Menü
Bedava
kayıt
ev  /  Tavsiye/ Yazılım ve teknik koruma araçları. Bilgi güvenliği araçları Bilgi güvenliği yazılımı

Yazılım ve teknik koruma araçları. Bilgi güvenliği araçları Bilgi güvenliği yazılımı

Bilgisayar sistemlerinde bilgi koruması, bilginin taşıyıcıya katı bir şekilde bağlı olmaması, kolay ve hızlı bir şekilde kopyalanabilmesi ve iletişim kanalları aracılığıyla iletilebilmesi ile ilişkili bir dizi spesifik özelliğe sahiptir. Hem harici hem de dahili davetsiz misafirler tarafından uygulanabilecek çok sayıda bilgi tehdidi bilinmektedir. Bilgisayar ağlarında çalışırken bilgi iletiminin güvenliği ile ilgili sorunlar üç ana türe ayrılabilir: - bilginin ele geçirilmesi - bilginin bütünlüğü korunur, ancak gizliliği ihlal edilir; - bilgi değişikliği - orijinal mesaj değiştirilir veya tamamen bir başkasıyla değiştirilir ve muhataba gönderilir; - bilgi yazarlığının değiştirilmesi. Bu sorunun ciddi sonuçları olabilir. Örneğin, biri sizin adınıza bir e-posta gönderebilir (bu tür aldatmaya genellikle sahtekarlık denir) veya bir Web sunucusu bir çevrimiçi mağaza gibi davranabilir, siparişleri, kredi kartı numaralarını kabul edebilir, ancak herhangi bir öğe gönderemez. Veri işleme sistemlerinin ve bilgisayar sistemlerinin işleyişine ilişkin çalışmalar, sistemlerde ve ağlarda birçok olası bilgi sızıntısı yönü ve yetkisiz erişim yolu olduğunu göstermiştir. Aralarında:

    Yetkili istekleri yürüttükten sonra sistem belleğinde kalan bilgilerin okunması;

    Güvenlik önlemlerinin aşılmasıyla bilgi taşıyıcılarının ve bilgi dosyalarının kopyalanması;

    Kayıtlı bir kullanıcı olarak kılık değiştir;

    Bir sistem isteği olarak kılık değiştir;

    Yazılım tuzaklarını kullanma;

    İşletim sisteminin kusurlarını kullanmak;

    Ekipman ve iletişim hatlarına yasadışı bağlantı;

    Koruma mekanizmalarının kötü niyetli olarak devre dışı bırakılması;

    Bilgisayar virüslerinin tanıtımı ve kullanımı.

Uçakta ve otonom olarak çalışan kişisel bilgisayarlarda bilgilerin güvenliğinin sağlanması, bir dizi organizasyonel, organizasyonel, teknik, teknik ve yazılımsal önlemlerle sağlanır. Bilgileri korumak için kurumsal önlemler şunları içerir:

    Bilginin hazırlandığı ve işlendiği tesislere erişimi kısıtlamak;

    Yalnızca doğrulanmış yetkililerin gizli bilgileri işlemesine ve iletmesine izin verilir;

    Elektronik ortamların ve kayıt günlüklerinin yetkisiz erişime kapalı kasalarda saklanması;

    İşlenen materyallerin içeriğinin ekran, yazıcı vb. aracılığıyla yetkisiz kişiler tarafından görüntülenmesinin hariç tutulması;

    Değerli bilgileri iletişim kanalları aracılığıyla iletirken kriptografik kodların kullanılması;

    Mürekkep şeritlerinin, kağıdın ve değerli bilgi parçaları içeren diğer malzemelerin imhası.

  1. Kriptografik bilgi koruması.

İLE Riptografik bilgi koruma yöntemleri, özel şifreleme, kodlama veya diğer bilgi dönüştürme yöntemleridir, bunun sonucunda içeriğine kriptogram anahtarı ve ters dönüşüm sunulmadan erişilemez hale gelir. Kriptografik koruma yöntemi, şüphesiz en güvenilir koruma yöntemidir, çünkü bilginin kendisi doğrudan korunur ve ona erişilmez (örneğin, şifreli bir dosya, ortam çalınsa bile okunamaz). Bu koruma yöntemi, programlar veya yazılım paketleri şeklinde uygulanmaktadır.

Modern kriptografi dört ana bölümden oluşur:

    simetrik kriptosistemler... Simetrik şifreleme sistemlerinde hem şifreleme hem de şifre çözme için aynı anahtar kullanılır. (Şifreleme bir dönüştürme işlemidir: düz metin olarak da adlandırılan orijinal metin, şifreli metinle değiştirilir, şifre çözme, şifrelemenin tersi işlemdir. Anahtara bağlı olarak, şifreli metin orijinaline dönüştürülür);

    Açık anahtar şifreleme sistemleri... Açık anahtar sistemleri, matematiksel olarak birbiriyle ilişkili olan açık ve özel olmak üzere iki anahtar kullanır. Bilgi, herkesin erişebildiği bir açık anahtar kullanılarak şifrelenir ve sadece mesajın alıcısı tarafından bilinen özel bir anahtar kullanılarak şifresi çözülür (Anahtar, metinlerin engellenmeden şifrelenmesi ve şifresinin çözülmesi için gerekli olan bilgidir.);

    Elektronik İmza... Elektronik imza sistemi. metne eklenmiş şifreleme dönüşümü olarak adlandırılır ve metin başka bir kullanıcı tarafından alındığında, mesajın yazarlığını ve gerçekliğini doğrulamak için izin verir.

    Anahtar yönetimi... Bu, içeriği kullanıcılar arasında anahtarların derlenmesi ve dağıtılması olan bir bilgi işleme sisteminin sürecidir.

Ö Kriptografik yöntemleri kullanmanın ana yönleri, gizli bilgilerin iletişim kanalları (örneğin e-posta) aracılığıyla aktarılması, iletilen mesajların doğrulanması, bilgilerin (belgeler, veritabanları) ortamda şifreli bir biçimde saklanmasıdır.

Bilgi güvenliği yazılımı, yalnızca koruyucu işlevleri yerine getirmek için KS yazılımına dahil edilen özel programlar anlamına gelir.

Bilgileri korumaya yönelik ana yazılım araçları şunları içerir:

  • * KS kullanıcılarının tanımlanması ve doğrulanması için programlar;
  • * COP kaynaklarına kullanıcı erişimini farklılaştıran programlar;
  • * bilgi şifreleme programları;
  • * bilgi kaynaklarının (sistem ve uygulama yazılımları, veritabanları, bilgisayar öğretim yardımcıları vb.) yetkisiz değişiklik, kullanım ve kopyalamaya karşı korunmasına yönelik programlar.

GB'nin bilgi güvenliğinin sağlanması ile ilgili olarak tanımlamanın, GB konusunun benzersiz adının açık bir şekilde tanınması olarak anlaşılmalıdır. Kimlik doğrulama, sunulan adın verilen konuya karşılık geldiğinin teyidi anlamına gelir (öznenin kimliğinin teyidi) 5.

Ayrıca, bilgi güvenliği yazılımı şunları içerir:

  • * artık bilgilerin yok edilmesi için programlar (RAM bloklarında, geçici dosyalar vb.);
  • * kompresör istasyonunun güvenliği ile ilgili olayların denetlenmesi (günlüklerin tutulması) için programlar, kurtarma olasılığının sağlanması ve bu olayların gerçeğinin kanıtlanması;
  • * bir suçluyla çalışmayı simüle etmek için programlar (gizli olduğu iddia edilen bilgileri alması için dikkatini dağıtmak);
  • * KS güvenliğinin test kontrolü için programlar vb.

Bilgi güvenliği yazılımının avantajları şunları içerir:

  • * çoğaltma kolaylığı;
  • * esneklik (belirli CS'nin bilgi güvenliğine yönelik tehditlerin özelliklerini dikkate alarak çeşitli kullanım koşulları için özelleştirme yeteneği);
  • * kullanım kolaylığı - örneğin şifreleme gibi bazı yazılım araçları "şeffaf" (kullanıcı tarafından görülmez) modda çalışır, diğerleri ise kullanıcıdan herhangi bir yeni (diğer programlara kıyasla) beceriler gerektirmez;
  • * Bilgi güvenliğine yönelik yeni tehditleri göz önünde bulundurarak değişiklikler yaparak gelişimleri için neredeyse sınırsız fırsatlar.

Pirinç. 4

Pirinç. 5

Bilgi güvenliği yazılımının dezavantajları şunları içerir:

  • * koruma programlarının işleyişi için gerekli olan kaynakların tüketimi nedeniyle COP'nin etkinliğinde azalma;
  • * daha düşük performans (şifreleme gibi benzer işlevleri yerine getiren donanım korumasına kıyasla);
  • * birçok yazılım koruma aracının yerleştirilmesi (ve bunların CS, Şekil 4 ve 5'in yazılımındaki düzenlemeleri değil), bir davetsiz misafirin bunları atlaması için temel bir olasılık yaratır;
  • * CS'nin çalışması sırasında yazılım korumasında kötü niyetli değişiklikler olasılığı.

İşletim sistemi güvenliği

İşletim sistemi, herhangi bir bilgisayarın en önemli yazılım bileşenidir, bu nedenle, bilgi sisteminin genel güvenliği, büyük ölçüde, her bir işletim sisteminde güvenlik politikasının uygulanma düzeyine bağlıdır.

İşletim sistemleri ailesi Windows 2000, Millenium, orijinal olarak ev bilgisayarlarında çalışmaya yönelik klonlardır. Bu işletim sistemleri, korumalı mod ayrıcalık düzeylerini kullanır, ancak herhangi bir ek kontrol yapmaz ve güvenlik tanımlayıcı sistemlerini desteklemez. Sonuç olarak, herhangi bir uygulama hem okuma hem de yazma haklarıyla kullanılabilir RAM'in tamamına erişebilir. Ağ güvenlik önlemleri mevcuttur, ancak bunların uygulanması eşit değildir. Ayrıca, Windows XP sürümünde, bilgisayarın yalnızca birkaç pakette donmasına izin veren ve işletim sisteminin itibarını önemli ölçüde zedeleyen temel bir hata yapıldı; sonraki sürümlerde bu klonun ağ güvenliğini artırmak için birçok adım atıldı6 .

İşletim sistemlerinin nesli Windows Vista, 7, MicroSoft'tan çok daha güvenilir bir gelişmedir. Bunlar, sabit diskteki çeşitli kullanıcıların dosyalarını güvenilir bir şekilde koruyan gerçekten çok kullanıcılı sistemlerdir (ancak veriler şifrelenmez ve dosyalar başka bir işletim sisteminin diskinden - örneğin MS- önyükleme yapılarak sorunsuz bir şekilde okunabilir. DOS). Bu işletim sistemleri, Intel işlemcilerin korumalı mod özelliklerini etkin bir şekilde kullanır ve sürecin kendisi onlara sürecin dışından ek erişim sağlamak istemediği sürece, diğer programlardan verileri ve işlem kodunu güvenilir bir şekilde koruyabilir.

