• Yetkisiz erişime karşı koruma yöntemleri

    Bilgi depolamanın en güvenilir yolu hakkında bir benzetme vardır: Bilgiler, zırhlı bir kasada, tüm ağlardan bağlantısı kesilmiş ve enerjisi kesilmiş bir bilgisayarda tek kopya halinde olmalıdır.

    Bu tür bilgilerle çalışmanın, en hafif deyimiyle, sakıncalı olduğu açıktır. Aynı zamanda programları ve verileri yetkisiz erişime (UAS) karşı korumak istiyorum. Ve erişimin yetkilendirilebilmesi için kimin neyi yapıp yapamayacağına karar vermeniz gerekir.

    Bunun için ihtiyacınız var:

    1. bir bilgisayarda saklanan ve işlenen bilgileri sınıflandırmak;
    2. bu bilgilerin kullanıcılarını sınıflandırmak;
    3. alınan bilgi sınıflarını ve kullanıcıları birbirleriyle belirli bir yazışmaya koyun.

    Çeşitli bilgi sınıflarına kullanıcı erişimi, aşağıdakiler olabilen parola sistemine göre gerçekleştirilmelidir:

    • normal şifreler;
    • gerçek kilitler ve anahtarlar;
    • özel kullanıcı tanımlama testleri;
    • PC'leri, disketleri, yazılımları tanımlamak için özel algoritmalar.

    Yetkisiz erişime karşı bilgi güvenlik sistemleri aşağıdaki işlevleri sağlar:

    1. kimlik, yani benzersiz özelliklerin atanması - sistemin daha sonra kimlik doğrulamasını gerçekleştirdiği tanımlayıcılar;
    2. kimlik doğrulama, yani referans tanımlayıcılarla karşılaştırmaya dayalı kimlik doğrulama;
    3. PC'ye kullanıcı erişiminin farklılaştırılması;
    4. kaynaklar (programlar, veriler vb.) üzerindeki işlemlere göre kullanıcı erişiminin farklılaştırılması;
    5. yönetim:
      • korunan kaynaklara erişim haklarının tanımlanması,
      • günlükleri işlemek,
      • bir PC'ye bir koruma sisteminin kurulumu,
      • koruma sisteminin PC'den çıkarılması;
    6. olay kaydı:
      • Kullanıcı Girişi,
      • kullanıcı oturumu kapatma,
      • erişim ihlalleri;
    7. NSD girişimlerine tepki;
    8. koruma sistemlerinin bütünlüğünün ve performansının izlenmesi;
    9. güvenlik bilgi Güvenliği onarım ve bakım çalışmaları yapılırken;
    10. acil durumlarda bilgi güvenliğinin sağlanması.

    Programlara ve verilere erişim için kullanıcı hakları, kaynaklara erişimin kontrolünün ve farklılaşmasının gerçekleştirildiği tabloları tanımlar. Erişim, güvenlik yazılımı tarafından kontrol edilmelidir. Talep edilen erişim, erişim hakları tablosundaki ile uyuşmuyorsa, güvenlik sistemi UA olgusunu kaydeder ve uygun bir yanıt başlatır.

    Kullanıcı Tanımlama ve Kimlik Doğrulama

    Kaynaklara erişmeden önce, kullanıcının bir gönderim sürecinden geçmesi gerekir bilgisayar sistemi, iki aşama içerir:

    • Tanılama- kullanıcı, isteği üzerine sistemi adını (tanımlayıcı) bildirir;
    • kimlik doğrulama- kullanıcı, sisteme kendisi hakkında diğer kullanıcılar tarafından bilinmeyen benzersiz bilgileri (örneğin, bir şifre) girerek kimliğini onaylar.

    Bir kullanıcıyı tanımlama ve doğrulama prosedürlerini gerçekleştirmek için şunlara sahip olunması gerekir:

    • kimlik doğrulama programları;
    • kullanıcı hakkında benzersiz bilgiler.

    Kullanıcı bilgilerini depolamanın iki biçimi vardır: harici (örneğin, plastik bir kart veya kullanıcının kafası) ve dahili (örneğin, veritabanındaki bir kayıt). Doğal olarak, kafada saklanan bilgi ile veri tabanındaki bilgi anlamsal olarak aynı olmalıdır. Ali Baba'nın açgözlü kardeşi Kasım ile ilgili sorun, tam olarak dış ve iç biçimler arasındaki uyumsuzluktan kaynaklandı: sim-sim, bezelye, pirinç vb. ile aynı değildir.

    Veri yapılarını ve kullanıcı tanımlama ve kimlik doğrulama protokollerini göz önünde bulundurun.

    Tanımlama için kullanılan hemen hemen her anahtar bilgi taşıyıcısı, aşağıdaki kullanıcı veri yapısına karşılık gelir:

    • ID i - ismin bir benzeri olan ve kullanıcıyı tanımlamak için kullanılan i-inci kullanıcının değişmez tanımlayıcısı;
    • K i - değiştirilebilen ve kimlik doğrulama işlevi gören kullanıcı kimlik doğrulama bilgileri (örneğin, parola P i = K i).

    Bu nedenle, plastik kart taşıyıcıları için değişmez bilgi ID i ve kartın dosya yapısında Ki içeren bir nesne tahsis edilir.

    Anahtar taşıyıcıdaki toplu bilgi, i. kullanıcının birincil kimlik doğrulama bilgisi olarak adlandırılabilir. Açıkçası, dahili kimlik doğrulama nesnesi sistemde uzun süre (belirli bir kullanıcının zamanından daha fazla) bulunmamalıdır. Örneğin, veritabanında depolananlarla karşılaştırmak için kimlik doğrulama programının bir değişkene girdiği bir parola girdiniz. Bu değişken, en geç oturumunuzu sonlandırdığınızda sıfırlanmalıdır. Uzun süreli depolama için, güvenli bir formdaki veriler kullanılmalıdır.

    iki tane düşün tipik şemalar tanımlama ve doğrulama.

    Şema 1.

    Burada Ei = F(IDi , Ki ), burada Ki'nin "kurtarılamazlığı", Ki'yi Ei ve IDi'den geri yükleme problemini çözmenin bazı eşik karmaşıklığı T0 tarafından tahmin edilir. Ek olarak, bir çift Ki ve K j için karşılık gelen E değerleri çakışabilir, bu bağlamda olasılık yanlış kimlik doğrulama kullanıcılar bir P 0 eşik değerinden fazla olmamalıdır. Uygulamada, T 0 = 10 20 ...10 30 , P 0 = 10 -7 ...10 -9 olarak ayarlayın.

    Tanımlama ve kimlik doğrulama protokolü (şema 1 için).

    1. E = F(ID, K) değeri hesaplanır.

    Şema 2 (değiştirilmiş). Bilgisayar sistemi depolar:

    Burada E, = F(S i , K i), burada S, bir kullanıcı tanımlayıcısı oluşturulurken belirtilen rastgele bir vektördür; F, E ben ve S ben tarafından Ki değerinin "geri alınamazlığı" özelliğine sahip bir fonksiyondur.

    Tanımlama ve kimlik doğrulama protokolü (şema 2 için).

    1. Kullanıcı kimliğini sunar.
    2. ID = ID i için i = 1...n varsa, kullanıcı başarıyla tanımlandı. Aksi takdirde kullanıcının çalışmasına izin verilmez.
    3. S vektörü ID ile tahsis edilir.
    4. Kimlik doğrulama modülü, kullanıcıdan kimlik doğrulayıcısı K'yi ister.
    5. E = F(S, K) değeri hesaplanır.
    6. E = E i ise, kimlik doğrulama başarılı olmuştur. Aksi takdirde kullanıcının çalışmasına izin verilmez.

    İkinci kimlik doğrulama şeması OC UNIX'te kullanılır. Kullanıcı adı (Oturum Açma tarafından talep edilir) tanımlayıcı olarak kullanılır, kullanıcının şifresi (Şifre ile talep edilir) kimlik doğrulayıcı olarak kullanılır. F işlevi, DES şifreleme algoritmasıdır. Tanımlama ve kimlik doğrulama referansları, Etc/passwd dosyasında bulunur.

    bu not alınmalı gerekli gereksinim bilgilerin geri kazanılmasına yönelik tanımlama ve kimlik doğrulama şemalarının kararlılığı Ki, bir dizi olası değerden Ki'nin rastgele eşlenebilir bir seçimidir.

    Parola uygulamanın en basit yöntemi, sunulan parolanın bellekte saklanan orijinal değerle karşılaştırılmasına dayanır. Değerler eşleşirse, parola gerçek olarak kabul edilir ve kullanıcı meşru kabul edilir. Parola, güvenli olmayan bir kanal üzerinden gönderilmeden önce şifrelenmelidir. Saldırgan, meşru kullanıcının şifresini ve kimlik numarasını bir şekilde öğrenirse, sisteme erişim elde edecektir.

