• امنیت اطلاعات. دوره سخنرانی. سخنرانی: امنیت اطلاعات و اجزای آن

    امنیت اطلاعات باید مبتنی بر یک رویکرد سیستماتیک باشد. رویکرد سیستماتیک این است که تمام ابزارهای مورد استفاده برای تضمین امنیت اطلاعات باید به عنوان مجموعه واحدی از اقدامات مرتبط در نظر گرفته شود. یکی از اصول حفاظت از اطلاعات، اصل «کفایی معقول» است که به شرح زیر است: حفاظت صد در صد تحت هیچ شرایطی وجود ندارد، بنابراین، نه برای حداکثر سطح قابل حصول حفاظت از اطلاعات، بلکه باید تلاش کرد. حداقل لازم در شرایط خاص معین و در سطح معین تهدید احتمالی.

    امنیت اطلاعات را می توان به طور مشروط به حفاظت تقسیم کرد:

      از زیان و نابودی؛

      از دسترسی غیرمجاز

    2. حفاظت از اطلاعات از دست دادن و تخریب

    از دست دادن اطلاعات ممکن است به دلایل زیر رخ دهد:

      نقص کامپیوتر؛

      قطع یا قطع برق؛

      آسیب به رسانه های ذخیره سازی؛

      اقدامات اشتباه کاربران؛

      عملکرد ویروس های کامپیوتری؛

      اعمال غیرمجاز عمدی دیگران

    می توان از این علل پیشگیری کرد افزونگی داده، یعنی تهیه نسخه پشتیبان از آنها رزروها عبارتند از:

      نرم افزار پشتیبان گیری همراه با اکثر سیستم عامل ها. به عنوان مثال، MS Backup، Norton Backup.

      ایجاد آرشیو در رسانه های ذخیره سازی خارجی

    در صورت از دست رفتن اطلاعات قابل بازیابی است. اما این تنها در صورتی امکان پذیر است که:

      پس از حذف فایل، اطلاعات جدیدی در فضای خالی نوشته نشد.

      اگر فایل تکه تکه نشده بود، یعنی. (بنابراین، شما باید به طور منظم عملیات یکپارچه سازی را با استفاده از ابزار Disk Defragmenter که همراه با سیستم عامل ویندوز ارائه می شود، انجام دهید).

    بهبودتولید شده توسط نرم افزار زیر:

    اگر داده ها برای کاربر ارزش خاصی دارند، می توانید از آن استفاده کنید محافظت در برابر تخریب:

      اختصاص دادن ویژگی فایل ها فقط خواندنی (فقط خواندنی)؛

      خاص استفاده کنید نرم افزاربرای ذخیره فایل ها پس از حذف، شبیه سازی حذف. به عنوان مثال، سطل بازیافت محافظت شده نورتون (سبد محافظت شده). .

    نقض داده ها یک تهدید بزرگ برای امنیت داده ها است. سیستم منبع تغذیه- قطع برق، نوسانات و افت ولتاژ و غیره. می توان با استفاده از منابع تقریباً به طور کامل از از دست رفتن اطلاعات در چنین مواردی جلوگیری کرد منبع تغذیه اضطراری. فراهم می کنند عملکرد طبیعیکامپیوتر حتی زمانی که برق به دلیل جابجایی به باتری خاموش است.

      حفاظت از اطلاعات در برابر دسترسی غیرمجاز

    دسترسی غیرمجاز- این خواندن، تغییر یا از بین بردن اطلاعات در صورت عدم وجود مرجع مناسب است.

    اصلی مسیرهای نمونهدریافت غیرمجاز اطلاعات:

      سرقت رسانه های ذخیره سازی؛

      کپی برداری از حامل های اطلاعات با غلبه بر اقدامات حفاظتی؛

      مبدل به عنوان یک کاربر ثبت نام شده؛

      رمز و راز (تبدیل تحت درخواست سیستم)؛

      بهره برداری از کاستی های سیستم عامل ها و زبان های برنامه نویسی؛

      رهگیری تشعشعات الکترونیکی؛

      رهگیری تشعشعات صوتی؛

      عکاسی از راه دور؛

      استفاده از دستگاه های شنود؛

      غیرفعال کردن مخرب مکانیسم های امنیتی

    برای حفاظت از اطلاعاتدر برابر دسترسی غیرمجاز اعمال شود:

      رویدادهای سازمانی

      وسایل فنی

      نرم افزار.

      رمزنگاری.

    1. رویدادهای سازمانیعبارتند از:

      حالت دسترسی؛

      ذخیره سازی رسانه ها و دستگاه ها در یک گاوصندوق (فلاپی دیسک، مانیتور، صفحه کلید).

      محدودیت دسترسی افراد به اتاق های کامپیوتر

    2. وسایل فنیشامل روش های سخت افزاری مختلف حفاظت از اطلاعات:

      فیلترها، صفحه نمایش برای تجهیزات؛

      کلید قفل کردن صفحه کلید؛

      دستگاه های احراز هویت - برای خواندن اثر انگشت، شکل دست، عنبیه، سرعت تایپ و تکنیک ها و غیره.

    3. نرم افزارحفاظت از اطلاعات شامل توسعه نرم افزار ویژه ای است که به افراد خارجی اجازه دریافت اطلاعات از سیستم را نمی دهد. ابزارهای نرم افزاری عبارتند از:

      دسترسی به رمز عبور؛

      قفل صفحه و صفحه کلید با استفاده از ترکیب کلید؛

      استفاده از وجوه حفاظت از رمز عبور BIOS (سیستم ورودی-خروجی پایه - سیستم ورودی-خروجی پایه).

    4. زیر به روش رمزنگاریامنیت اطلاعات به معنای رمزگذاری آن هنگام وارد شدن به یک سیستم کامپیوتری است. ماهیت این حفاظت در این واقعیت نهفته است که یک روش رمزگذاری خاص (کلید) روی سند اعمال می شود و پس از آن سند با ابزارهای معمولی غیرقابل خواندن می شود. خواندن سند با وجود کلید یا با استفاده از روش مناسب خواندن امکان پذیر است. اگر در فرآیند تبادل اطلاعات برای رمزگذاری و خواندن از همان کلید استفاده شود، فرآیند رمزنگاری متقارن است. عیب آن انتقال کلید به همراه سند است. بنابراین، اینترنت از سیستم های رمزنگاری نامتقارن استفاده می کند که در آن نه یک، بلکه دو کلید استفاده می شود. برای کار از 2 کلید استفاده می شود: یکی عمومی (عمومی - عمومی) و دیگری بسته (شخصی - خصوصی). کلیدها به گونه ای ساخته شده اند که یک پیام رمزگذاری شده توسط یک نیمه تنها می تواند توسط نیمه دیگر رمزگشایی شود. با ایجاد یک جفت کلید، شرکت کلید عمومی را به طور گسترده توزیع می کند، در حالی که کلید خصوصی به طور ایمن ذخیره می شود.

    هر دو کلید دنباله کد خاصی هستند. کلید عمومی در سرور شرکت منتشر می شود. هر کسی می تواند هر پیامی را با استفاده از کلید عمومی رمزگذاری کند و فقط صاحب کلید خصوصی می تواند پس از رمزگذاری بخواند.

    اصل کفایت حفاظت. بسیاری از کاربران، با دریافت کلید عمومی شخص دیگری، مایل به دریافت و استفاده از آنها هستند، الگوریتم مکانیزم رمزگذاری را مطالعه می کنند و سعی می کنند یک روش رمزگشایی پیام را برای بازسازی کلید خصوصی ایجاد کنند. اصل کفایت این است که تعداد ترکیبات کلید خصوصی را بررسی کنید.

    مفهومی از امضای الکترونیک. با کمک یک امضای الکترونیکی، مشتری می تواند با بانک ارتباط برقرار کند و دستور انتقال وجوه خود را به حساب افراد یا سازمان های دیگر بدهد. اگر نیاز به ایجاد امضای الکترونیکی دارید، باید از یک برنامه ویژه (دریافت شده از بانک) برای ایجاد همان 2 کلید استفاده کنید: خصوصی (با مشتری باقی می ماند) و عمومی (به بانک منتقل می شود).

    حفاظت را بخوانیدانجام شد:

      در سطح DOS با معرفی فایل ویژگی Hidden (مخفی)؛

      رمزگذاری

    حفاظت را بنویسیدانجام شد:

      تنظیم ویژگی Read Only برای فایل ها (فقط خواندنی)؛

      ممنوعیت نوشتن بر روی فلاپی دیسک با حرکت یا شکستن اهرم.

      ممنوعیت ضبط از طریق تنظیمات بایوس- "درایو دیسک نصب نشده است"

    هنگام محافظت از اطلاعات، مشکل تخریب داده های قابل اعتماد اغلب به وجود می آید که به دلایل زیر است:

      هنگامی که حذف اطلاعات به طور کامل پاک نمی شود.

      حتی پس از فرمت کردن فلاپی دیسک یا دیسک، داده ها را می توان با استفاده از ابزارهای ویژه برای میدان مغناطیسی باقیمانده بازیابی کرد.

    برای حذف قابل اعتماد، از برنامه های کاربردی ویژه ای استفاده می شود که داده ها را با نوشتن مکرر یک دنباله تصادفی از صفر و یک در محل داده های حذف شده پاک می کنند.

      حفاظت از اطلاعات شبکهاینترنت

    هنگام کار بر روی اینترنت، باید در نظر داشت که تا آنجایی که منابع شبکه جهانی وب برای هر مشتری باز است، همان منابع سیستم رایانه ای او می تواند تحت شرایط خاصی برای همه افرادی که امکانات لازم را دارند باز باشد. . برای یک کاربر خصوصی، این واقعیت نقش خاصی ندارد، اما لازم است از آن آگاه باشد تا از اقداماتی که قوانین آن کشورهایی را که سرورهای اینترنتی در آن قرار دارند، نقض می کند، جلوگیری شود. چنین اقداماتی شامل تلاش های داوطلبانه یا غیرارادی برای ایجاد اختلال در عملکرد سیستم های رایانه ای، تلاش برای نفوذ به سیستم های محافظت شده، استفاده و توزیع برنامه هایی است که عملکرد سیستم های رایانه ای (به ویژه ویروس های رایانه ای) را مختل می کند. هنگام کار بر روی شبکه جهانی وب، باید به یاد داشته باشید که کاملاً همه اقدامات توسط نرم افزار خاصی ثبت و ثبت می شوند و اطلاعات، چه در مورد اقدامات قانونی و چه غیرقانونی، لزوماً در جایی جمع می شود. بنابراین، تبادل اطلاعات در اینترنت باید به عنوان یک مکاتبات عادی با استفاده از کارت پستال تلقی شود. اطلاعات آزادانه در هر دو جهت گردش می کند، اما در حالت کلی برای همه شرکت کنندگان در فرآیند اطلاعات در دسترس است. این امر در مورد تمام خدمات اینترنتی باز برای توده ها صدق می کند.