Uzun bir geliştirme süresi boyunca, birçok farklı ağ saldırısı ve güvenlik hatası dikkate alınmıştır. Bunlara yönelik düzeltmeler hizmet paketleri şeklinde yayınlandı.

UNIX işletim sisteminden başka bir klon dalı büyür. Bu işletim sistemi başlangıçta bir ağ ve çok kullanıcılı olarak geliştirildi ve bu nedenle hemen bilgi güvenliği araçlarını içeriyordu. Hemen hemen tüm yaygın UNIX klonları, uzun bir geliştirme yolu kat etti ve değiştikçe, bu süre zarfında keşfedilen tüm saldırı yöntemlerini hesaba kattı. Kendilerini yeterince kanıtlamışlardır: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Doğal olarak, söylenen her şey bu işletim sistemlerinin en son sürümleri için geçerlidir. Bu sistemlerdeki temel hatalar artık kusursuz çalışan çekirdekle değil, sistem ve uygulama yardımcı programlarıyla ilgilidir. İçlerinde hataların bulunması, genellikle sistemin tüm güvenlik marjının kaybolmasına neden olur.

Ana bileşenler:

Yetkisiz erişimden yerel güvenlik yöneticisi sorumludur, kullanıcının oturum açma bilgilerini doğrular ve şunları sağlar:

Denetim - kullanıcı eylemlerinin doğruluğunu kontrol etme

Hesap Yöneticisi - kullanıcıların eylemleri ve sistemle etkileşimleri için veritabanı desteği.

Güvenlik izleyicisi - kullanıcının nesneye yeterli erişim haklarına sahip olup olmadığını kontrol eder

Denetim günlüğü - kullanıcı oturum açma bilgileri, dosya ve klasörlerle ilgili kayıtlar hakkında bilgi içerir.

Kimlik Doğrulama Paketi - değiştirilmediklerinden emin olmak için sistem dosyalarını analiz eder. MSV10 varsayılan pakettir.

Windows XP şu şekilde güncellendi:

yedek kopyalar için şifreler atayabilirsiniz

dosya değiştirme koruması

sınır sistemi ... bir şifre girerek ve bir kullanıcı hesabı oluşturarak. Arşivleme, bu haklara sahip bir kullanıcı tarafından gerçekleştirilebilir.

NTFS: dosya ve klasörlere erişimi kontrol edin

XP ve 2000'de - kullanıcı erişim haklarının daha eksiksiz ve derin farklılaşması.

EFS - verilere erişimi kısıtlamak için bilgilerin (dosyalar ve klasörler) şifrelenmesini ve şifresinin çözülmesini sağlar.

Kriptografik koruma yöntemleri

Kriptografi, verilerin güvenliğini sağlama bilimidir. Gizlilik, kimlik doğrulama, bütünlük ve etkileşimdeki katılımcıların kontrolü olmak üzere dört önemli güvenlik sorununa çözüm arıyor. Şifreleme, verilerin şifreleme-şifre çözme anahtarları kullanılarak okunamaz bir forma dönüştürülmesidir. Şifreleme, bilgileri amaçlamadığı kişilerden gizli tutarak gizliliği sağlamanıza olanak tanır.

Kriptografi, bilgiyi dönüştürmek için matematiksel yöntemlerin araştırılması ve incelenmesi ile ilgilenir (7).

Modern kriptografi dört ana bölümden oluşur:

simetrik kriptosistemler;

açık anahtar şifreleme sistemleri;

elektronik imza sistemleri;

anahtar yönetimi.

Kriptografik yöntemleri kullanmanın ana yönleri, gizli bilgilerin iletişim kanalları (örneğin e-posta) aracılığıyla aktarılması, iletilen mesajların doğrulanması, bilgilerin (belgeler, veritabanları) ortamda şifrelenmiş biçimde saklanmasıdır.

Disk şifreleme

Şifreli disk, diğer dosyaları veya programları içerebilen bir kapsayıcı dosyasıdır (doğrudan bu şifreli dosyadan yüklenebilir ve çalıştırılabilirler). Bu diske yalnızca kapsayıcı dosyası için parola girildikten sonra erişilebilir - daha sonra bilgisayarda, sistem tarafından mantıksal olarak tanınan ve başka bir diskle çalışmaktan farklı olmayan başka bir disk görünür. Diskin bağlantısını kestikten sonra mantıksal disk kaybolur, basitçe "görünmez" hale gelir.

Bugün şifreli diskler oluşturmak için en yaygın programlar DriveCrypt, BestCrypt ve PGPdisk'tir. Her biri uzaktan bilgisayar korsanlığına karşı güvenilir bir şekilde korunmaktadır.

Programların ortak özellikleri: (8)

  • - kapsayıcı dosyasındaki bilgilerdeki tüm değişiklikler önce RAM'de gerçekleşir, yani. sabit sürücü her zaman şifreli kalır. Bilgisayar donsa bile, gizli veriler şifreli kalır;
  • - programlar, belirli bir süre sonra gizli bir mantıksal sürücüyü engelleyebilir;
  • - hepsi geçici dosyalardan şüpheleniyor (takas dosyaları). Takas dosyasına girebilecek tüm gizli bilgileri şifrelemek mümkündür. Bir takas dosyasında saklanan bilgileri gizlemenin çok etkili bir yöntemi, bilgisayarın RAM'ini artırmayı unutmadan onu tamamen devre dışı bırakmaktır;
  • - sabit diskin fiziği, bazı verilerin üzerine başkalarıyla yazsanız bile önceki kayıt tamamen silinmeyecek şekildedir. Modern manyetik mikroskopi araçlarının (Manyetik Kuvvet Mikroskobu - MFM) yardımıyla, yine de restore edilebilirler. Bu programlarla, sabit sürücünüzdeki dosyaları, varlıklarına dair hiçbir iz bırakmadan güvenilir bir şekilde silebilirsiniz;
  • - her üç program da gizli verileri sabit diskte güvenli bir şekilde şifrelenmiş bir biçimde kaydeder ve herhangi bir uygulama programından bu verilere şeffaf erişim sağlar;
  • - şifrelenmiş kapsayıcı dosyalarını yanlışlıkla silinmeye karşı korurlar;
  • - Truva atları ve virüslerle mükemmel bir iş çıkar.

Kullanıcı tanımlama yöntemleri

Uçağa erişmeden önce, kullanıcı kendini tanımlamalı ve ardından ağ güvenlik mekanizmaları kullanıcının kimliğini doğrulamalı, yani kullanıcının gerçekten iddia ettiği kişi olup olmadığını kontrol etmelidir. Koruma mekanizmasının mantıksal modeline göre, uçak, kullanıcının terminali aracılığıyla veya başka bir şekilde bağlı olduğu çalışan bir bilgisayarda bulunur. Bu nedenle, yerel iş bilgisayarında bir oturumun başlangıcında tanımlama, kimlik doğrulama ve yetkilendirme işlemleri gerçekleştirilir.

Daha sonra, çeşitli ağ protokolleri kurulduğunda ve ağ kaynaklarına erişim sağlanmadan önce, gerekli kaynakları veya ağ hizmetlerini barındırmak için bazı uzak masaüstü bilgisayarlarda tanımlama, doğrulama ve yetkilendirme prosedürleri yeniden etkinleştirilebilir.

Bir kullanıcı bir terminal kullanarak bir bilgi işlem sistemi üzerinde çalışmaya başladığında, sistem onun adını ve kimlik numarasını sorar. Kullanıcının verdiği cevaplar doğrultusunda bilgisayar sistemi tanımlamasını yapar. Bir ağda, birbirine bağlı varlıkların birbirini tanımlaması daha doğaldır.

Parolalar, kimlik doğrulamanın yalnızca bir yoludur. Başka yollar da var:

  • 1. Kullanıcının emrinde önceden tanımlanmış bilgiler: şifre, kişisel kimlik numarası, özel şifreli ifadelerin kullanımına ilişkin anlaşma.
  • 2. Kullanıcının emrinde olan donanım unsurları: anahtarlar, manyetik kartlar, mikro devreler, vb.
  • 3. Kullanıcının tipik kişisel özellikleri: parmak izleri, göz retinasının çizimi, şeklin boyutu, sesin tınısı ve diğer daha karmaşık tıbbi ve biyokimyasal özellikler.
  • 4. Gerçek zamanlı kullanıcı davranışının tipik teknikleri ve özellikleri: dinamiklerin özellikleri, klavyede çalışma tarzı, okuma hızı, manipülatör kullanma yeteneği, vb.
  • 5. Alışkanlıklar: belirli bilgisayar şablonlarının kullanımı.
  • 6. Eğitim, kültür, eğitim, geçmiş, yetiştirilme, alışkanlıklar vb. nedeniyle kullanıcı becerileri ve bilgisi.

Birisi bir bilgisayar sisteminde bir terminal aracılığıyla oturum açmak veya bir toplu iş yapmak isterse, bilgisayar sistemi kullanıcının kimliğini doğrulamalıdır. Kullanıcının kendisi genellikle bilgi işlem sisteminin kimliğini doğrulamaz. Kimlik doğrulama prosedürü tek yönlü ise, böyle bir prosedüre tek yönlü nesne kimlik doğrulaması denir (9).

Bilgi güvenliği için özel yazılım.

Bilgileri yetkisiz erişimden korumaya yönelik özel yazılım araçları, genel olarak, bir ağ işletim sisteminin yerleşik araçlarından daha iyi yeteneklere ve özelliklere sahiptir. Şifreleme programlarının yanı sıra, birçok başka harici güvenlik aracı da mevcuttur. En sık bahsedilenlerden, bilgi akışlarını kısıtlamayı mümkün kılan aşağıdaki iki sisteme dikkat edilmelidir.

Güvenlik duvarları - güvenlik duvarları (kelimenin tam anlamıyla güvenlik duvarı - ateş duvarı). Yerel ve küresel ağlar arasında, içinden geçen tüm ağ/taşıma katmanı trafiğini denetleyen ve filtreleyen özel ara sunucular oluşturulur. Bu, dışarıdan kurumsal ağlara yetkisiz erişim tehdidini önemli ölçüde azaltabilir, ancak bu tehlikeyi hiç ortadan kaldırmaz. Yöntemin daha güvenli bir versiyonu, yerel ağdan giden tüm trafik güvenlik duvarı sunucusu adına gönderildiğinde, yerel ağı neredeyse görünmez hale getirerek maskeleniyor.

Proxy sunucuları (vekil - vekaletname, güvenilir kişi). Yerel ve küresel ağlar arasındaki tüm ağ/taşıma katmanı trafiği tamamen yasaktır - böyle bir yönlendirme yoktur ve yerel ağdan küresel ağa çağrılar özel aracı sunucular aracılığıyla gerçekleşir. Açıkçası, bu yöntemle küresel ağdan yerel olana yapılan çağrılar prensipte imkansız hale geliyor. Bu yöntemin daha üst düzeylerdeki saldırılara karşı yeterli koruma sağlamadığı da açıktır - örneğin uygulama düzeyinde (virüsler, Java kodu ve JavaScript).