    Parola P'nin açık biçimi yerine, tek yönlü f(P) işlevi kullanılarak elde edilen eşlemesini iletmek daha iyidir. Bu dönüşüm, şifrenin ekranı tarafından açığa çıkmamasını sağlamalıdır. Böylece düşman çözülemez bir sayısal problemle karşılaşır.

    Örneğin, f işlevi şu şekilde tanımlanabilir:

    f(P) = E P (ID) ,
    burada P bir şifre, ID bir tanımlayıcıdır, EP bir şifreyi anahtar olarak kullanarak gerçekleştirilen bir şifreleme prosedürüdür.

    Uygulamada, şifre birkaç harften oluşur. Ancak kısa şifre kaba kuvvet saldırılarına açık. Böyle bir saldırıyı önlemek için f fonksiyonu farklı tanımlanır:

    f(P) = E P + K (ID) ,
    burada K bir anahtardır (Dokunmatik bellek tableti, USB anahtarı vb.)

    Kullanıcı tanımlama ve kimlik doğrulama prosedürleri, yalnızca kullanıcının sahip olduğu gizli bilgilere (şifre, gizli anahtar, kişisel tanımlayıcı vb.). İÇİNDE Son zamanlarda Biyometrik tanımlama ve kimlik doğrulama giderek daha yaygın hale geliyor ve bir kişinin fizyolojik parametrelerini ve özelliklerini, davranışının özelliklerini ölçerek potansiyel bir kullanıcıyı güvenle tanımlamanıza olanak tanıyor.

    Ana avantajlar biyometrik yöntemler tanımlama ve doğrulama:

    • benzersiz olmaları nedeniyle biyometrik özelliklerle tanımlamanın yüksek derecede güvenilirliği;
    • biyometrik özelliklerin yetenekli bir kişiden ayrılmazlığı;
    • biyometrik özellikleri tahrif etmenin zorluğu.

    Potansiyel bir kullanıcıyı tanımlamak için kullanılabilecek biyometrik özellikler olarak aşağıdakiler kullanılır:

    • iris ve retinanın paterni;
    • parmak izleri;
    • elin geometrik şekli;
    • yüzün şekli ve boyutu;
    • yüz termogramı;
    • kulak şekli;
    • ses özellikleri;
    • el yazısı imzanın biyomekanik özellikleri;
    • "klavye el yazısının" biyomekanik özellikleri.

    Kayıt olurken, kullanıcı karakteristik biyometrik özelliklerini bir veya daha fazla kez göstermelidir. Bu işaretler (özgün olarak bilinir), sistem tarafından yasal kullanıcının bir kontrol "görüntüsü" olarak kaydedilir. Bu kullanıcı görüntüsü elektronik olarak saklanır ve ilgili meşru kullanıcıyı taklit eden herhangi birinin kimliğini doğrulamak için kullanılır.

    İris ve retina modeline dayalı tanımlama sistemleri iki sınıfa ayrılabilir:

    • gözün irisinin çizimini kullanarak;
    • gözün retina kan damarlarının çizimini kullanarak.

    Bu parametrelerin tekrarlanma olasılığı 10 -78 olduğundan, bu sistemler tüm biyometrik sistemler arasında en güvenilir olanıdır. Bu tür araçlar, örneğin Amerika Birleşik Devletleri'nde askeri ve savunma tesisleri alanlarında kullanılmaktadır.

    Parmak izi tanımlama sistemleri en yaygın olanlarıdır. Bu tür sistemlerin yaygın olarak kullanılmasının ana nedenlerinden biri, büyük parmak izi veri tabanlarının mevcudiyetidir. Dünya çapında bu tür sistemlerin ana kullanıcıları polis, çeşitli devlet kurumları ve bazı bankalardır.

    Elin geometrik şekline dayalı tanımlama sistemleri genellikle duvarlara monte edilen el şeklindeki tarayıcıları kullanın. Kullanıcıların büyük çoğunluğunun bu tür sistemleri tercih ettiği belirtilmelidir.

    Yüz ve ses tanıma sistemleri ucuzlukları nedeniyle en uygun fiyatlı olanlardır, çünkü çoğu modern bilgisayarlar video ve ses olanakları var. Sistemler bu sınıf telekomünikasyon ağlarında uzaktan tanımlama için yaygın olarak kullanılmaktadır.

    El yazısı imza dinamiklerine dayalı tanımlama sistemleri imzalayanın her bir çabasının yoğunluğunu, imzanın her bir öğesini yazmanın sıklık özelliklerini ve bir bütün olarak imzanın stilini dikkate alın.

    "Klavye el yazısı"nın biyomekanik özelliklerine göre tanımlama sistemleri klavyede yazarken tuşlara basma ve bırakma anlarının farklı kullanıcılar için önemli ölçüde farklı olduğu gerçeğine dayanmaktadır. Bu dinamik yazma ritmi ("klavye el yazısı"), yeterince güvenilir tanımlama araçları oluşturmayı mümkün kılar.

    Otomatik sistemlere erişim konularının belirlenmesinde biyometrik parametrelerin kullanılmasının, özellikle standartlar biçiminde, henüz yeterli düzenleyici ve yasal destek almadığına dikkat edilmelidir. Bu nedenle, biyometrik tanımlama sistemlerinin kullanımına yalnızca ticari ve resmi sır niteliğindeki kişisel verileri işleyen ve saklayan sistemlerde izin verilmektedir.

    Karşılıklı Kullanıcı Kimlik Doğrulaması

    Tipik olarak, bir bilgi alışverişine giren tarafların karşılıklı kimlik doğrulaması gerekir. Bu işlem, bir iletişim oturumunun başında gerçekleştirilir.

    Kimlik doğrulama için aşağıdaki yöntemler kullanılır:

    • istek-yanıt mekanizması;
    • zaman damgası mekanizması ("zaman damgası").

    İstek-yanıt mekanizması. A kullanıcısı, B kullanıcısından aldığı mesajların yanlış olmadığından emin olmak istiyorsa, B'ye gönderilen mesaja öngörülemeyen bir öğe - X isteği (örneğin, rastgele bir sayı) ekler. Cevap verirken, B kullanıcısı bu sayı üzerinde önceden belirlenmiş bir işlem yapmalıdır (örneğin, bazı f(X) fonksiyonlarını hesaplayın). Bu önceden yapılamaz, çünkü B kullanıcısı istekte hangi rasgele sayı X'in geleceğini bilmez. B'nin eylemlerinin sonucuyla ilgili bir yanıt alan A kullanıcısı, B'nin gerçek olduğundan emin olabilir. Bu yöntemin dezavantajı, istek ile yanıt arasında bir model oluşturma olasılığıdır.

    Zaman damgası mekanizması her mesaj için zamanın kaydedilmesini içerir. Bu durumda, her ağ kullanıcısı gelen mesajın ne kadar "eski" olduğunu belirleyebilir ve yanlış olabileceğinden kabul etmeyebilir.

    Her iki durumda da, yanıtın bir saldırgan tarafından gönderilmediğinden emin olmak için kontrol mekanizmasını korumak üzere şifreleme kullanılmalıdır.

    Zaman damgalarını kullanırken bir sorun var izin verilen gecikme zaman aralığı oturumu doğrulamak için. Sonuçta, "geçici damgalı" bir mesaj prensip olarak anında iletilemez. Ayrıca, alıcının ve göndericinin bilgisayar saatleri tam olarak senkronize edilemez.

    Karşılıklı kimlik doğrulama genellikle kullanılır el sıkışma prosedürü, yukarıdaki mekanizmalara dayalıdır ve taraflarca kullanılan anahtarların karşılıklı olarak doğrulanmasından oluşur. Diğer bir deyişle taraflar, doğru anahtarlara sahip olduklarını birbirlerine kanıtlamaları halinde birbirlerini yasal ortak olarak tanırlar. "El sıkışma" prosedürü, bilgisayar ağlarında kullanıcılar, kullanıcı ve ana bilgisayar arasındaki, ana bilgisayarlar arasındaki vb. iletişimi düzenlerken kullanılır.

    Örnek olarak, iki kullanıcı A ve B için el sıkışma prosedürünü ele alalım. Simetrik bir kriptosistem kullanılsın. A ve B kullanıcıları aynı K AB gizli anahtarını paylaşır.

    • A Kullanıcısı, B kullanıcısına A kimliğini düz metin olarak göndererek "el sıkışmayı" başlatır.
    • A tanımlayıcısını alan B kullanıcısı, KAB gizli anahtarını veri tabanında bulur ve kripto sistemine girer.
    • Bu sırada A kullanıcısı, sözde rasgele üreteç PG ile rastgele bir dizi S oluşturur ve bunu bir kriptogram EK AB (S) olarak B kullanıcısına gönderir.
    • B kullanıcısı bu kriptogramın şifresini çözer ve S dizisinin orijinal biçimini ortaya çıkarır.
    • Her iki kullanıcı da tek yönlü f fonksiyonunu kullanarak S dizisini dönüştürür.
    • Kullanıcı B, f(S) mesajını şifreler ve E K AB (f(S)) kriptogramını A kullanıcısına gönderir.
    • Son olarak, A kullanıcısı bu kriptogramın şifresini çözer ve alınan f "(S) mesajını orijinal f (S) ile karşılaştırır. Bu mesajlar eşitse, A kullanıcısı B kullanıcısının kimliğini tanır.

    A kullanıcısı, B kullanıcısının kimliğini aynı şekilde doğrular. Bu prosedürlerin her ikisi de, genellikle bilgisayar ağlarında herhangi iki taraf arasındaki herhangi bir iletişim oturumunun en başında gerçekleştirilen "el sıkışma" prosedürünü oluşturur.

    "El sıkışma" modelinin avantajı, iletişimdeki hiçbir katılımcının kimlik doğrulama prosedürü sırasında herhangi bir gizli bilgi almamasıdır.

    Bazen kullanıcılar, tüm iletişim oturumu boyunca sürekli gönderen kimlik doğrulaması yapmak ister. En basit sürekli kimlik doğrulama yöntemlerinden birine bakalım.

    Bir M mesajı göndermek için, A kullanıcısı bir kriptogram EK (ID A , M) gönderir. Alıcı bunun şifresini çözer ve çifti (ID A , M) ortaya çıkarır. Alınan ID A saklanan ID ile eşleşirse, alıcı mesajı dikkate alır.

    Tanımlayıcılar yerine kullanabilirsiniz gizli şifrelerönceden hazırlanan ve her iki tarafça bilinen. Devam: Sıfır Bilgi Tanımlama Protokolleri

    Edebiyat

    1. Romanets Yu.V., Timofeev P.A., Shangin V.F. Bilgisayar sistemleri ve ağlarındaki bilgilerin korunması. Ed. V.F. Shangin. - 2. baskı, gözden geçirilmiş. ve ek - M.: Radyo ve iletişim, 2001. - 376 s.: hasta.

    Bilgilere yetkisiz erişim, programsız tanıma, işleme, kopyalama, yazılım ürünlerini yok edenler de dahil olmak üzere çeşitli virüslerin kullanımı ve ayrıca belirlenmiş erişim kontrol kurallarına aykırı olarak bilgilerin değiştirilmesi veya imha edilmesidir.

    Bu nedenle, sırayla, bilgilerin yetkisiz erişime karşı korunması, bir saldırganın bilgi taşıyıcıya erişmesini önlemek için tasarlanmıştır. Bilgisayar ve ağ bilgilerini yetkisiz erişime karşı korumanın üç ana alanı vardır:

    - davetsiz misafirin bilgi işlem ortamına erişimini engellemeye odaklanır ve kullanıcı tanımlamanın özel teknik araçlarına dayanır;

    - bilgi işlem ortamının korunması ile ilişkilidir ve özel yazılımların oluşturulmasına dayanır;

    - bilgisayar bilgilerini yetkisiz erişime karşı korumak için özel araçların kullanılmasıyla ilişkili.

    Sorunların her birini çözmek için farklı teknolojilerin ve farklı araçların kullanıldığı unutulmamalıdır. Koruyucu ekipman gereksinimleri, özellikleri, yerine getirdikleri işlevler ve sınıflandırmalarının yanı sıra yetkisiz erişime karşı koruma için terimler ve tanımlar, Devlet Teknik Komisyonunun yönetici belgelerinde verilmiştir:

    – “Otomatik sistemler. Bilgilere yetkisiz erişime karşı koruma. AS sınıflandırması ve bilgi koruma gereklilikleri”;

    – “Bilgisayar teknolojisi araçları. Bilgilere yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri”;

    - "Bilgilere yetkisiz erişime karşı koruma. Terimler ve tanımlar". Teknik, ekipman koruma işlevlerinin aşağıdakilere ayrılabileceği anlamına gelir:

    yerleşik;

    veya harici.

    Bir kişisel bilgisayarı ve yazılımı korumanın yerleşik araçları (Şekil 3.12), BIOS, işletim sistemi ve DBMS için parola korumasını içerir. Bu araçlar açıkçası zayıf olabilir - gözetmen parolalı BIOS, Win95/98 parola koruması, ancak çok daha güçlü olabilir - gözetmen parolaları olmayan BIOS, parola koruması. Windows koruması NT, ORACLE VTYS'si. kullanım güçlü bu araçlar, bilgileri yetkisiz erişime karşı koruma sistemini önemli ölçüde güçlendirebilir.

    Harici araçlar, korumayı artırmak veya eksik işlevleri tamamlamak için yerleşik araçları değiştirmek üzere tasarlanmıştır.

    Bunlar şunları içerir:

    – güvenilir önyükleme donanımı;

    – kullanıcı erişim haklarını bölmek için donanım-yazılım kompleksleri;

    – ağ bağlantılarının güçlü bir şekilde doğrulanması anlamına gelir.

    Güvenilir önyükleme donanımı, işlevleri kullanıcıyı güvenli bir şekilde tanımlamanın yanı sıra bilgisayar yazılımının bütünlüğünü doğrulamak olan, bazen "elektronik kilit" olarak adlandırılan bir üründür. Genellikle bu bir genişletme kartıdır. kişisel bilgisayar, kartın Flash belleğinde veya bilgisayarın sabit diskinde saklanan gerekli yazılımla.

    Eylemlerinin ilkesi basittir. Önyükleme işlemi sırasında, BIOS ve kurcalamaya karşı koruma kartları başlar. Kullanıcı kimliğini sorar ve kartın flash belleğinde kayıtlı olanla karşılaştırır. Tanımlayıcı ayrıca bir parola ile korunabilir. Ardından, kartın veya bilgisayarın yerleşik işletim sistemi başlar (çoğu zaman bu, MS-DOS'un bir çeşididir), ardından yazılım bütünlüğü denetleyicisi başlar. Kural olarak, önyükleme diskinin sistem alanları, önyükleme dosyaları ve kullanıcı tarafından doğrulama için belirtilen dosyalar kontrol edilir. Kontrol, GOST 28147-89 algoritmasının taklit edilmiş eklenmesi temelinde veya GOST R 34.11-34 algoritmasının veya başka bir algoritmanın karma işlevi temelinde gerçekleştirilir. Test sonucu, kartın Flash belleğinde depolanan sonuçla karşılaştırılır. Karşılaştırma sonucunda, tanımlayıcıyı veya sistemin bütünlüğünü kontrol ederken standartla bir fark ortaya çıkarsa, kart bloke eder daha fazla iş ve ilgili mesajı ekranda görüntüleyin. Kontroller olumluysa, yönetim kurulu, işletim sisteminin daha fazla yüklenmesi için kontrolü kişisel bilgisayara aktarır.

    Tüm tanımlama ve bütünlük kontrolleri günlüğe kaydedilir. Bu sınıftaki cihazların avantajları, yüksek güvenilirlikleri, basitlikleri ve düşük fiyatlarıdır. Bilgisayarda çok kullanıcılı çalışma olmadığında, bu aracın koruma işlevleri genellikle yeterlidir.

    Erişim haklarını ayırmak için donanım-yazılım sistemleri, görev birbirlerinin verilerine erişim haklarını ayırmaksa, birkaç kullanıcı aynı bilgisayarda çalışırken kullanılır. Bu sorunun çözümü şunlara dayanmaktadır: 01 kullanıcıların belirli uygulamaları ve işlemleri başlatmasını yasaklamak; Q Kullanıcıların ve uyguladıkları uygulamaların yalnızca belirli bir türde veri eylemine izin verilmesi.

    Yasak ve izinlerin uygulanması sağlanır Farklı yollar. Kural olarak, işletim sistemini başlatma sürecinde yetkisiz erişime karşı koruma programı da başlatılır. Bilgisayarın belleğinde yerleşik bir modül olarak bulunur ve uygulamaları başlatmak ve verilere erişmek için kullanıcı eylemlerini kontrol eder. Tüm kullanıcı eylemleri, yalnızca güvenlik yöneticisi tarafından kullanılabilen bir günlüğe kaydedilir. Bu sınıfın araçları altında, genellikle yetkisiz erişime karşı koruma araçlarını anlarlar. Bunlar, bir donanım bölümünden oluşan donanım-yazılım kompleksleridir - artık ek olarak sabit diskteki kurcalamaya karşı koruma sisteminin yazılımının bütünlüğünü kontrol eden güvenilir bir bilgisayar önyükleme kartı ve bir yazılım parçası - bir yönetici programı, bir yerleşik modül. Bu programlar özel bir dizinde bulunur ve yalnızca yönetici tarafından kullanılabilir. Bu sistemler, kullanıcının işinde ihtiyaç duymadığı programları yüklemesini ve çalıştırmasını kısıtlamak için tek kullanıcılı bir sistemde de kullanılabilir.

    Güçlü ağ bağlantısı kimlik doğrulama araçları, bir ağ içindeki iş istasyonlarının çalışması, iş istasyonu kaynaklarını ağdan iş istasyonuna yetkisiz erişim tehdidinden ve bilgi veya yazılımdaki değişikliklerin yanı sıra yetkisiz bir işlemin başlatılması tehdidinden korumak için gereksinimler getirdiğinde kullanılır. . Ağdan yetkisiz erişime karşı koruma, güçlü kimlik doğrulama yoluyla sağlanır ağ bağlantıları. Bu teknolojiye sanal özel ağ teknolojisi denir.

    Yetkisiz erişime karşı korumanın ana görevlerinden biri, güvenilir kullanıcı kimliği (Şekil 3.13) ve aşağıdakilerle benzersiz bir şekilde tanımlanabilen herhangi bir ağ kullanıcısının kimliğini doğrulama yeteneği sağlamaktır:

    - kendini temsil eder.

    Kullanıcı ne biliyor? Adınız ve şifreniz. Parola kimlik doğrulama şemaları bu bilgiye dayanmaktadır. Bu şemaların dezavantajı, çoğu zaman gerçekleşmeyen karmaşık şifreleri hatırlaması gerektiğidir: ya şifre zayıf seçilir ya da basitçe bir deftere, bir kağıda vb. sadece şifre koruması kullanılarak, şifrelerin oluşturulmasının, saklanmasının, kullanım süresinin sona ermesinin ve zamanında kaldırılmasının izlenmesinin yönetimini sağlamak için uygun önlemler alınır. Kriptografik olarak kapatılan parolalar bu sorunu büyük ölçüde çözebilir ve bir saldırganın kimlik doğrulama mekanizmasını atlamasını zorlaştırabilir.

    Bir kullanıcının neleri olabilir? Elbette özel bir anahtar, dokunmatik bellek tableti (I-düğmesi), e-token, akıllı kart veya kullanıcı veritabanındaki girişinin şifrelendiği bir kriptografik anahtar gibi benzersiz bir tanımlayıcıdır. Böyle bir sistem en kararlı olanıdır, ancak kullanıcının her zaman yanında bir tanımlayıcıya sahip olmasını gerektirir; bu, çoğunlukla anahtarlığa takılıdır ve genellikle ya evde unutulur ya da kaybolur. Yönetici tanımlayıcıları sabah verirse ve bunu bir günlüğe yazarsa ve akşamları tekrar bir günlük girişi yaparak bunları depolamak için geri alırsa doğru olacaktır.

    Kullanıcı nedir? Bunlar, yalnızca bu kullanıcıya özgü, yalnızca ona özgü, biyometrik tanımlama sağlayan özelliklerdir. Bir tanımlayıcı parmak izi, iris deseni, avuç izi vb. olabilir. Şu anda bu, tanımlama araçlarının geliştirilmesinde en umut verici yöndür. Güvenilirdirler ve aynı zamanda kullanıcının herhangi bir şey hakkında ek bilgi sahibi olmasını veya herhangi bir şeye kalıcı olarak sahip olmasını gerektirmezler. Teknolojinin gelişmesi ve maliyeti ile bu fonlar her kuruluş için kullanılabilir hale gelir.

    Kullanıcı kimliğinin garantili olarak doğrulanması, çeşitli tanımlama ve kimlik doğrulama mekanizmalarının görevidir.

    Ağın her kullanıcısına (kullanıcı grubuna) belirli bir ayırt edici özellik - bir tanımlayıcı atanır ve onaylanan listeyle karşılaştırılır. Ancak, yalnızca ağda beyan edilen tanımlayıcı, kullanıcının kimliğini doğrulamadan yetkisiz bağlantıya karşı koruma sağlayamaz.

    Kullanıcının kimliğini doğrulama işlemine kimlik doğrulama denir. Kullanıcı tarafından sunulan özel bir ayırt edici özelliğin - kendisine özgü bir kimlik doğrulayıcının - yardımıyla gerçekleşir. Kimlik doğrulamanın etkinliği, her şeyden önce her kullanıcının ayırt edici özelliklerine göre belirlenir.

    Ağda tanımlama ve kimlik doğrulama için özel mekanizmalar, aşağıdaki bilgi güvenliği araçlarına ve prosedürlerine dayalı olarak uygulanabilir:

    – şifreler;

    - teknik araçlar;

    – biyometri araçları;

    – her kullanıcı için benzersiz anahtarlarla kriptografi.

    Bir veya başka bir aracın uygulanabilirliği sorunu, tanımlanan tehditlere, korunan nesnenin teknik özelliklerine bağlı olarak kararlaştırılır. Kriptografi kullanan donanım kullanımının sisteme yazılım kullanımına göre daha fazla güvenilirlik sağlayacağı kesin olarak söylenemez.

    Bir bilgi nesnesinin güvenliğinin analizi ve güvenliğine yönelik tehditlerin belirlenmesi son derece karmaşık bir prosedürdür. Eşit derecede karmaşık bir prosedür, tanımlanan tehditleri ortadan kaldırmak için teknolojilerin ve koruma araçlarının seçimidir. Bu sorunların çözümünü zengin deneyime sahip uzmanlara emanet etmek daha iyidir.

    Yetkisiz erişime karşı koruma (yetkisiz erişime karşı koruma), yetkisiz erişimin önlenmesi veya önemli ölçüde engellenmesidir.

    Bilgileri yetkisiz erişimden koruma araçları (NSD'den ISZ), yetkisiz erişimi önlemek veya önemli ölçüde engellemek için tasarlanmış bir yazılım, donanım veya yazılım ve donanım aracıdır.

    Bilgi güvenliği tesislerinin amacı ve genel sınıflandırması.

    NSD'den gelen IMS, evrensel ve özel (kapsama göre), özel ve karmaşık çözümler (çözülecek görev grubuna göre), yerleşik sistem araçları ve ek çözümler (uygulama yöntemine göre) olarak ayrılabilir.

    Sınıflandırma son derece önemlidir, çünkü her türden bir bilgi güvenliği tesisi oluştururken, geliştiriciler kesinlikle formüle eder ve karar verir. farklı görevler(bazen çelişkili). Böylece evrensel sistem araçlarının korunması kavramı “” ilkelerine dayanmaktadır. tam güven kullanıcı için", korumaları büyük ölçüde yararsızdır. kurumsal sistemlerörneğin, dahili BT tehditlerine karşı koyma sorunlarını çözerken. Günümüzün büyük çoğunluğunda, kurumsal bir ortamda kullanımla ilgili olarak evrensel işletim sistemlerinde yerleşik koruma mekanizmalarını geliştirmek için bilgi güvenliği araçları oluşturulur. Çözülmesi gereken görevlerin toplamından bahsediyorsak, o zaman burada hem mekanizmaların entegrasyonundan hem de etkili çözüm belirli bir koruma görevi ve karmaşık görevleri çözme açısından.

    NSD'den ek bilgi güvenliği sisteminin tüketici özellikleri (atama), ek aracın, işletim sisteminde yerleşik olan koruma mekanizmalarının mimari eksikliklerini, gerekli görevleri çözme ile ilgili olarak ne ölçüde ortadan kaldırdığına göre belirlenir. kurumsal uygulamalar ve bu bilgi koruma görevlerini ne kadar kapsamlı (etkili) çözdüğü.

    NSD'den bilgi güvenliği sisteminin etkinliğini değerlendirme sorunları

    Bilgi güvenliği sisteminin UA'ya karşı etkinliği, koruma mekanizmalarının uygulanmasının doğruluğu ve pratik kullanım koşullarına ilişkin bir dizi koruma mekanizmasının yeterliliği konuları incelenerek değerlendirilebilir.

    Koruma mekanizmalarının uygulanmasının doğruluğunun değerlendirilmesi

    İlk bakışta böyle bir değerlendirme yapmak kolaydır, ancak pratikte bu her zaman böyle değildir. Bir örnek: içinde NTFS dosyası nesne çeşitli şekillerde tanımlanabilir: tarafından verilen nesneleri dosyalamak için uzun isimler, iletişime geçebilirsiniz Kısa isim(yani, dizine " Program dosyaları”, “Progra~1” kısa adıyla anılabilir) ve bazı programlar dosya nesnelerine adla değil, kimlikle erişir. Bilgi sistemine kurulu bilgi güvenliği sistemi, bir dosya nesnesine erişmenin bu tür yalnızca bir yöntemini yakalayıp analiz etmezse, o zaman, genel olarak tamamen işe yaramaz hale gelir (er ya da geç bir saldırgan tanımlayacaktır). bu eksiklik koruyucu ekipman ve kullanın). Ayrıca, sistem kullanıcıları ve uygulamalar arasında paylaşılmayan dosya nesnelerinin, korumayı geçersiz kılan bir belgeyi eski sürüme geçirmek için bir "kanal" işlevi görebileceğini de belirtiyoruz. kesin bilgi. Benzer örnekler birçoğundan alıntı yapılabilir.

    Koruma mekanizmalarının uygulanmasının doğruluğuna ilişkin gereklilikler, “Rusya Devlet Teknik Komisyonu” düzenleyici belgesinde tanımlanmıştır. Rehberlik belgesi. Bilgisayar olanakları. Bilgilere yetkisiz erişime karşı koruma. NSD'den bilgiye güvenlik göstergeleri "; NSD'den bilgi güvenliği tesislerinin sertifikasyonunda kullanılır.

    Bu gereksinimler, gerektiği ölçüde belgede mevcuttur, doğrudur, ancak formüle edilmiştir. Genel görünüm(ve başka nasıl, aksi halde her işletim sistemi ailesi ve muhtemelen aynı ailenin her işletim sistemi uygulaması için kendi düzenleyici belgesini oluşturmak gerekli olacaktır) ve bir gereksinimi yerine getirmek için birkaç koruma mekanizmasının uygulanması gerekli olabilir. Bunun sonucu, bu gereksinimlerin yorumlanmasındaki belirsizlik (uygulamalarına yönelik yaklaşımlar açısından) ve bilgi güvenliği sistemindeki koruma mekanizmalarının geliştiricilerin yetkisiz erişimine karşı uygulanmasına yönelik temelde farklı yaklaşımların olasılığıdır. Sonuç, aynı resmileştirilmiş gereklilikleri uygulayan üreticiler için bilgi güvenliği sisteminin NSD'den farklı bir verimliliğidir. Ancak bu gerekliliklerden herhangi birine uyulmaması, bilgi güvenliğini sağlamaya yönelik tüm çabaları geçersiz kılabilir.

    Bir dizi koruma mekanizmasının yeterliliğinin (tamlığının) değerlendirilmesi

    Koruma mekanizmaları setinin yeterliliği (kullanım koşullarına göre eksiksizlik) gereklilikleri, “Rusya Devlet Teknik Komisyonu” belgesinde tanımlanmaktadır. Rehberlik belgesi. otomatik sistemler. Bilgilere yetkisiz erişime karşı koruma. NSD'den NSD'den IPS'de kullanım da dahil olmak üzere, bilgi nesnelerinin sertifikasyonunda kullanılan NSD'den bilgiye güvenlik göstergeleri. Bununla birlikte, burada durum büyük ölçüde yukarıda açıklanana benzer.

    Bu nedenle, korunan kaynaklara neyin atfedildiğini belirlemede bir belirsizliğin olduğu düzenleyici belgelerdeki gizli verileri korumak için NSD'den bilgi güvenliği tesisindeki mekanizmaların yeterliliğine ilişkin gereksinimin formülasyonunun genişletilmesi tavsiye edilir. örneğin aşağıdaki şekilde genişletilmesi tavsiye edilebilir: “Kaynakların bağlantısı, özellikle cihazlar, koşullara uygun olarak kontrol edilmelidir. pratik kullanım korunan bilgi işlem tesisi ve öznelerin korunan kaynaklara, özellikle bağlantı için izin verilen cihazlara erişiminin kontrolü.

    Sistemde her zaman mevcut olan kaynaklara erişimi kontrol etmeye yönelik mekanizmaların - dosya nesneleri, işletim sistemi kayıt nesneleri, vb. - önceden korunan ve her durumda yetkisiz erişime karşı bilgi güvenliği tesisinde ve dış kaynaklar söz konusu olduğunda, bilgi güvenliği tesisinin amacı dikkate alınarak mevcut olmalıdır. Bilgi güvenliği sisteminin amacı ağdaki bilgisayarları korumaksa, ağ kaynaklarına erişimi kontrol etmek için mekanizmalara sahip olmalıdır; korumaya hizmet ediyorsa bağımsız bilgisayarlar, o zaman ağ kaynaklarının bilgisayara bağlanmasının kontrolünü (yasaklanmasını) sağlamalıdır. Bize göre bu kural, istisnasız tüm kaynaklar için uygundur ve bilgi nesnelerini onaylarken bir dizi koruma mekanizması için temel bir gereklilik olarak kullanılabilir.

    Koruma mekanizmalarının yeterliliği ile ilgili sorular, yalnızca bir dizi kaynakla ilgili olarak değil, aynı zamanda çözülmekte olan bilgi koruma görevleriyle ilgili olarak da değerlendirilmelidir. Bilgisayar güvenliğini sağlamada benzer yalnızca iki görev vardır - iç ve dış BT tehditlerine karşı koymak.

    Dahili BT tehditlerine karşı koymanın genel görevi, çeşitli gizlilik kategorilerindeki verileri işleme gereksinimlerine uygun olarak kaynaklara erişimin farklılaştırılmasını sağlamaktır. Ayrımları belirlemek için farklı yaklaşımlar mümkündür: hesaplara göre, süreçlere göre, okunan belgenin kategorisine göre. Her biri yeterlilik için kendi gereksinimlerini belirler. Bu nedenle, ilk durumda, panoyu kullanıcılar arasında izole etmeniz gerekir; ikincisinde - süreçler arasında; üçüncü durumda, aynı uygulamaya sahip aynı kullanıcı farklı gizlilik kategorilerindeki verileri işleyebileceğinden, genellikle tüm kaynaklara erişim sınırlama politikasının tamamını kökten revize etmek gerekir.

    İşlemler arası iletişimin düzinelerce yolu vardır (adlandırılmış kanallar, bellek sektörleri vb.), bu nedenle kapanışı sağlamak gerekir yazılım ortamı- böyle bir değişim kanalını uygulayan bir programın başlatılması olasılığının önlenmesi. Ayrıca sistem ve uygulamalar tarafından paylaşılmayan kaynaklar, erişim konusunun kimliğinin doğruluğunun kontrolü, IPS'nin kendisinin yetkisiz erişime karşı korunması (bu sorunu etkili bir şekilde çözmek için gerekli koruma mekanizmalarının listesi çok fazla) vardır. etkileyici). Çoğu, düzenleyici belgelerde açıkça belirtilmemiştir.

    Bize göre, harici BT tehditlerine etkili bir şekilde karşı koyma görevi, yalnızca "süreç" konusu için bir sınırlayıcı politika belirlenirse çözülebilir (yani, "süreç", kaynaklara erişimin bağımsız bir konusu olarak düşünülmelidir). Bunun nedeni, dışarıdan bir saldırı tehdidi taşıyan kişinin kendisi olmasıdır. Düzenleyici belgelerde açıkça böyle bir gereklilik yoktur, ancak bu durumda bilgi koruma sorununun çözümü, kaynaklara erişimi kısıtlayıcı politikanın uygulanmasına yönelik temel ilkelerin temelden gözden geçirilmesini gerektirmektedir.

    Korunan kaynaklar kümesiyle ilgili koruma mekanizmalarının yeterliliği sorunları hala bir şekilde resmileştirmeye uygunsa, o zaman bilgi koruma görevleriyle ilgili olarak bu tür gereklilikleri resmileştirmek mümkün değildir.

    İÇİNDE bu durum NSD'den SZI farklı üreticiler resmi gereksinimlerin karşılanması normatif belgeler, hem uygulanan yaklaşımlarda ve teknik çözümlerde hem de genel olarak bu araçların etkinliğinde temel farklılıklara sahip olabilir.

    Sonuç olarak, UA'dan bir bilgi güvenliği tesisi seçme görevinin öneminin küçümsenmemesi gerektiğini not ediyoruz, çünkü bu, etkinliği yüksek veya düşük olamayacak özel bir teknik araç sınıfıdır. NSD'den bilgi güvenliği sisteminin gerçek etkinliğini değerlendirmenin karmaşıklığını göz önünde bulundurarak, tüketicinin NSD'den bir bilgi koruma sistemi seçme aşamasında uzmanları (tercihen bu sorunlarla pratik olarak karşılaşan geliştiriciler arasından) dahil etmesini öneriyoruz.

    Yetkisiz Erişim uygun yetkinin yokluğunda bilgileri okumak, güncellemek veya yok etmek.

    Yetkisiz erişim, kural olarak, başkasının adını kullanarak, cihazların fiziksel adreslerini değiştirerek, sorunları çözdükten sonra kalan bilgileri kullanarak, yazılımda değişiklik yaparak ve bilgi desteği, bir depolama ortamının çalınması, kayıt ekipmanının kurulması.

    Bilgilerini başarılı bir şekilde korumak için, kullanıcının olası durumlar hakkında kesinlikle net bir anlayışa sahip olması gerekir. yetkisiz erişim yolları. Ana listeleriz örnek yollar yetkisiz bilgi alımı:

    · depolama ortamının ve endüstriyel atıkların çalınması;

    koruma önlemlerinin aşılmasıyla bilgi taşıyıcılarının kopyalanması;

    kayıtlı bir kullanıcı olarak gizlenmek;

    aldatmaca (sistem istekleri altında maskeleme);

    eksikliklerin kullanımı işletim sistemleri ve programlama dilleri;

    · "Truva atı" gibi yazılım yer imlerinin ve yazılım bloklarının kullanımı;

    elektronik radyasyonun kesilmesi;

    akustik radyasyonun kesilmesi;

    uzaktan fotoğrafçılık;

    dinleme cihazlarının kullanımı;

    Koruma mekanizmalarının kötü niyetli olarak devre dışı bırakılması vb.

    Bilgileri yetkisiz erişime karşı korumak için şunları uygulayın:

    1) örgütsel önlemler;

    2) teknik araçlar;

    3) yazılım;

    4) şifreleme.

    Organizasyon etkinlikleri katmak:

    · giriş türü;

    ortam ve aygıtların bir kasada saklanması (disketler, monitör, klavye vb.);

    Kişilerin bilgisayar odalarına erişiminin kısıtlanması vb.

    teknik araçlar katmak:

    ekipman için filtreler, ekranlar;

    klavyeyi kilitlemek için tuş;

    Kimlik doğrulama cihazları - parmak izi, el şekli, iris, yazdırma hızı ve teknikleri vb. okumak için;

    · elektronik anahtarlar mikro devrelerde vb.

    Yazılım katmak:

    şifre erişimi – kullanıcının yetkisini ayarlamak;

    Norton Utilites paketindeki Diskreet yardımcı programında bir tuş kombinasyonunu kullanarak ekranı ve klavyeyi kilitleme;

    fon kullanımı şifre koruması BIOS - BIOS'un kendisinde ve bir bütün olarak PC'de vb.

    şifreleme bu dönüşüm (kodlama) açık bilgişifrelenmiş, yabancıların anlayabileceği şekilde erişilemez. Şifreleme, öncelikle gizli bilgileri güvenli olmayan iletişim kanalları üzerinden aktarmak için kullanılır. Herhangi bir bilgiyi - metinleri, resimleri, sesleri, veritabanlarını vb. - şifreleyebilirsiniz. İnsanlık, zamanın başlangıcından beri şifreleme kullanıyor. gizli bilgi, düşmanlardan saklanması gereken. Bilimin bildiği ilk şifreli mesaj, o zamanlar kabul edilen hiyerogliflerin yerine başka karakterlerin kullanıldığı bir Mısır metnidir. Bir mesajı şifreleme ve şifresini çözme yöntemleri bilim tarafından incelenir kriptoloji yaklaşık dört bin yıllık bir geçmişe sahiptir. İki koldan oluşur: kriptografi ve kriptanaliz.

    kriptografi bilgilerin nasıl şifrelendiği bilimidir. Kriptanaliz - Bu, şifreleri açma yöntemleri ve yolları bilimidir.

    Genellikle şifreleme algoritmasının kendisinin herkes tarafından bilindiği varsayılır, ancak anahtarı bilinmez ve bu olmadan mesajın şifresi çözülemez. Bu, mesajı kurtarmak için yalnızca kodlama algoritmasını bilmenin yeterli olduğu şifreleme ve basit kodlama arasındaki farktır.

    Anahtar algoritma tarafından sağlanan tüm seçeneklerden belirli bir dönüşümü seçmenize izin veren şifreleme algoritmasının (şifreleme) bir parametresidir. Anahtarı bilmek, mesajları serbestçe şifrelemenizi ve şifrelerini çözmenizi sağlar.

    Tüm şifreler (şifreleme sistemleri) simetrik ve asimetrik (ortak anahtarlı) olmak üzere iki gruba ayrılır. simetrik şifre mesajları şifrelemek ve şifresini çözmek için aynı anahtarın kullanıldığı anlamına gelir. olan sistemlerde Genel anahtar iki anahtar kullanılır - genel ve özel, bazı matematiksel bağımlılıklar kullanılarak birbiriyle ilişkilidir. Bilgi, herkesin kullanımına açık bir genel anahtar kullanılarak şifrelenir ve yalnızca mesajın alıcısı tarafından bilinen özel bir anahtar kullanılarak şifresi çözülür.

    Şifrenin kriptografik gücüşifrenin, anahtarın bilgisi olmadan şifrenin çözülmesine karşı gösterdiği dirençtir. Kalıcı bir algoritma, başarılı ifşa için, düşmandan ulaşılamaz bilgi işlem kaynakları, ulaşılamaz bir miktarda ele geçirilmiş mesaj veya süresi dolduktan sonra korunan bilginin artık alakalı olmayacağı bir süre gerektiren algoritmadır.

    En ünlü ve en eski şifrelerden biri - sezar şifresi. Bu şifrede, her harf, alfabede sağında belirli sayıda k konumunda bulunan bir başkasıyla değiştirilir. Alfabe bir halka şeklinde kapatılır, böylece son karakterler ilk karakterlerle değiştirilir. Sezar şifresi şunu ifade eder: basit ikame şifresi, orijinal mesajın her karakteri aynı alfabeden başka bir karakterle değiştirildiğinden. Bu şifreler kullanılarak kolayca kırılır frekans analizi, çünkü her dilde harf frekansları, yeterince büyük herhangi bir metin için kabaca sabittir.

    Kırılması önemli ölçüde daha zor Vigenere şifresi, Sezar şifresinin doğal bir gelişimi haline geldi. Vigenère şifresini kullanmak için şunu kullanın: anahtar kelime, değişken bir kaydırma miktarını belirtir. Vigenère şifresi, Sezar şifresinden çok daha güvenlidir. Bu, onu açmanın - doğru anahtar kelimeyi bulmanın daha zor olduğu anlamına gelir. Teorik olarak, anahtar uzunluğu mesajın uzunluğuna eşitse ve her anahtar yalnızca bir kez kullanılıyorsa, Vigenère şifresi kırılamaz.

    Yetkisiz erişim (UA), korunan bilgilere erişme hakkı olmayan bir kişi tarafından gizli bilgilerin kasıtlı olarak yasa dışı olarak bulundurulmasıdır. ND'den bilgiye giden en yaygın yollar şunlardır:

    • dinleme cihazlarının kullanımı;
    • uzaktan fotoğrafçılık;
    • bilgi taşıyıcılarının ve belge atıklarının çalınması;
    • yetkili isteklerin yerine getirilmesinden sonra sistem belleğindeki artık bilgilerin okunması;
    • bilgiye erişim sağlayan özel olarak tasarlanmış donanımların ekipman ve iletişim hatlarına yasa dışı bağlantı;
    • koruma mekanizmalarının kötü niyetli olarak etkisiz hale getirilmesi;
    • koruma önlemlerinin aşılmasıyla bilgi taşıyıcılarının kopyalanması;
    • kayıtlı bir kullanıcı olarak gizlenmek;
    • şifrelenmiş bilgilerin şifresinin çözülmesi;
    • bilgi enfeksiyonları vb.

    Listelenen ND yöntemlerinden bazıları oldukça fazla teknik bilgi ve uygun donanım veya yazılım geliştirme, diğerleri oldukça ilkel. Yoldan bağımsız olarak, bilgi sızıntısı kuruluşa ve kullanıcılara önemli zararlar verebilir.

    ND'nin listelenen teknik yollarının çoğu, uygun şekilde tasarlanmış ve uygulanmış bir güvenlik sistemi ile güvenilir bir şekilde engellenebilir. Bununla birlikte, genellikle hasar "kötü niyet" nedeniyle değil, hayati verileri yanlışlıkla bozan veya silen temel kullanıcı hataları nedeniyle verilir.

    Uygulanan boyuttaki önemli farka rağmen malzeme hasarı, bilgi güvenliği sorununun yalnızca ilgili olmadığı belirtilmelidir. tüzel kişiler. Herhangi bir kullanıcı hem işte hem de evde yüzleşebilir. Bu konuda tüm kullanıcıların sorumluluk ölçüsünün farkında olması ve kurallara uyması gerekmektedir. temel kurallar bilgilerin işlenmesi, iletilmesi ve kullanılması.

    ND sorununu bilgiye çözmeyi amaçlayan koruyucu mekanizmalar şunları içerir:

    • erişim kontrolü - bilgi sisteminin tüm kaynaklarının kullanımını düzenleyerek bilgileri koruma yöntemleri;
    • kayıt ve muhasebe - korunan kaynaklara yapılan aramaların günlüğe kaydedilmesi ve istatistikleri;
    • çeşitli şifreleme mekanizmalarının kullanımı (bilginin kriptografik olarak kapatılması) - bu koruma yöntemleri, bilgilerin manyetik ortamdaki işlenmesinde ve depolanmasında ve ayrıca uzun iletişim kanalları üzerinden iletilmesinde yaygın olarak kullanılmaktadır;
    • yasal önlemler - kısıtlı erişim bilgilerinin kullanımı, işlenmesi ve iletilmesi ile ilgili kuralları düzenleyen ve bu kuralların ihlali için sorumluluk oluşturan ülkenin yasal düzenlemeleri tarafından belirlenir;
    • fiziksel önlemler - fiziksel olarak engelleyen çeşitli mühendislik cihazlarını ve yapıları içerir

    kötü niyetli kişilerin korunan nesnelere nüfuz etmesi ve personelin, maddi araçların, yasa dışı eylemlerden bilgilerin korunmasının sağlanması.

    Giriş kontrolu

    Üç genelleştirilmiş veri erişim kontrol mekanizması vardır: kullanıcı tanımlama, doğrudan (fiziksel) veri koruma ve aktarım olasılığı ile birlikte verilere kullanıcı erişim hakları için destek.

    Kullanıcı kimliği, farklı veritabanlarına veya veritabanlarının bölümlerine (ilişkiler veya nitelikler) erişim ölçeğini tanımlar. Bu, özünde, bir sıralama bilgi tablosudur. Fiziksel veri koruması daha çok kurumsal bir önlemdir, ancak kodlama gibi bazı sorunlar doğrudan verilerle ilgili olabilir. Ve son olarak, erişim haklarını destekleme ve aktarma araçları, verilerle farklılaştırılmış iletişimin doğasını kesin olarak tanımlamalıdır.

    Yazılım parolalarını kullanarak koruma yöntemi. Yazılım tarafından uygulanan bu yönteme göre, kullanıcının PC ile olan iletişim prosedürü, işletim sistemine veya belirli dosyalarşifre girilene kadar Parola, kullanıcı tarafından gizli tutulur ve izinsiz kullanımı önlemek için periyodik olarak değiştirilir.

    Parola yöntemi en basit ve en ucuz yöntemdir, ancak güvenilir koruma sağlamaz. Deneme yanılma yöntemi veya özel programlar kullanılarak bir parolanın gözetlenebileceği veya alınabileceği ve verilere erişilebileceği bir sır değil. Ayrıca, parola yönteminin ana güvenlik açığı, kullanıcıların genellikle çok basit ve hatırlaması (ve dolayısıyla tahmin etmesi) kolay, uzun süre değişmeyen ve kullanıcı değiştirirken genellikle aynı kalan parolaları seçmesidir. Bu eksikliklere rağmen, birçok durumda şifre yönteminin kullanılması, diğer donanım ve yazılım koruma yöntemlerinin varlığında bile rasyonel olarak değerlendirilmelidir. Tipik olarak, program parola yöntemi, erişim türleri ve nesneleri üzerindeki kısıtlamaları belirleyen diğer program yöntemleriyle birleştirilir.

    Bilgileri yetkisiz erişimden koruma sorunu, yerel ve özellikle küresel bilgisayar ağlarının yaygın kullanımıyla özellikle şiddetli hale geldi. Bu bağlamda, erişim kontrolüne ek olarak, bilgisayar ağlarında gerekli bir bilgi koruma unsuru, kullanıcı yetkilerinin sınırlandırılmasıdır.

    Bilgisayar ağlarında, erişim kontrolü ve kullanıcı yetkilerinin farklılaştırılması düzenlenirken, çoğunlukla ağ işletim sistemlerinin (OS) yerleşik araçları kullanılır. Güvenli işletim sistemlerinin kullanılması, temel koşullar modern bina bilgi sistemi. Örneğin, UNIX işletim sistemi, bir dosya sahibinin diğer kullanıcılara dosyalarının her biri için salt okuma veya salt yazma hakları vermesine izin verir. Ülkemizde en yaygın kullanılan işletim sistemi, ND'den bilgiye gerçekten korunan bir ağ oluşturmak için giderek daha fazla fırsata sahip olan Windows NT'dir. NetWare işletim sistemi yanında standart araçlarşifreler sistemi ve yetkilerin farklılaştırılması gibi erişim kısıtlamaları, birinci sınıf veri koruması sağlayan bir dizi yeni özelliğe sahiptir, verilerin "genel anahtar" ilkesine göre kodlanması olasılığını sağlar ( RSA algoritması) ağ üzerinden iletilen paketler için elektronik imza oluşumu ile.

    Aynı zamanda, böyle bir koruma organizasyonu sisteminde hala zayıf bir nokta var: erişim düzeyi ve sisteme girme yeteneği bir parola ile belirlenir. Yetkisiz erişim olasılığını ortadan kaldırmak için bilgisayar ağı Son zamanlarda, birleşik bir yaklaşım kullanıldı - kişisel bir "anahtar" ile bir şifre + kullanıcı kimliği. "Anahtar" olarak plastik bir kart (manyetik veya gömülü mikro devre - akıllı kart) kullanılabilir veya çeşitli cihazlar bir kişinin biyometrik bilgilerle tanımlanması için - gözün irisi veya parmak izleri, elin boyutu vb.

    Manyetik şeritli plastik kartların sahtesi kolaylıkla yapılabilir. Akıllı kartlar - sözde mikroişlemci kartları (MP-kart-noktaları) tarafından daha yüksek derecede güvenilirlik sağlanır. Güvenilirlikleri, öncelikle, el işi bir şekilde kopyalamanın veya dövmenin imkansızlığından kaynaklanmaktadır. Ayrıca kartların üretimi sırasında her çip girilir. benzersiz kod, çoğaltılamaz. Bir kullanıcıya kart verirken, yalnızca sahibi tarafından bilinen bir veya daha fazla şifre uygulanır. Bazı MP-kart türleri için, yetkisiz kullanım girişimi otomatik olarak "kapanmasıyla" sona erer. Böyle bir kartın performansını eski haline getirmek için kartın ilgili makama sunulması gerekir. Ek olarak, MP-card-check teknolojisi, üzerine kaydedilen verilerin aşağıdakilere uygun olarak şifrelenmesini sağlar: DES standardı. Özel bir okuyucu MP kartlarının kurulumu, yalnızca bilgisayarların bulunduğu tesislerin girişinde değil, aynı zamanda doğrudan iş istasyonlarında ve ağ sunucularında da mümkündür.

    Bu yaklaşım, şifre kullanmaktan çok daha güvenilirdir, çünkü şifre gözetlenirse, kullanıcının bundan haberi olmayabilir, ancak kart eksikse hemen harekete geçebilirsiniz.

    Akıllı erişim kontrol kartları, özellikle erişim kontrolü, kişisel bilgisayar cihazlarına erişim, programlara, dosyalara ve komutlara erişim gibi işlevleri uygulamanıza olanak tanır. Ek olarak, özellikle kaynaklara erişimi ihlal etme girişimlerinin kaydı, yasaklanmış yardımcı programların, programların, DOS komutlarının kullanımı gibi kontrol işlevlerini uygulamak da mümkündür.

    İşletmelerin genişlemesi, personel sayısının artması ve yeni şubelerin ortaya çıkmasıyla birlikte, uzak kullanıcıların (veya kullanıcı gruplarının) bilgi işlem ve bilgi kaynaklarışirketin ana ofisi. Çoğu zaman, uzaktan erişimi düzenlemek için kablo hatları (normal telefon veya özel) ve radyo kanalları kullanılır. Bu bağlamda, uzaktan erişim kanalları aracılığıyla iletilen bilgilerin korunması özel bir yaklaşım gerektirmektedir.

    Özellikle, uzaktan erişim köprüleri ve yönlendiricileri, paket bölümlemesini kullanır - bunların ayrılması ve iki hat üzerinden paralel olarak iletilmesi - bu, bir "hacker" hatlardan birine yasa dışı bir şekilde bağlandığında verilerin "araya alınmasını" imkansız hale getirir. Ek olarak, veri iletimi sırasında kullanılan iletilen paketleri sıkıştırma prosedürü, "ele geçirilen" verilerin şifresinin çözülememesini sağlar. Ayrıca, uzaktan erişim köprüleri ve yönlendiricileri programlanabilir, böylece uzak kullanıcılar ana terminalin belirli ağ kaynaklarına erişimde sınırlı olacaktır.

    Otomatik geri arama yöntemi daha fazlasını sağlayabilir güvenilir koruma basitten daha yetkisiz erişime karşı sistemler yazılım şifreleri. Bu durumda, kullanıcının şifreleri hatırlaması ve gizliliklerini izlemesi gerekmez. Geri arama sistemi fikri oldukça basittir. Merkezi veritabanından uzaktaki kullanıcılar doğrudan erişemez. İlk önce erişimleri var özel program karşılık gelen tanımlama kodları verilir. Bundan sonra bağlantı kesilir ve tanımlama kodları kontrol edilir. İletişim kanalı üzerinden gönderilen kodun doğru olması durumunda tarih, saat ve telefon numarası eş zamanlı olarak sabitlenerek kullanıcı geri aranır. Bu yöntemin dezavantajı, düşük hız değişim - ortalama gecikme süresi onlarca saniye olarak hesaplanabilir.

    Veri Şifreleme Yöntemi

    Yunancadan çevrilen kriptografi kelimesi gizli yazı anlamına gelir. Bu en çok biridir etkili yöntemler koruma. Geleneksel güvenlik önlemleri baypas edilebilse bile, yetkisiz erişim prosedürlerini karmaşık hale getirmek için özellikle yararlı olabilir. Yukarıda tartışılan yöntemlerden farklı olarak, kriptografi iletilen mesajları gizlemez, ancak bunları erişim hakları olmayan kişiler için anlaşılmaz bir forma dönüştürür, bilgi etkileşimi sürecinde bilgilerin bütünlüğünü ve gerçekliğini sağlar.

    İletime hazır bilgiler, bazı şifreleme algoritmaları ve bir şifreleme anahtarı kullanılarak şifrelenir. Bu işlemlerin bir sonucu olarak, bir şifreye dönüştürülür, yani. kapalı metin veya grafik görüntü ve bu formda iletişim kanalı üzerinden iletilir. Ortaya çıkan şifreli çıktı, anahtarın sahibi dışında kimse tarafından anlaşılamaz.

    Bir şifre genellikle, her biri anahtar adı verilen bir parametre ve uygulama sırası tarafından belirlenen, tersine çevrilebilir dönüşümler ailesi olarak anlaşılır. verilen dönüşüm, şifreleme modu olarak adlandırılır. Genellikle anahtar, bazı alfabetik veya sayısal dizidir.

    Her dönüşüm, bir anahtar tarafından benzersiz bir şekilde tanımlanır ve bazı şifreleme algoritmaları tarafından tanımlanır. Örneğin, şifreleme algoritması, alfabenin her harfinin bir sayı ile değiştirilmesini sağlayabilir ve bu alfabedeki harflerin numaralarının sırası anahtar olabilir. Şifreli veri alışverişinin başarılı olabilmesi için gönderen ve alıcının doğru anahtarı bilmesi ve bunu gizli tutması gerekir.

    Aynı algoritma, farklı modlarda şifreleme için kullanılabilir. Her şifreleme modunun hem avantajları hem de dezavantajları vardır. Bu nedenle, mod seçimi özel duruma bağlıdır. Şifre çözerken, genel durumda şifreleme için kullanılan algoritmadan farklı olabilen bir kriptografik algoritma kullanılır, bu nedenle karşılık gelen anahtarlar da farklı olabilir. Bir çift şifreleme ve şifre çözme algoritmasına kriptosistem (şifreleme sistemi) denir ve bunları uygulayan cihazlara şifreleme teknolojisi denir.

    Simetrik ve asimetrik şifreleme sistemleri vardır. İÇİNDE simetrik kriptosistemlerşifreleme ve şifre çözme için aynı özel anahtar kullanılır. Asimetrik şifreleme sistemlerinde, şifreleme ve şifre çözme için kullanılan anahtarlar farklıdır ve bunlardan biri private, diğeri ise public (public)'dir.

    Oldukça farklı algoritmalar var kriptografik koruma DES, RSA, GOST 28147-89, vb. uygulamalı teknik cihazlar, operasyonel güvenilirlik vb.).

    Veri şifreleme geleneksel olarak hükümet ve savunma departmanları tarafından kullanılmıştır, ancak ihtiyaçlar değiştikçe, daha yerleşik şirketlerden bazıları bilgileri gizli tutmak için şifrelemenin gücünü kullanmaya başlıyor. Finansal hizmetler şirketleri (esas olarak ABD'de) önemli ve geniş bir kullanıcı tabanını temsil eder ve genellikle şifreleme sürecinde kullanılan algoritmaya özel gereksinimler konur.

    fitil Veri Şifreleme Standardı (DES), 1970'lerin başında IBM tarafından geliştirilmiştir. ve şu anda şifreleme için hükümet standardıdır dijital bilgi. Amerikan Bankacılar Birliği tarafından tavsiye edilmektedir. Sofistike DES algoritması, 8 bit eşliğe sahip 56 bitlik bir anahtar kullanır ve bir saldırganın 72 katrilyon olası tuş kombinasyonunu denemesini gerektirir ve düşük maliyetle yüksek derecede koruma sağlar. Algoritma, sık anahtar değişiklikleriyle, gizli bilgileri erişilemez hale getirme sorununu tatmin edici bir şekilde çözer. Aynı zamanda, ticari sistemler pazarı her zaman devlet veya savunma departmanları kadar sıkı koruma gerektirmez, bu nedenle PGP (Pretty Good Privacy) gibi başka türde ürünler de mümkündür. Veri şifreleme Çevrimiçi (bilgi alma hızında) ve Çevrimdışı (özerk) modlarda gerçekleştirilebilir.

    RSA algoritması, R.L. Rivest, A. Shamir ve L. Aldeman tarafından 1978 yılında ortaya atılmıştır ve kriptografide ileriye doğru önemli bir adımı temsil etmektedir. Bu algoritma ayrıca Ulusal Standartlar Bürosu tarafından bir standart olarak benimsenmiştir.

    DES teknik olarak simetrik bir algoritmadır, RSA ise asimetrik bir algoritmadır - her kullanıcının iki anahtarı olduğu ve yalnızca birinin gizli olduğu paylaşılan bir sistem. Genel anahtar, kullanıcı tarafından mesajı şifrelemek için kullanılır, ancak yalnızca belirli bir alıcı kendi özel anahtarıyla mesajın şifresini çözebilir; genel anahtar bunun için işe yaramaz. Bu, muhabirler arasında gizli anahtar transfer anlaşmalarını gereksiz kılar. DES, veri uzunluğunu ve bit cinsinden anahtarı belirtirken, RSA herhangi bir anahtar uzunluğu ile uygulanabilir. Anahtar ne kadar uzunsa, güvenlik düzeyi de o kadar yüksek olur (ancak şifreleme ve şifre çözme süreci uzar). DES anahtarları mikrosaniye cinsinden üretilebiliyorsa, bir RSA anahtarı oluşturmak için yaklaşık süre onlarca saniyedir. Bu nedenle, RSA ortak anahtarları geliştiriciler tarafından tercih edilir. yazılım araçları DES gizli anahtarları ise donanım geliştiricileridir.

    Elektronik belgeleri değiş tokuş ederken, taraflardan biri yükümlülüklerinden (yetkiden feragat) ve ayrıca göndericiden alınan mesajların tahrif edilmesinden (yazarlığın atfedilmesi) feragat edebilir. Bu sorunu çözmenin ana mekanizması, el yazısı imzanın bir analogunun oluşturulmasıdır - elektronik elektronik imza(İŞLEMCİ). CPU'ya iki ana gereksinim uygulanır: yüksek sahtecilik karmaşıklığı ve doğrulama kolaylığı.

    Bir CPU oluşturmak için hem simetrik hem de asimetrik şifreleme sistemleri kullanılabilir. İlk durumda, gizli bir anahtarla şifrelenmiş mesajın kendisi imza görevi görebilir. Ancak her kontrolden sonra gizli anahtar bilinir hale gelir. Bu durumdan kurtulmak için, abonelerden birinin anahtarından gelen mesajları diğerinin anahtarına yeniden şifreleyen herhangi bir tarafın güvendiği bir aracı olan üçüncü bir tarafın tanıtılması gerekir.

    Asimetrik şifreleme sistemleri, bir CPU için gereken tüm özelliklere sahiptir. CPU oluşturmak için iki olası yaklaşım vardır.

    • 1. Mesajın, mesajın kendisinin geri yüklenebileceği ve böylece imzanın doğruluğunun doğrulanabileceği bir forma dönüştürülmesi.
    • 2. İmza orijinal mesajla birlikte hesaplanır ve iletilir.

    Bu nedenle, farklı şifreler için, şifre çözme görevi - anahtar bilinmiyorsa bir mesajın şifresini çözme - farklı bir karmaşıklığa sahiptir. Bu görevin karmaşıklık düzeyi, şifrenin ana özelliğini belirler - düşmanın korunan bilgileri ele geçirme girişimlerine direnme yeteneği. Bu bağlamda, daha güvenli ve daha az güvenli şifreler arasında ayrım yaparak şifrenin kriptografik gücünden bahsediyorlar. En popüler şifreleme yöntemlerinin özellikleri Tablo'da verilmiştir. 10.1.

    Tablo 10.1. En yaygın şifreleme yöntemlerinin özellikleri

    Devamını oku: