Meny
Är gratis
registrering
Hem  /  Råd/ Programvara och tekniska skyddsmedel. Informationssäkerhetsverktyg Informationssäkerhetsprogram

Programvara och tekniska skyddsmedel. Informationssäkerhetsverktyg Informationssäkerhetsprogram

Informationsskydd i datorsystem har ett antal specifika egenskaper förknippade med att information inte är fast kopplad till bäraren, kan enkelt och snabbt kopieras och överföras via kommunikationskanaler. Ett mycket stort antal informationshot är kända som kan implementeras av både externa och interna inkräktare. Problem som uppstår med säkerheten för informationsöverföring vid arbete i datornätverk kan delas in i tre huvudtyper: - avlyssning av information - informationens integritet bevaras, men dess konfidentialitet kränks; - informationsändring - det ursprungliga meddelandet ändras eller helt ersätts av ett annat och skickas till adressaten; - Ersättning av författarskap av information. Detta problem kan få allvarliga konsekvenser. Till exempel kan någon skicka ett e-postmeddelande för din räkning (denna typ av bedrägeri kallas vanligen för spoofing), eller så kan en webbserver utge sig för att vara en onlinebutik, acceptera beställningar, kreditkortsnummer, men inte skicka några föremål. Studier av hur databehandlingssystem och datorsystem fungerar har visat att det finns många möjliga riktningar för informationsläckage och sätt för obehörig åtkomst i system och nätverk. Bland dem:

    Läsa återstående information i systemminnet efter exekvering av auktoriserade förfrågningar;

    Kopiering av informationsbärare och informationsfiler med övervinna säkerhetsåtgärder;

    Förklädd som en registrerad användare;

    Förklädd som en systemförfrågan;

    Använda mjukvarufällor;

    Använda bristerna i operativsystemet;

    Olaglig anslutning till utrustning och kommunikationslinjer;

    Skadlig inaktivering av skyddsmekanismer;

    Introduktion och användning av datavirus.

Att säkerställa informationssäkerheten i flygplanet och i självständigt fungerande persondatorer uppnås genom ett komplex av organisatoriska, organisatoriska, tekniska, tekniska och mjukvaruåtgärder. Organisatoriska åtgärder för att skydda information inkluderar:

    Begränsa tillgången till lokaler där information förbereds och behandlas;

    Endast verifierade tjänstemän får behandla och överföra konfidentiell information;

    Lagring av elektroniska medier och registreringsloggar i kassaskåp stängda för obehörig åtkomst;

    Uteslutning från obehöriga personers visning av innehållet i bearbetat material via displayen, skrivaren, etc.;

    Användning av kryptografiska koder vid överföring av värdefull information via kommunikationskanaler;

    Förstörelse av färgband, papper och annat material som innehåller fragment av värdefull information.

  1. Kryptografiskt informationsskydd.

TILL Riptografiska metoder för informationsskydd är speciella metoder för kryptering, kodning eller annan transformation av information, som ett resultat av vilka dess innehåll blir otillgängligt utan presentation av kryptogramnyckeln och omvänd transformation. Den kryptografiska skyddsmetoden är utan tvekan den mest tillförlitliga skyddsmetoden, eftersom själva informationen är skyddad direkt och inte tillgång till den (till exempel kan en krypterad fil inte läsas även om mediet är stulet). Denna skyddsmetod implementeras i form av program eller mjukvarupaket.

Modern kryptografi inkluderar fyra huvudsektioner:

    Symmetriska kryptosystem... I symmetriska kryptosystem används samma nyckel för både kryptering och dekryptering. (Kryptering är en omvandlingsprocess: den ursprungliga texten, som också kallas vanlig text, ersätts med chiffertext, dekryptering är den omvända processen till kryptering. Baserat på nyckeln konverteras chiffertexten till originalet);

    Public key kryptosystem... Offentliga nyckelsystem använder två nycklar, offentliga och privata, som är matematiskt relaterade till varandra. Information krypteras med en offentlig nyckel, som är tillgänglig för alla, och dekrypteras med en privat nyckel som endast är känd för mottagaren av meddelandet (Nyckeln är information som behövs för obehindrad kryptering och dekryptering av texter.);

    Elektronisk signatur... Elektroniskt signatursystem. kallas dess kryptografiska transformation kopplad till texten, vilket gör det möjligt att, när texten tas emot av en annan användare, verifiera meddelandets författarskap och äkthet.

    Nyckelhantering... Detta är processen för ett informationsbehandlingssystem, vars innehåll är sammanställning och distribution av nycklar mellan användare.

O De viktigaste riktningarna för att använda kryptografiska metoder är överföring av konfidentiell information via kommunikationskanaler (till exempel e-post), autentisering av överförda meddelanden, lagring av information (dokument, databaser) på media i krypterad form.

Med informationssäkerhetsprogram avses speciella program som ingår i KS-programvaran uteslutande för att utföra skyddsfunktioner.

De viktigaste programvaruverktygen för att skydda information inkluderar:

  • * program för identifiering och autentisering av KS-användare;
  • * program för att differentiera användaråtkomst till COP:s resurser;
  • * program för informationskryptering;
  • * program för att skydda informationsresurser (system- och applikationsprogramvara, databaser, datorläromedel, etc.) från obehöriga ändringar, användning och kopiering.

Det bör förstås att identifiering, i förhållande till att säkerställa informationssäkerheten för CU, förstås som ett entydigt erkännande av det unika namnet på CU-subjektet. Autentisering betyder bekräftelse på att det presenterade namnet motsvarar det givna ämnet (bekräftelse av ämnets identitet) 5.

Informationssäkerhetsprogramvara inkluderar också:

  • * program för att förstöra restinformation (i block av RAM, temporära filer, etc.);
  • * Program för granskning (upprätthållande av loggar) av händelser relaterade till kompressorstationens säkerhet, för att säkerställa möjligheten till återhämtning och bevis på faktumet av dessa händelser;
  • * Program för att simulera arbete med en gärningsman (distrahera honom att ta emot påstådd konfidentiell information);
  • * program för testkontroll av säkerheten i KS m.m.

Fördelarna med programvara för informationssäkerhet inkluderar:

  • * enkel replikering;
  • * flexibilitet (möjligheten att anpassa för olika användningsförhållanden, med hänsyn till de specifika hoten mot informationssäkerheten för specifika CS);
  • * lätt att använda - vissa mjukvaruverktyg, till exempel kryptering, fungerar i ett "transparent" (osynligt för användaren) läge, medan andra inte kräver några nya (jämfört med andra program) färdigheter från användaren;
  • * nästan obegränsade möjligheter för deras utveckling genom att göra ändringar för att ta hänsyn till nya hot mot informationssäkerheten.

Ris. 4

Ris. 5

Nackdelarna med programvara för informationssäkerhet inkluderar:

  • * minskning av effektiviteten hos COP på grund av förbrukningen av dess resurser som krävs för att skyddsprogram ska fungera;
  • * lägre prestanda (jämfört med att utföra liknande funktioner hårdvaruskydd, såsom kryptering);
  • * dockning av många programvaruskyddsverktyg (och inte deras arrangemang i programvaran för CS, Fig. 4 och 5), vilket skapar en grundläggande möjlighet för en inkräktare att kringgå dem;
  • * möjligheten till skadliga ändringar i programvaruskyddet under driften av CS.

Säkerhet för operativsystem

Operativsystemet är den viktigaste programvarukomponenten i vilken dator som helst, därför beror informationssystemets övergripande säkerhet till stor del på nivån på implementeringen av säkerhetspolicyn i varje specifikt operativsystem.

Familjen av operativsystem Windows 2000, Millenium är kloner, ursprungligen orienterade för att fungera i hemdatorer. Dessa operativsystem använder behörighetsnivåer i skyddat läge, men gör inga ytterligare kontroller och stöder inte säkerhetsdeskriptorsystem. Som ett resultat kan alla program komma åt hela mängden tillgängligt RAM med både läs- och skrivrättigheter. Nätverkssäkerhetsåtgärder är närvarande, men deras genomförande är inte i nivå. Dessutom, i versionen av Windows XP gjordes ett grundläggande fel som gjorde att datorn kunde frysa i bara några få paket, vilket också avsevärt undergrävde operativsystemets rykte; i efterföljande versioner vidtogs många steg för att förbättra nätverkssäkerheten för denna klon6 .

Generationen av operativsystem Windows Vista, 7 är redan en mycket mer pålitlig utveckling från MicroSoft. De är verkligen fleranvändarsystem som på ett tillförlitligt sätt skyddar filerna från olika användare på hårddisken (data är dock inte krypterade, och filerna kan läsas utan problem genom att starta från skivan i ett annat operativsystem - till exempel MS- DOS). Dessa operativsystem använder aktivt funktionerna för skyddat läge hos Intel-processorer och kan på ett tillförlitligt sätt skydda data och processkod från andra program, såvida inte processen själv vill ge ytterligare åtkomst till dem utanför processen.

Under en lång utvecklingstid har många olika nätverksattacker och säkerhetsfel tagits i beaktande. Rättelser till dem utfärdades i form av servicepaket.

En annan gren av kloner växer från operativsystemet UNIX. Detta operativsystem utvecklades ursprungligen som ett nätverk och fleranvändare, och innehöll därför omedelbart informationssäkerhetsverktyg. Nästan alla utbredda UNIX-kloner har kommit långt i utvecklingen och, när de modifierades, tog de hänsyn till alla attackmetoder som upptäcktes under denna tid. De har bevisat sig tillräckligt: ​​LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Naturligtvis gäller allt som har sagts de senaste versionerna av dessa operativsystem. De huvudsakliga felen i dessa system är inte längre relaterade till kärnan, som fungerar felfritt, utan till system- och applikationsverktyg. Närvaron av fel i dem leder ofta till att hela säkerhetsmarginalen för systemet går förlorad.

Huvudkomponenter:

Den lokala säkerhetsadministratören är ansvarig för obehörig åtkomst, verifierar användarens inloggningsuppgifter, upprätthåller:

Granskning - kontrollera korrektheten av användaråtgärder

Account Manager - databasstöd för användare av deras handlingar och interaktion med systemet.

Säkerhetsmonitor - kontrollerar om användaren har tillräckliga åtkomsträttigheter till objektet

Granskningslogg - innehåller information om användarinloggningar, poster fungerar med filer och mappar.

Autentiseringspaket - analyserar systemfiler för att säkerställa att de inte har ersatts. MSV10 är standardpaketet.

Windows XP har uppdaterats med:

du kan tilldela lösenord för säkerhetskopior

filersättningsskydd

avgränsningssystem ... genom att ange ett lösenord och skapa ett användarkonto. Arkivering kan utföras av en användare som har sådana rättigheter.

NTFS: styr åtkomst till filer och mappar

I XP och 2000 - mer komplett och djupgående differentiering av användarrättigheter.

EFS - tillhandahåller kryptering och dekryptering av information (filer och mappar) för att begränsa åtkomst till data.

Kryptografiska skyddsmetoder

Kryptografi är vetenskapen om att säkra data. Hon letar efter lösningar på fyra viktiga säkerhetsproblem – konfidentialitet, autentisering, integritet och kontroll av deltagarna i interaktionen. Kryptering är omvandlingen av data till en oläsbar form med hjälp av krypterings-dekrypteringsnycklar. Kryptering gör att du kan säkerställa konfidentialitet genom att hålla information hemlig för dem som den inte är avsedd för.

Kryptografi sysslar med sökning och studier av matematiska metoder för att transformera information (7).

Modern kryptografi inkluderar fyra huvudsektioner:

symmetriska kryptosystem;

offentliga nyckelkryptosystem;

elektroniska signatursystem;

nyckelhantering.

De viktigaste riktningarna för att använda kryptografiska metoder är överföring av konfidentiell information via kommunikationskanaler (till exempel e-post), autentisering av överförda meddelanden, lagring av information (dokument, databaser) på media i krypterad form.

Diskkryptering

En krypterad disk är en containerfil som kan innehålla andra filer eller program (de kan installeras och köras direkt från denna krypterade fil). Den här disken är endast tillgänglig efter att ha angett lösenordet för behållarfilen - då visas en annan disk på datorn, som känns igen av systemet som logisk och fungerar med vilken inte skiljer sig från att arbeta med någon annan disk. Efter att ha kopplat bort skivan försvinner den logiska skivan, den blir helt enkelt "osynlig".

Idag är de vanligaste programmen för att skapa krypterade diskar DriveCrypt, BestCrypt och PGPdisk. Var och en av dem är tillförlitligt skyddad från fjärrhackning.

Gemensamma funktioner för programmen: (8)

  • - alla ändringar av informationen i containerfilen sker först i RAM-minnet, dvs. hårddisken förblir krypterad hela tiden. Även om datorn fryser, förblir den hemliga informationen krypterad;
  • - program kan blockera en dold logisk enhet efter en viss tid;
  • - alla är misstänkta för temporära filer (swap-filer). Det är möjligt att kryptera all konfidentiell information som kan komma in i växlingsfilen. En mycket effektiv metod för att dölja information som lagras i en växlingsfil är att inaktivera den helt, samtidigt som man inte glömmer att öka datorns RAM-minne;
  • - Hårddiskens fysik är sådan att även om du skriver över vissa data med andra, kommer den tidigare posten inte att raderas helt. Med hjälp av moderna medel för magnetisk mikroskopi (Magnetic Force Microscopy - MFM) kan de fortfarande återställas. Med dessa program kan du på ett tillförlitligt sätt ta bort filer från din hårddisk utan att lämna några spår av deras existens;
  • - alla tre programmen sparar konfidentiell data i en säkert krypterad form på hårddisken och ger transparent åtkomst till dessa data från alla applikationsprogram;
  • - de skyddar krypterade containerfiler från oavsiktlig radering;
  • - gör ett utmärkt jobb med trojaner och virus.

Användaridentifieringsmetoder

Innan användaren kommer åt flygplanet måste användaren identifiera sig och nätverkssäkerhetsmekanismerna autentisera användaren, det vill säga kontrollera om användaren verkligen är den han utger sig för att vara. I enlighet med den logiska modellen av skyddsmekanismen är flygplanen placerade på en fungerande dator, till vilken användaren är ansluten via sin terminal eller på annat sätt. Därför utförs identifierings-, autentiserings- och auktoriseringsprocedurer i början av en session på den lokala arbetsdatorn.

Därefter, när olika nätverksprotokoll installeras och innan man får tillgång till nätverksresurser, kan identifierings-, autentiserings- och auktoriseringsprocedurer återaktiveras på vissa fjärranslutna stationära datorer för att tillgodose de nödvändiga resurserna eller nätverkstjänsterna.

När en användare börjar arbeta på ett datorsystem med hjälp av en terminal, frågar systemet efter hans namn och identifikationsnummer. I enlighet med användarens svar gör datorsystemet sin identifiering. I ett nätverk är det mer naturligt för sammankopplade enheter att identifiera varandra.

Lösenord är bara ett sätt att autentisera. Det finns andra sätt:

  • 1. Fördefinierad information till användarens förfogande: lösenord, personligt identifieringsnummer, avtal om användning av speciella krypterade fraser.
  • 2. Hårdvara till användarens förfogande: nycklar, magnetkort, mikrokretsar etc.
  • 3. Typiska personliga egenskaper hos användaren: fingeravtryck, ritning av ögats näthinna, figurens storlek, röstklang och andra mer komplexa medicinska och biokemiska egenskaper.
  • 4. Typiska tekniker och drag för användarbeteende i realtid: funktioner för dynamik, arbetssätt på tangentbordet, läshastighet, förmåga att använda manipulatorer, etc.
  • 5. Vanor: användningen av specifika datormallar.
  • 6. Användarfärdigheter och kunskaper på grund av utbildning, kultur, träning, bakgrund, uppväxt, vanor m.m.

Om någon vill logga in i ett datorsystem via en terminal eller utföra ett batchjobb måste datorsystemet autentisera användaren. Användaren själv autentiserar vanligtvis inte datorsystemet. Om autentiseringsproceduren är enkelriktad kallas en sådan procedur envägsobjektautentisering (9).

Specialiserad programvara för informationssäkerhet.

Specialiserade mjukvaruverktyg för att skydda information från obehörig åtkomst har på det hela taget bättre möjligheter och egenskaper än de inbyggda verktygen i ett nätverksoperativsystem. Förutom krypteringsprogram finns det många andra externa säkerhetsverktyg tillgängliga. Av de mest frekvent nämnda bör följande två system noteras, som gör det möjligt att begränsa informationsflöden.

Brandväggar - brandväggar (bokstavligen brandvägg - brandvägg). Mellan de lokala och globala nätverken skapas speciella mellanservrar som inspekterar och filtrerar all nätverks-/transportlagertrafik som passerar genom dem. Detta kan dramatiskt minska hotet om obehörig åtkomst utifrån till företagsnätverk, men eliminerar inte denna fara alls. En säkrare version av metoden är maskerad, när all trafik som utgår från det lokala nätverket skickas på uppdrag av brandväggsservern, vilket gör det lokala nätverket praktiskt taget osynligt.

Proxyservrar (fullmakt - fullmakt, betrodd person). All nätverks-/transportlagertrafik mellan de lokala och globala nätverken är helt förbjuden - det finns helt enkelt ingen routing som sådan, och samtal från det lokala nätverket till det globala nätverket sker via speciella mellanliggande servrar. Uppenbarligen, med denna metod, blir samtal från det globala nätverket till det lokala i princip omöjliga. Det är också uppenbart att denna metod inte ger tillräckligt skydd mot attacker på högre nivåer - till exempel på applikationsnivå (virus, Java-kod och JavaScript).