Güvenlik duvarının nasıl çalıştığına daha yakından bakalım. Donanım ve yazılım aracılığıyla ağ erişimini merkezileştirerek ve kontrol ederek bir ağı diğer sistem ve ağlardan gelen güvenlik tehditlerinden koruma yöntemidir. Güvenlik duvarı, birkaç bileşenden oluşan bir güvenlik bariyeridir (örneğin, güvenlik duvarı yazılımını çalıştıran bir yönlendirici veya ağ geçidi). Güvenlik duvarı, kuruluşun dahili ağ erişim denetimi ilkesine göre yapılandırılır. Tüm gelen ve giden paketler, yalnızca yetkili paketlerin geçmesine izin veren bir güvenlik duvarından geçmelidir.

Paket filtreleme güvenlik duvarı, belirli türdeki gelen ve giden paketleri reddetmek üzere yapılandırılmış yazılım çalıştıran bir yönlendirici veya bilgisayardır. Paket filtreleme, paketlerin TCP ve IP başlıklarında (gönderici ve alıcının adresleri, port numaraları vb.) bulunan bilgilere dayalı olarak gerçekleştirilir.

Uzman düzeyinde güvenlik duvarı - OSI modelinin ağ, oturum ve uygulama olmak üzere üç katmanında alınan paketlerin içeriğini kontrol eder. Bu görevi gerçekleştirmek için, her paketi bilinen bir yetkili paket modeliyle karşılaştırmak için özel paket filtreleme algoritmaları kullanılır.

Güvenlik duvarının oluşturulması, ekranlama sorununun çözümü ile ilgilidir. Tarama probleminin resmi ayarı aşağıdaki gibidir. İki grup bilgi sistemi olsun. Ekran, istemcilerin bir kümeden başka bir kümeden sunuculara erişimini ayırt etmenin bir yoludur. Ekran, iki sistem grubu arasındaki tüm bilgi akışlarını kontrol ederek işlevlerini yerine getirir (Şekil 6). Akışları kontrol etmek, muhtemelen bazı dönüşümler gerçekleştirerek onları filtrelemekten ibarettir.

Bir sonraki ayrıntı düzeyinde, ekran (yarı geçirgen zar) uygun bir şekilde bir dizi filtre olarak düşünülür. Filtrelerin her biri, verileri analiz ettikten sonra, onları geciktirebilir (atlamayabilir) ve hemen ekrandan "atabilir". Ek olarak, verileri dönüştürmeye, analize devam etmek için verilerin bir kısmını sonraki filtreye aktarmaya veya muhatap adına verileri işlemeye ve sonucu gönderene döndürmeye izin verilir (Şekil 7).


Pirinç. 7

Erişim kontrolü işlevlerine ek olarak, ekranlar bilgi alışverişini kaydeder.

Genellikle ekran simetrik değildir, bunun için "iç" ve "dış" terimleri tanımlanmıştır. Bu durumda, perdeleme sorunu, iç alanı potansiyel olarak düşmanca olan dıştan korumak olarak formüle edilir. Bu nedenle, güvenlik duvarları (FW) çoğunlukla İnternet erişimi olan bir kuruluşun kurumsal ağını korumak için kurulur.

Koruma, dış etkinliklerin neden olduğu yükü azaltarak veya ortadan kaldırarak arka uç hizmetlerinin kullanılabilirliğini korumaya yardımcı olur. Saldırganın başlangıçta savunma mekanizmalarının özellikle dikkatli bir şekilde yapılandırıldığı bir ekranı aşması gerektiğinden, iç güvenlik hizmetlerinin güvenlik açığı azaltılır. Ek olarak, ekranlama sistemi, evrensel olanın aksine, daha basit ve dolayısıyla daha güvenli bir şekilde düzenlenebilir.

Koruma ayrıca, organizasyonun IS'sindeki gizlilik rejiminin korunmasına katkıda bulunan, dış alana yönlendirilen bilgi akışlarını kontrol etmeyi mümkün kılar.

Koruma kısmi olabilir ve belirli bilgi hizmetlerini korur (örneğin, e-posta koruması).

Sınırlayıcı bir arayüz, bir tür kaçış olarak da düşünülebilir. Görünmez bir nesneye, özellikle sabit bir dizi araçla saldırmak zordur. Bu anlamda, Web arayüzü, özellikle hiper metin belgeleri dinamik olarak oluşturulduğunda doğal olarak güvenlidir. Her kullanıcı yalnızca görmesi gerekeni görür. Dinamik olarak oluşturulmuş hipermetin belgeleri ile ilişkisel veritabanlarındaki temsiller arasında bir analoji kurulabilir, Web durumunda olasılıkların çok daha geniş olduğu temel uyarısı ile.

Bir Web hizmetinin koruyucu rolü, bu hizmet, veritabanı tabloları gibi diğer kaynaklara erişirken işlevlere aracılık ettiğinde (daha doğrusu bütünleştirdiğinde) de açıkça ortaya çıkar. Sadece isteklerin akışını kontrol etmekle kalmaz, aynı zamanda verilerin gerçek organizasyonunu da gizler.

Mimari güvenlik yönleri

Ağ ortamının doğasında var olan tehditlerle evrensel işletim sistemlerini kullanarak mücadele etmek mümkün değildir. Genel bir işletim sistemi, muhtemelen bariz hatalara ek olarak, yasadışı olarak ayrıcalık kazanmak için kullanılabilecek bazı özellikler içeren devasa bir programdır. Modern programlama teknolojisi, bu kadar büyük programları güvenli hale getirmeye izin vermiyor. Ayrıca, karmaşık bir sistemle uğraşan bir yönetici, yapılan değişikliklerin tüm sonuçlarını her zaman hesaba katamaz. Son olarak, evrensel bir çok kullanıcılı sistemde, kullanıcıların kendileri tarafından sürekli olarak güvenlik açıkları oluşturulur (zayıf ve / veya nadiren değiştirilen şifreler, kötü ayarlanmış erişim hakları, gözetimsiz bir terminal vb.). Tek umut verici yol, basitlikleri nedeniyle resmi veya gayri resmi doğrulamaya izin veren özel güvenlik hizmetlerinin geliştirilmesi ile ilişkilidir. Güvenlik duvarı, çeşitli ağ protokollerine hizmet vermeyle ilgili daha fazla ayrıştırmaya izin veren bir araçtır.

Güvenlik duvarı, korunan (dahili) ağ ile harici ortam (harici ağlar veya şirket ağının diğer bölümleri) arasında bulunur. İlk durumda, dış ME hakkında, ikinci durumda - iç hakkında konuşurlar. Bakış açınıza bağlı olarak, harici bir güvenlik duvarı ilk veya son (ancak hiçbir şekilde tek değil) savunma hattı olarak kabul edilebilir. Birincisi, dünyaya dışarıdan bir saldırganın gözünden baktığınız zamandır. İkincisi - şirket ağının tüm bileşenlerini korumaya ve dahili kullanıcıların yasa dışı eylemlerini önlemeye çalışırsak.

Güvenlik duvarı, aktif denetimi yerleştirmek için ideal yerdir. Bir yandan, hem ilk hem de son savunma hattında, şüpheli faaliyetleri belirlemek kendi yolunda önemlidir. Öte yandan ME, dış çevre ile iletişimin kesilmesine kadar şüpheli etkinliğe keyfi olarak güçlü bir tepki verme yeteneğine sahiptir. Ancak, iki güvenlik hizmetini birbirine bağlamanın prensipte kullanılabilirlik saldırılarına elverişli bir boşluk oluşturabileceğinin farkında olmalısınız.

Kurumsal kaynaklara erişmesi gereken harici kullanıcıların kimlik / kimlik doğrulamasını güvenlik duvarına atamanız önerilir (ağa tek oturum açma konsepti desteği ile).

Savunma ayırma ilkeleri nedeniyle, dış bağlantıları korumak için genellikle iki parçalı ekranlama kullanılır (bkz. Şekil 8). Birincil filtreleme (örneğin, kullanılabilirliğe yönelik saldırılarla tehlikeli olan SNMP kontrol protokol paketlerinin engellenmesi veya "kara listede" bulunan belirli IP adreslerine sahip paketler) sınır yönlendiricisi tarafından gerçekleştirilir (ayrıca bir sonraki bölüme bakın), bunun arkasında sözde askerden arındırılmış bölge (kuruluşun dış bilgi hizmetlerinin alındığı orta düzeyde güvenlik güvenine sahip bir ağ - Web, e-posta vb.) ve şirket ağının iç kısmını koruyan ana ME.

Teoride, bir güvenlik duvarı (özellikle dahili bir güvenlik duvarı) çok protokollü olmalıdır, ancak pratikte TCP / IP protokol ailesinin hakimiyeti o kadar büyüktür ki, diğer protokoller için destek aşırıya kaçmış, güvenliğe zararlı (daha karmaşık) gibi görünmektedir. hizmet, daha savunmasızdır).


Pirinç. sekiz

Genel olarak konuşursak, ağ trafiği hacmi hızla artma eğiliminde olduğundan hem harici hem de dahili güvenlik duvarları bir darboğaz haline gelebilir. Bu sorunu çözmeye yönelik yaklaşımlardan biri, ME'yi birkaç donanım parçasına bölmeyi ve özel aracı sunucuları organize etmeyi içerir. Ana güvenlik duvarı, gelen trafiği türe göre kabaca sınıflandırabilir ve filtrelemeyi uygun aracılara (örneğin, HTTP trafiğini analiz eden bir aracıya) devredebilir. Giden trafik ilk olarak, harici Web sunucularının sayfalarını önbelleğe almak gibi işlevsel olarak yararlı eylemleri de gerçekleştirebilen bir aracı sunucu tarafından işlenir, bu da genel olarak ağ üzerindeki yükü ve özel olarak ana FW'yi azaltır.

Bir şirket ağının yalnızca bir harici kanal içerdiği durumlar, kuraldan çok istisnadır. Buna karşılık, tipik bir durum, bir şirket ağının, her biri İnternet'e bağlı, coğrafi olarak dağılmış birkaç bölümden oluşmasıdır. Bu durumda her bağlantı kendi ekranı tarafından korunmalıdır. Daha doğrusu, kurumsal harici güvenlik duvarının bileşik olduğunu ve tüm bileşenlerin tutarlı yönetimi (yönetim ve denetim) sorununu çözmek için gerekli olduğunu varsayabiliriz.

Bileşik kurumsal ME'lerin (veya bileşenlerinin) tersi, kişisel güvenlik duvarları ve kişisel koruyucu cihazlardır. Birincisi, kişisel bilgisayarlara yüklenen ve yalnızca onları koruyan yazılım ürünleridir. İkincisi ayrı cihazlarda uygulanır ve ev ofis ağı gibi küçük bir yerel alan ağını korur.

Güvenlik duvarlarını dağıtırken, her şeyden önce, basitlik ve yönetilebilirliğe, savunmanın ayrılmasına ve güvenli olmayan bir duruma geçişin imkansızlığına dikkat ederek, daha önce tartıştığımız mimari güvenlik ilkelerine uymalısınız. Ayrıca sadece dış tehditler değil, iç tehditler de dikkate alınmalıdır.

Bilgilerin arşivlenmesi ve çoğaltılması için sistemler

Güvenilir ve verimli bir veri arşivleme sisteminin organizasyonu, ağdaki bilgilerin güvenliğini sağlamak için en önemli görevlerden biridir. Bir veya iki sunucunun kurulu olduğu küçük ağlarda, çoğunlukla arşivleme sistemini doğrudan ücretsiz sunucu yuvalarına kurmak için kullanılır. Büyük kurumsal ağlarda, özel olarak ayrılmış bir arşiv sunucusu düzenlemek en çok tercih edilenidir.

Böyle bir sunucu, yerel bilgisayar ağının yöneticisi tarafından belirtilen zamanda sunucuların ve iş istasyonlarının sabit disklerindeki bilgileri otomatik olarak arşivler ve yedekleme hakkında bir rapor yayınlar.

Özel değere sahip arşiv bilgilerinin saklanması, özel bir korumalı odada düzenlenmelidir. Uzmanlar, yangın veya doğal afet durumunda, en değerli verilerin tekrarlanan arşivlerinin başka bir binada saklanmasını tavsiye ediyor. Manyetik disklerin arızalanması durumunda veri kurtarmayı sağlamak için, en sık kullanılan disk dizisi sistemleri - RAID (Yedekli Ucuz Disk Dizileri) standardına uygun tek bir cihaz olarak çalışan disk grupları. Bu diziler, en hızlı yazma/okuma veri hızlarını, verileri tam olarak kurtarma ve arızalı sürücüleri sıcak modda (dizideki diğer sürücüleri kapatmadan) değiştirme yeteneği sağlar.

Disk dizilerinin organizasyonu, çeşitli seviyelerde uygulanan çeşitli teknik çözümler sağlar:

RAID seviye 0, veri akışını iki veya daha fazla sürücü arasında kolayca bölmenize olanak tanır. Bu çözümün avantajı, dizideki disk sayısı ile orantılı olarak I/O hızının artmasıdır.

RAID seviye 1, sözde "yansıtılmış" disklerin düzenlenmesinden oluşur. Veri kaydı sırasında sistemin ana diskindeki bilgiler yansıtılan diskte çoğaltılır ve ana disk arızalanırsa "yansıtılmış" disk hemen açılır.

RAID düzey 2 ve 3, verilerin disklere bit düzeyinde yayıldığı yazıldığında paralel disk dizilerinin oluşturulmasını sağlar.

RAID seviyeleri 4 ve 5, veri akışının dizinin diskleri arasında dağıtıldığı sıfır seviyesinin bir modifikasyonudur. Aradaki fark, 4. düzeyde fazlalık bilgileri depolamak için özel bir diskin tahsis edilmesi ve 5. düzeyde artık bilgilerin dizideki tüm disklere dağıtılmasıdır.

Yedekli bilgilerin kullanımına dayalı olarak ağdaki güvenilirliğin ve veri korumanın iyileştirilmesi, yalnızca disk dizileri gibi bireysel ağ öğeleri düzeyinde değil, aynı zamanda ağ işletim sistemi düzeyinde de uygulanır. Örneğin Novell, Netware işletim sisteminin - SFT'nin (Sistem Hata Toleransı) hataya dayanıklı sürümlerini uygular:

  • - SFT Düzey I. İlk düzey, FAT ve Dizin Giriş Tablolarının ek kopyalarının oluşturulmasını, dosya sunucusuna yeni yazılan her veri bloğunun anında doğrulanmasını ve ayrıca her bir sabit diskte diskin yaklaşık %2'sinin yedeklenmesini sağlar. Uzay.
  • - SFT Seviye II ayrıca "yansıtılmış" sürücüler oluşturma yeteneğinin yanı sıra disk denetleyicilerinin, güç kaynaklarının ve arabirim kablolarının çoğaltılmasını da içeriyordu.
  • - SFT Seviye III versiyonu, biri "ana" olan ve ikincisi, "ana" sunucunun arızalanması durumunda tüm bilgilerin bir kopyasını içeren yerel ağda çoğaltılmış sunucuların kullanılmasına izin verir.

Güvenlik analizi

Güvenlik analizi hizmeti, hızlı bir şekilde ortadan kaldırmak için güvenlik açıklarını belirlemek üzere tasarlanmıştır. Bu hizmet kendi başına hiçbir şeye karşı koruma sağlamaz, ancak bir saldırganın bunları kullanmasından önce güvenlik açıklarını tespit etmeye (ve ortadan kaldırmaya) yardımcı olur. Her şeyden önce, mimari (ortadan kaldırılması zor) değil, yönetim hataları veya yazılım sürümlerinin güncellenmesine dikkat edilmemesi nedeniyle ortaya çıkan "operasyonel" boşlukları kastediyorum.

Yukarıda tartışılan aktif denetim araçları gibi güvenlik analiz sistemleri (güvenlik tarayıcıları olarak da adlandırılır), bilgi birikimine ve kullanımına dayanır. Bu, güvenlik açıklarının nasıl aranacağını, ne kadar ciddi olduklarını ve nasıl ele alınacağını bilmek anlamına gelir.

Buna göre, bu tür sistemlerin özü, mevcut yetenek aralığını belirleyen ve neredeyse sürekli güncelleme gerektiren güvenlik açıklarının temelidir.

Prensip olarak, çok farklı nitelikteki boşluklar tespit edilebilir: kötü amaçlı yazılımların varlığı (özellikle virüsler), zayıf kullanıcı parolaları, kötü yapılandırılmış işletim sistemleri, güvenli olmayan ağ hizmetleri, kaldırılan yamalar, uygulama güvenlik açıkları vb. Bununla birlikte, en etkili olanı ağ tarayıcıları (tabii ki TCP / IP protokol ailesinin baskınlığından dolayı) ve ayrıca anti-virüs araçlarıdır (10). Anti-virüs korumasını ayrı bir güvenlik hizmeti olarak değil, bir güvenlik analiz aracı olarak sınıflandırıyoruz.

Tarayıcılar, hem pasif analiz yoluyla, yani yapılandırma dosyalarını, kullanılan bağlantı noktalarını vb. inceleyerek hem de bir saldırganın eylemlerini taklit ederek güvenlik açıklarını belirleyebilir. Bulunan bazı güvenlik açıkları otomatik olarak giderilebilir (örneğin, virüslü dosyaların temizlenmesi), diğerleri yöneticiye bildirilir.

Güvenlik analiz sistemlerinin sağladığı kontrol reaktiftir, doğası gereği gecikmelidir, yeni saldırılara karşı koruma sağlamaz ancak savunmanın kademeli olması gerektiği ve hatlardan biri olarak güvenlik kontrolünün oldukça yeterli olduğu unutulmamalıdır. Saldırıların büyük çoğunluğunun doğada rutin olduğu bilinmektedir; bunlar ancak bilinen güvenlik açıkları yıllarca çözülmeden kaldığı için mümkündür.

Bilgisayar ağlarında veri koruma, modern bilgisayar bilimindeki en acil sorunlardan biri haline geliyor. Bugüne kadar, aşağıdakileri sağlaması gereken üç temel bilgi güvenliği ilkesi formüle edilmiştir:

Veri bütünlüğü - bilgi kaybına ve ayrıca verilerin yetkisiz oluşturulmasına veya yok edilmesine yol açan arızalara karşı koruma;

Bilginin gizliliği ve aynı zamanda,

Ayrıca, belirli faaliyet alanlarının (bankacılık ve finans kurumları, bilgi ağları, hükümet sistemleri, savunma ve özel yapılar) özel veri güvenliği önlemleri gerektirdiği ve bilgi sistemlerinin güvenilirliği konusunda artan talepler getirdiği de belirtilmelidir.

Ağdaki veri koruma sorunları göz önüne alındığında, her şeyden önce, verilerin yok edilmesine veya istenmeyen şekilde değiştirilmesine yol açabilecek arızaların ve erişim ihlallerinin sınıflandırılması ile ilgili soru ortaya çıkar. Bu potansiyel "tehditler" arasında şunlar yer alır:

1. Donanım arızaları:

Kablolama sistemi arızaları;

Elektrik kesintileri;

Disk sistemi çöküyor;

Veri arşivleme sistemlerinin arızaları;

Sunucuların, iş istasyonlarının, ağ kartlarının vb. çökmeleri;

2. Hatalı yazılım çalışması nedeniyle bilgi kaybı:

Yazılım hataları durumunda veri kaybı veya değişikliği;

Sisteme bilgisayar virüsleri bulaştığında meydana gelen kayıplar;

3. Yetkisiz erişime bağlı kayıplar:

Bilgilerin izinsiz kopyalanması, yok edilmesi veya tahrif edilmesi;

Yetkisiz kişilerin sırrını oluşturan gizli bilgilere aşinalık;

4. Arşivlenen verilerin yanlış depolanmasıyla ilgili bilgi kaybı.

5. Servis personeli ve kullanıcıların hataları.

Verilerin kazara imha edilmesi veya değiştirilmesi;

Verilerin yok edilmesine veya değiştirilmesine yol açan yazılım ve donanımın yanlış kullanımı.

Olası ağ kesintisi türlerine bağlı olarak, çok sayıda bilgi koruma türü üç ana sınıfa ayrılır:

Kablo sistemi koruması, güç kaynağı sistemleri, arşivleme tesisleri, disk dizileri vb. dahil olmak üzere fiziksel koruma ekipmanı.

Aşağıdakileri içeren güvenlik yazılımı: anti-virüs programları, yetki farklılaştırma sistemleri, yazılım erişim kontrolü.

Binalara erişimin kontrol edilmesi, bir firmanın güvenlik stratejisinin geliştirilmesi, acil durum planları vb. dahil olmak üzere idari önlemler.

Modern teknolojiler, yazılım ve donanım koruma araçlarının bir kombinasyonu yönünde geliştiğinden, böyle bir bölünmenin oldukça keyfi olduğuna dikkat edilmelidir.

Bilgilerin arşivlenmesi ve çoğaltılması için sistemler

Güvenilir ve verimli bir veri arşivleme sisteminin organizasyonu, ağdaki bilgilerin güvenliğini sağlamak için en önemli görevlerden biridir. Bir veya iki sunucunun kurulu olduğu küçük ağlarda, çoğunlukla arşivleme sistemini doğrudan ücretsiz sunucu yuvalarına kurmak için kullanılır. Büyük kurumsal ağlarda, özel olarak ayrılmış bir arşiv sunucusu düzenlemek en çok tercih edilenidir.

