Protection des informations dans les systèmes et les réseaux. Outils logiciels pour protéger les informations dans les réseaux. Il est nécessaire de mettre en œuvre une extraction de données en ligne, dont le contrôle d'intégrité est justifié

Aujourd'hui, pas une seule entreprise constituée d'entreprises qui réalisent une partie du cycle global de production, un réseau commercial ou un système comptable ne peut se passer d'un échange de données via Internet.

Il peut s'agir soit d'un trafic d'informations entre des points de traitement distincts, soit de la création d'un seul centre de stockage.

Dans chaque cas, vous avez besoin d'une protection des informations soigneusement pensée sur Internet, ce qui peut vous éviter de nombreux problèmes et pertes financières.

Risques découlant d'une utilisation non protégée d'Internet

Il est presque impossible d'énumérer exactement les dangers qui peuvent surgir si la protection des informations sur Internet n'est pas organisée ou mal organisée.

Chaque cas individuel est généralement une combinaison, souvent la combinaison la plus désagréable de plusieurs facteurs.

Une courte liste d'entre eux peut être formulée comme suit:

• obtenir un accès non autorisé à l'information;
• vol de données critiques;
• substitution ou changement délibéré d'informations dans le stockage ou directement pendant la transmission;
• suppression malveillante de données importantes;
• la divulgation d'informations confidentielles après y avoir eu accès par diverses méthodes;
• cryptage délibéré des données à des fins de chantage ultérieur, d'extorsion.

Lors de l'organisation d'un système de mesures de conservation des données qui lira attentivement toutes les lois sur la protection des informations sur Internet, il convient de comprendre les domaines problématiques existants.

Préserver les informations de l'entreprise en les rachetant aux cybercriminels

L'un concerne le facteur humain, l'autre les modalités de transfert, le troisième formule le schéma d'organisation du stockage.

Qui a besoin de protection des informations

Il faut comprendre que chacun, sans exception, a besoin d'un moyen de protéger les informations sur Internet.

Le vol ou l'accès à des données personnelles par des personnes non autorisées peut entraîner diverses conséquences.

Par exemple, il existe des cas répandus de construction d'une personnalité fictive engagée dans une activité criminelle sur Internet et fonctionnant constamment avec les informations d'identification d'une autre personne.

Un autre danger est l'atteinte délibérée à la réputation, les pertes matérielles par la vente de biens immobiliers personnels, l'obtention de prêts, etc.

Par conséquent, la protection des informations personnelles sur Internet est aujourd'hui réglementée par des actes législatifs.

Mais cela ne signifie pas que chaque personne ne doit pas suivre personnellement les règles de traitement, de transfert et de stockage des données.

Mais surtout, le système de sécurité de l'information sur Internet est nécessaire aux entreprises industrielles et commerciales.

En cas d'accès non autorisé aux données, de leur vol, de modification délibérée, une grande variété de cas dangereux peuvent survenir:

1. Dommages à la qualité des marchandises résultant de modifications des paramètres clés du processus de production ou des matières premières
2. Violation des obligations assumées en raison de la violation de la logistique des fournitures, des changements de qualité, de la perturbation des délais contractuels.
3. Dommages directs dus à l'espionnage industriel, vente directe de développements à des concurrents.
4. Dommages indirects dus à la divulgation de plans de développement et d'autres données stratégiques.
5. Les dommages complets lors du vol, du cryptage des données à des fins de chantage, d'extorsion, qui entraîne des pertes financières directes, sont lourds de conséquences de l'espionnage industriel, de la perturbation des processus de travail et bien plus encore.

La liste ci-dessus, bien que incomplète, permet de comprendre suffisamment pourquoi les problèmes de protection des informations sur Internet par les grandes entreprises sont pris très au sérieux. Afin de réduire les dommages potentiels à un minimum prévisible, des complexes de contre-mesures suffisamment développés sont développés et mis en œuvre.

Méthodes et moyens de base pour protéger les informations sur Internet

La liste précise des mesures à prendre et les technologies sélectionnées pour protéger les informations sur Internet dépendent de nombreux facteurs.

Cela peut être la nature des informations, la méthode de leur séparation et de leur stockage, le format des moyens techniques utilisés, et bien plus encore. Cependant, dans la pratique, toutes les décisions sont conventionnellement formalisées et divisées en grandes catégories.

Matériel

Le matériel est utilisé à tous les niveaux organisationnels. Cependant, il est particulièrement important d'organiser correctement le stockage des informations.

La tâche matérielle est:

• fournir la vitesse requise d'accès aux données;
• assurer la bonne vitesse des systèmes de règlement;
• assurer l'intégrité des données et une garantie de leur conservation en cas de défaillance des installations de stockage individuelles;
• organiser la sauvegarde, la récupération rapide des informations en cas de panne;
• assurer l'interaction avec les moyens de communication;
• réagir et minimiser les dommages dans les situations d'urgence (incendie, inondation);
• maintenir le fonctionnement de l'équipement principal lors de la déconnexion de la source d'énergie principale (générateurs, alimentations sans coupure).
• gérer les demandes des utilisateurs connectés.

Dans les stockages de données, des serveurs équipés de matrices RAID et de disques aux performances requises sont utilisés pour résoudre les tâches assignées.

Le principe de la duplication des systèmes clés est nécessairement mis en œuvre à un degré ou à un autre. Des contrôleurs de réseau, des périphériques de distribution et bien plus encore sont utilisés.

Image montrant le travail du pare-feu (pare-feu)

Les technologies matérielles de protection des informations sur Internet comprennent également les pare-feu, le matériel contrôlé par logiciel, les systèmes d'identification, le contrôle d'accès et bien plus encore.

Logiciel

Le domaine logiciel est le plus étendu. Le choix d'une liste de packages particulière dépend des plates-formes utilisées et des systèmes d'exploitation adoptés par le mécanicien d'accès.

La liste moyenne des mesures de protection comprend:

1. un système pour détecter les attaques de réseau et les tentatives d'accès non autorisé à un nœud dans le cadre d'un équipement contrôlé par logiciel;
2. complexes de chiffrement (logiciels ou matériels);
3. des moyens d'authentification, des clés électroniques et des systèmes pour travailler avec eux;
4. contrôles d'accès, qui peuvent inclure du matériel.

En pratique, un ensemble d'outils logiciels correctement sélectionné peut pratiquement exclure une attaque directe sur le stockage ou un nœud séparé du système de traitement de données.

Les mesures de sécurité comprennent également des protocoles de communication cryptés standard.

Mixte

Les protections mixtes sont conçues pour le réseau de stockage et de traitement lorsque la nature de la manipulation des données diffère pour différents groupes d'utilisateurs.

La liste des outils utilisés peut inclure des systèmes logiciels sur des lieux de travail distincts, des systèmes de séparation des droits et des niveaux d'accès au sein d'un même secteur et une structure générale de responsabilité.

L'utilisation de divers schémas d'interaction des artistes interprètes entre eux est populaire, ainsi que des méthodes de contrôle et de surveillance.

Le cas le plus simple de mesures de protection mixtes peut être attribué à l'utilisation obligatoire d'antivirus, de protocoles de transmission cryptés standard, de systèmes d'identification (y compris du matériel) avec un accès à plusieurs niveaux pour travailler avec des informations.

Organisationnel

Les mesures organisationnelles de protection de l'information comprennent le développement de schémas optimaux pour l'interaction du personnel avec l'information et la société.

Ceci comprend:

• élaboration d'instructions, de prescriptions, de schémas clairs pour travailler avec des données pour le personnel occupé;
• fournir au personnel un ensemble limité de logiciels certifiés et fiables;
• application obligatoire des principes de responsabilité pour la divulgation d'informations confidentielles;
• répartition des domaines de responsabilité de chaque unité de travail, classement des domaines de données disponibles, formulation du périmètre des actions disponibles;
• création de moyens pour empêcher la suppression accidentelle et délibérée d'informations;
• l'utilisation d'outils logiciels qui excluent complètement l'accès direct aux données;
• formulation sous forme d'instructions, de règles d'action pour les employés, de systèmes de sécurité pour travailler avec les médias internes, de règlements pour la suppression de la documentation;
• l'utilisation de moyens de vérification et d'authentification (clés électroniques).

Dans une approche proche du schéma de travail idéal avec le personnel, des contrôles constants des actions de chaque unité de travail sont effectués.

Dans ce cas, le salarié dispose d'un lieu de travail standardisé où est installé un ensemble de programmes régulés pour son niveau d'accès.

Les boîtiers d'ordinateurs et d'autres équipements électroniques, dont certaines parties peuvent servir de supports d'informations importantes, sont scellés et sous contrôle constant.

Dans les entreprises où le travail avec des données importantes est constamment effectué, il est recommandé d'introduire un système d'identification du personnel pour l'accès au réseau (locaux), basé sur des changements périodiques et sous un contrôle strict des laissez-passer électroniques et autres étiquettes.

Conclusion

Pour protéger les données sur Internet à l'aide des solutions matérielles et logicielles proposées sur le marché, vous pouvez construire un complexe efficace et tolérant aux pannes.

Mais cela vaut la peine de se rappeler: tous les pirates informatiques célèbres ont eu accès aux données en travaillant avec des gens et en exploitant leurs erreurs.

Par conséquent, il ne faut pas avoir honte du fait que la liberté du personnel est limitée à la limite dans l'entreprise pour des raisons de sécurité.

Tout ce qui peut empêcher les fuites, ainsi que la séparation de l'accès et de la responsabilité, peut aider à préserver les données importantes et éviter de graves problèmes.

Vidéo: "Film éducatif": protection de l'information

Les systèmes de protection de votre ordinateur contre l'intrusion de quelqu'un d'autre sont très divers et peuvent être classés en groupes tels que:

• - les moyens d'autoprotection fournis par le logiciel général;
• - des moyens de protection faisant partie d'un système informatique;
• - moyens de protection avec demande d'informations;
• - moyens de protection active;
• - moyens de protection passive, etc.

Les domaines suivants d'utilisation des programmes destinés à assurer la sécurité des informations confidentielles peuvent être distingués, en particulier, les suivants:

• - protection des informations contre tout accès non autorisé;
• - protection des informations contre la copie;
• - protection des programmes contre la copie;
• - protection des programmes contre les virus;
• - protection des informations contre les virus;
• - protection logicielle des canaux de communication.

Pour chacun de ces domaines, il existe un nombre suffisant de produits logiciels de haute qualité développés par des organisations professionnelles et distribués sur les marchés.

Le logiciel de protection comprend les types de programmes spéciaux suivants:

identification des moyens techniques, des fichiers et authentification des utilisateurs;

enregistrement et contrôle du fonctionnement des moyens techniques et des utilisateurs;

maintenance des modes de traitement de l'information restreints;

protection des outils d'exploitation PC et des applications utilisateur;

destruction d'informations dans la mémoire après utilisation;

signaler les violations de l'utilisation des ressources;

programmes de protection auxiliaire à des fins diverses

L'identification du matériel et des fichiers, réalisée par programmation, se fait sur la base de l'analyse des numéros d'enregistrement des différents composants et objets du système d'information et de leur comparaison avec les valeurs d'adresses et de mots de passe stockés dans la mémoire du système de contrôle.

Pour assurer la fiabilité de la protection par mot de passe, le fonctionnement du système de protection est organisé de telle manière que la probabilité de divulgation d'un mot de passe secret et d'établir une correspondance avec un fichier ou un identifiant de terminal particulier soit aussi faible que possible. Pour ce faire, vous devez modifier périodiquement le mot de passe et définir le nombre de caractères qu'il contient suffisamment grand.

Un moyen efficace pour identifier les éléments adressables et authentifier les utilisateurs est un algorithme de défi-réponse, selon lequel le système de sécurité émet une demande de mot de passe à l'utilisateur, après quoi il doit lui donner une réponse définitive. Étant donné que les moments de saisie d'une demande et d'y répondre sont imprévisibles, cela complique le processus de devinette du mot de passe, offrant ainsi une sécurité accrue.

L'obtention de l'autorisation d'accéder à certaines ressources peut être effectuée non seulement sur la base de l'utilisation d'un mot de passe secret et des procédures d'authentification et d'identification ultérieures. Cela peut être fait de manière plus détaillée, en tenant compte de divers

particularités des modes de fonctionnement des utilisateurs, leurs pouvoirs, catégories de données et ressources demandées. Cette méthode est mise en œuvre par des programmes spéciaux qui analysent les caractéristiques correspondantes des utilisateurs, le contenu des tâches, les paramètres du matériel et des logiciels, les dispositifs de mémoire, etc.

Les données spécifiques liées à la requête entrant dans le système de sécurité sont comparées lors du fonctionnement des programmes de sécurité avec les données saisies dans les tables secrètes d'enregistrement (matrices). Ces tables, ainsi que les programmes pour leur formation et leur traitement, sont stockées sous forme cryptée et sont sous le contrôle spécial de l'administrateur (administrateurs) de la sécurité du réseau d'information.

Pour différencier l'accès des utilisateurs individuels à une catégorie d'informations bien définie, des mesures individuelles du secret de ces fichiers et un contrôle spécial de l'accès des utilisateurs à ceux-ci sont appliqués. Le tampon de confidentialité peut être formé sous la forme de mots de code à trois bits, qui sont stockés dans le fichier lui-même ou dans une table spéciale. Le même tableau contient l'identifiant de l'utilisateur qui a créé le fichier, les identifiants du terminal à partir duquel le fichier est accessible, les identifiants des utilisateurs autorisés à accéder à ce fichier, ainsi que leurs droits d'utilisation du fichier (lecture, édition, effacement, mise à jour, exécution, etc.). Il est important d'éviter l'influence mutuelle des utilisateurs dans le processus d'accès aux fichiers. Si, par exemple, plusieurs utilisateurs ont le droit d'éditer la même notice, alors chacun d'eux doit sauvegarder exactement sa version de l'édition (plusieurs copies des notices sont réalisées à des fins d'analyse éventuelle et d'établissement des pouvoirs).

Sous logiciel de sécurité de l'information comprendre les programmes spéciaux inclus dans le logiciel KS exclusivement pour exécuter des fonctions de protection.

Les principaux outils logiciels de protection des informations comprennent:

Programmes d'identification et d'authentification des utilisateurs de la COP;

Programmes pour différencier l'accès des utilisateurs aux ressources de la COP;

Programmes de cryptage d'informations;

Programmes de protection des ressources d'information (logiciels système et d'application, bases de données, aides à la formation informatique, etc.) contre les modifications, l'utilisation et la copie non autorisées.

Notez que sous identification,en ce qui concerne la garantie de la sécurité de l'information de la COP, ils comprennent la reconnaissance sans équivoque du nom unique du sujet de la COP. Authentificationsignifie confirmation que le nom présenté correspond au sujet donné (confirmation de l'authenticité du sujet).

Exemples de logiciels auxiliaires pour la protection des informations:

Programmes de destruction d'informations résiduelles (en blocs de RAM, fichiers temporaires, etc.);

Programmes d'audit (tenue de registres d'enregistrement) des événements liés à la sécurité de la station de compression, pour assurer la possibilité de récupération et la preuve du fait de ces événements;

Programmes pour simuler le travail avec un délinquant (le distraire pour recevoir des informations supposées confidentielles);

Programmes de test pour surveiller la sécurité du CS, etc.

Les avantages des logiciels de sécurité de l'information comprennent:

Simplicité de réplication;

Flexibilité (la capacité de s'adapter à diverses conditions d'utilisation, en tenant compte des spécificités des menaces à la sécurité de l'information d'un CS spécifique);

Facilité d'utilisation - certains outils logiciels, tels que le cryptage, fonctionnent en mode «transparent» (invisible pour l'utilisateur), tandis que d'autres ne nécessitent aucune nouvelle compétence (par rapport à d'autres programmes) de la part de l'utilisateur;

Des opportunités quasi illimitées pour leur développement en apportant des modifications pour prendre en compte les nouvelles menaces à la sécurité de l'information

Figure: 1.1 Exemple de protection logicielle ancrée

Figure: 1.2. Un exemple de logiciel de sécurité de l'information intégré

Les inconvénients des logiciels de sécurité de l'information comprennent:

Diminution de l'efficacité de la COP en raison de la consommation de ses ressources nécessaires au fonctionnement des programmes de protection;

Mauvaises performances (par rapport aux protections matérielles qui exécutent des fonctions similaires, telles que le cryptage);

L'amarrage de nombreux outils de protection logicielle (et non leur intégré dans le logiciel du CS, Fig. 1.1 et 1.2), qui crée une possibilité fondamentale pour un intrus de les contourner;

Possibilité de modification malveillante de la protection logicielle pendant le fonctionnement du CS.

2.2.4 "Authentification de l'utilisateur"

Authentification des utilisateurs basée sur les mots de passe et le modèle de négociation

Lors du choix des mots de passe, les utilisateurs de la COP doivent être guidés par deux règles, en fait, mutuellement exclusives - les mots de passe doivent être difficiles à deviner et faciles à retenir (puisque le mot de passe ne doit jamais être écrit nulle part, car dans ce cas, il sera en outre nécessaire de résoudre le problème de la protection du support de mot de passe).

La difficulté de deviner un mot de passe est déterminée, tout d'abord, par la puissance du jeu de caractères utilisé lors du choix d'un mot de passe (N),et la longueur minimale du mot de passe possible (à).Dans ce cas, le nombre de mots de passe différents peut être estimé ci-dessous comme C p \u003d N k.Par exemple, si un ensemble de caractères de mot de passe forme des lettres latines minuscules et que la longueur minimale du mot de passe est de 3, alors C p \u003d26 3 \u003d 17576 (ce qui est assez important pour la sélection de logiciels). Si le jeu de caractères du mot de passe se compose de lettres latines minuscules et majuscules, ainsi que de chiffres, et que la longueur minimale du mot de passe est de 6, alors C p \u003d62 6 = 56800235584.