    با این حال، حتی در حالت عادی سرویس پستیهمراه با کارت پستال، پاکت های پستی نیز وجود دارد. استفاده از پاکت های پستی در مکاتبات به این معنا نیست که شرکا چیزی برای پنهان کردن دارند. استفاده از آنها با یک سنت تاریخی قدیمی و استانداردهای اخلاقی و اخلاقی برقرار ارتباط مطابقت دارد. نیاز به «پاکت‌های» مشابه برای محافظت از اطلاعات در اینترنت وجود دارد. امروزه اینترنت نه تنها یک وسیله ارتباطی و یک سیستم مرجع جهانی است - تعهدات قراردادی و مالی در آن جریان دارد، نیاز به محافظت از آنها از مشاهده و جعل آشکار است. از سال 1999، اینترنت به وسیله ای قدرتمند برای تضمین گردش مالی خرده فروشی تبدیل شده است و این مستلزم حفاظت از داده های کارت اعتباری و سایر ابزارهای پرداخت الکترونیکی است.

    اصول حفاظت از اطلاعات در اینترنت بر اساس تعریف اطلاعاتی است که در فصل اول این کتابچه راهنما بیان کردیم. اطلاعات محصول تعامل داده ها و روش های مناسب برای آنهاست.. اگر در طول فرآیند ارتباط، داده ها از طریق سیستم های باز منتقل شوند (و اینترنت یکی از آنهاست)، حتی از نظر تئوری نیز غیرممکن است که دسترسی افراد غیرمجاز به آنها را رد کنیم. بر این اساس، سیستم های حفاظتی بر دومین جزء اطلاعات - روش ها تمرکز می کنند. اصل عملکرد آنها بر اساس حذف یا حداقل دشوار کردن انتخاب است روش کافیبرای تبدیل داده ها به اطلاعات


    اطلاع رسانی فعالیت های سیاسی-اجتماعی، اقتصادی و نظامی کشور و در نتیجه توسعه سریع سیستم های اطلاعاتیبا افزایش قابل توجهی در تجاوز به اطلاعات از سوی کشورهای خارجی و عناصر جنایتکار و شهروندانی که به آن دسترسی ندارند، همراه است. بدون شک در شرایط کنونی یکی از اولویت های پیش روی حاکمیت قانون رفع تضاد عمیق بین سطح واقعی و ضروری حفاظت از نیازهای اطلاعاتی فرد، جامعه و خود دولت و تامین امنیت اطلاعات آنهاست. برای معلمان و دانشجویان دانشگاه ها در تخصص "امنیت اطلاعات"، متخصصان امنیتی، مدیران و مدیران شرکت ها.


    Artemov، AV - امنیت اطلاعات. دوره سخنرانی برای خواندن آنلاین

    بازبین:

    کاندیدای علوم اقتصادی، دانشیار گروه کارآفرینی و بازاریابی، موسسه آموزشی بودجه دولت فدرال آموزش عالی حرفه ای "دانشگاه دولتی - UNPK" N.A. لبدف

    A. V. Artemov، Ph.D.

    امنیت اطلاعات به عنوان مؤلفه تعیین کننده امنیت ملی روسیه

    سوالات مطالعه:

    1. جایگاه امنیت اطلاعات در سیستم امنیت ملی روسیه: مفهوم، ساختار و محتوا.

    2. اسناد راهنمای اصلی تنظیم کننده مسائل امنیت اطلاعات.

    3. تهدیدات مدرن برای امنیت اطلاعات در روسیه

    سوال 1. جایگاه امنیت اطلاعات در سیستم امنیت ملی روسیه: مفهوم، ساختار و محتوا

    اطلاع رسانی فعالیت های سیاسی-اجتماعی، اقتصادی و نظامی کشور و در نتیجه توسعه سریع سیستم های اطلاعاتی با افزایش چشمگیر تجاوزات به اطلاعات هم از سوی کشورهای خارجی و هم از سوی عناصر جنایتکار و شهروندانی که فاقد آن هستند همراه است. دسترسی به آن بدون شک در شرایط کنونی یکی از وظایف اولیه حاکمیت قانون، رفع تضاد عمیق بین سطح واقعی و ضروری حفاظت از نیازهای اطلاعاتی افراد، جامعه و خود دولت و تامین امنیت اطلاعات آنهاست. که در آن تحت امنیت اطلاعات (IS) فرد، جامعه، ایالت و سیستم های خودکار و مخابراتی مدرندرک کرد وضعیت امنیتی محیط اطلاعاتیمطابق با منافع (نیازهای) فرد، جامعه و دولت در حوزه اطلاعات، که بدون توجه به وجود تهدیدهای داخلی و خارجی، شکل گیری، استفاده و توسعه فرصت های آنها را تضمین می کند.

    امنیت اطلاعات تعریف شده است توانایی دولت (جامعه، فرد):

    - با احتمال معینی منابع اطلاعاتی و جریان های اطلاعاتی کافی و محافظت شده را برای حفظ حیات و دوام آنها، عملکرد و توسعه پایدار فراهم کند.

    - مقاومت کردن خطرات اطلاعاتیو تهدیدها، تأثیرات منفی اطلاعات بر آگاهی و روان افراد و همچنین بر روی شبکه های رایانه ای و سایر منابع فنی اطلاعات.

    - توسعه مهارت ها و مهارت های شخصی و گروهی رفتار ایمن؛

    - حفظ آمادگی مداوم برای اقدامات کافی در رویارویی اطلاعاتی، صرف نظر از اینکه بر چه کسی تحمیل شده است.

    هیچ حوزه ای از زندگی جامعه مدرنبدون ساختار اطلاعاتی توسعه یافته نمی تواند کار کند. منبع اطلاعات ملی امروزه یکی از منابع اصلی قدرت اقتصادی و نظامی دولت است. اطلاعات با نفوذ در تمام حوزه های فعالیت دولتی، بیانی خاص سیاسی، مادی و هزینه ای به دست می آورد. در مقابل این پس زمینه، اهمیت فزاینده ای پیدا می کند مسائل مربوط به امنیت اطلاعات فدراسیون روسیهبه عنوان یک عنصر جدایی ناپذیر از امنیت ملی، و حفاظت از اطلاعات در حال تبدیل شدن به یکی از وظایف اولویت دولت است.

    در هر کشوری به امنیت اطلاعات اهمیت ویژه ای داده می شود. در توسعه خود، این وظیفه بسته به نیازهای دولت، امکانات، روش ها و ابزارهای کسب اطلاعات (به ویژه اطلاعات)، رژیم حقوقی دولت و تلاش های واقعی آن برای تضمین حفاظت از اطلاعات، مراحل بسیاری را طی می کند. .

    یک مرحله مهم در شکل گیری و بهبود چنین سیستمی در کشور ما، دوره 70-80 بود. از ابتدای دهه 70. در فعالیت های اطلاعاتی کشورهای پیشرو جهان، استفاده گسترده از تجهیزات شناسایی فنی آغاز شد. دهه 1980 که با پیشرفت سریع علمی و فناوری، به ویژه در زمینه نظامی مشخص شد، انگیزه جدیدی برای تقویت بیشتر قابلیت‌های ابزار فنی اطلاعات خارجی ایجاد کرد: تا 70 درصد اطلاعات اطلاعاتی در آن زمان با کمک وسایل فنی

    وضعیت فعلی مستلزم بهبود سیستم اقدامات مقابله با سرویس های اطلاعاتی خارجی بود. وظیفه ای با اهمیت ملی و یکی از قطعات تشکیل دهندهدر سیستم کلی اقدامات برای حفظ اسرار دولتی و رسمی، مخالفت با اطلاعات فنی وجود داشت.

    با آغاز دهه 90. تغییرات کیفی در حوزه نظامی - سیاسی و علمی - فنی رخ داده است که از بسیاری جهات مجبور به تجدید نظر در سیاست دولت در زمینه حفاظت از اطلاعات به طور کلی شده است.

    اولاً، فناوری اطلاعات به طور اساسی حجم و اهمیت گردش اطلاعات در ابزارهای فنی انتقال و پردازش آن را تغییر داده است. ثانیاً، انحصار دولتی در منابع اطلاعاتی در روسیه به گذشته تبدیل شده است، به ویژه، حق شهروندی برای جستجو، دریافت و انتشار اطلاعات به رسمیت شناخته شده است. ثالثاً، سازوکار اداری سابق برای مدیریت امنیت اطلاعات ناکارآمد شده است و در عین حال نیاز به هماهنگی بین بخشی در این زمینه به طور عینی افزایش یافته است. چهارم، در ارتباط با دخالت فزاینده روسیه در تقسیم کار بین المللی، تقویت ارتباطات اقتصادی، فرهنگی، بشردوستانه با سایر کشورها، بسیاری از اقدامات رژیم محدود کننده که حفاظت از اطلاعات را تسهیل می کند، به عنوان مثال، سیستم مناطق بسته به شهروندان خارجی غیرقابل قبول شده اند.

    در شرایط کنونی، با در نظر گرفتن تهدیدات در نظر گرفته شده برای امنیت اطلاعات یک فرد، جامعه و دولت، توجه به مشکلات و وظایف تامین امنیت اطلاعات که جزء لاینفک تامین امنیت ملی هر کشوری است، حائز اهمیت است. وضعیت جامعه جهانی در مرحله جدیدی از توسعه آن - مرحله شکل گیری جامعه اطلاعاتی. ویژگی های شناخته شده چنین جامعه ای مشروط بودن آشکار توسعه اقتصادی، اجتماعی، علمی و کل کشور با معرفی گسترده فناوری های اطلاعاتی جدید است که اطلاع رسانی موثر جامعه را تضمین می کند، که به نوبه خود تضمین کننده امنیت اطلاعات جامعه از جمله ارائه اطلاعات، محصولات اطلاعاتی، خدمات و دانش با کیفیت بالا که امروزه مهمترین منبع راهبردی کشور است. اطلاع رسانی فرد، جامعه مهمترین و استراتژیک ترین جهت فعالیت دولت است که توسعه پایدار و ایمن اجتماعی-اقتصادی و سیاسی و اولویت ها را در همه زمینه ها از جمله اطلاعات و فعالیت در جامعه جهانی تعیین می کند. این با اقدامات عملی کشورهای پیشرو جهان و روسیه تأیید می شود که با تصویب تعدادی از قوانین قانونی نظارتی و سایر اسناد تأیید می شود:

    - 2000 - "منشور اوکیناوا از جامعه اطلاعاتی جهانی" (امضای رئیس جمهور از طرف روسیه).

    - 2000 توسط مفهوم امنیت ملی فدراسیون روسیه (مصوب با فرمان ریاست جمهوری، اصلاح شده در 01/10/2000)؛

    - 2000 - برنامه های هدف فدرال "توسعه یک محیط اطلاعات آموزشی واحد (2001-2005)"، " روسیه الکترونیکی»;

    - 25 ژوئیه 2007 - برنامه "استراتژی توسعه جامعه اطلاعاتی در روسیه" (مصوب شورای امنیت فدراسیون روسیه).

    - 2002 - برنامه هدف فدرال "روسیه الکترونیکی برای 2002-2010" (مصوب با فرمان دولت روسیه مورخ 28 ژانویه 2002 شماره 65).