Böyle bir sunucu, yerel bilgisayar ağının yöneticisi tarafından belirtilen zamanda sunucuların ve iş istasyonlarının sabit disklerindeki bilgileri otomatik olarak arşivler ve yedekleme hakkında bir rapor yayınlar. Bu, yönetici konsolundan tüm arşivleme süreci üzerinde kontrol sağlar; örneğin, arşivlenmesi gereken belirli birimleri, dizinleri veya ayrı dosyaları belirtebilirsiniz.

Örneğin, bir sunucunun veya iş istasyonunun sabit diskinde çok az boş alan kaldığına dair bilgi alındığında veya bir olay meydana geldiğinde ("olay odaklı yedekleme") otomatik arşivleme düzenlemek de mümkündür. Bir dosya sunucusundaki "ayna" sürücüler.

Manyetik disklerin arızalanması durumunda veri kurtarmayı sağlamak için, en sık kullanılan disk dizisi sistemleri - RAID (Yedekli Ucuz Disk Dizileri) standardına uygun tek bir cihaz olarak çalışan disk grupları.

Bilgisayar virüslerinden korunma

Bugün bilinen binlerce virüse ek olarak her ay 100-150 yeni suş ortaya çıkıyor. Bugüne kadar virüslere karşı korunmanın en yaygın yöntemleri çeşitli antivirüs programlarıdır.

Bununla birlikte, son yıllarda, bilgisayar virüslerine karşı koruma sağlamak için umut verici bir yaklaşım olarak yazılım ve donanım koruma yöntemlerinin bir kombinasyonu giderek daha fazla kullanılmaktadır. Bu tür donanım aygıtları arasında, standart bilgisayar genişletme yuvalarına takılan özel anti-virüs kartları not edilebilir.

Yetkisiz erişime karşı koruma

Bilgileri yetkisiz erişime karşı koruma sorunu, yerel ve özellikle küresel bilgisayar ağlarının yaygınlaşmasıyla özellikle akut hale geldi. Ayrıca, zararın genellikle "kötü niyetli niyet" nedeniyle değil, yanlışlıkla hayati verileri bozan veya silen temel kullanıcı hatalarından kaynaklandığı da belirtilmelidir. Bu bağlamda, erişim kontrolüne ek olarak, bilgisayar ağlarında bilgi korumasının gerekli bir unsuru, kullanıcı haklarının farklılaştırılmasıdır.

Bilgisayar ağlarında, erişim kontrolü ve kullanıcı haklarının farklılaştırılması düzenlenirken, ağ işletim sistemlerinin yerleşik araçları en sık kullanılır.

Sistemlerde ve ağlarda birçok olası bilgi sızıntısı yönü ve yetkisiz erişim yolu vardır. Aralarında:

yetkili istekleri yürüttükten sonra sistem belleğinde kalan bilgilerin okunması;

· Koruma önlemlerinin üstesinden gelen bilgi taşıyıcılarının ve bilgi dosyalarının kopyalanması;

· Kayıtlı bir kullanıcı olarak kılık değiştir;

· Sistemin isteği doğrultusunda kılık değiştirme;

· Yazılım tuzaklarının kullanımı;

· İşletim sisteminin kusurlarından yararlanma;

· Ekipman ve iletişim hatlarına yasadışı bağlantı;

· Koruma mekanizmalarının kötü niyetli olarak devre dışı bırakılması;

· Bilgisayar virüslerinin tanıtımı ve kullanımı.

Bilgi güvenliği, bir dizi organizasyonel, organizasyonel, teknik, teknik ve yazılımsal önlemlerle sağlanır.

Organizasyonel önlemler bilgi koruması şunları içerir:

· Bilginin hazırlandığı ve işlendiği tesislere erişimin kısıtlanması;

· Gizli bilgilerin işlenmesine ve aktarılmasına yalnızca yetkili makamlar tarafından onaylanması;

· Manyetik taşıyıcıların ve kayıt kayıtlarının yetkisiz erişime kapalı kasalarda saklanması;

· İşlenen materyallerin içeriğinin ekran, yazıcı vb. aracılığıyla yetkisiz kişilerce görüntülenmesine izin verilmemesi;

· İletişim kanalları aracılığıyla değerli bilgileri iletirken kriptografik kodların kullanılması;

· Mürekkep şeritlerinin, kağıdın ve değerli bilgi parçaları içeren diğer malzemelerin imhası.

Organizasyonel ve teknik önlemler bilgi koruması şunları içerir:

· Bağımsız bir güç kaynağından veya özel güç filtreleri aracılığıyla değerli bilgileri işleyen ekipmanın güç kaynağı;

· Bina kapılarına şifreli kilit takılması;

· Sıvı kristal veya plazma ekranların giriş-çıkışları sırasında bilgi görüntülemek ve basılı kopyalar elde etmek için kullanın - mürekkep püskürtmeli yazıcılar ve termal yazıcılar, çünkü ekran o kadar yüksek frekanslı elektromanyetik radyasyon verir ki, ekrandan görüntü uzaktan alınabilir birkaç yüz kilometre;

· Bir bilgisayarı tamir için yazarken veya gönderirken bilgilerin yok edilmesi;

· Akustik yöntemle bilgi edinme olasılığını azaltmak için klavye ve yazıcıların yumuşak contalar üzerine montajı;

· Bilgilerin metal veya özel plastik levhalarla işlendiği odaların ekranlanmasıyla elektromanyetik radyasyonun sınırlandırılması.

teknik araçlar bilgi koruma, makine dairelerini koruyarak ve erişim kontrol sistemleri düzenleyerek bölgeleri ve tesisleri korumaya yönelik bir sistemdir. Ağlardaki ve bilgi işlem tesislerindeki bilgilerin teknik araçlar yardımıyla korunması, aşağıdakiler kullanılarak belleğe erişimin düzenlenmesi temelinde gerçekleştirilir:

· Bilgisayar belleğinin çeşitli seviyelerine erişim kontrolü;

· Verileri bloke etme ve anahtarları girme;

Tanımlama amaçları için kayıtlar için kontrol bitlerinin tahsisi, vb.

Yazılım mimarisi bilgi koruması şunları içerir:

· Sisteme giriş kaydının kontrolü, sistem günlüğünde sabitleme, kullanıcı eylemlerinin kontrolü dahil olmak üzere güvenlik kontrolü;

· Ağ kaynaklarına erişim kontrolünün koruma sisteminin ihlaline tepki (ses dahil);

· Erişim kimlik bilgilerinin kontrolü;

· İşletim sistemlerinin resmi güvenlik kontrolü (temel sistem çapında ve ağ);

· Koruma algoritmalarının kontrolü;

· Donanım ve yazılımın doğru çalıştığının doğrulanması ve onaylanması.

Bilgileri güvenilir bir şekilde korumak ve yetkisiz eylem durumlarını belirlemek için sistem kaydedilir: sistemdeki bilgilerin korunmasıyla ilgili tüm eylemlerin kaydedildiği özel günlükler ve protokoller oluşturulur. Koruma sistemini test etmek için özel programlar da kullanılmaktadır. Periyodik olarak veya zaman içinde rastgele seçilen noktalarda, donanım ve yazılım korumasının işlevselliğini kontrol ederler.

Bilgi güvenliğini sağlamak ve yetkisiz sorgulamaları belirlemek için ayrı bir önlem grubu, ihlalleri gerçek zamanlı olarak tespit etmeye yönelik programları içerir. Bu grubun programları, korunan bilgilerle ilgili olarak yasa dışı eylemlere yol açabilecek eylemleri kaydederken özel bir sinyal üretir. Sinyal, ihlalin doğası, meydana geldiği yer ve diğer özellikler hakkında bilgi içerebilir. Ek olarak, programlar, korunan bilgilere erişimi reddedebilir veya izinsiz giriş yapan kişiyi tanımlayacak ve uygun hizmet tarafından alıkonacak böyle bir çalışma modunu simüle edebilir (örneğin, giriş-çıkış cihazlarının anında yüklenmesi).

En yaygın koruma yöntemlerinden biri, görüntülenen bilgilerin gizliliğini açıkça belirtmektir. Bu gereksinim, uygun yazılım araçları kullanılarak uygulanır.

Sunucu veya ağ iş istasyonlarını örneğin bir akıllı kart okuyucu ve özel yazılımla donatarak, yetkisiz erişime karşı koruma düzeyini önemli ölçüde artırabilirsiniz. Bu durumda, bilgisayara erişmek için kullanıcının okuyucuya bir akıllı kart takması ve kişisel kodunu girmesi gerekir.

Erişim kontrolü akıllı kartları, özellikle giriş kontrolü, kişisel bilgisayar cihazlarına erişim, programlara, dosyalara ve komutlara erişim gibi işlevleri gerçekleştirmenize izin verir.

Uzaktan erişim için köprülerde ve yönlendiricilerde, paket segmentasyonu kullanılır - bunların ayrılması ve iki hat üzerinden paralel olarak iletilmesi - bu, bir "hacker" yasadışı bir şekilde hatlardan birine bağlandığında verilerin "kesilmesini" imkansız hale getirir. Ek olarak, veri aktarımı sırasında kullanılan iletilen paketlerin sıkıştırılması prosedürü, "ele geçirilen" verilerin şifresinin çözülmesinin imkansızlığını garanti eder. Ek olarak, uzaktan erişim köprüleri ve yönlendiricileri, uzak kullanıcıların ana ofis ağındaki belirli kaynaklara erişimini kısıtlayacak şekilde programlanabilir.

Güvenlik mekanizmaları

1. Kriptografi.

Gizliliği sağlamak için, verilerin şifrelenmiş bir forma dönüştürülmesine izin veren, orijinal bilgilerin yalnızca bir anahtar varsa çıkarılabileceği şifreleme, veya kriptografi kullanılır.

Şifreleme iki temel kavram üzerine kuruludur: bir algoritma ve bir anahtar. Algoritma, orijinal metni kodlamanın bir yoludur ve şifreli bir mesajla sonuçlanır. Şifrelenmiş bir mesaj sadece bir anahtarla yorumlanabilir.

Koruma sistemlerinin tüm unsurları iki kategoriye ayrılır - dayanıklı ve kolayca değiştirilebilir. Kalıcı unsurlar, koruma sistemlerinin geliştirilmesiyle ilgili olan ve değişim için uzmanların veya geliştiricilerin müdahalesini gerektiren unsurlardır. Kolayca değiştirilebilen öğeler, rastgele seçilen başlangıç ​​parametrelerine dayalı olarak önceden belirlenmiş bir kurala göre keyfi değişiklik veya modifikasyon için tasarlanmış sistem öğelerini içerir. Kolayca değiştirilebilen öğeler arasında örneğin anahtar, parola, kimlik vb. bulunur.

Bilgilerin gizliliği, algoritmalara özel anahtarların (kodların) eklenmesiyle sağlanır. Şifreleme için bir anahtar kullanmanın iki önemli avantajı vardır. İlk olarak, farklı alıcılara mesaj göndermek için farklı tuşlara sahip bir algoritma kullanabilirsiniz. İkincisi, anahtarın sırrı ihlal edilirse, şifreleme algoritmasını değiştirmeden kolayca değiştirilebilir. Bu nedenle, şifreleme sistemlerinin güvenliği, şifreleme algoritmasının gizliliğine değil, kullanılan anahtarın gizliliğine bağlıdır.

Teknolojinin artan üretkenliğinin, anahtarları kırmak için gereken sürenin azalmasına yol açtığını ve güvenlik sistemlerinin daha uzun anahtarlar kullanmak zorunda kaldığını ve bunun da şifreleme maliyetlerinin artmasına neden olduğunu belirtmek önemlidir.

Şifreleme sistemlerinde anahtarın gizliliğine bu kadar önemli bir yer verildiğinden, bu tür sistemlerin temel sorunu anahtarın üretilmesi ve iletilmesidir.

İki ana şifreleme şeması vardır: simetrik şifreleme (bazen geleneksel veya gizli anahtar şifrelemesi olarak da adlandırılır) ve genel anahtar şifrelemesi (bazen asimetrik şifreleme olarak da adlandırılır).

Simetrik şifrelemede, gönderici ve alıcı, verileri şifreleyebilecekleri ve şifrelerini çözebilecekleri aynı anahtara (sırra) sahiptir.

Elektronik İmza

Elektronik imza yardımı ile alıcı, aldığı mesajın üçüncü bir şahıs tarafından değil, belirli haklara sahip bir gönderici tarafından gönderildiğini doğrulayabilir. Elektronik imzalar, gönderenin özel anahtarı kullanılarak sağlama toplamı ve ek bilgiler şifrelenerek oluşturulur. Böylece, herkes ortak anahtarı kullanarak imzanın şifresini çözebilir, ancak yalnızca özel anahtarın sahibi imzayı doğru bir şekilde oluşturabilir. Müdahaleye ve yeniden kullanıma karşı koruma sağlamak için imza benzersiz bir numara içerir - bir sıra numarası.

kimlik doğrulama

Kimlik doğrulama, bir ağdaki bilgilerin güvenliğini sağlamanın en önemli bileşenlerinden biridir. Bir kullanıcıya belirli bir kaynağı alma hakkı verilmeden önce, onun gerçekten iddia ettiği kişi olduğundan emin olması gerekir.

Herhangi bir kullanıcı adına bir kaynak kullanma talebi alındığında, bu kaynağı sağlayan sunucu, kontrolü kimlik doğrulama sunucusuna aktarır. Kimlik doğrulama sunucusundan olumlu bir yanıt aldıktan sonra, kullanıcıya istenen kaynak sağlanır.

Kimlik doğrulama, kural olarak, "ne bildiği" ilkesini kullanır - kullanıcı, isteğine yanıt olarak kimlik doğrulama sunucusuna gönderdiği gizli bir kelimeyi bilir. Kimlik doğrulama şemalarından biri standart parolalar kullanmaktır. Şifre - kendisi tarafından ağ ile etkileşim oturumunun başında ve bazen oturumun sonunda girilir (özellikle kritik durumlarda, ağdan normal çıkış şifresi girişten farklı olabilir). Bu şema güvenlik açısından en savunmasız olanıdır - şifre başka bir kişi tarafından ele geçirilebilir ve kullanılabilir.

En yaygın kullanılan şemalar tek seferlik şifrelerdir. Ele geçirilse bile, bu şifre bir sonraki kayıtta işe yaramaz ve bir önceki şifreden bir sonraki şifreyi almak son derece zordur. Tek seferlik parolalar oluşturmak için, bir bilgisayar yuvasına takılan aygıtlar olan hem yazılım hem de donanım oluşturucular kullanılır. Kullanıcının bu cihazı etkinleştirmesi için gizli kelime bilgisi gereklidir.

Ağları korumak

Son yıllarda, kurumsal ağlar giderek artan bir şekilde İnternet'e dahil oluyor ve hatta onu temel olarak kullanıyor. Güvenlik duvarları, kurumsal bilgi ağlarını korumak için kullanılır. Güvenlik duvarları, bir ağı iki veya daha fazla parçaya bölmenize ve paketlerin bir bölümden diğerine geçiş koşullarını belirleyen bir dizi kuralı uygulamanıza izin veren bir sistem veya sistemler kombinasyonudur. Kural olarak, bu sınır, dahili olarak da çizilebilmesine rağmen, işletmenin yerel ağı ile İNTERNETOM arasında çizilir. Ancak, tek tek bilgisayarları korumak karlı değildir, bu nedenle genellikle tüm ağı korurlar. Güvenlik duvarı, tüm trafiğin kendi içinden geçmesine izin verir ve geçen her paket için bir karar verir - geçmesine izin vermek veya bırakmak. Güvenlik duvarının bu kararları vermesi için bir dizi kural tanımlanmıştır.

Güvenlik duvarı hem donanımda (yani ayrı bir fiziksel aygıt olarak) hem de bilgisayarda çalışan özel bir program olarak uygulanabilir.

Tipik olarak, güvenlik duvarının korumasını iyileştirmek için güvenlik duvarının çalıştığı işletim sisteminde değişiklikler yapılır. Bu değişiklikler hem işletim sistemi çekirdeğini hem de ilgili yapılandırma dosyalarını etkiler. Güvenlik duvarının kendi kullanıcı bölümlerine ve dolayısıyla potansiyel deliklere - yalnızca yönetici bölümüne - sahip olmasına izin verilmez.

Bazı güvenlik duvarları yalnızca tek kullanıcı modunda çalışır ve birçoğunun kod bütünlüğü kontrol sistemi vardır.

Bir güvenlik duvarı genellikle, trafiğin bir kısmının geçmesini engelleyen filtreler veya kalkanlar dahil olmak üzere birkaç farklı bileşene sahiptir.

Tüm güvenlik duvarları iki türe ayrılabilir:

· IP paketlerini filtreleyen yönlendiriciler aracılığıyla filtreleyen paket filtreleri;

· Ağdaki belirli hizmetlere erişimi engelleyen uygulama düzeyinde sunucular.

Bu nedenle, bir güvenlik duvarı, iki ağ arasında yer alan ve aşağıdaki özelliklere sahip bir bileşenler topluluğu veya bir sistem olarak tanımlanabilir:

· Dahili ağdan hariciye ve harici ağdan dahiliye olan tüm trafik bu sistemden geçmelidir;

· Yalnızca yerel koruma stratejisi tarafından tanımlanan trafik bu sistemden geçebilir;

"Bilgi Güvenliğinin Temelleri"nin ilk bölümünde, bilgi güvenliğine yönelik başlıca tehdit türlerini inceledik. Bilgiyi koruma araçlarını seçmeye başlamamız için, bilgi kavramına neyin atfedilebileceğini daha ayrıntılı olarak ele almak gerekir.

Bilgi ve sınıflandırılması

"Bilgi"nin birçok tanımı ve sınıflandırması vardır. En kısa ve aynı zamanda geniş tanım 27 Temmuz 2006 tarihli federal yasada verilmiştir. 149-FZ(29 Temmuz 2017'de değiştirildiği şekliyle), madde 2: Bilgi, sunum biçiminden bağımsız olarak bilgidir (mesajlar, veriler).

Bilgi birkaç türe ayrılabilir ve erişim kategorisine bağlı olarak alt bölümlere ayrılır. halka açık bilgiler, erişimin sınırlı olduğu bilgilerin yanı sıra - gizli veriler ve devlet sırları.

Bilgi, sağlanması veya dağıtılması prosedürüne bağlı olarak, bilgilere bölünür:

  1. Serbestçe yeniden dağıtılabilir
  2. Kişilerin mutabakatı ile sağlanır ilgili ilişkide yer alan
  3. Hangi federal yasalara göre kullanılabilir hale getirilecek veya dağıtılacak
  4. Rusya Federasyonu'ndaki dağıtım sınırlı veya yasak
Randevu bilgileri aşağıdaki türlerdendir:
  1. Yığın- Önemsiz bilgiler içerir ve toplumun çoğu tarafından anlaşılan bir dizi kavramla çalışır.
  2. Özel- toplumun çoğunluğu tarafından anlaşılmayabilecek, ancak bu bilgilerin kullanıldığı dar sosyal grup içinde gerekli ve anlaşılabilir olan belirli bir dizi kavram içerir.
  3. Gizli- dar bir insan grubuna ve kapalı (korumalı) kanallar aracılığıyla erişim sağlanan.
  4. Kişisel (özel)- bir kişi hakkında sosyal durumu ve sosyal etkileşim türlerini belirleyen bir dizi bilgi.
Bilgi koruma araçları, erişimin sınırlı olduğu bilgilere doğrudan uygulanmalıdır - bu devlet sırları ve gizli veriler.

21 Temmuz 1993 tarihli Rusya Federasyonu yasalarına göre N 5485-1 (03/08/2015 tarihinde değiştirilen şekliyle) "Devlet sırları hakkında" Madde 5. "Devlet sırrı oluşturan bilgilerin listesi"şu anlama gelir:

  1. Askeri alanda bilgiler.
  2. Ekonomi, bilim ve teknoloji alanında bilgi.
  3. Dış politika ve ekonomi alanında bilgiler.
  4. İstihbarat, karşı istihbarat ve operasyonel arama faaliyetleri ile terörle mücadele alanında ve haklarında devlet koruma önlemlerinin uygulanmasına karar verilen kişilerin güvenliğinin sağlanması alanında bilgiler.
Gizli bilgi teşkil edebilecek bilgilerin listesi, başkanlık kararnamesi 6 Mart 1997 №188 (13 Temmuz 2015'te değiştirildiği şekliyle) “Gizli bilgi listesinin onaylanması üzerine”.

Gizli veriler- bu, devletin yasalarına ve şirketin bağımsız olarak belirlediği normlara göre erişimi sınırlı olan bilgilerdir. Aşağıdaki gizli veri türleri ayırt edilebilir:

  • Kişisel gizli veriler: Bir vatandaşın özel hayatının gerçekleri, olayları ve koşulları hakkında, federal yasalarla belirlenen durumlarda medyada yayılmaya konu olan bilgiler hariç, kimliğinin (kişisel veriler) tanımlanmasına izin veren bilgiler. Bunun tek istisnası, medyada yayılan bilgilerdir.
  • Hizmet gizli verileri: Rusya Federasyonu Medeni Kanunu ve federal yasalar (resmi sır) uyarınca erişimi devlet yetkilileri tarafından sınırlandırılan resmi bilgiler.
  • Adli gizli veriler: Yargıçların, kolluk görevlilerinin ve düzenleyici kurumların devlet koruması hakkında. Mağdurların, tanıkların ve cezai takibattaki diğer katılımcıların devlet koruması hakkında. Hükümlülerin kişisel dosyalarında yer alan bilgiler ve 2 Ekim 2007 tarihli 229-FZ sayılı Federal Kanun uyarınca kamuya açık olan bilgiler hariç, adli işlemlerin, diğer organların ve yetkililerin eylemlerinin zorunlu icrası hakkında bilgiler "İcra İşlemleri Hakkında"...
  • Ticari gizli veriler: Ticaret (kâr) ile ilgili ve erişimi kanunla sınırlanan her türlü bilgi veya bir buluşun, faydalı modelin veya endüstriyel tasarımın özüne ilişkin bilgiler, bunlar hakkında işletme tarafından resmi olarak yayımlanmadan önce (gizli gelişmeler, üretim teknolojileri) , vesaire.).
  • Profesyonel gizli veriler: Rusya Federasyonu Anayasası ve federal yasalar uyarınca erişimi sınırlı olan mesleki faaliyetlerle ilgili bilgiler (tıbbi, noter, avukat sırları, yazışmaların gizliliği, telefon görüşmeleri, postalar, telgraf veya diğer mesajlar vb.)


Şekil 1. Bilgi türlerinin sınıflandırılması.

Kişisel bilgi

Ayrı olarak, dikkat etmeye ve kişisel verileri dikkate almaya değer. 27.07.2006 tarihli federal yasaya göre 152-FZ(29 Temmuz 2017'de değiştirildiği şekliyle) "Kişisel veriler hakkında", Madde 4: Kişisel bilgi Belirli veya kimliği belirlenebilir bir kişiyle (kişisel verilerin konusu) doğrudan veya dolaylı olarak ilgili herhangi bir bilgidir.

Kişisel verilerin operatörü,- kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren diğer kişilerle bağımsız olarak veya ortaklaşa bir devlet organı, bir belediye organı, bir tüzel kişilik veya bir şahıs, ayrıca kişisel verilerin işlenme amaçlarının belirlenmesi, kişisel verilerin bileşimi işlenecek veriler, kişisel verilerle gerçekleştirilen eylemler (işlemler).

Kişisel veri işleme- toplama, kaydetme, sistematize etme, biriktirme, depolama, açıklama (güncelleme, değiştirme) dahil olmak üzere kişisel verilerle otomasyon araçları kullanılarak veya bu tür araçlar kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya bir dizi eylem (operasyon), çıkarma, kullanma, aktarma (dağıtım, sağlama, erişim), duyarsızlaştırma, engelleme, silme, kişisel verilerin imhası.

Kişisel verileri işleme hakları, devlet organları, federal yasalar, Roskomnadzor veya FSTEC tarafından verilen kişisel verilerle çalışma lisanslarına ilişkin düzenlemelerde yer almaktadır.

Çok çeşitli kişilerin kişisel verileriyle profesyonel olarak çalışan şirketler, örneğin sanal sunucuların barındırma şirketleri veya telekom operatörleri, Roskomnadzor tarafından tutulan sicile girmelidir.

Örneğin, sanal sunucular VPS.HOUSE barındırma hizmetimiz, Rusya Federasyonu mevzuatı çerçevesinde ve Federal İletişim, Bilgi Teknolojileri ve Kitle İletişim Denetleme Hizmetinin 25 Aralık 2015 tarih ve 139322 sayılı lisanslarına uygun olarak faaliyet göstermektedir. (Telematik iletişim hizmetleri) ve 25 Aralık 2015 tarih ve 139323 sayılı (ses bilgilerini iletmek amacıyla veri iletimi için iletişim hizmetleri hariç, veri iletimi için iletişim hizmetleri).

Buna dayanarak, kişisel verilerle ilgili bilgilerin belirtildiği ve daha sonra işlendiği bir kullanıcı kayıt formu bulunan herhangi bir site, kişisel verilerin operatörüdür.

Kanunun 7. maddesi dikkate alınarak 152-FZ"Kişisel verilerde", kişisel verilere erişim elde eden operatörler ve diğer kişiler, federal yasa tarafından aksi belirtilmedikçe, üçüncü taraflara ifşa etmemek ve kişisel verilerin konusunun rızası olmadan kişisel verileri dağıtmamakla yükümlüdür. Buna göre, herhangi bir kişisel veri operatörü, bu bilgilerin gerekli güvenliğini ve gizliliğini sağlamakla yükümlüdür.

Bilgi güvenliğinin ve gizliliğinin sağlanması için hangi ortamların mevcut, hangilerine erişimin açık hangilerinin kapalı olduğunun belirlenmesi gerekmektedir. Buna göre, ortam türüne bağlı olarak koruma yöntemleri ve araçları da seçilir.

Ana depolama ortamı:

  • İnternetteki basılı ve elektronik medya, sosyal ağlar, diğer kaynaklar;
  • Arkadaşlıkları, aileleri, mesleki bağları temelinde bilgiye erişimi olan kurum çalışanları;
  • Bilgileri ileten veya depolayan iletişim tesisleri: telefonlar, otomatik telefon santralleri, diğer telekomünikasyon ekipmanları;
  • Her türden belge: kişisel, resmi, devlet;
  • Bağımsız bir bilgi nesnesi olarak yazılım, özellikle sürümü belirli bir şirket için özel olarak değiştirilmişse;
  • Verileri otomatik olarak işleyen elektronik depolama ortamı.
Hangi bilgilerin korumaya tabi olduğunu, bilgi taşıyıcılarını ve ifşası sırasında olası zararları belirledikten sonra gerekli koruma araçlarını seçebilirsiniz.

Bilgi güvenliği sınıflandırması


27 Temmuz 2006 tarihli federal yasaya göre 149-FZ(29 Temmuz 2017'de değiştirildiği şekliyle) "Bilgi, bilgi teknolojisi ve bilgi koruması hakkında", Madde 7, Madde 1. ve Madde 4:

1. Bilginin korunması temsil etmek yasal, organizasyonel ve teknik önlemlerin alınması, hedeflenen:

  • Güvenlik bilgilerin yetkisiz erişimden, yok edilmesinden, değiştirilmesinden, engellenmesinden, kopyalanmasından, sağlanmasından, dağıtımından ve ayrıca bu tür bilgilerle ilgili diğer yasa dışı eylemlerden korunması;
  • uyma kısıtlı bilgilerin gizliliği;
  • uygulama bilgiye erişim hakkı.
4. Bilgi sahibi, bilgi sistemi operatörü Rusya Federasyonu mevzuatı ile belirlenen durumlarda, sağlamakla yükümlüdürler:
  • önleme bilgilere yetkisiz erişim ve (veya) bilgiye erişim hakkı olmayan kişilere aktarılması;
  • zamanında tespit etme bilgilere yetkisiz erişim gerçekleri;
  • Bir uyarı bilgiye erişim prosedürünün ihlalinin olumsuz sonuçları olasılığı;
  • kaçınmak teknik bilgi işleme araçları üzerindeki etkisi, bunun sonucunda işlevlerinin kesintiye uğraması;
  • Hemen yapma imkanı kurtarma yetkisiz erişim nedeniyle değiştirilen veya yok edilen bilgiler;
  • Devamlı kontrol bilgi güvenliği seviyesinin sağlanması;
  • bulma Rusya Federasyonu topraklarında, Rusya Federasyonu vatandaşlarının kişisel verilerinin toplanması, kaydedilmesi, sistemleştirilmesi, toplanması, depolanması, açıklığa kavuşturulması (güncelleme, değişiklik), çıkarılmasının gerçekleştirildiği bilgi veritabanları (madde 7) 21 Temmuz 2014 tarihli Federal Yasa ile tanıtıldı 242-FZ).
yasaya dayalı 149-FZ bilgi koruması ayrıca birkaç seviyeye ayrılabilir:
  1. yasal seviye devlet veri koruma standartlarına uyumu sağlar ve telif hakkı, yönetmelikler, patentler ve iş tanımlarını içerir.
    İyi yapılandırılmış bir güvenlik sistemi, kullanıcı haklarını ve veri işleme standartlarını ihlal etmez.
  2. Organizasyonel seviye gizli bilgilerle kullanıcıların çalışmaları için düzenlemeler oluşturmanıza, personel seçmenize, dokümantasyon ve veri taşıyıcıları ile çalışma düzenlemenize olanak tanır.
    Kullanıcıların gizli bilgilere sahip çalışmasına ilişkin kurallara erişim kontrol kuralları denir. Kurallar, güvenlik hizmeti ve güvenlik sistemini uygulayan tedarikçi ile birlikte şirket yönetimi tarafından belirlenir. Amaç, örneğin gizli bir belgeyi okuma, düzenleme, aktarma hakkı gibi her kullanıcı için bilgi kaynaklarına erişim koşulları yaratmaktır.
    Erişim kontrol kuralları, organizasyon düzeyinde geliştirilir ve sistemin teknik bileşeni ile çalışma aşamasında uygulanır.
  3. teknik seviye geleneksel olarak fiziksel, donanım, yazılım ve matematiksel (kriptografik) olarak ayrılmıştır.

Bilgi güvenliği araçları

Bilgi güvenliği araçları ikiye bölmek adettendir normatif (resmi olmayan) ve teknik (resmi).

Gayri resmi bilgi koruma araçları

Bilgileri korumak için gayri resmi yollarla- düzenleyici (yasama), idari (örgütsel) ve ahlaki ve etik atfedilebilecek araçlar: belgeler, kurallar, olaylar.

Yasal dayanak ( yasama araçları) bilgi güvenliği devlet tarafından sağlanmaktadır. Bilgi koruması, uluslararası sözleşmeler, Anayasa, "Bilgi, bilgi teknolojisi ve bilgi koruması hakkında" federal yasalar, Rusya Federasyonu "Güvenlik hakkında", "İletişim hakkında", "Devlet sırları hakkında" ve çeşitli tüzüklerle düzenlenir.

Ayrıca, bilgi güvenliğinin yasal dayanağı olarak yukarıda sayılan kanunlardan bazıları tarafımızca verilmiş ve tartışılmıştır. Bu yasalara uyulmaması, önemli sonuçlara yol açabilecek bilgi güvenliğine yönelik tehditler doğurur ve bu da bu yasalara göre cezai sorumluluk noktasına kadar cezalandırılabilir.

Devlet ayrıca bilgi güvenliği alanında mevzuat hükümlerinin ihlali durumunda sorumluluk ölçüsünü belirleyecektir. Örneğin, Rusya Federasyonu Ceza Kanunu'ndaki "Bilgisayar bilgileri alanındaki suçlar" başlıklı 28. bölüm üç madde içermektedir:

  • Madde 272 “Bilgisayar Bilgilerine Yasadışı Erişim”;
  • Madde 273 "Kötü amaçlı bilgisayar programlarının oluşturulması, kullanılması ve dağıtılması";
  • Madde 274 "Bilgisayar bilgilerinin ve bilgi ve telekomünikasyon ağlarının depolanması, işlenmesi veya iletilmesine ilişkin kuralların ihlali."
İdari (örgütsel) olaylar, bilgiyi korumak için güvenilir bir mekanizma oluşturmada önemli bir rol oynar. Gizli bilgilerin yetkisiz kullanım olasılığı büyük ölçüde teknik yönlerle değil, kötü niyetli eylemlerle belirlenir. Örneğin, kullanıcıların veya güvenlik personelinin ihmali, ihmali ve ihmali.