Låt oss ta en närmare titt på hur brandväggen fungerar. Det är en metod för att skydda ett nätverk från säkerhetshot från andra system och nätverk genom att centralisera och kontrollera nätverksåtkomst genom hårdvara och mjukvara. En brandvägg är en säkerhetsbarriär som består av flera komponenter (till exempel en router eller gateway som kör brandväggsprogrammet). Brandväggen är konfigurerad enligt organisationens interna policy för åtkomstkontroll för nätverk. Alla inkommande och utgående paket måste gå genom en brandvägg som endast tillåter att auktoriserade paket passerar.

En paketfiltrerande brandvägg är en router eller dator som kör programvara som är konfigurerad att avvisa vissa typer av inkommande och utgående paket. Paketfiltrering utförs baserat på informationen i TCP- och IP-huvudena för paket (adresser till avsändaren och mottagaren, deras portnummer, etc.).

Brandvägg på expertnivå - kontrollerar innehållet i mottagna paket i tre lager av OSI-modellen - nätverk, session och applikation. För att utföra denna uppgift används speciella paketfiltreringsalgoritmer för att jämföra varje paket mot ett känt mönster av auktoriserade paket.

Skapandet av en brandvägg är relaterad till lösningen av problemet med skärmning. Den formella inställningen av screeningproblemet är som följer. Låt det finnas två uppsättningar av informationssystem. En skärm är ett sätt att skilja åtkomst av klienter från en uppsättning till servrar från en annan uppsättning. Skärmen utför sina funktioner genom att kontrollera alla informationsflöden mellan två uppsättningar av system (fig. 6). Att kontrollera strömmar består i att filtrera dem, eventuellt utföra några transformationer.

På nästa detaljnivå är skärmen (semipermeabelt membran) bekvämt tänkt som en sekvens av filter. Vart och ett av filtren, efter att ha analyserat data, kan fördröja (inte hoppa över) dem och kan omedelbart "kasta" bort från skärmen. Dessutom är det tillåtet att transformera data, överföra en del av data till nästa filter för att fortsätta analysen eller bearbeta data på uppdrag av adressaten och returnera resultatet till avsändaren (fig. 7).


Ris. 7

Förutom funktionerna för åtkomstkontroll registrerar skärmarna informationsutbytet.

Vanligtvis är skärmen inte symmetrisk, termerna "inuti" och "utanför" är definierade för den. I det här fallet är problemet med avskärmning formulerat som att skydda det inre området från det potentiellt fientliga yttre. Så, brandväggar (FW) installeras oftast för att skydda företagsnätverket i en organisation med internetåtkomst.

Avskärmning hjälper till att upprätthålla tillgängligheten för back-end-tjänster genom att minska eller eliminera belastningen som orsakas av extern aktivitet. Sårbarheten för interna säkerhetstjänster minskar eftersom angriparen initialt måste övervinna en skärm där försvarsmekanismer är särskilt noggrant konfigurerade. Dessutom kan skärmningssystemet, i motsats till det universella, ordnas på ett enklare och därför säkrare sätt.

Shielding gör det också möjligt att kontrollera informationsflöden riktade till det yttre området, vilket bidrar till att upprätthålla sekretessregimen i organisationens IS.

Avskärmningen kan vara partiell och skydda vissa informationstjänster (till exempel e-postavskärmning).

Ett avgränsande gränssnitt kan också ses som ett slags flykt. Ett osynligt föremål är svårt att attackera, speciellt med en fast uppsättning medel. I denna mening är webbgränssnittet naturligt säkert, särskilt när hypertextdokument genereras dynamiskt. Varje användare ser bara det han ska se. En analogi kan dras mellan dynamiskt genererade hypertextdokument och representationer i relationsdatabaser, med det väsentliga förbehållet att i fallet med webben är möjligheterna mycket bredare.

En webbtjänsts avskärmande roll manifesteras också tydligt när denna tjänst förmedlar (mer exakt, integrerar) funktioner vid åtkomst till andra resurser, såsom databastabeller. Det styr inte bara flödet av förfrågningar, utan döljer också den verkliga organisationen av data.

Arkitektoniska säkerhetsaspekter

Det är inte möjligt att bekämpa de hot som finns i nätverksmiljön med hjälp av universella operativsystem. Ett generiskt operativsystem är ett enormt program, som förmodligen innehåller, förutom uppenbara fel, några funktioner som kan användas för att olagligt få privilegier. Modern programmeringsteknik tillåter inte att göra så stora program säkra. Dessutom kan en administratör som hanterar ett komplext system inte alltid ta hänsyn till alla konsekvenser av de ändringar som görs. Slutligen, i ett universellt fleranvändarsystem skapas säkerhetshål ständigt av användarna själva (svaga och/eller sällan ändrade lösenord, dåligt inställda åtkomsträttigheter, en obevakad terminal, etc.). Det enda lovande sättet är förknippat med utvecklingen av specialiserade säkerhetstjänster, som på grund av sin enkelhet tillåter formell eller informell verifiering. Brandväggen är just ett sådant verktyg som tillåter ytterligare nedbrytning i samband med service av olika nätverksprotokoll.

Brandväggen är placerad mellan det skyddade (interna) nätverket och den externa miljön (externa nätverk eller andra segment av företagsnätverket). I det första fallet pratar de om det externa ME, i det andra - om det inre. Beroende på din synvinkel kan en extern brandvägg betraktas som den första eller sista (men inte alls den enda) försvarslinjen. Den första är när du ser på världen genom en extern angripares ögon. Det senare - om vi strävar efter att skydda alla komponenter i företagets nätverk och förhindra olagliga handlingar från interna användare.

En brandvägg är den idealiska platsen för att bädda in aktiv revision. Å ena sidan, både vid första och sista försvarslinjen, är det viktigt att identifiera misstänkt aktivitet på sitt sätt. Å andra sidan är ME kapabel att realisera en godtyckligt kraftfull reaktion på misstänkt aktivitet, upp till att kommunikationen med den yttre miljön avbryts. Du måste dock vara medveten om att sammankoppling av två säkerhetstjänster i princip kan skapa ett hål som främjar tillgänglighetsattacker.

Det är lämpligt att tilldela brandväggen identifiering/autentisering av externa användare som behöver tillgång till företagets resurser (med stöd för konceptet enkel inloggning till nätverket).

På grund av principerna för försvarsseparering används vanligen tvådelad skärmning för att skydda externa anslutningar (se figur 8). Primär filtrering (till exempel blockering av SNMP-kontrollprotokollpaket, farligt med attacker på tillgänglighet, eller paket med vissa IP-adresser inkluderade i den "svarta listan") utförs av gränsroutern (se även nästa avsnitt), bakom vilken är den så kallade demilitariserade zonen ( ett nätverk med måttligt säkerhetsförtroende, där externa informationstjänster för organisationen tas - webb, e-post, etc.) och den huvudsakliga ME som skyddar den interna delen av företagets nätverk.

I teorin bör en brandvägg (särskilt en intern) vara multiprotokoll, men i praktiken är dominansen av TCP/IP-protokollfamiljen så stor att stödet för andra protokoll verkar vara en överdrift, skadlig för säkerheten (det mer komplexa) tjänsten, desto mer sårbar är den).


Ris. åtta

Generellt sett kan både externa och interna brandväggar bli en flaskhals eftersom volymen nätverkstrafik tenderar att växa snabbt. En av metoderna för att lösa detta problem innebär att dela upp ME i flera hårdvarudelar och organisera specialiserade mellanliggande servrar. Huvudbrandväggen kan grovt klassificera inkommande trafik efter typ och delegera filtrering till lämpliga mellanhänder (till exempel en mellanhand som analyserar HTTP-trafik). Utgående trafik bearbetas först av en mellanliggande server, som också kan utföra funktionellt användbara åtgärder, såsom cachelagring av sidor på externa webbservrar, vilket minskar belastningen på nätverket i allmänhet och huvud-FW i synnerhet.

Situationer när ett företagsnätverk endast innehåller en extern kanal är undantag snarare än regel. Däremot är en typisk situation där ett företagsnätverk består av flera geografiskt spridda segment, som var och en är ansluten till Internet. I detta fall måste varje anslutning skyddas av sin egen skärm. Mer exakt kan vi anta att företagets externa brandvägg är sammansatt, och det krävs för att lösa problemet med konsekvent administration (hantering och revision) av alla komponenter.

Motsatsen till sammansatta företags MEs (eller deras komponenter) är personliga brandväggar och personliga avskärmningsenheter. Den första är mjukvaruprodukter som är installerade på persondatorer och bara skyddar dem. De senare är implementerade på separata enheter och skyddar ett litet lokalt nätverk som ett hemmakontorsnätverk.

När du distribuerar brandväggar bör du följa principerna för arkitektonisk säkerhet som vi har diskuterat tidigare, först och främst, att ta hand om enkelhet och hanterbarhet, separering av försvar och omöjligheten att övergå till ett osäkert tillstånd. Dessutom bör inte bara externa utan även interna hot beaktas.

System för arkivering och duplicering av information

Organiseringen av ett tillförlitligt och effektivt dataarkiveringssystem är en av de viktigaste uppgifterna för att säkerställa informationens säkerhet i nätverket. I små nätverk där en eller två servrar är installerade används det oftast för att installera arkiveringssystemet direkt i lediga serverplatser. I stora företagsnätverk är det mest att föredra att organisera en dedikerad dedikerad arkivserver.

En sådan server arkiverar automatiskt information från hårddiskar på servrar och arbetsstationer vid den tidpunkt som anges av administratören för det lokala datornätverket, och utfärdar en rapport om säkerhetskopieringen.

Lagringen av arkivinformation av särskilt värde bör organiseras i ett särskilt bevakat rum. Experter rekommenderar att du lagrar duplicerade arkiv med de mest värdefulla uppgifterna i en annan byggnad, i händelse av brand eller naturkatastrof. För att säkerställa dataåterställning i händelse av fel på magnetiska diskar används diskarraysystem oftast - grupper av diskar som fungerar som en enda enhet som överensstämmer med RAID-standarden (Redundant Arrays of Inexpensive Disks). Dessa arrayer ger de snabbaste skriv-/läsdatahastigheterna, möjligheten att helt återställa data och ersätta felaktiga enheter i ett hett läge (utan att stänga av resten av enheterna i arrayen).

Organisationen av diskarrayer tillhandahåller olika tekniska lösningar implementerade på flera nivåer:

RAID nivå 0 låter dig enkelt dela upp dataströmmen mellan två eller flera enheter. Fördelen med denna lösning är att I/O-hastigheten ökar i proportion till antalet diskar i arrayen.

RAID nivå 1 består av att organisera så kallade "speglade" diskar. Under datainspelning dupliceras informationen på huvuddisken i systemet på den speglade disken, och om huvuddisken misslyckas slås den "spegelvända" disken på omedelbart.

RAID-nivåerna 2 och 3 möjliggör skapandet av parallella diskarrayer, när de skrivs till vilka data sprids över diskarna på en bitnivå.

RAID-nivåerna 4 och 5 är en modifiering av nollnivån, där dataströmmen fördelas över diskarna i arrayen. Skillnaden är att på nivå 4 tilldelas en speciell disk för att lagra redundant information, och på nivå 5 fördelas den redundanta informationen över alla diskar i arrayen.

Förbättring av tillförlitligheten och dataskyddet i nätverket, baserat på användningen av redundant information, implementeras inte bara på nivån för enskilda nätverkselement, såsom diskarrayer, utan också på nätverksoperativsystemnivå. Till exempel implementerar Novell feltoleranta versioner av operativsystemet Netware - SFT (System Fault Tolerance):

  • - SFT-nivå I. Den första nivån tillhandahåller skapandet av ytterligare kopior av FAT- och Directory Entries-tabeller, omedelbar verifiering av varje nyskrivet datablock till filservern, samt säkerhetskopiering på varje hårddisk av cirka 2 % av disken Plats.
  • - SFT Level II innehöll dessutom möjligheten att skapa "speglade" enheter, samt duplicering av diskkontroller, strömförsörjning och gränssnittskablar.
  • - SFT Level III-versionen tillåter användning av duplicerade servrar i det lokala nätverket, varav en är "master", och den andra, som innehåller en kopia av all information, kommer i drift om "master"-servern misslyckas.

Säkerhetsanalys

Säkerhetsanalystjänsten är utformad för att identifiera sårbarheter för att snabbt eliminera dem. Den här tjänsten skyddar i sig inte mot någonting, men den hjälper till att upptäcka (och eliminera) säkerhetsluckor innan en angripare kan utnyttja dem. Först och främst menar jag inte arkitektoniska (de är svåra att eliminera), utan "operativa" luckor som uppstod som ett resultat av administrationsfel eller på grund av ouppmärksamhet att uppdatera mjukvaruversioner.

Säkerhetsanalyssystem (även kallade säkerhetsskannrar), liksom de aktiva revisionsverktygen som diskuterats ovan, är baserade på ackumulering och användning av kunskap. Detta syftar på att veta om säkerhetsluckor: hur man letar efter dem, hur allvarliga de är och hur man åtgärdar dem.

Följaktligen är kärnan i sådana system basen av sårbarheter, som bestämmer det tillgängliga utbudet av kapacitet och kräver nästan konstant uppdatering.

I princip kan luckor av mycket olika karaktär upptäckas: förekomsten av skadlig programvara (särskilt virus), svaga användarlösenord, dåligt konfigurerade operativsystem, osäkra nätverkstjänster, avinstallerade patchar, programsårbarheter, etc. De mest effektiva är dock nätverksskannrar (uppenbarligen på grund av dominansen av TCP/IP-protokollfamiljen), samt antivirusverktyg (10). Vi klassificerar antivirusskydd som ett säkerhetsanalysverktyg och räknar det inte som en separat säkerhetstjänst.

Scanners kan identifiera sårbarheter både genom passiv analys, det vill säga genom att undersöka konfigurationsfiler, använda portar etc., och genom att imitera en angripares handlingar. Vissa sårbarheter som hittas kan elimineras automatiskt (till exempel desinfektion av infekterade filer), andra rapporteras till administratören.

Kontrollen som tillhandahålls av säkerhetsanalyssystem är reaktiv, släpar till sin natur, den skyddar inte mot nya attacker, men man bör komma ihåg att försvaret måste ske på en nivå, och säkerhetskontrollen är ganska adekvat som en av linjerna. Det är känt att de allra flesta attacker är rutinmässiga; de är bara möjliga eftersom kända säkerhetshål förblir olösta i flera år.

Dataskydd i datornätverk håller på att bli ett av de mest angelägna problemen inom modern datavetenskap. Hittills har tre grundläggande principer för informationssäkerhet formulerats, vilka ska säkerställa:

Dataintegritet - skydd mot fel som leder till förlust av information, såväl som obehörigt skapande eller förstörelse av data;

Sekretess för information och samtidigt,

Det bör också noteras att vissa verksamhetsområden (bank- och finansinstitut, informationsnätverk, statliga system, försvar och särskilda strukturer) kräver särskilda datasäkerhetsåtgärder och ställer ökade krav på informationssystemens tillförlitlighet.

När man överväger problemen med dataskydd i nätverket, uppstår först och främst frågan om klassificeringen av fel och åtkomstöverträdelser som kan leda till förstörelse eller oönskad modifiering av data. Bland dessa potentiella "hot" är:

1. Maskinvarufel:

Kabelsystemfel;

Strömavbrott;

Disksystem kraschar;

Fel i dataarkiveringssystem;

Kraschar av servrar, arbetsstationer, nätverkskort, etc .;

2. Förlust av information på grund av felaktig programvara:

Förlust eller förändring av data i händelse av programvarufel;

Förluster när systemet är infekterat med datavirus;

3. Förluster i samband med obehörig åtkomst:

Otillåten kopiering, förstörelse eller förfalskning av information;

Bekantskap med konfidentiell information som utgör en hemlighet för obehöriga personer;

4. Förlust av information i samband med felaktig lagring av arkiverad data.

5. Fel hos servicepersonal och användare.

Oavsiktlig förstörelse eller ändring av data;

Felaktig användning av mjukvara och hårdvara, vilket leder till att data förstörs eller ändras.

Beroende på möjliga typer av nätverksstörningar, grupperas många typer av informationsskydd i tre huvudklasser:

Fysisk skyddsutrustning, inklusive kabelsystemskydd, strömförsörjningssystem, arkiveringsanläggningar, diskarrayer, etc.

Säkerhetsprogramvara, inklusive: antivirusprogram, system för differentiering av befogenheter, åtkomstkontroll för programvara.

Administrativa skyddsåtgärder, inklusive kontroll av tillträde till lokaler, utveckling av ett företags säkerhetsstrategi, beredskapsplaner, etc.

Det bör noteras att en sådan uppdelning är ganska godtycklig, eftersom modern teknik utvecklas i riktning mot en kombination av mjukvara och hårdvaruskyddsmedel.

System för arkivering och duplicering av information

Organiseringen av ett tillförlitligt och effektivt dataarkiveringssystem är en av de viktigaste uppgifterna för att säkerställa informationens säkerhet i nätverket. I små nätverk där en eller två servrar är installerade används det oftast för att installera arkiveringssystemet direkt i lediga serverplatser. I stora företagsnätverk är det mest att föredra att organisera en dedikerad dedikerad arkivserver.