La complexité des mots de passe choisis par les utilisateurs du CS doit être définie par l'administrateur lors de la mise en œuvre de la politique de sécurité établie pour ce système. Les autres paramètres de stratégie de compte lors de l'utilisation de l'authentification par mot de passe doivent être:

Période de validité maximale du mot de passe (aucun secret ne peut être gardé secret pour toujours);

Non-concordance du mot de passe avec le nom d'utilisateur logique sous lequel il est enregistré dans le COP;

Non-répétabilité des mots de passe pour un utilisateur.

L'exigence de mots de passe non répétables peut être mise en œuvre de deux manières. Tout d'abord, vous pouvez définir la période de validité minimale du mot de passe (sinon, l'utilisateur qui est obligé de changer son mot de passe après la date d'expiration pourra immédiatement remplacer le mot de passe par l'ancien). Deuxièmement, vous pouvez maintenir une liste de mots de passe déjà utilisés par un utilisateur donné (la longueur maximale de la liste peut être définie par l'administrateur).

Malheureusement, il est presque impossible de garantir l'unicité réelle de chaque nouveau mot de passe sélectionné par l'utilisateur en utilisant les mesures ci-dessus. L'utilisateur peut, sans enfreindre les restrictions établies, sélectionner les mots de passe "Al", "A2", ... où A1 est le premier mot de passe utilisateur qui répond aux exigences de complexité.

Il est possible d'assurer un degré acceptable de complexité des mots de passe et leur véritable unicité en attribuant des mots de passe à tous les utilisateurs par l'administrateur du COP tout en interdisant simultanément à l'utilisateur de modifier le mot de passe. Pour générer des mots de passe, l'administrateur peut utiliser un générateur logiciel qui permet de créer des mots de passe de complexité variable.

Cependant, avec cette méthode d'attribution de mots de passe, des problèmes surviennent liés à la nécessité de créer un canal sécurisé pour transférer le mot de passe de l'administrateur à l'utilisateur, à la difficulté de vérifier que l'utilisateur n'enregistre pas le mot de passe sélectionné uniquement dans sa propre mémoire, et au potentiel pour l'administrateur, qui connaît les mots de passe de tous les utilisateurs, d'abuser de ses pouvoirs. Par conséquent, il est le plus opportun pour l'utilisateur de sélectionner un mot de passe basé sur les règles définies par l'administrateur avec la possibilité de définir un nouveau mot de passe par l'administrateur au cas où l'utilisateur aurait oublié son mot de passe.

Un autre aspect de la politique de compte d'utilisateur KS devrait être la définition de la résistance du système aux tentatives de deviner les mots de passe.

Les règles suivantes peuvent s'appliquer:

Limiter le nombre de tentatives de connexion;

Masquer le nom logique du dernier utilisateur connecté (connaître le nom logique peut aider l'intrus à deviner ou deviner son mot de passe);

Enregistre toutes les tentatives de connexion (réussies et infructueuses) dans le journal d'audit.

La réaction du système à une tentative de connexion utilisateur échouée peut être:

Bloquer le compte sous lequel la tentative de connexion est effectuée, si le nombre maximum de tentatives est dépassé (pendant une durée spécifiée ou jusqu'à ce que l'administrateur déverrouille manuellement le blocage);

Augmentation progressive du délai avant que l'utilisateur ne reçoive la prochaine tentative de connexion.

Lorsque vous saisissez ou modifiez le mot de passe d'un utilisateur pour la première fois, deux règles classiques s'appliquent généralement:

Les caractères du mot de passe saisi ne sont pas affichés à l'écran (la même règle s'applique à l'utilisateur qui saisit le mot de passe lors de sa connexion);

Pour confirmer l'exactitude de la saisie du mot de passe (en tenant compte de la première règle), cette saisie est répétée deux fois.

Pour stocker les mots de passe, ils peuvent être précryptés ou hachés.

Le cryptage du mot de passe présente deux inconvénients:

Puisqu'il est nécessaire d'utiliser une clé lors du chiffrement, il est nécessaire d'assurer son stockage sécurisé dans le CS (la connaissance de la clé de chiffrement du mot de passe permettra de le déchiffrer et un accès non autorisé aux informations est effectué);

Il existe un risque de déchiffrer un mot de passe et de l'obtenir en texte clair.

Le hachage est une transformation irréversible et la connaissance de la valeur de hachage du mot de passe ne donnera pas à un intrus la possibilité de l'obtenir en texte clair (il ne peut essayer de deviner le mot de passe qu'avec une fonction de hachage connue). Par conséquent, il est beaucoup plus sûr de stocker les mots de passe sous une forme hachée. L'inconvénient est qu'il n'y a même pas de possibilité théorique de récupérer un mot de passe oublié par un utilisateur.

Le deuxième exemple est l'authentification basée sur modèles de poignée de main... Lors de l'inscription dans le COP, l'utilisateur se voit proposer un ensemble de petites images (par exemple, des icônes), parmi lesquelles il doit sélectionner un nombre donné d'images. La prochaine fois qu'il se connecte au système, on lui présente un ensemble différent d'images, dont certaines qu'il a vues lors de l'inscription. Pour une authentification correcte, l'utilisateur doit marquer les photos qu'il a choisies lors de l'inscription.

Avantages de l'authentification basée sur le modèle de négociation par rapport à l'authentification par mot de passe:

Aucune information confidentielle n'est transférée entre l'utilisateur et le système, qui doit être gardé secret, je

Chaque session de connexion utilisateur suivante est différente de la précédente, de sorte que même la surveillance à long terme de ces sessions ne fera rien à l'intrus.

Les inconvénients de l'authentification basée sur le modèle "handshake" incluent la durée plus longue de cette procédure par rapport à l'authentification par mot de passe.

Authentification des utilisateurs par leurs caractéristiques biométriques

Les principales caractéristiques biométriques des utilisateurs CS pouvant être utilisées pour leur authentification sont les suivantes:

Empreintes;

Forme géométrique de la main;

Motif d'iris;

Dessin rétinien;

Forme géométrique et taille du visage;

La forme géométrique et la taille de l'oreille, etc.

Les plus courants sont les logiciels et le matériel pour l'authentification des utilisateurs par leurs empreintes digitales. Pour lire ces impressions, des claviers et des souris équipés de scanners spéciaux sont généralement utilisés. La présence de banques de données suffisamment grandes avec empreintes digitales des citoyens est la principale raison de l'utilisation assez répandue de ces moyens d'authentification dans les agences gouvernementales, ainsi que dans les grandes organisations commerciales. L'inconvénient de ces outils est la possibilité d'utiliser les empreintes digitales des utilisateurs pour contrôler leur vie privée.

Si pour des raisons objectives (par exemple, en raison de la pollution des locaux dans lesquels l'authentification est effectuée), il est impossible d'obtenir une empreinte digitale claire, alors une authentification basée sur la forme géométrique de la main de l'utilisateur peut être utilisée. Dans ce cas, des scanners peuvent être installés sur le mur de la pièce.

Les plus fiables (mais aussi les plus coûteux) sont les moyens d'authentification de l'utilisateur basés sur les caractéristiques de l'œil (motif d'iris ou motif rétinien). La probabilité de récurrence de ces signes est estimée à 10 -78.

Les moyens d'authentification les moins chers (mais aussi les moins fiables) sont basés sur la forme géométrique et la taille du visage de l'utilisateur ou sur le timbre de sa voix. Cela permet d'utiliser ces outils pour l'authentification lorsque les utilisateurs accèdent à distance au CS.

Les principaux avantages de l'authentification des utilisateurs en fonction de leurs caractéristiques biométriques;

La difficulté de falsifier ces signes;

Haute fiabilité de l'authentification en raison du caractère unique de ces fonctionnalités;

Inséparabilité des caractéristiques biométriques de l'identité de l'utilisateur.

Pour comparer l'authentification des utilisateurs sur la base de certaines caractéristiques biométriques, des estimations des probabilités d'erreurs du premier et du second type sont utilisées. La probabilité d'une erreur du premier type (refus d'accès au COP à un utilisateur légal) est de 10 -6 ... 10 -3. La probabilité d'une erreur du second type (admission au travail dans le CS d'un utilisateur non enregistré) dans les systèmes modernes d'authentification biométrique est de 10 -5 ... 10 -2.

Un inconvénient commun des moyens d'authentification des utilisateurs CS en termes de leurs caractéristiques biométriques est leur coût plus élevé par rapport aux autres moyens d'authentification, qui est principalement dû à la nécessité d'acheter du matériel supplémentaire. Les méthodes d'authentification basées sur les particularités de l'écriture manuscrite et de la signature à la souris de l'utilisateur ne nécessitent pas l'utilisation d'équipements spéciaux.

Authentification de l'utilisateur par l'écriture manuscrite du clavier et la signature de la souris

S.P. Rastorguev a été l'un des premiers à proposer l'idée d'authentification des utilisateurs basée sur les particularités de leur travail avec le clavier et la souris. Lors du développement d'un modèle mathématique d'authentification basé sur l'écriture au clavier des utilisateurs, on a supposé que les intervalles de temps entre la pression des caractères adjacents de la phrase clé et entre la pression de combinaisons de touches spécifiques dans celle-ci obéissaient à la loi de distribution normale. L'essence de cette méthode d'authentification est de tester l'hypothèse d'égalité des centres de distribution de deux populations générales normales (obtenue lors de la mise en place du système pour les caractéristiques de l'utilisateur et lors de son authentification).

Considérons l'option d'authentification de l'utilisateur par un ensemble de phrase de passe (la même chose dans les modes de configuration et d'authentification).

La procédure d'ajustement aux caractéristiques de l'utilisateur enregistré dans le CS:

1) sélection par l'utilisateur d'une phrase clé (ses caractères doivent être régulièrement espacés sur le clavier);

2) taper plusieurs fois une phrase clé;

3) élimination des erreurs grossières (selon un algorithme spécial);

4) calcul et stockage des estimations des attentes mathématiques, des variances et des nombres, observations pour les intervalles de temps entre les ensembles de chaque paire de caractères adjacents de la phrase clé.

L'authenticité de l'authentification basée sur l'écriture du clavier de l'utilisateur est inférieure à celle de l'utilisation de ses caractéristiques biométriques.

Cependant, cette méthode d'authentification a également ses avantages:

La possibilité de masquer le fait d'utiliser une authentification utilisateur supplémentaire si la phrase de passe saisie par l'utilisateur est utilisée comme phrase de passe;

La possibilité de mettre en œuvre cette méthode uniquement à l'aide d'un logiciel (réduisant le coût des outils d'authentification).

Regardons maintenant une méthode d'authentification basée sur peinture de souris (avec l'aide de ce manipulateur, bien sûr, il est impossible de réaliser une vraie peinture de l'utilisateur, donc cette peinture sera assez simple). Appelons la ligne du tableau la ligne brisée obtenue en reliant les points du début du tableau à son achèvement (les points adjacents ne doivent pas avoir les mêmes coordonnées). Nous calculons la longueur de la ligne de peinture comme la somme des longueurs des segments reliant les points de la peinture.

Semblable à l'authentification basée sur l'écriture au clavier, l'authenticité de l'utilisateur en la tapant avec une souris est confirmée principalement par le rythme de son travail avec ce périphérique de saisie.

Les avantages de l'authentification des utilisateurs en les tapant avec une souris, comme l'utilisation de l'écriture au clavier, incluent la possibilité de mettre en œuvre cette méthode uniquement à l'aide d'un logiciel; aux inconvénients - moins d'authenticité de l'authentification par rapport à l'utilisation des caractéristiques biométriques de l'utilisateur, ainsi que la nécessité pour un utilisateur assez confiant des compétences de travailler avec la souris.

Une caractéristique commune des méthodes d'authentification basées sur l'écriture au clavier et la peinture à la souris est l'instabilité de leurs caractéristiques pour le même utilisateur, qui peut être causée par:

1) les changements naturels associés à l'amélioration des compétences de l'utilisateur à travailler avec le clavier et la souris, ou, au contraire, à leur détérioration due au vieillissement du corps;

2) les changements associés à l'état physique ou émotionnel anormal de l'utilisateur.

Les changements dans les caractéristiques de l'utilisateur provoqués par des raisons du premier type ne sont pas brusques, ils peuvent donc être neutralisés en modifiant les caractéristiques de référence après chaque authentification réussie de l'utilisateur.

Les modifications des caractéristiques de l'utilisateur provoquées par des raisons du second type peuvent être brutales et conduire au rejet de sa tentative d'entrer dans le COP. Cependant, cette fonctionnalité d'authentification basée sur l'écriture au clavier et la peinture à la souris peut également devenir un avantage pour les utilisateurs de CS militaires, énergétiques et financiers.

Une direction prometteuse dans le développement de méthodes d'authentification pour les utilisateurs de CU basées sur leurs caractéristiques personnelles peut être la confirmation de l'authenticité de l'utilisateur basée sur ses connaissances et ses compétences, caractérisant le niveau d'éducation et de culture.

Introduction. 2

1. Les principales dispositions de la théorie de la sécurité de l'information. cinq

1.1 Classification des menaces à la sécurité de l'information. cinq

1.2 Menaces les plus courantes .. 9

1.3 Attaques logicielles. Onze

1.4 Logiciel malveillant. 13

1.5 Classification des mesures de sécurité CS. 14

2. Les principales méthodes et moyens de protection des informations dans les réseaux. dix-neuf

2.1 Protection physique des informations. dix-neuf

2.2 Protection matérielle des informations dans le COP .. 22

2.3 Outils logiciels de protection des informations dans la COP .. 24

3. Méthodes et moyens de protection des informations dans les réseaux de télécommunication de l'entreprise Vestel. 44

3.1 Caractéristiques de l'entreprise et du réseau d'entreprise. 44

3.2 Soutien organisationnel et juridique de la protection des informations. 46

3.3 Protection des informations dans le réseau d'entreprise "Vestel" au niveau du système d'exploitation. 48

3.4 Protection des informations contre tout accès non autorisé. 52

3.5 Protection antivirus. 57

Conclusion. 64

Glossaire. 68

Liste des sources utilisées. 70

Liste des abréviations. 74

Annexe A .. 75

Annexe B.76

Annexe B .. 77

Annexe D.78

introduction

Le problème de la protection des informations est loin d'être nouveau. Les gens ont essayé de le résoudre depuis les temps anciens.

À l'aube de la civilisation, des informations précieuses étaient préservées sous forme matérielle: elles étaient gravées sur des tablettes de pierre, puis enregistrées sur papier. Pour leur protection, les mêmes objets matériels ont été utilisés: murs, fossés.

Les informations étaient souvent transmises par un messager et accompagnées de gardes. Et ces mesures se justifiaient, puisque le seul moyen d'obtenir les informations de quelqu'un d'autre était de les kidnapper. Malheureusement, la protection physique avait un défaut majeur. Lorsque le message a été capturé, les ennemis ont reconnu tout ce qui y était écrit. Jules César a également décidé de protéger les informations précieuses lors du transfert. Il a inventé le chiffre César. Ce chiffrement permettait d'envoyer des messages que personne ne pouvait lire s'il était intercepté.

Ce concept a été développé pendant la Seconde Guerre mondiale. L'Allemagne a utilisé une machine appelée Enigma pour crypter les messages envoyés aux unités militaires.

Bien entendu, la manière dont les informations sont protégées est en constante évolution, tout comme notre société et notre technologie. L'avènement et l'utilisation généralisée des ordinateurs ont conduit au fait que la plupart des personnes et des organisations ont commencé à stocker des informations par voie électronique. Il était nécessaire de protéger ces informations.

Au début des années 70. 20e siècle, David Bell et Leonard La Padula ont développé un modèle de sécurité pour les opérations informatiques. Ce modèle était basé sur le concept gouvernemental des niveaux de classification de l'information (non classifiée, confidentielle, secrète, top secret) et des niveaux d'autorisation. Si la personne (sujet) avait un niveau d'accès supérieur au niveau du fichier (objet) selon la classification, alors il a reçu l'accès au fichier, sinon l'accès a été refusé. Ce concept a trouvé sa mise en œuvre dans la norme 5200.28 "Trusted Computing System Evaluation Criteria" (TCSEC) ("Criteria for evaluating the security of computer systems"), développée en 1983 par le département américain de la Défense. En raison de la couleur de la couverture, il a été nommé The Orange Book.

Le Livre Orange a identifié les exigences fonctionnelles et de garantie pour chaque section. Le système devait répondre à ces exigences pour atteindre un certain niveau de certification.

Les exigences d'assurance pour la plupart des certifications de sécurité étaient longues et coûteuses. En conséquence, très peu de systèmes ont été certifiés au-dessus du niveau C2 (en fait, un seul système à tout moment était certifié au niveau A1 - Honeywell SCOMP).

Lors de l'élaboration d'autres critères, des tentatives ont été faites pour séparer les exigences fonctionnelles des exigences d'assurance. Ces développements ont été inclus dans le Livre vert allemand de 1989, les Critères Canada en 1990, les Critères d'évaluation de la sécurité des technologies de l'information (ITSEC) en 1991 et les Critères fédéraux (connus sous le nom de Critères communs - Critères généraux) en 1992. Chaque norme offrait une manière différente de certifier la sécurité des systèmes informatiques.