    - 2007 "استراتژی توسعه جامعه اطلاعاتی در روسیه" (مصوب در 25 ژوئیه 2007 توسط شورای امنیت فدراسیون روسیه) و دیگران.

    سوال 2. اسناد راهنمای اصلی تنظیم کننده مسائل امنیت اطلاعات

    با در نظر گرفتن مفهوم امنیت ملی روسیه، مصوب 17 دسامبر 1997 رئیس جمهور فدراسیون روسیه به شماره 1300 (اصلاح شده در 10 ژانویه 2000)، که منعکس کننده منشور اوکیناوا از جامعه جهانی اطلاعات است. می توان ادعا کرد که در آن سیستم منافع ملی روسیه با ترکیبی از منافع اصلی زیر تعیین می شود:

    شخصیت ها - شامل تأمین واقعی حقوق و آزادی های قانون اساسی، امنیت شخصی، در بهبود کیفیت و استاندارد زندگی، در رشد جسمی، معنوی و فکری.

    - جوامع - شامل تقویت دموکراسی، دستیابی و حفظ هماهنگی اجتماعی، افزایش فعالیت خلاقانه جمعیت و احیای معنوی روسیه.

    - دولت ها - شامل حفاظت از نظم قانون اساسی، حاکمیت و تمامیت ارضی روسیه، ایجاد ثبات سیاسی، اقتصادی و اجتماعی، اجرای بی قید و شرط قوانین و حفظ نظم و قانون، توسعه همکاری های بین المللی بر اساس مشارکت است.

    این مفهوم منافع ملی روسیه را در حوزه اطلاعات تعریف می کند.

    منافع ملی روسیهتعیین نیاز به تمرکز تلاش های جامعه و دولت برای حل مشکلات خاص. اینها هستند:

    - رعایت حقوق و آزادی های قانون اساسی شهروندان در زمینه کسب اطلاعات و تبادل آن.

    - حفاظت از ارزشهای معنوی ملی؛ - ترویج میراث ملی، فرهنگی، اخلاق و اخلاق عمومی؛

    - تضمین حق شهروندان برای دریافت اطلاعات موثق.

    - توسعه فناوری های نوین مخابراتی فعالیت سیستماتیک دولت در اجرای این وظایف به فدراسیون روسیه اجازه می دهد تا به یکی از مراکز توسعه جهانی در قرن 21 تبدیل شود. در عین حال، استفاده از اطلاعات برای دستکاری آگاهی جمعی غیرقابل قبول است. حفاظت از منابع اطلاعاتی دولتی در برابر نشت اطلاعات مهم سیاسی، اقتصادی، علمی، فنی و نظامی ضروری است.

    مطابق با این مفهوم، مهمترین وظایف نگهداری ISهستند:

    - ایجاد تعادل لازم بین نیاز به تبادل آزاد اطلاعات و محدودیت های قابل قبول در انتشار آن.

    - بهبود ساختار اطلاعات، تسریع توسعه فناوری های اطلاعاتی جدید و توزیع گسترده آنها، یکسان سازی ابزارهای جستجو، جمع آوری، ذخیره، پردازش و تجزیه و تحلیل اطلاعات با در نظر گرفتن ورود روسیه به زیرساخت های اطلاعاتی جهانی.

    - توسعه یک چارچوب قانونی تنظیمی مناسب و هماهنگی با نقش رهبری آژانس فدرال ارتباطات و اطلاعات دولتی تحت ریاست رئیس جمهور فدراسیون روسیه، فعالیت های ارگان های دولت فدرال و سایر ارگان ها، حل مشکلتامین امنیت اطلاعات؛

    - توسعه صنعت داخلی مخابرات و رسانه اطلاعاتی، اولویت آنها بر آنالوگ های خارجیتوزیع در بازار داخلی؛

    - حفاظت از منابع اطلاعاتی ایالتی، در درجه اول در ارگان های دولتی فدرال و در شرکت های مجتمع دفاعی.

    دکترین امنیت اطلاعات فدراسیون روسیه 09.09.2001 شماره Pr-1895 است. مجموعه ای از دیدگاه های رسمی در مورد اهداف، اهداف، اصول و جهت گیری های اصلی تضمین امنیت اطلاعات فدراسیون روسیه. این به عنوان پایه ای عمل می کند:

    - برای تشکیل سیاست دولتی در زمینه امنیت اطلاعات فدراسیون روسیه؛

    - تهیه پیشنهادات برای بهبود حمایت های قانونی، روش شناختی، علمی، فنی و سازمانی برای امنیت اطلاعات.

    - توسعه برنامه های هدفمند برای تضمین امنیت اطلاعات فدراسیون روسیه.

    بر اساس ساختار، دکترین شامل 4 بخش و 11 فصل است. در بخش اول " امنیت اطلاعات فدراسیون روسیه"داده شده مفهوم امنیت اطلاعات، منافع ملی فرد، جامعه و دولت در حوزه اطلاعات برجسته می شود. آنها در دکترین با جزئیات بیشتری نسبت به مفهوم امنیت ملی مشخص شده اند.

    وظایف استراتژیک و جاری سیاست داخلی و خارجی دولت برای تضمین امنیت اطلاعات بر اساس منافع زیر در اطلاعات شکل می گیرد:

    - شخصیت ها - شامل اجرای حقوق اساسی یک شخص و یک شهروند برای دسترسی به اطلاعات، استفاده از اطلاعات به منظور انجام فعالیت هایی که توسط قانون منع نشده است، رشد فیزیکی، معنوی و فکری و همچنین در حفاظت از اطلاعاتی که امنیت شخصی را تضمین می کند؛

    - جوامع - تضمین منافع فرد در این زمینه، تقویت دموکراسی، ایجاد یک دولت اجتماعی قانونی، دستیابی و حفظ هماهنگی اجتماعی، در تجدید معنوی روسیه.

    - دولت ها - باید شرایطی را برای توسعه هماهنگ روسیه ایجاد کنند زیرساخت اطلاعاتیاجرای حقوق و آزادی های قانون اساسی انسان و شهروند در زمینه کسب اطلاعات و استفاده از آن به منظور اطمینان از نقض ناپذیری نظم قانون اساسی، حاکمیت و تمامیت ارضی روسیه، ثبات سیاسی، اقتصادی و اجتماعی در شرایط بدون قید و شرط. نظم و قانون، توسعه همکاری های بین المللی برابر و متقابلا سودمند.

    انواع تهدیدات داعش و منابع آنها مشخص می شود. آنها همچنین، برخلاف مفهوم امنیت ملی، با جزئیات مشخص شده اند.

    در بخش دوم "روش های تضمین امنیت اطلاعات":

    - روش های کلی برای اطمینان از IS فدراسیون روسیه تعیین می شود.

    - ویژگی های تامین امنیت اطلاعات فدراسیون روسیه در زمینه های مختلف زندگی عمومی آشکار می شود.

    - همکاری های بین المللی در زمینه امنیت اطلاعات تعیین شده است.

    در بخش سوم "مفاد اصلی سیاست دولتی برای تضمین امنیت اطلاعات فدراسیون روسیه"شامل:

    - اصول تضمین سیاست دولتی؛

    - اقدامات اولویت دار برای اجرای سیاست دولتی تضمین امنیت اطلاعات فدراسیون روسیه.

    بخش چهارم اساس سازمانی سیستم امنیت اطلاعات فدراسیون روسیه "وظایف اصلی سیستم امنیت اطلاعات و اساس سازمانی آن را تعیین می کند.

    فرآیند اطلاعاتی شدن جامعه مدرن منجر به افزایش شدید ارزش برخی اطلاعات و زیان هایی می شود که می تواند در صورت نشت، اصلاح یا تخریب آن رخ دهد. در این راستا، مشکل تضمین امنیت اطلاعات به ویژه مهم می شود.

    مفهوم امنیت در حوزه اطلاعات بسیار گسترده است. در یک مفهوم کلی، تحت امنیت اطلاعاتدرک امنیت اطلاعات از تلاش های غیرمجاز برای به دست آوردن آن، اصلاح، تخریب و تاخیر در دسترسی. امنیت اطلاعات باید دستیابی به اهداف زیر را تضمین کند:

    یکپارچگی داده - محافظت در برابر خرابی هایی که منجر به از دست رفتن اطلاعات و همچنین ایجاد یا تخریب غیرمجاز داده می شود.

    محرمانه بودن اطلاعات؛

    از جمله دلایلی که منجر به از دست رفتن یا تغییر ناخواسته اطلاعات می شود می توان به موارد زیر اشاره کرد:

    1) دسترسی غیرمجاز به داده ها (تصادفی یا عمدی):

    کپی، تحریف، تخریب یا جعل اطلاعات؛

    آشنایی خارجی هابا اطلاعات محرمانه

    2) کار نادرستنرم افزاری که منجر به از دست دادن یا خراب شدن داده ها می شود:

    خطا در نرم افزار برنامه یا شبکه؛

    آلودگی سیستم ها به ویروس های کامپیوتری

    3) نقص فنی تجهیزات ناشی از:

    قطعی برق؛

    شکست سیستم های دیسکیو سیستم های آرشیو داده ها؛

    نقض عملکرد سرورها، ایستگاه های کاری، کارت های شبکه، مودم;

    خرابی کابل کشی

    4) خطاهای پرسنل خدمات یا کاربران.

    5) ذخیره سازی نادرست اطلاعات.

    در محاسبات، مفهوم امنیتبسیار گسترده است هم بر قابلیت اطمینان رایانه و هم ایمنی داده های ارزشمند و هم محافظت از اطلاعات در برابر تغییر توسط افراد غیرمجاز و حفظ محرمانه بودن مکاتبات در ارتباطات الکترونیکی دلالت دارد. البته در همه کشورهای متمدن، قوانین حافظ امنیت شهروندان هستند، اما در حوزه علوم کامپیوترعملکرد اجرای قانون هنوز توسعه نیافته است و روند قانونگذاری همگام با توسعه فناوری نیست. بنابراین، قابلیت اطمینان سیستم های کامپیوتری تا حد زیادی مبتنی بر اقدامات محافظت از خود است.

    امنیت سیستم اطلاعات- این سیستمی از اقدامات سازمانی و فنی با هدف جلوگیری از تهدیدات است، یعنی رویدادها یا اقداماتی که عملکرد عادی یک سیستم رایانه ای یا حقوق شهروندان، شرکت ها و دولت را برای داشتن اطلاعات نقض می کند.

    اقدامات برای اطمینان از امنیت یک سیستم کامپیوتری باید شامل تمام تهدیدات احتمالی باشد و معمولاً شامل حفاظت فیزیکی از سرور، ابزار بازیابی سیستم ها و داده ها پس از خرابی، و ابزارهای محافظت در برابر دسترسی های غیرمجاز است.

    قطعا، راه حل یک مرحله ایمشکلات امنیت اطلاعات، به استثنای همه دلایل فوق: حفاظت فیزیکی از داده ها و برنامه های سیستم، محافظت در برابر دسترسی غیرمجاز به داده های منتقل شده از طریق خطوط ارتباطی و واقع در درایوها - شماره.

    در حال حاضر روش ها و ابزارهای مختلفی برای به حداقل رساندن خطر از دست رفتن یا تغییر ناخواسته داده ها توسعه یافته و با موفقیت به کار گرفته شده است. با این حال، هیچ رویکرد واحدی برای طبقه بندی آنها وجود ندارد.

    بنابراین، به عنوان مثال، حقوقی، فنی و سازمانی وجود دارد جنبه های امنیت اطلاعات.

    به اقدام قانونیشامل: توسعه مقرراتی است که مستلزم مسئولیت اداری و کیفری برای سرقت اطلاعات، نقض کپی رایت برنامه نویسان و تمام انواع جرایم رایانه ای است که قبلاً مورد بحث قرار گرفت.

    به اقدامات فنیشامل: حفاظت در برابر دسترسی غیرمجاز به سیستم؛ نرم افزار آنتی ویروس؛ پشتیبان گیریو بایگانی اسناد به ویژه مهم؛ سازماندهی شبکه های کامپیوتری محلی با امکان توزیع مجدد منابع در صورت خرابی پیوندهای فردی. نصب سیستم های حفاظتی در برابر خرابی در شبکه منبع تغذیه؛ و همچنین تجهیز محل به سیستم هشدار امنیتی.

    زیر اقدامات سازمانیدر درجه اول به انتخاب کارکنان شرکت و همچنین اطمینان از اینکه افراد تایید نشده اجازه دسترسی به اطلاعات محافظت شده را ندارند اشاره دارد. این شامل، برای مثال، تجهیز اتاق ها به یک سیستم است قفل های ترکیبیبه طوری که فقط شخصی که رمز باز کننده در را بداند می تواند وارد این اتاق شود.

    روش های دیگری برای طبقه بندی ابزارهای امنیت اطلاعات وجود دارد:

    - حفاظت فیزیکی یعنی:حفاظت از سیستم کابل، سیستم های منبع تغذیه، ابزارهای بایگانی، آرایه های دیسک و غیره.

    حفاظت فیزیکی به ویژه شامل موارد زیر است:

    الف) اطمینان از ایمنی محل نصب سرورها با در نظر گرفتن الزامات مربوط به قابلیت اطمینان ساختمان ها، دما و رطوبت، در دسترس بودن تجهیزات اطفاء حریق.

    ب) اقداماتی برای محدود کردن دسترسی فیزیکی به سیستم های کامپیوتریو زیرساخت شبکه اشخاص ثالثی که می توانند سرور را متوقف، راه اندازی مجدد و حتی دوباره نصب کنند، سرقت می کنند دیسک های سخت، نصب تجهیزات و نرم افزارهای شناسایی.

    ج) وسایل حفاظت در برابر قطعی برق - از منبع تغذیه اضطراری گرفته تا اقدامات برای اتصال زمین موثر و محافظت در برابر صاعقه.

    - نرم افزار حفاظتی:برنامه های ضد ویروس، سیستم های تمایز قدرت ها، نرم افزارهای کنترل دسترسی.

    ابزارهای نرم افزاری و روش های حفاظت به طور فعال تر و گسترده تر برای محافظت از اطلاعات در کامپیوترهای شخصیو شبکه های کامپیوتراجرای عملکردهای حفاظتی مانند تمایز و کنترل دسترسی به منابع. ثبت و تجزیه و تحلیل فرآیندهای در حال انجام، رویدادها، کاربران؛ جلوگیری از اثرات مخرب احتمالی بر منابع؛ حفاظت رمزنگاریاطلاعات؛ شناسایی و احراز هویت کاربران و فرآیندها و غیره

    در حال حاضر بیشترین سهم در این گروه از اقدامات در سیستم های پردازش اطلاعات اقتصادی است بسته های نرم افزاری خاص یا برنامه های فردیبه منظور اجرای وظایف حفاظت از اطلاعات در نرم افزار گنجانده شده است.

    - ابزارهای فناوری حفاظت از اطلاعاتمجموعه ای از فعالیت هایی است که به طور ارگانیک در فرآیندهای تکنولوژیکی تبدیل داده ها ادغام می شوند. از جمله:

    ایجاد نسخه های آرشیوی از رسانه ها؛

    دستی یا ذخیره خودکارفایل های پردازش شده در طول حافظه خارجیکامپیوتر؛

    ثبت نام استفاده کنندگان از امکانات کامپیوتری در مجلات;

    ثبت خودکار دسترسی کاربر به منابع خاص؛

    تدوین دستورالعمل های ویژه برای اجرای کلیه رویه های فناوری و غیره.

    - به اقدامات و راهکارهای قانونی و اخلاقی و اخلاقیشامل قوانین و مقررات در حال اجرا در کشور است که قوانین مربوط به رسیدگی به اطلاعات و مسئولیت نقض آنها را تنظیم می کند. هنجارهای رفتاری که رعایت آنها به حفاظت از اطلاعات کمک می کند.

    - اقدامات حفاظتی اداری:کنترل دسترسی به اماکن، توسعه استراتژی امنیتی شرکت، طرح های اضطراری و غیره.

    ابزارهای حفاظتی سازمانی و اداری به تنظیم دسترسی به اطلاعات و منابع محاسباتی، فرآیندهای عملکردی سیستم‌های پردازش داده، تنظیم فعالیت‌های پرسنلی و غیره کاهش می‌یابد. هدف آنها جلوگیری یا حذف امکان اجرای تهدیدات امنیتی است. بیشترین میزان معمولی ترین ابزار سازمانی و اداری:

    ایجاد یک رژیم ایست بازرسی در قلمروی که امکانات پردازش اطلاعات در آن قرار دارد.

    تولید و صدور مجوزهای ویژه؛

    فعالیت های استخدام مرتبط با پردازش داده ها؛

    فقط به مقامات مورد اعتماد اجازه پردازش و انتقال اطلاعات محرمانه را بدهید.

    ذخیره سازی مغناطیسی و سایر رسانه های ذخیره سازی که نشان دهنده یک راز خاص هستند و همچنین مجلات ثبت در گاوصندوق هایی که برای افراد غیرمجاز غیرقابل دسترس است.

    سازمان حفاظت در برابر نصب تجهیزات شنود در محل های مرتبط با پردازش اطلاعات؛

    سازمان حسابداری برای استفاده و از بین بردن اسناد (حامل) با اطلاعات محرمانه؛

    توسعه شرح شغلو قوانین کار با به وسیله کامپیوترو آرایه های اطلاعاتی؛

    تمایز دسترسی به اطلاعات و منابع محاسباتی مقامات مطابق وظایف عملکردی آنها.

    هر یک از طبقه بندی های در نظر گرفته شده نسبتاً مشروط است. فن آوری های مدرن به سمت سنتز ابزارهای حفاظتی مختلف در حال توسعه هستند و دستیابی به سطح امنیتی مورد نیاز تنها با ترکیبی بهینه از روش های حفاظتی سازمانی، نرم افزاری، سخت افزاری، فیزیکی و سایر روش ها، یعنی در صورت سیستماتیک امکان پذیر است. رویکردی برای حل مشکل امنیت اطلاعات


    IS (امنیت اطلاعات)

    سخنرانی شماره 1

    امنیت اطلاعات - توانایی سیستم پردازش برای ارائه یک دوره زمانی مشخص برای برآورده کردن الزامات پردازشی خاص از نظر احتمال وقوع رویدادها، که در نشت تغییر گمشده یا غیرقانونی داده ها بیان می شود که برای آنها ارزش خاصی دارد. صاحبان در عین حال، منشأ این اقدامات می تواند هم ضربه های تصادفی و هم برخورد ناوشکن انسانی باشد.

    سیستم پردازش خودکار اطلاعات (AS) - سیستم سازمانی و فنی که مجموعه ای از اجزای مرتبط به هم است:


    1. ابزارهای فناوری رایانه و ارتباطات.

    2. روش ها و الگوریتم های پردازش داده ها (نرم افزار (نرم افزار)).

    3. آرایه ها و پایگاه های داده ارائه شده در هر رسانه ای.

    4. پرسنل و کاربران فناوری کامپیوتر.
    همه این اجزا به منظور پردازش مشترک اطلاعات ترکیب شده اند.

    1. موضوعات روابط اطلاعاتی:

    2. سازمان های دولتی و دولتی.

    3. سازمان های تجاری دولتی اشخاص حقوقی).

    4. شهروندان (افراد).
    همه آنها به منظور پردازش مشترک اطلاعات تعامل دارند. در رابطه با اطلاعات پردازش شده در AS، هر یک از این موجودیت ها می توانند یک یا چند نقش زیر را انجام دهند:

    1. منابع اطلاعاتی

    2. کاربران (مصرف کنندگان) اطلاعات.

    3. صاحبان (صاحبان) اطلاعات.

    4. اشخاص حقیقی یا حقوقی که اطلاعات از آنها جمع آوری شده است.

    5. صاحبان AS و شرکت کنندگان در فرآیند پردازش اطلاعات.
    سه ویژگی اساسی اطلاعات محافظت شده:

    1. محرمانه بودن ویژگی که نشان می دهد فقط کاربران مجاز و کسانی که توسط سیستم پردازش اطلاعات ارائه می شوند می توانند به اطلاعات دسترسی داشته باشند.

    2. تمامیت. خاصیت اطلاعاتی که اولاً این که اطلاعات فقط توسط کاربران مجاز قابل تغییر است و ثانیاً این اطلاعات سازگار و منعکس کننده است. موقعیت واقعیاز چیزها

    3. دسترسی. ویژگی سیستمی که در آن اطلاعات در گردش است، که مشخصه آن توانایی فراهم کردن دسترسی به موقع و بدون مانع به اطلاعات برای کاربرانی است که دارای اختیارات مناسب برای دسترسی به آن هستند.
    آسیب پذیری اطلاعات - قرار گرفتن اطلاعات در معرض تأثیر عوامل بی ثبات کننده مختلف که می تواند منجر به نقض محرمانه بودن، یکپارچگی و در دسترس بودن آن شود.

    دسترسی به اطلاعات:


    1. آشنایی با اطلاعات از جمله کپی کردن.

    2. اصلاح اطلاعات

    3. تخریب اطلاعات
    قوانین کنترل دسترسی - قوانینی که دسترسی افراد به اشیاء را در یک سیستم خاص محدود می کند.

    موضوع سیستم - یک جزء فعال سیستم (کاربر یا فرآیند)، که اقدامات آن در رابطه با اشیاء توسط قوانین کنترل دسترسی تنظیم می شود.

    شیء سیستم - یک جزء غیرفعال سیستم (دستگاه، دیسک، دایرکتوری، فایل)، که دسترسی به آن توسط قوانین کنترل دسترسی تنظیم می شود.

    دسترسی غیرمجاز (UAS) - دسترسی سوژه به شی با دور زدن قوانین کنترل دسترسی تعیین شده در سیستم.

    مزاحم - نهادی که سعی کرده یا تلاش کرده است به اشتباه، ناآگاهی یا قصد مخرب به اشیاء سیستم دسترسی غیرمجاز داشته باشد.

