چکیده: امنیت سیستم های اطلاعات شرکت ها. · حوادث فنی. چارچوب قانونی برای حصول اطمینان از حفاظت از اطلاعات از طریق پیاده سازی ایجاد شده است

دانشگاه دولتی بلاروس

کار فارغ التحصیلیتوسط
"مبانی فناوری اطلاعات"

دانشجوی کارشناسی ارشد

گروه های سایبرنتیک

کوزلوفسکی اوگنی

رهبران:

دانشیار آنیچنکو ولادیمیر ویکتورویچ,

هنر معلم کوژیچ پاول پاولوویچ

مینسک - 2008

ERP – سیستم برنامه ریزی منابع سازمانی

MRP II- برنامه ریزی نیاز مواد

MRP II- برنامه ریزی منابع تولید

نرم افزار - نرم افزار

KIS- سیستم های اطلاعات شرکت ها

SVT - امکانات کامپیوتری

NSD - دسترسی غیرمجاز

سیستم های اطلاعاتی شرکت ها به طور محکم وارد زندگی ما شده اند. در دنیای مدرن، تصور یک شرکت با موفقیت در حال توسعه بدون مشارکت چنین سیستمی بسیار دشوار است.

با توجه به اینکه اطلاعات در سیستم های اطلاعات شرکت ها ذخیره می شود که نقض یکپارچگی یا محرمانه بودن آنها می تواند منجر به سقوط کل شرکت شود، موضوع حفاظت از اطلاعات در سیستم های اطلاعاتی شرکت ها حاد است.

این کار چندین هدف دارد. یکی از آنها تجزیه و تحلیل ساختار سیستم های اطلاعات شرکت ها است. بر اساس این تحلیل، طبقه بندی آنها انجام خواهد شد. همچنین یکی از اهداف این کار بررسی مکانیسم های حفاظت از داده ها در کلاس های مختلف سیستم های اطلاعات شرکت ها می باشد. علاوه بر این، هدف بررسی تهدیدات موجود برای سیستم های اطلاعاتی شرکت ها و تجزیه و تحلیل روش هایی برای به حداقل رساندن یا حذف کامل آنها است. در این راستا، مطالعه روش های موجود کنترل دسترسی و تجزیه و تحلیل کاربرد آنها در شرایط خاص انجام خواهد شد.

اصطلاح شرکت از کلمه لاتین گرفته شده است شرکت- اتحاد. اتصال. یک شرکت به انجمنی از شرکت ها اطلاق می شود که تحت کنترل متمرکز و حل مشکلات مشترک فعالیت می کنند. به عنوان یک قاعده، شرکت ها شامل شرکت هایی هستند که در مناطق مختلف و حتی در ایالت های مختلف (شرکت های فراملی) واقع شده اند.

سیستم‌های اطلاعات شرکتی (CIS) سیستم‌های مدیریت یکپارچه برای یک شرکت توزیع‌شده جغرافیایی بر اساس تجزیه و تحلیل عمیق داده‌ها، استفاده گسترده از سیستم‌های پشتیبانی اطلاعات تصمیم‌گیری، مدیریت اسناد الکترونیکی و کارهای اداری هستند.

دلایل پیاده سازی سیستم های اطلاعات شرکتی:

دسترسی سریع به اطلاعات قابل اعتماد و ارائه شده به شکل مناسب؛

ایجاد یک فضای اطلاعاتی واحد؛

ساده سازی ثبت و پردازش داده ها؛

خلاص شدن از ثبت مضاعف داده های مشابه؛

ثبت اطلاعات در زمان واقعی؛

· کاهش هزینه های نیروی کار، توزیع یکنواخت آنها بین همه شرکت کنندگان در سیستم حسابداری، برنامه ریزی و مدیریت.

· اتوماسیون تلفیق داده ها برای یک ساختار سازمانی توزیع شده.

تمام سیستم های اطلاعات شرکت ها را می توان به دو زیر گروه بزرگ تقسیم کرد. یکی از آنها شامل یک سیستم واحد است که بر اساس یک اصل مدولار مونتاژ شده و دارای سطح بالایی از یکپارچگی است. یکی دیگر مجموعه ای از برنامه های کاربردی ناهمگن است، اگرچه با کمک سرویس ها و رابط ها با یکدیگر یکپارچه شده اند.

کلاس اول عمدتاً شامل سیستم های ERP مدرن است.

ERP-system (Eng. Enterprise Resource Planning System - Enterprise Resource Planning System) یک سیستم اطلاعاتی شرکتی است که برای خودکارسازی حسابداری و مدیریت طراحی شده است. به عنوان یک قاعده، سیستم های ERP بر اساس ماژولار ساخته می شوند و تا حدی تمام فرآیندهای کلیدی شرکت را پوشش می دهند.

از لحاظ تاریخی، مفهوم ERP از مفاهیم ساده‌تر MRP (برنامه‌ریزی نیاز مواد) و MRP II (برنامه‌ریزی منابع تولید) تکامل یافته است. ابزارهای نرم افزاری مورد استفاده در سیستم های ERP امکان برنامه ریزی تولید، مدل سازی جریان سفارشات و ارزیابی امکان پیاده سازی آنها در خدمات و بخش های شرکت را فراهم می کند و آن را با فروش مرتبط می کند.

سیستم های ERP بر اساس اصل ایجاد یک انبار داده واحد شامل کلیه اطلاعات تجاری شرکت و دسترسی همزمان به آن توسط هر تعداد مورد نیاز از کارمندان شرکت با اختیارات مناسب استوار است. داده ها از طریق توابع (عملکردی) سیستم تغییر می کنند. وظایف اصلی سیستم های ERP عبارتند از: نگهداری از طراحی و مشخصات فنی که ترکیب محصولات تولید شده و همچنین منابع مادی و عملیات لازم برای ساخت آنها را تعیین می کند. تشکیل برنامه های فروش و تولید؛ برنامه ریزی نیاز به مواد و اجزاء، شرایط و حجم تحویل برای تحقق برنامه تولید؛ مدیریت موجودی و تدارکات: حفظ قراردادها، اجرای خریدهای متمرکز، حصول اطمینان از حسابداری و بهینه سازی موجودی انبار و کارگاه. برنامه ریزی ظرفیت های تولید از برنامه ریزی گسترده تا استفاده از ماشین آلات و تجهیزات فردی؛ مدیریت عملیاتیامور مالی، از جمله تهیه یک برنامه مالی و نظارت بر اجرای آن، حسابداری مالی و مدیریتی. مدیریت پروژه، از جمله زمان‌بندی نقاط عطف و منابع.

آنها معمولا دارای یک هسته متشکل از چندین ماژول کلیدی هستند که بدون آن سیستم نمی تواند کار کند. از جمله، این مجموعه شامل یک سیستم امنیتی است که اکثر عملکردهای مربوط به حفاظت از اطلاعات را در کل سیستم و به طور خاص در هر یک از ماژول های پلاگین بر عهده می گیرد. این رویکرد به چند دلیل بسیار راحت است:

مکانیسم های تضمین محرمانه بودن، یکپارچگی و در دسترس بودن داده ها در چنین سیستمی تا حد امکان یکپارچه هستند. این به مدیران اجازه می‌دهد هنگام پیکربندی ماژول‌های مختلف سیستم از اشتباهاتی که می‌تواند منجر به نقض امنیت شود، اجتناب کنند.

این سیستم از سطح بالایی از تمرکز برخوردار است و به شما امکان می دهد تا به راحتی و با اطمینان حفاظت از یک سیستم اطلاعات شرکت را مدیریت کنید.

مزایای چنین سیستم هایی عبارتند از:

استفاده از یک سیستم ERP به شما امکان می دهد از یک برنامه یکپارچه به جای چندین برنامه متفاوت استفاده کنید.

سیستم تمایز دسترسی به اطلاعات پیاده سازی شده در سیستم های ERP در نظر گرفته شده است (در ترکیب با سایر اقدامات امنیت اطلاعاتشرکت ها) برای مقابله با تهدیدهای خارجی (مثلاً جاسوسی صنعتی) و تهدیدهای داخلی (مثلاً سرقت).

مطالعه دانشگاه های دولتی اتحادیه، عمدتاً دولتی، نشان داد که در خودکارترین حوزه مالی، 42 درصد از آنها یا فقط از برنامه های اداری استفاده می کنند یا به روش قدیمی - کاغذ. اما حتی در جایی که سطح اتوماسیون نسبتاً بالا است، ماژول‌ها معمولاً به هم مرتبط نیستند. و باید حدود ده زیر سیستم وجود داشته باشد: برنامه ریزی مالی، املاک و مستغلات، پروژه، مدیریت کیفیت، گزارش، محیط ابزار و غیره. در طول توسعه هر یک از آنها، طبق محافظه کارانه ترین برآوردها، حدود 25 هزار دلار صرف هزینه های نیروی کار می شود، با توجه به اینکه 25-40٪ از کل هزینه های ایجاد محصول نرم افزاری، تخمین حاصل باید حداقل 2.5-4 برابر افزایش یابد. پشتیبانی از سیستم اجرا شده سالانه 140 تا 240 هزار دلار دیگر هزینه خواهد داشت. بنابراین این تصور که توسعه داخلی ارزان است، توهمی است که در غیاب کنترل های هزینه موثر به وجود می آید.

سیستم های ERP مدرن می توانند کاملاً با موفقیت با کار مؤسسات آموزشی سازگار شوند. با این حال، باید توجه داشت که هنگام پیاده‌سازی چنین سیستم‌هایی، باید برخی ویژگی‌های ذاتی سیستم‌های اطلاعاتی این گونه موسسات را در نظر گرفت.

وجود چندین زیر سیستم تخصصی که وظایف نسبتاً مستقل را حل می کند. داده های استفاده شده توسط هر یک از زیر سیستم ها بسیار تخصصی است. مستقل از سایر کاربردهای سیستم اطلاعاتی به عنوان مثال، در چارچوب یک دانشگاه، می توان زیر سیستم های حسابداری، کتابخانه، بخش تحریریه و انتشارات، برنامه های کاربردی برای پردازش فرآیند آموزشی و غیره را مشخص کرد. از سوی دیگر، همه زیرسیستم ها در یک فضای اطلاعاتی قرار دارند و به هم متصل هستند (یک سیستم واحد از داده های مرجع، نتیجه یک برنامه به عنوان مبنایی برای عملکرد برنامه دیگر عمل می کند و غیره).

الزام به انتشار بخش قابل توجهی از اطلاعات IP، با ارائه رابط هایی برای دسترسی به داده های سیستم اطلاعات شرکت برای کاربران شخص ثالث.

به نظر من سیستم های دسته دوم بسیار بیشتر در معرض شکاف های امنیتی ناشی از خطا در پیکربندی امنیتی برنامه هستند. همانطور که قبلاً اشاره شد، با وجود برخی ادغام آنها، چنین سیستم هایی در واقع مجموعه ای از محصولات مستقل جداگانه هستند. بر این اساس، هر یک از آنها از رویکردهای خاص خود برای اطمینان از یکپارچگی، محرمانه بودن و در دسترس بودن داده ها استفاده می کند و نیاز به پیکربندی جداگانه دارد. اگر این واقعیت را نیز در نظر بگیریم که قطعات چنین سیستمی همیشه با یکدیگر سازگار نیستند، آشکار می شود که برای کار مشترکبرنامه ها گاهی اوقات باید امنیت را قربانی کنند. تمرکززدایی چنین سیستم هایی اغلب به مدیران اجازه نمی دهد تا بر تمایز حقوق دسترسی در سیستم نظارت کنند.

قبل از بررسی آسیب پذیری های یک سیستم اطلاعاتی شرکتی، اجازه دهید چند تعریف را معرفی کنیم.

زیر دسترسی به اطلاعاتبه معنای آشنایی با اطلاعات، پردازش آن، به ویژه کپی کردن، اصلاح یا تخریب اطلاعات است.

بین دسترسی مجاز و غیرمجاز به اطلاعات تمایز قائل شوید.

- این دسترسی به اطلاعاتی است که قوانین تعیین شده کنترل دسترسی را نقض نمی کند.

به منظور تنظیم حقوق دسترسی افراد دسترسی به اشیاء دسترسی دارند.

با نقض قوانین تعیین شده کنترل دسترسی مشخص می شود. شخص یا فرآیندی که دسترسی غیرمجاز به اطلاعات را فراهم می کند، ناقض قوانین کنترل دسترسی است. دسترسی غیرمجاز رایج ترین نوع نقض رایانه است.

حریم خصوصی داده هاوضعیتی است که به داده ها اعطا می شود و درجه حفاظت مورد نیاز را تعیین می کند. اساساً، محرمانه بودن اطلاعات، ویژگی اطلاعاتی است که فقط برای افراد پذیرفته شده و تأیید شده (مجاز) سیستم (کاربران، فرآیندها، برنامه ها) شناخته می شود. برای سایر موضوعات سیستم، این اطلاعات باید ناشناخته باشد.

موضوعجزء فعال سیستم است که می تواند باعث جریان اطلاعات از یک شی به یک موضوع یا تغییر در وضعیت سیستم شود.

یک شی- یک جزء غیرفعال از سیستم که اطلاعات را ذخیره، دریافت یا ارسال می کند. دسترسی به یک شی به معنای دسترسی به اطلاعات موجود در آن است.

تمامیت اطلاعاتدر صورتی ارائه می شود که داده های موجود در سیستم از نظر معنایی با داده های ارائه شده در اسناد منبع تفاوت نداشته باشد، یعنی. مگر اینکه به طور تصادفی یا عمدی دستکاری یا تخریب شده باشند.

تمامیت جزء یا منبعسیستم ویژگی یک جزء یا منبع است که از نظر معنایی تغییر نمی کند، زمانی که سیستم تحت شرایط تحریفات تصادفی یا عمدی یا تأثیرات مخرب کار می کند.

دسترسی جزءیا منبعیک سیستم ویژگی یک جزء یا منبعی است که باید برای افراد مجاز سیستم در دسترس باشد.

زیر تهدید امنیتیسیستم اطلاعات شرکت به تأثیرات احتمالی بر آن اشاره دارد که می تواند به طور مستقیم یا غیرمستقیم به امنیت چنین سیستمی آسیب برساند.

آسیب امنیتیبه معنای نقض وضعیت امنیت اطلاعات موجود و پردازش شده در سیستم های اطلاعات شرکت است. مفهوم آسیب پذیری سیستم های اطلاعاتی شرکت ها ارتباط نزدیکی با مفهوم تهدید امنیتی دارد.

آسیب پذیریسیستم اطلاعات شرکتی ویژگی خاصی از سیستم است که امکان ظهور و اجرای یک تهدید را فراهم می کند.

حمله کنیددر یک سیستم کامپیوتری اقدامی است که توسط مهاجم انجام می شود که شامل یافتن و سوء استفاده از یک یا آن آسیب پذیری سیستم است. بنابراین، یک حمله تحقق یک تهدید امنیتی است.

مقابله با تهدیدات امنیتی هدف حفاظت از سیستم های پردازش اطلاعات است.

بی خطریا سیستم امنیک سیستم با ویژگی های امنیتی است که با موفقیت و به طور موثر با تهدیدات امنیتی مقابله می کند.

مجموعه وسایل حفاظتیمجموعه ای از ابزارهای نرم افزاری و سخت افزاری است که برای تضمین امنیت اطلاعات یک سیستم اطلاعاتی شرکت ایجاد و نگهداری می شود. این مجموعه مطابق با سیاست امنیتی اتخاذ شده توسط سازمان ایجاد و نگهداری می شود.

خط مشی امنیتی- این مجموعه ای از هنجارها، قوانین و توصیه های عملی است که عملکرد ابزارهای محافظت از سیستم اطلاعات شرکت را در برابر مجموعه ای از تهدیدات امنیتی تنظیم می کند.

یک سیستم اطلاعات شرکتی، مانند هر سیستم اطلاعاتی، در معرض تهدیدات امنیتی است. ما این تهدیدها را طبقه بندی می کنیم.

1. نقض محرمانه بودن اطلاعات در سیستم های اطلاعاتی شرکت ها

2. نقض یکپارچگی اطلاعات در سیستم های اطلاعاتی شرکت ها.

3. محرومیت از خدمات برای سیستم های اطلاعات شرکت

بیایید نگاهی دقیق تر به این تهدیدها بیندازیم.

تهدیدهای محرمانه با هدف افشای اطلاعات محرمانه یا طبقه بندی شده است. هنگامی که این تهدیدها اجرا می شوند، اطلاعات برای افرادی که نباید به آن دسترسی داشته باشند، شناخته می شود. از نظر امنیت رایانه، تهدید حریم خصوصی زمانی رخ می دهد که دسترسی غیرمجاز به برخی از اطلاعات اختصاصی ذخیره شده در یک سیستم رایانه ای یا انتقال از یک سیستم به سیستم دیگر به دست آید.

تهدید به نقض یکپارچگی اطلاعات ذخیره شده در یک سیستم کامپیوتری یا انتقال داده شده از طریق یک کانال ارتباطی با هدف تغییر یا تحریف آن، منجر به نقض کیفیت یا تخریب کامل آن می شود. یکپارچگی اطلاعات می تواند عمداً توسط یک مهاجم و همچنین در نتیجه تأثیرات عینی از محیط اطراف سیستم نقض شود. این تهدید به ویژه برای سیستم های انتقال اطلاعات، شبکه های کامپیوتری و سیستم های مخابراتی مرتبط است. نقض عمدی یکپارچگی اطلاعات نباید با تغییر مجاز آن که توسط افراد مجاز برای یک هدف قانونی انجام می شود اشتباه گرفته شود (به عنوان مثال، چنین تغییری اصلاح دوره ای یک پایگاه داده خاص است).

تهدیدات اختلال در عملکرد (انکار خدمات) با هدف ایجاد چنین موقعیت هایی است که برخی اقدامات عمدی یا عملکرد CIS را کاهش می دهد یا دسترسی به برخی از منابع آن را مسدود می کند. به عنوان مثال، اگر یکی از کاربران سیستم درخواست دسترسی به یک سرویس خاص را داشته باشد، و دیگری برای مسدود کردن این دسترسی اقدام کند، اولین کاربر انکار سرویس را دریافت می کند. مسدود کردن دسترسی به یک منبع می تواند دائمی یا موقت باشد.

تهدیدات را می توان بر اساس پارامترهای مختلفی طبقه بندی کرد

با توجه به میزان خسارت وارده:

o محدودیتی که پس از آن شرکت ممکن است ورشکست شود.

o قابل توجه، اما ورشکسته نیست.

o ناچیز، که شرکت می تواند برای مدتی جبران کند.

بر اساس احتمال وقوع:

o تهدید بسیار محتمل؛

o تهدید احتمالی؛

o یک تهدید بعید

به دلایل وقوع:

o بلایای طبیعی؛

o اقدامات عمدی

بر اساس ماهیت آسیب:

o مواد؛

o اخلاقی

بر اساس ماهیت تأثیر:

o فعال؛

o منفعل

در رابطه با شی:

o داخلی؛

o خارجی

منابع تهدید خارجی عبارتند از:

o رقبای بی پروا؛

o گروه ها و تشکل های جنایتکار؛

o افراد و سازمان های دستگاه های اداری و مدیریتی.

منابع تهدیدات داخلی می توانند عبارتند از:

o مدیریت سازمانی؛

o کارکنان؛

o ابزار فنی برای اطمینان از فعالیت های تولید و کار.

نسبت تهدیدات خارجی و داخلی در سطح متوسط ​​را می توان به صورت زیر مشخص کرد:

82% از تهدیدات توسط کارکنان خود شرکت با مشارکت مستقیم یا غیرمستقیم آنها انجام می شود.

17 درصد از تهدیدات از خارج ساخته می شوند - تهدیدات خارجی.

1% از تهدیدات توسط افراد تصادفی انجام می شود.

خطرناک ترین از نقطه نظر میزان خسارت وارد شده در بیشتر موارد دقیقاً نقض محرمانه بودن اطلاعات است. بیایید راه های احتمالی چنین تخلفاتی را در نظر بگیریم.

افشای اقدامات عمدی یا سهل انگارانه همراه با اطلاعات محرمانه است که منجر به آشنایی افرادی با آنها شده است که اجازه دسترسی به آنها را نداشته اند. افشا در ارتباطات، انتقال، ارائه، ارسال، انتشار، ضرر و سایر اشکال مبادله و اقدامات با اطلاعات تجاری و علمی بیان می شود. افشا از طریق کانال های رسمی و غیررسمی انتشار اطلاعات انجام می شود. ارتباطات رسمی شامل جلسات تجاری، جلسات، مذاکرات و اشکال مشابه ارتباطی است: تبادل اسناد رسمی تجاری و علمی از طریق انتقال اطلاعات رسمی (پست، تلفن، تلگراف و غیره). ارتباطات غیررسمی شامل ارتباطات شخصی (جلسات، مکاتبات)، نمایشگاه ها، سمینارها، کنفرانس ها و سایر رویدادهای عمومی و همچنین رسانه ها (مطبوعات، روزنامه ها، مصاحبه ها، رادیو، تلویزیون) است. به عنوان یک قاعده، دلیل افشای اطلاعات محرمانه، آگاهی ناکافی از قوانین حفاظت از اسرار تجاری و سوء تفاهم (یا درک نادرست) از نیاز به رعایت دقیق آنها توسط کارکنان است. در اینجا ذکر این نکته ضروری است که موضوع در این فرآیند منبع (صاحب) اسرار محافظت شده است. باید توجه داشت ویژگی های اطلاعاتیاین اقدام اطلاعات معنی دار، معنی دار، منظم، مستدل، حجیم است و اغلب در زمان واقعی ارائه می شود. اغلب فرصتی برای گفتگو وجود دارد. اطلاعات بر روی یک حوزه موضوعی خاص متمرکز شده و مستند شده است. برای به دست آوردن اطلاعات مورد علاقه یک مهاجم، مهاجم تقریباً حداقل تلاش را صرف می کند و از ابزارهای فنی قانونی ساده (دیکتفون، نظارت تصویری) استفاده می کند.