L'un des problèmes associés aux critères d'évaluation de la sécurité des systèmes est le manque de compréhension des mécanismes de mise en réseau. La connexion d'ordinateurs en ajoute de nouveaux aux anciens problèmes de sécurité. L'Orange Book n'a pas abordé les problèmes de connexion des ordinateurs à un réseau commun, c'est pourquoi en 1987, TNI (Trusted Network Interprétation), ou "Red Book", est apparu. Le livre rouge contient toutes les exigences de sécurité du livre orange, une tentative est faite pour aborder l'espace réseau et créer un concept de sécurité réseau. Malheureusement, le "Livre rouge" associe également la fonctionnalité à la garantie. Peu de systèmes ont été évalués par TNI et aucun n'a connu un succès commercial.

Les problèmes sont encore pires ces jours-ci. Les organisations ont commencé à utiliser des réseaux sans fil, dont le livre rouge ne pouvait pas prévoir l'apparition. Pour les réseaux sans fil, le certificat Red Book est considéré comme obsolète.

Les systèmes informatiques et les technologies de réseau évoluent trop rapidement. En conséquence, de nouvelles méthodes de protection des informations émergent également rapidement. Par conséquent, le thème de mon travail de qualification "Méthodes et moyens de protection des informations dans les réseaux" est très pertinent.

L'objet de la recherche est l'information transmise sur les réseaux de télécommunication.

Le sujet de la recherche est la sécurité de l'information des réseaux.

L'objectif principal des travaux de qualification est l'étude et l'analyse des méthodes et moyens de protection des informations dans les réseaux.

Pour atteindre cet objectif, il est nécessaire de résoudre un certain nombre de tâches:

Tenez compte des menaces à la sécurité et de leur classification;

Caractériser les méthodes et moyens de protection des informations dans le réseau, leur classification et les caractéristiques de leur application;

Révéler les capacités des moyens physiques, matériels et logiciels de protection des informations dans la COP, identifier leurs avantages et inconvénients;

Considérez les méthodes, méthodes et moyens de protection des informations dans le réseau de l'entreprise (sur l'exemple de l'entreprise Vestel).

1.1 Classification des menaces de sécurité de l'information

Une menace pour la sécurité des informations dans un réseau informatique (CS) est comprise comme un événement ou une action pouvant entraîner une modification du fonctionnement d'un CS associée à une violation de la sécurité des informations qui y sont traitées.

La vulnérabilité de l'information est la possibilité d'un état dans lequel les conditions sont créées pour la mise en œuvre des menaces à la sécurité de l'information.

Une attaque contre un CS est une action entreprise par un intrus, qui consiste à trouver et utiliser une vulnérabilité particulière. En d'autres termes, une attaque contre un CS est la mise en œuvre d'une menace pour la sécurité des informations qu'il contient.

Les problèmes liés à la sécurité de la transmission d'informations lors du travail sur des réseaux informatiques peuvent être divisés en trois types principaux:

Interception des informations - l'intégrité des informations est préservée, mais leur confidentialité est violée;

· Modification des informations - le message d'origine est modifié ou complètement remplacé par un autre et envoyé au destinataire;

· Substitution de la paternité des informations. Ce problème peut avoir de graves conséquences. Par exemple, quelqu'un peut envoyer une lettre à partir du nom de quelqu'un d'autre (ce type de tromperie est communément appelé usurpation d'identité) ou un serveur Web peut se faire passer pour une boutique en ligne, accepter des commandes, des numéros de carte de crédit, mais ne pas envoyer de marchandises.

La spécificité des réseaux informatiques, en termes de vulnérabilité, est principalement associée à la présence d'une interaction d'informations intensive entre des éléments géographiquement dispersés et hétérogènes (divers).

Vulnérables sont littéralement tous les principaux éléments structurels et fonctionnels du CS: postes de travail, serveurs (machines hôtes), passerelles (passerelles, centres de commutation), canaux de communication, etc.

Un grand nombre de menaces diverses à la sécurité des informations d'origines diverses sont connues. Dans la littérature, il existe de nombreuses classifications différentes, où les types de dangers générés, le degré d'intention malveillante, les sources d'apparition des menaces, etc. sont utilisés comme critères de division. L'une des classifications les plus simples est illustrée à la Fig. 1.

Figure: 1. Classification générale des menaces pour la sécurité.

Les menaces naturelles sont des menaces causées par l'impact sur la SC et ses éléments de processus physiques objectifs ou de phénomènes naturels indépendants de l'homme.

Les menaces d'origine humaine sont des menaces pour la COP causées par l'activité humaine. Parmi eux, en fonction de la motivation des actions, on peut distinguer:

les menaces non intentionnelles (non intentionnelles, accidentelles) causées par des erreurs dans la conception de la station de compression et de ses éléments, des erreurs dans le logiciel, des erreurs dans les actions du personnel, etc.

menaces délibérées (intentionnelles) associées aux aspirations égoïstes des personnes (intrus).

Les sources de menaces liées au CS peuvent être externes ou internes (les composants du CS lui-même - son matériel, ses programmes, son personnel).

Une classification plus complexe et détaillée des menaces est donnée à l'annexe A.

L'analyse des conséquences négatives de la mise en œuvre des menaces implique l'identification obligatoire des sources possibles de menaces, des vulnérabilités qui contribuent à leur manifestation et des modalités de mise en œuvre. Et puis la chaîne se développe dans le circuit illustré à la Fig. 2.

Figure: 2. Modèle de mise en œuvre des menaces à la sécurité de l'information.

Les menaces sont classées en fonction de la possibilité de causer des dommages au sujet de relations en violation des objectifs de sécurité. Les dommages peuvent être causés par n'importe quel sujet (crime, culpabilité ou négligence), ainsi que devenir une conséquence qui ne dépend pas du sujet des manifestations. Il n'y a pas tellement de menaces. Tout en garantissant la confidentialité des informations, il peut s'agir de vol (copie) d'informations et de moyens de leur traitement, ainsi que de leur perte (perte involontaire, fuite). Tout en garantissant l'intégrité des informations, la liste des menaces est la suivante: modification (distorsion) des informations; déni de l'authenticité des informations; imposer de fausses informations. Si des informations sont disponibles, elles peuvent être bloquées ou les informations elles-mêmes et les moyens de leur traitement peuvent être détruits.

Toutes les sources de menaces peuvent être divisées en classes en fonction du type de transporteur et en groupes en groupes en fonction de l'emplacement (Fig. 3a). Les vulnérabilités peuvent également être divisées en classes selon leur appartenance à la source des vulnérabilités, et les classes en groupes et sous-groupes selon les manifestations (Fig. 3b). Les méthodes de mise en œuvre peuvent être divisées en groupes selon les méthodes de mise en œuvre (Fig. 3c). Il ne faut pas oublier que le concept même de «méthode» n'est applicable que lorsqu'on considère la mise en œuvre de menaces par des sources anthropiques. Pour les sources artificielles et naturelles, ce concept se transforme en concept de «prérequis».

Figure: 3. La structure des classifications: a) «Sources de menaces»; b) «Vulnérabilités»; c) "Modalités de mise en œuvre"

La classification des possibilités de mise en œuvre des menaces (attaques) est un ensemble d'options possibles pour l'action de la source des menaces par certaines méthodes de mise en œuvre utilisant des vulnérabilités qui conduisent à la mise en œuvre des objectifs de l'attaque. L'objectif d'une attaque peut ne pas coïncider avec l'objectif de mise en œuvre des menaces et peut viser à obtenir un résultat intermédiaire nécessaire à la poursuite de la mise en œuvre de la menace. Dans le cas d'une telle discordance, l'attaque est considérée comme une étape de préparation pour prendre des mesures visant à mettre en œuvre la menace, c'est-à-dire comme "préparation pour commettre" un acte illégal. Le résultat d'une attaque est des conséquences qui sont la réalisation de la menace et / ou contribuent à une telle réalisation.

Les données initiales pour évaluer et analyser les menaces de sécurité lors du travail dans le réseau sont les résultats d'une enquête par questionnaire sur les sujets de relations, visant à comprendre la direction de leurs activités, les priorités assumées des objectifs de sécurité, les tâches résolues dans le réseau et les conditions de localisation et de fonctionnement du réseau.

Les plus fréquentes et les plus dangereuses (en termes de montant des dommages) sont les erreurs involontaires commises par les utilisateurs du personnel, les opérateurs, les administrateurs système et d'autres personnes gérant un réseau informatique.

Parfois, de telles erreurs sont en fait des menaces (des données mal saisies ou une erreur dans un programme qui a causé un crash système), parfois elles créent des vulnérabilités qui peuvent être exploitées par des intrus (ce sont généralement des erreurs administratives). Selon certains rapports, jusqu'à 65% des pertes sont le résultat d'erreurs involontaires.

Les incendies et les inondations n'apportent pas autant de problèmes que l'analphabétisme et la négligence au travail.

De toute évidence, la manière la plus radicale de traiter les erreurs involontaires est une automatisation maximale et un contrôle strict.

D'autres menaces d'accessibilité peuvent être classées en fonction des composantes de la COP que ciblent les menaces:

refus de l'utilisateur;

défaillance du réseau interne;

défaillance de l'infrastructure de soutien.

En règle générale, les menaces suivantes sont prises en compte par rapport aux utilisateurs:

la réticence à travailler avec le système d'information (le plus souvent elle se manifeste lorsqu'il est nécessaire de maîtriser de nouvelles opportunités et lorsqu'il y a un écart entre les demandes des utilisateurs et les capacités réelles et les caractéristiques techniques);

incapacité à travailler avec le système en raison d'un manque de formation appropriée (manque de connaissances générales en informatique, incapacité à interpréter les messages de diagnostic, incapacité à travailler avec la documentation, etc.);

incapacité à travailler avec le système en raison d'un manque de support technique (documentation incomplète, manque d'informations de référence, etc.).

Les principales sources de pannes internes sont:

écart (accidentel ou intentionnel) par rapport aux règles d'exploitation établies;

sortie du système du fonctionnement normal en raison d'actions accidentelles ou délibérées des utilisateurs ou du personnel de service (dépassement du nombre estimé de demandes, quantité excessive d'informations traitées, etc.);

erreurs lors de la (re) configuration du système;

pannes logicielles et matérielles;

destruction de données;

destruction ou endommagement de l'équipement.

En ce qui concerne l'infrastructure de soutien, il est recommandé de prendre en compte les menaces suivantes:

dysfonctionnement (accidentel ou intentionnel) des systèmes de communication, de l'alimentation électrique, de l'approvisionnement en eau et / ou en chaleur, de la climatisation;

destruction ou endommagement des locaux;

l'incapacité ou la réticence du personnel du service et / ou des utilisateurs à s'acquitter de leurs fonctions (troubles civils, accidents de transport, acte terroriste ou sa menace, grève, etc.).

Les employés dits «offensés» - actuels et anciens - sont très dangereux. En règle générale, ils cherchent à nuire à l'organisation - le «délinquant», par exemple:

endommager l'équipement;

construire une bombe logique qui détruira les programmes et / ou les données au fil du temps;

suprimmer les données.

Les employés offensés, même les anciens, connaissent l'ordre dans l'organisation et peuvent causer des dommages considérables. Il est nécessaire de s'assurer qu'en cas de licenciement d'un salarié, ses droits d'accès (logiques et physiques) aux ressources d'information sont annulés.

Une consommation de ressources agressive peut être utilisée pour sortir le réseau du fonctionnement normal (généralement - bande passante du réseau, puissance de calcul des processeurs ou de la RAM). En fonction de l'emplacement de la source de la menace, cette consommation est divisée en locale et à distance. En cas d'erreurs de calcul dans la configuration du système, un programme local peut pratiquement monopoliser le processeur et / ou la mémoire physique, réduisant à zéro la vitesse d'exécution des autres programmes.

L'exemple le plus simple de consommation de ressources à distance est une attaque SYN flood. Il s'agit d'une tentative de débordement de la table TCP semi-ouverte du serveur (la connexion démarre mais ne se termine pas). À tout le moins, une telle attaque rend difficile pour les utilisateurs légitimes d'établir de nouvelles connexions, c'est-à-dire que le serveur semble indisponible.

En ce qui concerne l'attaque Papa Smurf, les réseaux qui acceptent les paquets ping avec des adresses de diffusion sont vulnérables. Les réponses à de tels paquets consomment de la bande passante.

La consommation de ressources à distance s'est récemment manifestée sous une forme particulièrement dangereuse - sous forme d'attaques distribuées coordonnées, lorsque des demandes entièrement légales de connexion et / ou de service sont envoyées au serveur à partir de nombreuses adresses différentes à une vitesse maximale. L'époque du début de la «mode» pour de telles attaques peut être considérée comme février 2000, lorsque plusieurs des plus grands systèmes de commerce électronique (plus précisément, les propriétaires et les utilisateurs des systèmes) ont été victimes. S'il y a une erreur de calcul architecturale sous la forme d'un déséquilibre entre la bande passante du réseau et les performances du serveur, il est extrêmement difficile de se défendre contre les attaques de disponibilité distribuée.

Pour sortir les systèmes du fonctionnement normal, des vulnérabilités sous la forme d'erreurs logicielles et matérielles peuvent être utilisées. Par exemple, un bogue connu dans le processeur Pentium I permettait à un utilisateur local de «raccrocher» l'ordinateur en exécutant une commande spécifique, donc seul un RESET matériel aide.

Le programme Teardrop suspend les ordinateurs à distance, exploitant un bogue dans l'assemblage de paquets IP fragmentés.

1.4 Logiciel malveillant

L'une des méthodes les plus dangereuses pour mener des attaques est l'introduction de logiciels malveillants dans les systèmes attaqués.

Les aspects suivants des logiciels malveillants sont distingués:

fonction malveillante;

méthode de distribution;

présentation externe.

La partie destructrice est destinée à:

l'introduction d'autres logiciels malveillants;

prendre le contrôle du système attaqué;

consommation agressive de ressources;

modifier ou détruire des programmes et / ou des données.

Par le mécanisme de distribution, ils se distinguent:

Virus - code qui a la capacité de se propager (éventuellement avec des changements) en étant introduit dans d'autres programmes;

Les «vers» sont du code qui peut indépendamment, c'est-à-dire sans être inséré dans d'autres programmes, faire répandre leurs copies sur le réseau et les exécuter (pour activer un virus, un programme infecté doit être lancé).

Les virus se propagent généralement localement, au sein d'un hôte; pour transférer sur le réseau, ils ont besoin d'une aide extérieure, telle que le téléchargement d'un fichier infecté. Les vers, quant à eux, sont principalement destinés aux voyages sur le Web.

Parfois, la distribution même de logiciels malveillants entraîne une consommation agressive de ressources et constitue donc une fonction malveillante. Par exemple, les vers consomment de la bande passante réseau et des ressources du système de messagerie.

Un code malveillant qui ressemble à un programme fonctionnellement utile est appelé un cheval de Troie. Par exemple, un programme ordinaire, infecté par un virus, devient un cheval de Troie; Parfois, les chevaux de Troie sont fabriqués à la main et se glissent dans des utilisateurs crédules dans des emballages attrayants (généralement lors de la visite de réseaux de partage de fichiers ou de sites de jeux et de divertissement).

1.5 Classification des mesures de sécurité CS

Selon les modalités de mise en œuvre, toutes les mesures visant à assurer la sécurité des réseaux informatiques sont divisées en: juridique (législatif), moral et éthique, organisationnel (administratif), physique, technique (matériel et logiciel).

Les mesures de protection juridique comprennent les lois, décrets et réglementations en vigueur dans le pays qui réglementent les règles de traitement des informations, garantissent les droits et obligations des participants aux relations d'information dans le processus de leur traitement et de leur utilisation, ainsi que l'établissement de la responsabilité pour les violations de ces règles, empêchant ainsi l'utilisation abusive des informations. et est un élément dissuasif pour les contrevenants potentiels.

Les contre-mesures morales et éthiques comprennent des normes de comportement qui se sont traditionnellement développées ou qui prennent forme lors de la propagation des réseaux informatiques dans un pays ou une société. Ces normes ne sont pour la plupart pas obligatoires, comme le sont les actes normatifs légalement approuvés, mais leur non-respect conduit généralement à une baisse de l'autorité, du prestige d'une personne, d'un groupe de personnes ou d'une organisation. Les normes morales et éthiques sont à la fois non écrites (par exemple, normes généralement reconnues d'honnêteté, de patriotisme, etc.) et écrites, c'est-à-dire rédigées dans un certain ensemble (charte) de règles ou de règlements.

Les mesures de protection organisationnelles (administratives) sont des mesures organisationnelles qui réglementent le fonctionnement du système de traitement des données, l'utilisation de ses ressources, les activités du personnel, ainsi que la procédure d'interaction des utilisateurs avec le système de manière à compliquer au maximum ou à exclure la possibilité de mettre en œuvre des menaces pour la sécurité. Ceux-ci inclus :

activités réalisées dans la conception, la construction et l'équipement de réseaux et autres objets de systèmes de traitement de données;

mesures d'élaboration de règles d'accès des utilisateurs aux ressources du réseau (élaboration d'une politique de sécurité);

activités menées dans le cadre de la sélection et de la formation du personnel;

organisation de la sécurité et contrôle d'accès fiable;

organisation de la comptabilité, du stockage, de l'utilisation et de la destruction de documents et supports d'informations;

distribution des détails du contrôle d'accès (mots de passe, clés de cryptage, etc.);

organisation d'un contrôle explicite et caché sur le travail des utilisateurs;

activités réalisées lors de la conception, du développement, de la réparation et de la modification des équipements et logiciels, etc.