    احراز هویت - احراز هویت موضوع یا شی.

    شناسایی - اختصاص یک نام به موضوع یا موضوع سیستم.

    تایید - بررسی صحت برخی اطلاعات

    دوام حفاظتی - احتمال عدم غلبه بر محافظت توسط مهاجم برای مدت زمان معین.

    سخنرانی شماره 2

    روشهای اساسی تضمین امنیت اطلاعات

    "سرویس امنیت شبکه" مکانیزمی برای محافظت از اطلاعات پردازش شده در سیستم ها و شبکه های محاسباتی توزیع شده است.

    هدف روش های "مهندسی و فنی" تضمین حفاظت از اطلاعات در کانال های فنیبه عنوان مثال محافظت در برابر رهگیری تابش الکترومغناطیسییا اطلاعات گفتاری

    روش‌های «قانونی» و «سازمانی» امنیت اطلاعات، چارچوبی نظارتی برای سازماندهی فعالیت‌های مختلف مرتبط با امنیت اطلاعات ایجاد می‌کنند.

    "روش های نظری" برای تضمین امنیت اطلاعات 2 وظیفه را برای خود تعیین می کند:


    1. رسمی‌سازی انواع مختلف فرآیندهای مرتبط با امنیت اطلاعات، به عنوان مثال، یک مدل رسمی کنترل دسترسی در AS، توصیف تمام جریان‌های اطلاعاتی که از موضوعات به اشیا و بالعکس منتقل می‌شوند را ممکن می‌سازد و از این طریق به طور مؤثر از این اطلاعات محافظت می‌کند.

    2. توجیه دقیق صحت و کفایت سیستم های امنیت اطلاعات. چنین وظیفه ای به عنوان مثال هنگام تأیید یک سیستم با توجه به سطح امنیت اطلاعات ایجاد می شود.
    تهدیدات امنیت اطلاعات

    زیر تهدید درک رویدادها یا اقدامات بالقوه ای که می تواند به منافع چیزی آسیب برساند، مرسوم است.

    تهدید داعش - به طور بالقوه اقدامات ممکن، که می تواند محرمانه بودن، یکپارچگی یا در دسترس بودن اطلاعات و همچنین امکان تأثیرگذاری بر اجزای AU را نقض کند و منجر به خرابی، از بین رفتن یا خرابی عملکرد آنها شود.

    طبقه بندی تهدیدات IS را می توان با توجه به ویژگی های زیر انجام داد:


    1. درجه قصد :

      1. تصادفی. سهل انگاری کارکنان یا اقدامات تصادفی.

      2. حساب شده. اقدامات مهاجم

    2. بسته به منبع تهدید:

      1. تهدیدات محیطی طبیعی

      2. تهدیدات انسانی

      3. تهدیدات از جانب نرم افزار یا سخت افزار مجاز. برخورد نادرست

      4. تهدید از جانب نرم افزار یا سخت افزار غیرمجاز. ویروس ها، دستگاه های شنود، دوربین های مخفی و غیره.

    3. با توجه به موضع منبع تهدید :

      1. تهدیدهایی که منبع آنها خارج از منطقه کنترل شده قرار دارد. فیلمبرداری صوتی یا تصویری از راه دور.

      2. تهدیدهایی که منبع آنها در داخل منطقه کنترل شده قرار دارد.

    4. با درجه تأثیر بر AC :

      1. منفعل.

      2. فعال.
    تهدیدهای غیرفعال، بر خلاف تهدیدهای فعال، ساختار و ترکیب AS را در طول اجرای خود تغییر نمی دهند، بنابراین شناسایی آنها دشوارتر است.

    1. با نقض سه ویژگی اساسی اطلاعات محافظت شده :

      1. محرمانه بودن

      2. تمامیت.

      3. دسترسی.
    سیستم های حفاظتی ساختمان در برابر تهدیدات نقض محرمانه بودن اطلاعات

    مدل سیستم حفاظتی:


    1. اقدامات سازمانی و اقدامات امنیتی فیزیکی.

    2. .

    3. کنترل دسترسی

    4. 4.1. روش های رمزنگاری

      1. روش های حفاظت محیطی

      2. ثبت و حسابرسی.
    حفاظت اولیه از طریق روش های سازمانی و سطوح بعدی از طریق روش های امنیت شبکه به دست می آید. به موازات آن، مجموعه ای از ابزارهای مهندسی و فنی باید برای محافظت از اطلاعات در برابر نشت از طریق کانال های فنی به کار گرفته شود.

    به طور کلی این روش های مورد استفاده در سازمان شامل موارد زیر است:


    1. استقرار یک سیستم کنترل و تعیین حدود دسترسی فیزیکی به عناصر AS.

    2. ایجاد یک سرویس امنیتی و فیزیکی.

    3. ایجاد مکانیسم هایی برای کنترل رفت و آمد کارکنان و بازدیدکنندگان، به عنوان مثال، با استفاده از نظارت تصویری یا کارت های دسترسی.

    4. تدوین و اجرای مقررات، شرح وظایف و سایر اسناد نظارتی.

    5. مقررات کار با رسانه های حاوی اطلاعات محرمانه.
    شناسایی و احراز هویت

    طبقه بندی روش های احراز هویت:


    1. روش های مبتنی بر آگاهی آزمودنی از برخی اطلاعات سری. مثال کلاسیک: احراز هویت رمز عبور. این روش ها رایج ترین هستند.

    2. روشهای مبتنی بر در اختیار داشتن یک شی منحصر به فرد توسط سوژه. مثلا: کلید الکترونیکی، کارت دسترسی و غیره

    3. روش‌های مبتنی بر اسکن خصوصیات بیومتریک انسان به عنوان مثال: اسکن اثر انگشت، اسکن عنبیه، اسکن صورت انسان، زیر خط ساده و صفحه کلید.
    روش های احراز هویت ترکیبی (چند عاملی) نیز وجود دارد. آنها 2 یا چند نوع احراز هویت ساده را ترکیب می کنند (به عنوان مثال: تأیید پس از پیامک یا ایمیل).

    احراز هویت رمز عبور

    طرح کلی احراز هویت رمز عبور:


    1. وارد کردن شناسه کاربری

    2. بررسی اینکه آیا چنین شناسه ای در سیستم وجود دارد یا خیر.

      1. اگر وجود داشته باشد، روش احراز هویت انجام می شود.

      2. اگر روش موفقیت آمیز باشد، مجوز رخ می دهد.

      3. در صورت شکست رویه احراز هویت، چندین تلاش برای ورود مجدد انجام می شود.
    اغلب، رویه‌های شناسایی و احراز هویت با هم ترکیب می‌شوند تا مهاجم احتمالی متوجه نشود که در کجا اشتباه کرده است.

    مزایا و معایب سیستم رمز عبور


    1. سهولت نسبی اجرا به عنوان یک قاعده، سیستم های رمز عبور به سخت افزار اضافی نیاز ندارند.

    2. سنتی. مکانیسم های حفاظت از رمز عبور برای اکثر کاربران آشنا هستند.

    3. رمزهای عبور مقاوم در برابر شکست معمولا غیر قابل استفاده هستند.
    تهدیدات امنیتی سیستم رمز عبور

    3 نوع تهدید وجود دارد:

    توصیه هایی برای پیاده سازی عملی سیستم های رمز عبور


    1. تنظیم حداقل طول رمز عبور این توصیهجستجوی کامل رمز عبور را پیچیده می کند.

    2. افزایش قدرت الفبای رمز عبور. این توصیه جستجوی جامع را پیچیده می کند.

    3. بررسی و غربال رمز عبور برای شرایط مختلف. این توصیه حدس زدن رمز عبور با استفاده از فرهنگ لغت را دشوار می کند.

    4. تنظیم حداکثر مدت اعتبار رمز عبور (مثلاً هر 2 هفته یکبار رمز عبور را تغییر دهید). انقضای رمز عبور مدت زمانی را که مهاجم می تواند برای حدس زدن رمز عبور صرف کند، محدود می کند.

    5. فیلتر کردن از طریق گزارش تاریخچه رمز عبور. این مکانیسم از استفاده مجدد از رمزهای عبوری که ممکن است قبلاً به خطر افتاده باشد جلوگیری می کند.

    6. محدود کردن تعداد تلاش برای رمز عبور این توصیه حدس زدن رمز عبور تعاملی را دشوار می کند.

    7. مهلت زمانی در هنگام وارد کردن رمز عبور اشتباه است. این مکانیسم همچنین انتخاب تعاملی را پیچیده می کند.

    8. از انتخاب رمز عبور توسط کاربر جلوگیری کنید و به طور خودکار رمز عبور ایجاد کنید. این توصیه قدرت رمزهای عبور تولید شده را تضمین می کند، با این حال، کاربران ممکن است در به خاطر سپردن آنها با مشکل مواجه شوند.
    سخنرانی شماره 3

    ارزیابی قدرت سیستم های رمز عبور

    A اصلی بودن الفبای پارامتر است. تعداد حروفی که می توان از آنها برای ایجاد رمز عبور استفاده کرد.

    L طول رمز عبور است.

    S=A^L تعداد کلمه عبور با طول L است که می توان از الفبای A تشکیل داد.

    V میانگین سرعت حدس رمز عبور است.

    T حداکثر مدت اعتبار رمز عبور است.

    P - احتمال حدس زدن رمز عبور برای مدت زمان معین.

    P = (V*T)/S = (V*T)/(A^L)

    معمولاً میانگین سرعت حدس رمز V و ​​زمان اعتبار آن در سیستم T به عنوان مقادیر شناخته شده در نظر گرفته می شود. در این حالت، با تنظیم حداکثر احتمال brute force V در مدت اعتبار آن، می‌توان کاردینالیته مورد نیاز فضای رمز را محاسبه کرد.

    S = A^L = (V*T)/P

    کاهش سرعت حدس رمز عبور V شانس حدس زدن رمز عبور را کاهش می دهد. از این، به ویژه، نتیجه می شود که اگر انتخاب رمزهای عبور با محاسبه توابع HASH انجام شود، استفاده از یک تابع کند برای محاسبه تابع HASH امنیت بیشتر سیستم رمز را تضمین می کند.

    روش های ذخیره و انتقال رمزهای عبور


    1. در فضای باز. برای ذخیره سازی و انتقال توصیه نمی شود، حتی با وجود مکانیسم های حفاظتی دیگر.

    2. در قالب مقادیر HASH مربوطه. این مکانیسم برای بررسی رمزهای عبور راحت است، زیرا مقادیر HASH تقریباً به طور منحصر به فرد با رمز عبور مرتبط هستند، اما برای یک مهاجم علاقه چندانی ندارند.