En sådan server arkiverar automatiskt information från hårddiskar på servrar och arbetsstationer vid den tidpunkt som anges av administratören för det lokala datornätverket, och utfärdar en rapport om säkerhetskopieringen. Detta ger kontroll över hela arkiveringsprocessen från administratörens konsol, du kan till exempel ange specifika volymer, kataloger eller enskilda filer som behöver arkiveras.

Det är också möjligt att organisera automatisk arkivering vid inträffandet av en händelse ("händelsedriven säkerhetskopiering"), till exempel när man tar emot information om att det finns lite ledigt utrymme kvar på hårddisken på en server eller arbetsstation, eller när en av "spegel"-enheter på en filserver.

För att säkerställa dataåterställning i händelse av fel på magnetiska diskar används diskarraysystem oftast - grupper av diskar som fungerar som en enda enhet som överensstämmer med RAID-standarden (Redundant Arrays of Inexpensive Disks).

Skydd mot datavirus

Idag, utöver de tusentals redan kända virus, dyker det upp 100-150 nya stammar varje månad. De vanligaste metoderna för att skydda mot virus än i dag är olika antivirusprogram.

Men under de senaste åren har en kombination av mjukvaru- och hårdvaruskyddsmetoder alltmer använts som ett lovande tillvägagångssätt för att skydda mot datavirus. Bland hårdvaruenheterna av detta slag kan man notera speciella antiviruskort som sätts in i vanliga datorexpansionsplatser.

Skydd mot obehörig åtkomst

Problemet med att skydda information från obehörig åtkomst har blivit särskilt akut med den utbredda användningen av lokala och i synnerhet globala datornätverk. Det bör också noteras att ofta orsakas skadan inte på grund av "skadlig avsikt", utan på grund av elementära användarfel som av misstag förstör eller raderar viktiga data. I detta avseende, förutom åtkomstkontroll, är en nödvändig del av informationsskyddet i datornätverk differentieringen av användarrättigheter.

I datornätverk, när man organiserar åtkomstkontroll och differentiering av användarrättigheter, används oftast de inbyggda verktygen i nätverksoperativsystem.

Det finns många möjliga riktningar för informationsläckage och obehöriga åtkomstvägar i system och nätverk. Bland dem:

läsa resterande information i systemminnet efter exekvering av auktoriserade förfrågningar;

· Kopiering av informationsbärare och informationsfiler med överkomliga skyddsåtgärder;

· Förklädd som en registrerad användare;

· Förklädnad på begäran av systemet;

· Användning av mjukvarufällor;

· Utnyttja bristerna i operativsystemet;

· Olaglig anslutning till utrustning och kommunikationslinjer;

· Skadlig inaktivering av skyddsmekanismer;

· Introduktion och användning av datavirus.

Informationssäkerhet uppnås genom ett komplex av organisatoriska, organisatoriska, tekniska, tekniska och mjukvaruåtgärder.

Organisatoriska åtgärder informationsskydd inkluderar:

· Begränsning av tillträde till lokaler där information förbereds och behandlas;

· Tillträde till behandling och överföring av konfidentiell information endast verifierade tjänstemän;

· Förvaring av magnetiska bärare och registreringsloggar i kassaskåp stängda för obehörig åtkomst;

· Uteslutning av obehöriga personers visning av innehållet i bearbetat material via displayen, skrivaren, etc.;

· Användning av kryptografiska koder vid överföring av värdefull information via kommunikationskanaler;

· Förstörelse av färgband, papper och annat material som innehåller fragment av värdefull information.

Organisatoriska och tekniska åtgärder informationsskydd inkluderar:

· Strömförsörjning av utrustning som bearbetar värdefull information från en oberoende strömkälla eller genom speciella strömfilter;

· Installation av kodade lås på dörrarna till lokaler;

· Används för att visa information under inmatning av flytande kristall- eller plasmaskärmar, och för att erhålla papperskopior - bläckstråleskrivare och termiska skrivare, eftersom skärmen ger så högfrekvent elektromagnetisk strålning att bilden från dess skärm kan tas emot på avstånd på flera hundra kilometer;

· Förstörelse av information när du skriver av eller skickar en dator för reparation;

· Installation av tangentbord och skrivare på mjuka packningar för att minska möjligheten att inhämta information med en akustisk metod;

· Begränsning av elektromagnetisk strålning genom att avskärma rum där information bearbetas med plåt av metall eller specialplast.

Tekniska medel informationsskydd är ett system för att skydda territorier och lokaler genom att skärma av maskinrum och organisera passersystem. Skydd av information i nätverk och datoranläggningar med hjälp av tekniska medel implementeras på grundval av att organisera åtkomst till minne med hjälp av:

· Åtkomstkontroll till olika nivåer av datorminne;

· Blockera data och ange nycklar;

Tilldelning av styrbitar för poster i identifieringssyfte m.m.

Mjukvaruarkitektur informationsskydd inkluderar:

· Säkerhetskontroll, inklusive kontroll av registrering av inträde i systemet, fixering i systemloggen, kontroll av användaråtgärder;

· Reaktion (inklusive ljud) på brott mot skyddssystemet för åtkomstkontroll till nätverksresurser;

· Kontroll av åtkomstuppgifter;

· Formell säkerhetskontroll av operativsystem (grundläggande systemomfattande och nätverk);

· Kontroll av skyddsalgoritmer;

· Verifiering och bekräftelse av att hårdvaran och mjukvaran fungerar korrekt.

För att på ett tillförlitligt sätt skydda information och identifiera fall av obehöriga handlingar registreras systemet: speciella dagböcker och protokoll skapas där alla åtgärder relaterade till skyddet av information i systemet registreras. Specialprogram används också för att testa skyddssystemet. Periodiskt eller vid slumpmässigt utvalda tidpunkter kontrollerar de funktionen hos hård- och mjukvaruskyddet.

En separat grupp av åtgärder för att säkerställa informationssäkerhet och identifiera obehöriga förfrågningar inkluderar program för att upptäcka överträdelser i realtid. Denna grupps program genererar en speciell signal vid registrering av handlingar som kan leda till olagliga handlingar i förhållande till den skyddade informationen. Signalen kan innehålla information om arten av överträdelsen, platsen för dess inträffande och andra egenskaper. Dessutom kan program neka åtkomst till skyddad information eller simulera ett sådant driftläge (till exempel omedelbar laddning av in- och utdataenheter), vilket identifierar inkräktaren och kvarhåller honom av lämplig tjänst.

En av de vanligaste metoderna för skydd är att uttryckligen ange sekretessen för den information som visas. Detta krav implementeras med hjälp av lämpliga mjukvaruverktyg.

Genom att utrusta servern eller nätverksarbetsstationerna, till exempel med en smartkortläsare och speciell programvara, kan du avsevärt öka skyddsnivån mot obehörig åtkomst. I det här fallet, för att komma åt datorn, måste användaren sätta in ett smartkort i läsaren och ange sin personliga kod.

Smartkort för åtkomstkontroll låter dig realisera, i synnerhet, funktioner som kontroll av ingången, åtkomst till enheter på en persondator, åtkomst till program, filer och kommandon.

I bryggor och routrar för fjärråtkomst används paketsegmentering - deras separation och överföring parallellt över två linjer - vilket gör det omöjligt att "fånga upp" data när en "hacker" olagligt ansluter till en av linjerna. Dessutom garanterar proceduren att komprimera de överförda paketen som används under dataöverföringen omöjligheten att dekryptera den "uppfångade" datan. Dessutom kan fjärråtkomstbryggor och routrar programmeras så att fjärranvändare begränsas från att komma åt vissa resurser på huvudkontorets nätverk.

Säkerhetsmekanismer

1. Kryptografi.

För att säkerställa sekretess används kryptering eller kryptografi, vilket gör att data kan omvandlas till en krypterad form, från vilken den ursprungliga informationen endast kan extraheras om en nyckel är tillgänglig.

Kryptering bygger på två grundläggande koncept: en algoritm och en nyckel. En algoritm är ett sätt att koda den ursprungliga texten, vilket resulterar i ett krypterat meddelande. Ett krypterat meddelande kan endast tolkas med en nyckel.

Alla delar av skyddssystem är indelade i två kategorier - hållbara och lätt utbytbara. Permanenta element är de element som relaterar till utvecklingen av skyddssystem och kräver ingripande av specialister eller utvecklare för att förändra. Enkelt utbytbara element inkluderar systemelement som är designade för godtycklig modifiering eller modifiering enligt en förutbestämd regel baserad på slumpmässigt valda initiala parametrar. Enkelt utbytbara föremål inkluderar till exempel nyckel, lösenord, identifiering etc.

Sekretessen för information säkerställs genom införandet av speciella nycklar (koder) i algoritmerna. Det finns två betydande fördelar med att använda en nyckel för kryptering. Först kan du använda en algoritm med olika nycklar för att skicka meddelanden till olika mottagare. För det andra, om nyckelns hemlighet kränks, kan den enkelt ersättas utan att ändra krypteringsalgoritmen. Säkerheten för krypteringssystem beror alltså på sekretessen för den använda nyckeln och inte på krypteringsalgoritmens hemlighet.

Det är viktigt att notera att teknikens ökande produktivitet leder till en minskning av tiden det tar att bryta nycklar, och säkerhetssystem måste använda allt längre nycklar, vilket i sin tur leder till en ökning av krypteringskostnaderna.

Eftersom en så viktig plats i krypteringssystem ges till sekretessen för nyckeln, är huvudproblemet med sådana system genereringen och överföringen av nyckeln.

Det finns två huvudsakliga krypteringsscheman: symmetrisk kryptering (kallas ibland även traditionell eller privat nyckelkryptering) och offentlig nyckelkryptering (kallas ibland asymmetrisk kryptering).

Med symmetrisk kryptering har avsändaren och mottagaren samma nyckel (hemlighet) som de kan kryptera och dekryptera data med.

Elektronisk signatur

Med hjälp av en elektronisk signatur kan mottagaren verifiera att meddelandet som han tagit emot inte har skickats av en tredje part, utan av en avsändare som har vissa rättigheter. Elektroniska signaturer skapas genom att kryptera kontrollsumman och ytterligare information med avsändarens privata nyckel. Sålunda kan vem som helst dekryptera signaturen med hjälp av den publika nyckeln, men endast ägaren av den privata nyckeln kan skapa signaturen korrekt. För att skydda mot avlyssning och återanvändning innehåller signaturen ett unikt nummer - ett sekvensnummer.

Autentisering

Autentisering är en av de viktigaste komponenterna för att säkra information i ett nätverk. Innan en användare ges rätt att ta emot en viss resurs är det nödvändigt att försäkra sig om att han verkligen är den han utger sig för att vara.

När en begäran om att använda en resurs tas emot på uppdrag av någon användare, överför servern som tillhandahåller denna resurs kontrollen till autentiseringsservern. Efter att ha mottagit ett positivt svar från autentiseringsservern förses användaren med den begärda resursen.

Autentisering använder som regel principen som kallas "vad han vet" - användaren känner till ett hemligt ord som han skickar till autentiseringsservern som svar på hans begäran. Ett av autentiseringsscheman är att använda standardlösenord. Lösenord - angett av honom i början av sessionen för interaktion med nätverket, och ibland i slutet av sessionen (i särskilt kritiska fall kan lösenordet för den normala utgången från nätverket skilja sig från ingången). Detta schema är det mest sårbara ur säkerhetssynpunkt - lösenordet kan fångas upp och användas av en annan person.

De vanligaste systemen är engångslösenord. Även om det avlyssnas kommer detta lösenord att vara värdelöst vid nästa registrering, och att få nästa lösenord från det föregående är extremt svårt. För att generera engångslösenord används både mjukvaru- och hårdvarugeneratorer, som är enheter som sätts in i en datorplats. Kunskap om det hemliga ordet är nödvändigt för att användaren ska kunna aktivera den här enheten.

Skydda nätverk

Under de senaste åren har företagsnätverk alltmer inkluderats i Internet, eller till och med använder det som grund. Brandväggar används för att skydda företagens informationsnätverk. Brandväggar är ett system eller en kombination av system som låter dig dela upp ett nätverk i två eller flera delar och genomdriva en uppsättning regler som bestämmer villkoren för överföring av paket från en del till en annan. Som regel dras denna gräns mellan företagets lokala nätverk och INTERNETOM, även om den också kan dras internt. Det är dock inte lönsamt att skydda enskilda datorer, så de skyddar vanligtvis hela nätverket. Brandväggen tillåter all trafik att passera genom sig själv och för varje passerande paket fattar man ett beslut - att släppa igenom det eller att släppa det. En uppsättning regler definieras för brandväggen för att fatta dessa beslut.

En brandvägg kan implementeras både i hårdvara (det vill säga som en separat fysisk enhet), eller som ett speciellt program som körs på en dator.

Vanligtvis görs ändringar i operativsystemet som brandväggen kör för att förbättra skyddet av själva brandväggen. Dessa ändringar påverkar både OS-kärnan och motsvarande konfigurationsfiler. Brandväggen i sig tillåts inte ha användarsektioner, och därför potentiella hål - bara adminsektionen.

Vissa brandväggar fungerar bara i enanvändarläge, och många har ett kontrollsystem för kodintegritet.

En brandvägg har vanligtvis flera olika komponenter, inklusive filter eller sköldar, som blockerar en del av trafiken från att passera.

Alla brandväggar kan delas in i två typer:

· Paketfilter, som filtrerar IP-paket med hjälp av filtreringsroutrar;

· Servrar på applikationsnivå som blockerar åtkomst till vissa tjänster på nätverket.

Således kan en brandvägg definieras som en samling komponenter eller ett system som sitter mellan två nätverk och har följande egenskaper:

· All trafik från det interna nätverket till det externa och från det externa nätverket till det interna måste gå genom detta system;

· Endast trafik som definieras av den lokala skyddsstrategin kan passera detta system;

I den första delen av "Fundamentals of Information Security" undersökte vi huvudtyperna av hot mot informationssäkerheten. För att vi ska börja välja medel för att skydda information är det nödvändigt att närmare överväga vad som kan hänföras till informationsbegreppet.

Information och dess klassificering

Det finns många definitioner och klassificeringar av "information". Den kortaste och samtidigt rymliga definitionen ges i den federala lagen av den 27 juli 2006 nr 149-FZ(som ändrat den 29 juli 2017), artikel 2: Information är information (meddelanden, data), oavsett formen på deras presentation."

Information kan klassificeras i flera typer och, beroende på vilken kategori av tillgång till den, delas in i allmänt tillgänglig information, samt information vars tillgång är begränsad - konfidentiella uppgifter och statshemligheter.

Information, beroende på förfarandet för dess tillhandahållande eller distribution, är uppdelad i information:

  1. Fritt omfördelbar
  2. Tillhandahålls efter överenskommelse mellan personer involverad i den relevanta relationen
  3. Vilket i enlighet med federala lagar göras tillgänglig eller distribueras
  4. Distribution, som i Ryska federationen begränsad eller förbjuden
Mötesinformation är av följande typer:
  1. Massa- innehåller trivial information och arbetar med en uppsättning begrepp som förstås av de flesta i samhället.
  2. Särskild- innehåller en specifik uppsättning begrepp som kanske inte förstås av huvuddelen av samhället, men som är nödvändiga och begripliga inom den smala sociala grupp där denna information används.
  3. Hemlighet- tillgång till vilken ges till en smal krets av människor och genom slutna (skyddade) kanaler.
  4. Personligt (privat)- en uppsättning information om en person, som bestämmer social status och typer av sociala interaktioner.
Informationsskyddsmedel måste tillämpas direkt på information till vilken tillgången är begränsad - det vill säga statshemligheter och konfidentiella uppgifter.

Enligt Ryska federationens lag av den 21 juli 1993 N 5485-1 (som ändrat den 03/08/2015) "Om statshemligheter" Artikel 5. "Lista över information som utgör en statshemlighet" refererar till:

  1. Information inom det militära området.
  2. Information inom området ekonomi, naturvetenskap och teknik.
  3. Information inom området utrikespolitik och ekonomi.
  4. Information på området för underrättelseverksamhet, kontraspionage och operativ sökningsverksamhet samt på området för att bekämpa terrorism och på området för att säkerställa säkerheten för personer för vilka det har fattats beslut om att tillämpa statliga skyddsåtgärder.
Listan över information som kan utgöra konfidentiell information finns i presidentdekret av den 6 mars 1997 №188 (som ändrat den 13 juli 2015) "Vid godkännande av listan över konfidentiell information".

Konfidentiella uppgifter- detta är information vars tillgång är begränsad i enlighet med statens lagar och de normer som företaget självständigt sätter. Följande typer av konfidentiell information kan särskiljas:

  • Personlig konfidentiell information: Information om fakta, händelser och omständigheter i en medborgares privatliv, vilket gör att hans identitet (personuppgifter) kan identifieras, med undantag för information som är föremål för spridning i media i fall som fastställts av federala lagar. Det enda undantaget är information som sprids i media.
  • Tjänstens konfidentiella data: Officiell information, till vilken åtkomst begränsas av statliga myndigheter i enlighet med den ryska federationens civillag och federala lagar (officiell hemlighet).
  • Forensiska konfidentiella uppgifter: Om det statliga skyddet av domare, tjänstemän från brottsbekämpande och tillsynsorgan. Om statligt skydd av offer, vittnen och andra deltagare i brottmål. Information som finns i de dömdas personliga akter, såväl som information om obligatoriskt verkställande av rättsliga handlingar, handlingar från andra organ och tjänstemän, förutom information som är allmänt tillgänglig i enlighet med den federala lagen av den 2 oktober 2007 N 229-FZ "Om verkställighetsförfaranden" ...
  • Kommersiell konfidentiell information: alla typer av information relaterad till handel (vinst) och tillgång till vilken är begränsad genom lag eller information om kärnan i en uppfinning, bruksmodell eller industriell design innan företagets officiella publicering av information om dem (hemlig utveckling, produktionsteknik , etc.).
  • Professionell konfidentiell information: Information relaterad till yrkesverksamhet, till vilken tillgången är begränsad i enlighet med Ryska federationens konstitution och federala lagar (medicinska, notarie, advokathemligheter, korrespondenshemlighet, telefonsamtal, utskick, telegraf eller andra meddelanden, och så vidare)


Figur 1. Klassificering av informationstyper.

Personlig information

Separat är det värt att uppmärksamma och överväga personuppgifter. Enligt den federala lagen av den 27.07.2006 nr 152-FZ(som ändrat den 29 juli 2017) "Om personuppgifter", artikel 4: Personlig informationÄr någon information som direkt eller indirekt relaterar till en specifik eller identifierbar individ (föremål för personuppgifter).

Operatören av personuppgifter är- ett statligt organ, ett kommunalt organ, en juridisk person eller en individ, självständigt eller tillsammans med andra personer som organiserar och (eller) utför behandlingen av personuppgifter, samt bestämmer ändamålen med behandlingen av personuppgifter, sammansättningen av personuppgifter uppgifter som ska behandlas, handlingar (operationer) som utförs med personuppgifter.

Behandling av personuppgifter- varje åtgärd (operation) eller en uppsättning åtgärder (operationer) som utförs med användning av automationsverktyg eller utan användning av sådana verktyg med personuppgifter, inklusive insamling, registrering, systematisering, ackumulering, lagring, förtydligande (uppdatering, förändring), utvinning, användning, överföring (distribution, tillhandahållande, åtkomst), depersonalisering, blockering, radering, förstörelse av personuppgifter.

Rättigheterna att behandla personuppgifter finns inskrivna i reglerna om statliga organ, federala lagar, licenser för att arbeta med personuppgifter utfärdade av Roskomnadzor eller FSTEC.

Företag som yrkesmässigt arbetar med personuppgifter om ett brett spektrum av personer, till exempel hostingföretag för virtuella servrar eller telekomoperatörer, måste gå in i registret, som förs av Roskomnadzor.

Till exempel fungerar vår värd för virtuella servrar VPS.HOUSE inom ramen för Rysslands lagstiftning och i enlighet med licenserna från Federal Service for Supervision of Communications, Information Technology and Mass Media nr 139322 daterad 25 december 2015 (Telematiska kommunikationstjänster) och nr 139323 daterad 25 december .2015 (Kommunikationstjänster för dataöverföring, exklusive kommunikationstjänster för dataöverföring i syfte att överföra röstinformation).

Baserat på detta är varje webbplats som har ett användarregistreringsformulär, där information relaterad till personuppgifter indikeras och därefter behandlas, operatör för personuppgifter.

Med hänsyn till artikel 7 i lagen nr 152-FZ"Om personuppgifter", operatörer och andra personer som har fått tillgång till personuppgifter är skyldiga att inte avslöja till tredje part och inte distribuera personuppgifter utan samtycke från föremålet för personuppgifter, såvida inte annat följer av federal lag. Följaktligen är alla operatörer av personuppgifter skyldiga att säkerställa nödvändig säkerhet och konfidentialitet för denna information.

För att säkerställa informationens säkerhet och konfidentialitet är det nödvändigt att fastställa vilka medier som är tillgängliga, åtkomst till vilka är öppen och stängd. Följaktligen väljs också metoder och skyddsmedel beroende på typen av media.

Huvudlagringsmedia:

  • Tryckta och elektroniska medier, sociala nätverk, andra resurser på Internet;
  • Anställda i organisationen som har tillgång till information på grundval av deras vänskap, familj, yrkesband;
  • Kommunikationsfaciliteter som överför eller lagrar information: telefoner, automatiska telefonväxlar, annan telekommunikationsutrustning;
  • Dokument av alla slag: personliga, officiella, statliga;
  • Programvara som ett oberoende informationsobjekt, särskilt om dess version har modifierats specifikt för ett specifikt företag;
  • Elektroniska lagringsmedier som behandlar data på ett automatiskt sätt.
Efter att ha fastställt vilken information som är föremål för skydd, informationsbärare och eventuell skada under avslöjandet kan du välja nödvändiga skyddsmedel.

Informationssäkerhetsklassificering


I enlighet med den federala lagen av den 27 juli 2006 nr 149-FZ(som ändrat den 29 juli 2017) "Om information, informationsteknik och informationsskydd", artikel 7, klausul 1. och klausul 4:

1. Skydd av information representerar vidta juridiska, organisatoriska och tekniska åtgärder, riktad mot:

  • säkerhet skydd av information från obehörig åtkomst, förstörelse, modifiering, blockering, kopiering, tillhandahållande, distribution, såväl som från andra olagliga handlingar i samband med sådan information;
  • Efterlevnad sekretess för begränsad information;
  • Genomförande rätten att få tillgång till information.
4. Informationsinnehavare, informationssystemoperatör i fall som fastställts av Ryska federationens lagstiftning, är skyldiga att tillhandahålla:
  • Förebyggande obehörig tillgång till information och (eller) överföring av den till personer som inte har rätt att få tillgång till information;
  • I god tid upptäckt fakta om obehörig åtkomst till information;
  • En varning möjligheten av negativa konsekvenser av brott mot förfarandet för tillgång till information;
  • Undviker påverkan på tekniska metoder för informationsbehandling, som ett resultat av att deras funktion störs;
  • Möjlighet till omedelbar återhämtning information ändrad eller förstörd på grund av obehörig åtkomst till den;
  • Konstant kontrollera säkerställa nivån av informationssäkerhet;
  • Fynd på Ryska federationens territorium av informationsdatabaser med vars användning insamling, inspelning, systematisering, ackumulering, lagring, förtydligande (uppdatering, ändring), utvinning av personuppgifter om medborgare i Ryska federationen utförs (klausul 7 var infördes genom den federala lagen av den 21 juli 2014 nr 242-FZ).
Baserat på lagen nr 149-FZ informationsskydd kan också delas in i flera nivåer:
  1. Juridisk nivå säkerställer efterlevnad av statliga dataskyddsstandarder och inkluderar upphovsrätt, förordningar, patent och arbetsbeskrivningar.
    Ett välbyggt säkerhetssystem bryter inte mot användarrättigheter och databehandlingsstandarder.
  2. Organisationsnivå låter dig skapa regler för användarnas arbete med konfidentiell information, välja personal, organisera arbetet med dokumentation och databärare.
    Reglerna för användarnas arbete med konfidentiell information kallas för åtkomstkontrollregler. Reglerna fastställs av företagets ledning i samverkan med säkerhetstjänsten och den leverantör som implementerar säkerhetssystemet. Målet är att skapa förutsättningar för tillgång till informationsresurser för varje användare, till exempel rätten att läsa, redigera, överföra ett konfidentiellt dokument.
    Regler för åtkomstkontroll utvecklas på organisationsnivå och implementeras i arbetsstadiet med den tekniska komponenten i systemet.
  3. Teknisk nivå konventionellt uppdelad i fysisk, hårdvara, mjukvara och matematisk (kryptografisk).

Verktyg för informationssäkerhet

Verktyg för informationssäkerhet det är brukligt att dela upp i normativ (informell) och teknisk (formell).

Informella medel för informationsskydd

Med informella sätt att skydda information- är reglerande (lagstiftande), administrativa (organisatoriska) och moraliskt och etiskt medel, som kan tillskrivas: dokument, regler, händelser.

Rättslig grund ( lagstiftande medel) informationssäkerhet tillhandahålls av staten. Informationsskydd regleras av internationella konventioner, konstitutionen, federala lagar "Om information, informationsteknik och informationsskydd", Ryska federationens lagar "Om säkerhet", "Om kommunikation", "Om statshemligheter" och olika stadgar.

Också några av de listade lagarna gavs och diskuterades av oss ovan, som den rättsliga grunden för informationssäkerhet. Underlåtenhet att följa dessa lagar innebär hot mot informationssäkerheten, vilket kan leda till betydande konsekvenser, vilket i sin tur är straffbart enligt dessa lagar till straffansvar.

Staten kommer också att fastställa mått på ansvar för brott mot bestämmelserna i lagstiftningen på informationssäkerhetsområdet. Till exempel innehåller kapitel 28 "Brott inom området för datorinformation" i den ryska federationens strafflag tre artiklar:

  • Artikel 272 "Olaglig tillgång till datorinformation";
  • Artikel 273 "Skapande, användning och distribution av skadliga datorprogram";
  • Artikel 274 "Brott mot reglerna för drift av lagring, bearbetning eller överföring av datorinformation och informations- och telekommunikationsnät."
Administrativt (organisatoriskt) händelser spelar en viktig roll för att skapa en tillförlitlig mekanism för att skydda information. Eftersom möjligheten till obehörig användning av konfidentiell information till stor del inte bestäms av tekniska aspekter, utan av skadliga handlingar. Till exempel vårdslöshet, vårdslöshet och vårdslöshet av användare eller säkerhetspersonal.

För att minska effekterna av dessa aspekter krävs en uppsättning organisatoriska, juridiska och organisatoriska och tekniska åtgärder som skulle utesluta eller minimera risken för hot mot konfidentiell information.

I denna administrativa och organisatoriska verksamhet för skydd av information för säkerhetsansvariga finns utrymme för kreativitet.

Dessa är arkitektoniska och planeringslösningar som hjälper till att skydda mötesrum och ledningskontor från avlyssning och etablering av olika nivåer av tillgång till information.

Med tanke på att reglera personalens verksamhet kommer det att vara viktigt att utforma ett system med begäranden om tillgång till Internet, extern e-post och andra resurser. En separat del kommer att vara mottagandet av en elektronisk digital signatur för att öka säkerheten för finansiell och annan information som överförs till statliga myndigheter via e-post.

Mot moraliskt och etiskt medel kan hänföras till rådande i samhället eller en given kollektiv moral eller etiska regler, vars efterlevnad bidrar till skyddet av information, och deras kränkning likställs med bristande efterlevnad av uppförandereglerna i samhället eller ett kollektiv. Dessa normer är inte obligatoriska, liksom lagligt godkända normer, men deras bristande efterlevnad leder till att en persons eller organisations auktoritet, prestige minskar.

Formella sätt att skydda information

Formella botemedelÄr speciell hårdvara och mjukvara som kan delas in i fysisk, hårdvara, mjukvara och kryptografisk.

Fysiska medel för informationsskydd Finns det några mekaniska, elektriska och elektroniska mekanismer som fungerar oberoende av informationssystem och skapar hinder för tillgång till dem.

Lås, inklusive elektroniska, skärmar, persienner är utformade för att skapa hinder för destabiliserande faktorers kontakt med system. Gruppen kompletteras med hjälp av säkerhetssystem, till exempel videokameror, videobandspelare, sensorer som upptäcker rörelse eller överskott av nivån av elektromagnetisk strålning i området för lokalisering av tekniska medel för att ta bort information.

Hårdvara för informationssäkerhet- Det här är alla elektriska, elektroniska, optiska, laser- och andra enheter som är inbyggda i informations- och telekommunikationssystem: speciella datorer, kontrollsystem för anställda, skydd av servrar och företagsnätverk. De förhindrar åtkomst till information, bland annat genom att maskera den.

Hårdvara inkluderar: brusgeneratorer, överspänningsskydd, avsökningsradio och många andra enheter som "blockerar" potentiella kanaler för informationsläckage eller låter dem upptäckas.

Programvara för informationssäkerhetÄr enkla och komplexa program utformade för att lösa problem relaterade till informationssäkerhet.

DLP-system och SIEM-system är exempel på komplexa lösningar.

DLP-system("Dataläckageförebyggande" betyder bokstavligen "förebyggande av dataläckage") tjänar till att förhindra läckage, omformatera information och omdirigera informationsflöden.

SIEM-system("Security Information and Event Management", vilket betyder "Event Management and Information Security") tillhandahåller realtidsanalys av säkerhetshändelser (larm) som härrör från nätverksenheter och applikationer. SIEM representeras av applikationer, instrument eller tjänster och används även för dataloggning och rapportering för kompatibilitet med annan affärsdata.

Programvaran kräver kraften hos hårdvaruenheter, och ytterligare reserver måste tillhandahållas under installationen.

Matematisk (kryptografisk)- Implementering av kryptografiska och ordagranta dataskyddsmetoder för säker överföring över ett företags- eller globalt nätverk.

Kryptografi anses vara ett av de mest pålitliga sätten att skydda data, eftersom det skyddar själva informationen och inte tillgång till den. Kryptografiskt omvandlad information har en ökad grad av skydd.

Införandet av kryptografiska informationsskyddsmedel möjliggör skapandet av ett mjukvaru- och hårdvarukomplex, vars arkitektur och sammansättning bestäms baserat på en viss kunds behov, lagstiftningskrav, uppgifter och nödvändiga metoder och krypteringsalgoritmer.

Detta kan inkludera programvarukomponenter för kryptering (krypteringsleverantörer), VPN-organisationsverktyg, referenser, nyckelgenererings- och verifieringsverktyg och elektroniska digitala signaturer.

Krypteringsverktyg kan stödja GOST-krypteringsalgoritmer och tillhandahålla de nödvändiga klasserna av kryptoskydd, beroende på den erforderliga skyddsgraden, regelverk och krav på kompatibilitet med andra, inklusive externa system. Samtidigt ger krypteringsverktyg skydd för hela uppsättningen av informationskomponenter, inklusive filer, kataloger med filer, fysiska och virtuella media, servrar och datalagringssystem som helhet.

Som avslutning av den andra delen, efter att kortfattat ha övervägt de viktigaste metoderna och medlen för att skydda information, såväl som klassificeringen av information, kan vi säga följande: Om det faktum att återigen bekräftas den välkända avhandlingen om att säkerställa informationssäkerhet är ett helt komplex av åtgärder som inkluderar alla aspekter av skyddsinformation, vars skapande och tillhandahållande måste hanteras mest noggrant och seriöst.

Den gyllene regeln måste följas strikt och den får under inga omständigheter överträdas - detta är ett integrerat tillvägagångssätt.

För en mer visuell representation av informationsskyddsmedel, nämligen som en odelbar uppsättning åtgärder, presenteras nedan i figur 2, där var och en av klossarna är skydd av information i ett visst segment, ta bort en av klossarna och ett säkerhetshot kommer att uppstå.


Figur 2. Klassificering av informationssäkerhetsverktyg.

Informationssäkerhetsprogram är speciella program och programvarusystem som är utformade för att skydda information i ett informationssystem.

Programvaran innehåller program för användaridentifiering, åtkomstkontroll, borttagning av kvarvarande (arbets)information såsom temporära filer, testkontroll av säkerhetssystemet och annat. Fördelarna med programvaran är mångsidighet, flexibilitet, tillförlitlighet, enkel installation, möjligheten att modifiera och utveckla.

Nackdelar - användningen av en del av resurserna på filservern och arbetsstationerna, hög känslighet för oavsiktliga eller avsiktliga ändringar, eventuellt beroende av typerna av datorer (deras hårdvara).

Programvaruskyddsprogram inkluderar:

· Inbyggda informationssäkerhetsverktyg är verktyg som implementerar auktorisering och autentisering av användare (loggar in i systemet med ett lösenord), differentiering av åtkomsträttigheter, mjukvaruskydd mot kopiering, korrekt datainmatning i enlighet med det angivna formatet, och så vidare.

Dessutom inkluderar denna grupp av verktyg de inbyggda verktygen i operativsystemet för att skydda mot påverkan av ett program på driften av ett annat program när datorn arbetar i flerprogramsläge, när flera program kan köras samtidigt i dess minne , växelvis ta emot kontroll som ett resultat av avbrott. ... I vart och ett av dessa program är fel (fel) sannolikt, vilket kan påverka prestanda för funktioner av andra program. Operativsystemet hanterar avbrott och multiprogrammering. Därför måste operativsystemet skydda sig själv och andra program från sådan påverkan, genom att till exempel använda en minnesskyddsmekanism och distribution av programexekvering i privilegierat eller användarläge;

· Hantering av skyddssystemet.

För att bilda det optimala komplexet av mjukvara och hårdvara för informationsskydd är det nödvändigt att gå igenom följande steg:

· Fastställande av information och tekniska resurser som ska skyddas;

· Identifiering av hela uppsättningen potentiella hot och kanaler för informationsläckage;

· Bedöma sårbarheten och riskerna med information i närvaro av en mängd olika hot och kanaler för läckage;

· Definition av krav på skyddssystemet;

· Genomföra valet av informationsskyddsmedel och deras egenskaper;

· Genomförande och organisation av användningen av de valda åtgärderna, metoderna och skyddsmedlen;

· Implementering av integritetskontroll och förvaltning av skyddssystemet.

Information är dyr idag och behöver skyddas. Informationen ägs och används av alla människor, utan undantag. Varje person bestämmer själv vilken information han behöver få, vilken information som inte ska vara tillgänglig för andra. För att förhindra förlust av information utvecklas olika metoder för dess tekniska skydd, som används i alla stadier av arbetet med den, skyddar den från skador och yttre påverkan.