň zabezpečení informací uložených v paměti, do které tyto bity patří.

Schémata pro přerušení přenosu informací v komunikační lince za účelem periodické kontroly adresy výstupu dat. Zvláštní a nejrozšířenější skupinou hardwarových ochranných zařízení jsou zařízení pro šifrování informací (kryptografické metody). K fungování sítě v nejjednodušším případě stačí síťové karty a kabel. Pokud potřebujete vytvořit poměrně složitou síť, budete potřebovat speciální síťové vybavení.

Hardware ochrany operačního systému je tradičně chápán jako soubor nástrojů a metod používaných k řešení následujících úkolů:

Správa operační a virtuální paměti počítače;

rozdělení procesorového času mezi úkoly v multitaskingovém operačním systému;

synchronizace provádění paralelních úloh v multitaskingovém operačním systému;

poskytování sdíleného přístupu úloh ke zdrojům operačního systému.

Hardwarová kryptografická ochranná zařízení jsou ve skutečnosti stejná PGP, pouze implementovaná na hardwarové úrovni. Typicky jsou takovými zařízeními desky, moduly a dokonce i samostatné systémy, které za běhu provádějí různé šifrovací algoritmy. Klíče jsou v tomto případě také „železné“: nejčastěji jde o čipové karty nebo identifikátory TouchMemory (iButton). Klíče se načítají do zařízení přímo, přičemž se obchází paměť a systémová sběrnice počítače (čtečka je namontována v samotném zařízení), což vylučuje možnost jejich zachycení. Tyto soběstačné kodéry se používají jak pro kódování dat v uzavřených systémech, tak pro přenos informací otevřenými komunikačními kanály. Podle tohoto principu funguje zejména zabezpečovací systém KRYPTON-LOCK z produkce zelenogradské firmy ANKAD. Tato deska, nainstalovaná v PCI slotu, umožňuje alokovat počítačové zdroje na nízké úrovni v závislosti na zadané hodnotě klíče ještě před načtením BIOSu základní deskou. Právě zadaný klíč určuje celou konfiguraci systému – jaké disky nebo diskové oddíly budou k dispozici, který OS se spustí, jaké komunikační kanály budeme mít k dispozici a podobně. Dalším příkladem kryptografického hardwaru je systém GRIM-DISK, který chrání informace uložené na pevném disku s rozhraním IDE. Deska kodéru je spolu s měničem umístěna ve vyjímatelném kontejneru (na samostatné desce instalované v PCI slotu jsou sestaveny pouze obvody rozhraní). To snižuje pravděpodobnost zachycení informací vzduchem nebo jiným způsobem. V případě potřeby lze navíc chráněné zařízení z auta snadno vyjmout a uložit do trezoru. Čtečka klíčů typu iButton je zabudována v kontejneru se zařízením. Po zapnutí počítače lze získat přístup k disku nebo libovolnému oddílu disku pouze načtením klíče do šifrovacího zařízení.

Ochrana informací před únikem přes kanály elektromagnetického záření. Ani kompetentní konfigurace a použití dodatečného softwaru a hardwaru, včetně identifikačních nástrojů a výše uvedených šifrovacích systémů, nás nedokáže plně ochránit před neoprávněným šířením důležitých informací. Existuje kanál úniku dat, o kterém mnozí ani nevědí. Provoz jakýchkoli elektronických zařízení je doprovázen elektromagnetickým zářením. A výpočetní technika není výjimkou: i ve velmi značné vzdálenosti od elektroniky nebude pro dobře vyškoleného specialistu s pomocí moderních technických prostředků obtížné zachytit snímače vytvořené vaším zařízením a izolovat od nich užitečný signál. Zdrojem elektromagnetického záření (EMR) jsou zpravidla samotné počítače, aktivní prvky lokálních sítí a kabely. Z toho vyplývá, že dobře provedené uzemnění lze považovat za jakýsi „železný“ systém ochrany informací. Dalším krokem je stínění prostor, instalace aktivních síťových zařízení do stíněných skříní a použití speciálních, zcela rádiově uzavřených počítačů (s pouzdry vyrobenými ze speciálních materiálů absorbujících elektromagnetické záření a dodatečnými ochrannými štíty). Kromě toho je v takových komplexech povinné použití síťových filtrů a použití kabelů s dvojitým stíněním. Samozřejmě v tomto případě budete muset zapomenout na radiostanice klávesnice-myš, bezdrátové síťové adaptéry a další rádiová rozhraní. Pokud jsou zpracovávaná data přísně tajná, používají se kromě úplného rádiového utěsnění také generátory šumu. Tato elektronická zařízení maskují rušivé emise z počítačů a periferních zařízení a vytvářejí rádiové rušení v širokém rozsahu frekvencí. Existují generátory, které dokážou takový hluk nejen vydávat do vzduchu, ale také jej přidat do napájecí sítě, aby zabránily úniku informací přes běžné síťové zásuvky, někdy používané jako komunikační kanál.

Po přístupu na internet a organizovaném přístupu na své servery instituce ve skutečnosti zpřístupňuje celému světu některé zdroje své vlastní sítě, čímž je zpřístupňuje neoprávněnému pronikání. K ochraně před touto hrozbou jsou mezi vnitřní sítí organizace a internetem obvykle instalovány speciální komplexy – softwarové a hardwarové firewally (firewally). V nejjednodušším případě může filtrační router sloužit jako firewall. K vytvoření vysoce spolehlivých sítí však toto opatření nestačí a pak je nutné použít metodu fyzického oddělení sítí na otevřené (pro přístup k internetu) a uzavřené (firemní). Toto řešení má dvě vážné nevýhody. Za prvé, zaměstnanci, kteří ve službě potřebují přístup do obou sítí, si musí na své pracoviště nainstalovat druhý počítač. Výsledkem je, že se pracovní plocha promění v konzolu operátora letového řídícího střediska nebo řídícího letového provozu. Za druhé, a to nejdůležitější, musíme vybudovat dvě sítě, což znamená značné dodatečné finanční náklady a potíže se zajištěním ochrany proti EMI (ostatně kabely obou sítí musí být vedeny společnou komunikací). Pokud se musíte smířit s druhým problémem, pak je odstranění prvního nedostatku poměrně jednoduché: protože člověk není schopen pracovat na dvou samostatných počítačích současně, je nutné zorganizovat speciální pracovní stanici (AWP), která předpokládá relační charakter práce v obou sítích. Takovým pracovištěm je běžný počítač vybavený zařízením pro kontrolu přístupu (ACU), ve kterém je na předním panelu systémové jednotky zobrazen síťový přepínač. Pevné disky počítače jsou připojeny k přístupovému zařízení. Každá relace práce je prováděna pod kontrolou vlastního operačního systému načteného ze samostatného pevného disku. Přístup k jednotkám, které se neúčastní aktuální relace, je při přepínání mezi sítěmi zcela zablokován.

Neexistuje spolehlivější ochrana dat než jejich úplné zničení. Ale zničit digitální informace není tak snadné. Navíc jsou chvíle, kdy se ho potřebujete okamžitě zbavit. První problém lze vyřešit, pokud je nosič důkladně zničen. K tomu jsou určeny různé utility. Některé z nich fungují úplně stejně jako kancelářské skartovače (skartovačky papíru), mechanicky skartují diskety, magnetické a elektronické karty, CD a DVD. Další jsou speciální pece, ve kterých se vlivem vysokých teplot nebo ionizujícího záření ničí jakákoli média včetně pevných disků. Elektrický oblouk a elektrická indukční zařízení tak mohou zahřát nosič na teplotu 1000–1200 K (přibližně 730–930 °C) a v kombinaci s chemickým působením, například pomocí samo se šířící vysokoteplotní syntézy (SHS ), rychlé zahřátí je zajištěno až do 3000 K. Po vystavení médiím o takových teplotách není možné obnovit na něm dostupné informace. Pro automatickou likvidaci dat se používají speciální moduly, které lze zabudovat do systémové jednotky nebo spustit jako externí zařízení s nainstalovanými zařízeními pro ukládání informací. Příkaz k úplnému zničení dat u takových zařízení je obvykle dán na dálku ze speciální klíčenky nebo z jakýchkoli senzorů, které mohou snadno sledovat jak vniknutí do místnosti, tak neoprávněný přístup k zařízení, jeho pohyb nebo pokus o vypnutí napájení . Informace jsou v takových případech zničeny jedním ze dvou způsobů:

fyzické zničení disku (obvykle chemickou cestou)

vymazání informací v servisních oblastech disků.

Výkon disků můžete obnovit po zničení servisních oblastí pomocí speciálního vybavení, ale data budou navždy ztracena. Taková zařízení jsou k dispozici v různých verzích - pro servery, stolní systémy a notebooky. Pro ministerstvo obrany jsou vyvinuty i speciální úpravy: jedná se o zcela autonomní systémy se zvýšenou ochranou a absolutní zárukou provozu. Největší nevýhodou takových systémů je nemožnost absolutního pojištění proti nahodilému provozu. Lze si představit, jaký to bude mít efekt, když například pracovník údržby otevře systémovou jednotku nebo odpojí kabel monitoru a zapomene zamknout bezpečnostní zařízení.