    3. به صورت رمزگذاری شده رمزهای عبور را می توان با استفاده از برخی از الگوریتم های رمزنگاری رمزگذاری کرد، در حالی که کلید رمزگذاری را می توان روی یکی از عناصر دائمی سیستم یا در رسانه های قابل جابجایی ذخیره کرد.
    راحت ترین و متداول ترین ذخیره سازی رمزهای عبور در قالب مقادیر HASH است. الگوریتم تایید رمز عبور به شرح زیر است:

    1. هنگام ثبت یک کاربر جدید در سیستم یا تغییر رمز عبور برای یک کاربر موجود، مقدار یک تابع HASH یک طرفه از این رمز عبور محاسبه می‌شود که سپس وارد پایگاه داده (H = h(M)-> می‌شود. پایگاه داده).

    2. هنگامی که یک کاربر سعی می کند وارد سیستم شود، مقدار HASH از رمز عبوری که وارد کرده محاسبه می شود (H' = h(M'))، سپس مقدار حاصل با مقدار موجود در پایگاه داده مقایسه می شود. اگر این دو مقدار برابر باشند، پسورد به درستی وارد می شود و کاربر در سیستم مجاز می شود (H = H' - رمز عبور صحیح است).
    کنترل دسترسی

    تحت کنترل دسترسی مرسوم است که ایجاد اختیارات افراد برای کنترل بعدی استفاده مجاز از منابع (اشیاء) موجود در سیستم را درک کنید. دو نوع اصلی کنترل دسترسی وجود دارد:


    1. اختیاری. د - کنترل دسترسی بین اشیاء نامگذاری شده و موضوعات نامگذاری شده در سیستم. در عمل، این تمایز اغلب با استفاده از ماتریس حقوق دسترسی اجرا می شود.

    2. دستور. M - معمولاً به عنوان کنترل دسترسی توسط سطوح محرمانه اجرا می شود. اختیارات هر کاربر مطابق با حداکثر سطح محرمانه ای است که وی پذیرفته شده است، در حالی که تمام منابع AS باید مطابق با همان سطوح محرمانه طبقه بندی شوند.
    این مدل از قوانین زیر پیروی می کند:

    1. قانون امنیتی ساده یک سوژه با سطح امنیتی X(s) می تواند اطلاعات را از یک شی با سطح امنیتی X(0) بخواند تنها در صورتی که X(0) از X(s) تجاوز نکند. این نام دارد: بدون خواندن.

    2. دارایی اضافی (*-property). سوژه ای با سطح امنیتی X(s) می تواند داده ها را روی یک شی با سطح امنیتی X(0) بنویسد تنها در صورتی که X(s) از X(0) تجاوز نکند. نامیده می شود: No Write Down.
    تفاوت اساسی بین کنترل دسترسی اختیاری و اجباری به شرح زیر است:

    اگر در مورد کنترل دسترسی اختیاری، حقوق دسترسی به یک منبع برای کاربران توسط صاحب این منبع تعیین شود، در صورت کنترل دسترسی اجباری، سطح امنیتی از خارج از سیستم تنظیم می شود. تمایز اجباری به عنوان اجباری درک می شود، سخت تر است.

    سخنرانی شماره 4

    تبدیل رمزنگاری اطلاعات

    تعاریف اساسی:

    رمز شناسی- علمی که روش های ریاضی برای محافظت از اطلاعات با تبدیل آن ها را مطالعه می کند. رمز شناسی به دو بخش تقسیم می شود:


    1. رمزنگاری. روش هایی را برای تبدیل اطلاعات به منظور اطمینان از محرمانه بودن و صحت آن بررسی می کند. اعتباراطلاعات شامل صحت تألیف و صحت آن است.

    2. رمزنگاری. ترکیبی از روش های ریاضی برای نقض محرمانه بودن و اصالت بدون اطلاع از کلیدهای مخفی.
    جهات اصلی استفاده از روش های رمزنگاری:

    1. انتقال اطلاعات محرمانه از طریق کانال های ارتباطی ناامن.

    2. تعیین صحت پیام های ارسالی.

    3. ذخیره سازی اطلاعات روی رسانه به صورت رمزگذاری شده
    به عنوان اطلاعاتی که باید رمزگذاری و رمزگشایی شوند و همچنین امضای الکترونیکیمتون (پیام) ساخته شده بر روی برخی از حروف الفبا در نظر گرفته خواهد شد.

    الفبامجموعه محدودی از نمادها است که برای رمزگذاری اطلاعات استفاده می شود.

    متنمجموعه ای مرتب از کاراکترها از مجموعه حروف الفبا است.

    سیستم رمزنگاری (رمز)یک خانواده است تیتبدیل برگشت پذیر متن ساده به متن رمزی یک عنصر از این خانواده می تواند یک به یک با تعداد معینی مرتبط باشد ک، کلید رمزگذاری نامیده می شود. تحولات Tkبه طور کامل توسط الگوریتم مربوطه تعیین می شود ( تی) و کلید ک.

    کلید- برخی از حالت های مخفی خاص پارامترهای الگوریتم تبدیل داده های رمزنگاری، ارائه انتخاب یک گزینه، از مجموعه حالت های ممکن برای این الگوریتم. محرمانه بودن کلید باید از عدم امکان تبدیل متن رمز شده به متن ساده اطمینان حاصل کند، در حالی که خود الگوریتم می تواند منتشر شود و به طور گسترده شناخته شود.

    فضای کلیدک- مجموعه ای از مقادیر کلیدی ممکن (K = A^L).

    کلیدو کلمه عبور- برخی از اطلاعات سری، تفاوت در استفاده از این اصطلاحات است. رمز عبور برای احراز هویت و کلید برای رمزگذاری اطلاعات استفاده می شود.

    تفاوت مفهومی کد نویسیو رمزگذاری:

    مدت، اصطلاح کد نویسیبه طور کلی، شامل تبدیل اطلاعات از یک شکل به شکل دیگر، مانند آنالوگ به دیجیتال است. رمزگذاریمورد خاصرمزگذاری در درجه اول برای اطمینان از محرمانه بودن اطلاعات استفاده می شود.

    رمزگذاری داده هافرآیند تبدیل داده های باز به بسته (رمزگذاری شده) است و رمزگشاییروند معکوس است.

    رمزگشایی- تبدیل داده های بسته به داده های باز بدون دانش کلید مخفی.

    مقاومت کریپتو- مشخصه ای از رمز که مقاومت آن را در برابر رمزگشایی تعیین می کند. معمولاً این مشخصه با بازه زمانی لازم برای رمزگذاری تعیین می شود.

    فرآیند بسته شدن رمزنگاری داده ها می تواند هم در سخت افزار و هم در نرم افزار انجام شود. پیاده سازی سخت افزار سرعت محاسباتی بالاتری دارد، اما به عنوان یک قاعده، هزینه بیشتری دارد. مزایای پیاده سازی نرم افزاردر انعطاف پذیری تنظیمات الگوریتم نهفته است. صرف نظر از روش اجرا، برای سیستم های امنیتی اطلاعات رمزنگاری مدرن، الزامات زیر وجود دارد:

    سخنرانی شماره 6

    سه ویژگی مهم رمز ورنام (رمز دفترچه یادداشت):


    1. کلید باید واقعا تصادفی باشد.

    2. اندازه متن ساده مشخص شده باشد.

    3. فقط 1 بار استفاده کنید و بعد از استفاده از بین ببرید.
    در سال 1949، کلود چنون نشان داد که با رعایت دقیق هر 3 شرط اعمال شده در گاما (کلید رمزگذاری)، این رمز تنها رمز با قدرت رمزگذاری مطلق است، زیرا. متن رمزی مطلقاً هیچ اطلاعاتی در مورد متن ساده نمی دهد.

    در عمل، می توان یک حامل اطلاعات را با یک کلید طولانی و واقعا تصادفی یک بار منتقل کرد و سپس در صورت لزوم پیام ارسال کرد، ایده رمزگذاری نوت بوک ها بر این اساس است. در طی یک جلسه شخصی، یک دفترچه یادداشت به رمزنگار داده می شود که هر صفحه آن حاوی یک کلید است، طرف گیرنده دقیقاً همان دفترچه را دارد. اگر دو کانال مستقل وجود داشته باشد که احتمال رهگیری اطلاعات در آنها کم باشد، اما غیر صفر باشد، صفحات استفاده شده از بین می روند، چنین رمزگذاری نیز مفید است. یک جمله رمزگذاری شده را می توان در یک کانال منتقل کرد و به روشی دیگر کلید، برای رمزگشایی پیام، گوش دادن به هر دو کانال به طور همزمان ضروری است.

    رمز ورنام امن ترین سیستم رمزگذاری ممکن است و محدودیت هایی که کلید باید رعایت کند آنقدر قوی است که استفاده عملیپیاده سازی این رمز دشوار می شود، بنابراین فقط برای انتقال پیام هایی با بالاترین محرمانه بودن استفاده می شود.

    DES ( داده ها رمزگذاری استاندارد )

    در سال 1972، اداره ملی استاندارد ایالات متحده یک برنامه ارتباطات و حفاظت از داده های رایانه ای را آغاز کرد. یکی از اهداف این برنامه توسعه یک استاندارد رمزنگاری واحد بود. در سال 1973، دفتر الزامات یک الگوریتم رمزنگاری را منتشر کرد:


    1. الگوریتم باید سطح بالایی از امنیت را ارائه دهد.

    2. الگوریتم باید کاملاً تعریف شده و به راحتی قابل درک باشد.

    3. امنیت الگوریتم باید فقط بر اساس محرمانه بودن کلید باشد و نباید به مخفی نگه داشتن جزئیات خود الگوریتم بستگی داشته باشد.

    4. الگوریتم باید در دسترس همه کاربران باشد.

    5. الگوریتم باید اجازه انطباق با برنامه های مختلف را بدهد.

    6. این الگوریتم باید امکان اجرای اقتصادی را در قالب دستگاه های الکترونیکی فراهم کند.

    7. الگوریتم باید امکان تایید را فراهم کند.

    8. الگوریتم باید برای صادرات فعال باشد.
    این استاندارد در سال 2001 با استاندارد رمزگذاری پیشرفته (AES) جایگزین شد.

    DES یک رمز بلوک ترکیبی است و داده ها را در بلوک های 64 بیتی (هر کدام 8 بایت) رمزگذاری می کند. در یک طرف الگوریتم، 64 بیت متن ساده وارد می شود، در سمت دیگر، 64 بیت متن رمزی خروجی، DES یک الگوریتم متقارن است. طول کلید 56 بیت است. در ساده ترین سطح، الگوریتم فقط ترکیبی از 2 روش رمزگذاری اساسی است:


    1. جایگشت.

    2. تعویض ها
    بلوک اساسی DES استفاده از یک ترکیب واحد از این روش ها در متن است، بسته به کلید مخفی، چنین بلوکی Round (Round) نامیده می شود، DES شامل 16 مرحله است، یعنی. این ترکیب 16 بار روی متن اعمال می شود.

    کاربرد چندگانه یک مرحله با دستیابی به سطح خاصی از اثر بهمن (تقریباً 50٪) تعیین می شود.

    مثال‌ها: DES سه‌گانه، DES با کلیدهای فرعی مستقل، DES X، GDES (DES عمومی).

    سخنرانی شماره 7

    الگوریتم های با کلیدهای عمومی

    مفهوم رمزنگاری کلید عمومی توسط دیف و هالمن و به طور مستقل توسط مرکل در سال 1976 معرفی شد. سهم آنها در رمزنگاری این باور بود که کلیدها را می توان به صورت جفت استفاده کرد (کلید رمزگذاری و کلید رمزگشایی) و ممکن است امکان استخراج یک کلید از کلید دیگر وجود نداشته باشد.

    از سال 1976، بسیاری از الگوریتم‌های رمزنگاری کلید عمومی پیشنهاد شده‌اند، بسیاری از آنها ایمن نیستند و بسیاری برای پیاده‌سازی عملی مناسب نیستند، یا از یک کلید بسیار طولانی استفاده می‌کنند یا طول متن رمزی بسیار بزرگ‌تر از طول آن است. متن ساده

    امنیت اطلاعات فعالیت های حرفه ای

    پوژیتکووا تاتیانا الکساندرونا

    دانشجوی سال پنجم، گروه علوم کالا و سازمان مدیریت شرکت های تجاری، TSU، تولیاتی

    E-پست الکترونیکی: کیکیها [ایمیل محافظت شده] یاندکس . en

    خرلاموا والنتینا ولادیمیروا

    هنر مدرس گروه "علوم کالایی و سازمان مدیریت بنگاه های تجاری"TSU، تولیاتی

    اطلاعات (از لاتین informatio - توضیح، ارائه) - از اواسط قرن بیستم، یک مفهوم علمی کلی، شامل تبادل اطلاعات بین افراد، یک شخص و یک خودکار، یک خودکار و یک خودکار، تبادل سیگنال در دنیای حیوانات و گیاهان، انتقال نشانه ها از سلولی به سلول دیگر، از ارگانیسمی به بدن دیگر. یکی از مفاهیم اساسی سایبرنتیک

    امنیت اطلاعات مجموعه ای از اقدامات با هدف تضمین امنیت اطلاعات است.

    طبق استانداردهای امنیت اطلاعات، نکته اصلی در هر شرکتی این است:

    تعیین هدف برای اطمینان از حفاظت از اطلاعات سیستم های رایانه ای؛

    · موثرترین سیستم مدیریت امنیت اطلاعات را بدست آورید.

    · محاسبه مجموع شاخص های کمی و کیفی، تا جایی که با اهداف تعیین شده مطابقت دارند.

    · بکارگیری کلیه اقدامات برای تضمین امنیت اطلاعات، نظارت مستمر بر وضعیت فعلی سیستم.

    · از دستورالعمل های مدیریت امنیتی استفاده کنید که امکان ارزیابی منصفانه امنیت اطلاعات موجود را فراهم می کند.

    برای آزمودنی هایی که از سیستم های اطلاعاتی استفاده می کنند، ویژگی های ذیل منابع اطلاعاتی مهم است: محرمانه بودن، در دسترس بودن و یکپارچگی.

    محرمانه بودن حفاظت از اطلاعات در برابر دسترسی غیرمجاز است. به عبارت دیگر، حقوق دسترسی وجود دارد - اطلاعات وجود دارد. یک مثال می تواند عدم افشای دستمزد کارگران توسط یک سازمان باشد.

    در دسترس بودن معیاری است که با یافتن سریع اطلاعات لازم مشخص می شود.

    صداقت عبارت است از صحت و مرتبط بودن اطلاعات، محافظت از آن در برابر دسترسی و تخریب غیرمجاز (تغییر). یکپارچگی مهمترین جنبه امنیت اطلاعات است، به عنوان مثال، فرمولاسیون داروها، روشهای پزشکی تجویز شده، روند یک فرآیند تکنولوژیکی - اگر یکپارچگی اطلاعات همه این نمونه ها نقض شود، این می تواند منجر به عواقب جبران ناپذیر

    پس از تجزیه و تحلیل ویژگی های اصلی منابع اطلاعاتی، مهم ترین نکته برای کاربران IS دسترسی پذیری است.

    نیم قدم عقب تر از اهمیت یکپارچگی است - زیرا اطلاعات اگر درست یا تحریف نشده باشد، فایده ای ندارد.

    علاوه بر سه ویژگی اصلی مدل‌های امنیتی، موارد دیگری نیز وجود دارد که همیشه اجباری نیستند:

    قابل استناد - عدم امکان امتناع از تألیف.

    پاسخگویی - شناخت موضوع دسترسی و ثبت اقدامات وی.

    اصالت یا اصالت - خاصیتی که تضمین می کند موضوع یا منبع یکسان با مورد اعلام شده است. علامتی که تضمین می کند که اطلاعات با اطلاعات اعلام شده یکسان است.

    امنیت اطلاعات می تواند به درجات مختلف توسط اقداماتی به نام تهدید آسیب ببیند. آنها به دسته های زیر تقسیم می شوند:

    2. اقدامات انجام شده توسط هکرها. به این معنی، افرادی که به طور حرفه ای درگیر جرایم رایانه ای هستند. هکرها از روش حمله DOS استفاده می کنند. این تهدید به ورود غیرمجاز می‌تواند ابزاری برای از بین بردن داده‌ها، استفاده از اطلاعات محرمانه برای مقاصد غیرقانونی، و همچنین برای سرقت وجوه از حساب‌ها و غیره باشد. یک حمله از نوع DOS (به اختصار Denial of Service - "انکار سرویس") یک حمله است. حمله از خارج به گره های شبکه سازمان که مسئول عملکرد کارآمد آن هستند (سرورهای پست). هکرها به طور انبوه بسته‌های داده را به این گره‌ها ارسال می‌کنند که این امر مستلزم بارگذاری بیش از حد آنها است و در نتیجه آنها را برای مدتی از حالت کار خارج می‌کند. که در نتیجه منجر به تخلف در فرآیندهای تجاری، از دست دادن مشتریان، شهرت و غیره می شود.

    3. ویروس های کامپیوتری، بدافزارها. به طور گسترده برای نفوذ به ایمیل، میزبان ها استفاده می شود شبکه شرکتی، بر روی خود رسانه و نگهبان اطلاعات، که ممکن است منجر به از دست دادن داده ها، سرقت اطلاعات شود. به دلیل ویروس ها، گردش کار به حالت تعلیق درآمده، از بین می رود زمان کاری. ذکر این نکته مهم است که یک ویروس می تواند به مهاجمان کنترل جزئی یا کامل بر فعالیت های یک سازمان بدهد.

    4. هرزنامه تا همین اواخر، هرزنامه را می‌توان به عوامل آزاردهنده جزئی نسبت داد، اما اکنون به یکی از تهدیدهای اصلی برای اطلاعات تبدیل شده است: هرزنامه باعث ایجاد احساس ناراحتی روانی در کارکنان می‌شود، حذف آن از صندوق‌های ایمیل به زمان زیادی نیاز دارد، که می‌تواند منجر به حذف اطلاعات مهم مکاتبات و این به نوبه خود از دست دادن اطلاعات، از دست دادن مشتریان است.

    5. «تهدیدهای طبیعی». علاوه بر عوامل داخلی، عوامل خارجی نیز می توانند بر امنیت اطلاعات تأثیر بگذارند: ذخیره سازی نامناسب اطلاعات، سرقت رسانه، فورس ماژور و غیره.

    می توان نتیجه گرفت: دنیای مدرنوجود یک سیستم امنیت اطلاعات به خوبی توسعه یافته یکی از شرایط اصلی رقابت پذیری و حتی دوام هر شرکتی است.

    برای اطمینان از کامل ترین امنیت اطلاعات، ابزارهای مختلف حفاظتی باید در سیستم کار کنند، یعنی باید به طور همزمان و تحت کنترل متمرکز اعمال شوند.

    در حال حاضر روش های زیادی برای تضمین امنیت اطلاعات وجود دارد:

    ابزارهای رمزگذاری اطلاعات ذخیره شده در رایانه و انتقال از طریق شبکه؛

    ابزار رمزگذاری اطلاعات مهمذخیره شده در رایانه شخصی؛

    · فایروال ها;

    ابزارهای فیلتر محتوا؛

    · امکانات محافظت از آنتی ویروس;

    · سیستم های تشخیص آسیب پذیری شبکه ها و تحلیلگر حملات شبکه.

    هر یک از وسایل فوق را می توان هم به صورت جداگانه و هم در ترکیب با دیگران استفاده کرد. این باعث می شود که طیف حفاظت از اطلاعات گسترده تر شود که بدون شک یک عامل مثبت است.

    مجتمع 3A. شناسایی و مجوز از عناصر اصلی امنیت اطلاعات هستند. هنگامی که سعی می کنید به اطلاعات محافظت شده دسترسی پیدا کنید، شناسایی مشخص می کند که آیا شما کاربر مجاز شبکه هستید یا خیر. هدف از مجوز، شناسایی منابع اطلاعاتی کاربر داده شدهدسترسی دارد. عملکرد مدیریت این است که قابلیت های پیشرفته جداگانه ای را در اختیار کاربر قرار دهد تا محدوده اقدامات ممکن را برای او در چارچوب این شبکه تعیین کند.

    سیستم های رمزگذاری اطلاعات امکان به حداقل رساندن تلفات در صورت دسترسی غیرمجاز به داده ها و همچنین رهگیری اطلاعات در حین انتقال یا انتقال را فراهم می کنند. پروتکل های شبکه. هدف اصلی این روشحفاظت برای اطمینان از حفظ محرمانه بودن است. الزامات برای سیستم های رمزگذاری اعمال می شود، مانند سطح بالایی از رازداری قفل (به عنوان مثال، قدرت رمزنگاری) و قانونی بودن استفاده.

    فایروال به عنوان یک مانع محافظ بین شبکه ها عمل می کند، کنترل می کند و از ورود غیرمجاز به شبکه یا برعکس حذف بسته های داده از آن محافظت می کند. فایروال ها هر بسته داده را در برابر آدرس IP ورودی و خروجی در برابر پایگاهی از آدرس های مجاز بررسی می کنند.

    کنترل و فیلتر کردن ایمیل های ورودی و خروجی به منظور حفظ و محافظت از اطلاعات محرمانه بسیار مهم است. اسکن پیوست‌ها و پیام‌های ایمیل بر اساس قوانین تعیین‌شده توسط سازمان، به محافظت از کارکنان در برابر هرزنامه‌ها و سازمان در برابر مسئولیت در دعاوی کمک می‌کند.

    به لطف فناوری بررسی یکپارچگی محتوا، ممکن است مدیر، مانند یک کاربر مجاز دیگر، حق نظارت بر همه تغییرات در اطلاعات روی سرور را داشته باشد. هارد دیسک(بررسی یکپارچگی). این امکان شناسایی دسترسی غیرمجاز، کنترل هرگونه اقدام روی اطلاعات (اصلاح، حذف و غیره) و همچنین شناسایی فعالیت ویروس ها را فراهم می کند. کنترل بر اساس تجزیه و تحلیل انجام می شود چک جمع هافایل ها (CRC_sums).

    در حال حاضر، فناوری های ضد ویروس، تشخیص تقریباً تمام ویروس ها و برنامه های مخرب را با استفاده از روش مقایسه کد نمونه موجود در پایگاه داده آنتی ویروس با کد یک فایل مشکوک ممکن می سازد. فایل های مشکوکممکن است قرنطینه، درمان یا حذف شود. برنامه های ضد ویروس را می توان بر روی سرورهای فایل و ایمیل، فایروال ها، روی ایستگاه های کاری که تحت سیستم عامل های رایج (ویندوز، یونیکس و Linux_systems، ناول) در انواع مختلف پردازنده ها اجرا می شوند، نصب کرد.

    فیلترهای هرزنامه به طور قابل توجهی هزینه های غیرمولد نیروی کار مرتبط با پاک کردن فایل های هرزنامه را کاهش می دهد، بار سرور را کاهش می دهد و زمینه روانی تیم را بهبود می بخشد. علاوه بر این، فیلترهای هرزنامه خطر آلوده شدن ویروس های جدید را کاهش می دهند زیرا اغلب شبیه به اسپم هستند و حذف می شوند.

    برای محافظت در برابر تهدیدات طبیعی، یک سازمان باید برنامه ای برای پیشگیری و رفع آن ایجاد و اجرا کند موارد اضطراری(آتش سوزی، سیل). روش اصلی حفاظت از داده ها پشتیبان گیری است.

    وسایل زیادی وجود دارد حفاظت فنیاطلاعات از دسترسی غیرمجاز (UAS): قفل های یکبار مصرف، کارت های شناسایی پلاستیکی، مهر و موم، سیستم های نوری و مادون قرمز، سیستم های لیزری، قفل (مکانیکی، الکترومکانیکی، الکترونیکی)، سیستم های امنیتی و کنترل تصویری.

    خط مشی امنیت اطلاعات مجموعه ای از قوانین، قوانین، توصیه ها و تجربیات عملی است که تصمیمات مدیریتی و طراحی در زمینه امنیت اطلاعات را تعیین می کند. PIB ابزاری است که توسط آن مدیریت، حفاظت، توزیع اطلاعات در سیستم صورت می گیرد. خط مشی باید رفتار سیستم را در شرایط مختلف تعریف کند.

    برنامه سیاست امنیتی شامل مراحل بعدیایجاد ابزارهای امنیت اطلاعات:

    1. یافتن اطلاعات و منابع فنی که نیاز به حفاظت دارند.

    2. گسترش مجموعه کامل بالقوه تهدیدات احتمالیو کانال های نشت اطلاعات؛

    3. ارزیابی آسیب پذیری و خطرات اطلاعات در حضور بسیاری از تهدیدها و کانال های نشت.

    4. تشخیص الزامات سیستم حفاظتی.

    5. مجموعه ای از ابزارهای امنیت اطلاعات و ویژگی های آنها.

    6. اجرا و سازماندهی استفاده از اقدامات، روشها و وسایل حفاظتی منتخب.

    7. پیاده سازی کنترل یکپارچگی و مدیریت سیستم حفاظت.

    ارزیابی وضعیت فعلی به دو سیستم تقسیم می‌شود: «تحقیق از پایین به بالا» و «تحقیق از بالا به پایین». اولین مورد مبتنی بر این واقعیت است که سرویس امنیت اطلاعات، بر اساس همه انواع حملات شناخته شده، آنها را در عمل اعمال می کند تا بررسی کند که آیا این حمله از یک مجرم واقعی امکان پذیر است یا خیر.

    روش از بالا به پایین مطالعه دقیق تمام طرح های موجود برای ذخیره و پردازش اطلاعات است. اولین گام روش تعیین این است که کدام جریان اطلاعات باید محافظت شود. سپس وضعیت فعلی سیستم امنیت اطلاعات مورد تجزیه و تحلیل قرار می گیرد تا روش های حفاظتی اجرا شده، تا چه حد و در چه سطحی پیاده سازی شده اند، مشخص شود. در مرحله سوم، طبقه بندی تمام اشیاء اطلاعاتی به گروه ها مطابق با محرمانه بودن آن انجام می شود.

    پس از آن، لازم است دریابید که در صورت حمله به شی اطلاعات، چگونه آسیب جدی می تواند ایجاد شود. این مرحله به عنوان "محاسبه ریسک" نامیده می شود. خسارت احتمالی حمله، احتمال چنین حمله ای و محصول آنها محاسبه می شود. پاسخ دریافت شده یک خطر احتمالی است.

    در مهم ترین و حیاتی ترین مرحله، توسعه یک سیاست امنیتی سازمانی صورت می گیرد که کامل ترین محافظت را در برابر خطرات احتمالی فراهم می کند. اما باید مشکلاتی را که ممکن است در راه شروع یک سیاست امنیتی به وجود بیاید در نظر گرفت. چنین مشکلاتی شامل قوانین کشور و جامعه بین المللی، استانداردهای اخلاقی، الزامات داخلی سازمان است.

    پس از ایجاد چنین خط مشی امنیت اطلاعات، ارزش اقتصادی آن محاسبه می شود.

    در پایان توسعه، برنامه توسط مدیریت شرکت تایید شده و به طور دقیق مستند شده است. این امر باید با اجرای فعال تمام اجزای مشخص شده در طرح دنبال شود. محاسبه مجدد خطرات و متعاقباً اصلاح خط مشی امنیتی شرکت اغلب هر دو سال یکبار انجام می شود.

    PIB خود در قالب الزامات مستند برای سیستم اطلاعاتی رسمی شده است. سه سطح از این اسناد وجود دارد (که به آنها جزئیات نیز گفته می شود):

    مستندات سطح بالاسیاست های امنیت اطلاعات نشان دهنده جایگاه سازمان نسبت به فعالیت در حوزه امنیت اطلاعات، آمادگی آن برای رعایت الزامات دولتی و بین المللی در این زمینه است. به عنوان مثال، می توان آنها را نام برد: "مفهوم IS"، "IS Policy"، " استاندارد فنی IB» و غیره. اسناد سطح بالا را می توان به دو شکل صادر کرد - برای استفاده خارجی و داخلی.

    اسناد سطح متوسط ​​با جنبه های خاصی از امنیت اطلاعات سروکار دارند. الزامات ایجاد و بهره برداری از ابزارهای امنیت اطلاعات در سمت خاصی از امنیت اطلاعات را شرح می دهد.

    اسناد سطح پایین شامل قوانین و مقررات کار، دستورالعمل های اجرایی، دستورالعمل های عملیاتی برای خدمات امنیت اطلاعات خصوصی است.

    مراحل چرخه زندگیسیستم های اطلاعاتی به دو دسته تقسیم می شوند: برنامه ریزی استراتژیک، تجزیه و تحلیل، طراحی، اجرا، پیاده سازی (شروع) و عملیات. بیایید هر مرحله را با جزئیات در نظر بگیریم:

    1. مرحله اولیه (برنامه ریزی استراتژیک).

    در مرحله اول، محدوده سیستم تعیین می شود و شرایط مرزی تعیین می شود. برای انجام این کار، شناسایی تمام اشیاء خارجی که سیستم توسعه یافته با آنها تعامل خواهد داشت، لازم است تا ماهیت این تعامل مشخص شود. در مرحله برنامه ریزی استراتژیک، تمامی کارکردها تعریف شده و توضیحاتی در مورد مهمترین آنها ارائه شده است.

    2. مرحله شفاف سازی.

    در مرحله پالایش، منطقه کاربردی تجزیه و تحلیل می شود و اساس معماری سیستم اطلاعات در حال توسعه است. لازم است بیشتر کارکردهای سیستم شرح داده شود و ارتباط بین اجزای جداگانه در نظر گرفته شود. در پایان مرحله پالایش، راه حل های معماری و راه های حذف ریسک های پیشرو در برنامه تحلیل می شود.

    3. مرحله طراحی.

    در این مرحله، یک محصول نهایی آماده برای انتقال به کاربر ایجاد می شود. پس از اتمام طراحی، عملکرد نرم افزار حاصل مشخص می شود.

    4. مرحله انتقال به عملیات (شروع).

    مرحله انتقال مستقیم نرم افزار به کاربر است. هنگام استفاده از سیستم توسعه یافته، مشکلات مختلفی اغلب شناسایی می شود که نیاز به کار اضافی و تنظیمات محصول دارد. در پایان این مرحله متوجه می شوند که آیا اهداف تعیین شده برای توسعه دهندگان محقق شده است یا خیر.

    5. از کار انداختن و دفع. در نتیجه این مرحله، داده ها به IS جدید منتقل می شوند.

    هر سیستم اطلاعاتی می تواند تا حد امکان برای 3-7 سال مفید باقی بماند. علاوه بر این، نیاز به ارتقاء دارد. بنابراین، می‌توان نتیجه گرفت که تقریباً هر سازنده با مشکل مدرن‌سازی سیستم‌های اطلاعاتی قدیمی مواجه است.

    برای حل مشکل تامین امنیت اطلاعات استفاده از اقدامات قانونی، سازمانی و نرم افزاری و سخت افزاری حائز اهمیت است. بی توجهی به حداقل یکی از جنبه های این مشکل می تواند منجر به از دست رفتن یا نشت اطلاعات شود که هزینه و نقش آن در زندگی جامعه مدرن روز به روز اهمیت بیشتری پیدا می کند.

    کتابشناسی - فهرست کتب:

    1.V.A. ایگناتیف، امنیت اطلاعات یک شرکت تجاری مدرن / V.A. Ignatiev - M: Stary Oskol: TNT، 2005. - 448 p.

    2. Domarev VV، امنیت فناوری اطلاعات. روش شناسی برای ایجاد سیستم های حفاظتی (فصل 8) / TID Dia Soft / - 2002. [منبع الکترونیکی]. - حالت دسترسی - آدرس اینترنتی: http://www.kpnemo.ws/ebook/2010/08/10/domarev_vv_bezopasnost_informatsionnyih_tehnologiy_metodologiya_sozdaniya_sistem_zaschityi (دسترسی در 15/11/2012)

    3. Zhuk E.I.، مبانی مفهومی امنیت اطلاعات [منبع الکترونیکی] // انتشارات علمی و فنی الکترونیکی "علم و آموزش"، 2010. - شماره 4. - حالت دسترسی. - URL: http://techno-new.developer.stack.net/doc/143237.html (دسترسی در 2012/11/20)

    4.Medvedev N.V.، استانداردها و سیاست امنیت اطلاعات سیستم های خودکار// بولتن MSTU im. N.E. باومن. سر. ابزار دقیق. - 2010. - شماره 1. - S. 103-111.

    5. مبانی امنیت اطلاعات: کتاب درسی / O.A. آکولوف، D.N. بادانین، ای.ای. Zhuk و دیگران - M .: انتشارات MSTU im. N.E. باومن، 2008. - 161 ص.

    6.Filin S.A., Information Security / S.A. جغد. - آلفا پرس، 2006. - 412 ص.

    7.Yarochkin V.I. امنیت اطلاعات: کتاب درسی برای دانشجویان. - ویرایش سوم - M.: پروژه آکادمیک: Triksta، 2005 - 544 p.

    بیشتر بخوانید: