قائمة طعام
مجاني
التسجيل
الصفحة الرئيسية  /  إنترنت/ التهديدات في شبكة الشركة ونصائح لتحسين الحماية. ضمان الأمن في شبكات الشركات الموازنة بين التهديدات والحماية

تهديدات على شبكة الشركة ونصائح لتحسين الحماية. ضمان الأمن في شبكات الشركات الموازنة بين التهديدات والحماية

تُستخدم أنظمة المعلومات التي تنتمي فيها مرافق نقل البيانات إلى شركة واحدة فقط لتلبية احتياجات هذه الشركة ؛ ومن المعتاد استدعاء شبكة على مستوى المؤسسة بشبكة كمبيوتر الشركة (CS). KS هي شبكة داخلية خاصة لمنظمة توحد موارد الحوسبة والاتصال والمعلومات لهذه المنظمة وهي مصممة لنقل البيانات الإلكترونية ، والتي يمكن أن تكون أي معلومات ، لذلك ، بناءً على ما سبق ، يمكننا القول أن السياسة الخاصة لها تم تعريفه ضمن KS الذي يصف أدوات الأجهزة والبرامج المستخدمة ، وقواعد وصول المستخدمين إلى موارد الشبكة ، وقواعد إدارة الشبكة ، والتحكم في استخدام الموارد ، ومواصلة تطوير الشبكة. شبكة الشركة هي شبكة من منظمة منفصلة.

يمكن صياغة تعريف مشابه إلى حد ما بناءً على مفهوم شبكة الشركة الواردة في عمل V.G. Olifer. وأوليفر ن. "شبكات الحاسوب: المبادئ والتقنيات والبروتوكولات": أي منظمة هي مجموعة من العناصر المتفاعلة (الأقسام) ، كل منها يمكن أن يكون له هيكله الخاص. العناصر مترابطة وظيفيا ، أي يؤدون أنواعًا معينة من العمل في إطار عملية تجارية واحدة ، بالإضافة إلى المعلومات وتبادل المستندات والفاكسات والأوامر الكتابية والشفوية ، إلخ. بالإضافة إلى ذلك ، تتفاعل هذه العناصر مع الأنظمة الخارجية ، ويمكن أن يكون تفاعلها أيضًا إعلاميًا ووظيفيًا. وهذا الوضع ينطبق على جميع المنظمات تقريبًا ، بغض النظر عن نوع النشاط الذي تمارسه - لمؤسسة حكومية ، أو بنك ، أو مؤسسة صناعية ، أو شركة تجارية ، إلخ.

تسمح لنا هذه النظرة العامة للمؤسسة بصياغة بعض المبادئ العامة لبناء أنظمة معلومات الشركة ، أي نظم المعلومات في جميع أنحاء المنظمة.

شبكة الشركة هي نظام يوفر نقل المعلومات بين مختلف التطبيقات المستخدمة في نظام الشركة. شبكة الشركة هي أي شبكة تستخدم بروتوكول TCP / IP وتستخدم معايير الاتصال عبر الإنترنت ، بالإضافة إلى تطبيقات الخدمة التي توفر تسليم البيانات لمستخدمي الشبكة. على سبيل المثال ، قد تقوم شركة ما بإعداد خادم ويب لنشر الإعلانات وجداول الإنتاج ومستندات الخدمة الأخرى. يصل الموظفون إلى المستندات التي يحتاجون إليها باستخدام متصفحات الويب.

يمكن لخوادم الويب على شبكة الشركة توفير خدمات تشبه الإنترنت للمستخدمين ، مثل العمل مع صفحات النص التشعبي (التي تحتوي على نصوص وارتباطات تشعبية ورسومات وتسجيلات صوتية) ، وتوفير الموارد اللازمة حسب طلب عملاء الويب والوصول إلى قواعد البيانات. في هذا الدليل ، يُشار إلى جميع خدمات النشر باسم "خدمات الإنترنت" بغض النظر عن مكان استخدامها (على الإنترنت أو على شبكة الشركة).

شبكة الشركة ، كقاعدة عامة ، يتم توزيعها جغرافيًا ، أي توحيد المكاتب والأقسام والهياكل الأخرى الموجودة على مسافة كبيرة من بعضها البعض. تختلف المبادئ التي تُبنى عليها شبكة الشركة تمامًا عن تلك المستخدمة في إنشاء شبكة محلية. هذا القيد أساسي ، وعند تصميم شبكة الشركة ، يجب اتخاذ جميع التدابير لتقليل كمية البيانات المنقولة. بالنسبة للباقي ، يجب ألا تفرض شبكة الشركة قيودًا على التطبيقات وكيفية معالجتها للمعلومات المنقولة عبرها. من السمات المميزة لهذه الشبكة أنها تشغل معدات من مختلف الشركات المصنعة والأجيال ، فضلاً عن البرامج غير المتجانسة التي لا يتم توجيهها في البداية نحو معالجة البيانات المشتركة.

لتوصيل المستخدمين عن بُعد بشبكة الشركة ، فإن الخيار الأبسط والأكثر تكلفة هو استخدام اتصال هاتفي. يمكن استخدام شبكات ISDN حيثما أمكن ذلك. في معظم الحالات ، تُستخدم شبكات نقل البيانات العالمية لتوصيل عقد الشبكة. حتى عندما يكون من الممكن وضع خطوط مخصصة (على سبيل المثال ، داخل نفس المدينة) ، فإن استخدام تقنيات تبديل الحزمة يسمح بتقليل عدد قنوات الاتصال الضرورية - وهو أمر مهم - لضمان توافق النظام مع العالمية الحالية الشبكات.

إن توصيل شبكة شركة بالإنترنت له ما يبرره إذا كنت بحاجة إلى الوصول إلى الخدمات المناسبة. هناك رأي في العديد من الأعمال حول الاتصال بالإنترنت: يجدر استخدام الإنترنت كوسيلة لنقل البيانات فقط عندما تكون الطرق الأخرى غير متوفرة وتكون الاعتبارات المالية تفوق متطلبات الموثوقية والأمان. إذا كنت ستستخدم الإنترنت كمصدر للمعلومات فقط ، فمن الأفضل استخدام تقنية الاتصال عند الطلب. بهذه الطريقة للاتصال ، عندما يتم إنشاء الاتصال بموقع الإنترنت بمبادرتك فقط وفي الوقت الذي تحتاجه. هذا يقلل بشكل كبير من مخاطر الوصول غير المصرح به إلى شبكتك من الخارج.

لنقل البيانات داخل شبكة الشركة ، من المفيد أيضًا استخدام الدوائر الافتراضية لشبكات تبديل الحزمة. تتمثل المزايا الرئيسية لهذا النهج في التنوع والمرونة والسلامة.

نتيجة لدراسة بنية شبكات المعلومات (IS) وتكنولوجيا معالجة البيانات ، يجري تطوير مفهوم أمن المعلومات في نظم المعلومات. يعكس المفهوم النقاط الرئيسية التالية:

  • 1) تنظيم شبكة المنظمة
  • 2) التهديدات الحالية لأمن المعلومات ، وإمكانية تنفيذها والأضرار المتوقعة من هذا التنفيذ ؛
  • 3) تنظيم تخزين المعلومات في الدولة الإسلامية.
  • 4) تنظيم معالجة المعلومات ؛
  • 5) تنظيم وصول الأفراد إلى هذه المعلومات أو تلك ؛
  • 6) مسؤولية الأفراد عن ضمان السلامة.

تطوير هذا الموضوع ، بناءً على مفهوم أمن المعلومات في IS ، الموضح أعلاه ، تم اقتراح مخطط أمان ، يجب أن يستوفي هيكله الشروط التالية:

الحماية من الاختراق غير المصرح به لشبكة الشركة واحتمال تسرب المعلومات عبر قنوات الاتصال.

تحديد تدفق المعلومات بين قطاعات الشبكة.

حماية موارد الشبكة الهامة.

الحماية المشفرة لمصادر المعلومات.

للحصول على دراسة تفصيلية للشروط الأمنية المذكورة أعلاه ، من المستحسن إبداء رأي: للحماية من الدخول غير المصرح به وتسرب المعلومات ، يُقترح استخدام جدران الحماية أو جدران الحماية. في الواقع ، جدار الحماية عبارة عن بوابة تحمي الشبكة من الوصول غير المصرح به من الخارج (على سبيل المثال ، من شبكة أخرى).

هناك ثلاثة أنواع من جدران الحماية:

بوابة طبقة التطبيق غالبًا ما تسمى بوابة طبقة التطبيق بالخادم الوكيل وتعمل كمرحل للبيانات لعدد محدود من تطبيقات المستخدم. بمعنى ، إذا كانت البوابة لا تدعم تطبيقًا معينًا ، فلن يتم توفير الخدمة المقابلة ، ولا يمكن لبيانات من النوع المقابل المرور عبر جدار الحماية.

تصفية جهاز التوجيه. تصفية جهاز التوجيه. بتعبير أدق ، إنه جهاز توجيه ، تشمل وظائفه الإضافية تصفية الحزم (موجه تصفية الحزمة). تُستخدم على شبكات تبديل الحزم في وضع مخطط البيانات. أي في تلك التقنيات الخاصة بإرسال المعلومات عن شبكات الاتصالات التي لا يوجد فيها مستوى التشوير (إنشاء اتصال أولي بين تجهيزات المستعمل وتجهيز المستعمل) (على سبيل المثال ، IP V 4). في هذه الحالة ، يعتمد قرار نقل حزمة البيانات المستلمة عبر الشبكة على قيم حقول رأس طبقة النقل الخاصة بها. لذلك ، عادةً ما يتم تنفيذ هذه الأنواع من جدران الحماية كقائمة من القواعد التي تنطبق على قيم حقول رأس النقل.

تبديل بوابة طبقة. بوابة مستوى التبديل - يتم تنفيذ الحماية في مستوى التحكم (على مستوى التشوير) من خلال السماح بتوصيلات معينة أو رفضها.

يتم إعطاء مكان خاص لحماية التشفير لموارد المعلومات في شبكات الشركات. نظرًا لأن التشفير هو أحد أكثر الطرق موثوقية لحماية البيانات من الوصول غير المصرح به. من سمات استخدام وسائل التشفير التنظيم التشريعي الصارم. حاليًا ، في شبكات الشركات ، يتم تثبيتها فقط في أماكن العمل تلك حيث يتم تخزين معلومات ذات درجة عالية جدًا من الأهمية.

لذلك ، وفقًا لتصنيف وسائل الحماية المشفرة لموارد المعلومات في شبكات الشركات ، يتم تقسيمها إلى:

أنظمة التشفير ذات المفتاح الواحد ، غالبًا ما يشار إليها على أنها تقليدية أو متماثلة أو ذات مفتاح واحد. يقوم المستخدم بإنشاء رسالة مفتوحة ، عناصرها هي أحرف الأبجدية النهائية. يتم إنشاء مفتاح تشفير لتشفير رسالة مفتوحة. يتم إنشاء رسالة مشفرة باستخدام خوارزمية تشفير

يفترض النموذج المعطى أن مفتاح التشفير يتم إنشاؤه في نفس مكان الرسالة نفسها. ومع ذلك ، هناك حل آخر ممكن لإنشاء مفتاح - يتم إنشاء مفتاح التشفير بواسطة طرف ثالث (مركز توزيع المفاتيح) ، وهو موثوق به من قبل كلا المستخدمين. في هذه الحالة ، يكون الطرف الثالث مسؤولاً عن تسليم المفتاح لكلا المستخدمين. بشكل عام ، يتعارض هذا الحل مع جوهر التشفير - ضمان سرية معلومات المستخدم المرسلة.

تستخدم أنظمة التشفير ذات المفتاح الواحد مبادئ الاستبدال (الاستبدال) والتبديل (التحويل) والتكوين. يستبدل الاستبدال الأحرف الفردية في الرسالة المفتوحة بأحرف أخرى. يتضمن تشفير التقليب تغيير ترتيب الأحرف في رسالة مفتوحة. من أجل تحسين قوة التشفير ، يمكن تشفير رسالة مشفرة يتم الحصول عليها باستخدام تشفير معين مرة أخرى باستخدام تشفير مختلف. يقولون أنه في هذه الحالة يتم تطبيق النهج التركيبي. ومن ثم ، يمكن تصنيف أنظمة التشفير المتماثلة (بمفتاح واحد) إلى أنظمة تستخدم الاستبدال والتبديل والتشفير التكويني.

نظام تشفير المفتاح العام. يحدث فقط إذا استخدم المستخدمون مفاتيح مختلفة KО و KЗ أثناء التشفير وفك التشفير. يسمى نظام التشفير هذا غير متماثل أو ثنائي أو مفتاح عمومي.

يقوم مستلم الرسالة (المستخدم 2) بإنشاء زوج مفاتيح مرتبط:

KО هو مفتاح عام متاح للجمهور وبالتالي يصبح متاحًا لمرسل الرسالة (المستخدم 1) ؛

KC هو مفتاح سري وخاص يظل معروفًا فقط لمستلم الرسالة (المستخدم 1).

المستخدم 1 ، الذي لديه مفتاح تشفير KO ، يستخدم خوارزمية تشفير معينة لتكوين نص مشفر.

المستخدم 2 ، الذي يمتلك المفتاح الخاص Kc ، لديه القدرة على تنفيذ الإجراء المعاكس.

في هذه الحالة ، يقوم المستخدم 1 بإعداد رسالة للمستخدم 2 ، وقبل إرسالها ، يقوم بتشفير هذه الرسالة باستخدام المفتاح الخاص KC. يمكن للمستخدم 2 فك تشفير هذه الرسالة باستخدام المفتاح العام KO. نظرًا لأن الرسالة تم تشفيرها بالمفتاح الخاص للمرسل ، فيمكن أن تعمل كتوقيع رقمي. بالإضافة إلى ذلك ، في هذه الحالة ، من المستحيل تغيير الرسالة دون الوصول إلى المفتاح الخاص للمستخدم 1 ، وبالتالي فإن الرسالة تحل أيضًا مشكلة تحديد المرسل وتكامل البيانات.

أخيرًا ، أود أن أقول إنه من خلال تثبيت وسائل حماية مشفرة ، من الممكن حماية مكان عمل موظف في مؤسسة بشكل مباشر مع معلومات ذات أهمية خاصة لوجود هذه المنظمة من الوصول غير المصرح به.

في محاولة لضمان استمرارية الشركة ، تركز خدمات الأمن على تأمين محيط الشبكة - الخدمات التي يمكن الوصول إليها من الإنترنت. تخيف صورة المهاجم القاتم المستعد لمهاجمة الخدمات المنشورة للشركة من أي مكان في العالم أصحاب الأعمال بشكل جدي. ولكن ما مدى إنصاف هذا ، بالنظر إلى أن المعلومات الأكثر قيمة لا توجد في محيط المنظمة ، ولكن في أعماق شبكات الشركات الخاصة بها؟ كيف يتم تقييم تناسب حماية البنية التحتية ضد الهجمات الخارجية والداخلية؟

"السفينة في الميناء آمنة ، لكن السفن ليست مبنية لهذا الغرض"

الشعور بالأمان خداع

في سياق المعلوماتية الكاملة والعولمة ، تفرض الأعمال مطالب جديدة على شبكات الشركات ؛ مرونة واستقلالية موارد الشركة فيما يتعلق بمستخدميها النهائيين: يأتي الموظفون والشركاء في المقدمة. لهذا السبب ، فإن شبكات الشركات اليوم بعيدة جدًا عن المفهوم التقليدي للعزلة (على الرغم من حقيقة أنها تم تعريفها في الأصل على هذا النحو).

تخيل مكتبًا: الجدران محمية من العالم الخارجي ، والفواصل والجدران تقسم المساحة الإجمالية إلى مناطق متخصصة أصغر: المطبخ ، والمكتبة ، وغرف الخدمة ، وأماكن العمل ، وما إلى ذلك. يحدث الانتقال من منطقة إلى منطقة في أماكن معينة - في المداخل ، و ، إذا لزم الأمر ، يتم التحكم فيه أيضًا بوسائل إضافية: كاميرات الفيديو ، وأنظمة التحكم في الوصول ، والحراس المبتسمون ... عند دخول مثل هذه الغرفة ، نشعر بالأمان ، وهناك شعور بالثقة وحسن النية. لكن يجب الاعتراف بأن هذا الشعور ليس سوى تأثير نفسي قائم على "المسرح الأمني" ، حيث أن الهدف من الإجراءات التي يتم اتخاذها هو زيادة الأمن ، ولكن في الواقع يتم تكوين رأي فقط حول وجوده. بعد كل شيء ، إذا كان المهاجم يريد حقًا فعل شيء ما ، فلن يصبح التواجد في المكتب صعوبة لا يمكن التغلب عليها ، وربما على العكس من ذلك ، ستكون هناك فرص إضافية.

نفس الشيء يحدث على شبكات الشركات. في بيئة يوجد فيها احتمال أن تكون داخل شبكة شركة ، فإن الأساليب التقليدية للأمان غير كافية. الحقيقة هي أن أساليب الحماية مبنية على أساس نموذج التهديد الداخلي وتهدف إلى مواجهة الموظفين الذين ينتهكون السياسة الأمنية ، عن طريق الخطأ أو عن عمد ، ولكن دون المؤهلات المناسبة. ولكن ماذا لو كان هناك مخترق ماهر بالداخل؟ تكلفة اختراق محيط شبكة مؤسسة ما في السوق السرية لها سعر ثابت تقريبًا لكل مؤسسة ولا تتجاوز 500 دولار في المتوسط. لذلك ، على سبيل المثال ، في السوق السوداء لخدمات القرصنة من Dell لشهر أبريل 2016 ، يتم عرض قائمة الأسعار التالية:

نتيجة لذلك ، يمكنك شراء قرصنة صندوق بريد الشركة ، وهو الحساب الذي من المرجح أن يلائم جميع خدمات الشركة الأخرى للشركة بسبب المبدأ الشائع لترخيص الدخول الموحد. أو قم بشراء فيروسات متعددة الأشكال لا تتعقبها برامج مكافحة الفيروسات وتصيب المستخدمين غير الحذرين بمساعدة رسائل التصيد الاحتيالي ، وبالتالي السيطرة على جهاز كمبيوتر داخل شبكة الشركة. بالنسبة لمحيط الشبكة المحمي جيدًا ، يتم استخدام عيوب الوعي البشري ، على سبيل المثال ، عن طريق شراء وثائق هوية جديدة والحصول على بيانات حول العمل والحياة الشخصية لموظف المؤسسة من خلال طلب التجسس الإلكتروني ، يمكنك استخدام الهندسة الاجتماعية والحصول على معلومات سرية .

تُظهر تجربتنا مع اختبارات الاختراق أنه يتم التغلب على المحيط الخارجي في 83٪ من الحالات ، وفي 54٪ لا يتطلب ذلك تدريبًا عالي الكفاءة. في الوقت نفسه ، وفقًا للإحصاءات ، يرغب كل خامس موظف في الشركة تقريبًا في بيع أوراق اعتمادهم عن عمد ، بما في ذلك من الوصول عن بُعد ، وبالتالي تبسيط كبير للتغلب على محيط الشبكة. في ظل هذه الظروف ، يتعذر التمييز بين المهاجمين الداخليين والخارجيين ، مما يشكل تحديًا جديدًا لأمن شبكات الشركات.

خذ البيانات الهامة ولا تحميها

داخل شبكة الشركة ، تتم مراقبة عمليات تسجيل الدخول إلى جميع الأنظمة ولا يمكن الوصول إليها إلا للمستخدمين المصادق عليهم بالفعل. لكن تبين أن هذا الفحص بالذات هو "مسرح الأمن" المعتاد المذكور سابقاً ، حيث أن الحالة الحقيقية للأمور تبدو قاتمة للغاية ، وهذا ما تؤكده إحصائيات نقاط الضعف في أنظمة معلومات الشركات. فيما يلي بعض العيوب الرئيسية لشبكات الشركات.

  • كلمات مرور القاموس

من الغريب أن استخدام كلمات مرور ضعيفة أمر شائع ليس فقط لموظفي الشركة العاديين ، ولكن أيضًا لمسؤولي تكنولوجيا المعلومات أنفسهم. لذلك ، على سبيل المثال ، غالبًا ما تظل كلمات المرور التي تحددها الشركة المصنعة افتراضيًا في الخدمات والمعدات ، أو يتم استخدام نفس المجموعة الأولية لجميع الأجهزة. على سبيل المثال ، أحد أكثر التركيبات شيوعًا هو المسؤول مع المسؤول أو كلمة المرور. ومن الشائع أيضًا كلمات المرور القصيرة التي تتكون من أحرف صغيرة من الأبجدية اللاتينية ، وكلمات مرور رقمية بسيطة ، مثل 123456. وهكذا ، يمكنك بسرعة فرض كلمة مرور ، والعثور على المجموعة الصحيحة والوصول إلى موارد الشركة.

  • تخزين المعلومات الهامة داخل الشبكة بنص واضح

تخيل موقفًا: تمكن المهاجم من الوصول إلى الشبكة الداخلية ، ويمكن أن يكون هناك سيناريوهان لتطوير الأحداث. في الحالة الأولى ، يتم تخزين المعلومات في شكل مفتوح ، وتتحمل الشركة على الفور مخاطر جسيمة. خلاف ذلك ، يتم تشفير البيانات الموجودة على الشبكة ، ويتم تخزين المفتاح في مكان مختلف - ولدى الشركة الفرصة والوقت لمقاومة المهاجم وحفظ المستندات المهمة من السرقة.

  • استخدام إصدارات قديمة من أنظمة التشغيل ومكوناتها

في كل مرة يتم فيها إصدار تحديث ، يتم إصدار ورقة بيضاء في نفس الوقت الذي يوضح فيه الأخطاء والأخطاء التي تم إصلاحها في الإصدار الجديد. إذا تم اكتشاف مشكلة أمنية ، يبدأ المهاجمون في البحث بنشاط عن الموضوع ، والعثور على الأخطاء ذات الصلة ، وتطوير أدوات القرصنة على هذا الأساس.

ما يصل إلى 50٪ من الشركات إما لا تقوم بتحديث برامجها أو تقوم بذلك بعد فوات الأوان. في أوائل عام 2016 ، عانى مستشفى ملبورن الملكي من حقيقة أن أجهزة الكمبيوتر الخاصة بها كانت تعمل بنظام Windows XP. أصاب الفيروس في البداية جهاز الكمبيوتر الخاص بقسم علم الأمراض ، وانتشر بسرعة عبر الشبكة ، مما أدى إلى منع التشغيل الآلي للمستشفى بأكمله لبعض الوقت.

  • استخدام تطبيقات الأعمال المطورة ذاتيًا دون رقابة أمنية

المهمة الرئيسية لتطويرنا هو الأداء الوظيفي. مثل هذه التطبيقات لها عتبة أمان منخفضة ، وغالبًا ما يتم إصدارها في ظروف ندرة الموارد والدعم المناسب من الشركة المصنعة. المنتج يعمل بالفعل ، ويؤدي المهام ، ولكن في نفس الوقت من السهل جدًا اختراقه والوصول إلى البيانات الضرورية.

  • عدم وجود حماية فعالة من الفيروسات ووسائل الحماية الأخرى

يُعتقد أن المخفي من الخارج محمي ، أي أن الشبكة الداخلية كما كانت آمنة. يراقب حراس الأمن المحيط الخارجي عن كثب ، وإذا كان محميًا جيدًا ، فلن يدخل المتسلل الداخلي. وفي الواقع ، في 88٪ من الحالات ، لا تنفذ الشركات عمليات الكشف عن الثغرات الأمنية ، ولا توجد أنظمة لمنع التطفل وتخزين مركزي للأحداث الأمنية. مجتمعة ، هذا لا يضمن بشكل فعال أمن شبكة الشركة.

في الوقت نفسه ، تتمتع المعلومات المخزنة داخل شبكة الشركة بدرجة عالية من الأهمية لتشغيل المؤسسة: قواعد العملاء في أنظمة إدارة علاقات العملاء والفواتير ، ومؤشرات الأعمال الهامة في تخطيط موارد المؤسسات ، والاتصالات التجارية في البريد ، وتدفق المستندات الوارد في بوابات وموارد الملفات ، إلخ. NS.

أصبح الخط الفاصل بين الشركة والشبكة العامة ضبابيًا لدرجة أنه أصبح من الصعب جدًا والمكلف التحكم في أمانها بشكل كامل. بعد كل شيء ، لا يستخدمون أبدًا إجراءات مضادة ضد سرقة الحسابات أو تداولها ، وإهمال مسؤول الشبكة ، والتهديدات التي يتم تنفيذها من خلال الهندسة الاجتماعية ، وما إلى ذلك. ما الذي يجعل المهاجمين يستخدمون هذه الأساليب للتغلب على الحماية الخارجية والاقتراب من البنية التحتية الضعيفة بمعلومات أكثر قيمة.

يمكن أن يكون الحل هو مفهوم أمن المعلومات ، حيث يتم ضمان أمن الشبكات الداخلية والخارجية على أساس نموذج تهديد واحد ، ومع احتمال تحول أحد أنواع المهاجمين إلى نوع آخر.

المهاجمون مقابل المدافعين - من سيأخذها؟

أمن المعلومات كدولة ممكن فقط في حالة جو بعيد المنال - بسبب عدم جدواه. تحدث المواجهة بين المهاجمين والمدافعين على مستويات مختلفة اختلافًا جذريًا. يستفيد المهاجمون من انتهاك السرية أو توافر أو سلامة المعلومات ، وكلما زادت كفاءة وفعالية هذه المعلومات ، زادت الفوائد التي يمكن أن يحصلوا عليها. من ناحية أخرى ، لا يستفيد المدافعون من العملية الأمنية على الإطلاق ؛ أي خطوة هي استثمار غير قابل للاسترداد. لهذا السبب أصبحت إدارة الأمن القائمة على المخاطر منتشرة على نطاق واسع ، حيث يتم تركيز انتباه المدافعين على المخاطر الأكثر تكلفة (من حيث تقييم الضرر) بأقل تكلفة لتغطية تلك المخاطر. يتم قبول أو تأمين المخاطر ذات الأسعار المتداخلة التي تزيد عن سعر المورد المحمي. الهدف من هذا النهج هو زيادة تكلفة التغلب على أقل ثغرات أمنية للمؤسسة قدر الإمكان ، لذلك يجب حماية الخدمات الهامة بشكل جيد ، بغض النظر عما إذا كان هذا المورد موجودًا داخل الشبكة أو في محيط الشبكة.

النهج القائم على المخاطر هو مجرد إجراء قسري يسمح لمفهوم أمن المعلومات بالوجود في العالم الحقيقي. في الواقع ، هذا يضع المدافعين في موقف صعب: يلعبون مباراتهم مع الأسود ، ويستجيبون فقط للتهديدات الناشئة.

تتغير طرق حماية المعلومات في المؤسسة ، وكذلك طرق الحصول عليها باستمرار. عروض جديدة من الشركات التي تقدم خدمات أمن المعلومات تظهر بانتظام. بالطبع ، لا يوجد دواء سحري ، ولكن هناك عدة خطوات أساسية لبناء حماية نظام معلومات المؤسسة ، والتي تحتاج بالتأكيد إلى الاهتمام بها.

ربما يكون الكثير على دراية بمفهوم الحماية العميقة ضد قرصنة شبكة المعلومات. فكرتها الرئيسية هي استخدام عدة مستويات من الدفاع. سيسمح هذا ، على الأقل ، بتقليل الضرر المرتبط بانتهاك محتمل للمحيط الأمني ​​لنظام المعلومات الخاص بك.
بعد ذلك ، سننظر في الجوانب العامة لأمن الكمبيوتر ، وننشئ أيضًا نوعًا من قائمة المراجعة التي تعمل كأساس لبناء الحماية الأساسية لنظام معلومات المؤسسة.

1. جدار الحماية (جدار الحماية ، جدار الحماية)

جدار الحماية أو جدار الحماية هو خط الدفاع الأول الذي يلتقي بالمتسللين.
وفقًا لمستوى التحكم في الوصول ، يتم تمييز الأنواع التالية من جدران الحماية:

  • في أبسط الحالات ، تتم تصفية حزم الشبكة وفقًا للقواعد المعمول بها ، أي استنادًا إلى عناوين المصدر والوجهة لحزم الشبكة وأرقام منافذ الشبكة ؛
  • جدار حماية ذو حالة. يراقب الاتصالات النشطة ويسقط الحزم المخادعة التي تنتهك مواصفات TCP / IP ؛
  • جدار حماية على مستوى التطبيق. المرشحات على أساس تحليل بيانات التطبيق التي تم تمريرها داخل الحزمة.

أدى الاهتمام المتزايد بأمن الشبكات وتطوير التجارة الإلكترونية إلى حقيقة أن عددًا متزايدًا من المستخدمين يستخدمون الاتصالات المشفرة (SSL ، VPN) لحمايتهم. هذا يجعل من الصعب جدًا تحليل حركة المرور التي تمر عبر جدران الحماية. كما قد تتخيل ، يتم استخدام نفس التقنيات بواسطة مطوري البرامج الضارة. أصبحت الفيروسات التي تستخدم تشفير حركة المرور غير قابلة للتمييز عمليا عن حركة مرور المستخدم المشروعة.

2. الشبكات الخاصة الافتراضية (VPN)

المواقف التي يحتاج فيها الموظف إلى الوصول إلى موارد الشركة من الأماكن العامة (شبكة Wi-Fi في مطار أو فندق) أو من المنزل (لا يتحكم المسؤولون في الشبكة المنزلية للموظفين) تكون خطيرة بشكل خاص على معلومات الشركة. لحمايتهم ، ما عليك سوى استخدام أنفاق VPN المشفرة. الوصول المباشر إلى سطح المكتب البعيد (RDP) بدون تشفير غير وارد. الأمر نفسه ينطبق على استخدام برامج الطرف الثالث: TeamViewer ، Aammy Admin ، إلخ. للوصول إلى شبكة العمل. يتم تشفير حركة المرور عبر هذه البرامج ، ولكنها تمر عبر خوادم مطوري هذا البرنامج خارج نطاق سيطرتك.

تشمل عيوب VPN التعقيد النسبي للنشر والتكلفة الإضافية لمفاتيح المصادقة وزيادة عرض النطاق الترددي لقناة الإنترنت. يمكن أيضًا اختراق مفاتيح المصادقة. يمكن أن تصبح الأجهزة المحمولة المسروقة لشركة أو موظفين (أجهزة الكمبيوتر المحمولة والأجهزة اللوحية والهواتف الذكية) مع إعدادات اتصال VPN مهيأة مسبقًا فجوة محتملة للوصول غير المصرح به إلى موارد الشركة.

3. أنظمة كشف التسلل والوقاية منه (IDS ، IPS)

نظام كشف التطفل (IDS) هو أداة برمجية أو أجهزة مصممة لاكتشاف حقائق الوصول غير المصرح به إلى نظام كمبيوتر (شبكة) ، أو تحكم غير مصرح به في مثل هذا النظام. في أبسط الحالات ، يساعد مثل هذا النظام في اكتشاف عمليات فحص منفذ الشبكة على نظامك أو محاولات تسجيل الدخول إلى الخادم. في الحالة الأولى ، يشير هذا إلى استطلاع أولي قام به المهاجم ، وفي الحالة الثانية ، محاولة لاختراق الخادم الخاص بك. يمكنك أيضًا اكتشاف الهجمات التي تهدف إلى رفع الامتيازات على النظام ، والوصول غير المصرح به إلى الملفات المهمة ، ونشاط البرامج الضارة. تسمح محولات الشبكة المتقدمة بتوصيل أنظمة الكشف عن التطفل باستخدام انعكاس المنفذ أو صنابير حركة المرور.

نظام منع التطفل (IPS) هو برنامج أو نظام أمان للأجهزة يمنع التدخلات بشكل نشط عند اكتشافها. إذا تم الكشف عن اختراق ، يمكن حظر حركة مرور الشبكة المشبوهة تلقائيًا ، ويتم إرسال إشعار بهذا على الفور إلى المسؤول.

4. الحماية من الفيروسات

برامج مكافحة الفيروسات هي خط الدفاع الرئيسي لمعظم الشركات اليوم. وفقًا لشركة الأبحاث Gartner ، بلغ حجم سوق برامج مكافحة الفيروسات في عام 2012 ما قيمته 19.14 مليار دولار ، والمستهلكون الرئيسيون هم قطاع الشركات المتوسطة والصغيرة.

بادئ ذي بدء ، تستهدف الحماية من الفيروسات أجهزة العميل ومحطات العمل. تتضمن إصدارات الأعمال من برامج مكافحة الفيروسات وظائف إدارة مركزية لنقل تحديثات قاعدة بيانات مكافحة الفيروسات إلى أجهزة العميل ، فضلاً عن القدرة على تكوين سياسات الأمان مركزيًا. تتضمن مجموعة شركات مكافحة الفيروسات حلولاً متخصصة للخوادم.
نظرًا لأن معظم الإصابات بالبرامج الضارة تحدث نتيجة لإجراءات المستخدم ، توفر مجموعات مكافحة الفيروسات خيارات حماية شاملة. على سبيل المثال ، حماية برامج البريد الإلكتروني ، وغرف الدردشة ، والتحقق من المواقع التي يزورها المستخدمون. بالإضافة إلى ذلك ، تشتمل حزم مكافحة الفيروسات بشكل متزايد على جدران حماية للبرامج وآليات دفاع استباقي وآليات تصفية البريد العشوائي.

5. القوائم البيضاء

ما هي القائمة البيضاء؟ هناك طريقتان رئيسيتان لأمن المعلومات. يفترض الأسلوب الأول أنه يُسمح لنظام التشغيل بتشغيل أي تطبيقات بشكل افتراضي ، إذا لم تكن مدرجة في القائمة السوداء مسبقًا. من ناحية أخرى ، يفترض الأسلوب الثاني أنه لا يُسمح بتشغيل سوى البرامج التي تم تضمينها سابقًا في "القائمة البيضاء" ، ويتم حظر جميع البرامج الأخرى افتراضيًا. النهج الثاني للأمن ، بالطبع ، هو الأفضل في عالم الشركات. يمكن إنشاء القوائم البيضاء باستخدام الأدوات المضمنة في نظام التشغيل أو برنامج جهة خارجية. غالبًا ما تقدم برامج مكافحة الفيروسات هذه الميزة في تكوينها. تتيح معظم تطبيقات مكافحة الفيروسات التي تقدم تصفية القائمة البيضاء تكوينًا أوليًا سريعًا للغاية مع أدنى حد من انتباه المستخدم.

ومع ذلك ، قد تكون هناك مواقف لم يتم فيها تحديد تبعيات ملفات البرنامج المدرجة في القائمة البيضاء بشكل صحيح من قبلك أو من قبل برنامج مكافحة الفيروسات. سيؤدي هذا إلى تعطل التطبيق أو عدم تثبيته بشكل صحيح. بالإضافة إلى ذلك ، فإن القائمة البيضاء غير قادرة على مواجهة الهجمات التي تستغل الثغرات الأمنية لمعالجة المستندات من خلال البرامج المدرجة في القائمة البيضاء. يجب أيضًا الانتباه إلى الحلقة الأضعف في أي حماية: يمكن للموظفين المستعجلين تجاهل تحذير برامج مكافحة الفيروسات وإضافة برامج ضارة إلى القائمة البيضاء.

6. تصفية البريد العشوائي

غالبًا ما تُستخدم رسائل البريد العشوائي لتنفيذ هجمات التصيد الاحتيالي التي تُستخدم لحقن حصان طروادة أو برامج ضارة أخرى في شبكة الشركة. المستخدمون الذين يعالجون كميات كبيرة من البريد الإلكتروني على أساس يومي هم أكثر عرضة لرسائل البريد الإلكتروني التصيدية. لذلك ، تتمثل مهمة قسم تكنولوجيا المعلومات في الشركة في تصفية الحد الأقصى من البريد العشوائي من تدفق البريد الإلكتروني العام.

الطرق الرئيسية لتصفية البريد العشوائي:

  • مقدمو خدمات تصفية البريد الإلكتروني العشوائي المتخصصون ؛
  • برامج تصفية البريد العشوائي على خوادم البريد الخاصة بنا ؛
  • حلول الأجهزة المتخصصة المنتشرة في مركز بيانات الشركة.

7. دعم البرامج حتى الآن

تعد تحديثات البرامج في الوقت المناسب وتطبيق أحدث تصحيحات الأمان عنصرًا مهمًا في حماية شبكة شركتك من الوصول غير المصرح به. لا يوفر بائعو البرامج عادةً معلومات كاملة حول فجوة الأمان المكتشفة حديثًا. ومع ذلك ، فإن الوصف العام للثغرة الأمنية كافٍ لمجرمي الإنترنت لكتابة برنامج لاستغلال هذه الثغرة بشكل حرفي في غضون ساعتين بعد نشر وصف لثغرة جديدة وتصحيح لها.
في الواقع ، هذه مشكلة كبيرة إلى حد ما للشركات الصغيرة والمتوسطة الحجم ، حيث يتم استخدام مجموعة واسعة من منتجات البرامج من مختلف الشركات المصنعة. في كثير من الأحيان ، لا يتم إيلاء الاهتمام الواجب لتحديثات أسطول البرامج بأكمله ، وهذا عمليًا نافذة مفتوحة في نظام أمان المؤسسة. حاليًا ، يتم تحديث عدد كبير من البرامج بشكل مستقل من خوادم الشركة المصنعة وهذا يزيل جزءًا من المشكلة. لماذا تنفصل؟ نظرًا لأنه يمكن اختراق خوادم الشركة المصنعة ، وستتلقى برامج ضارة جديدة تحت ستار التحديثات القانونية. وكذلك يقوم المصنعون أنفسهم أحيانًا بإصدار تحديثات تعطل التشغيل العادي لبرامجهم. في المجالات الحرجة من العمل ، هذا غير مقبول. لمنع مثل هذه الحوادث ، يجب أولاً تطبيق جميع التحديثات المستلمة فور إصدارها ، وثانيًا ، يجب اختبارها بدقة قبل تطبيقها.

8. الأمن المادي

يعد الأمان المادي لشبكة الشركة أحد أهم العوامل التي لا يمكن المبالغة في تقديرها. من خلال الوصول الفعلي إلى جهاز الشبكة ، سيتمكن المهاجم ، في معظم الحالات ، من الوصول بسهولة إلى شبكتك. على سبيل المثال ، إذا كان هناك وصول مادي إلى المحول وكانت الشبكة لا تقوم بتصفية عناوين MAC. على الرغم من أن تصفية MAC لن توفر لك في هذه الحالة. هناك مشكلة أخرى تتمثل في سرقة أو إهمال محركات الأقراص الثابتة بعد استبدالها في خادم أو جهاز آخر. نظرًا لأنه يمكن فك تشفير كلمات المرور الموجودة هناك ، يجب دائمًا حماية خزانات الخادم والغرف أو صناديق المعدات بشكل موثوق من المتسللين.

لقد تطرقنا إلى عدد قليل من الجوانب الأمنية الأكثر شيوعًا. من المهم أيضًا الانتباه إلى تدريب المستخدم ، والتدقيق الدوري المستقل لأمن المعلومات ، وإنشاء سياسة موثوقة لأمن المعلومات والالتزام بها.
يرجى ملاحظة أن حماية شبكة شركتك هي موضوع معقد يتغير باستمرار. يجب أن تتأكد من أن الشركة لا تعتمد على خط دفاع واحد أو خطين فقط. حاول دائمًا مواكبة أحدث المعلومات والحلول الحديثة في سوق أمن المعلومات.

استفد من الحماية الموثوقة لشبكة شركتك في إطار خدمة "خدمة أجهزة كمبيوتر الشركة" في نوفوسيبيرسك.

قررنا اليوم في مدونتنا التطرق إلى جوانب أمان شبكة الشركة. وسيساعدنا مدير LWCOM الفني ميخائيل ليوبيموف في ذلك.

لماذا يعتبر موضوع أمان الشبكة هذا وثيق الصلة بالعالم الحديث؟

نظرًا لتوافر الإنترنت واسع النطاق في كل مكان تقريبًا ، يتم تنفيذ معظم الإجراءات على الأجهزة من خلال الشبكة ، وبالتالي ، بالنسبة لـ 99٪ من التهديدات الحديثة ، فإن الشبكة هي وسيلة النقل التي يتم تسليم التهديد من المصدر إلى الهدف. بالطبع ، من الممكن انتشار التعليمات البرمجية الضارة باستخدام الوسائط القابلة للإزالة ، ولكن يتم استخدام هذه الطريقة الآن بشكل أقل وأقل ، وقد تعلمت معظم الشركات منذ فترة طويلة التعامل مع مثل هذه التهديدات.

ما هي شبكة البيانات؟

لنرسم أولاً بنية شبكة بيانات الشركة الكلاسيكية بطريقة مبسطة ومفهومة.

تبدأ شبكة نقل البيانات بمفتاح مستوى الوصول. ترتبط محطات العمل مباشرة بهذا المحول: أجهزة الكمبيوتر ، وأجهزة الكمبيوتر المحمولة ، والطابعات ، والأجهزة متعددة الوظائف ، وأجهزة أخرى متنوعة ، على سبيل المثال ، نقاط الوصول اللاسلكية. وفقًا لذلك ، يمكن أن يكون لديك الكثير من المعدات ، ويمكن توصيلها بالشبكة في أماكن مختلفة تمامًا (طوابق أو حتى مباني منفصلة).

عادةً ما يتم إنشاء شبكة نقل بيانات الشركة وفقًا لطوبولوجيا "نجمة" ، وبالتالي سيتم توفير تفاعل جميع القطاعات مع بعضها البعض بواسطة معدات المستوى الأساسي للشبكة. على سبيل المثال ، يمكن استخدام نفس المفتاح ، عادةً فقط في إصدار أكثر إنتاجية ووظيفية مقارنةً بتلك المستخدمة على مستوى الوصول.

عادة ما يتم دمج الخوادم وأنظمة تخزين البيانات في مكان واحد ، ومن وجهة نظر شبكات نقل البيانات ، يمكن توصيلها إما مباشرة بالمعدات الأساسية ، أو يمكن أن يكون لديها جزء معين من معدات الوصول المخصصة لهذه الأغراض.

علاوة على ذلك ، لدينا معدات للواجهة مع شبكات نقل البيانات الخارجية (على سبيل المثال ، الإنترنت). عادةً ما تستخدم الشركات الأجهزة وأجهزة التوجيه وجدران الحماية وأنواع مختلفة من الخوادم الوكيلة لهذه الأغراض. يتم استخدامها أيضًا لتنظيم الاتصال مع المكاتب الموزعة للشركة ولربط الموظفين عن بُعد.

هذه هي الطريقة التي ظهرت بها بنية شبكة الكمبيوتر المحلية ، سهلة الفهم ومشتركة للواقع الحديث.

ما هو التصنيف الحالي للتهديدات؟

دعنا نحدد الأهداف والاتجاهات الرئيسية للهجمات في إطار تفاعل الشبكة.

الهدف الأكثر شيوعًا وأبسط هجوم هو جهاز المستخدم. من السهل نشر البرامج الضارة في هذا الاتجاه من خلال المحتوى الموجود على موارد الويب أو عبر البريد.

في المستقبل ، يمكن للمهاجم ، بعد أن تمكن من الوصول إلى محطة عمل المستخدم ، إما سرقة البيانات السرية أو تطوير هجوم على مستخدمين آخرين أو على أجهزة أخرى على شبكة الشركة.

الهدف القادم للهجوم هو بالطبع الخوادم. من أكثر أنواع الهجمات شهرة على الموارد المنشورة هجمات DoS و DDoS ، والتي تُستخدم لتعطيل التشغيل المستقر للموارد أو لإخفاقها تمامًا.

يمكن أيضًا توجيه الهجمات من الشبكات الخارجية إلى تطبيقات منشورة محددة ، على سبيل المثال ، موارد الويب وخوادم DNS والبريد الإلكتروني. يمكن أيضًا توجيه الهجمات من داخل الشبكة - من كمبيوتر المستخدم المصاب أو من مهاجم متصل بالشبكة - إلى تطبيقات مثل كرات الملفات أو قواعد البيانات.



هناك أيضًا فئة من الهجمات الانتقائية ، وأحد أخطرها هو الهجوم على الشبكة نفسها ، أي على الوصول إليها. يمكن للمهاجم الذي تمكّن من الوصول إلى الشبكة شن الهجوم التالي على أي جهاز متصل بها تقريبًا ، بالإضافة إلى الوصول سرًا إلى أي معلومات. والأهم من ذلك ، يصعب اكتشاف هجوم ناجح من هذا النوع ولا يمكن علاجه بالوسائل القياسية. هذا ، في الواقع ، لديك مستخدم جديد أو ، أسوأ من ذلك ، مسؤول لا تعرف شيئًا عنه.

يمكن أن يكون الهدف الآخر للمهاجم هو قنوات الاتصال. يجب أن يكون مفهوماً أن الهجوم الناجح على قنوات الاتصال لا يجعل من الممكن قراءة المعلومات المنقولة عبرها فحسب ، بل يجعل من الممكن أيضًا أن تكون متطابقة في نتائج الهجوم على الشبكة ، عندما يتمكن المهاجم من الوصول إلى جميع موارد شبكة المنطقة المحلية.

كيف تنظم حماية فعالة وموثوقة لنقل البيانات؟

بادئ ذي بدء ، يمكننا تقديم ممارسات وتوصيات عالمية لتنظيم حماية شبكة نقل بيانات الشركة ، وتحديدًا مجموعة الأدوات التي تسمح لك بتجنب معظم التهديدات الحالية بأقل جهد ، وهو ما يسمى الحد الأدنى الآمن.

في هذا السياق ، من الضروري إدخال مصطلح "محيط أمان الشبكة" ، منذ ذلك الحين كلما اقتربت من مصدر تهديد محتمل ، كلما قللت عدد أساليب الهجوم المتاحة للمهاجم. في هذه الحالة ، يجب أن يكون المحيط موجودًا لكل من التوصيلات الخارجية والداخلية.

بادئ ذي بدء ، نوصي بتأمين الواجهة مع الشبكات العامة ، لأن أكبر عدد من التهديدات ينشأ منها. يوجد حاليًا عدد من أدوات أمان الشبكة المتخصصة المصممة فقط للتنظيم الآمن للاتصالات بالإنترنت.

لتعيينهم ، يتم استخدام مصطلحات مثل NGFW (جدار الحماية من الجيل التالي) و UTM (إدارة التهديدات الموحدة) على نطاق واسع. لا تدمج هذه الأجهزة وظائف جهاز التوجيه الكلاسيكي وجدار الحماية والخادم الوكيل فحسب ، بل توفر أيضًا خدمات أمان إضافية ، مثل: URL وتصفية المحتوى ، ومكافحة الفيروسات ، وما إلى ذلك. وفي الوقت نفسه ، غالبًا ما تستخدم الأجهزة أنظمة التحقق من المحتوى المستندة إلى مجموعة النظراء ، والذي يسمح لك بفحص جميع البيانات المرسلة بسرعة وفعالية بحثًا عن التهديدات. لكن الشيء الرئيسي هو القدرة على الإبلاغ عن التهديدات المكتشفة بأثر رجعي ، أي تحديد التهديدات في مثل هذه الحالات عندما تم نقل المحتوى المصاب بالفعل إلى المستخدم ، لكن الشركة المصنعة تلقت معلومات حول ضرر هذا البرنامج لاحقًا.

تسمح لك أشياء مثل فحص حركة مرور HTTPS والتحليل التلقائي للتطبيقات بالتحكم ليس فقط في الوصول إلى مواقع محددة ، ولكن أيضًا تسمح / تمنع تشغيل التطبيقات مثل: Skype و Team Viewer والعديد من التطبيقات الأخرى ، وكما تعلم ، فإن معظم كانوا يعملون على بروتوكولات HTTP و HTTPS ، ولا يمكن لأدوات الشبكة القياسية ببساطة التحكم في عملهم.

بالإضافة إلى ذلك ، في جهاز واحد ، يمكنك أيضًا الحصول على نظام منع التطفل ، وهو مسؤول عن إيقاف الهجمات التي تستهدف الموارد المنشورة. يمكنك أيضًا الحصول على خادم VPN للعمل الآمن عن بُعد للموظفين وربط الفروع ومكافحة البريد العشوائي ونظام التحكم في الروبوتات وصندوق الحماية وما إلى ذلك. كل هذا يجعل هذا الجهاز أداة أمان شبكة موحدة حقًا.

إذا لم تستخدم شركتك مثل هذه الحلول حتى الآن ، فنحن نوصي بشدة بالبدء في استخدامها الآن ، لأن وقت فعاليتها قد حان بالفعل ، ويمكننا القول بثقة أن هذه الأجهزة أثبتت قدرتها الحقيقية على التعامل مع مجموعة كبيرة عدد التهديدات التي لم تحدث بعد منذ 5 سنوات. في ذلك الوقت ، كانت مثل هذه الأشياء قد دخلت السوق للتو ، وواجهت العديد من المشاكل وكانت باهظة الثمن ومنخفضة الأداء.

كيف تختار الجيل القادم من جدار الحماية؟

يوجد الآن في السوق عدد كبير من أجهزة الشبكة المزودة بهذه الوظائف المعلنة ، ولكن القليل منها فقط يمكنه توفير حماية فعالة حقًا. هذا يرجع إلى حقيقة أن عددًا محدودًا فقط من الشركات المصنعة لديها أموال وتستثمرها حقًا في التطوير المستمر للتهديدات الفعلية ، أي تحديث قواعد البيانات باستمرار للموارد التي يحتمل أن تكون خطرة ، وتقديم الدعم المستمر للحلول ، وما إلى ذلك.

سيحاول العديد من الشركاء بيع الحلول المربحة لهم لبيعها ، وبالتالي فإن سعر الحل لا يتوافق دائمًا مع قدرته الحقيقية على مقاومة التهديدات. أنا شخصياً أوصي بالرجوع إلى مواد مراكز الفكر المستقلة لاختيار الجهاز ، على سبيل المثال ، تقارير NSS Labs. في رأيي ، هم أكثر دقة وحيادية.

بالإضافة إلى التهديدات من الخارج ، يمكن مهاجمة مواردك من الداخل. ما يسمى "الحد الأدنى الآمن" الذي يجب استخدامه في شبكة المنطقة المحلية الخاصة بك هو تقسيمها إلى شبكات VLAN ، أي. شبكات خاصة افتراضية. بالإضافة إلى التجزئة ، فإن التطبيق الإلزامي لسياسات الوصول فيما بينها مطلوب على الأقل من خلال الوسائل القياسية لقوائم الوصول (ACL) ، لأن مجرد وجود شبكة محلية ظاهرية (VLAN) في مكافحة التهديدات الحديثة لا يعطي شيئًا عمليًا.

كتوصية منفصلة ، سأشير إلى الرغبة في استخدام التحكم في الوصول مباشرة من منفذ الجهاز. ومع ذلك ، من الضروري تذكر محيط الشبكة ، أي كلما اقتربت من تطبيق السياسات على الخدمات المحمية ، كان ذلك أفضل. من الناحية المثالية ، يجب تطبيق هذه السياسات على مفاتيح الوصول. في مثل هذه الحالات ، يوصى بتطبيق 4 قواعد بسيطة مثل سياسة الأمان الدنيا:

  • إبقاء جميع منافذ التبديل الخاملة معطلة إدارياً ؛
  • لا تستخدم 1st VLAN ؛
  • استخدام قوائم تصفية MAC على مفاتيح الوصول ؛
  • استخدام بروتوكول التفتيش ARP.
يتمثل أحد الحلول الممتازة في استخدام نفس جدران الحماية مع أنظمة منع التطفل على طول مسار نقل البيانات ، بالإضافة إلى استخدام المناطق منزوعة السلاح بشكل معماري. من الأفضل تنفيذ مصادقة الجهاز المتصل باستخدام بروتوكول 802.1x ، باستخدام أنظمة AAA المختلفة (أنظمة المصادقة والترخيص والمحاسبة) للتحكم المركزي في الوصول إلى الشبكة. يشار إلى هذه الحلول عادةً باسم NAC (التحكم في الوصول إلى الشبكة) ، وهو أمر شائع بين الشركات المصنعة. مثال على أحد هذه الأنظمة التجارية هو Cisco ISE.



أيضًا ، يمكن لمجرمي الإنترنت شن هجمات على القنوات. يجب استخدام تشفير قوي لحماية القنوات. يتجاهلها كثيرون ، ثم يدفعون ثمن عواقبها. القنوات غير المحمية ليست فقط المعلومات المتاحة للسرقة ، ولكن أيضًا القدرة على مهاجمة جميع موارد الشركة تقريبًا. كان لعملائنا عدد كبير من السوابق في الممارسة العملية عندما تم شن هجمات على الاتصالات الهاتفية للشركات من خلال تنظيم الاتصالات من خلال قنوات نقل البيانات غير المحمية بين المكاتب المركزية والبعيدة (على سبيل المثال ، ببساطة باستخدام أنفاق GRE). تلقت الشركات فواتير مجنونة فقط!

ماذا يمكنك أن تخبرنا عن الشبكات اللاسلكية و BYOD؟

أود أن أبرز موضوع العمل عن بعد والشبكات اللاسلكية واستخدام أجهزتي الخاصة بشكل منفصل. من تجربتي الخاصة ، هذه الأشياء الثلاثة هي واحدة من أكبر الثغرات الأمنية المحتملة في شركتك. لكنها أيضًا واحدة من أكبر المزايا التنافسية.

باختصار ، أوصي إما بحظر استخدام الشبكات اللاسلكية تمامًا ، أو العمل عن بُعد أو العمل من خلال أجهزتهم المحمولة الخاصة ، أو تحفيز ذلك بقواعد الشركة ، أو تزويد هذه الخدمات بأكثر الطرق تفصيلاً من وجهة نظر الأمان ، خاصة وأن الحلول الحديثة توفر فرصة للقيام بذلك في أفضل حالاتها.

فيما يتعلق بالعمل عن بُعد ، يمكن أن تساعدك نفس جدران الحماية من الجيل التالي أو أجهزة UTM. توضح ممارستنا أن هناك عددًا من الحلول المستقرة (بما في ذلك Cisco و Checkpoint و Fortinet و Citrix) التي تتيح العمل مع أجهزة عملاء متعددة ، مع ضمان أعلى المعايير لتحديد الموظف عن بُعد. على سبيل المثال ، استخدام الشهادات والمصادقة ذات العاملين وكلمات المرور لمرة واحدة التي يتم تسليمها عبر الرسائل القصيرة أو إنشاؤها على مفتاح خاص. يمكنك أيضًا التحكم في البرنامج المثبت على الكمبيوتر الذي تتم محاولة الوصول منه ، على سبيل المثال ، لتثبيت التحديثات المناسبة أو تشغيل برامج مكافحة الفيروسات.

أمان Wi-Fi هو موضوع يستحق مقالة منفصلة. في هذا المنشور سأحاول تقديم أهم التوصيات. إذا كنت تقوم ببناء شبكة Wi-Fi للشركات ، فتأكد من العمل من خلال جميع جوانب الأمان الممكنة المرتبطة بها.

بالمناسبة ، شبكة Wi-Fi هي عنصر دخل منفصل تمامًا لشركتنا. نتعامل معهم بشكل احترافي: يتم تنفيذ مشاريع لتجهيز مراكز التسوق ومراكز التسوق والمراكز التجارية والمستودعات بمعدات لاسلكية ، بما في ذلك استخدام الحلول الحديثة مثل تحديد المواقع ، في وضعنا بدون توقف. ووفقًا لنتائج استطلاعات الرأي الخاصة بنا ، في كل مكتب ومستودع ثانٍ ، نجد جهاز توجيه Wi-Fi منزلي واحدًا على الأقل ، والذي يتصل به الموظفون أنفسهم بالشبكة. عادة ما يفعلون ذلك من أجل راحتهم في العمل ، على سبيل المثال ، الذهاب إلى غرفة التدخين مع جهاز كمبيوتر محمول أو التنقل بحرية داخل الغرفة. من الواضح أنه لم يتم تطبيق أي قواعد أمان مؤسسية على أجهزة التوجيه هذه وتم توزيع كلمات المرور على الزملاء المعروفين ، ثم على زملاء الزملاء ، ثم على الضيوف الذين حضروا لتناول القهوة ، ونتيجة لذلك ، كان بإمكان الجميع تقريبًا الوصول إلى الشركة الشبكة ، بينما كان لا يمكن السيطرة عليها على الإطلاق.

بالطبع ، الأمر يستحق حماية الشبكة من توصيل هذه المعدات. يمكن أن تكون الطرق الرئيسية للقيام بذلك: استخدام التفويض على المنافذ ، والتصفية بواسطة MAC ، وما إلى ذلك مرة أخرى ، من وجهة نظر Wi-Fi ، يجب استخدام خوارزميات التشفير القوية وطرق مصادقة المؤسسة للشبكة. ومع ذلك ، يجب أن يكون مفهوماً أنه ليست كل طرق مصادقة المؤسسة مفيدة بشكل متساوٍ. على سبيل المثال ، قد تتجاهل أجهزة Android في بعض إصدارات البرامج افتراضيًا شهادة Wi-Fi العامة ، مما يجعل هجمات Evil twin ممكنة. إذا تم استخدام طريقة مصادقة ، مثل EAP GTC ، فسيتم إرسال المفتاح فيها بنص واضح ويمكن اعتراضه تمامًا في الهجوم المحدد. نوصي باستخدام مصادقة الشهادة فقط في شبكات الشركة ، أي هذه طرق TLS ، لكن ضع في اعتبارك أنها تزيد العبء على مسؤولي الشبكة بشكل كبير.

هناك طريقة أخرى: إذا تم تنفيذ العمل عن بُعد في شبكة الشركة ، فيمكن إجبار الأجهزة المتصلة عبر Wi-Fi على استخدام عميل VPN أيضًا. أي لتخصيص قطاع شبكة Wi-Fi لمنطقة غير موثوق بها في البداية ، ونتيجة لذلك ، ستحصل على خيار عمل جيد مع تقليل تكاليف إدارة الشبكة.

يوفر بائعي Wi-Fi للمؤسسات مثل Cisco و Ruckus والآن Brocade و Aruba والآن HPE ، بالإضافة إلى حلول Wi-Fi القياسية ، مجموعة من الخدمات لمراقبة أمان البيئة اللاسلكية تلقائيًا. أي أن أشياء مثل WIPS (نظام منع التطفل اللاسلكي) تعمل بشكل جيد بالنسبة لهم. قام هؤلاء المصنّعون بتطبيق مستشعرات لاسلكية يمكنها مراقبة النطاق الكامل للترددات ، مما يجعل من الممكن تلقائيًا تتبع التهديدات الخطيرة إلى حد ما.

الآن دعنا نتطرق إلى موضوعات مثل BYOD (أحضر جهازك الخاص) و MDM (إدارة الجهاز المحمول). بالطبع ، يعد أي جهاز محمول يخزن بيانات الشركة أو لديه وصول إلى شبكة الشركة مصدرًا محتملاً للمشكلات. لا يتعلق موضوع الأمان لهذه الأجهزة بالوصول الآمن إلى شبكة الشركة فحسب ، بل يتعلق أيضًا بإدارة السياسة المركزية للأجهزة المحمولة: الهواتف الذكية والأجهزة اللوحية وأجهزة الكمبيوتر المحمولة المستخدمة خارج المؤسسة. كان هذا الموضوع مناسبًا لفترة طويلة جدًا ، ولكن الآن فقط هناك حلول عملية بالفعل في السوق تتيح لك إدارة أسطول متنوع من المعدات المتنقلة.

لسوء الحظ ، لن يكون من الممكن التحدث عنها في إطار هذا المنشور ، لكن اعلم أن هناك حلولًا وفي العام الماضي شهدنا طفرة في تنفيذ حلول MDM من Microsoft و MobileIron.

تحدثت عن "السلامة على الأقل" ، فماذا إذن "السلامة في أقصى حد"؟

في وقت من الأوقات ، كانت الصورة شائعة على الإنترنت: أوصي بتثبيت جدران الحماية من الشركات المصنعة المعروفة واحدًا تلو الآخر لحماية الشبكة. نحن لا نحثك بأي حال من الأحوال على فعل الشيء نفسه ، ولكن مع ذلك ، هناك بعض الحقيقة هنا. سيكون من المفيد للغاية أن يكون لديك جهاز شبكة مع تحليل توقيعات الفيروسات ، على سبيل المثال ، من SOFOS ، وتثبيت بالفعل مضادًا للفيروسات من Kaspersky Lab في أماكن العمل. وهكذا نحصل على نظامين للحماية من التعليمات البرمجية الخبيثة التي لا تتداخل مع بعضها البعض.

هناك عدد من أدوات أمن المعلومات المتخصصة:

DLP.هناك أدوات متخصصة لأمن المعلومات في السوق ، تم تطويرها وتهدف إلى حل تهديد معين. حاليًا ، أصبحت أنظمة منع فقدان البيانات أو منع فقدان البيانات شائعة. إنها تعمل على مستوى الشبكة ، وتندمج في وسيط نقل البيانات ، وبشكل مباشر على خوادم التطبيقات ومحطات العمل والأجهزة المحمولة.

نحن نبتعد إلى حد ما عن موضوع الشبكة ، لكن خطر تسرب البيانات سيظل موجودًا دائمًا. على وجه الخصوص ، تصبح هذه الحلول مناسبة للشركات حيث ينطوي فقدان البيانات على مخاطر وعواقب تجارية وتضر بالسمعة. حتى قبل 5 سنوات ، كان تنفيذ أنظمة DLP صعبًا إلى حد ما بسبب تعقيدها والحاجة إلى عملية تطوير لكل حالة محددة. لذلك ، وبسبب تكلفتها ، تخلت العديد من الشركات عن هذه الحلول ، أو كتبت حلولها الخاصة. حاليًا ، تم تطوير أنظمة السوق بشكل كافٍ ، لذلك يمكن الحصول على جميع وظائف الأمان الضرورية فورًا.

في السوق الروسية ، يتم تمثيل الأنظمة التجارية بشكل أساسي من قبل الشركة المصنعة Infowatch (أدناه صورة من هذا المصنع حول كيفية تقديم حلهم في شركة كبيرة) و MacAfee المشهور إلى حد ما.

واف.نظرًا لتطور خدمات التجارة عبر الإنترنت ، وهي الخدمات المصرفية عبر الإنترنت ، والنقود الإلكترونية ، والتجارة الإلكترونية ، وخدمات التأمين ، وما إلى ذلك ، فقد أصبحت الأدوات المتخصصة مؤخرًا مطلوبة لحماية موارد الويب. وهي WAF - جدار حماية تطبيقات الويب.

يسمح لك هذا الجهاز بصد الهجمات التي تستهدف نقاط الضعف في الموقع نفسه. بالإضافة إلى هجمات DoS الانتقائية ، عندما يتم قمع أحد المواقع بطلبات مشروعة ، يمكن أن تكون هذه هجمات حقن SQL ، أو برمجة نصية عبر المواقع ، إلخ. في السابق ، كانت البنوك تشتري هذه الأجهزة بشكل أساسي ، ولم تكن مطلوبة من العملاء الآخرين ، و أنها تكلف الكثير من المال. على سبيل المثال ، بدأت تكلفة حل عملي بمبلغ 100000 دولار. يوجد الآن في السوق عدد كبير من الحلول من الشركات المصنعة المعروفة (Fortinet ، Citrix ، Positive Technologies) ، والتي يمكنك من خلالها الحصول على حل عملي لحماية موقعك مقابل أموال معقولة جدًا (3-5 مرات أقل من السابق المبلغ المشار إليه).

مراجعة.تقوم المنظمات ، وخاصة تلك التي تدافع عن أمنها الخاص ، بتنفيذ أدوات تدقيق آلية. هذه الحلول باهظة الثمن ، لكنها تجعل من الممكن إدخال عدد من وظائف المسؤول في مجال الأتمتة ، وهو أمر مطلوب بشدة للشركات الكبيرة. تقوم هذه الحلول بفحص الشبكة باستمرار وتدقيق جميع أنظمة التشغيل والتطبيقات المثبتة بحثًا عن الثغرات الأمنية المعروفة والتحديثات في الوقت المناسب والامتثال لسياسات الشركة. ربما تكون الحلول الأكثر شهرة في هذا المجال ليس فقط في روسيا ، ولكن في جميع أنحاء العالم هي منتجات من شركة Positive Technologies.

سيم.على غرار حلول SIEM. هذه أنظمة مصممة لاكتشاف حالات الطوارئ المتعلقة بالأحداث المتعلقة بالسلامة على وجه التحديد. يمكن حتى لمجموعة قياسية من جدران الحماية وعشرات خوادم التطبيقات والآلاف من محطات العمل إنشاء عشرات الآلاف من التنبيهات يوميًا. إذا كانت لديك شركة كبيرة ولديك العشرات من الأجهزة الحدودية ، فسيصبح من المستحيل فهم البيانات الواردة منها في الوضع اليدوي. تتيح أتمتة التحكم في السجلات المجمعة من جميع الأجهزة في وقت واحد للمسؤولين وموظفي أمن المعلومات العمل على الفور. حلول SIEM من Arсsight (المضمنة في منتجات HPE) و Q-RADAR (المضمنة في منتجات IBM) معروفة جيدًا في السوق.

وأخيرًا: ما هي النصيحة التي يمكنك تقديمها لأولئك الذين يشاركون بجدية في تنظيم حماية موارد تكنولوجيا المعلومات الخاصة بهم؟

بالطبع ، عند تنظيم أمن تكنولوجيا المعلومات لمؤسسة ما ، لا ينبغي لأحد أن ينسى اللوائح الإدارية. يجب أن يدرك المستخدمون والمسؤولون أنه لا يمكن استخدام محركات الأقراص المحمولة التي تم العثور عليها على جهاز كمبيوتر ، تمامًا مثلما لا يمكنهم النقر فوق الروابط المشكوك فيها في الأحرف أو فتح المرفقات المشكوك فيها. من المهم جدًا معرفة وشرح الروابط والمرفقات التي لم يتم التحقق منها. في الواقع ، لا يفهم الجميع أنه ليس من الضروري تخزين كلمات المرور على الملصقات الملصقة على الشاشة أو الهاتف ، وأنك بحاجة إلى معرفة كيفية قراءة التحذيرات المكتوبة لمستخدم التطبيق ، وما إلى ذلك. يجب أن تشرح للمستخدمين ما هي شهادة الأمان وما تعنيه الرسائل المرتبطة بها. بشكل عام ، من الضروري مراعاة ليس فقط الجانب التقني للمشكلة ، ولكن أيضًا غرس ثقافة استخدام موارد تكنولوجيا المعلومات الخاصة بالشركات من قبل الموظفين.
آمل أن تكون قد وجدت هذا المنشور الرائع ممتعًا ومفيدًا.

يجب إجراء تحديد / مصادقة المشغلين (IA) في الأجهزة قبل مرحلة تمهيد نظام التشغيل. يجب تخزين قواعد بيانات IA في الذاكرة غير المتطايرة لأنظمة أمن المعلومات (SSS) ، وتنظيمها بحيث يكون الوصول إليها عن طريق جهاز كمبيوتر أمرًا مستحيلًا ، أي يجب وضع الذاكرة غير المتطايرة خارج مساحة عنوان الكمبيوتر.

يتطلب تحديد / مصادقة المستخدمين البعيدين ، كما في الحالة السابقة ، تنفيذ الأجهزة. المصادقة ممكنة بعدة طرق ، بما في ذلك التوقيع الرقمي الإلكتروني (EDS). يصبح شرط "المصادقة القوية" إلزاميًا ، أي التكرار الدوري للإجراء في عملية العمل على فترات زمنية ، صغيرة بما يكفي بحيث عند التغلب على الحماية ، لا يمكن للمهاجم التسبب في ضرر ملموس.

2. حماية المعدات التقنية من NSD

يمكن تقسيم وسائل حماية أجهزة الكمبيوتر من العبث إلى أقفال إلكترونية (EZ) ووحدات أجهزة تحميل موثوق به (AMDZ). الاختلاف الرئيسي بينهما هو طريقة تنفيذ مراقبة النزاهة. تنفذ الأقفال الإلكترونية إجراءات مستخدم I / A للأجهزة ، وتستخدم برامج خارجية لأداء إجراءات مراقبة السلامة. تنفذ أجهزة تعدين الذهب الحرفي والضيق النطاق كلاً من وظائف المنطقة الاقتصادية ووظائف مراقبة السلامة والوظائف الإدارية.

التحكم في سلامة التركيب الفني لأجهزة الكمبيوتر والشبكات المحلية. يجب أن يتم التحكم في سلامة التكوين الفني للكمبيوتر بواسطة وحدة التحكم SZI قبل تحميل نظام التشغيل. يجب أن يتحكم هذا في جميع الموارد التي (من المحتمل) التي يمكن مشاركتها ، بما في ذلك وحدة المعالجة المركزية ونظام BIOS والأقراص المرنة ومحركات الأقراص الثابتة والأقراص المضغوطة.

ينبغي ضمان سلامة التكوين الفني للشبكة المحلية من خلال إجراءات مصادقة الشبكة المحسّنة. يجب تنفيذ الإجراء في مرحلة توصيل أجهزة الكمبيوتر التي تم اختبارها بالشبكة ثم على فترات يحددها مسؤول الأمان مسبقًا.

مراقبة سلامة نظام التشغيل ، أي يجب أن تقوم وحدة التحكم بالتحكم في سلامة مناطق النظام وملفات نظام التشغيل قبل تحميل نظام التشغيل لضمان قراءة البيانات الحقيقية. نظرًا لأنه يمكن استخدام أنظمة تشغيل مختلفة في إدارة المستندات الإلكترونية ، يجب أن يوفر البرنامج المدمج في وحدة التحكم خدمة أنظمة الملفات الأكثر شيوعًا.

مراقبة سلامة البرمجيات التطبيقية (APO) والبياناتيمكن إجراؤها بواسطة مكونات الأجهزة والبرامج لنظام أمن المعلومات.

3. التمايز في الوصول إلى المستندات وموارد الكمبيوتر والشبكة

تحتوي أنظمة التشغيل الحديثة بشكل متزايد على تحكم مدمج في الوصول. عادةً ما تستخدم هذه الأدوات ميزات نظام ملفات معين (FS) وتستند إلى السمات المرتبطة بأحد مستويات واجهة برمجة تطبيقات نظام التشغيل. في هذه الحالة ، تظهر المشكلتان التاليتان حتمًا.


الالتزام بخصائص نظام الملفات. في أنظمة التشغيل الحديثة ، كقاعدة عامة ، لا يتم استخدام نظام واحد ، ولكن يتم استخدام العديد من أنظمة الملفات - سواء الجديدة أو القديمة. عادةً ما يعمل التحكم في الوصول المدمج في نظام التشغيل على نظام ملفات جديد ، ولكن قد لا يعمل في النظام القديم ، لأنه يستخدم اختلافات كبيرة في نظام الملفات الجديد.

عادة لا يتم تحديد هذا الظرف بشكل مباشر في الشهادة ، مما قد يؤدي إلى تضليل المستخدم. ولغرض ضمان التوافق ، تم تضمين الخدمة الثابتة القديمة في هذه الحالة في نظام التشغيل الجديد.

ملزم لنظام التشغيل API. كقاعدة عامة ، تتغير أنظمة التشغيل بسرعة كبيرة الآن - مرة كل عام ونصف. من الممكن أن يتغيروا كثيرًا. إذا كانت سمات التحكم في الوصول تعكس في نفس الوقت تكوين واجهة برمجة التطبيقات ، فمع الانتقال إلى الإصدار الحديث من نظام التشغيل ، سيكون من الضروري إعادة إعدادات نظام الأمان ، وإعادة تدريب الموظفين ، وما إلى ذلك.

وبالتالي ، يمكن صياغة مطلب عام - يجب فرض النظام الفرعي للتحكم في الوصول على نظام التشغيل وبالتالي يكون مستقلاً عن نظام الملفات. بالطبع ، يجب أن يكون تكوين السمات كافياً لغرض وصف سياسة الأمان ، ويجب أن يتم الوصف ليس من حيث OS API ، ولكن من حيث اعتاد مسؤولو أمن النظام على العمل.

4.حماية المستندات الإلكترونية

تشمل حماية الاتصالات الإلكترونية فئتين من المهام:

ضمان معادلة الوثيقة خلال دورة حياتها بالمعيار الإلكتروني الأصلي ؛

التأكد من معادلة التقنيات الإلكترونية التطبيقية بالمرجعية.

الغرض من أي حماية هو ضمان استقرار الخصائص المحددة للكائن المحمي في جميع نقاط دورة الحياة. يتحقق أمان الكائن من خلال مقارنة المعيار (الكائن في النقطة الأولية من المكان والزمان) والنتيجة (الكائن في وقت المراقبة). على سبيل المثال ، إذا كانت هناك في نقطة الملاحظة (استلام المستند الإلكتروني) معلومات سياقية محدودة للغاية حول المعيار (محتوى المستند الإلكتروني الأصلي) ، ولكن هناك معلومات كاملة حول النتيجة (المستند المرصود) ، ثم هذا يعني أن المستند الإلكتروني يجب أن يتضمن سمات تؤكد الامتثال للمتطلبات التقنية والتكنولوجية ، أي ثبات الرسالة في جميع مراحل إنتاج المستند ونقله. يمكن أن يكون أحد خيارات السمات رموز أمان المصادقة (ASCs).

حماية الوثيقة عند إنشائها. عند إنشاء مستند ، يجب إنشاء رمز أمان للمصادقة في الأجهزة. يجب استبعاد كتابة نسخة من مستند إلكتروني لوسائل الإعلام الخارجية قبل تطوير قانون مكافحة الفساد. إذا تم إنشاء البريد الإلكتروني بواسطة المشغل ، فيجب ربط PCA بالمشغل. إذا تم إنشاء ED بواسطة مكون برنامج AS ، فيجب إنشاء PCA بالرجوع إلى مكون البرنامج هذا.

حماية المستند أثناء نقله. يجب أن تتم حماية المستند أثناء نقله عبر قنوات اتصال خارجية (مفتوحة) على أساس استخدام وسائل التشفير المعتمدة ، بما في ذلك استخدام التوقيع الرقمي الإلكتروني (EDS) لكل وثيقة مرسلة. هناك خيار آخر ممكن أيضًا - يتم توقيع حزمة من المستندات باستخدام EDS ، ويتم اعتماد كل مستند فردي بواسطة نظير آخر للتوقيع بخط اليد (HSA) ، على سبيل المثال ، PCA.

حماية المستند أثناء معالجته وتخزينه وتنفيذه. في هذه المراحل ، يتم تنفيذ حماية المستند باستخدام اثنين من PCA - المدخلات والمخرجات لكل مرحلة. في هذه الحالة ، يجب إنشاء PCA في الأجهزة مع ربط PCA بإجراءات المعالجة (مرحلة تكنولوجيا المعلومات). بالنسبة للمستند المستلم (مع PCA و EDS) ، يتم إنشاء PCA ثانية وعندها فقط يتم إزالة EDS.

حماية المستند عند الوصول إليه من البيئة الخارجية. تتضمن حماية المستندات عند الوصول إليها من البيئة الخارجية آليتين موصوفتين بالفعل - تحديد / مصادقة المستخدمين عن بُعد والتمايز في الوصول إلى المستندات والكمبيوتر الشخصي وموارد الشبكة.

5. حماية البيانات في قنوات الاتصال

تقليديا ، لحماية البيانات في قناة اتصال ، يتم استخدام مشفرات القنوات ولا يتم إرسال البيانات فحسب ، بل يتم أيضًا إرسال إشارات التحكم.

6. حماية تكنولوجيا المعلومات

على الرغم من أوجه التشابه المعروفة ، تختلف آليات حماية البيانات الإلكترونية نفسها ككائن (رقم ، بيانات) وحماية البيانات الإلكترونية كعملية (وظيفة ، بيئة الحوسبة) اختلافًا جذريًا. في حماية تكنولوجيا المعلومات ، على عكس حماية البيانات الإلكترونية ، فإن خصائص التكنولوجيا المرجعية المطلوبة معروفة بشكل موثوق ، ولكن هناك معلومات محدودة حول استيفاء التكنولوجيا المستخدمة بالفعل لهذه المتطلبات ، أي النتيجة. الكائن الوحيد الذي يمكن أن يحمل معلومات حول التكنولوجيا الفعلية (كسلسلة من العمليات) هو ED نفسه ، أو بالأحرى السمات المضمنة فيه. كما كان من قبل ، يمكن أن يكون PCA أحد أنواع هذه السمات. يمكن إنشاء تكافؤ التقنيات بشكل أكثر دقة ، يتم إرفاق عمليات أكثر وظيفية بالرسالة عبر PCA. في هذه الحالة ، لا تختلف الآليات عن تلك المستخدمة لحماية المستندات الإلكترونية. علاوة على ذلك ، يمكن الافتراض أن وجود PCA محدد يميز وجود عملية مقابلة في العملية التكنولوجية ، وقيمة PCA تميز سلامة الرسالة في هذه المرحلة من العملية التكنولوجية.

7. التمايز في الوصول إلى تدفقات البيانات

لغرض التمييز بين الوصول إلى تدفقات البيانات ، كقاعدة عامة ، يتم استخدام أجهزة التوجيه التي تستخدم وسائل التشفير للحماية. في مثل هذه الحالات ، يتم إيلاء اهتمام خاص لنظام المفاتيح وموثوقية تخزين المفاتيح. تختلف متطلبات الوصول لترسيم حدود التدفقات عن تلك الخاصة بتعيين حدود الوصول إلى الملفات والدلائل. هنا فقط أبسط آلية ممكنة - الوصول مسموح به أو مرفوض.

يوفر استيفاء المتطلبات المدرجة مستوى كافٍ من الأمان للمستندات الإلكترونية كأهم نوع من الرسائل التي تتم معالجتها في أنظمة المعلومات.

كوسيلة تقنية لحماية المعلومات ، تم تطوير وحدة أجهزة للتحميل الموثوق به (ASMD) ، والتي توفر تحميل نظام التشغيل ، بغض النظر عن نوعه ، لمستخدم تمت مصادقته بواسطة آلية أمان. يتم إنتاج نتائج تطوير نظام حماية البيانات لـ NSD "Akkord" (مطور OKB CAD) بشكل متسلسل وهي اليوم أشهر وسائل حماية أجهزة الكمبيوتر من الوصول غير المصرح به في روسيا. أثناء التطوير ، تم استخدام خصوصية منطقة التطبيق ، والتي انعكست في مجموعة أدوات الأجهزة لحماية المعلومات في تدفق المستندات الإلكترونية ، والتي تستخدم رموز المصادقة (CA) على مستويات مختلفة. لنلقِ نظرة على بعض الأمثلة على استخدام الأجهزة.

1. في آلات تسجيل النقد (KKM) ، تُستخدم CA كوسيلة لتوثيق الشيكات كأحد أنواع المستندات الإلكترونية. يجب أن يكون كل سجل نقدي مزودًا بكتلة من الذاكرة المالية الذكية (FP) ، والتي تؤدي ، بالإضافة إلى وظائف تجميع البيانات على نتائج المبيعات ، عددًا من الوظائف الأخرى:

يوفر الحماية لبرامج KKM والبيانات من العبث ؛

يولد رموز المصادقة لكل من السجل النقدي وكل شيك ؛

يدعم واجهة نموذجية للتفاعل مع وحدة مفتش الضرائب ؛

يوفر استرجاع البيانات المالية لتقديمها إلى مكتب الضرائب في وقت واحد مع الميزانية العمومية.

تم تطوير الكتلة FP "Akkord-FP" على أساس SZI "Akkord". يتميز بالمميزات التالية:

تتكامل وظائف DSS NSD مع وظائف FP ؛

كجزء من كتلة FP ، توجد أيضًا سجلات KKM غير المتطايرة ؛

يتم أيضًا دمج إجراءات وحدة مفتش الضرائب كجزء لا يتجزأ من كتلة "Accord-FP".

2. في نظام مراقبة سلامة الوثائق الإلكترونية والتحقق منها (SKTsPD) في النظام الآلي على المستوى الفيدرالي أو الإقليمي ، يتمثل الاختلاف الأساسي في القدرة على حماية كل وثيقة على حدة. يسمح هذا النظام بالتحكم دون زيادة كبيرة في حركة المرور. كان أساس إنشاء مثل هذا النظام هو جهاز التحكم "Accord-S B / KA" - وهو معالج أمان عالي الأداء يقوم بتنفيذ وظائف إنشاء / التحقق من أكواد المصادقة.

يضمن مركز المعلومات والحوسبة الإقليمي (RICC) إدارة نشاط SKTsPD ككل ، والتفاعل مع جميع خطط العمل السنوية للجنة العليا - خطط العمل السنوية للمشغلين المشاركين ، والمجهزة بمجمعات الأجهزة والبرامج "Akkord-SB / KA" (A-SB / KA) والبرمجيات SKTsPD. يجب أن تشتمل RIVC على محطتي عمل آليتين - ARM-K لصنع المفاتيح ، و ARM-R لإعداد توزيع بيانات التحقق.

3. تطبيق رموز التوثيق في الأنظمة الفرعية للحماية التكنولوجية للبيانات الإلكترونية. يمكن أن يكون أساس تنفيذ أجهزة أمن المعلومات هو "Accord SB" و "Accord AMDZ" (من حيث الحماية ضد الوصول غير المصرح به). رموز المصادقة تستخدم لحماية التقنيات. يتم إنشاء رموز المصادقة للمستندات الإلكترونية في النظام الفرعي لأمن تكنولوجيا المعلومات والتحقق منها على خوادم رمز المصادقة (SCA) باستخدام جداول المفاتيح (جداول الصلاحية) المخزنة في الذاكرة الداخلية للمعالجات المشتركة Akkord-SB المثبتة في SCA. يتم تسليم جداول الصلاحية ، المغلقة عند مفاتيح التسليم ، إلى SCA وتحميلها في الذاكرة الداخلية للمعالجات المشتركة ، حيث يتم توسيعها. يتم إنشاء مفاتيح التسليم وتسجيلها في محطة عمل آلية متخصصة ARM-K وتحميلها في معالجات مشتركة في المرحلة الأولية في عملية تخصيصها.

تُظهر تجربة التطبيق العملي الواسع النطاق لأكثر من 100000 وحدة من وحدات حماية الأجهزة من نوع "Accord" في أنظمة الكمبيوتر لمختلف المنظمات في روسيا والدول المجاورة أن التركيز على حل البرمجيات والأجهزة قد تم اختياره بشكل صحيح ، حيث لديها فرص كبيرة لمزيد من التطوير والتحسين.

الاستنتاجات

يمكن أن يؤدي التقليل من أهمية قضايا أمن المعلومات إلى أضرار جسيمة.

يجبر نمو جرائم الكمبيوتر الناس على الاهتمام بأمن المعلومات.

التشغيل في الممارسة الروسية من نفس النوع من البرامج والأجهزة الجماعية (على سبيل المثال ، أجهزة الكمبيوتر الشخصية المتوافقة مع IBM ؛ أنظمة التشغيل - Window و Unix و MS DOS و Netware وما إلى ذلك) يخلق ظروفًا للمتطفلين إلى حد معين.

يجب أن تقوم استراتيجية بناء نظام أمن المعلومات على حلول متكاملة ، وعلى تكامل تقنيات المعلومات وأنظمة الأمن ، وعلى استخدام التقنيات والأدوات المتقدمة ، وعلى التقنيات العالمية لحماية المعلومات من النوع الصناعي.

أسئلة لضبط النفس

1. قم بتسمية أنواع التهديدات التي تتعرض لها المعلومات ، وإعطاء تعريف للتهديد.

2. ما هي طرق حماية المعلومات؟

3. وصف التحكم في الوصول كطريقة لحماية المعلومات. ما هو دورها وأهميتها؟

4. ما هو الغرض من أساليب التشفير لحماية المعلومات؟ قائمة بهم.

5. إعطاء مفهوم المصادقة والتوقيع الرقمي. ما هو جوهرهم؟

6. مناقشة مشاكل حماية المعلومات في الشبكات وإمكانيات حلها.

7. توسيع ملامح استراتيجية أمن المعلومات باستخدام منهج منظم وحلول متكاملة ومبدأ التكامل في تقنية المعلومات.

8. حصر مراحل إنشاء أنظمة أمن المعلومات.

9. ما هي الإجراءات المطلوبة لتنفيذ الحماية التقنية لتقنيات إدارة الوثائق الإلكترونية؟

10. ما هو جوهر النهج المضاعف؟

11. ما هي الإجراءات الواجب اتباعها لحماية نظام إدارة الوثائق الإلكترونية؟

12. ما هي الوظائف التي يؤديها جدار الحماية؟

اختبارات للفصل. 5

أدخل المفاهيم والعبارات المفقودة.

1. تسمى الأحداث أو الإجراءات التي يمكن أن تؤدي إلى استخدام غير مصرح به للمعلومات أو تشويهها أو إتلافها ...

2. من بين التهديدات لأمن المعلومات ، يجب التمييز بين نوعين: ...

3. الأنواع المدرجة من الإجراءات المضادة لتهديدات أمن المعلومات: العائق ، التحكم في الوصول ، التشفير ، التنظيم ، الإكراه والتحريض تشير إلى ... أمن المعلومات.

4. الأساليب التالية لمواجهة التهديدات الأمنية: المادية ، والأجهزة ، والبرمجيات ، والتنظيمية ، والتشريعية ، والأخلاقية ، والأخلاقية ، والمادية تشير إلى ... ضمان أمن المعلومات.


5. تعتمد طرق التشفير لحماية المعلومات على ...

6. يسمى تعيين تعيين فريد للمستخدم لتأكيد امتثاله ...

7. تسمى مصادقة مستخدم للتحقق من امتثاله ...

8. يرتبط أكبر تهديد لشبكات الشركات بما يلي:

أ) مع عدم تجانس موارد وتقنيات المعلومات ؛

ب) مع البرامج والأجهزة ؛

ج) مع أعطال المعدات. اختر الإجابات الصحيحة.

9. يتم تحديد المستوى العقلاني لأمن المعلومات في شبكات الشركات بشكل أساسي بناءً على الاعتبارات:

أ) تحديد طرق الحماية ؛

ب) الجدوى الاقتصادية.

ج) استراتيجيات الدفاع.

10. يُطلق على البرنامج المقيم في الذاكرة الموجود في ذاكرة الكمبيوتر ويتحكم في العمليات المتعلقة بتغيير المعلومات على الأقراص المغناطيسية:

أ) كاشف.

ج) حارس.

د) مدقق حسابات.

11. تم تصميم أدوات مكافحة الفيروسات من أجل:

أ) لاختبار النظام ؛

ب) لحماية البرنامج من الفيروسات ؛

ج) فحص البرامج بحثًا عن الفيروسات ومعالجتها ؛

د) لمراقبة النظام.