نشت، انتشار کنترل نشده اطلاعات محرمانه در خارج از سازمان یا حلقه افرادی است که به آنها سپرده شده است.

نشت اطلاعات از طریق کانال های فنی مختلف انجام می شود. شناخته شده است که اطلاعات عموماً توسط انرژی یا ماده منتقل یا منتقل می شود. این یا یک موج صوتی (صدا)، یا تابش الکترومغناطیسی، یا یک ورق کاغذ (متن نوشته شده) و غیره است. با در نظر گرفتن این موضوع، می توان استدلال کرد که از نظر ماهیت فیزیکی، راه های زیر برای انتقال اطلاعات امکان پذیر است: پرتوهای نور، امواج صوتی، امواج الکترومغناطیسی، مواد و مواد. بر این اساس، کانال های نشت اطلاعات به کانال های بصری- نوری، صوتی، الکترومغناطیسی و محسوس طبقه بندی می شوند. کانال نشت اطلاعات معمولاً به عنوان یک مسیر فیزیکی از یک منبع اطلاعات محرمانه به یک مهاجم درک می شود که از طریق آن مهاجم می تواند به اطلاعات محافظت شده دسترسی پیدا کند. برای تشکیل کانال نشت اطلاعات، شرایط مکانی، انرژی و زمانی مشخص و همچنین وجود تجهیزات مناسب برای دریافت، پردازش و رفع اطلاعات در سمت مهاجم مورد نیاز است.

دسترسی غیرمجاز در اختیار داشتن غیرقانونی و عمدی اطلاعات محرمانه توسط شخصی است که حق دسترسی به اسرار محافظت شده را ندارد. دسترسی غیرمجاز به منابع اطلاعات محرمانه اجرا می شود راه های مختلف: از همکاری فعالانه که در تمایل فعال به "فروش" اسرار بیان می شود تا استفاده از ابزارهای مختلف نفوذ به اسرار تجاری. برای اجرای این اقدامات، مهاجم اغلب مجبور است به شی نفوذ کند یا پست های کنترل و نظارت ویژه در نزدیکی آن ایجاد کند - ثابت یا متحرک، مجهز به مدرن ترین وسایل فنی. اگر از یک رویکرد یکپارچه برای تضمین امنیت اطلاعات پیش برویم، چنین تقسیم‌بندی بر حفاظت از اطلاعات، هم در برابر افشا و هم از نشت از طریق کانال‌های فنی و دسترسی غیرمجاز رقبا و متجاوزان به آن تمرکز می‌کند. این رویکرد به طبقه بندی اقداماتی که به سوء استفاده از اطلاعات محرمانه کمک می کند، تطبیق پذیری تهدیدها و تطبیق پذیری اقدامات حفاظتی لازم برای تضمین امنیت اطلاعات جامع را نشان می دهد.

با توجه به موارد فوق، باید در نظر گرفت که چه شرایطی به سوء استفاده از اطلاعات محرمانه کمک می کند.

از نظر آماری این است:

افشای (پرحرفی بیش از حد کارمندان) - 32٪؛

دسترسی غیرمجاز از طریق رشوه و تشویق به همکاری از طرف رقبا و باندهای جنایتکار - 24%؛

عدم کنترل مناسب و شرایط سختگیرانه برای تضمین امنیت اطلاعات در شرکت - 14%;

تبادل سنتی تجربه صنعتی - 12%؛

استفاده کنترل نشده از سیستم های اطلاعاتی - 10%؛

وجود پیش نیاز برای ظهور موقعیت های درگیری در بین کارکنان - 8٪؛

آمار فوق نشان می دهد که آسیب پذیرترین مکان در سیستم امنیتی سیستم اطلاعات شرکت ها، خود کارکنان هستند که به طور داوطلبانه یا غیرارادی مرتکب نقض امنیت سیستم اطلاعاتی می شوند.

با توجه به روش های نفوذ، تمام اقدامات برای به حداقل رساندن تهدیدات به موارد زیر تقسیم می شوند:

حقوقی (قانونی)؛

اخلاقی و اخلاقی؛

اداری؛

فیزیکی؛

سخت افزار و نرم افزار.

اقدامات امنیتی فهرست شده CIS را می توان به عنوان دنباله ای از موانع یا مرزهای حفاظت از اطلاعات در نظر گرفت. برای دستیابی به اطلاعات محافظت شده، باید به طور متوالی بر چندین خط حفاظت غلبه کرد. بیایید آنها را با جزئیات بیشتری در نظر بگیریم.

اولین خط دفاعی که بر سر راه فردی قرار می گیرد که تلاش می کند NSD را به اطلاع رسانی برساند، کاملا قانونی است. این جنبه از حفاظت اطلاعات با نیاز به رعایت مقررات قانونی در انتقال و پردازش اطلاعات همراه است. اقدامات قانونی برای حفاظت از اطلاعات شامل قوانین، فرامین و سایر مقررات در حال اجرا در کشور است که قوانین مربوط به رسیدگی به اطلاعات محدود شده و مسئولیت نقض آنها را تنظیم می کند. با انجام این کار، از استفاده غیرمجاز از اطلاعات جلوگیری می کنند و به عنوان یک عامل بازدارنده برای مزاحمان احتمالی عمل می کنند.

خط دوم دفاعی با اقدامات اخلاقی و اخلاقی شکل می گیرد . لحظه اخلاقی در انطباق با الزامات حفاظتی بسیار است پراهمیت. بسیار مهم است که افرادی که به رایانه دسترسی دارند در فضای اخلاقی و اخلاقی سالم کار کنند.

اقدامات متقابل اخلاقی و اخلاقی شامل انواع هنجارهای رفتاری است که با فراگیر شدن رایانه در کشور به طور سنتی در جامعه ایجاد شده یا در حال توسعه است. در بیشتر موارد، این هنجارها اجباری نیستند، زیرا توسط قانون تأیید شده است، اما عدم رعایت آنها معمولاً منجر به کاهش اعتبار یک فرد، گروهی از افراد یا سازمان می شود. هنجارهای اخلاقی و اخلاقی می توانند نانوشته باشند (مثلاً هنجارهای به رسمیت شناخته شده صداقت، میهن پرستی و غیره) یا در مجموعه ای از قوانین یا مقررات رسمیت داده شوند. به عنوان مثال، آئین نامه رفتار حرفه ای برای اعضای انجمن کاربران رایانه ایالات متحده، اقداماتی غیراخلاقی می داند که به طور عمدی یا غیرعمدی:

نقض کار معمولیسیستم های کامپیوتری؛

ایجاد هزینه های غیر قابل توجیه منابع (زمان رایانه، حافظه، کانال های ارتباطی و غیره)؛

نقض یکپارچگی اطلاعات (ذخیره شده و پردازش شده)؛

نقض منافع سایر کاربران قانونی و غیره

سومین مرز جلوگیری از استفاده غیرمجاز از اطلاعات، اقدامات اداری است. مدیران همه رده ها با در نظر گرفتن هنجارهای قانونی و جنبه های اجتماعی، اقدامات اداری را برای حفاظت از اطلاعات تعیین می کنند.

اقدامات حفاظتی اداری اقدامات سازمانی است. حکومت می کنند:

فرآیندهای عملکرد CIS؛

استفاده از منابع CIS؛

فعالیت های کارکنان آن؛

ترتیب تعامل کاربران با سیستم به منظور جلوگیری یا حذف بیشتر امکان اجرای تهدیدات امنیتی.

اقدامات اداری عبارتند از:

توسعه قوانین برای پردازش اطلاعات در CIS.

مجموعه ای از اقدامات در طراحی و تجهیزات مراکز کامپیوتری و سایر امکانات CIS (با در نظر گرفتن تأثیر عناصر، آتش سوزی، امنیت محل و غیره).

مجموعه ای از اقدامات در انتخاب و آموزش پرسنل (بررسی کارکنان جدید، آشنایی آنها با روش کار با اطلاعات محرمانه، با اقدامات مسئولیت برای نقض قوانین پردازش آن؛ ایجاد شرایطی که تحت آن اجازه سوء استفاده برای پرسنل غیرمنفعت خواهد بود و غیره)؛

سازمان کنترل دسترسی قابل اعتماد؛

سازماندهی حسابداری، ذخیره سازی، استفاده و انهدام اسناد و رسانه های دارای اطلاعات محرمانه؛

توزیع جزئیات کنترل دسترسی (رمزهای عبور، قدرت ها و غیره)؛

سازمان کنترل پنهان بر کار کاربران و پرسنل CIS.

مجموعه ای از اقدامات در طراحی، توسعه، تعمیر و اصلاح تجهیزات و نرم افزار (گواهینامه سخت افزار و نرم افزار مورد استفاده، مجوز دقیق، بررسی و تایید کلیه تغییرات، تایید انطباق با الزامات امنیتی، مستندسازی تغییرات و غیره).

توجه به این نکته حائز اهمیت است که تا زمانی که اقدامات موثر حفاظت اداری از رایانه ها اجرا نشود، بدون شک سایر اقدامات بی نتیجه خواهد بود. اقدامات حفاظتی اداری و سازمانی ممکن است در مقایسه با اقدامات اخلاقی و اخلاقی خسته کننده و معمولی به نظر برسد و در مقایسه با سخت افزار و نرم افزار فاقد ویژگی خاص باشد. با این حال، آنها مانعی قدرتمند در برابر سوء استفاده از اطلاعات و پایگاهی قوی برای سایر سطوح حفاظتی هستند.

مرز چهارم اقدامات حفاظت فیزیکی است . اقدامات حفاظت فیزیکی شامل انواع مختلف دستگاه ها یا سازه های مکانیکی، الکترو- و الکترونیکی- مکانیکی است که به طور ویژه برای ایجاد موانع فیزیکی در مسیرهای احتمالی نفوذ و دسترسی متجاوزان احتمالی به اجزای سیستم و اطلاعات محافظت شده طراحی شده اند.

مرز پنجم حفاظت سخت افزاری و نرم افزاری است . اینها شامل دستگاه های الکترونیکی مختلف و برنامه های ویژه ای است که روش های حفاظتی زیر را به طور مستقل یا در ترکیب با وسایل دیگر اجرا می کنند:

شناسایی (تشخیص) و احراز هویت (احراز هویت) موضوعات (کاربران، فرآیندها) CIS؛

تمایز دسترسی به منابع CIS؛

کنترل یکپارچگی داده ها؛

اطمینان از محرمانه بودن داده ها؛

ثبت و تجزیه و تحلیل رویدادهای رخ داده در CIS؛

رزرو منابع و اجزای CIS.

با توجه به روش اجرا، کلیه اقدامات برای جلوگیری از تهدیدات سیستم اطلاعات شرکت ها را می توان به شرح زیر تقسیم کرد.

Tab. 1. مزایا و معایب اقدامات مختلف برای مبارزه با تهدیدات CIS

متأسفانه کنترل در شکل خالص خود هر چه کمتر قابل اجرا باشد، سیستم اطلاعاتی بزرگتر است. علاوه بر این، بلافاصله این سوال در مورد توصیه جمع آوری این داده ها مطرح می شود، زیرا. پردازش به موقع آنها عملاً غیرممکن است یا این امر مستلزم ایجاد یک بخش جداگانه است که با این کار خاص سروکار دارد. ما نباید فراموش کنیم که بیشتر داده ها برای مدت زمان بسیار کوتاهی مرتبط هستند.

ممنوعیت ابزاری بسیار انعطاف ناپذیر است. ممنوعیت استفاده از رسانه‌های ذخیره‌سازی غیرقابل تغییر می‌تواند مشکلات جدیدی در رابطه با این واقعیت ایجاد کند که نیمی از بخش‌ها از آنها برای برقراری ارتباط با دنیای خارج استفاده می‌کنند: ایمیل محدودیت‌هایی را در اندازه فایل‌های ارسال شده اعمال می‌کند، مقامات مالیاتی گزارش‌های حسابداری را فقط روی دیسکت‌ها می‌پذیرند و غیره. علاوه بر این، ما نباید سؤالی مانند راحتی اولیه کار را فراموش کنیم. کارمندانی که احساس کنترل دائمی بر خود دارند، هنگام کار با کامپیوتر، اینترنت، پست یا مثلاً مکالمات تلفنی با محدودیت های شدید مواجه می شوند، عصبی، تحریک پذیر و نارضایتی در درون خود انباشته می شوند. طبیعتاً دیر یا زود این امر منجر به از دست دادن یک کارمند ارزشمند و یا تمایل کارمند به تلاش برای دور زدن این محدودیت ها و ممنوعیت ها می شود.

از مطالب فوق می توان نتیجه گرفت که کنترل و محدود کردن و قرار دادن همه ممنوعیت های قابل تصور و غیرقابل تصور معنی ندارد. بهتر است دایره افرادی را که بنا به ماهیت کارشان به اطلاعات محرمانه دسترسی دارند، مشخص کرد و سپس سیستم تمایز حقوق دسترسی را به درستی پیکربندی کرد، علیرغم اینکه نگهداری چنین سیستمی نیاز به پیکربندی پر زحمت و نگهداری دقیق دارد.

بنابراین، مشخص می شود که یکی از گام های اصلی در جهت اطمینان از محرمانه بودن اطلاعات، تمایز دسترسی کارکنان به منابع سیستم اطلاعات شرکت است تا دامنه اطلاعات در دسترس یک کارمند خاص را تا حد لازم برای انجام وظایف خود محدود کند.

مرتبط ترین مکانیسم های کنترل دسترسی را در نظر بگیرید.

مدل کنترل دسترسی اختیاری با دو ویژگی تعریف می شود:

همه موضوعات و اشیاء شناسایی می شوند.

حقوق دسترسی افراد به اشیاء سیستم بر اساس برخی از قوانین خارج از سیستم تعیین می شود.

عنصر اصلی سیستم های کنترل دسترسی اختیاری ماتریس دسترسی است. ماتریس دسترسی - اندازه ماتریس \S\ایکس \0\, که ردیف های آن با موضوعات و ستون های آن مطابق با اشیا است. علاوه بر این، هر عنصر از ماتریس دسترسی مبا آرحقوق دسترسی موضوع را تعریف می کند سدر هر شی ای،جایی که R-بسیاری از حقوق دسترسی

هنگام استفاده از مکانیزم کنترل دسترسی اختیاری، الزامات زیر برای آن اعمال می شود:

سیستم حفاظتی باید دسترسی افراد نامگذاری شده (کاربران) به اشیاء نامگذاری شده (فایل ها، برنامه ها، حجم ها و غیره) را کنترل کند.

برای هر جفت (موضوع - شی) در تجهیزات کامپیوتری (SVT)، یک شمارش صریح و بدون ابهام از انواع دسترسی معتبر (خواندن، نوشتن و غیره) باید مشخص شود، یعنی. انواع دسترسی هایی که برای یک موضوع خاص (فرد یا گروهی از افراد) به یک منبع (شیء) CBT خاص مجاز است.

سیستم امنیتی باید دارای مکانیزمی باشد که قوانین کنترل دسترسی اختیاری را اجرا کند.

کنترل دسترسی باید برای هر شی و هر موضوع (یک فرد یا گروهی از افراد برابر) قابل اعمال باشد.

مکانیزمی که اصل اختیاری کنترل دسترسی را اجرا می کند باید امکان تغییرات مجاز در قوانین یا حقوق کنترل دسترسی (AR) را فراهم کند، از جمله امکان تغییرات مجاز در لیست کاربران CVT و لیست اشیاء محافظت شده.

حق تغییر DRP باید به افراد انتخاب شده (اداره، خدمات امنیتی و غیره) اعطا شود.

باید کنترل هایی برای محدود کردن توزیع حقوق دسترسی فراهم شود.

مزایای یک سیاست امنیتی اختیاری شامل اجرای نسبتاً ساده سیستم کنترل دسترسی است. این به دلیل این واقعیت است که اکثر سیستم های رایانه ای در حال حاضر گسترده، اجرای الزامات این سیاست امنیتی خاص را فراهم می کنند.

معایب یک سیاست امنیتی اختیاری شامل ماهیت ایستا قوانین کنترل دسترسی تعریف شده در آن است. این خط مشی امنیتی پویایی تغییرات در وضعیت های یک سیستم کامپیوتری را در نظر نمی گیرد. علاوه بر این، هنگام استفاده از یک سیاست امنیتی اختیاری، این سوال در مورد تعیین قوانین برای توزیع حقوق دسترسی و تجزیه و تحلیل تأثیر آنها بر امنیت یک سیستم رایانه ای مطرح می شود. در حالت کلی، هنگام استفاده از این خط مشی امنیتی، سیستم حفاظتی که هنگام اجازه دسترسی به یک موضوع به یک شی، توسط مجموعه ای از قوانین هدایت می شود، با یک کار الگوریتمی غیرقابل حل روبرو می شود - بررسی اینکه آیا اقدامات آن منجر به نقض امنیت می شود یا خیر.

در عین حال، مدل‌هایی از سیستم‌های کامپیوتری وجود دارد که یک سیاست امنیتی اختیاری را پیاده‌سازی می‌کنند که الگوریتم‌های بررسی امنیتی را ارائه می‌کنند.

با این حال، در حالت کلی، یک سیاست کنترل دسترسی اختیاری اجازه اجرای یک سیستم امنیت اطلاعات واضح و دقیق را در یک سیستم کامپیوتری نمی دهد. این منجر به جستجوی دیگر سیاست‌های امنیتی پیشرفته‌تر می‌شود.

مدل اجباری (معتبر) کنترل دسترسی مبتنی بر کنترل دسترسی اجباری است (کنترل دسترسی اجباری)،که با چهار شرط تعیین می شود:

همه موضوعات و اشیاء سیستم به طور منحصر به فرد شناسایی می شوند.

شبکه ای از سطوح محرمانه بودن اطلاعات داده شده است.

به هر شی از سیستم یک سطح محرمانه اختصاص داده می شود که ارزش اطلاعات موجود در آن را تعیین می کند.

به هر موضوع از سیستم یک سطح دسترسی اختصاص داده می شود که میزان اعتماد به او را در سیستم کامپیوتری مشخص می کند.

هدف اصلی یک سیاست امنیتی اجباری جلوگیری از نشت اطلاعات از اشیاء با سطح دسترسی بالا به اشیاء با سطح پاییندسترسی، یعنی مقابله با ظهور جریان اطلاعات نامطلوب از بالا به پایین در یک سیستم کامپیوتری.

از بسیاری جهات، هدف از توسعه آن رفع نواقص مدل های ماتریسی بود. به اصطلاح مدل های حفاظتی لایه ای توسعه یافته اند. آنها شامل رسمی کردن رویه اختصاص حقوق دسترسی از طریق استفاده از به اصطلاح برچسب‌های محرمانه یا اعتبار تخصیص یافته به موضوعات و اشیاء دسترسی هستند. بنابراین، برای موضوع دسترسی، به عنوان مثال، برچسب ها را می توان مطابق با سطح دسترسی فرد به اطلاعات تعیین کرد، و برای موضوع دسترسی (خود داده ها) - نشانه های محرمانه بودن اطلاعات. ویژگی های محرمانه بودن در برچسب شی ثابت می شود. حقوق دسترسی هر موضوع و ویژگی های حریم خصوصی هر شی به صورت مجموع سطح حریم خصوصی و مجموعه ای از دسته بندی های حریم خصوصی نمایش داده می شود. سطح محرمانگی می‌تواند یکی از مجموعه‌ای از مقادیر ثابت مرتب شده را داشته باشد، به عنوان مثال: محرمانه، محرمانه، محرمانه، طبقه‌بندی نشده و غیره.

اساس پیاده سازی کنترل دسترسی:

مقایسه رسمی بین برچسب موضوعی که درخواست دسترسی کرده و برچسب شیئی که دسترسی به آن درخواست شده است.

تصمیم گیری در مورد اعطای دسترسی بر اساس برخی قوانین که اساس آن مقابله با کاهش سطح محرمانه بودن اطلاعات محافظت شده است.

بنابراین، مدل لایه ای از کاهش عمدی یا تصادفی سطح محرمانه بودن اطلاعات محافظت شده جلوگیری می کند. یعنی این مدل از انتقال اطلاعات از اشیایی با سطح محرمانه بودن بالا و مجموعه محدودی از دسته‌های دسترسی به اشیایی با سطح محرمانگی پایین‌تر و مجموعه وسیع‌تری از دسته‌های دسترسی جلوگیری می‌کند.

الزامات مکانیسم دستور به شرح زیر است:

به هر موضوع و موضوع دسترسی باید برچسب های طبقه بندی اختصاص داده شود که نشان دهنده جایگاه آنها در سلسله مراتب مربوطه (برچسب های حریم خصوصی) باشد. از طریق این برچسب‌ها، سطوح طبقه‌بندی (سطوح آسیب‌پذیری، دسته‌های امنیتی و غیره) باید توسط سوژه‌ها به اشیا اختصاص داده شوند که ترکیبی از دسته‌های سلسله مراتبی و غیر سلسله مراتبی هستند. این برچسب ها باید به عنوان مبنایی برای اصل اجباری کنترل دسترسی عمل کنند.

سیستم امنیتی، زمانی که داده‌های جدید وارد سیستم می‌شود، باید برچسب‌های طبقه‌بندی این داده‌ها را از یک کاربر مجاز درخواست و دریافت کند. هنگامی که یک موضوع جدید مجاز به اضافه شدن به لیست کاربران است، باید علائم طبقه بندی به آن اختصاص داده شود. برچسب‌های طبقه‌بندی خارجی (موضوع، اشیا) باید دقیقاً با برچسب‌های داخلی (در سیستم حفاظتی) مطابقت داشته باشند.

سیستم امنیتی باید اصل کنترل دسترسی اجباری را برای همه اشیا با دسترسی آشکار و پنهان از هر یک از موضوعات اجرا کند:

آزمودنی فقط در صورتی می تواند شی را بخواند که طبقه بندی سلسله مراتبی در سطح طبقه بندی موضوع کمتر از طبقه بندی سلسله مراتبی در سطح طبقه بندی شیء نباشد. در این صورت، مقولات سلسله مراتبی در سطح طبقه بندی موضوع باید شامل تمام مقولات سلسله مراتبی در سطح طبقه بندی شیء باشد;

سوژه فقط در صورتی برای شی می نویسد که سطح طبقه بندی سوژه در طبقه بندی سلسله مراتبی از سطح طبقه بندی شی در طبقه بندی سلسله مراتبی بیشتر نباشد. در این صورت، تمام مقولات سلسله مراتبی در سطح طبقه بندی موضوع باید در دسته بندی های سلسله مراتبی در سطح طبقه بندی شی گنجانده شود.

اجرای DRPهای اجباری باید امکان نگهداری، تغییرات در سطوح طبقه بندی موضوعات و اشیاء را توسط موضوعات انتخاب شده ویژه فراهم کند.

مدیر دسترسی باید در CVT پیاده سازی شود، یعنی. یک وسیله، اولاً، رهگیری همه تماس‌های سوژه‌ها به اشیا، و ثانیاً، محدود کردن دسترسی مطابق با یک اصل معین از حدود دسترسی. در عین حال، تصمیم در مورد مجوز درخواست دسترسی تنها در صورتی باید گرفته شود که به طور همزمان توسط DRPهای اختیاری و اجباری حل و فصل شود. بنابراین، نه تنها یک عمل دسترسی باید کنترل شود، بلکه جریان اطلاعات نیز باید کنترل شود.

تمرین نشان می‌دهد که مدل‌های حفاظتی چندسطحی بسیار نزدیک‌تر از مدل‌های ماتریسی به نیازهای زندگی واقعی هستند و مبنای خوبی برای ساختن هستند. سیستم های خودکارکنترل دسترسی علاوه بر این، از آنجایی که مقوله‌های هم‌سطح به طور جداگانه معادل هستند، برای تشخیص آن‌ها در کنار یک مدل چند سطحی (اجباری)، استفاده از یک مدل ماتریسی الزامی است. با کمک مدل های چند سطحی، می توان به طور قابل توجهی کار مدیریت را ساده کرد. علاوه بر این، این هم مربوط به تنظیم اولیه خط مشی دسترسی محدود است (نیازی به چنین سطح بالایی از جزئیات در تنظیم رابطه موضوع - شی نیست)، و هم شامل گنجاندن اشیاء جدید و موضوعات دسترسی در طرح مدیریت.

مدل مرزبندی جریان اطلاعاتبر اساس تقسیم تمام جریان های اطلاعاتی ممکن بین اشیاء سیستم به دو مجموعه غیر متقاطع است: مجموعه ای از جریان های اطلاعات مطلوب و مجموعه ای از جریان های اطلاعات نامطلوب. هدف از پیاده‌سازی مدل مرزبندی جریان اطلاعات، اطمینان از این است که جریان‌های اطلاعات نامطلوب نمی‌توانند در یک سیستم کامپیوتری رخ دهند.

مدل کنترل جریان اطلاعات در بیشتر موارد در ترکیب با انواع دیگر مکانیسم ها مانند مدل های کنترل دسترسی اختیاری یا اجباری استفاده می شود. پیاده سازی مدل تحدید حدود جریان اطلاعات، به عنوان یک قاعده، یک کار دشوار برای حل در عمل است، به خصوص اگر لازم باشد سیستم کامپیوتری از وقوع جریان های اطلاعاتی نامطلوب در طول زمان محافظت شود.

کنترل دسترسی مبتنی بر نقش تکاملی از سیاست کنترل دسترسی اختیاری است. در عین حال، حقوق دسترسی افراد سیستم به اشیا با در نظر گرفتن ویژگی های کاربرد آنها گروه بندی می شود و نقش ها را تشکیل می دهد.

تنظیم نقش ها به شما این امکان را می دهد که قوانین واضح تر و قابل فهم تری را برای کنترل دسترسی برای کاربران یک سیستم کامپیوتری تعریف کنید. کنترل دسترسی مبتنی بر نقش، اجرای قوانین کنترل دسترسی منعطف را که در حین کارکرد یک سیستم کامپیوتری به صورت پویا تغییر می کنند، ممکن می سازد. بر اساس کنترل دسترسی مبتنی بر نقش، به ویژه، کنترل دسترسی اجباری می تواند اجرا شود.

هدف از پیاده‌سازی مدل محیط نرم‌افزار ایزوله، تعیین ترتیب تعامل امن بین موضوعات سیستم است، که تضمین می‌کند که سیستم حفاظتی نمی‌تواند تحت تأثیر قرار گیرد و پارامترها یا پیکربندی آن اصلاح شود، که می‌تواند منجر به تغییر در سیاست کنترل دسترسی اجرا شده توسط سیستم حفاظتی شود.

مدل سندباکس با جداسازی موجودیت‌های سیستم از یکدیگر و با کنترل تولید موجودیت‌های جدید اجرا می‌شود تا تنها موجودیت‌هایی از یک لیست از پیش تعریف‌شده بتوانند در سیستم فعال شوند. در عین حال، یکپارچگی اشیاء سیستم که بر عملکرد سوژه های فعال شده تأثیر می گذارد باید کنترل شود.

محیط اطلاعات شرکتی دانشگاه دولتی بلاروس شامل چندین ده برنامه و خدمات است که در زمان های مختلف نوشته شده اند. اکثر آنها اشیاء ActiveX و بقیه برنامه های وب هستند. همه آنها در بیشتر موارد مستقل هستند و ابزارهای داخلی برای سازماندهی تعامل ندارند. در این مورد، انتخاب بدیهی الگوی دسترسی است که توسعه مدل اختیاری کنترل دسترسی است. اجرای هر مدل دیگری در شرایط سیستم اطلاعات شرکتی دانشگاه دولتی بلاروس تقریبا غیرممکن است.

تمایز دسترسی به چنین سیستم‌های ناهمگن و ضعیف یکپارچه را می‌توان با تخصیص حقوق کاربر برای دسترسی به برنامه‌های خاص بر اساس عضویت آنها در گروه‌های مناسب روی کنترل‌کننده دامنه و همچنین حقوق اجرای رویه‌های ذخیره‌شده در سرورهای پایگاه داده، که توسط تمام اجزای سیستم اطلاعاتی استفاده می‌شود، ایجاد کرد.

با مقایسه سیستم های ارائه شده می توان گفت که در ERP سیستم مسئولیت کامل احراز هویت و مجوز کاربر را بر عهده می گیرد. علاوه بر احراز هویت سنتی رمز عبور، طیف گسترده ای از مکانیسم های دیگر ارائه شده توسط مدل های مختلف سیستم اطلاعات شرکتی را ارائه می دهد.

سیستم امنیتی یک سیستم اطلاعات ضعیف یکپارچه، رویه های احراز هویت و مجوز را بر ابزارهای داخلی کنترل کننده دامنه مایکروسافت ویندوز تحمیل می کند، که به طور قابل توجهی هزینه عملیات آن را کاهش می دهد و عملکرد به اندازه کافی قابل اعتماد را تضمین می کند. با این حال ، ابزارهای مدیریت کاربر مایکروسافت ویندوز روی چنین استفاده ای متمرکز نیستند ، بنابراین هنگام کنترل توزیع دسترسی کاملاً راحت نیستند ، که بر امنیت سیستم اطلاعات شرکت تأثیر منفی می گذارد.

از مطالب فوق نتیجه می گیرد که برنامه ای که می تواند به طور متمرکز حقوق کاربر را برای دسترسی به برنامه های خاص مدیریت کند، کار مدیران سیستم اطلاعات شرکت BSU را تا حد زیادی ساده می کند و همچنین امکان نظارت دقیق تر بر حقوق کاربر برای دسترسی به داده های برنامه های مختلف را فراهم می کند. که به نوبه خود، بدیهی است که منجر به بهبود قابل توجهی در سیستم امنیتی خواهد شد.

بنابراین، من با وظیفه ایجاد چنین سیستمی مواجه شدم. اجازه دهید با جزئیات بیشتری ویژگی های حل چنین مشکلی را در نظر بگیریم.

هنگام طراحی چنین سیستمی، لازم است برخی از ویژگی های لازم برای آن را در نظر گرفت عملکرد طبیعیهم خود برنامه به طور خاص و هم کل سیستم اطلاعات شرکت به عنوان یک کل.

از آنجایی که سیستم مدیریت کاربر در Windows Active Directory می تواند نه تنها برای دسترسی به منابع سیستم اطلاعات شرکت BSU مورد استفاده قرار گیرد، بنابراین، برنامه باید این را در نظر بگیرد تا کاربران حقوقی را که واقعاً نیاز دارند از دست ندهند و قدرت اضافی دریافت نکنند. برای انجام این کار، سیستم مکانیزمی را برای ذخیره حقوق پیشینی کاربر سازماندهی می کند که نه توسط این سیستم کنترل دسترسی، بلکه با استفاده از ابزارهای Windows Active Directory به او اختصاص داده شده است.

وضعیت مشابهی در بخش مدیریت کاربر در سرورهای SQL ایجاد می شود. با این حال، همانطور که در بالا ذکر شد، مکانیسم برای محدود کردن حقوق دسترسی BSU هنگام دسترسی به منابع سرور SQL بر اساس نقش مبتنی است، به این معنی که نیازی به ذخیره داده‌ها در مورد حقوق دسترسی کاربر به هر یک از اشیاء یک سرور SQL خاص نیست. تمام این داده ها در مجوزهای گروهی روی سرور ذخیره می شوند. بنابراین، کافی است سیستم کنترل دسترسی فقط فیلدهایی مانند نام سرور، نام خود پایگاه داده و همچنین نام نقش کاربر را ذخیره کند.

بیایید نگاهی دقیق تر به سیستم توزیع دسترسی بیندازیم.

این سیستم یک برنامه وب است که با استفاده از ASP.NET 1.1 و با استفاده از سرور پایگاه داده پیاده سازی شده است داده های مایکروسافت SQL Server 2000 SP3.

پایگاه داده شامل جداول زیر است:

· جداول اصلی

o کاربران - شناسه شی کاربر، نام کاربر، ورود به سیستم او و در صورت لزوم اطلاعات متنی اضافی را ذخیره می کند.

o برنامه ها - شناسه برنامه، نام آن و در صورت لزوم، اطلاعات متنی اضافی را ذخیره می کند.

o WinADGroups - شناسه شی گروه، نام آن و در صورت لزوم اطلاعات متنی اضافی را ذخیره می کند.

o SQLGroups - شناسه گروه، نام آن، نام سرور، پایگاه داده و نقش مرتبط با این گروه و در صورت لزوم، اطلاعات متنی اضافی را ذخیره می کند.

میزهای کمکی

o SQLGroups2Apps

o WinGroups2Apps

o UsersPriorSQLGroups

o UsersPriorWinGroups

جداول اصلی داده‌های مربوط به کاربران، برنامه‌ها و گروه‌ها را در کنترل‌کننده دامنه و همچنین نقش‌ها در سرورهای مختلف SQL ذخیره می‌کنند. جداول کمکی روابط چند به چند موجود در سیستم را ارائه می دهند.

جداول با استفاده از چندین روش ذخیره شده قابل دسترسی هستند. استفاده از رویه های ذخیره شده و همچنین پارامترهای SQL می تواند به طور موثر از برنامه در برابر تزریق SQL محافظت کند، که یکی از راه های اصلی هک برنامه های وب با استفاده از پایگاه های داده در زمان های اخیر است. طرح واره پایگاه داده در شکل نشان داده شده است.

این برنامه شامل 8 صفحه aspx برای کنترل دسترسی است. بیایید نگاهی دقیق تر به نحوه عملکرد برنامه بیندازیم.

صفحه WinGroupsAdd.aspx برای افزودن شناسه های گروه به سیستم در کنترل کننده دامنه استفاده می شود. کاربر نام گروه را وارد می کند. این سیستم برای گروه‌ها در کنترل‌کننده دامنه جستجو می‌کند و فهرستی از گروه‌هایی را ارائه می‌کند که از نظر نام مشابه هستند. کاربر انتخاب می کند گروه مورد نظر، در صورت لزوم توضیحات متنی این گروه را وارد کرده و دکمه ذخیره را فشار می دهد. داده های گروه در پایگاه داده برنامه ذخیره می شود.

با استفاده از صفحه WinGroupsEdit.aspx، کاربر می تواند اطلاعات وارد شده قبلی در مورد گروه، یعنی توضیحات متنی آن را ویرایش کند. دکمه حذف تمام اطلاعات مربوط به گروه را در سیستم حذف می کند و همچنین مکانیزمی برای حذف کاربران از این یکی ایجاد می کند، به شرطی که توسط این سیستم در آنجا اضافه شده باشند. جدول UserPriorWinGroups برای تایید استفاده می شود.

صفحه SQLGroupsAdd.aspx برای افزودن داده ها به سیستم برای استفاده از گروه ها در SQL Server استفاده می شود. کاربر نام سرور، نام پایگاه داده و نقش را در پایگاه داده مربوطه وارد می کند. در صورت لزوم کاربر توضیحات متنی این گروه را وارد کرده و دکمه ذخیره را فشار می دهد. داده های گروه در پایگاه داده برنامه ذخیره می شود.

با استفاده از صفحه SQLGroupsEdit.aspx، کاربر می تواند اطلاعات وارد شده قبلی در مورد گروه، یعنی توضیحات متنی آن را ویرایش کند. بقیه فیلدها قابل ویرایش نیستند زیرا چنین تغییراتی نیاز به ایجاد یک گروه کاربری جدید دارد. دکمه حذف تمام اطلاعات مربوط به گروه را در سیستم حذف می کند و همچنین مکانیزمی برای حذف کاربران از این یکی ایجاد می کند، به شرطی که توسط این سیستم در آنجا اضافه شده باشند. جدول UserPriorSQLGroups برای تایید استفاده می شود.

صفحه ApplicationAdd.aspx برای افزودن برنامه های کاربردی به سیستم استفاده می شود. در این صفحه کاربر می تواند نام اپلیکیشن، توضیحات متنی آن را وارد کرده و همچنین گروه های لازم برای کار با این اپلیکیشن را هم در سرورهای SQL و هم روی دامین کنترلر انتخاب کند. انتخاب از لیست های مربوط به گروه های موجود در پایگاه داده سیستم انجام می شود. دکمه ذخیره داده های مربوطه را در سیستم به خاطر می آورد و دکمه لغو بدون انجام هیچ کاری شما را به همان صفحه باز می گرداند. فقط تمام داده های وارد شده را پاک می کند.

با استفاده از ApplicationEdit.aspx می توانید توضیحات برنامه و همچنین مجموعه گروه های مورد نیاز برای استفاده از آن را تغییر دهید. وقتی روی دکمه ذخیره کلیک می کنید. این سیستم داده های موجود در پایگاه داده خود را به روز می کند و همچنین حقوق کاربرانی را که به این برنامه دسترسی دارند تغییر می دهد.

صفحه UserAdd.aspx برای افزودن کاربران به سیستم است. این فرآیند به شرح زیر انجام می شود. کاربر تمام یا بخشی از نام کاربری را برای اضافه شدن به سیستم وارد می کند. جستجو در کنترل کننده دامنه انجام می شود. پس از آن، لیستی از گزینه های نام کاربری مناسب به کاربر داده می شود. کاربر دامنه مورد نظر انتخاب شده و اپلیکیشن های لازم برای آن انتخاب می شود. دکمه ذخیره داده های مربوطه را در سیستم به خاطر می آورد و دکمه لغو بدون انجام هیچ کاری شما را به همان صفحه باز می گرداند. فقط تمام داده های وارد شده را پاک می کند.

با استفاده از UserEdit.aspx، کاربر می تواند حقوق دسترسی به برنامه های خاص را اضافه یا حذف کند و همچنین کاربر را از پایگاه داده برنامه حذف کند.

این مقاله سیستم های اطلاعات شرکت ها را تجزیه و تحلیل می کند: ساختار و مکانیسم های امنیتی آنها. تمام سیستم های اطلاعات شرکت ها به 2 کلاس تقسیم می شوند: سیستم های بسیار یکپارچه، که نمایندگان برجسته آن سیستم های ERP هستند، و همچنین سیستم های ضعیف یکپارچه ساخته شده از چندین ده مجزا، گاهی اوقات کاملاً. برنامه های کاربردی مرتبط. کنترل دسترسی در اکثریت قریب به اتفاق آنها بر اساس یک مدل اختیاری مبتنی بر نقش از تمایز حقوق کاربر با کنترل دسترسی متمرکز ساخته شده است.

تجزیه و تحلیل تهدیدات موجود برای سیستم های اطلاعاتی شرکت ها و همچنین راه های جلوگیری از آنها انجام شد. آمارها نشان می دهد که مشکل اصلی امروز ما مشکل حفاظت از اقدامات سهل انگارانه یا مجرمانه کارکنان شرکت ها است. روش های محافظت در برابر چنین اقداماتی تجزیه و تحلیل می شود که اصلی ترین آنها روش محدود کردن دسترسی کاربر به سیستم اطلاعات شرکت است.

مطالعه روش های موجود کنترل دسترسی و تجزیه و تحلیل کاربرد آنها در شرایط خاص انجام شد. مناسب ترین روش برای سازماندهی کنترل دسترسی به شرکت ها منابع اطلاعاتدانشگاه دولتی بلاروس بر اساس آن، برنامه ای ساخته شد که به شما امکان می دهد دسترسی کاربر به منابع این سیستم اطلاعات شرکتی را مدیریت کنید. ارتباط بین برنامه ها، سیستم های مدیریت پایگاه داده و اشیاء Active Directory را فراهم می کند. سیستم توسعه یافته به شما امکان می دهد دسترسی به برنامه های کاربردی ناهمگن را در سطح جهانی مدیریت کنید. یک سیستم کنترل دسترسی انعطاف پذیر به شما امکان می دهد بر روی توسعه برنامه های کاربردی جدید تمرکز کنید و از مدیریت برنامه های از قبل نوشته شده بدون ایجاد هیچ تغییری در کد آنها پشتیبانی می کند.

1. Malyuk A. A. امنیت اطلاعات: مبانی مفهومی و روش شناختی حفاظت از اطلاعات. مسکو: Hot Line-Telecom، 2004.

2. Belov E.B. لوس وی.پی. مبانی امنیت اطلاعات مسکو: Hot Line-Telecom، 2006.

3. Romanets Yu.V. تیموفیف P.A. حفاظت از اطلاعات در سیستم ها و شبکه های کامپیوتری. مسکو: رادیو و ارتباطات 2001.

4. Yarochkin V.I. - کتاب درسی امنیت اطلاعات برای دانشجویان. - م.: پروژه آکادمیک; گاوداموس

5 نوئل سیمپسون دسترسی و دستکاری اکتیو دایرکتوری با ASP. خالص.

6. جو کاپلان، رایان دان. راهنمای برنامه نویس دات نت برای برنامه نویسی خدمات دایرکتوری (سری توسعه دات نت مایکروسافت)

7. متیو مک دونالد. شروع ASP.NET 1.1 در سی شارپ: از مبتدی تا حرفه ای (از مبتدی تا حرفه ای).

8. Hank Meyne، Scott Davis در حال توسعه برنامه های کاربردی وب با ASP.NET و C#.

9. Robin Duson SQL Server 2000. برنامه نویسی. مسکو: بینوم، 2003.

10. P. Shumakov ADO.NET و ایجاد برنامه های پایگاه داده در محیط Microsoft Visual Studio.NET Moscow: Dialogue-MEPhI, 2004

اکتیو دایرکتوری...................................................................................................................................................................... 31 , 36

ERP...................................................................................................................................................................... 3 , 5 , 6 , 7 , 8 , 30 , 35 , 39

MRP................................................................................................................................................................................................ 3 , 6

حمله کنید ............................................................................................................................................................................................... 11

دسترسی .................................................................................................................................................................................. 10

مجموعه وسایل حفاظتی .......................................................................................................................................................... 11

حریم خصوصی داده ها ......................................................................................................................................................... 9

دسترسی غیرمجاز به اطلاعات ............................................................................................................................... 9

یک شی ............................................................................................................................................................................................. 10

خط مشی امنیتی ................................................................................................................................................................ 11

قوانین کنترل دسترسی .................................................................................................................................................... 9

دسترسی مجاز به اطلاعات ................................................................................................................................... 9

موضوع ............................................................................................................................................................................................ 10

آسیب امنیتی ...................................................................................................................................................................... 10

آسیب پذیری ..................................................................................................................................................................................... 10

تمامیت ............................................................................................................................................................................ 10, 12

1. http://xakep.ru یکی از پیشرفته‌ترین سایت‌های روسی است که به تجزیه و تحلیل آسیب‌پذیری‌ها در سیستم‌های اطلاعاتی، سوء استفاده‌های آن‌ها، راه‌های ممکن برای هک کردن سیستم‌ها و محافظت از آن‌ها اختصاص دارد.

2. http://www.webxakep.ru - این سایت به هک کردن سیستم های اطلاعاتی و همچنین اقداماتی برای محافظت در برابر حملات اختصاص دارد.

3. http://msdn.microsoft.com - این سایت برای توسعه دهندگان متمرکز بر راه حل های فناوری مایکروسافت طراحی شده است، شامل اسناد محصولات این شرکت، نمونه کد، مقالات فنی، مرجع و مواد آموزشی، بیشتر آخرین به روزرسانی ها، افزونه ها، آخرین اخبار، انجمن مشترکین.

4. http://microsoft.com - وب سایت خود مایکروسافت

5. http://sdn.sap.com/ پورتالی برای توسعه دهندگان است که بر راه حل های فناوری SAP، رهبر جهانی در بازار ERP و محصولات سازمانی متمرکز شده است. منبع اصلی اینترنتی اختصاص داده شده به همه چیز مربوط به منابع اطلاعاتی SAP

اسلاید 1 - اسلاید عنوان اسلاید 2 مقدمه. اهداف.

اسلاید 3 - مفهوم CIS اسلاید 4 - طبقه بندی CIS

اسلاید 5 - طبقه بندی تهدیدات اسلاید 6 - طبقه بندی تهدیدها

اسلاید 7 - منابع تهدید اسلاید 8 - اقدامات برای جلوگیری از تهدیدات

اسلاید 9 - اقدامات برای مبارزه با تهدیدات اسلاید 10 - مکانیسم های کنترل دسترسی

اسلاید 11 - EIS BSU اسلاید 12 - مدل پایگاه داده برای سیستم توسعه یافته

اسلاید 13 - نسخه ی نمایشی برنامه اسلاید 14 - نتیجه گیری

1. آفاناسیف، دی. آفیس XP/ دی. آفناسیف، اس. باریچف، او. پلوتنیکوف. - م.: Kudits-Obraz، 2002. - 344 ص.

2. آخمتوف، K.S. مقدمه ای بر Microsoft Windows XP / K.S. آخمتوف. - M.: نسخه روسی، 2001. - 210 ص.

3. بات، اد. ویندوز XP / E. Bott، K. Sichert. - پیتر، 2006. - 1068s.

4. Willett، E. Office XP. کتاب مقدس کاربر / E. Willett; [ترانس. از انگلیسی. Derieva E.N. و دیگران]، 2002. - 843 ص.

5. Seiden, M. Word 2000 / M. Seiden. - م.: آزمایشگاه. دانش پایه، 2000. - 336 ص.

6. کایمین، وی. انفورماتیک: کارگاه آموزشی کامپیوتر: آموزش/ V.A. کایمین، بی.س. کاسایف; Infra-M. - M، 2001. - 215c.

7. کیشیک، ع.ن. آفیس xp. آموزش موثر: سریع ... آسان ... واضح. / ع.ن. کیشیک. – م.: 2002. – 426 ص.

8. کوستوف، A.V. همه چیز درباره کامپیوتر شخصی: دایره المعارف بزرگ/ A.V. کوستوف، V.M. کوستوف - م.: مارتین، 2004. - 718 ص.

9. کوتسیوبینسکی، A.O. Microsoft Office XP: آخرین نسخه برنامه ها / A.O. کوتسیوبینسکی. - م.: پیروزی، 2001. - 469 ص.

10. کوتسیوبینسکی، A.O. گلچین کار روی کامپیوتر: کتاب درسی. کمک هزینه / A.O. کوتسیوبینسکی، A.O. گروشف. - م.: پیروزی، 2003. - 496 ص.

11. Krupnik، A. جستجوی اینترنتی / A. Krupnik. - سنت پترزبورگ: پیتر، 2001. - 209 ص.

12. کروپسکی، آ.یو. ویرایشگر متن مایکروسافت ورد. صفحات گسترده مایکروسافت اکسل: آموزش / A.Yu. کروپسکی، N.A. فئوکتیستوف; وزارت آموزش و پرورش Ros. فدراسیون، مسکو حالت in-t و شرکتی سابق. M.: Dashkov and K. - M., 2004. - 135 p.

13. Levin A. آموزش مختصر کار با کامپیوتر / A. Levin. - M.: انتشارات A. Levin، 2001.

14. لوکوویچ، O.A. مبانی سواد کامپیوتر / O. A. Levkovich, E. S. Shelkoplyasov, T. N. Shelkoplyasova. - Minsk: TetraSystems، 2004. - 528 p.

15. لوزوفسکی، ال.ش. اینترنت جالب است! / ل.ش. لوزوفسکی، L.A. راتنوفسکی. - M.: Infra-M، 2000.

16. ماکاروا، N.V. انفورماتیک: کارگاه فناوری کامپیوتر: کتاب درسی. کمک هزینه / N.V. ماکاروا [و دیگران]؛ ویرایش N.V. ماکاروا. - م.: امور مالی و آمار، 2000. - 255 ص.

17. اولیفر، وی.جی. شبکه های کامپیوتر. اصول، فناوری ها، پروتکل ها / V.G. اولیفر، N.A. اولیفر. - سن پترزبورگ: پیتر، 2000.

18. پوپوف، وی.بی. مبانی فناوری رایانه: مطالعات. کمک هزینه / V.B. پوپوف امور مالی و آمار. - م.، 2002. - 703 ص.

19. Perepelkin، V. کاربر کامپیوتر شخصی. دوره مدرن / V. Perepelkin. - Rostov n / D: Phoenix, 2002. - 703 p.

20. سنگ، M.D. کامپیوتر شما مشکلات و راه حل ها / M.D. استون، پی آلفرد. - م.: اقتصاد، 2001.

21. Yakushina، E. ما اینترنت را مطالعه می کنیم، یک صفحه وب ایجاد می کنیم / E. Yakushina. - سن پترزبورگ: پیتر، 2001.

22. آموزش HTML برای Dummies [منبع الکترونیکی] / پورتال Postroyka.ru. M.، 2007. - حالت دسترسی: http://www.postroika.ru/html/content2.html. – تاریخ دسترسی: 21.09.2008.

23. کمیسیون عالی گواهی جمهوری بلاروس [منبع الکترونیکی] / HAC بلاروس. - Minsk, 2007. - حالت دسترسی: http://vak.org.by/ - تاریخ دسترسی: 18/11/2008.

در آینده نزدیک، افزایش تعداد سیستم‌های اطلاعات شرکت‌ها پیش‌بینی می‌شود، زیرا رهبری کشور مسیر شکل‌گیری را طی کرده است. اقتصاد دیجیتالبا تمرکز بر ارتقای کارایی کلیه صنایع از طریق استفاده از فناوری اطلاعات 1، به این معنی که نیاز به حفاظت از اطلاعات پردازش شده در آنها نیز افزایش می یابد.

کنستانتین ساماتوف
رئیس اداره حفاظت اطلاعات TFOMS
منطقه Sverdlovsk، عضو انجمن رهبران
خدمات امنیت اطلاعات، مدرس
امنیت اطلاعات آنها را URTK کنید. مانند. پوپووا

مفاهیم اساسی

مفهوم "سیستم اطلاعات شرکت" (CIS) در هنر موجود است. 2 قانون فدرال 6 آوریل 2011 شماره 63-FZ "در مورد امضای الکترونیکی". CIS به عنوان یک سیستم اطلاعاتی درک می شود، شرکت کنندگان در تعامل الکترونیکی که در آن حلقه خاصی از افراد را تشکیل می دهند. در عین حال، دایره افراد شرکت کننده در تبادل اطلاعات می توانند نه تنها زیرمجموعه های ساختاری سازمان - اپراتور CIS، بلکه طرفین آن نیز باشند. نکته اصلی این است که ترکیب و تعداد شرکت کنندگان کاملاً تعریف شده است.

اپراتور سامانه اطلاعاتی شهروند یا وجود، موجودیتکسانی که درگیر عملیات یک سیستم اطلاعاتی، از جمله پردازش اطلاعات موجود در پایگاه های داده آن هستند (ماده 2 قانون فدرال 27 ژوئیه 2006 شماره 149-FZ "در مورد اطلاعات، فناوری های اطلاعات و حفاظت از اطلاعات").

سیستم اطلاعاتی به عنوان مجموعه ای از اطلاعات موجود در پایگاه داده ها و فناوری های اطلاعاتی و ابزارهای فنی است که پردازش آن را تضمین می کند (ماده 2 قانون فدرال 27 ژوئیه 2006 شماره 149-FZ "در مورد اطلاعات، فناوری های اطلاعات و حفاظت از اطلاعات"). بنابراین لازم است موضوع حفاظت از اطلاعات در CIS از تعریف اینکه چه اطلاعاتی مشمول حفاظت هستند، مورد توجه قرار گیرد.

اطلاعاتی که باید در سیستم اطلاعات شرکت محافظت شود

قانون فعلی اطلاعات را به دو نوع تقسیم می کند: اطلاعات عمومی و اطلاعات دسترسی محدود(بخش 2، ماده 5 قانون فدرال 27 ژوئیه 2006 شماره 149-FZ "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات"). اطلاعات دسترسی محدود را می توان به دو گروه بزرگ تقسیم کرد - این یک راز و اطلاعات دولتی است ماهیت محرمانه.

اسرار دولتی - اطلاعات محافظت شده توسط دولت در زمینه فعالیت های نظامی، سیاست خارجی، اقتصادی، اطلاعاتی، ضد جاسوسی و عملیات جستجویی، که انتشار آنها ممکن است به امنیت فدراسیون روسیه آسیب برساند (ماده 2 قانون فدراسیون روسیه 21 ژوئیه 1993 شماره 5485-1 "در مورد اسرار دولتی"). بر اساس رویه نویسنده، می توان گفت که با این دسته از اطلاعات، قاعدتاً کمترین مشکل (در مقایسه با انواع دیگر اسرار) وجود دارد. لیست اطلاعات مشخص شده مشخص است. ترتیب پردازش به شدت تنظیم می شود. قبل از پردازش اطلاعاتی که یک راز دولتی است، یک سازمان باید مجوز مناسب را دریافت کند. تحریم ها برای نقض دستور پردازش سخت است. علاوه بر این، تعداد افراد دارای چنین اطلاعاتی کم است.

اطلاعات محرمانه شامل حدود 50 نوع اسرار است که رایج ترین آنها اسرار تجاری و اسرار شخصی (خانوادگی) است که تنوعی از آنها داده های شخصی است.

اطلاعات شخصی در کشورهای مستقل مشترک المنافع تقریبا همیشه وجود دارد. به ویژه، هر سازمانی که حداقل یک کارمند یا مشخصات گذرنامه حداقل یک مشتری را داشته باشد، به مفهوم قانون فدرال شماره 152-FZ مورخ 27 ژوئیه 2006 "در مورد داده های شخصی"، اپراتور داده های شخصی خواهد بود. یعنی اگر داده‌های مشتری در یک سیستم CRM شرکتی پردازش شود (مثلاً نام کامل و آدرس تحویل) یا این داده‌ها در یک فایل MS Excel در یک ایستگاه کاری باشد، می‌توان با اطمینان گفت که داده‌های شخصی در CIS پردازش می‌شوند و بنابراین، سازمان موظف است الزامات حفاظت از آنها را رعایت کند. در عمل، رهبران اکثر سازمان‌ها این موضوع را درک نمی‌کنند و معتقدند که داده‌های شخصی را پردازش نمی‌کنند و بنابراین قبل از وقوع هر حادثه‌ای اقداماتی برای محافظت از اطلاعات انجام نمی‌دهند.

علاوه بر داده‌های شخصی، تقریباً هر CIS حاوی اطلاعاتی است که به دلیل ناشناخته بودن آن برای اشخاص ثالث، دارای ارزش واقعی یا بالقوه است، افشا یا انتقال کنترل‌نشده که سازمان به دنبال اجتناب از آن است (راز تجاری). در عمل، چنین وضعیتی زمانی رایج است که فهرست این اطلاعات منحصراً در ذهن رئیس یا صاحب سازمان باشد.

نکته کلیدی آموزش پرسنل در قوانین امنیت اطلاعات است که باید در فواصل زمانی منظم انجام شود.

با توجه به موارد فوق، موضوع اتخاذ مجموعه ای از اقدامات در سازمان برای حفاظت از اطلاعات پردازش شده در سیستم اطلاعات شرکت مربوط می شود.

اقدامات حفاظت از اطلاعات در سیستم اطلاعات شرکت

سه گروه اصلی از اقدامات وجود دارد:

1. سازمانی (سازمانی و قانونی). تهیه اسناد سازمانی و اداری در مورد مسائل امنیت اطلاعات: دستورالعمل ها، مقررات، دستورات، دستورالعمل ها. هدف ساده کردن فرآیندهای تجاری و مطابقت با الزامات مقررات داخلی و خارجی است (به اصطلاح "انطباق"، "امنیت کاغذی"). این نوعاقدامات را می توان اصلی نامید، زیرا:

• رژیم اسرار تجاری منحصراً با اتخاذ اقدامات سازمانی ذکر شده در قسمت 1 هنر ایجاد می شود. 5 قانون فدرال 29 ژوئیه 2004 شماره 98-FZ "در مورد اسرار تجاری"؛
• در مورد داده های شخصی، هدف اصلی حفاظت از داده های شخصی امروزه اغلب گذراندن موفقیت آمیز چک ها توسط به اصطلاح "تنظیم کننده ها" است (Roskomnadzor، FSTEC روسیه، FSB روسیه).

از این رو اصطلاح امنیت کاغذی در بین متخصصان امنیتی رایج شده است.

تقریباً در هر CIS اطلاعاتی وجود دارد که به دلیل ناشناخته بودن آن برای اشخاص ثالث دارای ارزش واقعی یا بالقوه است که سازمان از افشای یا انتقال کنترل نشده آن جلوگیری می کند (راز تجاری). در عمل، چنین وضعیتی زمانی رایج است که فهرست این اطلاعات منحصراً در ذهن رئیس یا صاحب سازمان باشد.
بنابراین، اغلب کارکنان به طور ناخواسته اطلاعات ذخیره شده در CIS را منتقل می کنند (به شرکت کننده تبادل اطلاعات که برای او در نظر گرفته نشده می فرستد) یا آن را افشا می کند (آن را در حوزه عمومی قرار می دهد). در عین حال ، در صورت عدم وجود لیست تأیید شده اطلاعاتی که یک راز تجاری را تشکیل می دهد ، نمی توان کارمند را به دلیل ارتکاب این اقدامات به مسئولیت انضباطی متهم کرد.

2. اقدامات فنی. حفاظت فنی اطلاعات شامل چهار گروه از اقدامات است:

1. حفاظت فنی و مهندسی هدف آن محافظت در برابر نفوذ فیزیکی نفوذگر به اشیایی است که وسایل فنی CIS در آن قرار دارد (ایستگاه های کاری خودکار، سرورها و غیره). حفاظت در برابر نفوذ با استفاده از سازه های مهندسی به دست می آید: نرده ها، درها، قفل ها، گردان ها، آلارم ها، نظارت تصویری و غیره.
2. محافظت در برابر دسترسی غیرمجاز به اطلاعات. هدف این گروه از اقدامات جلوگیری از دسترسی غیرمجاز به طور مستقیم به پردازش شده ترین اطلاعات در سیستم اطلاعاتی است. از طریق فعالیت های زیر اجرا می شود:
   • کنترل دسترسی (رمزهای عبور، تخصیص قدرت)؛
   • ثبت نام و حسابداری (ورود به سیستم)؛
   • فایروال;
   • محافظت در برابر ویروس؛
   • استفاده از ابزارهای تشخیص (پیشگیری) نفوذ.
3. محافظت در برابر نشت از طریق کانال های فنی. هدف محافظت از اطلاعات از نشت از طریق کانال های فنی (بصری، شنیداری، جانبی) است تابش الکترومغناطیسی) در فرآیند پردازش اطلاعات در CIS. با استفاده از اقدامات زیر اجرا می شود:
   • تجهیزات پنجره با پرده (پرده)؛
   • استفاده از وسایل حفاظتی در برابر نشت از طریق کانال های صوتی، به اصطلاح پارازیت های ارتعاشی.
   • استفاده از فیلترهای مخصوص برای محافظت در برابر تشعشعات الکترومغناطیسی جانبی و تداخل. با این حال، این اقدامات در عمل فقط برای سیستم های اطلاعات دولتی یا سیستم های اطلاعاتی که در آنها اسرار دولتی پردازش می شود ضروری است.
4. حفاظت رمزنگاری از اطلاعات استفاده از ابزارهای حفاظت از اطلاعات رمزنگاری در سال های اخیر شتاب بسیار زیادی به دست آورده است که عمدتاً به دلیل توسعه فعال سیستم های مدیریت اسناد الکترونیکی شرکت ها و استفاده از امضای الکترونیکی در آنها به عنوان مکانیزمی برای اطمینان از یکپارچگی اطلاعات است. در عمل، مکانیسم های تبدیل رمزنگاری اطلاعات برای اطمینان از محرمانه بودن اطلاعات ذخیره شده در پایگاه های داده یا ایستگاه های کاری و همچنین برای محافظت از اطلاعات در فرآیند تبادل اطلاعات (در حین انتقال) استفاده می شود. در واقع، تنها با استفاده از تبدیل رمزنگاری، می توان به طور کامل شبکه های VPN (شبکه خصوصی مجازی) را ساخت.

3. اقدامات اخلاقی و اخلاقی برای جلوگیری یا حداقل به حداقل رساندن افشای اطلاعات محدود شده توسط کاربران CIS طراحی شده است.

بر اساس مطالعات مختلف، تعداد نشت اطلاعات از کارمندان بین 80 تا 95٪ است، در حالی که اکثریت قریب به اتفاق - حدود 90٪ از نشت ها - مربوط به اقدامات عمدی نیستند.

اقدامات اخلاقی و اخلاقی با امنیت پرسنل پیوند ناگسستنی دارد و استخدام پرسنل واجد شرایط، اقدامات کنترلی، شرح وظایف دقیق، آموزش کارکنان، کنترل دسترسی دقیق و امنیت در صورت اخراج کارکنان را فراهم می کند. به گفته نویسنده، نکته کلیدی آموزش پرسنل در قوانین امنیت اطلاعات است که باید در فواصل زمانی منظم انجام شود. بنابراین ، به ویژه ، نویسنده سالانه دستوری را تهیه می کند که آموزش فصلی کارکنان سازمانی را که در آن کار می کند ارائه می دهد.

علاوه بر این، برای جلوگیری از نشت اطلاعات از پرسنل از طریق کانال‌های ارتباطی (ایمیل، پیام‌رسان‌های فوری، شبکه‌های اجتماعی)، یک کلاس کامل از سیستم‌های حفاظت اطلاعات به نام «سیستم‌های DLP» (حفاظت از دست دادن (نشت) اطلاعات (پیشگیری)، که عموماً به عنوان «سیستم‌های پیشگیری از نشت» نامیده می‌شود، وجود دارد. نه تنها نظارت و مسدود کردن کانال های ارتباط الکترونیکی، بلکه نظارت بر فعالیت کاربر، که به شما امکان می دهد کارمندانی را که به طور ناکارآمد استفاده می کنند شناسایی کنید. زمان کاری: دیر سر کار می آیند و زودتر می روند، در شبکه های اجتماعی «می نشینند»، بازی رایانه ای می کنند، برای خودشان کار می کنند.

یکی دیگر از روندها در موضوع امنیت پرسنل، که چند ماه پیش ظاهر شد، سیستم هایی برای نظارت و تشخیص رفتار غیرعادی کاربر - تحلیل رفتار کاربر و نهاد (UEBA) است. این سیستم ها برای تجزیه و تحلیل رفتار کاربر و شناسایی تهدیدهای واقعی برای پرسنل و امنیت اطلاعات طراحی شده اند.

بنابراین، در اکثریت قریب به اتفاق سیستم های اطلاعات شرکت ها، داده های شخصی و اسرار تجاری پردازش می شوند و بر این اساس، همه آنها نیاز به حفاظت دارند. تقریباً همیشه، به ویژه در بخش تجاری، مسائل امنیت اطلاعات با راحتی کارمندان و تأمین مالی این فعالیت ها در تضاد است. در اثر، نویسنده در نظر گرفته است حداقل مجموعهاقدامات با هدف حفاظت از اطلاعات در هر CIS. این فهرست اقدامات به دانش منحصر به فردی نیاز ندارد و تقریباً برای هر متخصص در زمینه فناوری اطلاعات برای کاربرد عملی در دسترس است. علاوه بر این، اکثر اقدامات پیشنهادی به هزینه های مالی قابل توجهی نیاز ندارند.

___________________________________________
1 خطاب رئیس جمهور فدراسیون روسیه به مجمع فدرال فدراسیون روسیه در تاریخ 1 دسامبر 2016

ستون خبره

محیط: آیا چیز دیگری برای محافظت وجود دارد؟

الکسی
لوکاتسکی

مشاور کسب و کار امنیت اطلاعات

ما در منطقه خود کاملا محافظه کار هستیم. ما بسیار وابسته به مقامات، رویکردها، محصولات و اصطلاحات و تعاریفی هستیم که طی سال‌ها تغییر نکرده‌اند. محیط امنیت اطلاعات فقط اصطلاحی است که متأسفانه آنقدر قدیمی است که استفاده از آن تقریباً غیرممکن است. علاوه بر این، ما حتی به طور کامل نمی دانیم که محیط امنیت اطلاعات چیست. کسی محیط را به عنوان یک نقطه اتصال به اینترنت درک می کند، مهم نیست که چقدر خنده دار به نظر می رسد در زمینه هندسه، که در آن محیط هنوز یک خط بسته است. فردی محیط را به عنوان خطی درک می کند که یک شبکه شرکتی یا بخش را مشخص می کند. شخصی محیط را به عنوان مجموعه ای از دستگاه هایی که به اینترنت دسترسی دارند درک می کند.

اما هر یک از این تعاریف بدیهی است که مزایا و معایب خود را دارد و همه آنها متفاوت هستند. اگر نماینده یک پیمانکار با یک لپ تاپ متصل از طریق مودم 3G به اینترنت به آنجا بیاید، حتی با چنین گزینه به ظاهر ساده ای به عنوان بخشی از یک شبکه صنعتی، شاید حتی از نظر فیزیکی جدا از دنیای خارج، وضعیت را چگونه می توان درک کرد؟ آیا محیط در اینجا ظاهر می شود یا ظاهر نمی شود؟ اما اگر به وضعیتی نگاه کنیم که یک کارمند با یک دستگاه تلفن همراه به یک ابر خارجی متصل می شود که داده های محرمانه شرکت را ذخیره می کند، یا برنامه ای در حال اجرا است که این داده ها را پردازش می کند؟ اینجا محیطی هست یا نه؟ و اگر کارمندی از دستگاه شخصی خود به زیرساخت ارائه دهنده ابر شخص دیگری متصل شود که اطلاعات شرکت در آن ذخیره می شود؟ در چنین شرایطی محیط کجاست؟

خوب، بیایید بگوییم که داریم دستگاه های تلفن همراهمتعلق به شرکت است، در حالی که ابرها متعلق به ارائه دهنده هستند. در عین حال، حداکثر چیزی که می‌توانیم بدانیم، تکه‌ای از ابر است که در آن سرورها، برنامه‌های کاربردی و داده‌هایمان را داریم. اما چه کسی از بیرون، از طرف ارائه دهنده ابر، از طرف دیگر مشتریانش به آنها دسترسی دارد؟ در چنین شرایطی، به طور کلی ترسیم محیط غیرممکن است. و این بدان معنی است که هر چقدر هم که بخواهیم، ​​مجبوریم رویکرد خود را به چیزی که قبلاً حفاظت محیطی می نامیدیم تغییر دهیم. به عنوان مثال، در برخی از شرکت ها، مدیریت به این قانون پایبند است که یک کارمند شرکت می تواند در هر زمانی از هر کجای دنیا با استفاده از هر وسیله ای کار کند. در چنین مفهومی، البته، هیچ محیطی به معنای رایج نمی تواند وجود داشته باشد، و این باعث می شود که محافظت، نه، نه محیط، بلکه اتصال اینترنت، کاملاً متفاوت باشد! آیا برای یک واقعیت جدید آماده هستید؟

ارسال کار خوب خود در پایگاه دانش ساده است. از فرم زیر استفاده کنید

دانشجویان، دانشجویان تحصیلات تکمیلی، دانشمندان جوانی که از دانش پایه در تحصیل و کار خود استفاده می کنند از شما بسیار سپاسگزار خواهند بود.

نوشته شده در http://www.allbest.ru/

• معرفی
• 1.3 مقررات اساسی سیستم امنیت اطلاعات
• 2.1 اشیاء و موضوعات حفاظتی
• 2.3 فن آوری های مدرن امنیت اطلاعات
• 2.4 معقول بودن حفاظت از اطلاعات
• فهرست اسناد نظارتی تنظیم کننده فعالیت ها در زمینه امنیت اطلاعات:
• 3. بهبود اقدامات با هدف افزایش اثربخشی اقدامات برای محافظت از سیستم اطلاعات شرکتی فواصل منبع تغذیه
• 3.1 معایب سازماندهی حفاظت از شبکه شرکتی
• 3.2 رویدادهای سازمانی
• 3.3 اقدامات مهندسی
• نتیجه
• فهرست کتابشناختی

معرفی

توسعه مدرن اقتصاد جهانی با وابستگی فزاینده بازار به مقدار قابل توجهی از اطلاعات در حال گردش در آن مشخص می شود.

در زمان ما جامعه کاملاً به داده های دریافتی، پردازش شده و ارسالی وابسته است. به همین دلیل، خود داده ها ارزش بالایی پیدا می کنند. و هر چه قیمت اطلاعات مفید بیشتر باشد، ایمنی آن نیز بالاتر خواهد بود.

ارتباط موضوع به دلیل عملکرد تعدادی از عوامل است که با هدف بهبود حفاظت از سیستم اطلاعات شرکت ها به منظور بهبود مکانیسم اقتصادی شرکت های مدرن فعال در اقتصاد بازار و استفاده از پیشرفت های فن آوری مدرن انجام می شود.

با توجه به موارد فوق، اقدامات قانونی، چه در روسیه و چه در کشورهای خارجی، تعداد قابل توجهی از هنجارها را با هدف تنظیم ایجاد، استفاده، انتقال و حفاظت از اطلاعات در تمام اشکال آن پیش بینی می کند.

اطلاعاتی که حاوی داده‌های شخصی، اسرار رسمی، اسرار تجاری، اطلاعات دسترسی محدود، اسرار بانکی، اسرار دولتی، اطلاعات داخلی، اطلاعات محرمانه و سایر اطلاعات از ارزش ویژه است.

مشکل امنیت اطلاعات چند وجهی و پیچیده است و نیاز به ترکیب لازم از اقدامات قانونی، سازمانی و نرم افزاری و سخت افزاری قابل اجرا دارد.

نشت هر گونه اطلاعات می تواند بر فعالیت های شرکت تأثیر بگذارد. این اطلاعات نقش ویژه ای ایفا می کند، از دست دادن پوست می تواند منجر به تغییرات عمده در خود شرکت و زیان های مادی شود.

در زندگی روزمره یک فرد، امنیت اطلاعات در مورد زندگی او به خود او بستگی دارد. اما وضعیت کاملاً متفاوت زمانی است که ما موظف هستیم اطلاعات مربوط به خود را مطابق قانون به شخص ثالث و به طور خاص به کارفرما ارائه دهیم. در این شرایط کارمند اطلاعات محرمانه خود را برای نگهداری منتقل می کند. علاوه بر این، کارفرما مسئول ایمنی داده ها است. او موظف است اطلاعات مربوط به کارمند را از تجاوز اشخاص ثالث محافظت کند و مسئول انتشار داده های مشخص شده باشد.

هدف از این کار تعیین الزامات سیستم حفاظتی یک سیستم اطلاعات شرکتی است.

وظایف کاری:

1. شناسایی مسائل مشکل ساز سیستم برای حفاظت از سیستم اطلاعات شرکت از فاصله منبع تغذیه.

2. فهرستی از تهدیدات و الزامات سیستم حفاظتی سیستم اطلاعات شرکتی از فاصله منبع تغذیه را تنظیم کنید.

3. ساختار را توجیه کنید خطرات اطلاعاتیبرای سیستم اطلاعات شرکتی از فاصله منبع تغذیه.

4. انتخاب و توجیه روش ها و ابزارهای فنی با هدف بهبود کارایی حفاظت از سیستم اطلاعات شرکت از فاصله منبع تغذیه.

هدف این مطالعه یک سیستم امنیتی معمولی برای سیستم اطلاعات شرکت "اینترانت" مسکو - فاصله منبع تغذیه اسمولنسک شعبه راه آهن روسیه است که ساختمان ها و قلمرو خود را دارد.

موضوع مطالعه روش ها و ابزار فنی حفاظت از سیستم اطلاعات شرکت از فاصله منبع تغذیه است.

اهمیت عملی و اجرای نتایج به دست آمده امکان ایجاد اقداماتی را برای سازماندهی حفاظت از یک شبکه شرکتی، متناسب با شرایط خاص، با در نظر گرفتن ویژگی های شی و دسته های مختلف اطلاعات و کاربران ایجاد کرد.

نویسندگانی که مشکلات A.V. سوکولوف (پروفسور، رئیس گروه انفورماتیک و نرم افزار موسسه فناوری الکترونیک مسکو) و V.F. شانگین (استاد، دکترای علوم فنی) از سال 1978 تا کنون مسائل موضوعیحفاظت از اطلاعات هنگام استفاده از سیستم های شرکتی توزیع شده و شبکه های گسترده سازمانی، حفاظت از اینترنت.

اطلاعات حفاظتی شبکه شرکتی

1. مبانی نظری ساخت شبکه شرکتی

1.1 مفهوم، اجزاء، عملکرد یک شبکه شرکتی

یک شبکه شرکتی یک سیستم پیچیده است که شامل بسیاری از اجزای مختلف است: رایانه‌های انواع مختلف، از رایانه‌های رومیزی گرفته تا رایانه‌های بزرگ، نرم‌افزارهای سیستمی و کاربردی، آداپتورهای شبکه، هاب‌ها، سوئیچ‌ها و روترها، و یک سیستم کابلی. در این مقاله، اینترانت منطقه مسکو- اسمولنسک در نظر گرفته خواهد شد. فاصله هامنبع تغذیه شعبه JSC "راه آهن روسیه". این یک بخش ساختاری جداگانه راه آهن است که بخشی از خدمات برق رسانی و تامین برق است. منبع تغذیه بدون وقفه و قابل اعتماد را برای همه مصرف کنندگان فراهم می کند و همچنین از عملکرد قابل اعتماد همه اشیاء و دستگاه ها، شبکه تماس در منطقه سرویس شده اطمینان می دهد.

عملکرد اینترانت طیف بسیار وسیعی را در بر می گیرد - از کار با صفحات وب ثابت که جایگزین اسناد چاپ شده شرکتی می شوند یا روش جدیدی برای اشتراک گذاری اطلاعات ارائه می کنند تا رابط های مشتری پیچیده برای برنامه های کاربردی سرور اداری.

فناوری های مورد نیاز برای یک اینترانت و ابزارهایی که آنها را پیاده سازی می کنند، گسترده هستند. اینها عبارتند از: پروتکل TCP/IP، فایل شبکه سیستم NFS(سیستم فایل شبکه)، مرورگر وب (جستجوی سیستم و نمایشگر)، وب سرور، ویرایشگر HTML، ایمیل و موارد مشابه. دسترسی به اطلاعات بر اساس اتصالات IP است.

اینترانت از چندین تشکیل شده است اجزاء:

1) زیرساخت شبکه

2) سرورها

3) اسناد،

4) مرورگرها،

5) برنامه های کاربردی

اینترانت ستون فقرات است که اتصالات لازم را فراهم می کند که دسترسی به اطلاعات را برای کارکنان سازمان فراهم می کند. اینترانت از پروتکل شبکه TCP/IP برای اتصال و تبادل داده ها استفاده می کند. TCP/IP به شما این امکان را می‌دهد که رایانه‌های موجود در شبکه را به صورت منحصربه‌فرد نام‌گذاری کنید (این نام‌ها آدرس IP نامیده می‌شوند). این پروتکل همچنین مکانیزمی را فراهم می کند که توسط آن رایانه ها می توانند یکدیگر را پیدا کرده و به یکدیگر متصل شوند. اینترانت از دیگری استفاده می کند پروتکل HTTP(پروتکل انتقال ابرمتن). برای انتقال متون، تصاویر، و لینک‌ها (یعنی پیوندهایی به سایر اسناد الکترونیکی) که به صفحات وب اشاره می‌کنند استفاده می‌شود. می توان گفت که TCP/IP راه اصلی ارتباط کامپیوترها در شبکه است و HTTP نوعی لایه بالایی است که به آنها امکان تبادل اطلاعات را می دهد.

سرورها اطلاعات اغلب بر روی رایانه هایی قرار می گیرند که معمولاً به آنها وب سرورها گفته می شود. سرور اسناد را ذخیره می کند و درخواست های کاربر برای جستجو و مشاهده داده ها را برآورده می کند.

مستندات. محتویات اینترانت - یعنی اطلاعات مشاهده شده - در اسناد ذخیره می شود. به‌طور پیش‌فرض، آنها در قالب HTML (زبان آرایش فرامتن) هستند، یک قالب متنی که شامل متن واقعی، برچسب‌هایی است که قالب‌بندی را کنترل می‌کنند و پیوندهایی که به اسناد دیگر اشاره می‌کنند.

مرورگرها برای کار بر روی اینترانت و مشاهده اسناد ذخیره شده در سرورها از برنامه هایی به نام مرورگر استفاده می شود. آنها چندین عملکرد را انجام می دهند:

جستجوی اطلاعات و اتصال به وب سرور؛

بارگیری، قالب بندی و نمایش اسناد HTML؛

شناسایی و انتقال به اسناد مربوطه؛

برنامه های کاربردی. برنامه ها توسط توسعه دهندگان برای حل مشکلات خاص شرکت نوشته می شوند.

علاوه بر تجهیزات مختلف شبکه، اینترانت از اجزای نرم افزاری زیر تشکیل شده است:

1) نرم افزاری برای وب سرور داخلی سازمان حاوی اطلاعات مربوط به فعالیت های شرکت (قیمت ها، دستورات مدیریت، اسناد مورد تایید و بحث و غیره و متصل به پایگاه های داده موجود ("انبار"، "حسابداری" و غیره).

2) ابزار نرم افزاری برای برگزاری کنفرانس های درون سازمانی برای بحث در مورد پیشنهادات بهبود کار، گزارش رویدادهای مختلف و مواردی از این دست.

3) نرم افزاری که کار ایمیل را پیاده سازی می کند.

در اینترانت، ممکن است وجود داشته باشد بخش هابا درجات مختلف امنیتی:

رایگان در دسترس (سرورهای مختلف)؛

با دسترسی محدود؛

برای دسترسی بسته است

مصلحت است که یک شبکه راه دور منبع تغذیه شرکتی را به عنوان یک سیستم متشکل از چندین لایه متقابل در نظر بگیریم. در پایه هرم، که نشان دهنده یک شبکه شرکتی است، لایه ای از رایانه ها - مراکز ذخیره سازی و پردازش اطلاعات، و یک زیر سیستم حمل و نقل قرار دارد که انتقال مطمئن بسته های اطلاعاتی را بین رایانه ها تضمین می کند.

شکل 1. سلسله مراتب لایه های شبکه شرکتی

لایه شبکه روی سیستم حمل و نقل کار می کند. سیستم های عاملکه کار برنامه های کاربردی را در رایانه سازماندهی می کند و منابع رایانه خود را برای استفاده عمومی از طریق سیستم حمل و نقل فراهم می کند.

برنامه های کاربردی مختلفی روی سیستم عامل کار می کنند، اما به دلیل نقش ویژه سیستم های مدیریت پایگاه داده که اطلاعات اولیه شرکت را به صورت سفارشی ذخیره می کنند و عملیات جستجوی اولیه را روی آن انجام می دهند، این کلاس برنامه های کاربردی سیستممعمولاً به یک لایه جداگانه از شبکه شرکتی اختصاص داده می شود.

در سطح بعدی، سرویس‌های سیستمی وجود دارند که با استفاده از DBMS به عنوان ابزاری برای جستجوی اطلاعات لازم در میان میلیون‌ها بایت ذخیره‌شده بر روی دیسک، این اطلاعات را به شکلی مناسب برای تصمیم‌گیری در اختیار کاربران نهایی قرار می‌دهند و همچنین برخی از روش‌های پردازش اطلاعات رایج را برای شرکت‌ها از هر نوع انجام می‌دهند. این خدمات شامل سیستم ایمیل، سیستم های کار تیمی و بسیاری دیگر می شود.

سطح بالایی از شبکه شرکت نشان دهنده خاص است سیستم های نرم افزاریکه وظایف خاص را انجام می دهند این شرکتیا بنگاه هایی از این نوع.

هدف نهایی شبکه شرکتی در برنامه های کاربردی سطح بالا تجسم یافته است، اما برای اینکه آنها با موفقیت کار کنند، کاملاً ضروری است که زیرسیستم های لایه های دیگر به وضوح وظایف خود را انجام دهند.

وظیفه اصلی مدیران سیستم این است که اطمینان حاصل کنند که این سیستم دست و پا گیر تا حد امکان با پردازش جریان های اطلاعاتی که بین کارکنان شرکت در گردش است کنار می آید و به آنها امکان می دهد تصمیمات به موقع و منطقی بگیرند که عملکرد شرکت را تضمین می کند.

اینترانت مسکو-اسمولنسک فاصله هامنبع تغذیه راه آهن روسیه JSC از کاربران خارجی اینترنت جدا شده است و به عنوان شبکه خودمختارکه از خارج قابل دسترسی نیستند.

شکل 2. ساختار شبکه محلی

1.2 تجزیه و تحلیل منابع تهدیدها و خطرات اطلاعاتی

تمام منابع اطلاعاتی شرکت دائماً در معرض تهدیدهای عینی و ذهنی از دست دادن حامل یا ارزش اطلاعات قرار دارند. تهدید یا خطر از دست دادن اطلاعات به عنوان یک تظاهر منفرد یا پیچیده، واقعی یا بالقوه، فعال یا منفعل از قابلیت‌های نامطلوب منابع خارجی یا داخلی تهدید برای ایجاد موقعیت‌ها، رویدادهای بحرانی، تأثیر بی‌ثبات‌کننده بر اطلاعات، اسناد و پایگاه‌های اطلاعاتی محافظت‌شده درک می‌شود. برای منابع اطلاعاتی محدود، دامنه تهدیدات شامل از دست دادن اطلاعات (افشای، نشت) یا از دست دادن رسانه، در نتیجه افزایش علاقه به این اسناد از سوی انواع مختلف متجاوزان، بسیار گسترده تر است. تهدید اصلی برای امنیت منابع اطلاعاتی توزیع محدود، دسترسی غیرمجاز (غیرقانونی، غیرمجاز) مهاجم یا شخص غیرمجاز به اطلاعات مستند و در نتیجه کسب اطلاعات و استفاده غیرقانونی از آن یا سایر اقدامات بی ثبات کننده است. اهداف و نتایج دسترسی غیرمجاز نه تنها می تواند کسب اطلاعات ارزشمند و استفاده از آنها باشد، بلکه اصلاح، اصلاح، تخریب، جعل، جایگزینی و مانند آن نیز می تواند باشد. شرط لازم برای اجرای موفقیت آمیز تلاش برای دسترسی غیرمجاز به منابع اطلاعاتی با دسترسی محدود، علاقه به آنها از سوی رقبا، افراد خاص، خدمات و سازمان ها است. مقصر اصلی دسترسی غیرمجاز به منابع اطلاعاتی، معمولاً کارکنانی هستند که با اسناد، اطلاعات و پایگاه‌های اطلاعاتی کار می‌کنند. از دست دادن اطلاعات در بیشتر موارد نه در نتیجه اقدامات عمدی یک مهاجم، بلکه به دلیل بی توجهی و بی مسئولیتی پرسنل رخ می دهد.

بنابراین، از دست دادن منابع اطلاعاتی با دسترسی محدود ممکن است زمانی رخ دهد که:

§ وجود علاقه یک رقیب، موسسات، شرکت ها یا افراد در اطلاعات خاص،

§ خطر تهدید سازماندهی شده توسط یک مهاجم یا تحت شرایط تصادفی؛

§ وجود شرایطی که به مهاجم اجازه می دهد تا اقدامات لازم را انجام دهد و اطلاعات را به دست آورد.

این شرایط ممکن است شامل موارد زیر باشد:

فقدان کار تحلیلی و کنترلی سیستماتیک برای شناسایی و مطالعه تهدیدها، کانال ها و میزان خطر نقض امنیت منابع اطلاعاتی.

© یک سیستم امنیت اطلاعات ناکارآمد یا عدم وجود چنین سیستمی که درجه بالایی از آسیب پذیری اطلاعات را ایجاد می کند.

© فناوری غیرحرفه ای برای پردازش و ذخیره اسناد محرمانه؛

© انتخاب نابسامان پرسنل و جابجایی کارکنان، جو روانی دشوار در تیم.

© عدم وجود سیستمی برای آموزش کارکنان در مورد قوانین حفاظت از اطلاعات دسترسی محدود.

© عدم کنترل مدیریت شرکت بر انطباق پرسنل با الزامات اسناد نظارتی برای کار با منابع اطلاعاتی با دسترسی محدود.

© بازدیدهای غیرمجاز از اماکن شرکت توسط افراد غیر مجاز.

همیشه باید به خاطر داشت که واقعیت مستندسازی به طور چشمگیری خطر تهدید اطلاعات را افزایش می دهد. استادان بزرگ گذشته هرگز اسرار هنر خود را ننوشتند، بلکه آنها را به صورت شفاهی به پسر خود دانش آموز منتقل کردند. بنابراین راز ساخت بسیاری از اقلام منحصر به فرد آن زمان تا به امروز فاش نشده است.

اقدامات موجود با اطلاعاتی که ممکن است حاوی تهدید باشند انجام می شود: جمع آوری، اصلاح، نشت و تخریب. این اقدامات برای بررسی بیشتر اساسی هستند. با رعایت طبقه بندی پذیرفته شده، همه منابع تهدید را به خارجی و داخلی تقسیم می کنیم.

تهدیدات داخلی و خارجی

یک خودی می تواند شخصی از دسته های زیر از کارکنان بخش های خدمات باشد: پرسنل خدمات (مدیران سیستم مسئول عملیات و نگهداری سخت افزار و نرم افزار)؛ برنامه نویسان پشتیبان سیستم و نرم افزارهای کاربردی؛ کارکنان فنی (کارگران در اتاق های ابزار، نظافتچی و غیره)؛ کارمندان بخش های سازمانی که به آنها اجازه دسترسی به محل هایی که تجهیزات کامپیوتری یا مخابراتی در آن قرار دارد، داده می شود.

منابع تهدیدات داخلی عبارتند از:

کارکنان سازمان

· نرم افزار؛

سخت افزار

تهدیدهای داخلی می توانند خود را به اشکال زیر نشان دهند:

خطاهای کاربران و مدیران سیستم؛

تخلف کارکنان شرکت از مقررات تعیین شده برای پردازش، انتقال و از بین بردن اطلاعات؛

خطاهای نرم افزاری؛

آلودگی رایانه ها به ویروس ها یا بدافزارها؛

خرابی و نقص در عملکرد تجهیزات کامپیوتری.

متخلفان خارجی شامل افرادی هستند که اقامت آنها در محل با تجهیزات بدون کنترل توسط کارکنان شرکت غیرممکن است.

یک مزاحم خارجی تشعشعات الکترومغناطیسی تجهیزات سیستم اطلاعات را رهگیری و تجزیه و تحلیل می کند.

به منابع خارجیتهدیدها عبارتند از:

سازمان ها و افراد؛

· بلایای طبیعی؛

· حوادث فنی؛

ارتکاب اقدامات تروریستی.

اشکال تجلی تهدیدات خارجی عبارتند از: رهگیری; تجزیه و تحلیل و اصلاح اطلاعات؛ دسترسی غیرمجاز به اطلاعات شرکت؛ نظارت بر اطلاعات توسط ساختارهای رقیب، اطلاعاتی و خدمات ویژه؛ حوادث، آتش سوزی ها، بلایای انسان ساز.

تمام انواع تهدیدهایی که برشمردیم (اشکال تجلی) را می توان به عمدی و غیرعمدی، افراد علاقه مند و غیرعلاقه مند به ظهور یک تهدید تقسیم کرد.

تأثیرات عمدی، اقدامات هدفمند یک مهاجم است که به دلیل کنجکاوی ایجاد می شود. حمله هکرها؛ غرور زخمی کارمند، تلاش برای ارتکاب اقدامات تروریستی. یک کارمند، یک بازدید کننده، یک رقیب، یک مزدور، پرسنل فنی (ساختمان های بیرونی کار، نظافتچی ها و غیره) می توانند به عنوان یک مهاجم عمل کنند.

علل تأثیرات تصادفی غیرعمدی در حین کار می تواند موارد زیر باشد: شرایط اضطراری ناشی از بلایای طبیعی و قطع برق (تأثیر طبیعی و مصنوعی). خرابی و خرابی تجهیزات؛ اشکالات نرم افزار؛ اشتباهات در کار پرسنل؛ تداخل در خطوط ارتباطی به دلیل تأثیرات محیطی.

با توجه به روش‌های تأثیرگذاری بر اشیاء امنیت اطلاعات، تهدیدها در طبقه‌بندی زیر قرار می‌گیرند: اطلاعاتی، نرم‌افزاری، فیزیکی، رادیویی الکترونیکی و سازمانی و قانونی.

تهدیدهای اطلاعاتی عبارتند از:

- دسترسی غیرمجاز به منابع اطلاعاتی؛

- کپی غیرقانونی داده ها در سیستم های اطلاعاتی؛

- سرقت اطلاعات از کتابخانه ها، آرشیوها، بانک ها و پایگاه های اطلاعاتی؛

- نقض فناوری پردازش اطلاعات؛

- جمع آوری و استفاده غیرقانونی از اطلاعات.

تهدیدات نرم افزاری عبارتند از:

- استفاده از خطاها و "حفره ها" در نرم افزار.

- ویروس های کامپیوتری و بدافزار؛

- نصب دستگاه های "رهن".

تهدیدات فیزیکی عبارتند از:

- تخریب یا تخریب ابزارهای پردازش اطلاعات و ارتباطات.

- سرقت حامل های اطلاعات؛

- سرقت کلیدهای نرم افزاری یا سخت افزاری و وسایل حفاظت از داده های رمزنگاری شده؛

- تاثیر بر کارکنان

تهدیدات الکترونیکی عبارتند از:

- پیاده سازی لوازم برقیشنود اطلاعات در وسایل و اماکن فنی؛

- رهگیری، رمزگشایی، جایگزینی و تخریب اطلاعات در کانال های ارتباطی.

تهدیدهای سازمانی و قانونی عبارتند از:

- تهیه فناوری اطلاعات و ابزارهای اطلاعاتی ناقص یا قدیمی.

- نقض الزامات قانونی و تاخیر در اتخاذ تصمیمات قانونی و نظارتی لازم در حوزه اطلاعات.

پس از شناسایی اطلاعات تشکیل دهنده یک اسرار تجاری و شناسایی منابعی که این اطلاعات را در اختیار دارند، در اختیار دارند یا حاوی این اطلاعات هستند، با انتخاب از مجموعه روش های اساسی دسترسی غیرمجاز به منابع اطلاعات محرمانه، روش های دسترسی غیرمجاز به این اطلاعات شناسایی می شوند.

کانال های احتمالی زیر برای نشت اطلاعات محرمانه قابل تشخیص است (شکل 3):

کپی غیر مجاز اطلاعات محرمانه به رسانه های خارجی و حذف آن در خارج از قلمرو تحت کنترل شرکت. نمونه هایی از این رسانه ها عبارتند از فلاپی دیسک، سی دی رام، فلش دیسک و غیره.

پرینت اطلاعات محرمانه و حذف اسناد چاپی خارج از قلمرو تحت کنترل.

لازم به ذکر است که در این حالت هم می توان از چاپگرهای محلی که مستقیماً به رایانه مهاجم متصل هستند و هم از چاپگرهای راه دور که از طریق شبکه با یکدیگر تعامل دارند استفاده کرد.

انتقال غیرمجاز اطلاعات محرمانه از طریق شبکه به سرورهای خارجی واقع در خارج از قلمرو کنترل شده شرکت. به عنوان مثال، یک مهاجم می تواند اطلاعات حساس را به ایمیل داخلی خارجی یا سرورهای فایل منتقل کند. در عین حال، متخلف برای پنهان کردن اعمال خود، ابتدا می تواند اطلاعات ارسالی را رمزگذاری کند یا تحت عنوان فایل های گرافیکی استاندارد انتقال دهد.

مخاطرات اطلاعاتی، محدودترین تعریف، خطرات از دست دادن، تغییر غیرمجاز اطلاعات به دلیل نقص در عملکرد سیستم های اطلاعاتی یا خرابی آنها است که منجر به زیان می شود. امنیت اطلاعات وضعیت امنیت محیط اطلاعاتی است. حفاظت از اطلاعات فعالیتی است برای جلوگیری از نشت اطلاعات محافظت شده، تأثیرات غیرمجاز و غیرعمدی بر اطلاعات محافظت شده، یعنی فرآیندی با هدف دستیابی به این وضعیت.

اگر حداقل خطرات اطلاعاتی تضمین شود، امنیت اطلاعات شرکت راه دور منبع تغذیه تضمین می شود. اطلاعات برای استفاده در فعالیت های روزانه، فقدان اطلاعات عینی (از جمله محرمانه) از سوی مدیریت شرکت، لازم برای تصمیم گیری صحیح، و همچنین انتشار اطلاعات توسط شخصی در محیط خارجی که برای فعالیت های شرکت غیرسود یا خطرناک است.

برای حل این مشکل، از نقطه نظر یک رویکرد سیستماتیک، توصیه می شود یک سیستم به حداقل رساندن ریسک اطلاعات را در شرکت توسعه و پیاده سازی کنید، که مجموعه ای به هم پیوسته از بدنه ها، ابزارها، روش ها و اقداماتی است که حداقل خطرات نشت و تخریب اطلاعات لازم برای عملکرد شرکت را تضمین می کند. ریسک های اطلاعاتی اصلی هر شرکت عبارتند از:

خطر نشت و تخریب اطلاعات لازم برای عملکرد شرکت؛

خطر استفاده از اطلاعات مغرضانه در فعالیت های شرکت؛

خطر این که مدیریت شرکت اطلاعات لازم (از جمله محرمانه) را برای تصمیم گیری درست در اختیار نداشته باشد.

خطر انتشار اطلاعاتی که برای شرکت زیان آور یا خطرناک است توسط شخصی در محیط خارجی.

وظایف اصلی حل شده توسط سیستم به حداقل رساندن ریسک اطلاعات عبارتند از:

شناسایی اطلاعاتی که باید محافظت شوند؛

شناسایی منابعی که دارای، مالک یا حاوی این اطلاعات هستند؛

شناسایی راه های دسترسی غیرمجاز به این اطلاعات؛

توسعه و اجرای اقدامات سازمانی و فنی برای حفاظت از اطلاعات محرمانه.

اطلاعات شرکت راه دور منبع تغذیه می تواند از چهار سطح اهمیت زیر برخوردار باشد:

ناچیز، یعنی اطلاعاتی که نشت یا تخریب آن باعث آسیب به شرکت نمی شود و بر روند عملکرد آن تأثیر نمی گذارد.

خطر نشت و از بین رفتن اطلاعات لازم برای عملکرد شرکت عواقب زیر را به دنبال دارد:

اطلاعات محرمانه ای که انتقال یا نشت آنها به اشخاص ثالث باعث آسیب به شرکت و پرسنل آن می شود.

اطلاعات مهمی که فقدان یا آسیب دیدن آنها کار روزانه کارکنان و کل شرکت را غیرممکن می کند.

بدیهی است که اطلاعات سه سطح اول اهمیت باید محفوظ بماند و درجه حفاظت در حالت کلی باید بر اساس میزان اهمیت اطلاعات تعیین شود. این عمدتاً به این دلیل است که درجه حفاظت مستقیماً با هزینه اجرای آن مرتبط است ، بنابراین در حالت کلی محافظت از اطلاعات با وسایل حفاظتی گران قیمت در صورتی که نشت یا تخریب آنها منجر به آسیب ناچیز شود از نظر اقتصادی امکان پذیر نیست.

اطلاعات سه سطح اول، به عنوان یک قاعده، به یک اسرار تجاری اشاره دارد و توسط رئیس شرکت مطابق با فرمان دولت فدراسیون روسیه مورخ 05 دسامبر 1991 شماره 35 "در فهرست اطلاعاتی که نمی تواند یک راز تجاری باشد" تعیین می شود.

روش شناسایی اطلاعات تشکیل دهنده یک اسرار تجاری، شناسایی منابع دارای، مالک یا حاوی این اطلاعات باید به شرح زیر باشد.

به دستور شرکت، روسای ادارات موظف به انجام کار برای تعیین اطلاعات خاص تشکیل دهنده یک راز تجاری در حوزه کاری خود، افراد پذیرفته شده در این اطلاعات و همچنین حاملان این اطلاعات هستند.

نتیجه این کار باید توسط رئیس شرکت "فهرست اطلاعات تشکیل دهنده راز تجاری شرکت" با ذکر چنین اطلاعاتی برای هر یک از بخش های ساختاری تأیید شود. افرادی که حامل این اطلاعات هستند؛ اسناد حاوی این اطلاعات، و همچنین سایر حامل های (فنی) این اطلاعات، در صورت وجود.

1.3 مقررات اساسی سیستم امنیت اطلاعات

تجزیه و تحلیل وضعیت امور در زمینه اطلاعات نشان می دهد که یک مفهوم و ساختار به خوبی شکل گیری حفاظت از قبل شکل گرفته است که اساس آن عبارت است از:

زرادخانه بسیار توسعه یافته از ابزارهای فنی حفاظت از اطلاعات تولید شده بر اساس صنعتی؛

تعداد قابل توجهی از شرکت های متخصص در حل مسائل امنیت اطلاعات؛

یک سیستم کاملاً تعریف شده از دیدگاه ها در مورد این مشکل.

تجربه عملی قابل توجه

و با این وجود، همانطور که مطبوعات داخلی و خارجی گواهی می دهند، اقدامات سوء اطلاعاتی نه تنها کاهش نمی یابد، بلکه روند صعودی نسبتاً ثابتی دارد. تجربه نشان می دهد که برای مبارزه با این روند، لازم است:

1. سازماندهی مناسب و هدفمند فرآیند حفاظت از منابع اطلاعاتی. علاوه بر این، متخصصان حرفه ای، مدیریت، کارمندان و کاربران باید فعالانه در این امر شرکت کنند، که اهمیت روزافزون جنبه سازمانی موضوع را تعیین می کند. علاوه بر این، تضمین امنیت اطلاعات نمی تواند یک اقدام یکباره باشد. این فرآیند مستمری است که شامل اثبات و اجرای منطقی‌ترین روش‌ها، راه‌ها و ابزارهای بهبود و توسعه سیستم حفاظتی، نظارت مستمر بر وضعیت آن، شناسایی تنگناها و نقاط ضعف و اقدامات غیرقانونی آن است.

2. امنیت اطلاعات تنها با استفاده یکپارچه از کل زرادخانه ابزارهای حفاظتی موجود در تمام عناصر ساختاری سیستم تولید و در تمام مراحل چرخه فناوری پردازش اطلاعات تضمین می شود. بیشترین تأثیر زمانی حاصل می شود که تمام ابزارها، روش ها و اقدامات مورد استفاده در یک مکانیسم جامع سیستم امنیت اطلاعات (IPS) ترکیب شوند. در عین حال، عملکرد سیستم باید بسته به تغییرات در شرایط خارجی و داخلی نظارت، به روز و تکمیل شود.

بنابراین، می توان سیستم امنیت اطلاعات را به عنوان مجموعه ای سازمانی از ارگان ها، ابزارها، روش ها و اقدامات ویژه ای ارائه کرد که حفاظت از اطلاعات در برابر تهدیدات داخلی و خارجی را تضمین می کند.

شکل 4. مدل ساخت و ساز سیستم شرکتیحفاظت از اطلاعات

از نقطه نظر یک رویکرد سیستماتیک به امنیت اطلاعات، الزامات خاصی تحمیل می شود. امنیت اطلاعات باید:

1. مستمر. این الزام از این واقعیت ناشی می شود که مهاجمان فقط به دنبال فرصتی برای دور زدن حفاظت از اطلاعات مورد نظر خود هستند.

2. برنامه ریزی شده. برنامه ریزی با توسعه برنامه های امنیتی اطلاعات دقیق برای هر سرویس در حوزه صلاحیت خود، با در نظر گرفتن هدف کلی شرکت (سازمان) انجام می شود.

3. متمرکز. آنچه در راستای منافع یک هدف خاص محافظت می شود، محافظت می شود، نه همه چیز پشت سر هم.

4. خاص داده های خاصی که به طور عینی مشمول حفاظت هستند و از دست دادن آنها می تواند آسیب خاصی به سازمان وارد کند، مشمول حفاظت هستند.

5. فعال حفاظت از اطلاعات با درجه پایداری کافی ضروری است.

6. قابل اعتماد. روش‌ها و اشکال حفاظت باید راه‌های احتمالی دسترسی مستمر به اسرار محافظت‌شده را بدون در نظر گرفتن شکل ارائه، زبان بیان و نوع آن‌ها به‌طور قابل اعتماد مسدود کنند. رسانه فیزیکیکه روی آن وصل شده اند.

7. جهانی. اعتقاد بر این است که بسته به نوع کانال نشت یا روش دسترسی غیرمجاز، باید بدون در نظر گرفتن ماهیت، شکل و نوع اطلاعات، در هر کجا که ظاهر شد، با وسایل معقول و کافی مسدود شود.

8. جامع. برای محافظت از اطلاعات در انواع عناصر ساختاری، همه انواع و اشکال حفاظت باید به طور کامل اعمال شوند. استفاده از فرم های فردی یا ابزار فنی غیرقابل قبول است.

ماهیت پیچیده حفاظت از این واقعیت ناشی می شود که حفاظت یک پدیده خاص است، که یک سیستم پیچیده از فرآیندهای به هم پیوسته جدایی ناپذیر است، که هر یک به نوبه خود دارای جنبه ها، ویژگی ها و روندهای مختلفی هستند که متقابلاً یکدیگر را تعیین می کنند.

بنابراین، برای اطمینان از تحقق چنین الزامات امنیتی چند وجهی، سیستم امنیت اطلاعات باید شرایط خاصی را برآورده کند:

پوشش کل مجموعه فناوری فعالیت های اطلاعاتی؛ از نظر ابزار مورد استفاده متفاوت باشد،

چند سطحی با توالی دسترسی سلسله مراتبی. پذیرفتن تغییرات و اضافات به اقدامات امنیت اطلاعات؛

غیر استاندارد، متنوع باشد، هنگام انتخاب وسایل حفاظتی، نمی توان روی ناآگاهی مزاحمان در مورد قابلیت های آن حساب کرد.

برای نگهداری آسان و کارکرد برای کاربران راحت باشد.

قابل اعتماد باشد، هر گونه خرابی ابزار فنی باعث ظاهر شدن کانال های کنترل نشده نشت اطلاعات می شود.

پیچیده باشد، یکپارچگی داشته باشد، به این معنی که هیچ بخشی از آن را نمی توان بدون آسیب رساندن به کل سیستم حذف کرد.

الزامات خاصی برای سیستم امنیت اطلاعات وجود دارد:

وضوح تعریف اختیارات و حقوق کاربر برای دسترسی به اطلاعات خاص؛

ارائه حداقل اختیارات لازم برای کاربر برای انجام کار محول شده؛

به حداقل رساندن تعداد حفاظت های مشترک برای چندین کاربر؛

ثبت موارد و تلاش برای دسترسی غیرمجاز به اطلاعات محرمانه؛

ارائه ارزیابی از میزان محرمانه بودن اطلاعات؛

اطمینان از کنترل یکپارچگی تجهیزات حفاظتی و واکنش فوری به خرابی آنها.

یک سیستم امنیت اطلاعات مانند هر سیستمی باید انواع خاصی از پشتیبانی خود را داشته باشد که بر اساس آن عملکرد مورد نظر خود را انجام دهد. با در نظر گرفتن این موضوع، سیستم امنیت اطلاعات ممکن است:

1. حمایت حقوقی. این شامل اسناد هنجاری، مقررات، دستورالعمل ها، دستورالعمل ها است که الزامات آنها در هنجارهای محدوده آنها اجباری است.

2. پشتیبانی سازمانی. این بدان معنی است که اجرای حفاظت از اطلاعات توسط واحدهای ساختاری خاصی - مانند سرویس حفاظت از اسناد انجام می شود. رژیم، پذیرش و خدمات امنیتی؛ خدمات امنیت اطلاعات با ابزار فنی؛ خدمات اطلاعات و فعالیت های تحلیلی و غیره.

3. سخت افزار. فرض بر این است که ابزارهای فنی به طور گسترده هم برای محافظت از اطلاعات و هم برای اطمینان از عملکرد سیستم امنیت اطلاعات استفاده می شود.

4. پشتیبانی اطلاعات. این شامل اطلاعات، داده ها، شاخص ها، پارامترهایی است که زیربنای حل مشکلاتی است که عملکرد سیستم را تضمین می کند. این ممکن است شامل هر دو شاخص دسترسی، حسابداری، ذخیره سازی و سیستم های پشتیبانی اطلاعات برای وظایف مختلف تسویه حساب مربوط به فعالیت های خدمات پشتیبانی اطلاعات باشد.

5. نرم افزار. این شامل برنامه های مختلف اطلاعات، حسابداری، آماری و تسویه حساب است که ارزیابی وجود و خطر کانال های مختلف نشت و راه های دسترسی غیرمجاز به منابع اطلاعات محرمانه را ارائه می دهد.

6. پشتیبانی ریاضی. این شامل استفاده از روش های ریاضی برای محاسبات مختلف مربوط به ارزیابی خطر ابزارهای فنی مزاحمان، مناطق و هنجارهای حفاظت لازم است.

7. پشتیبانی زبانی. مجموعه ای از ابزارهای زبانی ویژه ارتباط بین متخصصان و کاربران در زمینه امنیت اطلاعات.

8. حمایت نظارتی و روش شناختی. این شامل هنجارها و مقررات مربوط به فعالیت های بدنه ها، خدمات، ابزارهایی است که عملکردهای امنیت اطلاعات را اجرا می کنند، انواع مختلفی از روش هایی که از فعالیت های کاربران در هنگام انجام کار خود تحت شرایط سخت امنیتی اطلاعات اطمینان حاصل می کنند.

فقط یک سیستم امنیتی می تواند الزامات مدرن را برای اطمینان از فعالیت های یک شرکت و حفاظت از اطلاعات محرمانه آن برآورده کند. تحت سیستم امنیتی ما مجموعه سازمانی ارگان ها، خدمات، ابزارها، روش ها و اقدامات ویژه ای را درک خواهیم کرد که حفاظت از منافع حیاتی فرد، شرکت و دولت را در برابر تهدیدات داخلی و خارجی تضمین می کند.

سیستم امنیت اطلاعات نیز مانند هر سیستمی دارای اهداف، مقاصد، روش ها و ابزار فعالیت خاص خود است که بسته به شرایط در مکان و زمان هماهنگ می شود.

با درک امنیت اطلاعات به عنوان «وضعیت حفاظت از محیط اطلاعاتی جامعه، تضمین شکل‌گیری، استفاده و توسعه آن در راستای منافع شهروندان، سازمان‌ها»، تعیین تهدیدات امنیت اطلاعات، منابع این تهدیدات، روش‌های اجرا و اهداف آنها و همچنین سایر شرایط و اقداماتی که امنیت را نقض می‌کند، مشروع است. البته در عین حال، اقداماتی برای محافظت از اطلاعات در برابر اقدامات غیرقانونی که منجر به آسیب می شود نیز باید در نظر گرفته شود.

تمرین نشان می دهد که برای تجزیه و تحلیل چنین مجموعه قابل توجهی از منابع، اشیاء و اقدامات، توصیه می شود از روش های مدل سازی استفاده شود که به عنوان یک "جایگزین" برای موقعیت های واقعی شکل می گیرد. باید در نظر داشت که مدل نسخه اصلی را کپی نمی کند، ساده تر است. مدل باید به اندازه کافی کلی باشد تا اقدامات واقعی را با در نظر گرفتن پیچیدگی آنها توصیف کند.

نتیجه گیری: همانطور که تجربه خارجی و داخلی نشان می دهد، علیرغم ورود روزافزون فناوری های اطلاعاتی جدید به عملکرد شرکت ها، منبع اصلی نشت اطلاعات، کارکنان این شرکت ها هستند.

بنابراین، در رابطه با چنین وضعیتی، درک این نکته ضروری است که عملاً ایجاد شرایطی در شرکت غیرممکن است که دسترسی غیرمجاز به این منبع اطلاعات دسترسی محدود را کاملاً منتفی کند، تنها می توان نقش آن را در بین سایر منابع نشت اطلاعات محرمانه به میزان قابل توجهی کاهش داد.

بنابراین، تهدیدات برای اطلاعات محدود شده همیشه واقعی، بسیار متنوع بوده و پیش نیازهای از دست رفتن اطلاعات را ایجاد می کند.

به گفته مؤسسه امنیت رایانه (CSI) و FBI، بیش از 50 درصد نفوذها کار کارمندان خود شرکت است. در مورد فراوانی نفوذها، 21 درصد از افراد مورد بررسی اظهار داشتند که تکرار "حملات" را تجربه کرده اند. اصلاح غیرمجاز داده ها رایج ترین شکل حمله بود و عمدتاً علیه مؤسسات پزشکی و مالی استفاده می شد. بیش از 50 درصد از پاسخ دهندگان، رقبا را منبع احتمالی «حمله» می دانند. پاسخ دهندگان بیشترین اهمیت را به حقایق استراق سمع، نفوذ به سیستم های اطلاعاتی و "حملات" می دهند که در آن "مزاحمین" آدرس بازگشت را جعل می کنند تا جستجوها را به افراد غیرمجاز هدایت کنند. این مجرمان اغلب کارمندان و رقبای توهین شده هستند.

تجزیه و تحلیل ریسک های اطلاعاتی نشان می دهد که آنها با اطلاعات محرمانه مرتبط هستند.

برخی از دلایلی که ضعیف در نظر گرفته شده است، به عنوان مثال، خصومت شخصی با رئیس شرکت، بدتر شدن روابط تجاری بین بنگاه‌ها، می‌تواند منجر به ظهور اطلاعات زیان‌آور و در برخی موارد خطرناک برای شرکت در رسانه‌ها شود. بنابراین، برای حذف یا حداقل کاهش خطر انتشار این اطلاعات توسط بنگاه‌های رقیب، انتشار فعالانه برخی اطلاعات واقعی و در برخی موارد اطلاعات نادرست ضروری است.

با وجود تشریح موضوع، همواره سوالات زیادی در روند بهبود سیستم مدیریت ریسک اطلاعات وجود دارد. هدف از ایجاد یک فرآیند تجزیه و تحلیل ریسک تنها شناسایی آنها، ارزیابی پیامدهای اجرای احتمالی آنها، اطمینان از پردازش آنها و متعاقباً اجرای سیستماتیک نظارت مؤثر بیشتر نیست. اما همچنین در حصول اطمینان از استانداردسازی رویکرد ریسک ها در تمام جنبه های فعالیت های شرکت، راحت و رسید سریعتصویری جامع از وضعیت با خطرات اطلاعاتی در شرکت در هر دوره از فعالیت آن. و همچنین در افزایش جذابیت رقابتی شرکت به دلیل پاسخ سریع و کافی به تمامی تهدیدات نوظهور، در افزایش اعتماد درون خود شرکت بین کسب و کار و امنیت.

2. سازمان حفاظت از سیستم اطلاعات شرکت فواصل منبع تغذیه بر اساس راه حل های استاندارد

2.1 اشیاء و موضوعات حفاظتی

برای فاصله منبع تغذیه، منابع مهم برای زندگی و در نتیجه محافظت شده عبارتند از:

1) افراد (کارکنان شرکت)؛

2) دارایی: اسناد، ارزش های مادی و مالی، نمونه های محصولات نهایی، مالکیت معنوی (دانش فنی)، تجهیزات کامپیوتری و غیره.

3) اطلاعات: در مورد رسانه های فیزیکی و همچنین گردش در کانال های ارتباطی داخلی ارتباطات و اطلاعات، در دفاتر مدیریت شرکت، در جلسات و جلسات.

4) منابع مالی و اقتصادی که توسعه کارآمد و پایدار بنگاه را تضمین می کند (منافع تجاری، طرح های تجاری، اسناد و تعهدات قراردادی و غیره).

ارزش‌های مشمول حفاظت، مانند اطلاعات محدود شده، رازداری بانکی، داده‌های شخصی، اسرار رسمی، اسرار تجاری، اسرار دولتی، اطلاعات داخلی و سایر اطلاعاتی که در رابطه با آنها یک رژیم محرمانه اجباری و مسئولیت افشای آن ایجاد شده است.

همان مقدار داده هایی است که در شبکه اطلاعات شرکت ایجاد یا استفاده می شود، مانند اطلاعات علمی، فنی و فناوری مربوط به فعالیت های شرکت.

فهرست کامل اطلاعات تشکیل دهنده یک اسرار تجاری توسط روسای خدمات حفاظت اطلاعات علاوه بر مقررات مربوطه ایجاد می شود.

دسته‌های «محرمانه» شامل اطلاعاتی است که معیارهای زیر را برآورده می‌کند:

آنها عموماً شناخته شده یا قانونی در دسترس عموم نیستند.

در اختیار داشتن انحصار این اطلاعات به سازمان مزیت های تجاری، اقتصادی و سایر منافع می دهد و افشا یا استفاده آشکار از آنها می تواند منجر به آسیب (مادی، معنوی، فیزیکی) به سازمان، مشتریان یا خبرنگاران آن (راز تجاری) شود.

بانکداریرازبه اطلاعات مربوط به تراکنش ها، حساب ها و سپرده ها، جزئیات بانکی و همچنین اطلاعات مشتریان و خبرنگاران بانک مشروط به حفاظت اجباری اشاره دارد.

سرویسرازبه اطلاعاتی اطلاق می شود که دسترسی به آنها توسط مقامات ایالتی و قوانین فدرال محدود شده است و به اطلاعاتی اطلاق می شود که اسرار بانکی نیستند و طبق فهرست اطلاعات محدود شده تحت حفاظت اجباری قرار دارند.

تجاریرازمنظور از سازمان، اطلاعات مربوط به اطلاعات علمی، فنی، فناوری، صنعتی، مالی و اقتصادی یا سایر اطلاعاتی است که به دلیل ناشناخته بودن برای اشخاص ثالث دارای ارزش تجاری بالفعل یا بالقوه است که بر اساس مبانی قانونی دسترسی آزاد به آنها وجود ندارد و صاحب این اطلاعات در مورد آنها رژیم اسرار تجاری را معرفی کرده است. افشای (انتقال، نشت، استفاده باز) که ممکن است باعث آسیب به سازمان، دولت، مشتریان یا خبرنگاران آن، طرف مقابل راه آهن روسیه شود.

شخصیداده هابه اطلاعاتی در مورد حقایق، رویدادها و شرایط زندگی خصوصی شهروندان اشاره دارد که به آنها امکان شناسایی شخصیت آنها را می دهد.

حالتراز- طبق تعریف تصویب شده در قوانین روسیه، اطلاعاتی که توسط دولت در زمینه های نظامی، سیاست خارجی، اقتصادی، اطلاعاتی، ضد جاسوسی، عملیات جستجو و سایر فعالیت ها محافظت می شود که انتشار آنها ممکن است به امنیت کشور آسیب برساند.

خودیاطلاعات- (Eng. Insider Information) - اطلاعات داخلی قابل توجهی که به صورت عمومی افشا نشده است، که در صورت افشای آن می تواند بر ارزش بازار اوراق بهادار شرکت تأثیر بگذارد. این موارد عبارتند از: اطلاعات در مورد تغییر آینده رهبری و یک استراتژی جدید، آماده سازی برای یک محصول جدید و فناوری جدید، مذاکرات موفقیت آمیز برای ادغام یا خرید مداوم یک سهام کنترلی. صورت های مالی، پیش بینی هایی که مشکلات شرکت را نشان می دهد. اطلاعات مربوط به پیشنهاد مناقصه (در مزایده) قبل از افشای آن برای عموم و غیره.

اطلاعاتمحدوددسترسی داشته باشیداطلاعاتی با ارزش برای مالک آن است که دسترسی به آن از نظر قانونی محدود شده است. به نوبه خود، اطلاعات دسترسی محدود به اطلاعاتی که یک راز دولتی و اطلاعات را تشکیل می دهد، تقسیم می شود که محرمانه بودن آنها توسط قانون فدرال (اطلاعات محرمانه) تعیین شده است.

مجازوارجاعاطلاعات، مکاتبات تجاری، انتقال اطلاعات حسابداری گزارش بین ایستگاه های کاری کاربر و سرور پایگاه داده در چارچوب سیستم های خودکار SAP R / 3 برای بخش مالی، اقتصادی و فنی.

اطلاعات سازمانی را می توان به چهار سطح اهمیت زیر اختصاص داد:

حیاتی، یعنی اطلاعاتی که نشت یا تخریب آن موجودیت شرکت را تهدید می کند.

مهم، یعنی اطلاعات، نشت یا تخریب که منجر به هزینه های بالایی می شود.

مفید، یعنی اطلاعاتی که نشت یا تخریب آن باعث آسیب می شود، اما شرکت می تواند پس از آن کاملاً مؤثر عمل کند.

ناچیز، یعنی اطلاعاتی که نشت یا تخریب آن باعث آسیب به شرکت نمی شود و بر روند عملکرد آن تأثیر نمی گذارد.

2.2 اقدامات سازمانی در سیستم امنیت اطلاعات

اسناد و روشهای سازمانی و قانونی کل چرخه فنی کار راه آهن روسیه را تنظیم می کند، از روش انتخاب پرسنل و استخدام آنها، به عنوان مثال، بر اساس قرارداد، تا مقررات مربوط به وظایف عملکردی هر کارمند. هر دستورالعمل یا مقررات کارخانه باید به طور مستقیم یا غیرمستقیم مسائل ایمنی را در نظر گرفته و بر عملکرد و اثربخشی سیستم حفاظتی تأثیر بگذارد.

اسناد از انواع مختلف منبع مهمی برای نشت اطلاعات محرمانه هستند. در اینجا لازم است در نظر بگیریم که توسعه نسبتاً سریع فناوری اطلاعات منجر به ظهور انواع جدیدی از حامل های اطلاعات اسناد شده است: چاپ های رایانه ای، حامل های اطلاعات و موارد مشابه. در عین حال، اهمیت انواع سنتی اسناد مبتنی بر کاغذ در فعالیت‌های تجاری، مانند قراردادها، نامه‌ها و بررسی‌های تحلیلی، تقریباً بدون تغییر باقی می‌ماند.

ظهور حامل های جدید اطلاعات اسنادی نه تنها منجر به ظهور مشکلات جدید در حل مشکل تضمین حفاظت از اطلاعات در برابر دسترسی غیرمجاز به محتویات آن شده است، بلکه به فرصت های جدیدی برای اطمینان از حفاظت تضمین شده از این اطلاعات منجر شده است. این در درجه اول مربوط به ذخیره اطلاعات اسنادی مهم در رسانه به شکلی است که با استفاده از تبدیل رمزنگاری تبدیل شده است.

به عنوان بخشی از این اقدامات، اسناد سازمانی و اداری در فاصله منبع تغذیه تهیه و اجرا شده است که فهرستی از منابع اطلاعاتی محرمانه و همچنین فهرستی از اقداماتی را که باید برای مقابله با آن اجرا شود، تعریف می کند.

اسناد سازمانی عبارتند از: خط مشی امنیت اطلاعات، شرح وظایف کارکنان شرکت، مقررات کار بر روی رایانه شخصی.

برای این منظور، JSC "راه آهن روسیه" وظایف سازمانی زیر را حل کرد:

چارچوب قانونی برای تضمین حفاظت از اطلاعات از طریق اجرای موارد زیر ایجاد شده است:

- ایجاد اضافات به منشور شرکت، دادن حق مدیریت شرکت: صدور اسناد نظارتی و اداری که روند تعیین اطلاعات راز تجاری را تنظیم می کند و مکانیسم هایی برای حفاظت از آن.

- تکمیل "قرارداد جمعی" با مقرراتی که وظایف اداره و کارکنان شرکت مربوط به توسعه و اجرای اقدامات برای تعیین و محافظت از اسرار تجاری را تعیین می کند.

- الحاقات به "قرارداد کار" با الزامات حفاظت از اسرار تجاری و مقررات داخلی، از جمله الزامات حفاظت از اسرار تجاری.

- آموزش افراد استخدام شده در مورد قوانین حفظ اسرار تجاری با اجرای تعهد کتبی عدم افشا.

- متخلفان از الزامات حفاظت از اسرار تجاری به مسئولیت اداری یا کیفری مطابق با قوانین قابل اجرا.

- شامل الزامات حفاظت از اسرار تجاری در قراردادها برای انواع فعالیت های اقتصادی.

- تقاضای حمایت از منافع شرکت در برابر مقامات دولتی و قضایی.

- اطلاعاتی را که دارایی مؤسسه است به منظور کسب منافع و جلوگیری از آسیب اقتصادی به مؤسسه، دفع کند.

- آموزش کارکنان در مورد قوانین حفاظت از اطلاعات دسترسی محدود؛

- انتخاب دقیق کارمندان برای کار در سیستم کار اداری؛

- ایجاد شرایط داخلی مطلوب در شرکت برای حفظ اسرار تجاری.

- شناسایی و تثبیت جابجایی کارکنان، جو روانی دشوار در تیم.

- اطمینان از ارزیابی میزان محرمانه بودن اطلاعات؛

- حذف از کار مربوط به اسرار تجاری افرادی که الزامات تعیین شده برای حفاظت از آن را نقض می کنند.

- آوردن "فهرست اطلاعاتی که اسرار تجاری شرکت را تشکیل می دهد" برای هر یک از کارکنان شرکت.

- حصول اطمینان از ذخیره مطمئن اسناد و تخریب به موقع آنها و همچنین بررسی در دسترس بودن اسناد و نظارت بر به موقع و صحت اجرای آنها.

- پیش نویس ها و نسخه های اسناد توسط مجری که شخصاً مسئول از بین بردن آنها است از بین می روند. تخریب در دستگاه های برش کاغذ استاندارد یا به روش های دیگری که امکان خواندن را از بین می برد انجام می شود.

- ذخیره سازی اطلاعات محرمانه روی رسانه و حافظه رایانه شخصی به شکل تبدیل شده با استفاده از تبدیل رمزنگاری.

بنابراین، برای جلوگیری از دسترسی غیرمجاز به این منبع اطلاعاتی، از هر دو روش سنتی و غیر سنتی استفاده می شود، یعنی:

اجرای حفاظت از قلمرو، اماکن و دفاتر، و همچنین کنترل موثر ورودی بر دسترسی به آنها.

پیاده سازی سازماندهی روشن سیستم کار اداری.

اطلاعاتی که یک راز تجاری را تشکیل می دهد شامل:

- اطلاعات در مورد فعالیت های مالی و اقتصادی؛

- اطلاعات در مورد فعالیت های عملیاتی و تولیدی؛

- اطلاعات در مورد فعالیت های مدیریت؛

- اطلاعات در مورد فعالیت های پرسنل؛

- اطلاعات مربوط به فعالیت های کنترل و حسابرسی؛

- اطلاعات در مورد سیگنالینگ و ارتباطات، برق رسانی، انرژی؛

- اطلاعات در مورد کار قراردادی؛

- اطلاعات در مورد نتایج تحقیقات خود؛

- اطلاعات در مورد فعالیت های پزشکی؛

- اطلاعات در مورد حفاظت از اطلاعات و اشیاء راه آهن روسیه.

اطمینان حاصل کنید که کامپیوترها و منابع مخابراتی سازمان همانطور که توسط کارکنان آن، پیمانکاران مستقل مورد نظر است، استفاده می شود. تمامی کاربران رایانه موظفند از منابع رایانه ای به شیوه ای کارآمد، اخلاقی و قانونی استفاده کنند. نقض خط مشی امنیتی شرکت منجر به اقدامات انضباطی، تا پایان کار و/یا تعقیب کیفری خواهد شد.

سیاست امنیتی قوانین معمولی نیست که همه آنها را درک کنند. در قالب یک سند چاپی جدی ارائه شده است. و برای یادآوری مداوم اهمیت امنیت به کاربران، هر کارمند یک کپی از این سند دارد تا این قوانین همیشه در دسکتاپ جلوی چشم آنها باشد.

سیاست امنیتی شرکت

· دسترسی رایگان به اطلاعات تشکیل دهنده اسرار بانکی، تجاری و رسمی بانک به منظور حفاظت از اطلاعات محرمانه و حفاظت فیزیکی حاملان آن بسته است.

· سازمان به عنوان صاحب (مالک) اطلاعات، اقداماتی را برای حفاظت از اسرار بانکی، داده های شخصی، اسرار تجاری، اسرار تجاری خود و سایر اطلاعات مطابق با حقوق و تعهداتی که توسط قانون جاری به آن اعطا شده است، انجام می دهد.

اسناد مشابه

تجزیه و تحلیل سیستم مدیریت بازرگانی و پرسنل شرکت، حسابداری، سطح امنیت سیستم اطلاعات شرکت داده های شخصی. توسعه زیرسیستم اقدامات فنی برای محافظت از مسیریابی، سوئیچینگ و فایروال ISPD.

مقاله ترم، اضافه شده 07/08/2014


تجزیه و تحلیل شی اطلاعات. سیاست امنیت اطلاعات زیر سیستم های حفاظت از اطلاعات فنی: کنترل دسترسی، نظارت تصویری، امنیت و زنگ خطر آتشمحافظت در برابر نشت از طریق کانال های فنی، حفاظت از شبکه شرکت.

ارائه، اضافه شده در 2012/01/30


تجزیه و تحلیل مدل سیستم اطلاعات و مخابرات شرکت. انواع تهدیدات امنیت اطلاعات اهداف و اهداف امنیت اطلاعات در شرکت. توسعه رویه های کنترلی برای سیستم مدیریت امنیت اطلاعات در شبکه شرکتی.

پایان نامه، اضافه شده در 2011/06/30


تجزیه و تحلیل امنیتی شبکه های سازمانی مبتنی بر ATM، معماری اشیاء حفاظتی در فناوری. مدلی برای ساخت یک سیستم امنیت اطلاعات شرکتی روش شناسی برای ارزیابی کارایی اقتصادی استفاده از سیستم. روش هایی برای کاهش خطر از دست دادن اطلاعات

پایان نامه، اضافه شده در 2012/06/29


بررسی تحلیلی شبکه شرکتی تحلیل و بررسی شبکه موجود، جریان اطلاعات. الزامات سیستم مدیریت و برچسب گذاری عناصر LAN. توسعه حفاظت سیستم در برابر دسترسی غیرمجاز. دستورالعمل برای مدیر سیستم

پایان نامه، اضافه شده در 1396/01/19


مفهوم حفاظت ضد ویروس زیرساخت اطلاعات، انواع تهدیدات احتمالی. ویژگی های نرم افزار مورد استفاده در PJSC "ROSBANK". ابزار محافظت از منابع اطلاعاتی بانک در برابر تهدیدات نقض یکپارچگی یا محرمانه بودن.

مقاله ترم، اضافه شده در 2017/04/24


توسعه یک شبکه اطلاعات شرکتی پرسرعت مبتنی بر خطوط اترنت با بخشی از تجارت تلفن همراه برای شرکت Monarch LLC. اقدامات برای نصب و راه اندازی تجهیزات. محاسبه شاخص های فنی و اقتصادی پروژه.

مقاله ترم، اضافه شده در 10/11/2011


ساختار سیستم اطلاعات شرکتی سازمان. توسعه فضای آدرس و سیستم DNS. ساختار دامنه CIS. انتخاب پیکربندی سخت افزاری و نرم افزاری ایستگاه های کاری و سخت افزار سرور. پیکربندی سرویس های معمولی

مقاله ترم، اضافه شده در 2013/07/29


رسانه فیزیکی انتقال داده در شبکه های محلی شبکه اطلاعات شرکتی تجهیزات مخابراتی و رایانه های شرکت. توسعه یک شبکه اطلاعاتی شرکتی مبتنی بر تجزیه و تحلیل فناوری های نوین اطلاعاتی.

پایان نامه، اضافه شده 06/07/2015


ارتباط مسائل امنیت اطلاعات نرم افزار و سخت افزار شبکه LLC "Mineral". ساخت مدلی از امنیت شرکت و حفاظت در برابر دسترسی غیرمجاز. راه حل های فنیبرای حفاظت از سیستم اطلاعاتی

مفهوم امنیت اطلاعات امنیت اطلاعات (IS) به عنوان حفاظت از اطلاعات و زیرساخت های پشتیبانی در برابر اثرات تصادفی یا عمدی ماهیت طبیعی یا مصنوعی با هدف ایجاد آسیب به صاحبان یا استفاده کنندگان اطلاعات و زیرساخت پشتیبانی می باشد. سه دسته اصلی از موضوعات نیاز به تامین امنیت اطلاعات دارند: سازمان های دولتی، ساختارهای تجاری و کارآفرینان فردی.

در دسترس بودن (توانایی دریافت خدمات اطلاعات مورد نیاز در زمان معقول)؛ یکپارچگی (ارتباط و سازگاری اطلاعات، محافظت از آن در برابر تخریب و تغییرات غیرمجاز)؛ محرمانگی (محافظت در برابر آشنایی غیرمجاز).

دسترسی به اطلاعات به عنوان آشنایی با اطلاعات، پردازش آن، به ویژه کپی، اصلاح یا تخریب اطلاعات درک می شود. دسترسی مجاز به اطلاعات دسترسی به اطلاعاتی است که قوانین تعیین شده کنترل دسترسی را نقض نمی کند. دسترسی غیرمجاز به اطلاعات با نقض قوانین تعیین شده کنترل دسترسی مشخص می شود. حمله به یک سیستم اطلاعاتی (شبکه) اقدامی است که توسط مهاجم به منظور یافتن و سوء استفاده از یک یا آن آسیب پذیری سیستم انجام می شود.

سازنده، زمانی که هدف اصلی دسترسی غیرمجاز به دست آوردن یک کپی از اطلاعات محرمانه است، یعنی. ما می توانیم در مورد ماهیت شناسایی تاثیر مخرب صحبت کنیم، زمانی که دسترسی غیرمجاز منجر به از دست رفتن (تغییر) داده ها یا خاتمه سرویس شود.

هماهنگ سازی قوانین ملی در مورد مبارزه با جرایم رایانه ای با الزامات حقوق بین الملل. آموزش حرفه ای بالا اجرای قانوناز بازپرس تا سیستم قضایی؛ همکاری و سازوکار قانونی برای تعامل سازمان های مجری قانون دولت های مختلف.

مراحل توسعه جرایم رایانه ای 1. استفاده از فناوری اطلاعات در ارتکاب جرایم جنایی سنتی مانند سرقت، آسیب و کلاهبرداری. 2. پیدایش جرایم رایانه ای خاص. 3. رشد جرایم رایانه ای به تروریسم رایانه ای و افراط گرایی. 4. تبدیل تروریسم رایانه ای و افراط گرایی به جنگ اطلاعاتی.

اقدامات و ابزارهای نرم افزاری و سطح فنی استفاده از شبکه های خصوصی مجازی امن VPN برای محافظت از اطلاعات منتقل شده از طریق کانال های ارتباطی باز استفاده از دیوارهای آتش برای محافظت از شبکه شرکت در برابر تهدیدات خارجی هنگام اتصال به شبکه های ارتباطی عمومی. کنترل دسترسی در سطح کاربر و محافظت در برابر دسترسی غیرمجاز به اطلاعات؛ شناسایی تضمین شده کاربر از طریق استفاده از نشانه ها؛ حفاظت از اطلاعات در سطح فایل (با رمزگذاری فایل ها و دایرکتوری ها)؛ محافظت در برابر ویروس ها با استفاده از مجتمع های تخصصی پیشگیری و محافظت از ضد ویروس؛ فناوری های تشخیص نفوذ و تحقیق فعال در مورد امنیت منابع اطلاعاتی؛ تبدیل رمزنگاری داده ها برای اطمینان از یکپارچگی، صحت و محرمانه بودن اطلاعات

امنیت سازمانی و اقتصادی استانداردسازی روش ها و ابزارهای صدور گواهینامه حفاظت از اطلاعات سیستم ها و شبکه های رایانه ای و ابزارهای حفاظت از آنها مجوز فعالیت در زمینه بیمه حفاظت اطلاعات از خطرات اطلاعاتی مرتبط با عملکرد سیستم های رایانه ای و شبکه ها کنترل اقدامات پرسنل در سیستم های اطلاعات ایمن پشتیبانی سازمانی برای عملکرد سیستم های حفاظت اطلاعات.

امنیت حقوقی قانون فدرال فدراسیون روسیه مورخ 27 ژوئیه 2006 N 149-FZ "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات". روابط حقوقی ناشی از فرآیند تشکیل و استفاده از اطلاعات مستند و منابع اطلاعاتی را تنظیم می کند. ایجاد فناوری اطلاعات، سیستم ها و شبکه های اطلاعات خودکار یا خودکار؛ روش حفاظت از یک منبع اطلاعاتی و همچنین حقوق و تعهدات افراد شرکت کننده در فرآیندهای اطلاعاتی را تعیین می کند.

تعاریف امنیت اطلاعات یک سازمان وضعیت امنیت محیط اطلاعاتی یک سازمان است که شکل گیری، استفاده و توسعه آن را تضمین می کند. حفاظت از اطلاعات - فعالیتی است برای جلوگیری از نشت اطلاعات محافظت شده، تأثیرات غیرمجاز و غیرعمدی بر روی اطلاعات محافظت شده، یعنی فرآیندی با هدف دستیابی به این وضعیت. 2

اجزای امنیت اطلاعات محرمانه بودن - در دسترس بودن اطلاعات فقط برای حلقه خاصی از افراد؛ یکپارچگی (یکپارچگی) - تضمین وجود اطلاعات در شکل اصلی آن؛ در دسترس بودن (در دسترس بودن) - امکان به دست آوردن اطلاعات توسط یک کاربر مجاز در زمان مناسب برای او. صحت - امکان تعیین نویسنده اطلاعات؛ قابل استناد - توانایی اثبات اینکه نویسنده شخص اعلام شده است و نه هیچ کس دیگری. 3

مدل‌های کنترل دسترسی برای استفاده از محرمانگی، یکپارچگی و در دسترس بودن: کنترل دسترسی اجباری کنترل دسترسی انتخابی کنترل دسترسی مبتنی بر نقش 4

کنترل دسترسی اجباری کنترل دسترسی اجباری، MAC - تمایز دسترسی افراد به اشیا، بر اساس تخصیص یک برچسب محرمانه برای اطلاعات موجود در اشیاء، و صدور مجوزهای رسمی (مجوز) برای افراد برای دسترسی به اطلاعات این سطح از محرمانگی. همچنین گاهی اوقات به عنوان کنترل دسترسی اجباری ترجمه می شود. این ترکیبی از حفاظت و محدودیت حقوق اعمال شده بر فرآیندهای رایانه، داده ها و دستگاه های سیستم است و برای جلوگیری از استفاده ناخواسته آنها طراحی شده است.

کنترل دسترسی انتخابی (DAC) کنترل دسترسی موضوع به اشیا بر اساس لیست های کنترل دسترسی یا یک ماتریس دسترسی است. برای هر جفت (موضوع - شی)، یک شمارش صریح و بدون ابهام از انواع دسترسی مجاز (خواندن، نوشتن و غیره) باید مشخص شود، یعنی انواع دسترسی هایی که برای یک موضوع خاص (فرد یا گروه افراد) به یک منبع (شیء) معین مجاز هستند.

8

کنترل دسترسی مبتنی بر نقش (RBAC) توسعه یک سیاست کنترل دسترسی انتخابی است، در حالی که حقوق دسترسی افراد سیستم به اشیا با در نظر گرفتن ویژگی های برنامه آنها، تشکیل نقش ها، به عنوان مثال، مدیر، 1 کاربر و غیره گروه بندی می شود. شکل گیری نقش ها برای تعریف قوانین واضح و قابل فهم برای تمایز دسترسی برای کاربران طراحی شده است. 9

تضمین امنیت در حین انتقال پیاده سازی - رمزگذاری - روشی برای تبدیل اطلاعات که برای ذخیره اطلاعات مهم در منابع غیرقابل اعتماد یا انتقال آنها از طریق کانال های ارتباطی ناامن استفاده می شود. شامل 2 فرآیند، - فرآیند رمزگذاری و رمزگشایی پایه روش شناختی - رمزنگاری. 10

تعریف کلید یک کلید اطلاعات محرمانه ای است که توسط یک الگوریتم رمزنگاری هنگام رمزگذاری/رمزگشایی پیام ها، ایجاد و تأیید امضای دیجیتال و محاسبه کدهای احراز هویت (MAC) استفاده می شود. هنگام استفاده از الگوریتم مشابه، نتیجه رمزگذاری به کلید بستگی دارد. برای الگوریتم های مدرندر رمزنگاری قوی، از دست دادن یک کلید، رمزگشایی اطلاعات را عملا غیرممکن می کند. مقدار اطلاعات موجود در یک کلید معمولاً بر حسب بیت اندازه گیری می شود. برای الگوریتم های رمزگذاری مدرن، مشخصه اصلی قدرت رمزنگاری طول کلید است. رمزگذاری با کلیدهای 128 بیتی یا بیشتر قوی در نظر گرفته می شود، زیرا سال ها طول می کشد تا ابررایانه های قدرتمند رمزگشایی اطلاعات بدون کلید باشند.

روش های رمزگذاری رمزگذاری متقارن: افراد غیرمجاز ممکن است الگوریتم رمزگذاری را بدانند، اما بخش کوچکی از اطلاعات مخفی ناشناخته است - کلید برای فرستنده و گیرنده پیام یکسان است. رمزگذاری نامتقارن: افراد غیرمجاز ممکن است الگوریتم رمزگذاری و احتمالاً کلید عمومی را بدانند، اما کلید خصوصی را که فقط گیرنده می شناسد، نمی شناسد. 12

ابزار اطمینان از اصالت: امضا امضای دیجیتال امضا - مجموعه ای منحصر به فرد از کاراکترها که با دست نوشته شده اند، با استفاده از تکنیک های طراحی خاص، که در خدمت شناسایی یک شخص است. خواص یک امضا خوب مقاوم در برابر جعل. تکرارپذیری قابلیت شناسایی (امضا معمولاً شبیه نام، نام خانوادگی است). سرعت نوشتن 13

امضای دیجیتال الکترونیکی (EDS) - یک ویژگی سند الکترونیکی است که برای محافظت از این سند الکترونیکی در برابر جعل طراحی شده است که در نتیجه تبدیل رمزنگاری اطلاعات با استفاده از کلید خصوصی امضای دیجیتال الکترونیکی و امکان شناسایی صاحب گواهی کلید امضا و همچنین ایجاد عدم تحریف اطلاعات در سند الکترونیکی به دست آمده است و همچنین عدم انکار امضا را تضمین می کند. از آنجایی که اسناد امضا شده دارای طول متغیر (و نسبتاً بزرگ) هستند، در طرح‌های EDS امضا اغلب نه بر روی خود سند، بلکه بر روی هش آن قرار می‌گیرد. برای محاسبه هش، از توابع هش رمزنگاری استفاده می شود. هش تبدیل یک آرایه داده ورودی با طول دلخواه به یک رشته بیت خروجی با طول ثابت است. به چنین تبدیل هایی توابع هش نیز می گویند. هر گونه تغییر در سند منجر به تغییر در هش 14 می شود

طرح امضای الکترونیکی شامل: الگوریتم تولید کلید. تابع محاسبه امضا. عملکرد تأیید امضا تابع محاسبه بر اساس سند و کلید مخفی کاربر، خود امضا را محاسبه می کند. تابع تأیید امضا بررسی می کند که آیا امضای داده شده با سند داده شده و کلید عمومی کاربر مطابقت دارد یا خیر. کلید عمومی کاربر در دسترس همه است، بنابراین هر کسی می تواند امضای این سند را تأیید کند 15

امضای دیجیتال اثبات منشأ یک سند را ارائه می دهد. بسته به جزئیات تعریف سند، فیلدهایی مانند "نویسنده"، "تغییرات ایجاد شده"، "مهر زمان" و غیره قابل امضا هستند. محافظت در برابر تغییرات سند. هر گونه تغییر در سند (یا امضا) به طور تصادفی یا عمدی باعث تغییر هش و در نتیجه بی اعتبار شدن امضا می شود. عدم امکان انصراف از تألیف. از آنجایی که تنها در صورت شناخته شدن کلید خصوصی امکان ایجاد امضای صحیح وجود دارد و تنها برای مالک شناخته شده است، مالک نمی تواند از امضای خود در سند خودداری کند. 16

ابزارهای مجوز و احراز هویت: رمز عبور یک کلمه یا مجموعه ای از کاراکترهای مخفی است که برای تأیید هویت یا اعتبار استفاده می شود. شکستن رمز عبور یک کار منابع فشرده است که معمولاً با روش به اصطلاح brute force حل می شود - یعنی با شمارش ساده.کلید اطلاعات مخفی است که برای دایره محدودی از افراد شناخته شده است و معمولاً به صورت رمزگذاری شده استفاده می شود. بیومتریک یک فناوری شناسایی شخصیت است که از پارامترهای فیزیولوژیکی سوژه (اثر انگشت، عنبیه و غیره) استفاده می کند. 17

حفاظت از داده ها در شبکه های کامپیوتربه یکی از بازترین مسائل در سیستم های اطلاعاتی و محاسباتی مدرن تبدیل می شود. تا به امروز، سه اصل اساسی امنیت اطلاعات تدوین شده است که وظیفه آنها تضمین: - یکپارچگی داده ها - حفاظت در برابر خرابی هایی که منجر به از دست دادن اطلاعات یا از بین رفتن آنها می شود. - محرمانه بودن اطلاعات؛ - در دسترس بودن اطلاعات برای کاربران مجاز.

وسایل حفاظت - وسایل حفاظت فیزیکی؛ - نرم افزار (برنامه های ضد ویروس، سیستم های تمایز قدرت، نرم افزار کنترل دسترسی)؛ - اقدامات حفاظتی اداری (دسترسی به محل، توسعه استراتژی های امنیتی شرکت و غیره).

ابزارهای حفاظت فیزیکی سیستم های بایگانی و تکثیر اطلاعات هستند. در شبکه‌های محلی که یک یا دو سرور نصب شده‌اند، اغلب سیستم مستقیماً در اسلات سرور رایگان نصب می‌شود. در شبکه های بزرگ شرکتی، اولویت به سرور اختصاصی آرشیو اختصاصی داده می شود که به طور خودکار اطلاعات را از هارد درایوهای سرورها و ایستگاه های کاری در زمان مشخصی که توسط مدیر شبکه تعیین شده است، بایگانی می کند و گزارشی از نسخه پشتیبان ارائه می دهد. رایج ترین مدل های سرور آرشیو شده ARCserve اینتل برای Windows Storage Express System است.

برای مبارزه با ویروس های رایانه ای، اغلب از برنامه های ضد ویروس استفاده می شود، کمتر از ابزارهای محافظت از سخت افزار. با این حال، اخیراً گرایشی به سمت ترکیبی از روش های حفاظت نرم افزاری و سخت افزاری وجود دارد. در میان دستگاه های سخت افزاری، از بردهای ضد ویروس ویژه ای استفاده می شود که در اسلات های توسعه استاندارد رایانه قرار می گیرند. اینتل فناوری امیدوارکننده‌ای را برای محافظت در برابر ویروس‌ها در شبکه‌ها ارائه کرده است که ماهیت آن اسکن سیستم‌های کامپیوتری حتی قبل از راه‌اندازی آن‌ها است. علاوه بر برنامه های ضد ویروس، مشکل حفاظت از اطلاعات در شبکه های کامپیوتری با معرفی کنترل دسترسی و محدود کردن قدرت های کاربر حل می شود. برای این کار از ابزارهای داخلی سیستم عامل های شبکه استفاده می شود که بزرگترین سازنده آن شرکت Novell است.

برای حذف نفوذ غیرمجاز به یک شبکه کامپیوتری، از یک رویکرد ترکیبی استفاده می شود - رمز عبور + شناسایی کاربر توسط یک "کلید" شخصی. یک "کلید" یک کارت پلاستیکی (مغناطیسی یا با یک ریزمدار تعبیه شده - یک کارت هوشمند) یا دستگاه های مختلف برای شناسایی یک فرد با اطلاعات بیومتریک - توسط عنبیه، اثر انگشت، اندازه دست و غیره است. سرورها و ایستگاه های کاری شبکه مجهز به کارت خوان های هوشمند و نرم افزارهای ویژه، درجه حفاظت در برابر دسترسی غیرمجاز را به میزان قابل توجهی افزایش می دهند. کارت های کنترل دسترسی هوشمند به شما این امکان را می دهند که عملکردهایی مانند کنترل دسترسی، دسترسی به دستگاه های رایانه شخصی، برنامه ها، فایل ها و دستورات را پیاده سازی کنید.

سیستم Kerberos، - پایگاه داده ای که حاوی اطلاعات مربوط به تمام منابع شبکه، کاربران، رمزهای عبور، کلیدهای اطلاعاتی و غیره است. - سرور مجوز (سرور احراز هویت) که وظیفه آن پردازش درخواست های کاربر برای ارائه نوع خاصی از خدمات شبکه است. پس از دریافت درخواست، به پایگاه داده دسترسی پیدا می کند و اختیارات کاربر را برای انجام یک عملیات مشخص تعیین می کند. رمز عبور کاربر از طریق شبکه منتقل نمی شود و در نتیجه درجه امنیت اطلاعات افزایش می یابد. - سرور اعطای بلیت (سرور برای صدور مجوزها) از سرور مجوز با نام کاربری و او یک "گذر" دریافت می کند. آدرس شبکه، زمان درخواست و یک "کلید" منحصر به فرد. بسته حاوی "گذر" نیز به صورت رمزگذاری شده ارسال می شود. سرور صادرکننده مجوز پس از دریافت و رمزگشایی «گذر» درخواست را بررسی می‌کند، «کلیدها» را با هم مقایسه می‌کند و در صورت مشابه بودن، اجازه استفاده از تجهیزات یا برنامه‌های شبکه را می‌دهد.

با گسترش فعالیت های شرکت ها، افزایش تعداد مشترکین و ظهور شعب جدید، سازماندهی دسترسی کاربران راه دور (گروه های کاربری) به محاسبات یا منابع اطلاعاتی به مراکز شرکت ضروری می شود. برای سازمان دسترسی از راه دورخطوط کابلی و کانال های رادیویی بیشتر مورد استفاده قرار می گیرند. در این راستا، حفاظت از اطلاعات منتقل شده از طریق کانال های دسترسی از راه دور نیازمند رویکرد ویژه ای است. پل های دسترسی از راه دور و مسیریاب ها از تقسیم بندی بسته ها استفاده می کنند - جداسازی و انتقال آنها به صورت موازی در دو خط - که باعث می شود زمانی که یک "هکر" به طور غیرقانونی به یکی از خطوط متصل می شود، "رهگیری" داده ها را غیرممکن می کند. روش فشرده سازی بسته های ارسالی که در حین انتقال داده استفاده می شود، عدم امکان رمزگشایی داده های "رهگیری" را تضمین می کند. پل‌ها و مسیریاب‌های دسترسی از راه دور را می‌توان به گونه‌ای برنامه‌ریزی کرد که همه منابع مرکز شرکت توسط کاربران راه دور قابل دسترسی نباشد.

در حال حاضر، دستگاه های کنترل دسترسی ویژه برای شبکه های کامپیوتراز طریق خطوط سوئیچ به عنوان مثال، ماژول Remote Port Securiti Device (PRSD) توسعه یافته توسط AT&T، که از دو واحد به اندازه یک مودم معمولی تشکیل شده است: قفل RPSD (قفل) نصب شده در دفتر مرکزی، و کلید RPSD (کلید) متصل به مودم کاربر راه دور. کلید و قفل RPSD به شما امکان می دهد چندین سطح حفاظت و کنترل دسترسی را تنظیم کنید: - رمزگذاری داده های ارسال شده از طریق خط با استفاده از کلیدهای دیجیتال تولید شده. - کنترل دسترسی بر اساس روز هفته یا ساعت روز

استراتژی ایجاد پشتیبان گیری و بازیابی پایگاه های داده به طور مستقیم با موضوع امنیت مرتبط است. به طور معمول، این عملیات در ساعات غیر کاری در حالت دسته ای انجام می شود. در اکثر DBMS ها، پشتیبان گیری و بازیابی داده ها فقط برای کاربرانی با قدرت های گسترده مجاز است (حق دسترسی در سطح مدیر سیستم یا مالک پایگاه داده)، نامطلوب است که چنین رمزهای عبور مسئول را مستقیماً در فایل های پردازش دسته ای مشخص کنید. برای اینکه رمز عبور به طور صریح ذخیره نشود، توصیه می شود یک برنامه کاربردی ساده بنویسید که خود برنامه های کپی / بازیابی را نام می برد. در این مورد، رمز عبور سیستم باید به کد برنامه مشخص شده "هاردسیم" شود. عیب این روش این است که هر بار که رمز عبور را تغییر می دهید، این برنامه باید دوباره کامپایل شود

در هر شرکت، صرف نظر از اندازه، نوع مالکیت و جهت فعالیت آن، از همان نوع روش ها و روش های حفاظتی استفاده می شود که مدل سیستم حفاظتی را پیاده سازی می کند. بلوک روش های حفاظتی موانع، تنظیم، کنترل دسترسی، پوشش، تحریک و اجبار است.

موانع (روش فیزیکی)، به عنوان مثال، نصب نرده ها در اطراف شرکت ها، محدودیت در دسترسی به ساختمان و محل، نصب دزدگیر، امنیت به صورت فیزیکیو نرم افزار و سخت افزار پوشش شامل استفاده از نرم افزار رمزنگاری است. انگیزه - رعایت استانداردهای اخلاقی توسط کاربران در پردازش و استفاده از اطلاعات. مقررات مستلزم وجود دستورالعمل ها و مقررات برای پردازش اطلاعات است، در حالی که ممنوعیت به معنای وجود هنجارهای قانونی مندرج در اسناد هنجاریو تعریف مسئولیت قانونی در صورت تخلف از آنها.

روش‌ها و روش‌های حفاظتی ذکر شده در بالا در چهار زیرسیستم که در سیستم‌های اطلاعاتی نصب می‌شوند ترکیب می‌شوند: زیرسیستم کنترل دسترسی ثبت و زیرسیستم حسابداری زیرسیستم رمزنگاری زیرسیستم تضمین یکپارچگی

زیرسیستم کنترل دسترسی با استفاده از نرم افزار (رمز عبور) و ابزارهای نرم افزاری از ورودی سیستم اطلاعات محافظت می کند. کلیدهای الکترونیکی، فلاپی دیسک های کلیدی، دستگاه های بیومتریک تشخیص کاربر و غیره).

زیر سیستم ثبت و حسابداری در لاگ الکترونیکی ویژه کاربران و برنامه هایی که به سیستم، فایل ها، برنامه ها یا پایگاه های داده دسترسی پیدا کرده اند، زمان ورود و خروج از سیستم و سایر عملیات انجام شده توسط کاربران را ثبت می کند.

زیرسیستم رمزنگاری مجموعه ای از برنامه های ویژه است که اطلاعات را رمزگذاری و رمزگشایی می کند. وجود یک زیرسیستم رمزنگاری به ویژه در سیستم های اطلاعاتی مورد استفاده برای تجارت الکترونیک ضروری است.

زیرسیستم برای اطمینان از یکپارچگی اطلاعات شامل وجود حفاظت فیزیکی تجهیزات و رسانه های رایانه ای، در دسترس بودن ابزار برای آزمایش برنامه ها و داده ها، استفاده وجوه تایید شدهحفاظت