Les mesures de protection physique reposent sur l'utilisation de divers types de dispositifs et de structures mécaniques, électriques ou électromécaniques, spécialement conçus pour créer des obstacles physiques sur les voies possibles d'entrée et d'accès des intrus potentiels aux composants du réseau et aux informations protégées, ainsi que des moyens techniques d'observation visuelle, de communication et alarme de sécurité.

Les mesures de protection techniques (matérielles) reposent sur l'utilisation de divers dispositifs électroniques qui font partie du CS et exécutent (indépendamment ou en combinaison avec d'autres moyens) des fonctions de protection.

Les méthodes de protection logicielle sont conçues pour protéger directement les informations dans trois domaines: a) le matériel; b) logiciel; c) commandes de données et de contrôle.

Pour protéger les informations lors de leur transmission, diverses méthodes de cryptage des données sont généralement utilisées avant leur entrée dans un canal de communication ou sur un support physique avec un décryptage ultérieur. Comme le montre la pratique, les méthodes de cryptage vous permettent de masquer de manière fiable la signification d'un message.

Tous les programmes de sécurité qui contrôlent l'accès aux informations de la machine fonctionnent sur le principe de la réponse aux questions: qui peut effectuer quelles opérations et sur quelles données.

L'accès peut être défini comme:

général (fourni sans condition à chaque utilisateur);

refus (refus inconditionnel, par exemple, autorisation de supprimer une information);

dépendant de l'événement (événementiel);

dépend du contenu des données;

dépendant de l'état (état dynamique d'un système informatique);

en fonction de la fréquence (par exemple, l'utilisateur n'est autorisé à accéder qu'une seule fois ou un certain nombre de fois);

par le nom ou tout autre signe de l'utilisateur;

dépendant des pouvoirs;

par autorisation (par exemple, par mot de passe);

selon la procédure.

Les outils d'enregistrement sont également des contre-mesures efficaces contre les tentatives d'accès non autorisées. A ces fins, les plus prometteurs sont les nouveaux systèmes d'exploitation spéciaux largement utilisés dans les pays étrangers et appelés monitoring (surveillance automatique d'une éventuelle menace informatique).

La surveillance est effectuée par le système d'exploitation (OS) lui-même et ses responsabilités comprennent le contrôle des processus d'entrée-sortie, de traitement et de destruction des informations de la machine. Le système d'exploitation enregistre l'heure de l'accès non autorisé et le logiciel auquel il a été accédé. De plus, il avertit immédiatement le service de sécurité informatique d'un empiétement sur la sécurité d'un système informatique, tout en imprimant simultanément les données nécessaires (listing). Récemment, aux États-Unis et dans un certain nombre de pays européens, des sous-programmes spéciaux ont également fonctionné pour protéger les systèmes informatiques qui provoquent l'autodestruction du programme principal lors d'une tentative de visualisation non autorisée du contenu d'un fichier contenant des informations classifiées, semblable à l'action d'une \u003c\u003c bombe logique \u003e\u003e.

Objectifs de sécurité:

Protection des informations dans les canaux de communication et les bases de données par des méthodes cryptographiques;

Confirmation de l'authenticité des objets de données et des utilisateurs (authentification des parties établissant une connexion);

Détection des violations de l'intégrité des objets de données;

Assurer la protection des moyens techniques et des locaux dans lesquels le traitement des informations confidentielles est effectué contre les fuites par des canaux secondaires et contre les dispositifs électroniques éventuellement embarqués pour la récupération d'informations;

Assurer la protection des produits logiciels et des équipements informatiques contre l'introduction de virus logiciels et de signets;

Protection contre les actions non autorisées via le canal de communication contre les personnes qui ne sont pas autorisées à utiliser les outils de cryptage, mais qui poursuivent l'objectif de compromettre des informations classifiées et de perturber le travail des points d'abonnés;

Mesures organisationnelles et techniques visant à assurer la sécurité des données confidentielles.

2. Les principales méthodes et moyens de protection des informations dans les réseaux

Il est tout simplement impossible d'analyser en détail toutes les méthodes et moyens de protection des informations dans le cadre du CMR. Je n'en citerai que quelques-uns.

Les mesures de protection physique des informations comprennent:

protection contre le feu;

protection contre l'eau et le liquide d'extinction d'incendie

protection contre les gaz corrosifs;

protection contre les rayonnements électromagnétiques;

protection contre le vandalisme;

protection contre le vol et le vol;

protection contre les explosions;

protection contre les chutes de débris;

protection contre la poussière;

protection contre l'accès non autorisé aux locaux.

Quelles mesures doivent être prises pour garantir la sécurité physique?

Tout d'abord, vous devez préparer la salle où seront situés les serveurs. Règle obligatoire: le serveur doit être dans une pièce séparée, à laquelle un cercle strictement limité de personnes a accès. Un climatiseur et un bon système de ventilation doivent être installés dans cette pièce. Là, vous pouvez également placer un mini-ATS et d'autres systèmes techniques vitaux.

La désactivation des lecteurs inutilisés, des ports parallèles et des ports série sur le serveur est une décision judicieuse. Il est souhaitable de sceller son corps. Tout cela compliquera le vol ou la substitution d'informations même si un attaquant pénètre d'une manière ou d'une autre dans la salle des serveurs. Ne négligez pas les mesures de sécurité insignifiantes telles que les barres et les portes en fer, les serrures à combinaison et les caméras de vidéosurveillance qui enregistreront constamment tout ce qui se passe dans les zones clés du bureau.

Une autre erreur courante est liée aux sauvegardes. Tout le monde connaît sa nécessité, ainsi que le fait qu'en cas d'incendie, il est nécessaire de disposer d'un extincteur. Mais pour une raison quelconque, ils oublient que les copies de sauvegarde ne peuvent pas être stockées dans la même pièce que le serveur. En conséquence, s'étant protégés contre les attaques d'informations, les entreprises se retrouvent sans défense même face à un petit incendie, dans lequel les copies faites périssent prudemment avec le serveur.

Souvent, même après avoir protégé les serveurs, ils oublient que toutes sortes de fils ont également besoin de protection - le système de câbles du réseau. De plus, nous devons souvent craindre non pas les intrus, mais les nettoyeurs les plus ordinaires, considérés à juste titre comme les ennemis les plus terribles des réseaux locaux. La meilleure option pour protéger le câble consiste à utiliser des conduits, mais, en principe, toute autre méthode permettant de cacher et de sécuriser les fils convient. Cependant, il ne faut pas perdre de vue la possibilité de s'y connecter de l'extérieur pour intercepter des informations ou créer des interférences, par exemple au moyen d'une décharge de courant. Cependant, il faut admettre que cette option n'est pas répandue et n'est remarquée qu'en cas de perturbations dans le travail des grandes entreprises.

En plus d'Internet, les ordinateurs sont connectés à un autre réseau - le réseau électrique habituel. Un autre groupe de problèmes liés à la sécurité physique des serveurs y est associé. Ce n'est un secret pour personne que la qualité des réseaux électriques modernes est loin d'être idéale. Même s'il n'y a pas de signes externes d'anomalies, très souvent la tension du réseau électrique est supérieure ou inférieure à la normale. Dans le même temps, la plupart des gens ne soupçonnent même pas qu'il existe des problèmes d'alimentation électrique à la maison ou au bureau.

La sous-tension est l'anomalie la plus courante et représente environ 85% des divers problèmes d'alimentation. Sa cause commune est les coupures d'électricité, qui sont particulièrement fréquentes pendant les mois d'hiver. La surtension est presque toujours le résultat d'un accident ou d'un dommage au câblage de la pièce. Souvent, à la suite de la déconnexion du fil neutre commun, les phases adjacentes sont alimentées à 380 V. Il arrive également qu'une haute tension se produise dans le réseau en raison d'une mauvaise commutation des fils.

Les sources d'impulsions et d'interférences à haute fréquence peuvent être des coups de foudre, la mise en marche ou l'arrêt de puissants consommateurs d'électricité, des accidents dans les sous-stations, ainsi que le fonctionnement de certains appareils électroménagers. Le plus souvent, de telles interférences se produisent dans les grandes villes et les zones industrielles. Les impulsions de tension d'une durée allant de la nanoseconde (10 ~ 9 s) à la microseconde (10 ~ 6 s) peuvent atteindre plusieurs milliers de volts en amplitude. Les microprocesseurs et autres composants électroniques sont les plus vulnérables à de telles interférences. Souvent, un bruit impulsif non annulé peut entraîner un redémarrage du serveur ou une erreur de traitement des données. L'alimentation intégrée de l'ordinateur, bien sûr, atténue partiellement les surtensions, protégeant les composants électroniques de l'ordinateur contre les pannes, mais les interférences résiduelles réduiront toujours la durée de vie de l'équipement et entraîneront également une augmentation de la température dans l'alimentation du serveur.

Pour protéger les ordinateurs du bruit impulsionnel haute fréquence, des filtres de puissance (par exemple, de marque Pilot) sont utilisés, qui protègent l'équipement de la plupart des bruits et des surtensions. De plus, les ordinateurs contenant des informations importantes doivent être équipés d'une alimentation sans coupure (UPS). Les modèles d'onduleurs modernes permettent non seulement de faire fonctionner l'ordinateur en cas de panne de courant, mais également de le déconnecter du secteur si le secteur est hors de portée.

2.2 Protection matérielle des informations dans le COP

Le matériel de sécurité de l'information comprend les dispositifs électroniques et électroniques-mécaniques qui sont inclus dans les moyens techniques du CS et exécutent (indépendamment ou dans un seul complexe avec un logiciel) certaines fonctions de sécurité de l'information. Le critère pour classer un appareil comme matériel, et non comme moyen technique et technique de protection, est l'inclusion obligatoire dans les moyens techniques du CS.

Les principaux moyens matériels de protection des informations comprennent:

Dispositifs pour saisir les informations d'identification de l'utilisateur (cartes magnétiques et plastiques, empreintes digitales, etc.);

Dispositifs de cryptage des informations;

Dispositifs pour empêcher la mise en marche non autorisée de postes de travail et de serveurs (verrous et bloqueurs électroniques).

Exemples de matériel auxiliaire de sécurité des informations:

Dispositifs pour la destruction d'informations sur supports magnétiques;

Dispositifs d'alarme sur les tentatives d'actions non autorisées des utilisateurs du CS, etc.

Le matériel attire de plus en plus l'attention des spécialistes non seulement parce qu'il est plus facile de le protéger des dommages et autres influences accidentelles ou malveillantes, mais aussi parce que la mise en œuvre matérielle des fonctions est plus rapide que les logiciels et que leur coût diminue régulièrement.

De plus en plus de nouveaux appareils apparaissent sur le marché de la protection matérielle. Voici une description de la serrure électronique à titre d'exemple.

Serrure électronique "Sable"

"Sobol", développé et fourni par ZAO NIP "Informzashita", offre les fonctions de protection suivantes:

identification et authentification des utilisateurs;

contrôle de l'intégrité des fichiers et des secteurs physiques du disque dur;

bloquer le démarrage du système d'exploitation à partir d'une disquette et d'un CD-ROM;

bloquer la connexion d'un utilisateur enregistré lorsqu'il dépasse un nombre spécifié de tentatives de connexion infructueuses;

enregistrement des événements liés à la sécurité du système.

L'identification de l'utilisateur est effectuée à l'aide d'une clé individuelle sous la forme d'une «tablette» à mémoire tactile avec une mémoire jusqu'à 64 Ko et l'authentification - à l'aide d'un mot de passe de 16 caractères maximum.

Le contrôle d'intégrité est conçu pour s'assurer que les programmes et fichiers de l'utilisateur, et en particulier les fichiers système du système d'exploitation, n'ont pas été modifiés par un intrus ou un signet logiciel introduit par lui. Pour ce faire, tout d'abord, l'analyseur du système de fichiers de l'OS entre en fonctionnement: le calcul des valeurs de référence et leur contrôle lors du chargement est implémenté dans Sobol au niveau matériel. La construction d'une liste de contrôle d'intégrité des objets est effectuée à l'aide de l'utilitaire OS, qui, en principe, permet au programme d'intercepteur de modifier cette liste, et il est bien connu que le niveau de sécurité global d'un système est déterminé par le niveau de sécurité du lien le plus faible.

Un logiciel de sécurité de l'information désigne des programmes spéciaux inclus dans le logiciel KS exclusivement pour exécuter des fonctions de protection.

Les principaux outils logiciels de protection des informations comprennent:

Programmes d'identification et d'authentification des utilisateurs de la COP;

Programmes pour différencier l'accès des utilisateurs aux ressources de la COP;

Programmes de cryptage d'informations;

Programmes de protection des ressources d'information (logiciels système et d'application, bases de données, aides à la formation informatique, etc.) contre les modifications, l'utilisation et la copie non autorisées.

Il doit être entendu que l'identification, en ce qui concerne la garantie de la sécurité de l'information de l'UC, est comprise comme la reconnaissance sans ambiguïté du nom unique du sujet de l'UC. L'authentification signifie la confirmation que le nom présenté correspond au sujet donné (confirmation de l'identité du sujet).

En outre, le logiciel de sécurité de l'information comprend:

Programmes de destruction d'informations résiduelles (en blocs de RAM, fichiers temporaires, etc.);

Programmes d'audit (tenue de registres d'enregistrement) des événements liés à la sécurité de la station de compression, pour assurer la possibilité de récupération et la preuve du fait de ces événements;

Programmes pour simuler le travail avec un délinquant (le distraire pour recevoir des informations supposées confidentielles);

Programmes de test pour surveiller la sécurité du CS, etc.

Les avantages des logiciels de sécurité de l'information comprennent:

Simplicité de réplication;

Flexibilité (la capacité de s'adapter à diverses conditions d'utilisation, en tenant compte des spécificités des menaces à la sécurité de l'information d'un CS spécifique);

Facilité d'utilisation - certains outils logiciels, tels que le cryptage, fonctionnent en mode «transparent» (invisible pour l'utilisateur), tandis que d'autres ne nécessitent aucune nouvelle compétence (par rapport à d'autres programmes) de l'utilisateur;

Des opportunités quasi illimitées pour leur développement en apportant des modifications pour prendre en compte les nouvelles menaces à la sécurité de l'information

Figure: 4. Un exemple d'outil de protection logicielle ancré.

Figure: 5. Un exemple de logiciel de sécurité intégré.

Les inconvénients des logiciels de sécurité de l'information comprennent:

Diminution de l'efficacité de la COP en raison de la consommation de ses ressources nécessaires au fonctionnement des programmes de protection;

Mauvaises performances (par rapport aux protections matérielles qui exécutent des fonctions similaires, telles que le cryptage);

L'amarrage de nombreux outils de protection logicielle (et non leur intégré dans le logiciel du CS, Fig. 4 et 5), qui crée une possibilité fondamentale pour un intrus de les contourner;

Possibilité de modification malveillante de la protection logicielle pendant le fonctionnement du CS.

Le système d'exploitation est le composant logiciel le plus important de tout ordinateur, par conséquent, la sécurité globale du système d'information dépend largement du niveau de mise en œuvre de la politique de sécurité dans chaque système d'exploitation spécifique.

Le système d'exploitation MS-DOS est le système d'exploitation en mode réel du microprocesseur Intel, il ne peut donc être question de partager la RAM entre les processus. Tous les TSR et le programme principal partagent un espace RAM commun. Il n'y a pas de protection de fichier, il est difficile de dire quoi que ce soit de précis sur la sécurité du réseau, car à ce stade du développement logiciel, les pilotes de communication réseau n'ont pas été développés par MicroSoft, mais par des développeurs tiers.

La famille des systèmes d'exploitation Windows 95, 98, Millenium sont des clones, initialement destinés au travail dans les ordinateurs personnels. Ces systèmes d'exploitation utilisent des niveaux de privilège en mode protégé, mais n'effectuent aucune vérification supplémentaire et ne prennent pas en charge les systèmes de descripteurs de sécurité. En conséquence, toute application peut accéder à la totalité de la RAM disponible avec des droits de lecture et d'écriture. Des mesures de sécurité du réseau sont présentes, mais leur mise en œuvre n'est pas à la hauteur. De plus, dans la version de Windows 95, une erreur fondamentale a été commise qui permet à l'ordinateur de se figer en quelques paquets seulement, ce qui a également considérablement miné la réputation du système d'exploitation; dans les versions ultérieures, de nombreuses mesures ont été prises pour améliorer la sécurité réseau de ce clone.

La génération des systèmes d'exploitation Windows NT 2000 est déjà un développement beaucoup plus fiable de MicroSoft. Ce sont vraiment des systèmes multi-utilisateurs qui protègent de manière fiable les fichiers de divers utilisateurs sur le disque dur (cependant, les données ne sont pas cryptées et les fichiers peuvent être lus sans problème en démarrant à partir du disque d'un autre système d'exploitation - par exemple, MS-DOS). Ces systèmes d'exploitation utilisent activement les capacités de mode protégé des processeurs Intel et peuvent protéger de manière fiable les données et le code de processus d'autres programmes, à moins que le processus lui-même ne veuille leur fournir un accès supplémentaire depuis l'extérieur du processus.

Au cours de la longue période de développement, de nombreuses attaques réseau et erreurs de sécurité différentes ont été prises en compte. Des corrections ont été apportées sous la forme de Service Packs.

Une autre branche de clones se développe à partir du système d'exploitation UNIX. Ce système d'exploitation a été développé à l'origine en tant que réseau et multi-utilisateurs, et contenait donc immédiatement des outils de sécurité de l'information. Presque tous les clones UNIX répandus ont parcouru un long chemin de développement et, lors de leurs modifications, ont pris en compte toutes les méthodes d'attaque découvertes pendant cette période. Ils ont fait leurs preuves: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Naturellement, tout ce qui a été dit s'applique aux dernières versions de ces systèmes d'exploitation. Les principales erreurs de ces systèmes ne sont plus liées au noyau, qui fonctionne parfaitement, mais aux utilitaires système et applicatifs. La présence d'erreurs dans ceux-ci conduit souvent à la perte de toute la marge de sécurité du système.

Composants principaux:

L'administrateur local de la sécurité est responsable des accès non autorisés, vérifie les droits de connexion de l'utilisateur, gère:

Audit - vérification de l'exactitude des actions des utilisateurs

Account Manager - prise en charge de la base de données pour les utilisateurs de leurs actions et de leur interaction avec le système.

Moniteur de sécurité - vérifie si l'utilisateur dispose des droits d'accès suffisants à l'objet

Journal d'audit - contient des informations sur les connexions utilisateur, les enregistrements fonctionnent avec des fichiers et des dossiers.

Package d'authentification - analyse les fichiers système pour s'assurer qu'ils ne sont pas remplacés. MSV10 est le package par défaut.

Windows XP a ajouté:

vous pouvez attribuer des mots de passe pour les copies de sauvegarde

protection de remplacement de fichier

système de délimitation ... en entrant un mot de passe et en créant un compte utilisateur. L'archivage peut être effectué par un utilisateur disposant de ces droits.

NTFS: contrôlez l'accès aux fichiers et aux dossiers

Dans XP et 2000 - une différenciation plus complète et plus profonde des droits d'accès des utilisateurs.

EFS - fournit le cryptage et le décryptage des informations (fichiers et dossiers) pour restreindre l'accès aux données.

La cryptographie est la science de la sécurisation des données. Elle recherche des solutions à quatre problèmes de sécurité importants: la confidentialité, l'authentification, l'intégrité et le contrôle des participants à l'interaction. Le cryptage est la transformation des données en une forme illisible à l'aide de clés de cryptage-décryptage. Le cryptage vous permet de maintenir la confidentialité en gardant les informations secrètes de ceux à qui elles ne sont pas destinées.

La cryptographie consiste à trouver et à rechercher des méthodes mathématiques pour transformer l'information.

La cryptographie moderne comprend quatre sections principales:

cryptosystèmes symétriques;

cryptosystèmes à clé publique;

systèmes de signature électronique;

gestion des clés.

Les principales directions d'utilisation des méthodes cryptographiques sont le transfert d'informations confidentielles via des canaux de communication (par exemple, le courrier électronique), l'authentification des messages transmis, le stockage d'informations (documents, bases de données) sur des supports sous forme cryptée.

Un disque crypté est un fichier conteneur qui peut contenir tout autre fichier ou programme (il peut être installé et lancé directement à partir de ce fichier crypté). Ce disque n'est accessible qu'après avoir entré le mot de passe dans le fichier conteneur - puis un autre disque apparaît sur l'ordinateur, qui est reconnu par le système comme logique et fonctionne avec ce qui ne diffère pas de travailler avec un autre disque. Après avoir déconnecté le disque, le disque logique disparaît, il devient simplement "invisible".

Aujourd'hui, les programmes les plus courants pour créer des disques chiffrés sont DriveCrypt, BestCrypt et PGPdisk. Chacun d'eux est protégé de manière fiable contre le piratage à distance.

Toutes les modifications apportées aux informations du fichier conteneur se produisent en premier dans la RAM, c'est-à-dire le disque dur reste toujours crypté. Même si l'ordinateur se bloque, les données secrètes restent cryptées;

Les programmes peuvent verrouiller un lecteur logique caché après un certain laps de temps;

Tous se méfient des fichiers temporaires (fichiers d'échange). Il est possible de crypter toutes les informations confidentielles qui pourraient entrer dans le fichier d'échange. Une méthode très efficace pour masquer les informations stockées dans un fichier d'échange est de le désactiver complètement, sans oublier d'augmenter la RAM de l'ordinateur;

La physique d'un disque dur est telle que même si vous écrasez certaines données avec d'autres, l'enregistrement précédent ne sera pas complètement effacé. Avec l'aide de moyens modernes de microscopie magnétique (microscopie à force magnétique - MFM), ils peuvent encore être restaurés. Avec l'aide de ces programmes, vous pouvez supprimer en toute sécurité des fichiers de votre disque dur sans laisser aucune trace de leur existence;

Les trois programmes stockent des données sensibles sous une forme cryptée en toute sécurité sur le disque dur et fournissent un accès transparent à ces données à partir de n'importe quel programme d'application;

Ils protègent les fichiers conteneurs cryptés contre la suppression accidentelle;

Ils sont excellents pour gérer les chevaux de Troie et les virus.

Avant d'accéder à l'aéronef, l'utilisateur doit s'identifier, et les mécanismes de sécurité du réseau authentifient alors l'utilisateur, c'est-à-dire vérifier si l'utilisateur est vraiment celui qu'il prétend être. Conformément au modèle logique du mécanisme de protection, les aéronefs sont situés sur un ordinateur de travail auquel l'utilisateur est connecté via son terminal ou d'une autre manière. Par conséquent, les procédures d'identification, d'authentification et d'autorisation sont effectuées au début d'une session sur un ordinateur de travail local.

Par la suite, lorsque divers protocoles réseau sont installés et avant d'accéder aux ressources réseau, les procédures d'identification, d'authentification et d'autorisation peuvent être réactivées sur certains ordinateurs de bureau distants pour prendre en charge les ressources ou services réseau requis.

Lorsqu'un utilisateur commence à travailler sur un système informatique à l'aide d'un terminal, le système demande son nom et son numéro d'identification. Conformément aux réponses de l'utilisateur, le système informatique procède à son identification. Dans un réseau, il est plus naturel pour les entités interconnectées de s'identifier.

Les mots de passe ne sont qu'une façon de s'authentifier. Il existe d'autres moyens:

1. Informations prédéfinies à la disposition de l'utilisateur: mot de passe, numéro d'identification personnel, accord sur l'utilisation de phrases cryptées spéciales.

2. Éléments matériels à la disposition de l'utilisateur: clés, cartes magnétiques, microcircuits, etc.

3. Caractéristiques personnelles typiques de l'utilisateur: empreintes digitales, dessin de la rétine, taille de la figure, ton de la voix et autres propriétés médicales et biochimiques plus complexes.

4. Techniques et caractéristiques typiques du comportement de l'utilisateur en temps réel: caractéristiques de la dynamique, style de travail sur le clavier, vitesse de lecture, capacité à utiliser des manipulateurs, etc.

5. Habitudes: utilisation de modèles informatiques spécifiques.

6. Compétences et connaissances des utilisateurs en raison de l'éducation, de la culture, de la formation, des antécédents, de l'éducation, des habitudes, etc.

Si quelqu'un souhaite se connecter à un système informatique via un terminal ou effectuer un travail par lots, le système informatique doit authentifier l'utilisateur. L'utilisateur lui-même n'authentifie généralement pas le système informatique. Si la procédure d'authentification est unidirectionnelle, c'est ce qu'on appelle la procédure d'authentification d'objet unidirectionnelle.

Les outils logiciels spécialisés pour protéger les informations contre les accès non autorisés ont, dans l'ensemble, de meilleures capacités et caractéristiques que les outils intégrés du système d'exploitation réseau. Outre les programmes de cryptage, il existe de nombreux autres outils de sécurité externes disponibles. Parmi les plus fréquemment cités, il convient de noter les deux systèmes suivants, permettant de restreindre les flux d'informations.

Pare-feu - pare-feu (littéralement pare-feu - mur de feu). Entre les réseaux locaux et mondiaux, des serveurs intermédiaires spéciaux sont créés qui inspectent et filtrent tout le trafic de couche réseau / transport qui les traverse. Cela peut réduire considérablement la menace d'accès non autorisé de l'extérieur aux réseaux d'entreprise, mais n'élimine pas du tout ce danger. Une version plus sécurisée de la méthode est le masquage, lorsque tout le trafic provenant du réseau local est envoyé au nom du serveur pare-feu, ce qui rend le réseau local pratiquement invisible.

Proxy-serveurs (proxy - procuration, personne de confiance). Tout le trafic de couche réseau / transport entre les réseaux locaux et mondiaux est totalement interdit - il n'y a tout simplement pas de routage en tant que tel, et les appels du réseau local vers le réseau mondial se produisent via des serveurs intermédiaires spéciaux. Evidemment, avec cette méthode, les appels du réseau global au réseau local deviennent en principe impossibles. Il est également évident que cette méthode n'offre pas une protection suffisante contre les attaques à des niveaux plus élevés - par exemple, au niveau de l'application (virus, code Java et JavaScript).

Examinons de plus près le fonctionnement du pare-feu. Il s'agit d'une méthode de protection d'un réseau contre les menaces de sécurité d'autres systèmes et réseaux en centralisant et en contrôlant l'accès au réseau par du matériel et des logiciels. Un pare-feu est une barrière de sécurité composée de plusieurs composants (par exemple, un routeur ou une passerelle qui exécute le logiciel de pare-feu). Le pare-feu est configuré conformément à la politique de contrôle d'accès au réseau interne de votre organisation. Tous les paquets entrants et sortants doivent passer par un pare-feu qui autorise uniquement le passage des paquets autorisés.

Un pare-feu de filtrage de paquets est un routeur ou un ordinateur qui exécute un logiciel configuré pour rejeter certains types de paquets entrants et sortants. Le filtrage des paquets est effectué sur la base des informations contenues dans les en-têtes TCP et IP des paquets (adresses de l'expéditeur et du destinataire, leurs numéros de port, etc.).

Pare-feu de niveau expert - vérifie le contenu des paquets reçus à trois couches du modèle OSI - réseau, session et application. Pour accomplir cette tâche, des algorithmes de filtrage de paquets spéciaux sont utilisés pour comparer chaque paquet à un modèle connu de paquets autorisés.

La création d'un pare-feu renvoie à la solution du problème du blindage. Le contexte formel du problème de dépistage est le suivant. Supposons qu'il y ait deux ensembles de systèmes d'information. Un écran est un moyen de différencier l'accès des clients d'un ensemble aux serveurs d'un autre ensemble. L'écran remplit ses fonctions en contrôlant tous les flux d'informations entre deux ensembles de systèmes (Fig. 6). Le contrôle des flux consiste à les filtrer, éventuellement à effectuer certaines transformations.

Figure: 6. Écran comme moyen de contrôle d'accès.

Au niveau de détail suivant, l'écran (membrane semi-perméable) est commodément considéré comme une séquence de filtres. Chacun des filtres, après avoir analysé les données, peut les retarder (ne pas les sauter), ou peut immédiatement «jeter» hors de l'écran. De plus, il est permis de transformer les données, de transférer une partie des données vers le filtre suivant pour poursuivre l'analyse, ou de traiter les données au nom du destinataire et de renvoyer le résultat à l'expéditeur (Fig.7).

Figure: 7. Écran comme une séquence de filtres.

En plus des fonctions de contrôle d'accès, les écrans effectuent la journalisation des échanges d'informations.

Habituellement, l'écran n'est pas symétrique, les termes «intérieur» et «extérieur» sont définis pour lui. Dans ce cas, le problème du blindage est formulé comme la protection de la zone interne de la zone externe potentiellement hostile. Ainsi, les pare-feu (FW) sont le plus souvent installés pour protéger le réseau d'entreprise d'une organisation disposant d'un accès Internet.

La protection permet de maintenir la disponibilité des services dorsaux en réduisant ou en éliminant la charge causée par les activités extérieures. La vulnérabilité des services de sécurité interne est réduite, puisque l'attaquant doit dans un premier temps franchir un écran où les mécanismes de défense sont particulièrement soigneusement configurés. De plus, le système de blindage, contrairement au système universel, peut être agencé de manière plus simple et, par conséquent, plus sûre.

Le blindage permet également de contrôler les flux d'informations dirigés vers la zone externe, ce qui contribue au maintien du régime de confidentialité dans le SI de l'organisation.

Le blindage peut être partiel, protégeant certains services d'information (par exemple, le blindage des e-mails).

Une interface de délimitation peut également être considérée comme une sorte de fuite. Un objet invisible est difficile à attaquer, en particulier avec un ensemble d'outils fixe. En ce sens, l'interface Web a une sécurité naturelle, en particulier lorsque des documents hypertextes sont générés dynamiquement. Chaque utilisateur ne voit que ce qu'il est censé voir. Une analogie peut être établie entre des documents hypertextes générés dynamiquement et des vues dans des bases de données relationnelles, avec la mise en garde essentielle que dans le cas du Web, les possibilités sont beaucoup plus larges.

Le rôle de blindage d'un service Web se manifeste également clairement lorsque ce service intervient (plus précisément, intègre) des fonctions lors de l'accès à d'autres ressources, telles que des tables de base de données. Il contrôle non seulement le flux des requêtes, mais masque également l'organisation réelle des données.

Il n'est pas possible de lutter contre les menaces inhérentes à l'environnement réseau à l'aide de systèmes d'exploitation universels. Un système d'exploitation générique est un énorme programme, contenant probablement, en plus d'erreurs évidentes, certaines fonctionnalités qui peuvent être utilisées pour obtenir illégalement des privilèges. La technologie de programmation moderne ne permet pas de sécuriser ces grands programmes. De plus, un administrateur traitant d'un système complexe n'est pas toujours en mesure de prendre en compte toutes les conséquences des modifications apportées. Enfin, dans un système multi-utilisateurs universel, des failles de sécurité sont constamment créées par les utilisateurs eux-mêmes (mots de passe faibles et / ou rarement modifiés, droits d'accès mal définis, terminal laissé sans surveillance, etc.). La seule voie prometteuse est associée au développement de services de sécurité spécialisés, qui, de par leur simplicité, permettent une vérification formelle ou informelle. Le pare-feu est un tel outil qui permet une décomposition supplémentaire associée à la maintenance de divers protocoles réseau.

Le pare-feu est situé entre le réseau protégé (interne) et l'environnement externe (réseaux externes ou autres segments du réseau d'entreprise). Dans le premier cas, ils parlent du ME externe, dans le second - de l'interne. Selon votre point de vue, un pare-feu externe peut être considéré comme la première ou la dernière (mais en aucun cas la seule) ligne de défense. Le premier est lorsque vous regardez le monde à travers les yeux d'un attaquant externe. Ce dernier - si vous vous efforcez de protéger tous les composants du réseau d'entreprise et d'empêcher les actions illégales des utilisateurs internes.

Un pare-feu est l'endroit idéal pour intégrer l'audit actif. D'une part, tant au niveau de la première que de la dernière ligne de défense, l'identification des activités suspectes est importante à sa manière. D'autre part, ME est capable de réaliser une réaction arbitrairement puissante à une activité suspecte, jusqu'à la rupture de connexion avec l'environnement extérieur. Cependant, vous devez être conscient que la connexion de deux services de sécurité peut, en principe, créer un trou propice aux attaques de disponibilité.

Il est conseillé d'attribuer au pare-feu l'identification / l'authentification des utilisateurs externes qui ont besoin d'accéder aux ressources de l'entreprise (avec prise en charge du concept d'authentification unique).

En raison des principes de séparation de défense, un blindage en deux parties est généralement utilisé pour protéger les connexions externes (voir Figure 8). Le filtrage primaire (par exemple, blocage des paquets du protocole de contrôle SNMP, dangereux avec des attaques sur la disponibilité, ou des paquets avec certaines adresses IP incluses dans la «liste noire») est effectué par le routeur frontalier (voir aussi la section suivante), derrière lequel la zone dite démilitarisée ( un réseau avec une confiance de sécurité modérée, où les services d'information externes de l'organisation sont pris - Web, e-mail, etc.) et le ME principal qui protège la partie interne du réseau d'entreprise.

En théorie, un pare-feu (en particulier un pare-feu interne) devrait être multiprotocole, mais en pratique, la domination de la famille de protocoles TCP / IP est si grande que la prise en charge d'autres protocoles semble être excessive, nuisible à la sécurité (plus le service est complexe, plus il est vulnérable).

Figure: 8. Blindage à deux composants avec zone démilitarisée.

De manière générale, les pare-feu externes et internes peuvent devenir un goulot d'étranglement car le volume du trafic réseau a tendance à augmenter rapidement. Une approche pour résoudre ce problème consiste à diviser le ME en plusieurs parties matérielles et à organiser des serveurs intermédiaires spécialisés. Le pare-feu principal peut classer grossièrement le trafic entrant par type et déléguer le filtrage aux intermédiaires appropriés (par exemple, un intermédiaire qui analyse le trafic HTTP). Le trafic sortant est d'abord traité par un serveur intermédiaire, qui peut également effectuer des actions fonctionnellement utiles, telles que la mise en cache des pages de serveurs Web externes, ce qui réduit la charge sur le réseau en général et le FW principal en particulier.

Les situations où un réseau d'entreprise ne contient qu'un seul canal externe sont l'exception plutôt que la règle. Au contraire, une situation typique est celle où un réseau d'entreprise se compose de plusieurs segments géographiquement dispersés, dont chacun est connecté à Internet. Dans ce cas, chaque connexion doit être protégée par son propre écran. Plus précisément, on peut supposer que le pare-feu externe de l'entreprise est composite et qu'il est nécessaire pour résoudre le problème de l'administration cohérente (gestion et audit) de tous les composants.

Les pare-feu personnels et les dispositifs de protection personnels sont opposés au ME d'entreprise composite (ou à leurs composants). Les premiers sont des produits logiciels qui sont installés sur les ordinateurs personnels et ne les protègent que. Ces derniers sont mis en œuvre sur des appareils séparés et protègent un petit réseau local tel qu'un réseau de bureau à domicile.

Lors du déploiement de pare-feu, vous devez suivre les principes de sécurité architecturale évoqués précédemment, en prenant tout d'abord soin de la simplicité et de la gérabilité, de la séparation de la défense et de l'impossibilité de passer à un état non sécurisé. En outre, les menaces non seulement externes mais également internes doivent être prises en compte.

Systèmes d'archivage et de duplication d'informations

L'organisation d'un système d'archivage des données fiable et efficace est l'une des tâches les plus importantes pour garantir la sécurité des informations sur le réseau. Dans les petits réseaux où un ou deux serveurs sont installés, il est le plus souvent utilisé pour installer le système d'archivage directement dans des emplacements de serveur libres. Dans les grands réseaux d'entreprise, il est préférable d'organiser un serveur d'archives spécialisé dédié.

Un tel serveur archive automatiquement les informations des disques durs des serveurs et des postes de travail à l'heure spécifiée par l'administrateur du réseau informatique local, en émettant un rapport sur la sauvegarde.

Le stockage des informations archivistiques de valeur particulière devrait être organisé dans une salle spécialement gardée. Les experts recommandent de stocker des archives en double des données les plus précieuses dans un autre bâtiment, en cas d'incendie ou de catastrophe naturelle. Pour assurer la récupération des données en cas de défaillance des disques magnétiques, les systèmes de grappes de disques sont le plus souvent utilisés - des groupes de disques fonctionnant comme un seul périphérique et conformes à la norme RAID (Redundant Arrays of Inexpensive Disks). Ces baies offrent les vitesses de lecture / écriture les plus élevées, une récupération complète des données et le remplacement échangeable à chaud des disques défectueux (sans arrêter le reste de la baie).

L'organisation des baies de disques prévoit diverses solutions techniques mises en œuvre à plusieurs niveaux:

Le niveau RAID 0 vous permet de diviser facilement le flux de données entre deux disques ou plus. L'avantage de cette solution est que la vitesse d'E / S augmente proportionnellement au nombre de disques dans la matrice.

Le niveau RAID 1 consiste à organiser des disques dits «en miroir». Pendant l'enregistrement des données, les informations du disque principal du système sont dupliquées sur le disque en miroir, et si le disque principal tombe en panne, le disque «en miroir» est immédiatement mis sous tension.

Les niveaux RAID 2 et 3 permettent la création de grappes de disques parallèles, lorsqu'elles sont écrites sur lesquelles les données sont réparties sur les disques à un niveau binaire.

Les niveaux RAID 4 et 5 sont une modification du niveau zéro, dans lequel le flux de données est distribué sur les disques de la matrice. La différence est qu'au niveau 4, un disque spécial est alloué pour stocker les informations redondantes, et au niveau 5, les informations redondantes sont réparties sur tous les disques de la matrice.

L'amélioration de la fiabilité et de la protection des données dans le réseau, basée sur l'utilisation d'informations redondantes, est mise en œuvre non seulement au niveau des éléments de réseau individuels, tels que les baies de disques, mais également au niveau du système d'exploitation du réseau. Par exemple, Novell implémente des versions tolérantes aux pannes du système d'exploitation Netware - SFT (System Fault Tolerance):

SFT Niveau I. Le premier niveau prévoit la création de copies supplémentaires des tables FAT et des entrées de répertoire, la vérification immédiate de chaque bloc de données nouvellement écrit sur le serveur de fichiers, ainsi que la sauvegarde sur chaque disque dur d'environ 2% de l'espace disque.

SFT Niveau II contenait en outre la possibilité de créer des disques «en miroir», ainsi que des contrôleurs de disque, des alimentations et des câbles d'interface en double.

La version SFT Niveau III permet l'utilisation de serveurs dupliqués dans le réseau local, dont l'un est le "maître", et le second, contenant une copie de toutes les informations, entre en service en cas de défaillance du serveur "maître".

Le service d'analyse de sécurité est conçu pour identifier les vulnérabilités afin de les éliminer rapidement. En soi, ce service ne protège contre rien, mais il permet de détecter (et d'éliminer) les failles de sécurité avant qu'un attaquant ne puisse les exploiter. Tout d'abord, je ne parle pas d'architecture (ils sont difficiles à éliminer), mais de lacunes «opérationnelles» apparues à la suite d'erreurs administratives ou en raison d'une inattention à la mise à jour des versions logicielles.

Les systèmes d'analyse de la sécurité (également appelés scanners de sécurité), comme les outils d'audit actifs évoqués ci-dessus, sont basés sur l'accumulation et l'utilisation de connaissances. Il s'agit de connaître les failles de sécurité: comment les rechercher, leur gravité et comment y remédier.

En conséquence, le cœur de ces systèmes est la base des vulnérabilités, qui détermine la gamme de capacités disponibles et nécessite une mise à jour presque constante.

En principe, des lacunes de nature très différente peuvent être détectées: présence de malwares (notamment virus), mots de passe utilisateur faibles, systèmes d'exploitation mal configurés, services réseau non sécurisés, patchs désinstallés, vulnérabilités applicatives, etc. Cependant, les plus efficaces sont les scanners de réseau (apparemment en raison de la prédominance de la famille de protocoles TCP / IP), ainsi que les outils antivirus. Nous classons la protection antivirus comme un outil d'analyse de la sécurité, sans la compter comme un service de sécurité distinct.

Les scanners peuvent identifier les vulnérabilités à la fois par analyse passive, c'est-à-dire en examinant les fichiers de configuration, les ports utilisés, etc., et en imitant les actions d'un attaquant. Certaines vulnérabilités trouvées peuvent être éliminées automatiquement (par exemple, désinfection des fichiers infectés), d'autres sont signalées à l'administrateur.

Le contrôle fourni par les systèmes d'analyse de sécurité est réactif, retardé par nature, il ne protège pas contre de nouvelles attaques, mais il faut se rappeler que la défense doit être échelonnée, et le contrôle de sécurité est tout à fait adéquat comme l'une des lignes. On sait que la très grande majorité des attaques sont de routine; ils ne sont possibles que parce que les failles de sécurité connues restent non résolues pendant des années.

3.1 Caractéristiques de l'entreprise et du réseau d'entreprise

Le groupe de sociétés Vestel regroupe 19 sociétés spécialisées dans le développement, la production, la commercialisation et la distribution de produits électroniques grand public, de petits et gros appareils électroménagers. En tant que l'un des leaders du marché de l'électronique et des appareils ménagers en Europe, la société possède des bureaux dans des pays tels que la France, l'Espagne, l'Allemagne, la Belgique, le Luxembourg, l'Italie, la Grande-Bretagne, les Pays-Bas, la Roumanie, Taïwan, Hong Kong, la Finlande et les États-Unis. Les installations de fabrication et de recherche sont également concentrées dans de nombreuses régions du monde. Actuellement, Vestel Group fait partie de la grande holding transnationale Zorlu, dont le siège est à Istanbul (Turquie).

L'usine d'Aleksandrov a été fondée en novembre 2002 et en novembre 2003, la production de téléviseurs a commencé. En 2006, un atelier de production de machines à laver et de réfrigérateurs a été construit. À l'heure actuelle, les téléviseurs CRT, LCD et plasma, les machines à laver, les réfrigérateurs et les cuisinières sont présentés sur le marché russe. L'usine utilise les technologies d'assemblage les plus modernes et des systèmes de contrôle qualité entièrement automatisés.

Le nombre d'employés est de plus de 700 personnes (environ 500 d'entre eux sont des travailleurs).

L'entreprise ne possède pas d'informations constituant un secret d'État, mais elle travaille avec des secrets commerciaux et officiels.

L'entreprise dispose de son propre réseau local, auquel seuls les employés de Vestel ont accès. Dans la plupart des cas, il n'y a accès qu'à un nombre limité de sites sur ce réseau, nécessaire au cours des travaux. Les informations sur chaque connexion au réseau sont enregistrées par l'administrateur système. Cela vaut également pour Internet.

Le nombre de postes de travail du réseau est de 27. Ils sont regroupés en plusieurs groupes de travail:

directeur d'entreprise - 1 poste de travail;

département numéro 1 - 2 postes de travail;

secrétaire - 1 poste de travail;

les départements 1, 2 et 3 du département n ° 2 avec respectivement 3, 2 et 4 postes de travail;

départements 4 et 5 du département n ° 3 pour 3 et 4 postes de travail;

département 6 du département n ° 4 - 3 postes de travail;

département n ° 5 - 4 postes de travail;

département numéro 6 - 4 postes de travail.

L'ensemble du réseau est situé sur un étage d'un bâtiment administratif.

Le plan des locaux où se trouvent les postes de travail et le serveur est présenté à l'annexe B.

Le réseau, comme on peut le voir sur la Fig. 9 a une topologie en étoile.

La topologie en étoile est une structure plus efficace, chaque ordinateur, y compris le serveur, est connecté par un segment de câble séparé à un concentrateur central (HAB).

Le principal avantage d'un tel réseau est sa résilience aux pannes résultant de dysfonctionnements sur des PC individuels ou en raison de dommages au câble réseau.

La méthode d'accès utilisée est CSMA / CD. C'est cette méthode d'accès qui est utilisée par l'architecture du réseau Ethernet qui est utilisée dans l'entreprise. Le réseau est construit sur la base d'une paire torsadée (10Base-T) utilisant un câble Siemon, norme UTP (paire torsadée non blindée) catégorie 5, norme internationale des systèmes de câbles.

Les systèmes d'exploitation utilisés sont Windows 2000 (sur les postes de travail) et Windows 2003 Server.

Figure: 9. Topologie du réseau d'entreprise.

L'entreprise a développé les mesures de protection des informations suivantes:

Un accord a été conclu sur la protection des locaux et du territoire (le contrôle d'accès est en vigueur);

Le régime et les règles de sécurité incendie ont été élaborés;

Mode de surveillance au sol;

Les descriptions de poste des employés ont été élaborées, délimitant leurs droits et obligations;

Accords supplémentaires aux contrats de travail des employés sur la non-divulgation d'informations confidentielles par eux, réglementant la responsabilité dans le domaine de la protection de l'information;

Instructions pour la protection du périmètre, pour le fonctionnement du système d'alarme de sécurité et la vidéosurveillance;

Règlement sur le flux de documents confidentiels;

Description du processus technologique de traitement CI;

Système de protection antivirus installé sur le poste de travail;

L'accès au poste de travail est délimité par des mots de passe.

Le support juridique du système de protection des informations confidentielles comprend un ensemble de documents internes réglementaires et organisationnels, qui comprend des documents de l'entreprise tels que:

Convention collective de travail;

Contrats de travail avec les employés de l'entreprise;

Règlement intérieur des employés de l'entreprise;

Responsabilités professionnelles des gestionnaires, des spécialistes et des employés de l'entreprise.

Instructions aux utilisateurs des réseaux d’information et des bases de données;

Instructions des employés responsables de la protection des informations;

Note de service d'un employé sur la préservation des secrets commerciaux ou autres;

Obligations contractuelles.

Sans approfondir le contenu des documents listés, on peut dire que tous, en fonction de leur principale finalité réglementaire ou légale, indiquent des exigences, des normes ou des règles pour assurer le niveau nécessaire de sécurité de l'information de l'entreprise, adressée principalement au personnel et à la direction.

Le soutien juridique permet de régler de nombreuses questions controversées qui surgissent inévitablement dans le processus d'échange d'informations à différents niveaux - de la communication vocale à la transmission de données dans les réseaux informatiques. En outre, un système juridiquement formalisé de mesures administratives est en cours de formation, ce qui permet d'appliquer des sanctions ou des sanctions aux contrevenants à la politique de sécurité intérieure, ainsi que d'établir des conditions suffisamment claires pour garantir la confidentialité des informations utilisées ou générées en coopération entre entités économiques, leur respect des obligations contractuelles, la mise en œuvre d'activités conjointes et etc. Dans le même temps, les parties qui ne remplissent pas ces conditions sont responsables dans le cadre prévu à la fois par les clauses pertinentes des documents inter-parties (contrats, accords, contrats, etc.) et par le droit russe.

Les principaux objets de protection sont:

AWP des employés;

Serveur de réseau local;

Informations confidentielles (documents);

Bureaux du directeur général, ingénieur en chef et technologue en chef;

Armoires avec documentation confidentielle.

Windows 2003 Server possède des fonctionnalités de sécurité intégrées au système d'exploitation. Les plus importants d'entre eux sont examinés ci-dessous.

Suivi de l'activité du réseau.

Windows 2003 Server fournit de nombreux outils pour suivre l'activité et l'utilisation du réseau. Le système d'exploitation permet:

afficher le serveur et voir quelles ressources il utilise;

voir les utilisateurs actuellement connectés au serveur et voir quels fichiers ils ont ouverts;

vérifier les données dans le journal de sécurité;

vérifiez les entrées dans le journal des événements;

spécifier les erreurs dont l'administrateur doit être averti si elles se produisent

Démarrer une session sur un poste de travail

Chaque fois qu'un utilisateur démarre une session sur un poste de travail, l'écran de démarrage de la session demande un nom d'utilisateur, un mot de passe et un domaine. Le poste de travail envoie ensuite le nom d'utilisateur et le mot de passe au domaine pour l'authentification. Le serveur du domaine valide le nom d'utilisateur et le mot de passe par rapport à la base de données des informations d'identification de l'utilisateur du domaine. Si le nom d'utilisateur et le mot de passe sont identiques à ceux de la carte de compte, le serveur avertit le poste de travail de démarrer la session. Le serveur charge également d'autres informations lors du démarrage d'une session utilisateur, telles que les préférences utilisateur, son répertoire et les variables d'environnement.

Par défaut, toutes les cartes de compte du domaine ne vous permettent pas de vous connecter. Seules les cartes de groupe Administrateur, Opérateur de serveur, Opérateur de contrôle d'impression, Opérateur de carte de compte et Opérateur de contrôle de sauvegarde sont autorisées à le faire.

Tous les utilisateurs du réseau de l'entreprise reçoivent leur propre nom et mot de passe (pour plus de détails, voir la section suivante du WRC).

Cartes d'enregistrement des utilisateurs

Chaque client qui utilise le réseau a un compte utilisateur dans le domaine du réseau. Un compte d'utilisateur contient des informations sur un utilisateur, y compris un nom d'utilisateur, un mot de passe et des restrictions de réseau qui lui sont imposées. Les fiches d'index vous permettent de regrouper les utilisateurs disposant de ressources similaires en groupes; Les groupes facilitent l'octroi de droits et d'autorisations aux ressources en effectuant une seule action pour accorder des droits ou des autorisations à l'ensemble du groupe.

L'annexe B montre le contenu du compte de l'utilisateur.

Journal des événements de sécurité

Windows 2003 Server vous permet de déterminer ce qui sera révisé et sera écrit dans le journal des événements de sécurité chaque fois que certaines actions sont effectuées ou que des fichiers sont accédés. L'élément de révision montre l'action entreprise, l'utilisateur qui l'a effectuée, ainsi que la date et l'heure de l'action. Cela vous permet de contrôler les tentatives réussies et infructueuses de toute action.

Un journal des événements de sécurité d'entreprise est indispensable, car si un compromis est tenté, la source peut être retracée.

En fait, seuls les utilisateurs et événements suspects sont enregistrés. Car si tous les événements sont enregistrés, le volume des informations d'enregistrement augmentera probablement trop rapidement et son analyse efficace deviendra impossible. La surveillance est importante avant tout comme mesure préventive. On espère que beaucoup s'abstiendront de violer la sécurité, sachant que leurs actions sont enregistrées.

Droits de l'utilisateur

Les droits d'utilisateur déterminent les types d'actions autorisées pour cet utilisateur. Les actions contrôlées par les droits incluent la connexion à l'ordinateur local, l'arrêt, le réglage de l'heure, la copie et la restauration des fichiers du serveur et d'autres tâches.

Dans un domaine Windows 2003 Server, les droits sont accordés et limités au niveau du domaine; si le groupe se trouve directement dans un domaine, les membres ont des droits sur tous les contrôleurs de domaine principaux et secondaires.

Chaque utilisateur de l'entreprise doit avoir ses propres droits d'accès aux informations, l'autorisation de copier et de restaurer des fichiers.

Paramètres de mot de passe et politique de carte de compte

Tous les aspects de la politique de mot de passe sont définis pour le domaine: la longueur minimale du mot de passe (6 caractères), l'âge minimal et maximal du mot de passe et l'exclusivité du mot de passe, qui empêche l'utilisateur de changer son mot de passe en mot de passe que l'utilisateur a récemment utilisé.

Il est également possible de définir d'autres aspects de la politique de carte d'enregistrement:

Si la carte de compte est bloquée;

Si les utilisateurs doivent se déconnecter de force du serveur après les heures de début de session;

Si les utilisateurs doivent pouvoir se connecter pour changer leur mot de passe.

Lorsque le blocage de la carte de compte est activé, la carte de compte est bloquée en cas de plusieurs tentatives infructueuses de démarrage d'une session utilisateur, et pas plus d'un certain laps de temps entre deux tentatives infructueuses de démarrage d'une session. Les cartes de compte qui sont bloquées ne peuvent pas être utilisées pour se connecter.

Si les utilisateurs sont déconnectés de force des serveurs lorsque leur session a expiré, ils reçoivent un avertissement juste avant la fin de la période de session spécifiée. Si les utilisateurs ne sont pas déconnectés du réseau, le serveur forcera la déconnexion. Cependant, l'utilisateur ne sera pas déconnecté du poste de travail. Les heures de session dans l'entreprise ne sont pas fixées, car tous les employés sont intéressés par des activités réussies et souvent certains continuent de travailler des heures supplémentaires ou le week-end.

Si l'utilisateur doit changer le mot de passe, alors qu'il ne l'a pas fait avec un mot de passe expiré, il ne pourra pas changer son mot de passe. Si le mot de passe expire, l'utilisateur doit contacter l'administrateur système pour obtenir de l'aide pour modifier le mot de passe afin de pouvoir se reconnecter au réseau. Si l'utilisateur ne s'est pas connecté et que le moment est venu de changer le mot de passe, il sera averti de la nécessité de changer dès qu'il se connectera.

Système de fichiers crypté EFS

Windows 2000 offre la possibilité de protéger davantage les fichiers et dossiers chiffrés sur les volumes NTFS à l'aide du système de fichiers de chiffrement (EFS). Lorsque vous travaillez dans un environnement Windows 2000, vous ne pouvez travailler qu'avec des volumes pour lesquels vous avez des droits d'accès.

Avec EFS, vous pouvez crypter des fichiers et des dossiers avec une paire de clés. Tout utilisateur souhaitant accéder à un fichier spécifique doit disposer d'une clé privée avec laquelle les données du fichier seront déchiffrées. EFS fournit également un schéma de protection des fichiers pour Windows 2000. Cependant, l'entreprise ne tire pas parti de cette fonctionnalité car le chiffrement dégrade les performances du système.

Les aspects organisationnels et juridiques de la protection des informations contre les accès non autorisés et les capacités de Windows 2000 à cet égard ont déjà été indiqués ci-dessus. Je vais maintenant m'attarder un peu plus en détail sur d'autres aspects.

Les informations qui circulent dans le réseau d'entreprise sont très diverses. Toutes les ressources d'information sont divisées en trois groupes:

Ressources réseau partagées;

Ressources d'informations du serveur de fichiers;

Ressources d'information du SGBD.

Chaque groupe contient un certain nombre de noms de ressources d'information, qui à leur tour ont un code individuel, un niveau d'accès, un emplacement réseau, un propriétaire, etc.

Ces informations sont importantes pour l'entreprise et ses clients, elles doivent donc être bien protégées.

Clés électroniques

Tous les ordinateurs travaillant avec des informations constituant un secret commercial sont équipés de systèmes logiciels et matériels supplémentaires.

Ces complexes sont une combinaison de logiciels et de matériel pour protéger les informations contre tout accès non autorisé.

Le matériel de ces complexes, la soi-disant serrure électronique, est une carte électronique insérée dans l'une des fentes d'ordinateur et équipée d'une interface pour connecter un lecteur de clés électroniques de types tels que: Smart Card, Touch Memory, Proximity Card, eToken. Un ensemble typique de fonctions fournies par de telles serrures électroniques est:

Enregistrement des utilisateurs d'ordinateurs et attribution de leurs identifiants personnels (noms et / ou clés électroniques) et mots de passe pour entrer dans le système;

Demande d'un ID utilisateur et d'un mot de passe personnels lors du démarrage de l'ordinateur. La demande est effectuée par le matériel avant le chargement du système d'exploitation;

La possibilité de bloquer la connexion d'un utilisateur enregistré;

Tenir un journal système, qui enregistre les événements liés à la sécurité du système;

Contrôle de l'intégrité des fichiers sur le disque dur;

Contrôle de l'intégrité des secteurs physiques du disque dur;

Protection matérielle contre le chargement non autorisé du système d'exploitation à partir d'une disquette, d'un CD-ROM ou de ports USB;

La capacité de travailler avec des outils logiciels pour se protéger contre les accès non autorisés.

Protection des données Guardian

L'entreprise utilise une telle option de protection des informations comme protection des données de tuteur. Un ayant droit est un utilisateur qui a obtenu des privilèges ou des droits d'accès aux ressources d'informations de fichiers.

Chaque employé a l'un des huit types de droits:

Lire - le droit de lire les fichiers ouverts;

Ecrire - le droit d'écriture pour ouvrir les fichiers;

Ouvrir - le droit d'ouvrir un fichier existant;

Créer - le droit de créer (et d'ouvrir simultanément) de nouveaux fichiers;

Supprimer - le droit de supprimer les fichiers existants;

Parental - Droits parentaux:

Le droit de créer, renommer, effacer les sous-répertoires du répertoire;

Le droit d'établir des fiduciaires et des droits dans le répertoire;

Le droit de créer des fiduciaires et les droits dans un sous-répertoire;

Recherche - le droit de rechercher dans le catalogue;

Modifier - le droit Modifier les attributs de fichier.

Tous les travailleurs utilisent la protection des attributs de fichier pour éviter les modifications accidentelles ou la suppression de fichiers individuels. Cette protection s'applique aux fichiers d'informations publiques qui sont couramment lus par de nombreux utilisateurs. Il existe quatre attributs de fichier utilisés dans la protection des données:

Lire écrire,

Seulement lire,

Partagé,

Non partagé.

Comme je l'ai souligné, tous les ordinateurs de l'entreprise sont protégés par des mots de passe.

Étant donné que Microsoft Windows 2000 et Windows Server 2003 sont installés sur tous les ordinateurs de l'organisation, la protection par mot de passe du système d'exploitation est utilisée, qui est installée par l'administrateur dans le BIOS, car c'est la protection du BIOS qui joue le rôle le plus important dans la prévention de l'accès non autorisé aux données de l'ordinateur.

La modification, la destruction du BIOS d'un ordinateur personnel est possible à la suite d'une réinitialisation non autorisée ou de l'exploitation de programmes malveillants, de virus.

La protection du BIOS est fournie en fonction du modèle d'ordinateur:

En réglant le commutateur situé sur la carte mère sur une position qui exclut la modification du BIOS (effectuée par le service d'assistance technique du département d'automatisation);

Définition du mot de passe administratif dans le logiciel SETUP.

Le BIOS est protégé contre une réinitialisation non autorisée en scellant l'ordinateur avec un autocollant holographique protecteur.

Deux types de mots de passe d'accès sont utilisés: administrateur et utilisateur.

Lors de la définition des mots de passe administrateur et utilisateur, les règles suivantes doivent être respectées:

L'utilisateur de l'ordinateur sélectionne et entre le mot de passe utilisateur seul (au moins 6 caractères). L'administrateur de la sécurité de l'information n'a pas le droit d'apprendre le mot de passe de l'utilisateur.

Le mot de passe administratif (au moins 8 caractères) est entré par l'administrateur de la sécurité des informations. L'administrateur de la sécurité de l'information n'a pas le droit de fournir le mot de passe administratif à l'utilisateur.

Dans le cas où l'ordinateur est équipé d'une protection matérielle et logicielle contre la falsification, qui interdit le chargement du système d'exploitation sans présenter un identifiant personnel d'utilisateur, le mot de passe de l'utilisateur peut ne pas être défini.

Avec un résultat positif de validation du mot de passe présenté par l'utilisateur:

Le système de contrôle d'accès accorde à l'utilisateur les droits d'accès qui lui sont attribués;

L'utilisateur s'enregistre avec les outils d'enregistrement intégrés (le cas échéant).

Contrôle d'accès Internet

Une attention particulière devrait être accordée à l'accès des employés de l'entreprise à Internet.

Auparavant, l'accès à Internet se faisait à partir d'un lieu de travail spécialisé appelé borne Internet. Le kiosque n'était pas connecté au réseau d'entreprise de l'entreprise.

La division qui exploitait la borne Internet a réalisé:

Le journal de comptabilité des travaux sur Internet, qui reflétait: le nom de l'utilisateur, la date, l'heure du début des travaux, la durée des travaux, le but du travail, les ressources utilisées, la signature;

Le journal d'admission, qui reflétait: le nom de l'utilisateur, les tâches pour la solution pour lesquelles il est autorisé à travailler sur Internet, le temps de travail et la durée maximale, la signature du responsable.

Mais cette pratique a été abandonnée par la suite. Désormais, tous les ordinateurs du réseau d'entreprise ont accès à Internet.

La croissance de la gamme et du volume des services, entraînant la nécessité pour les départements d'échanger des informations avec des organisations externes, ainsi que la nécessité de fournir un accès à distance aux informations via les canaux de communication publics, augmentent considérablement les risques d'accès non autorisé, d'attaques de virus, etc.

3.5 Protection antivirus

Facteurs de risque à considérer

Les virus peuvent pénétrer dans la machine de différentes manières (via le réseau mondial, via une disquette infectée ou une clé USB). Les conséquences de leur pénétration sont très désagréables: de la destruction d'un fichier à la perturbation de l'ensemble de l'ordinateur. Un seul fichier infecté suffit pour infecter toutes les informations de l'ordinateur, puis infecter l'ensemble du réseau d'entreprise.

Lors de l'organisation d'un système de protection antivirus dans l'entreprise, les facteurs de risque suivants ont été pris en compte:

Fonctionnalités limitées des logiciels antivirus

La capacité de créer de nouveaux virus en mettant l'accent sur la lutte contre des packages antivirus et des mécanismes de protection spécifiques, l'utilisation de vulnérabilités dans les logiciels système et d'application font que même l'utilisation totale d'outils antivirus avec des bases de données antivirus à jour ne fournit pas une protection garantie contre la menace d'infection virale, car un virus peut apparaître, procédures protection contre laquelle n'a pas encore été ajoutée aux dernières bases de données antivirus.

Haute intensité de détection des vulnérabilités critiques dans les logiciels système

La présence de nouvelles vulnérabilités critiques non résolues dans le logiciel système crée des canaux pour la distribution massive de nouveaux virus sur les réseaux locaux et mondiaux. L'inclusion de modules «Trojan» dans les virus, qui permettent de contrôler à distance un ordinateur avec un maximum de privilèges, crée non seulement des risques de déni de service massif, mais également des risques de vol direct par accès non autorisé aux systèmes bancaires automatisés.

La nécessité de tester préalablement les mises à jour du système et des logiciels antivirus

L'installation de mises à jour sans test préalable crée des risques d'incompatibilité du système, des applications et des logiciels antivirus et peut entraîner des dysfonctionnements. Dans le même temps, les tests entraînent des retards supplémentaires dans l'installation des mises à jour et, par conséquent, augmentent le risque d'infection virale.

Diversité et nature multiplateforme du matériel et des logiciels utilisés dans les systèmes automatisés

La capacité de certains types de virus à fonctionner sur différentes plates-formes, la capacité des virus à se multiplier à l'aide de systèmes de messagerie d'entreprise ou de réseaux informatiques, le manque de produits antivirus pour certaines plates-formes spécifiques rendent impossible ou inefficace l'utilisation de logiciels antivirus dans certains cas.

Large disponibilité de communications mobiles modernes, de périphériques de stockage et de supports de stockage haute capacité

Les communications mobiles modernes permettent à des employés sans scrupules d'établir une connexion non autorisée d'un lieu de travail automatisé à Internet, créant ainsi une brèche dans le périmètre de sécurité d'un réseau d'entreprise et exposant ses ressources d'information au risque d'infection massive par un nouveau virus informatique. La disponibilité de dispositifs de stockage compacts disponibles et le transfert de grandes quantités d'informations créent des conditions pour une utilisation non autorisée de ces dispositifs et supports à des fins personnelles et autres que la production. La copie non autorisée d'informations obtenues à partir de sources non vérifiées vers des ordinateurs d'entreprise augmente considérablement le risque d'infection virale.

La nécessité d'actions qualifiées pour repousser une attaque virale

Des actions non qualifiées pour repousser une attaque virale peuvent entraîner une aggravation des conséquences de l'infection, une perte partielle ou complète d'informations critiques, une élimination incomplète de l'infection virale ou même une expansion du foyer de l'infection.

La nécessité de planifier des mesures pour identifier les conséquences d'une attaque virale et restaurer le système d'information affecté

En cas d'impact direct du virus sur le système bancaire automatisé, ou au cours de mesures de traitement sans réserve, des informations peuvent être perdues ou le logiciel peut être déformé.

Dans les conditions de ces facteurs, seule l'adoption de mesures de sécurité globales et strictes pour tous les types de menaces possibles nous permettra de maîtriser les risques sans cesse croissants d'arrêt complet ou partiel des processus métier suite à des infections virales.

Forfait Dr.Web

Dr.Web Enterprise Suite a été choisi pour la protection antivirus. Ce package offre une protection centralisée pour un réseau d'entreprise de toute taille. Une solution moderne basée sur les technologies Dr.Web pour les réseaux d'entreprise, est un complexe technique unique avec un système intégré pour la gestion centralisée de la protection antivirus dans toute l'entreprise. Dr.Web Enterprise Suite permet à un administrateur travaillant à la fois à l'intérieur du réseau et sur un ordinateur distant (via Internet) d'effectuer les tâches administratives nécessaires à la gestion de la protection antivirus d'une organisation.

Principales caractéristiques:

Distribution rapide et efficace de la base de données virale et des mises à jour des modules de programme sur les postes de travail protégés par le serveur Dr.Web Enterprise Suite.

Minimal, en comparaison avec des solutions similaires d'autres fabricants, trafic réseau construit sur la base des protocoles IP, IPX et NetBIOS avec la possibilité d'utiliser des algorithmes de compression spéciaux.

La possibilité d'installer le poste de travail d'un administrateur (console de gestion de la protection antivirus) sur presque tous les ordinateurs exécutant n'importe quel système d'exploitation.

Le fichier de clé client et serveur est stocké sur le serveur par défaut.

Scanner Dr.Web avec une interface graphique. Analyse à la demande les objets sélectionnés par l'utilisateur sur les disques, détecte et neutralise les virus en mémoire, analyse les fichiers de démarrage et les processus.

Chien de garde résident (moniteur) SpIDer Guard. Surveille tous les accès aux fichiers en temps réel, détecte et bloque les actions de programme suspectes.

Filtre de messagerie résident SpIDer Mail. Surveille en temps réel tous les messages électroniques, entrants via le protocole POP3 et sortants via le protocole SMTP. De plus, il assure un fonctionnement sécurisé sur les protocoles IMAP4 et NNTP.

Scanner de console Dr.Web. Analyse à la demande les objets sélectionnés par l'utilisateur sur les disques, détecte et neutralise les virus en mémoire, analyse les fichiers de démarrage et les processus.

Utilitaire de mise à jour automatique. Télécharge les bases de données virales et les mises à jour des modules du programme, et effectue également l'enregistrement et la livraison d'un fichier de licence ou de clé de démonstration.

Planificateur de tâches. Vous permet de planifier les actions régulières nécessaires pour assurer la protection antivirus, par exemple, mettre à jour les bases de données virales, analyser les disques informatiques, vérifier les fichiers de démarrage.

Dr.Web pour Windows 5.0 offre la possibilité de guérir les infections actives, inclut des technologies de traitement des processus de mémoire et est résistant aux virus. En particulier, Dr.Web est capable de neutraliser des virus complexes tels que MaosBoot, Rustock.C, Sector. Comme indiqué, les technologies qui permettent à Dr.Web de lutter efficacement contre les virus actifs, et pas seulement de détecter les collections de laboratoire, ont été perfectionnées dans la nouvelle version.

Le module d'auto-défense Dr.Web SelfProtect offre un contrôle total des accès et des modifications aux fichiers, processus, fenêtres et clés de registre des applications. Le module d'autodéfense lui-même est installé dans le système en tant que pilote, le déchargement et l'arrêt non autorisé sont impossibles jusqu'à ce que le système soit redémarré.

Dans la version 5.0, une nouvelle technologie de décompression universelle Fly-code est implémentée, qui permet de détecter les virus cachés sous des packers inconnus Dr.Web, sur la base d'entrées spéciales dans la base de données de virus Dr.Web et d'hypothèses heuristiques du module de recherche Dr.Web sur un éventuel contenu malveillant dans l'archive compressée. objet.

La technologie de recherche sans signature Origins Tracing, qui a été perfectionnée dans la nouvelle version, permet également de contrer les menaces inconnues de Dr.Web. Selon les développeurs, Origins Tracing complète la recherche de signature traditionnelle et l'analyseur heuristique Dr.Web et augmente le niveau de détection de programmes malveillants jusque-là inconnus.

De plus, selon Doctor Web, Dr.Web pour Windows est capable non seulement de détecter, mais aussi de neutraliser efficacement les virus à l'aide des technologies de rootkit. Dans la version 5.0, une version fondamentalement nouvelle du pilote Dr.Web Shield est implémentée, ce qui vous permet de lutter même contre les technologies de rootkit de la future génération. En même temps, Dr.Web est capable d'analyser complètement les archives de tous les niveaux d'imbrication. En plus de travailler avec des archives, Dr.Web pour Windows version 5.0 ajoute la prise en charge de dizaines de nouveaux packers et un certain nombre d'améliorations ont été apportées lors de l'utilisation de fichiers compressés, y compris des fichiers compressés plusieurs fois et même avec différents packers.

En incorporant les nouvelles technologies Dr.Web existantes et en optimisant pour Windows, les développeurs ont réussi à accélérer le processus de numérisation. Grâce aux performances accrues du moteur anti-virus, le scanner Dr.Web est 30% plus rapide que la version précédente, scanne la RAM, les secteurs de démarrage, le contenu des disques durs et des supports amovibles, selon la société.

Parmi les nouveaux produits figure le moniteur HTTP SpIDer Gate. Le moniteur HTTP SpIDer Gate analyse tout le trafic HTTP entrant et sortant, tout en étant compatible avec tous les navigateurs connus, et son fonctionnement n'a pratiquement aucun effet sur les performances du PC, la vitesse Internet et la quantité de données transférées. Toutes les données provenant d'Internet sont filtrées - fichiers, applets, scripts, ce qui vous permet de télécharger uniquement du contenu vérifié sur votre ordinateur.

Tester le package Dr.Web

Pour m'assurer que le Dr.Web sélectionné comme package antivirus d'entreprise est un outil vraiment fiable, j'ai étudié plusieurs revues de programmes antivirus et examiné plusieurs résultats de tests.

Les résultats du test probabiliste (website antivirus.ru) donnent la première place à Dr.Web (Annexe D).

Selon les résultats des tests de février des programmes antivirus menés par le magazine Virus Bulletin, le polyphage domestique Dr. Web s'est classé 8e parmi les meilleurs programmes antivirus au monde. Dr. Web a montré un résultat absolu de 100% dans une catégorie (technologique) importante et prestigieuse - dans le degré de détection des virus polymorphes complexes. Il faut surtout noter que dans les tests du magazine Virus Bulletin, un résultat à 100% dans la détection de virus polymorphes, Dr. Le Web a constamment réalisé (janvier 2007, juillet-août 2007 et janvier 2008) pour la troisième fois consécutive. Aucun autre scanner antivirus ne peut se vanter d'une telle stabilité dans cette catégorie.

Le niveau le plus élevé de 100% a été atteint par le Dr. Le Web est également dans une catégorie très pertinente - dans la détection des macro-virus.

Le progrès a donné à l'humanité de nombreuses réalisations, mais les mêmes progrès ont donné lieu à de nombreux problèmes. L'esprit humain, tout en résolvant certains problèmes, se heurte certainement à d'autres, nouveaux. Le problème éternel est la protection des informations. À divers stades de son développement, l'humanité a résolu ce problème avec une caractéristique caractéristique de cette époque. L’invention de l’ordinateur et le développement rapide des technologies de l’information dans la seconde moitié du XXe siècle ont rendu le problème de la protection de l’information aussi urgent et aigu que la technologie de l’information concerne aujourd’hui toute la société. La principale tendance qui caractérise le développement des technologies modernes de l'information est une augmentation du nombre de délits informatiques et de vols connexes d'informations confidentielles et autres, ainsi que des pertes matérielles.

Aujourd'hui, personne ne peut probablement dire avec certitude le nombre exact de pertes totales dues à des délits informatiques associés à un accès non autorisé à l'information. Cela est principalement dû à la réticence des entreprises concernées à divulguer des informations sur leurs pertes, ainsi qu'au fait que les pertes résultant du vol d'informations ne peuvent pas toujours être estimées avec précision en termes monétaires.

Il existe de nombreuses raisons à l'intensification de la criminalité informatique et des pertes financières associées, dont les plus importantes sont:

Transition de la technologie traditionnelle "papier" de stockage et de transmission de l'information à l'électronique et développement insuffisant de la technologie de protection de l'information dans ces technologies;

Consolidation des systèmes informatiques, création de réseaux mondiaux et élargissement de l'accès aux ressources d'information;

Une augmentation de la complexité des outils logiciels et une diminution correspondante de leur fiabilité et une augmentation du nombre de vulnérabilités.

Les réseaux informatiques, en raison de leur spécificité, ne peuvent tout simplement pas fonctionner et se développer normalement, ignorant les problèmes de protection de l'information.

Dans le premier chapitre de mon document de qualification, divers types de menaces et de risques ont été examinés. Les menaces à la sécurité sont divisées non pas naturelles et artificielles, mais artificielles, à leur tour, sont divisées en non intentionnelles et intentionnelles.

Les menaces les plus courantes incluent les erreurs des utilisateurs du réseau, les pannes internes du réseau ou de son infrastructure de support, les attaques logicielles et les logiciels malveillants.

Les mesures visant à assurer la sécurité des réseaux informatiques sont divisées en: juridique (législatif), moral et éthique, organisationnel (administratif), physique, technique (matériel et logiciel).

Dans le deuxième chapitre du WRC, j'ai examiné en détail certaines des méthodes de protection physique, matérielle et logicielle. Les outils logiciels modernes de protection des informations comprennent les méthodes cryptographiques, le cryptage du disque, l'identification des utilisateurs et l'authentification. Pour protéger un réseau local ou d'entreprise contre les attaques du réseau mondial, des logiciels spécialisés sont utilisés: pare-feu ou serveurs proxy. Les pare-feu sont des serveurs proxy dédiés qui inspectent et filtrent tout le trafic de la couche réseau / transport qui les traverse. Un serveur proxy est un serveur intermédiaire, tous les appels du réseau local vers le réseau global se font par son intermédiaire.

L'organisation d'un système d'archivage des données fiable et efficace est également l'une des tâches les plus importantes pour garantir la sécurité des informations sur le réseau. Pour garantir la récupération des données en cas de défaillance des disques magnétiques, les systèmes de grappes de disques sont le plus souvent utilisés récemment - des groupes de disques fonctionnant comme un seul périphérique conforme à la norme RAID.

Le service d'analyse de sécurité est conçu pour identifier les vulnérabilités en vue de leur élimination rapide. Les systèmes d'analyse de la sécurité (également appelés scanners de sécurité), comme les outils d'audit actifs évoqués ci-dessus, sont basés sur l'accumulation et l'utilisation de connaissances. Il s'agit de connaître les failles de sécurité: comment les rechercher, leur gravité et comment y remédier.

Dans le troisième chapitre du WRC, j'ai examiné les méthodes et moyens de protection de l'information dans les réseaux de télécommunication de l'entreprise Vestel. Après avoir brièvement décrit l'entreprise et son réseau d'entreprise, je me suis concentré sur le support organisationnel et juridique de la protection, examiné en détail les capacités de protection du système d'exploitation Windows 2003 Server utilisé dans l'entreprise. Il est très important de protéger votre réseau d'entreprise contre tout accès non autorisé. À cette fin, l'entreprise utilise des clés électroniques, organise la protection des données des tuteurs, définit les mots de passe et contrôle l'accès à Internet.

Pour exclure l'infection du réseau d'entreprise par des virus informatiques, Vestel utilise le progiciel antivirus Dr.Web Enterprise Suite. Les avantages de ce package sont:

Évolutivité;

Centre de contrôle unifié;

Administration à faible coût;

Économiser le trafic du réseau local;

Large gamme de support de protocole.

À cela s'ajoute l'attractivité du prix.

Pour m'assurer que le package antivirus Dr.Web sélectionné est la meilleure solution, j'ai étudié plusieurs revues de programmes antivirus et passé en revue les résultats de plusieurs tests. Les résultats du test probabiliste (site Web antivirus.ru) donnent à Dr.Web la première place, et le magazine Virus Bulletin classe Dr. Web comme 8e meilleur antivirus au monde.

Après avoir analysé les informations dont je disposais sur l'organisation de la protection du réseau d'entreprise de Vestel, j'ai fait la conclusion suivante:

6. Biyachuev T.A. Sécurité des réseaux d'entreprise. Manuel / ed. L.G. Osovetsky - SPb.: SPbGU ITMO, 2004 .-- 161 p.

7. Black W. Internet: protocoles de sécurité. Formation. - SPb.: Peter, 2001 .-- 288 p.: Malade.

8. Bozhdai A.S., Finogeev A.G. Technologies de réseau. Partie 1: Tutoriel. - Penza: Maison d'édition PSU, 2005 .-- 107 p.

9. Banques M. Sécurité de l'information du PC (à partir du CD-ROM). - Kiev: "Century", 2001. - 272 p.

10. Vasilenko O.N. Algorithmes de la théorie des nombres en cryptographie. - Moscou: Centre d'éducation mathématique continue de Moscou, 2003. - 328 p.

11. Vikhorev S. V., Kobtsev R. Yu. Comment savoir - où attaquer ou d'où vient la menace à la sécurité de l'information // Sécurité de l'information. Confiant, n ° 2, 2002.

12. Systèmes informatiques, réseaux et télécommunications: manuel. - 2e éd., Rév. et ajouter. / Ed. A.P. Pyatibratova. - M.: Finances et statistiques, 2003.

13. Galatenko V.A. Normes de sécurité de l'information. - M.: Maison d'édition "Université Internet des Technologies de l'Information - INTUIT.ru", 2004. - 328 p.: Ill.

14. Goshko S.V. Encyclopédie de la protection antivirus. - M.: Maison d'édition "SOLON-Press", 2004. - 301 p.

15. Denisov A., Belov A., Vikharev I. Internet. Guide d'auto-apprentissage. - SPb.: Peter, 2000 .-- 464 p.: Malade.

17. Winter V., Moldovyan A., Moldovyan N. Security of global network technologies. Série "Master". - SPb.: BHV-Petersburg, 2001 .-- 320 p.: Ill.

18. Zubov A.Yu. Chiffres parfaits. - M .: Helios ARV, 2003 .-- 160 p., Ill.

19. Kasperski K. Notes d'un chercheur sur les virus informatiques. - SPb.: Peter, 2004 .-- 320 p.: Malade.

20. Kozlov D.A. Encyclopédie des virus informatiques. - M.: Maison d'édition "SOLON-Press", 2001. - 457 p.

21. Cole E. Guide de protection contre les pirates. - M.: Maison d'édition "Williams", 2002. - 640 p.

22. Laponina O.R. Bases de la sécurité cryptographique. - M.: Maison d'édition "Université Internet des Technologies de l'Information - INTUIT.ru", 2004. - 320 p.: Ill.

23. Laponina O.R. Fondamentaux de la sécurité des réseaux: algorithmes cryptographiques et protocoles de communication. - M.: Maison d'édition "Université Internet des Technologies de l'Information - INTUIT.ru", 2005. - 608 p.: Ill.

24. McClar S., Skembray J., Kurtz J. Secrets of hackers. Sécurité réseau - solutions clé en main. 2e édition. - M.: Maison d'édition "Williams", 2001. - 656 p.

25. Mamaev M., Petrenko S. Technologies de protection des informations sur Internet. Ouvrage de référence spécial. - SPb.: Peter, 2001 .-- 848 p.: Malade.

26. Medvedovsky I. D. Attaque Internet. - M.: Maison d'édition "SOLON-Press", 2002. - 368 p.

27. Miklyaev A.P., Manuel de l'utilisateur IBM PC, 3e édition M.:, "Solon-R", 2000, 720 p.

28. Northcut S., Novak J. Détection des failles de sécurité dans les réseaux. 3e éd. - M.: Maison d'édition "Williams", 2003. - 448 p.

29. Pare-feu Oglrty T. Application pratique des pare-feu - M.: DMK, 2003. - 401 p.

30. Olifer V., Olifer N. Réseaux informatiques. Principes, technologies, protocoles: Manuel pour les universités. 2e éd. - SPb.: Peter, 2002 .-- 864 p.: Malade.

31. Partyka T.L., Popov I.I. Sécurité de l'information. - M.: "Infra-M", 2002. - 368 p.

32. Parkhomenko PN, Yakovlev SA, Parkhomenko NG Aspects juridiques des problèmes de sécurité de l'information. Matériels de la Vème Conférence Scientifique et Pratique Internationale "Sécurité de l'Information" - Taganrog: TRTU, 2003.

33. Ordinateur personnel: dialogue et logiciel. Didacticiel. Ed. V.M. Matyushka - M.: Maison d'édition de l'UDN, 2001.

34. Pyatibpatov AP Systèmes informatiques, réseaux et télécommunications: manuel; Sous ed. A.P. Pyatibratova. - 2e éd., Rév. et ajouter. - M .: Finances et statistiques, 2003. - 512 p.: Ill. - Bibliographie: p. 495.

35. Rastorguev S. P. Philosophie de la guerre de l'information - Moscou: Livre universitaire, 2001. - 468 p.

36. Simonis D. et coll., Check Point NG. Guide d'administration. - M .: DMK Press, 2004, 544 p.

37. Simonovich S.V., Evseev G.A., Murakhovsky V.I. Vous avez acheté votre ordinateur: le guide complet du débutant sur les questions et réponses. - M.: AST-PRESS KNIGA; Inforkom-Press, 2001, - 544 p.: Ill.

38. Blocages V. Cryptographie et sécurité du réseau: principes et pratique. 2e édition. - M.: Maison d'édition "Williams", 2001. - 672 p.

39. Zwicky E., Cooper S., Chapman B. Building Security on the Internet (2e édition) - SPb.: Symbol-Plus, 2002 - 928 p.

40. Yarochkin V.I. Sécurité de l'information. - M.: Maison d'édition "Projet académique", 2004. - 640 p.

La protection des informations dans les systèmes informatiques présente un certain nombre de caractéristiques spécifiques liées au fait que les informations ne sont pas liées de manière rigide au support, peuvent être facilement et rapidement copiées et transmises par des canaux de communication. Un très grand nombre de menaces d'information sont connues et peuvent être implémentées par des intrus externes et internes. Les problèmes liés à la sécurité de la transmission des informations lors du travail sur des réseaux informatiques peuvent être divisés en trois types principaux: - interception d'informations - l'intégrité des informations est préservée, mais leur confidentialité est violée; - modification des informations - le message d'origine est modifié ou complètement remplacé par un autre et envoyé au destinataire; - substitution de la paternité des informations. Ce problème peut avoir de graves conséquences. Par exemple, quelqu'un peut envoyer un e-mail en votre nom (ce type de tromperie est communément appelé spoofing), ou un serveur Web peut se faire passer pour une boutique en ligne, accepter des commandes, des numéros de carte de crédit, mais n'envoyer aucun article. Des études sur la pratique de fonctionnement des systèmes de traitement de données et des systèmes informatiques ont montré qu'il existe de nombreuses directions possibles de fuite d'informations et de voies d'accès non autorisé aux systèmes et aux réseaux. Parmi eux:

Lire les informations résiduelles dans la mémoire système après avoir exécuté des requêtes autorisées;

Copie de supports d'informations et de fichiers d'informations avec des mesures de protection à surmonter;

Déguisez-vous en utilisateur enregistré;

Déguisement en requête système;

Utilisation de pièges logiciels;

Utiliser les failles du système d'exploitation;

Connexion illégale aux équipements et aux lignes de communication;

Désactivation malveillante des mécanismes de protection;

Introduction et utilisation de virus informatiques.

Assurer la sécurité des informations dans l'avion et dans les ordinateurs personnels fonctionnant de manière autonome est assuré par un ensemble de mesures organisationnelles, organisationnelles, techniques, techniques et logicielles. Les mesures organisationnelles pour protéger les informations comprennent:

Restreindre l'accès aux locaux où les informations sont préparées et traitées;

Seuls les fonctionnaires vérifiés sont autorisés à traiter et transmettre des informations confidentielles;

Stockage de supports électroniques et de registres d'enregistrement dans des coffres fermés pour accès non autorisé;

Exclusion de la visualisation par des personnes non autorisées du contenu des matériaux traités via l'écran, l'imprimante, etc.

Utilisation de codes cryptographiques lors de la transmission d'informations précieuses via des canaux de communication;

Destruction de rubans d'encre, de papier et d'autres matériaux contenant des fragments d'informations précieuses.

1. Protection des informations cryptographiques.

Àles méthodes riptographiques de protection des informations sont des méthodes spéciales de cryptage, d'encodage ou d'autres transformations d'informations, à la suite desquelles leur contenu devient inaccessible sans présenter la clé de cryptogramme et la transformation inverse. La méthode de protection cryptographique est sans aucun doute la méthode de protection la plus fiable, car les informations elles-mêmes sont protégées, et non l'accès à celles-ci (par exemple, un fichier crypté ne peut pas être lu même si le média est volé). Cette méthode de protection est mise en œuvre sous forme de programmes ou de progiciels.

La cryptographie moderne comprend quatre sections principales:

Cryptosystèmes symétriques... Dans les systèmes cryptographiques symétriques, la même clé est utilisée à la fois pour le cryptage et le décryptage. (Le chiffrement est un processus de transformation: le texte original, également appelé texte brut, est remplacé par du texte chiffré, le déchiffrement est le processus inverse du chiffrement. Sur la base de la clé, le texte chiffré est converti en texte original);

Cryptosystèmes à clé publique... Les systèmes à clé publique utilisent deux clés, publique et privée, qui sont mathématiquement liées l'une à l'autre. Les informations sont cryptées à l'aide d'une clé publique, accessible à tous, et décryptées à l'aide d'une clé privée, connue uniquement du destinataire du message (la clé est l'information nécessaire au cryptage et au décryptage sans entrave des textes);

Signature électronique... Système de signature électronique. est appelée sa transformation cryptographique attachée au texte, qui permet, lorsque le texte est reçu par un autre utilisateur, de vérifier la paternité et l'authenticité du message.

Gestion des clés... Il s'agit du processus d'un système de traitement de l'information dont le contenu est la compilation et la distribution de clés entre utilisateurs.

À PROPOSles principales directions d'utilisation des méthodes cryptographiques sont le transfert d'informations confidentielles via des canaux de communication (par exemple, le courrier électronique), l'authentification des messages transmis, le stockage d'informations (documents, bases de données) sur des supports sous forme cryptée.