Bu yönlerin etkisini azaltmak için, gizli bilgilere yönelik tehdit olasılığını ortadan kaldıracak veya en aza indirecek bir dizi kurumsal, yasal ve kurumsal ve teknik önlem gereklidir.

Güvenlik görevlileri için bilgilerin korunmasına yönelik bu idari ve organizasyonel faaliyette yaratıcılık için bir alan vardır.

Bunlar, toplantı odalarını ve yönetim ofislerini gizlice dinlemeye karşı korumaya ve bilgiye çeşitli düzeylerde erişim sağlamaya yardımcı olan mimari ve planlama çözümleridir.

Personel faaliyetlerinin düzenlenmesi açısından, İnternet'e, harici e-postaya ve diğer kaynaklara erişim için bir talep sistemi formüle etmek önemli olacaktır. Devlet kurumlarına e-posta yoluyla iletilen mali ve diğer bilgilerin güvenliğini artırmak için elektronik bir dijital imzanın alınması ayrı bir unsur olacaktır.

Ahlaki ve etik değerlere doğru araçlar, toplumda hakim olana veya uyulması bilginin korunmasına katkıda bulunan belirli bir toplu ahlaki standartlara veya etik kurallara atfedilebilir ve bunların ihlali, toplumdaki veya kolektifteki davranış kurallarına uyulmaması ile eşittir. Bu normlar, yasal olarak onaylanmış normlar gibi zorunlu değildir, ancak bunlara uyulmaması, bir kişi veya kuruluşun otoritesinde, prestijinde düşüşe yol açar.

Bilgileri korumanın resmi yolları

resmi çareler Fiziksel, donanım, yazılım ve kriptografik olarak ayrılabilen özel donanım ve yazılımlardır.

Bilgi korumanın fiziksel araçları Bilgi sistemlerinden bağımsız olarak çalışan ve bunlara erişimde engel oluşturan mekanik, elektrik ve elektronik mekanizmalardır.

Elektronik olanlar, ekranlar, panjurlar dahil olmak üzere kilitler, istikrarsızlaştırıcı faktörlerin sistemlerle teması için engeller oluşturacak şekilde tasarlanmıştır. Grup, güvenlik sistemleri, örneğin video kameralar, video kaydediciler, bilgileri kaldırmak için teknik araçların bulunduğu bölgedeki elektromanyetik radyasyon seviyesinin hareketini veya fazlalığını algılayan sensörler ile desteklenir.

Bilgi güvenliği donanımı- bunlar, bilgi ve telekomünikasyon sistemlerinde yerleşik olan herhangi bir elektrikli, elektronik, optik, lazer ve diğer cihazlardır: özel bilgisayarlar, çalışan kontrol sistemleri, sunucuların ve kurumsal ağların korunması. Bilgiyi maskelemek de dahil olmak üzere bilgiye erişimi engellerler.

Donanım şunları içerir: gürültü üreteçleri, aşırı gerilim koruyucular, tarama radyoları ve potansiyel bilgi sızıntısı kanallarını "bloke eden" veya bunların tespit edilmesini sağlayan diğer birçok cihaz.

Bilgi güvenliği yazılımı Bilgi güvenliği ile ilgili sorunları çözmek için tasarlanmış basit ve karmaşık programlardır.

DLP sistemleri ve SIEM sistemleri, karmaşık çözümlerin örnekleridir.

DLP sistemleri("Veri Sızıntısını Önleme" kelimenin tam anlamıyla "veri sızıntısını önleme" anlamına gelir) sırasıyla sızıntıyı önlemeye, bilgileri yeniden biçimlendirmeye ve bilgi akışlarını yeniden yönlendirmeye hizmet eder.

SIEM sistemleri("Güvenlik Bilgileri ve Olay Yönetimi", "Olay Yönetimi ve Bilgi Güvenliği" anlamına gelir) ağ cihazlarından ve uygulamalarından kaynaklanan güvenlik olaylarının (alarmlar) gerçek zamanlı analizini sağlar. SIEM, uygulamalar, araçlar veya hizmetler tarafından temsil edilir ve ayrıca diğer iş verileriyle uyumluluk için veri kaydı ve raporlama için kullanılır.

Yazılım, donanım aygıtlarının gücünü talep ediyor ve kurulum sırasında ek yedekler sağlanmalıdır.

Matematiksel (kriptografik)- kurumsal veya küresel bir ağ üzerinden güvenli aktarım için kriptografik ve kelimesi kelimesine veri koruma yöntemlerinin uygulanması.

Kriptografi, verileri korumanın en güvenilir yollarından biri olarak kabul edilir, çünkü bilgiye erişimi değil, bilginin kendisini korur. Kriptografik olarak dönüştürülmüş bilgi, artırılmış koruma derecesine sahiptir.

Kriptografik bilgi koruma araçlarının tanıtılması, mimarisi ve bileşimi belirli bir müşterinin ihtiyaçlarına, yasal gereksinimlere, görevlere ve gerekli yöntemlere ve şifreleme algoritmalarına göre belirlenen bir yazılım ve donanım kompleksinin oluşturulmasını sağlar.

Bu, şifreleme yazılımı bileşenlerini (şifreleme sağlayıcıları), VPN organizasyon araçlarını, kimlik bilgilerini, anahtar oluşturma ve doğrulama araçlarını ve elektronik dijital imzaları içerebilir.

Şifreleme araçları, GOST şifreleme algoritmalarını destekleyebilir ve gerekli koruma derecesine, düzenleyici çerçeveye ve harici sistemler de dahil olmak üzere diğerleriyle uyumluluk gereksinimlerine bağlı olarak gerekli kripto koruma sınıflarını sağlayabilir. Aynı zamanda, şifreleme araçları, dosyalar, dosyalı dizinler, fiziksel ve sanal ortamlar, sunucular ve bir bütün olarak veri depolama sistemleri dahil olmak üzere tüm bilgi bileşenleri kümesi için koruma sağlar.

İkinci bölümün sonunda, bilgiyi korumanın ana yöntem ve araçlarını ve ayrıca bilgilerin sınıflandırılmasını kısaca ele alarak şunları söyleyebiliriz: Bilgi güvenliğinin sağlanmasının bir kez daha iyi bilinen tezin bir kez daha doğrulanması hakkında. koruma bilgilerinin tüm yönlerini içeren, oluşturulmasına ve sağlanmasına en dikkatli ve ciddi şekilde yaklaşılması gereken bir önlemler kompleksidir.

Altın Kural'a kesinlikle uyulmalı ve hiçbir koşulda ihlal edilmemelidir - bu entegre bir yaklaşımdır.

Bilgi koruma araçlarının daha görsel bir temsili için, yani bölünemez bir dizi önlem olarak, yapı taşlarının her biri belirli bir segmentte bilgi koruması olan aşağıda Şekil 2'de sunulmuştur, tuğlalardan birini kaldırın ve bir güvenlik tehdidi ortadan kalkacaktır. kalkmak.


Şekil 2. Bilgi güvenliği araçlarının sınıflandırılması.

Bilgi güvenliği yazılımları, bir bilgi sistemindeki bilgileri korumak için tasarlanmış özel programlar ve yazılım sistemleridir.

Yazılım, kullanıcı tanımlama, erişim kontrolü, geçici dosyalar gibi artık (çalışan) bilgilerin kaldırılması, güvenlik sisteminin test kontrolü ve diğerleri için programlar içerir. Yazılımın avantajları çok yönlülük, esneklik, güvenilirlik, kurulum kolaylığı, değiştirme ve geliştirme yeteneğidir.

Dezavantajlar - dosya sunucusunun ve iş istasyonlarının bazı kaynaklarının kullanımı, yanlışlıkla veya kasıtlı değişikliklere karşı yüksek hassasiyet, bilgisayar türlerine (donanımlarına) olası bağımlılık.

Yazılım koruma yazılımı şunları içerir:

· Yerleşik bilgi güvenliği araçları, kullanıcıların yetkilendirilmesini ve kimlik doğrulamasını (şifre ile sisteme giriş), erişim haklarının farklılaştırılmasını, yazılımın kopyalanmaya karşı korunmasını, belirtilen formata göre doğru veri girişini vb. gerçekleştiren araçlardır.

Ek olarak, bu araç grubu, bilgisayar çok programlı modda çalışırken, belleğinde aynı anda birkaç program çalışabildiğinde, bir programın başka bir programın çalışması üzerindeki etkisine karşı koruma sağlamak için işletim sisteminin yerleşik araçlarını içerir. , kesintiler sonucunda dönüşümlü olarak kontrol alıyor. ... Bu programların her birinde, diğer programların işlevlerinin performansını etkileyebilecek arızalar (hatalar) olasıdır. İşletim sistemi kesintileri ve çoklu programlamayı yönetir. Bu nedenle, işletim sistemi, örneğin bir bellek koruma mekanizması ve ayrıcalıklı veya kullanıcı modunda program yürütme dağıtımını kullanarak kendisini ve diğer programları bu tür etkilerden korumalıdır;

· Koruma sisteminin yönetimi.

En uygun yazılım ve donanım bilgi koruma araçlarını oluşturmak için aşağıdaki aşamalardan geçmek gerekir:

· Korunacak bilgi ve teknik kaynakların belirlenmesi;

· Tüm potansiyel tehditlerin ve bilgi sızıntısı kanallarının tanımlanması;

· Çeşitli tehditler ve sızıntı kanallarının mevcudiyetinde bilginin güvenlik açığını ve risklerini değerlendirmek;

· Koruma sistemi için gereksinimlerin tanımı;

· Bilgi koruma araçlarının ve özelliklerinin seçiminin yapılması;

· Seçilen önlemlerin, yöntemlerin ve koruma araçlarının kullanımının uygulanması ve organizasyonu;

· Bütünlük kontrolünün uygulanması ve koruma sisteminin yönetimi.

Bilgi bugün pahalıdır ve korunması gerekir. Bilgi, istisnasız tüm insanların mülkiyetindedir ve bu kişiler tarafından kullanılmaktadır. Her insan, hangi bilgileri alması gerektiğine, hangi bilgilerin başkaları için mevcut olmaması gerektiğine kendisi karar verir. Bilgi kaybını önlemek için, onunla çalışmanın tüm aşamalarında kullanılan, onu hasardan ve dış etkilerden koruyan çeşitli teknik koruma yöntemleri geliştirilmektedir.